将审计视为纯粹的“侦探”性质是否正确？

Question

我正在为CISSP考试学习，其中一个视频演讲点对我来说不太有意义。教官正在讨论出入控制管理领域，并开始将某些事情归类为“预防”和“侦探”。例如，数据加密:预防性..。数据完整性检查:侦探..。备用电力系统:预防性..。用户培训:预防和侦查..。

当谈到审计时，他给他们贴上“侦探”的标签。在某种程度上，我理解为什么会这样--既然我们在寻找漏洞，如果我们找到它们.我们在侦查他们。

但与此同时，我不禁想知道，审计是否也可以被认为是预防性的--因为我们正在提前寻找漏洞，以防止它们日后被利用。

你的想法是什么？也许我想得太多了？

Answer 1

就像递归一样，要正确理解审计，我们必须首先了解审计的范围和用法。审计用于对照基准确定遵守情况。如果没有上述基准，那么审计师就没有什么可衡量的了。在某些情况下，您的基准可能是一个非常技术性的文档，描述编程实践或操作系统配置。在其他情况下，您的基准测试可能与“遵循$RANDOM_DEPT确定的最佳实践”一样松散。

从这个角度来看，使用你的标签，审计应该被严格地归类为“侦探”。因此，这意味着“预防性”措施将是基准/标准/政策/任何东西。

请考虑以下几点：

为了避免前雇员未经授权访问，所有帐户在离职时都会被禁用。

在这种情况下，禁用帐户的策略是您的预防措施。在审核过程中，您的审计师将试图确定是否遵循该策略。

Answer 2

审计通常用于检测:检测问题。控件通常提供预防:防止入侵。

然而，您可以使用审计不仅仅是检测入侵。还可以使用审计来检测控件中的问题或缺陷(例如遵从性审核、网络配置审核)和/或检测漏洞(例如，笔试、源代码评审)。

因此，审计对于改进您的控制和系统防御非常有用。审计可以是用于改进已部署的保护和控制的反馈循环的一部分。因此，审计可以帮助提高您防止未来入侵的能力，因为它们可以帮助您确定您的控件是否一致和正确地实现，以及您的控件是否有效地工作，如果没有，请指出问题所在，以便您能够设计出改进控制的方法。换句话说:审计可以帮助您改进控制，从而提高您预防问题的能力。

这就是你要问的吗？