域6安全审计

安全审计：

分为三个分类：内部，外部，第三方审计。

内部指内部审计员审计，外部指外包给别的安全公司审计，第三方审计指的是政府监管机构审计。

其中第三方审计有SOC报告。
SOC报告分为三个类型：I,II,III。

I类型报告属于内部报告，涉及某一时间点，并且概括了安全策略控制内容。
II类报告属于渗透测试报告的详细内容，占用6个月。涵盖了有什么漏洞，组织架构。
III类报告属于公众报告，也就是说，给大众看的，不敏感，也相当于对外做出安全的保证。

II类报告比较敏感，因为有渗透测试的详细内容。

审计标准：
ISO27001描述安全的标准方法
ISO27002描述安全的控制细节
COBIT信息及相关技术的控制目标