第6章 安全评估与测试

第6章安全评估与测试

6.1 评估、测试和审计策略

 6.1.1 内部审计

 6.1.2 外部审计

 6.1.3 第三方审计

 6.1.4 测试覆盖率

6.2 审计技术控制措施

 6.2.1 漏洞测试

 6.2.2 渗透测试

 6.2.3 战争拨号

 6.2.4 其他漏洞类型

 6.2.5 事后检查

 6.2.6 日志审查

 6.2.7 综合交易

 6.2.8 误用用例测试

 6.2.9 代码审查

 6.2.10 代码测试

 6.2.11 接口测试

6.3 审计管理控制措施

 6.3.1 账户管理

 6.3.2 备份验证

 6.3.3 灾难恢复和业务连续性

 6.3.4 安全培训和安全意思宣贯

 6.3.5 关键绩效和风险指标

6.4 报告

 6.4.1 分析结果

 6.4.2 撰写技术报告

 6.4.3 摘要

6.5 管理评审和批准

 6.5.1 管理评审之前

 6.5.2 评审的输入

 6.5.3 管理批准