IT安全第10节遵从IT审计培训_IntosaiCommunityPortal.pptVIP

IT 审计 培训 IT 安全 : S9/ * 2007,3 IT 审计 培训 IT 安全 : S9/ * 2007,3 IT 安全 第 10节 遵从 介绍 合法性 避免违反法律、规定和合同 安全策略和遵从情况的检查 确保符合组织安全策略的要求 系统审计考虑 尽可能取得最大效益，并使系统审计过程的影响最小化 合法性 确定适用的法律 知识产权 组织记录的保护 数据的保护和个人信息的保密 防止对信息处理设施的滥用 密码控制的规则 证据的收集 知识产权 版权 确保材料所涉及的版权符合法律的限制 违法会导致法律诉讼 资料复制的限制 软件版权 发布软件版权政策 发布获取软件的标准 保护版权政策的意识 保持资产的登记 保管所有权许可的证明和证据 实施控制，确保未超过所允许的最大用户数 软件版权 执行检查，只有授权的软件产品才能安装 制定政策来维护适当的许可状态 制定软件或其它产品处置或转让的策略 运用适当的审计工具 遵守从公共网络上获取的软件和信息的使用条款 记录的保护 记录需要加以保护以满足法定要求 对记录进行分类 说明记录的保存期限和存放方式 按照厂家的建议进行存放 确保对电子信息的访问 庭审可接受的证据 记录的保护 记录的销毁 存诸、处理等的指引 密钥 密钥信息源的清点 数据保护和隐私 处理和传输个人数据的法律要求 数据保护人员的任命 数据保护人员的信息 防止信息处理设施的滥用 信息处理设施的滥用 处罚措施 过程的监控 访问范围的确认 告警信息 加密的规则 法律、规定的制度 硬件和软件的进出口 对加密信息的强制访问和自由裁量 法律建议 证据的收集 符合法律要求的证据 证据的可接受性 证据的质量和完整性 纸质文档 – 原件的安全 电子介质 – 复制过程的记录 安全策略和技术符合性的检查 与安全策略的符合性 定期检查，以确保符合性 涉及信息系统、系统供应商、信息和资产所有者、用户和管理层 技术符合性的检查 确保硬件和软件的控制措施已得到正确的实施 需要技术专家的建议 渗透测试 系统审计考虑 系统审计控制 审计需求和审计范围的批准 仅限只读访问 审计资源的识别 访问的监控以及所有过程和需求的记录 系统审计工具的保护 总结 合法性 版权、数据的保护、隐私、证据、信息处理设施的滥用 安全策略和符合性的检查 符合安全策略 技术符合性检查 系统审计考虑 系统审计控制 系统审计工具的保护 知识回顾Knowledge Review Page * IT 审计 培训 IT 安全 : S9/ * 2007,3 IT 审计 培训 IT 安全 : S9/ * 2007,3