第章一般制.ppt

网络变更控制的审核 要特别关注网络配置的变更得到管理层的书面授权 抽样检查最近的变更请求 保证组织建立了对变更的有效控制____特定变更与控制程序 * 变更控制程序最重要的目的：防止和检测对软件、配置参数和数据的非授权修改。 6. 灾难恢复控制及其审计 南京审计学院 灾难恢复与业务持续 灾难与业务中断 自然灾害，如地震等； 预期的服务不正常时，如供电、通信中断； 人为的破坏，如恐怖袭击。 * 灾难恢复与业务持续计划 业务持续计划（BCP）应该综合考虑两方面： 关键信息系统处理实施 终端用户的业务功能 灾难恢复策略 短期恢复策略：建立可替换的处理设施 长期恢复策略：建立永久性的信息处理场所与设施 * 灾难恢复与业务持续计划 BCP按其生命周期分为以下阶段 业务影响分析 运行分类和重要性分析 制定灾难恢复和业务连续计划 培训教育程序 测试与实施计划 监测 * 业务影响分析 业务影响分析的前提： 了解组织的整体情况 关键业务处理流程 组织处理关键业务流程时使用的IT资源 考虑： 主要业务流程 关键IT资源 关键恢复时间周期 恢复成本与停机成本总成本最小（P84 图3.5） * 执行方法： 问卷调查 拜访关键用户 与IT人员/终端用户讨论 业务影响分析 灾难恢复的操作方式 自动恢复：借助高可靠性软件 人工恢复 业务重要性分类 分类尺度与风险有关 * 重要业务发生中断的可能性； 关键恢复