IT sec审计是否有技术框架，就像管理框架一样？

Question

TL；

博士

是否有用于IT安全分析/审计的技术框架(包含受国际标准(如COBIT，ISO 27000)规范的检查列表的流程)？

你好,

假设你是个软件开发人员。您需要创建一个web应用程序来管理数据库中的信息。您将遵循的在这里交付软件的过程如下

• 数据库建模(使用ER图等工具)
• 软件体系结构建模(使用UML )
• 使用DBMS (ex : MySQL)和SQL实现数据库
• 用MVC等设计模式和Java等编程语言进行软件编程

IT安全框架是一系列文档化的流程，用于定义围绕企业环境中信息安全控制实施和持续管理的策略和过程。

来源：https://searchsecurity.techtarget.com/tip/IT-security-frameworks-and-standards-Choosing-the-right-one

这些框架包括COBIT、ISO 27001、NIST SP 80053、CIS控件、HITRUST CSF等。这些更像是管理人员的指南，以帮助他们确保系统符合标准。

我的问题是:对于IT安全分析师/审计师，是否有将上述两种情况结合在一起的标准，即对维护标准的系统进行技术分析/审核的过程？

我要问的是，当阅读像CEH或网络杀手链这样的材料时，它们看起来并不“专业”。这只是一堆黑帽子技术(并不是真正的方法)被结合起来并提供给所谓的白帽。

但是在日常的基础上，一支由分析师/审计师组成的技术团队会如何组织自己变得专业(可能会遵循一个框架)，而不用花时间进行侦察、扫描、开发等……无意义的行为像黑黑客而不是高效的安全专业人员

Answer 1

是的，ISO/IEC 27007除了ISO 19011:2011所载的指导外，还提供关于管理信息安全管理系统( ISMS )审计程序、进行审计和ISMS审计员的能力的指导。

ISO/IEC 27007适用于那些需要了解或进行内部或外部对ISMS的审计或管理is审计程序的人。

请参阅索引这里和19011:2011 这里的完整内容。