Security Audit 安全审计
对组织的安全控制、策略、流程做系统性检查,看是否符合一套预期。
两类
| 类型 | 谁做 | 目的 |
|---|---|---|
| Internal Audit | 公司内部审计团队 | 自查、找问题、改进 |
| External Audit | 第三方机构(SOC 2、ISO、PCI 审计师) | 对外证明 合规 |
典型流程
- Scope —— 审什么(某个系统?整个公司?)
- Criteria —— 按什么标准审(NIST 800-53、ISO 27001、PCI DSS)
- Evidence collection —— 看文档、看日志、问人、跑测试
- Findings —— 列出不符合项(Critical / High / Medium / Low)
- Report + Remediation Plan —— 报告 + 整改计划
跟 penetration test 区别
| Audit | Pentest | |
|---|---|---|
| 目的 | 检查”有没有按规矩来” | 检查”真的能不能被打穿” |
| 方式 | 看证据、流程对照 | 模拟攻击 |
| 输出 | 合规符合性报告 | 漏洞清单 + 复现步骤 |
Audit 是必修课,pentest 是体检。两者都要。