Apa yang harus saya lakukan untuk memastikan kebijakan DB saya harus lulus audit keamanan?

8

Saya memiliki audit yang akan datang, dan saya bertanya-tanya apa kontrol akses fisik, elektronik, dan logis yang akan dicari oleh auditor ketika mengaudit database untuk sistem ERP. Saya benar-benar baru dalam proses ini dan bimbingan apa pun akan dihargai.

sql-server oracle security audit Robert Silvie II
sumber

Jawaban:

4

Saya setuju dengan jawaban DeCosta. Apa persyaratan, spesifikasi yang akan diaudit? Tapi, sebagai upaya terbaik saya dalam kegelapan: Ini adalah publikasi "praktik terbaik" untuk keamanan terkait dengan SQL 2005 yang diterbitkan oleh Microsoft

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

Dan artikel buku online:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

Juga, berikut adalah daftar hal-hal yang dicakup PricewaterhouseCoopers dalam layanan mereka terkait dengan Audit sistem ERP. Ini mungkin memberi Anda beberapa ide. Menu di sebelah kiri mencakup banyak topik yang dapat membantu dalam memicu hal-hal untuk diteliti.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

RThomas
sumber
Tidak masalah, semoga sukses dengan audit.
RThomas
4

Saya salut atas usaha Anda, namun pertanyaan yang diajukan mungkin terlalu samar. Aturan yang berbeda berlaku untuk industri yang berbeda dan lebih jauh lagi, kadang-kadang Anda memiliki kesempatan untuk menetapkan aturan Anda sendiri, Anda hanya perlu mengikuti mereka.

Saya akan menyarankan untuk memeriksa dengan seseorang tentang audit apa yang Anda harapkan lulus, kemudian menemukan persyaratan khusus.

johndacostaa
sumber
3
Setuju - mereka tidak bisa berharap Anda memenuhi harapan tanpa mempublikasikan apa harapan itu. Apakah ini terkait dengan HIPPA, Sarbanes Oxley, persyaratan hukum khusus yang terkait dengan penyimpanan sejarah kriminal, dll ...
RThomas
3

Untuk menambah tautan luar biasa di atas; Saya menemukan dokumen-dokumen berikut sebagai referensi bermanfaat mengenai keamanan dan audit:

  • PCI White paper Menyebarkan SQL Server 2008 Berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) : Tautan
  • Buku putih HIPPA: Tautan
  • Tanda bangku keamanan Microsoft SQL Server dari Pusat Keamanan Internet. Tautan
  • Juga google untuk dokumen yang disebut checklist keamanan database Microsoft SQL Server dari Departemen Pertahanan AS (tidak diklasifikasikan) -
DaniSQL
sumber
2

Poin yang terlewatkan oleh orang-orang di atas adalah sekitar mengidentifikasi dengan tepat apa yang Anda lindungi - jika itu adalah data kartu kredit, maka mudah untuk menyadari bahwa Anda memerlukan PCI-DSS, tetapi dalam skema yang lebih luas, PCI-DSS tidak terlalu berguna kecuali sebagai dasar minimum. Anda perlu mengidentifikasi apa yang bernilai bagi perusahaan Anda, apakah untuk alasan komersial atau karena regulator atau pemegang saham mengatakan demikian, dan memastikan audit Anda memperhitungkannya.

Saya juga menyarankan untuk melihat security.stackexchange.com , yang khusus melayani keamanan dan risiko profesional, dan ada banyak dari kita yang telah melakukan audit keamanan, dibantu dengan persiapan audit, memimpin peningkatan keamanan skala besar dan program pengujian dll.

Rory Alsop
sumber