内部风险管理.pdfVIP

内部风险管理 内部风险管理 由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的 ACFE 的记录，企业每年因诈骗而受到的损失大约在 6520 亿美元。不幸的是，内部威胁不只是 诈骗，还要考虑到怠工，懒散，人为误差和外部的利用。如果你还没有认真审视过你的组 织内部的威胁管理，那么现在就应该看看了。 数据结构和影响 组织内部的威胁控制的执行过程，要以把重要信息按照影响级别分为机密性，完整性 和可用性。 风险管理：数据结构和影响分析 基线管理与控制 影响类别的基线控制标准可以分为高、中、低控件附录的基线。一些情况下，基线控 件是程序化与技术化相对的（比如，存储加密和密钥状态下的敏感文件，同时使用跨削减 碎纸机（cross-cut shredder）来处理这些文件 ）。知情人员熟悉内部控件，就可以找 到一种方法，进入某个单一控件或执行较差的控件。尤其要注意其后的控制类型。副标题 简介 风险管理：基线管理与控制 风险管理：基线控制的执行 风险管理审计 TT 安全技术专题之“内部风险管理” Page 2 of 12 了确保敏感数据和宝贵资产得到适当的保护，需要风险管理审计功能。仔细检查哪些 人有权访问敏感数据，以及这些访问是否恰当。审计功能也应该可以监控系统和内部人 员，以检测非法活动。审查审计跟踪，以寻找安全事件和滥用权限。核实目录许可，薪金 控制和会计系统配置。确保备份软件得到合适配置，并备份无误。在完全开放的允许下存 储审查敏感信息的网络共享部分。进行办公场所的审查，以确定安全策略和程序在实际中 是否得到遵守。 风险管理审计 风险管理参考文献 这一部分提供了内部风险管理的一些参考文献。 风险管理参考文献 TT 安全技术专题之“内部风险管理” Page 3 of 12 风险管理：数据结构和影响分析 由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的 ACFE 的记录，企业每年因诈骗而受到的损失大约在 6520 亿美元。不幸的是，内部威胁不只是 诈骗，还要考虑到怠工，懒散，人为误差和外部的利用。如果你还没有认真审视过你的组 织内部的威胁管理，那么现在就应该看看了。 组织内部的威胁控制的执行过程，要以把重要信息按照影响级别分为机密性，完整性 和可用性。NIST SP 800-60 提供了信息类别和影响解析的例子。 数据类型 机密性 完整性 可用性 商业机密 高 高 中 人力资源 高 中 低