Keamanan Audit siber diatur dalam tiga lini pertahanan:
a. Management: Control Self-Assessments (CSAs), pengujian teknis, pengujian sosial dan tinjauan manajemen regular
b. Risk Management: ancaman / kerentanan / risiko, evaluasi risiko, analisis dampak bisnis dan risiko yang muncul
c. Audit Internal: pengujian pengendalian internal, kepatuhan cybersecurity, penerimaan risiko dan investigasi forensik digital
Audit keamanan siber lebih kompleks daripada audit umum, perencanaan, dan ruang lingkupnya ditunjukkan dalam tabel berikut:
NIST Cybersecurity Framework (CSF) versi 1.1 berfokus pada pendorong bisnis yang terkait dengan aktivitas dan risiko keamanan siber. Kerangka kerja ini memiliki tiga komponen utama:
a. Inti Kerangka: Hasil keamanan siber yang diinginkan diidentifikasi dengan benar
b. Tingkatan Penerapan: Ukuran kualitatif dari organisasi manajemen risiko keamanan siber
c. Profil Kerangka: Penyelarasan antara Inti Kerangka dan persyaratan, tujuan, selera risiko organisasi dan sumber daya.
Versi awal dibuat pada tahun 2014 untuk meningkatkan keamanan siber infrastruktur kritis. Versi 1.1 mengelola risiko keamanan siber untuk infrastruktur kritis. Inti kerangka kerja mencakup lima fungsi - mengidentifikasi, melindungi, mendeteksi, menanggapi, dan Memulihkan; kemudian masing-masing fungsi ini memiliki kategori dan subkategori. Selain itu, Inti berisi sumber daya Informatif seperti standar keamanan siber, pedoman, dan praktik terbaik. Tingkatan mendefinisikan konteks keamanan siber yang diatur dari tingkat parsial hingga adaptif. Profil menyajikan hasil berdasarkan kebutuhan organisasi. Profil saat ini nantinya dapat dibandingkan dengan profil target.
