[ISC]Security Testing - SAR : Security Assessment Report

 

Security Assessments
- protect cyberattacks, for internal control
- establish risk mgt framework
- assess and respond to threats on a continuous basis

Risk Mgt Framework
- NIST : National Institute of Standards and Technology(NIST) provides a framework
- 4 main component : 
- FARM : Framework -Assesing - Responding - Monitoring  -> risk

Assess Risk
- Vulnerabilities : severity of impact
- likelihood that harm will occur (Probability)

The identification of threats, vulnerabilities, potential harm, and likelihood of harm better aligns with the component assess risk.

SAR : Security Assessment Report
- complying or not
- NIST defines : disciplined and structured approach
--S: Satisfied
--O : Other than satisfied rating

Security Assessment Evaluators
SOC : Service Organization Control
MSP : Managed Service Provider

Security Assessment Process
- focus : gather information
- identify potential deficiencies
- priortize the response to risks
- inform budgeting and investing decision makers

Security Assessment Evidence
- product and system are examinations
- configuration settings
- SDLC : system development life cycle
- records, incident reports, change mgt practices, compliance with policies, regualtions

Security Awareness Delivery Methods
- fully ousourced/ in-house / hybrid(combination)
- Live session, in person or remote