十三章会计信息系统安全风险管理学习资料.pptVIP

业务可持续计划是为了防止正常业务行为的中断而被建立的计划。 灾难恢复计划是在对灾难发生前后和期间内所采取的所有行动的综合说明，也包括能够确保运行继续的、以文件规定的、进过测试的应急程序。 BCP强调使关键业务经得起不同的意外事件的影响 DRP强调对于灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取的行为和措施。 定义 业务持续计划（BCP）过程包含： 1.范围和计划的初始化； 2.业务影响分析(BIA –Business Impact Assessment) ； 3.制订业务持续计划； 4.业务持续计划的批准和执行； 业务持续计划（BCP）过程 灾难恢复计划（DRP）过程包含： 建立灾难恢复计划； 测试灾难恢复计划； 灾难恢复计划程序 灾难恢复（DRP）过程 灾难恢复和业务持续计划最容易被忽视的方面就是计划测试。 测试十分重要，计划测试可以衡量人员的准备情况，发现计划中的纰漏和瓶颈状况。 干扰模拟测试在突击进行的情况下，测试效果最为显著。 在宣布模拟开始后，所有受其影响的处理状态均应加以记录，为以后的评估提供基准。 在经济允许的范围内，计划应尽可能充分地被检测，测试应该包括备份设备和备份支持材料。 测试过程中，应注意关键点计划的进展情况。 测试完成后，应编制计划执行报告，作为管理层决定是否修改计划或是安排额外的测试依据。 灾难恢复和业务持续计划测试 业务可持续计划是为了防止正常业务行为的中断而被建立的计划。 灾难恢复计划是在对灾难发生前后和期间内所采取的所有行动的综合说明，也包括能够确保运行继续的、以文件规定的、进过测试的应急程序。 尽管每个计划的细节针对不同公司的要求会有不同，但所有可行的计划都具有共同的特点。 提供第二现场备份 确认关键应用程序 执行备份和非现场存储程序 建立计划小组 测试计划 灾难恢复和业务持续计划测试 计划的管理和审计 计划的管理和审计目标是检查公司制定的灾难恢复和业务持续计划是否适应公司的要求，其实施是否可行、有效。 审计程序包括 第二现场备份审计 关键应用程序清单审计 备份关键应用程序审计 备份关键数据文件审计 备份相关支持材料、源文件和文档管理审计 计划小组工作审计 灾难恢复和业务持续计划测试 信息系统控制标准 COBIT--Control Objectives for Information and related Technology，是一个由信息系统审计与控制学会ISACA（Information Systems Audit and Control Association）在1996年所公布的业界标准，目前已经更新至COBIT4.1，是国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。 COBIT IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。 IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象。 IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织PO（Planning Organization）、获取与实施AI（Acquisition Implementation）、交付与支持DS（Delivery and Support）、监控Monitoring等四个方面确定了34个信息技术处理过程 COBIT标准的主要目的是为提供业界提供关于IT控制的一个清楚的政策和发展的良好的典范 。 COBIT框架的组成部分 管理指导方针（Management Guidelines） 管理者摘要（Executive Summary） 框架（Framework） 审计指导方针（Audit Guidelines） 控制目标（Control Objectives） 应用工具集（Implementation Tool Set） 信息系统控制标准 BS7799 BS7799是英国标准协会（BSI）于1995年2月提出的《信息安全管理标准》，该标准分别于1995年5月和1999年重新进行了修订。 标准主要包括2个部分：1.BS7799-1，信息安全管理的操作规则；2.BS7799-2，信息安全管理体系规范。 第一部分主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全； 第二部分详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。 信息系统控制标准 ISO/IEC17799 英国标准协会（BSI）制订并于1999年修订的《信息安全管理标准》BS7799的一部分已经在2000末被采纳为国际标