管理信息技术的风险.pdfVIP

典型业务中的流程控制 典型业务中的流程控制 管理信息技术的风险 管理信息技术的风险 目标 目标 了解信息系统内部风险控制的目标 识别公司信息技术风险的一般类型 识别可获得的资源 信息技术风险的管理目标 信息技术风险的管理目标 防止未经授权即进入网络、系统和数据 库 在灾难面前恢复计算系统和服务 向内部和外部的客户提供高质量的信息 技术服务 信息技术风险的主要领域 信息技术风险的主要领域 物理环境的途径 便携存储媒介 工作地点和网站的安全 对问题和变化的管理 服务和工作表现的管理 灾难的恢复 服务注册用户的授权 逻辑上的途径 管理信息技术风险--资源 管理信息技术风险--资源 公司的指导 标准和方针 经理手册 信息技术风险的原因 信息技术风险的原因 程序的缺乏和不完善 未能遵循程序 对标准、指导和方针的了解不足 合同未能及时更新，不能满足新顾客的要不 得求 未能加强工作地点的安全和引导 对责任和角色的分工不明确 信息技术风险的原因 信息技术风险的原因 未能及时更新程序 对进入master lists的控制不足 对原来暴露的问题未能给予纠正或了结 管理的参与度不够 责任分立不够 缺乏衡量尺度 物理环境的进入 - 目标 物理环境的进入 - 目标 防止未经授权的个人进入受控的区域 防止公司及其客户的机密信息未经授权 即被发放 物理环境的进入--发现 物理环境的进入--发现 侵入警报失灵或没有反映 没有防护墙的保护 布线室的门敞开 工作间和仪表板未使用屏保密码 机密信息的废件处理是在打印室的公共 设备中进行 物理环境的进入--发现 物理环境的进入--发现 进入的请求没有形成文件，比如仅是口 头请求 进入没有再次得到证明 （REVALIDATION ） 对不同员工撤消进入权力的程序不一致 物理环境的进入--商务影响 物理环境的进入--商务影响 未经授权即进入网络、系统和数据库 资产的流失和滥用 网络和系统的瘫痪 顾客不满 便携存储媒介 - 目标 便携存储媒介 - 目标 保护所有便携存储媒介免遭未经授权的 拷贝、破坏或盗窃 便携存储媒介 - 发现 便携存储媒介 - 发现 未执行初始盘点 未执行年度实物盘点 年度盘点和调节结果未得到顾客与管理 者的认可 未对现在和原来的库存进行调节 便携存储媒介 - 发现 便携存储媒介 - 发现 责任分立不足，如所有的图书馆管理的 工作都由一人负责，管理者没有对之进 行检查 处理货币问题和顾客需求变化的程序不 明确 便携存储媒介 - 商业影响 便携存储媒介 - 商业影响 未能证明对所有处于监管下的媒介具有 的责任 公司及其顾客信息的丧失、滥用和破坏 妨碍了对库存差异的调查 顾客不满 工作地点和网站--目标 工作地点和网站--目标 保护资产、公司的机密信息和其他敏感 信息 工作地点和网站--发现 工作地点和网站--发现 未使用开机和屏保密码 公司的机密信息，顾客的私人信息及个 人信息都摆在桌面或未入保险柜 工作地点和网站--发现 工作地点和网站--发现 网址上可看到敏感的私有的或机密的信, , 息. 在公司需求终止后进入敏感网址的信息, 准入没有消除. 授权进入敏感网址信息的流程没有定义 没有遵循网址的机密引导 工作地点和网站--商业影响 工作地点和网站--商业影响 未经授权即进入网络、系统和数据库 资产和数据的丢失和滥用 竞争优势的丧失 公众的尴尬 一些政府责任和罚金 问题和变化管理--目标 问题和变化管理--目标 及时地解决问题 保证已获批准的变革能得以执行