کنترل های امنیت اطلاعات در زمره مهمترین کنترل های سازمانی به شمار می روند. موسسه CIS یکی از موسسات خصوصی در آمریکا است که حیطه تخصصی آن آموزش و فرهنگ سازی امنیت اطلاعات می باشد. این موسسه در حوزه های مختلف مرتبط با امنیت اطلاعات، تحقیقات مستمری را انجام داده و راهنماهایی را برای مخاطبان منتشر می کند. همچنین دوره های آموزشی متنوعی را در زمینه امنیت اطلاعات طراحی و اجرا می کند. دوره های آموزشی و مدارک حرفه ای این موسسه معتبر بوده و سازمان های دولتی و خصوصی در نقاط مختلف جهان از جمله وزارت دفاع آمریکا از جمله مشتریان این موسسه به شمار می روند.
موسسه SANS برای ارتقای امنیت اطلاعات در سازمان ها 20 کنترل کلیدی را در حوزه امنیت اطلاعات ارائه نموده است. این کنترل ها برای مصون نمودن سازمان در مقابل ریسک های امنیت اطلاعات بسیار موثر هستند. اجرای این کنترل ها آسیب پذیری های اصلی در حوزه امنیت اطلاعات را رفع می کنند.
حسابرسان فناوری اطلاعات طی حسابرسی امنیت اطلاعات در سازمان ها می توانند این کنترل ها را به عنوان کلیدی ترین راهکارهای فنی و سازمانی برای مقابله با مخاطرات امنیتی مورد توجه قرار داده و نسبت به شناسایی، آزمون و گزارشگری در خصوص آنها اقدام کنند.
در نوشتارهای آتی کنترل های امنیت اطلاعات موسسه SANS برای آشنایی حسابرسان فناوری اطلاعات مرور می شود. این کنترل ها عبارتند از:
1.کنترل موجودی تجهیزات مجاز و غیر مجاز
2.کنترل موجودی نرم افزارهای مجاز و غیرمجاز
3.پیکره بندی ایمن سخت افزارها و نرم افزارها بر روی لپ تاپ ها، ایستگاه های کاری و سرورها
4.ارزیابی و درمان مستمر آسیب پذیری ها
5.استفاده کنترل شده از دسترسی های مدیریتی
6.نگهداری، پایش و تحلیل شواهد حسابرسی
7.محافظت از پست الکترونیکی و مرورگرها
8.دفاع در مقابل بدافزارها
9.محدودیت و کنترل پورت ها، پروتکل ها و سرویس های شبکه
10.قابلیت بازیابی داده ها
11.پیکره بندی ایمن تجهیزات شبکه از جمله فایروال ها، روترها و سوییچ ها
12.دفاع محیطی
13.محافظت از داده ها
14.دسترسی کنترل شده براساس نیاز
15.کنترل تجهیزات بیسیم
16.کنترل و پایش حساب های کاربری
17.ارزیابی مهارت های امنیت و تحلیل شکاف برای جبران ضعف ها
18.امنیت نرم افزارهای کاربردی
19.مدیریت و پاسخگویی به رخدادهای امنیتی
20.آزمون نفوذ و عملیات تیم قرمز