审计安全信息有哪些/信息系统的安全风险审计策略及存在的问题(审计范文).doc_手把手教渗透笔记
论文范文《信息系统的安全风险审计策略及存在的问题》Word格式,可编辑,含目录精心整理,放心阅读,欢迎下载!文档信息文档编号:文-(自定义文件编号)文档名称:信息系统的安全风险审计策略及存在的问题.doc文档格式:Word(*.doc,可编辑)文档字数:2058字,(不统计页头页脚及版权声明等文字)文档适用:作为会计审计、审计论文科目,编写学士学位论文、本科毕业论文或发表期刊、评初级职称的参考文献;可作写作参考,解决学术论文怎么写及格式等相关问题。文档仅供学习交流,请勿商用。信息系统的安全风险审计策略及存在的问题目录一、信息系统所面临的安全风险(一)开发过程(二)运营维护过程(三)操作过程(四)系统软件的安全风险二、信息系统安全审计策略(一)针对开发过程中的风险1.明确开发人员的职责分工:由于软件开发项目都较为复杂2.完善软件开发文档的建设工作:通过质量保障计划3.持续监督系统的开发过程:完善增量开发过程中的需求文档的记录和...(二)针对运营维护过程中所产生的风险(三)针对操作层面的风险1.员工权限的分配是否实现职责分离:是否考虑不相容的岗位职责的分...2.员工密码的安全性:通过调查问卷等方式检查员工是否定期更换密码...3.制定企业的安全策略:对于调岗人员1.定期检查公司的软件配套情况:检查服务器中的软件配置情况2.定期更新杀毒软件:检查计算机的系统日志,确定是否定期更新杀毒...3.持续监督:通过对用户的访问和操作进行检测审计三、开展信息系统审计存在的问题(一)审计目标不明确(二)专业人员紧缺(三)审计标准不明确正文信息系统的安全风险、审计策略及存在的问题论文近年来,企业的信息化论文联盟水平快速发展,在为公司管理带来方便的同时,也带来了许多的安全问题,不仅有来互联网的攻击,与此同时,设计的缺陷、操作问题等也给舞弊人员提供了舞弊的机会。
拟从信息系统所面临的安全风险、信息系统安全审计的策略和开展信息系统审计存在的问题三个方面进行阐述。信息系统安全审计审计策略安全风险一、信息系统所面临的安全风险(一)开发过程随着业务的不断发展,越来越多的IT系统取代了传统的业务工作,系统的故障直接影响系统的运行能力,导致业务的全面中断。由于开发人员大都拥有较高的权限和技术水平,如果其在未经过充分测试和授权的情况下任意进行系统更新操作,很可能出现系统崩溃。(二)运营维护过程随着专业化分工的不断细化,很多企业将系统的维护分包给专业的第三方机构,尤其是在大中型企业及单位中,由于委托方人员的水平良莠不齐,加之企业无法对这些人员进行直接控制,难免出现受托方人员利用权限进入业务系统数据库对数据进行修改。(三)操作过程操作人员的权限是信息系统控制的一个重要环节。操作人员对系统安全的影响分为两个方面:一是部分操作人员被授予较大的权限,而这些权限又是不能相互兼容的,那么很可能为操作人员提供舞弊的机会。二是部分操作人员滥用权限,将自己的密码或者口令告知他人,间接地为舞弊者提供机会。毕业论文(四)系统软件的安全风险现在的企业不仅拥有局域网,而且会为员工提供接入互联网的机会,间接地对企业信息安全产生影响。
如果员工随意安装或者更新软件,很可能将隐藏木马、后门等病毒带入个人计算机中,极可能将病毒传送到其他电脑中,进而使整个系统面临危险。二、信息系统安全审计策略(一)针对开发过程中的风险1.明确开发人员的职责分工:由于软件开发项目都较为复杂,通过对人员的职责分工等达到相互制约的目的,如设置软件系统需求分析员、软件架构设计师、编程人员、软件质量保障工程师、测试工程师,通过共同协作,达到有效开发系统的目的。审计人员通过查看职责分工情况,确定开发过程是否实现有效的分工,并得到有效控制。2.完善软件开发文档的建设工作:通过质量保障计划,实施全过程质量审核,包括需求审核、设计复核、代码走查等工作,减少由于设计人员造成的人为错误,提高产品质量。审计人员可以通过委托外部机构协助,测试设计的安全性和有效性。3.持续监督系统的开发过程:完善增量开发过程中的需求文档的记录和规定工作,在实施增量开发过程中,要明确客户的需求,确保系统的兼容性,数据的安全性、完整性和可靠性。由于审计人员可能不具备系统方面的专业知识,可以考虑将相关的审计工作外包给其他单毕业论文(二)针对运营维护过程中所产生的风险许多企业将运营维护工作外包给其他专业机构,由于其专业化水平较高,一定程度上可以减少运营风险,及时有效地解决操作中出现的问题。
但是对其进行持续监督还是必要的,建议审计部通过增加对运营维护机构的审计权限并适当地安排审计活动,减少维护人员舞弊的机会,避免给企业的系统带来安全危害。(三)针对操作层面的风险1.员工权限的分配是否实现职责分离:是否考虑不相容的岗位职责的分离?如申请和批准采购、验收与入库、付款与审批等工作是否由不同的人员进行操作。对于重要的岗位三个月复核一次权限设置情况,对于非关键岗位权限设置可以每半年复核一次。2.员工密码的安全性:通过调查问卷等方式检查员工是否定期更换密码?密码的长度是否符合安全策略?通过定期检查用户密码的更新情况,并设置功能提醒用户定期更新密码。3.制定企业的安全策略:对于调岗人员,及时收回其权限,并授予新的权限,防止在此阶段提供舞弊机毕业论文会;对于离职人员,尽早收回权限,避免其利用已获悉的信息牟利,给企业信息安全带来巨大的风险;对于新增的功能需求,要进行系统的分析,考虑对信息系统安全性的影响。1.定期检查公司的软件配套情况:检查服务器中的软件配置情况,查看是否为正版软件;通过检查个人计算中的软件,发现是否存在使用盗版软件的情况;检查系统的日志,确定软件的更新是否得到授2.定期更新杀毒软件:检查计算机的系统日志,确定是否定期更新杀毒软件;并对涉密的计算机的使用策略进行审计。
3.持续监督:通过对用户的访问和操作进行检测审计,了解各个主机的使用情况,确定主机接入的合法性,持续监控对外部网路的连接和访问。三、开展信息系统审计存在的问题(一)审计目标不明确(二)专业人员紧缺开展安全审计不仅需要审计人员了解审计方法和审计程序,而且需要在计算机理论知识、实际操作、系统开发等方面具有较高的能力,但从目前审计部的人员数量和知识结构来看,还是无法达到审计工作目标要求。(三)审计标准不明确由于信息系统安全审计还是一个比较新兴的审计领域,信息系统安全性审计程序和审计方法的选择仍是一个难点。而且对于具体的审计依据和操作流程没有明确规定,可操作性不强,所需要的专业判断比较多,需要审计人员具有较高的业务水平和综合素质。“信息系统的安全风险审计策略及存在的问题”文档源于网络,本人编辑整理。本着保护作者知识产权的原则,仅供学习交流,请勿商用。如有侵犯作者权益,请作者留言或者发站内信息联系本人,我将尽快删除。谢谢您的阅读与下载!
~
网络安全学习,我们一起交流
~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
