逻辑安全 信息系统审计培训教材.pdfVIP

逻辑安全控制 1 知识要点 1. 信息安全 2. 控制目标 3. 风险和审计方法 1. 系统安全配置 2. 网络安全设置 3. 特权用户权限 4. 关键资源及使用安全 5. 用户访问授权 6. 职责分离 4. 物理、环境安全 2 1 1. 信息安全 3 信息安全目标 保证信息系统的持续可用性 保证储存在计算机系统上的信息的完整性 保护敏感信息在存储和传输过程中的机密性 遵守保护个人数据隐私的责任和义务 保证符合法律、法规的要求 4 2 信息安全管理的关键因素 高级管理层的承诺与支持 信息安全政策与程序 –本质上说是描述组织具有重要信息资 产，说明资产的保护计划 –分为两个层次 ：信息安全方针和具体的 信息安全策略 –安全意识和教育 5 2. 控制目标 6 3 控制目标 逻辑访问安全控制的总体 目标： 确定只有经过授权的人员和授权的应用能访问相关的 数据及应用程序 （包括程序，表及相关的资源）， 并且只能进行通过明确授权的操作 （例如：查询，执 行，更新） 作为IT一般控制的一个部分，测试逻辑访问目标： 确认在增加、更新、删除及限制用户对关键数据的 访问过程中是否存在足够的控制 同时还要恰当限制操作系统层面以及数据库层面对 这些业务，数据的访问。 7 控制目标 （续） 通常情况下，我们并不能明 地 定那些通过 软件对关键数据地访问是否恰当地被限制或者 隔离。因此，我们会实施特定的对访问或者隔 离的测试作为应用程序控制测试的一部分。 逻辑访问安全 应用 IT 一般控制 控制 8 4 3. 风险和审计方法 9 逻辑安全控制关注点 系统安全配置 特权用户权限 关键资源及使用安全 关注 用户访问授权 不相容 责分离 10 5 风险 系统安全配置 ß不适当的系统 置可能导致未经授权的访问 网络安全 控制 特权用户权限 定配置基准、配置测试、配置定期检查 关键资源使用 测试方法 确认存在适当基准制度以及基准的是否达到安全要求 用户访问授权 实地查看系统设置，确认符合性 评估系统设置是否足够安全 职责分离 11 系统安全配置 应用系统层面安全配置 数据库层面安全配置