识别第三方访问的安全第三方合同的安全需求IT审计培训-Intosai.PPT

IT 安全 第 5节 组织安全 组织安全 信息安全结构 管理组织内的信息安全 第三方访问的安全 维护第三方访问的组织信息处理设施的安全 外包 维护外包处理的信息安全 IS 结构 管理IS论坛 IS协调 职责的分配 处理设施的授权 专家的安全建议 组织间的协作 独立检查 管理 IS 论坛 为确保明确的方向和支持 这样的论坛负责: 政策和全面职责的检查和批准 安全事件的检查和监控 增强安全的重大举措的审批 由一名主管负责全部的安全活动 IS 协调 跨部门的论坛管理职责 主要作用是: 批准具体角色和职责 批准具体方法和程序 批准和支持安全倡议 具体控制的协调实施 检查安全事件 提高IS业务支持的可见性 职责的分配 资产的保护职责 主管可以委派职现，但仍对IT资产负最终责任 职责分配应包括: 与单个系统有关的资产和安全程序的定义 批复每项资产和安全程序的管理人员 明确地界定授权等级 处理的授权 应建立新处理设施的管理授权程序 后续控制应考虑： 新设施应有适当的用户管理批复 对硬件和软件进行检查，以确保与其它系统的兼容性 使用个人处理设施处理业务信息应加以控制 对在工作场所使用个人处理设施进行授权 专家的安全建议 由内部安全顾问或 外部专家提供安全建议 评估安全威胁的顾问和控制建议 访问组织全面管理的顾问 就以下安全事件向顾问进行咨询 组织间的协作 与执法部门、监管机构、信息服务供应商的联系 安全组织或论坛的成员 限制安全信息的交流 独立检查 对信息安全的实施进行独立检查 检查由内部审计、独立的管理人员或第三方组织进行 第三方访问的安全 保持第三方访问的信息处理设施的安全性 第三方访问的安全应包括： 识别第三方访问的安全 第三方合同的安全需求 访问风险的识别 识别访问的类型 对计算机房和文件柜的物理访问 数据库的逻辑访问 识别访问的原因 硬件和软件支持人员 培训参与人员 只有签署和实施控制之后，才能进行第三方的访问 合同的安全需求 合同条款包括: 保护资产的程序 服务的描述 合同各方的义务 知识产权 访问控制协议 对合同职责进行审计的权利 安全事件的通告和调查 与硬件和软件有关的职责 安全培训 外包 当处理职责外包时，维护信息的安全 外包管理应涉及信息系统和网络的风险、安全控制和程序 在IT控制模块中进行深入讨论 总结 IS的组织结构包括： 管理论坛、安全建议、协调和独立检查 第三方访问的安全 外包的安全问题 IT 审计 培训 IT 安全 : S5/ * 2007,3 Page * IT 审计 培训 IT 安全 : S5/ * 2007,3