8 信息统安全审计.ppt

  1. 1、本文档共42页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
8 信息统安全审计

人员使用 对于因工作需要,接触被审计单位商业秘密或国家秘密的人员,是否进行恰当的警示教育。组织中的人员授权使用信息系统或权限变更,是否履行审批手续。是否建立合理的薪酬体系,确保人员稳定。对于违反信息安全规章制度的人员,是否给予必要的处理。 人员离岗 是否制定有关管理规范,严格规范人员离岗过程,及时终止离岗员工的所有访问权限,并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;是否办理严格的调离手续,并承诺调离后的必威体育官网网址义务后方可离职。 人员考核 是否定期对各岗位人员进行安全技能及安全认知的考核;是否建立必威体育官网网址制度;是否定期或不定期的对必威体育官网网址制度执行情况进行检查或考核,并对考核结果进行记录并保存。 查阅岗位安全协议。审查岗位安全责任、违约责任、协议的有效期限和责任人签字等内容的完整性。 访谈人力资源部门,了解在人员录用时有哪些条件要求;了解对被录用人的身份、背景、专业资格和资质的审查情况,必要时应抽查背景调查证明材料;了解对技术人员的技能考核情况;了解与被录用人员必威体育官网网址协议签署情况。 查阅人员录用时的技能考核文档或记录,审查考核内容和考核结果等方面内容记录的完整性。 访谈人力资源部门,询问被审计单位制定了哪些措施来保证信息安全岗位人员稳定,必要时应查看相应制度文档。 查阅被审计单位信息安全的奖惩规定,特别是对违反信息安全规定的惩戒措施;审查信息安全奖惩规定文件的健全性,并注意结合违规惩戒记录抽查结果,判断奖惩措施的执行情况。 访谈人力资源部门,了解对即将离岗人员的安全控制措施。例如,是否及时终止离岗人员的所有访问权限,取回各种证件及软硬件设备等;调离手续包括哪些,是否要求关键岗位人员调离须承诺相关必威体育官网网址义务后方可离开,并注意抽查调离人员在必威体育官网网址承诺的签字情况。 查阅人员离岗的管理文档,审查是否规定了人员调离手续和离岗要求等;是否具有对离岗人员的安全处理记录,如交还身份证件、设备等的登记记录;是否具有按照离职程序办理调离手续的记录。 查阅审查和考核文档和记录,审查是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核;是否有对关键岗位人员特殊的安全考核内容;查看记录日期与考核周期是否一致。 安全技术控制审计有四个方面的审计事项子类:物理环境安全审计、网络安全审计、操作系统安全审计和数据库安全审计。 物理访问的暴露风险来自自然环境,或人为灾害导致的非授权访问或不可用风险,有可能引起组织的财务损失,导致法律诉讼。 环境风险可能来源自然灾害,如闪电、地震、暴雨、洪水等;还可能来自电力故障,设置故障、温湿度、静电等,尤以电力故障、水害水灾的影响最大。 常见的物理环境安全控制措施有很多,比如门锁、电子门锁、生物特征锁、身份识别卡、水灾探测器、灭火器、不间断电源UPS和备份电力系统等等。 物理环境安全审计的主要关注点如下: 是否指定部门负责机房安全,并配备机房安全管理人员对机房的出入、服务器的开关机等工作进行管理; 是否建立机房安全管理制度,对机房物理访问、物品带进带出机房和机房环境安全等方面的管理作出规定; 是否对机房和办公环境实行统一的安全管理策略,对出入人员进行相应级别的授权,并对进入重要安全区域的活动行为实时监视和记录 是否指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理 检查分析机房设计及基础设置配置是否符合相关标准,并能满足实际业务需求。 计算机网络通俗地讲就是由多台计算机(或其他计算机网络设备)通过传输介质和软件物理(或逻辑)连接在一起组成的。总的来说计算机网络的组成基本上包括:计算机、网络操作系统、传输介质(可以是有形的,也可以是无形的,如无线网络的传输介质就是看不见的电磁波)以及相应的应用软件四部分。 ISO指出计算机网络安全是:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。” 计算机网络风险可能源于人为的因素、自然的因素或偶发的因素。人为因素是对计算机信息网络安全威胁最大的因素,比如,一些不法之徒利用计算机网络存在的漏洞,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒,或者潜入计算机房,盗用计算机系统资源等等。 常见的计算机网络安全控制技术有:实时扫描技术、实时监测技术、防火墙安全体系、入侵检测系统、病毒防范系统等等 网络安全审计的主要关注点如下: 是否指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;是否定期对网络设备进行更新,并在更新前对现有的重要文件进行备份; 是否定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时修补; 是否保证所有与外部系统的连接均得到授权和批准。 操作系统(Operating System,简称OS)是管理电脑

文档评论(0)

qiwqpu54 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档