信息技术风险.pdf

科技与信息安全咨询服务 信息 技与内部控制介绍 安永中国科技与信息安全咨询服务部合伙人 冼嘉乐 2006年8 月7 日 www.TopS ˛ 信息技术风险 ˛ IT 内部控制构架 内容 ˛ IT 内部控制 ˛ IT 内部控制的常见问题 www.TopS 信息技术风险 信息技术风险 为什么需要考虑信息技术风险？ ß信息系统广泛应用于日常交易处理中,是整个涉及财务报表的 交易流程的重要组成部分，它影响财务数据的一致性、完整 性和准确性。 ß 管理层在进行决策时所依据的数据很大部分来源于信息系统 产生的原始数据。 ß信息系统自身的有效性、完整性对财务报表的结清与报告过 程来说是至关重要的。 www.TopS 信息技术风险 信息技术风险 为什么需要考虑信息技术风险？ ß监管要求的合规性 ÿ索克斯法案404 ÿ中国银监会的网上银行安全指引 ß名誉风险 ÿ通过系统 生的舞弊 ÿ系统 生问题而影响到客户服务 www.TopS 信息技术风险 信息技术风险 信息技术风险原则 ß 保密性 ß 完整性 ß 可用性 www.TopS 信息技术风险 信息技术风险 保密性(Confidentiality) 信息的保密 ß 保密性定义为保障信息仅仅为那些被授权使 用的人获取 ß 达到这一目标依赖于: ÿ 信息系统安全 www.TopS 信息技术风险 信息技术风险 完整性(Integrity) 信息的完整性 ß 完整性定义为保护信息及其处理方法的准确性 ß 信息完整性一方面是指信息在利用、传输、储存等过程中不被篡 改、丢失、缺损等，另一方面是指信息处理的方法的正确性。不 正当的操作，如误删除文件，有可能造成重要文件的丢失 ß 实现这一目标依赖于: ÿ 信息安全控制 ÿ 应用系统控制 ÿ 终端用户培训 www.TopS 信息技术风险 信息技术风险 可用性(Availability) 信息的可用性 ß 可用性定义为保障授权使用人在需要时可以获取信息 ß 信息的可用性是指信息及相关的信息资产在授权人需要的时 候，可以立即获得。例如通 线路中断故障会造成信息的在 一段时间内不可用，影响正常的商业运作，这是信息可用性 的破坏 ß 实现这一目标依赖于: ÿ备份与恢复 ÿ业务持 运行计划 www.TopS 信息技术风险 信息技术风险 Confidentiality Integrity Availability C I A www.TopS 信息技术风险 信息技术风险 www.TopS 信息技术风险 信息技术风险