IS監査テクニック

システム(情報化の対象)のセキュリティの程度を判断する方法は?

現在、最も一般的な2種類のIS監査があります。1つ目はコンプライアンス評価で、2つ目は脅威モデリングとリスク評価です。

どちらのタイプにも欠陥があるため、評価が不正確になる可能性があります。 最初のケースでは、システムが幅広いシステムの要件を満たしていることを確認します。 これらの要件は特定のシステムの詳細を考慮に入れることができないため、過剰な要件または必要な要件の欠如の可能性があります。 2番目の場合、結果は監査人の資格と知識のみに依存します。



カットオフでは、これらの欠点を最小限に抑えるIS監査手法が説明されています。



提案された方法論の基礎は、故障と原因のツリーの構築です(グラフ理論から)。 監査人の行動は段階的に以下にリストされています。



1.準備活動



2.フォールトツリーの構築



3.原因の木の構築



4.コンプライアンスの評価



手順2および3の図を以下の図に示します。



フォールトツリーの構築例:

画像



原因のツリーを構築する例:

画像







All Articles