信息系统风险管理和持续性计划 .pptx

信息系统审计（信息系统风险管理和持续性计划） 杨 烺 （CISA）国际注册信息系统审计师主要内容：信息系统的风险信息系统运行的安全控制物理控制与环境控制逻辑访问控制网络控制持续性计划（灾难恢复计划）信息系统的应用控制1.信息系统的风险风险的概念：风险是发生某种威胁使资产损失或破坏的潜在可能。风险的概念包括以下内容：威胁、薄弱点、处理过程或资产；对资产基于威胁和薄弱点的影响；袭击的可能性。 风险审计管理过程信息系统资产信息和数据硬件软件服务文档人员另外还有一些需要考虑的传统资产包括：建筑物、存货、资金和无形资产等。信息的潜在威胁错误恶意破坏欺诈盗窃软硬件故障信息系统的薄弱点用户缺乏知识缺乏安全措施口令缺少变化未经测试的技术无保护的数据传输9、我们的市场行为主要的导向因素，第一个是市场需求的导向，第二个是技术进步的导向，第三大导向是竞争对手的行为导向。10、市场销售中最重要的字就是“问”。11、现今，每个人都在谈论着创意，坦白讲，我害怕我们会假创意之名犯下一切过失。12、在购买时，你可以用任何语言；但在销售时，你必须使用购买者的语言。13、He who seize the right moment, is the right man.谁把握机遇，谁就心想事成。14、市场营销观念：目标市场，顾客需求，协调市场营销，通过满足消费者需求来创造利润。15、我就像一个厨师，喜欢品尝食物。如果不好吃，我就不要它。16、我总是站在顾客的角度看待即将推出的产品或服务，因为我就是顾客。17、利人为利已的根基，市场营销上老是为自己着想，而不顾及到他人，他人也不会顾及你。威胁一旦发生所造成的影响直接的经济损失违反法律名誉声望受损员工或客户受到威胁信心受损商业机会的损失经营效率与性能的降低商业经营中断。 整体风险整体风险是对企业风险的整体评价，通常做法是：∑影响×可能性 剩余风险 剩余风险是采用控制以后所遗留的风险水平。 管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。2.信息系统运行的控制控制的基本概念物理控制与环境控制逻辑访问控制网络控制与互联网的使用控制的基本概念控制是为实现企业目标，避免、检查、纠正不受欢迎事件发生提供合理担保的政策、措施和组织结构。控制目标是通过实施控制过程要达到的目的或结果。一些信息系统控制目标：到目前为止自动系统上的数据一直被正确的处理和保存，从而处于安全状态。每项操作都经过授权，并且只处理一次。所有的操作都有记录，并且都是在正确的时间段进行的。所有的拒绝操作都有报告。重复操作有报告文件都经过充分备份，以备正确的恢复。对软件的所有变动都经核实，并进行了测试。预防性控制 作用：检查发现未发生的问题；监督操作和输入；在问题发生之前及时预测和调整；避免错误、疏漏和欺诈行为的发生。信息系统中常见的预防性控制 只雇佣经过良好训练，具备任职资格的人员；职责分离；对接触或访问各种物理设备进行控制；使用设计规范的文档；建立适当的交接授权过程；程序化的编辑检查；使用访问控制软件，只有获得授权的人员才能访问敏感文件。发现性控制 用于检测发生的错误、遗漏或者欺诈、作弊行为，并就当前状态作出汇报。信息系统中常见的发现性控制有：哈西总数（hash totals）；生产过程中的检测点（check points）；远程通信中的回叫（echo）控制；重复的计算检查；定期报告各种变化和不一致；内部审计职能。 纠正控制 纠正控制的作用包括：降低威胁的影响；对发现的问题进行补救；确认问题的原因；修正已发问题引起的错误；修改处理系统，降低将来再次发生问题的可能性。信息系统中常见的纠正控制包括：意外事故计划；备份过程；系统重启过程。综合控制与应用控制综合控制是对组织各部门设计、安全、使用计算机程序的总体上的控制。应用控制是各个计算机应用程序中的特别的控制。 综合控制是最低水平的控制。综合信息技术控制形成了一个整体控制信息技术行为和确保整体控制目标的框架。在此基础上可以进一步增加应用控制。综合控制与应用控制信息系统的综合控制 综合信息技术控制主要关注企业的信息技术基础，包括任何与信息技术相关的政策、过程和工作实践。他们并不针对某一特别的交易流或财务应用系统。大多数情况下，综合控制的元素主要集中在信息技术部门或相似部门。综合控制主要包括以下几类：组织和管理（高水平的信息技术政策和标准）；职责分离；物理控制（接触与环境控制）；逻辑访问控制；系统开发和程序修改；对计算机人员（包括程序员、系统分析员和计算机操作人员）的控制（包括内部和外部信息技术服务）；确保计算机系统可用性的控制；对最终用户计算的控制。应用控制 应用控制特别针对某个应用系统，并对交易事务的处理产生直接的影响。这些控制用于确保所有交易均是合法的，经过授权，并被记录下来。由于应用控