职责和遵循书面的程序处罚程序IT审计培训-IntosaiCommunityPortal.PPT

IT 安全 第 7节 人员安全 介绍 岗位定义和资源配置的安全 减少人为错误、盗窃、舞弊或滥用设备的风险 用户培训 确保用户对安全威胁的关注，并做好准备 对安全事件的响应 减少安全事件和故障，监控事件，并总结经验教训 人员安全政策 书面的人员安全政策 涉及目标、范围、任务、职责和遵循 书面的程序 处罚程序 工作定义的安全 包括安全工作的职责 岗位风险的确定和选拨人员的标准 保密协议 聘用条件 工作安全的职责 记录安全任务和责任 应包括一般责任和具体责任 人员选拨和政策 品格的证明文件 学术和专业资格 身份的审查 信用的审查 临时人员和合同商的审查 人员的监督指导 保密协议 签署保密协议 检查保密协议 聘用条件 聘用的条件包括： 信息安全的职责 违反安全需求的措施 法律责任和权利 人员轮岗和终止 程序的充分和有效 IS 访问终止/ 重新授权 系统有关财物的归还/冻结 对解聘人员或轮岗人员所创建的记录的访问 用户培训 对所有员工进行培训 培训包括： 安全需求 法律责任 业务控制 处理设施的使用 事件的响应 安全事件的报告 安全弱点的报告 软件故障的报告 从错误中总结经验教训 处罚程序 安全事件和弱点的报告 通过管理渠道上报安全事件 事件响应程序 反馈程序 弱点的报告 不要试图证明可疑的弱点 软件故障的报告 关注错误信息 计算机的隔离 向IT安全主管报告 员工不要采取纠正软件的措施 事件的后续行动 监控事件的类型、大小和成本 违反安全的处罚程序 总结 岗位安全的定义 岗位职责、人员选拨 、保密协议 用户培训 安全事件的响应 事件、弱点和故障的报告 事件的经验教训 处罚程序 IT 审计 培训 IT 安全 : S7/ * 2007,3 Page * IT 审计 培训 IT 安全 : S7/ * 2007,3