信息系统审计的CIA风险评估方法与应用.pdfVIP

财会信息化 F.田忧é Äc埠1111啕 信息系统审计的 CIA风险评估方法与应用 丁建平醉愤新匾 带来非常严重的不良影响. 随着信息化的推进，组织业务处 建立CIA 凤险评估标准，执行情 息资产保密性、完整性和可用性的评 (2) 建立CIA 凤险评估模型 理对倍息系统依赖性日益增强，信息 佑，根据资产保围性、完整性或可用性 系统的 CIA 凤险是保磁性、宪整 系统的多腰次化、大型化、应用多样化 及网络化趋势，使得信息系统风险成 遭到损富的潜在影响、可能性及已有 性和可用性三个要素与遭到破坏的可 为业务系统风险的震要来源.特别是 控制措施，计算风险等姐，从而判定由 能性的综合，因此，系统凤险囱如下四 1991 年英国国家科学基金会例如)取 个因素构成: 于信息安全失败可能引起的业务损害. 消了互联网不允许商业活动的限制以 ( 1) 建立CIA 风险评估标准 ①保黯性遭到砸坏的程度及造成 盾，越来越多的公司、企业、银行和个 ①保密性评估标准 的后果(x嚣。， 1, 2 , 3) 无:信息的米搜权披露不会对企 人进入了互联网锚，信息资源的共事 @完整性遭到破坏的程度及造成 的后果(y叶， 2， 3) 业产生不良影响. 和传输带来了传统经济模式的革命， 但是信息的扇扩散特性也使得风险盟 一般:信息的未授权披睡会对企 @可用性遭到破坏的程度及造成 密局扩散.因此，对于金融、物流、 i盟 业产生有限的不良影响. 的后果(z= 1. 2 , 3) 信等IT 资产自集型行业而言I IT 系统 高:信息的米搜权披露会对企业 @遭到砸坏的可能性 的风险评估及预防与控制成为一个日 产生撒大不良影响. 威胁是可能诲成信息资产损坏的 趟嚣蟹的课姐. 很高:信息的未授权披露会对企 不期望事件的发生，是利用脆弱性来 造成厨果的.脆弱性是与馆息资产萌 业产生非常严攘的不良影响. -、倍思安金凤险评估方法与 @究黯性评估标准 关的弱点就安全隐患.对资保护的情 CIA凤险模型 一般:信息的米攒权修改或破坏 息资产避行脆弱性分析，包括系统可 根据倍思凤险的概念，笔者设计 可能造成企业有限的损失(财务、法律 能被威胁利用并导敖不期理结果的漏 了凤险评估方法与评估模型，主要包 就各誉为丽) 0