信息系统审计（信息系统风险管理和持续性计划）.pdf

信息系统审计 信息系统审计 （信息系统风险管理和持续性计划） （信息系统风险管理和持续性计划） 杨 烺 （CISA） 国际注册信息系统审计师 1 主要内容： • 信息系统的风险 • 信息系统运行的安全控制 – 物理控制与环境控制 – 逻辑访问控制 – 网络控制 • 持续性计划 （灾难恢复计划） • 信息系统的应用控制 2 1.信息系统的风险 风险的概念：风险是发生某种威胁使资产损失或破坏的 潜在可能。 风险的概念包括以下内容： • 威胁、薄弱点、处理过程或资产； • 对资产基于威胁和薄弱点的影响； • 袭击的可能性。 3 风险审计管理过程 第一步 第二步 第三步 第四步 确认信息 潜在威胁 确认和评估 获得具有成本效益 系统资产 与影响 安全措施 的控制对策 4 信息系统资产 • 信息和数据 • 硬件 • 软件 • 服务 • 文档 • 人员 另外还有一些需要考虑的传统资产包括：建筑物、 存货、资金和无形资产等。 5 信息的潜在威胁 • 错误 • 恶意破坏 • 欺诈 • 盗窃 • 软硬件故障 6 信息系统的薄弱点 • 用户缺乏知识 • 缺乏安全措施 • 口令缺少变化 • 未经测试的技术 • 无保护的数据传输 7 威胁一旦发生所造成的影响 • 直接的经济损失 • 违反法律 • 名誉声望受损 • 员工或客户受到威胁 • 信心受损 • 商业机会的损失 • 经营效率与性能的降低 • 商业经营中断。 8 整体风险 整体风险是对企业风险的整体评价，通常 做法是： ∑影响×可能性 9 剩余风险 剩余风险是采用控制以后所遗留的风 险水平。 管理人员使用剩余风险确认某些地方 是否需要更多的控制措施以进一步降低 风险。