第章一般控制.pptVIP

IS环境控制 物理位置 远离地下室、蓄水池化工厂、加油站、储气站、机场等。 报警控制面板 水灾控制 水灾探测器 火灾控制 办公设施具备防火能力 火灾警报器和灭火系统 定期检测消防设施 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. IS环境控制 电力供应相关风险的控制 电力中断控制：保护器、UPS、后备发电机供电 电源线中断控制：备份电力系统 切断电源控制：机房内、外紧急断电装置 防潮、防尘的控制 其他相关控制 如：信息处理场所设置警示标语、建立程序控制关机等。 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. IS硬件控制与审计 内容 采购 维护 与 监控 能力管理 步骤 1.招标（招标书/请求建议书）； 2.供应商投标； 3.评标； 4.签合同。 1.制定维护计划/性能监控计划； 2.实施维护与监控。 1.用户和IS管理部门共同制定能力计划； 2.硬件能力管理程序和性能评估程序。 控制与审计 1.审查硬件获取计划（需求、指标、因素等）； 2.审查硬件获取标准； 3.审查评标过程。 1.审查维护计划/性能监控计划，及其批准情况； 2.审查监控记录（硬件错误报告、可用性报告、利用率报告）； 3.审查硬件变更控制程序。 1.定期审查和修改能力计划； 2.审查硬件能力管理程序和性能评估程序。 * 审计方法：检查文档，也可采用会谈法、观察法。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 系统软件控制 系统软件有哪些风险点？ 采购环节：获取与实施、版权与许可、质量与服务 使用环节：变更、病毒、数据库、文档 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 系统软件控制 内容 获取与实施 变更控制 版权与许可 OS控制参数 DB安全 计算机病毒 步骤 1.招标； 2.评标； 3.实施：配置与测试、获得认证和使用授权 变更控制程序：请求、评估、授权、通告、实施、测试 建立标准的计算机桌面环境和软件许可策略 在操作系统中设置和修改参数和选项 存取管理、安全管理、DB加密 1.建立管理策略与程序； 2.采用防病毒技术（硬件、软件）。 控制与审计 1.审查系统软件版本控制、计划控制； 2.审查系统软件获取可行性研究和选择流程，注意成本效益分析、业务和技术因素； 3.审计实施控制（测试、认证和使用授权）。 1.审计变更控制程序； 2.审查变更控制记录。 1.审查软件使用和复制的授权文档 2.审查系统软件列表； 3.审查软件安装控制机制等。 1.检查参数（用户/组、组策略、注册表等）； 2.查看日志文件、系统文件。 审核DB的设计、访问、管理、接口和可移植性 1.审查管理策略与程序 2.检查所有计算机都安装防病毒软件，并及时更新 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 对系统软件控制的审计 测试区域：采购程序、变更程序、版权与许可控制、授权程序、访问安全控制、文档规范化控制、系统测试控制、对生产环境的访问控制、数据库控制以及相应的审计轨迹。 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 对系统软件控制的审计 检查系统软件选择程序审计内容：是否符合IS计划和业务计划要求；是否适应对IS的处理和控制要求；是否满足IS业务需求等 审查系统软件获取可行性研究和选择流程审计内容：确定建议的系统目标和目的与招标书/请求建议书一致，并使用了相同的选择标准。 审计系统软件采购、实施审计内容：确认系统软件采购的成本控制、安装控制