会计信息系统第10章 信息系统安全与控制的体系.ppt

第十章 信息系统安全与控制体系Security Controls for Information System QA 二、针对主动威胁可实施的控制（6） （三）文件存取控制 文件存储控制是分层控制的最后一层，它的目的是阻止对数据和程序文件的未经授权的访问。 最基本的文件存取控制是针对文件访问和修改来建立一套授权模式和控制程序 。 在没有书面批准的情况下，任何程序设计人员均不得访问公司任何计算机文件。操作员和监管员应该被告之在没有书面批准的情况下不接受程序员的任何指示。甚至已授权的程序变更在没有书面批准的情况下也不能实施。对任何程序的改动都不能直接在原程序上进行，而必须在原程序的副本上进行正确的授权改动。 二、针对主动威胁可实施的控制（7） （三）文件存取控制（续） 所有重要的程序都必须“上锁”，这意味着对这些程序不能阅读，更不能修改，只能被调用执行。只有安全部门才知道如何给这些程序“解锁”。 程序也可以像电子信息一样使用数字签名，这样既可以准确地辨别程序的来源，又可以验证程序是否被修改过。 除此之外，还有一种文件存取控制的有效办法，即安装一个常驻内存程序让它来动态检查染毒或文件修改的情况，一旦有异常，该程序会自动弹出提示窗口告诉用户加以注意，或者会直接禁止非法的文件存取。 三、针对被动威胁可实施的控制 被动威胁包括供电系统和硬件系统的故障。对此类问题的控制包括预防和修正两个方面。有关内容可以参考灾难风险管理部分。 四、IT过程控制体系（1） 信息安全管理正在逐步受到企业的重视，加强信息安全管理被普遍认为是解决信息系统安全问题的重要途径。而要切实做好信息安全管理工作，权威的信息系统控制标准是至关重要的。COBIT提供了一个比较科学、比较完善的IT过程控制体系。 COBIT的全称是Control Objectives for Information and related Technology，它是由信息系统审计与控制协会（Information System Audit and Control Assosiciation，ISACA）在1996年公布的业界标准，2002年7月，该协会又发布了COBIT第三版，这是迄今为止国际上公认的最先进、最具权威性的安全与信息技术管理和控制的标准。 四、IT过程控制体系（2） COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构，如图11-2所示。 COBIT三维体系模型示意图 四、IT过程控制体系（4） 这个模型为企业管理的成功提供了集成的IT 管理，通过保证有关企业处理过程的高效的改进措施，可以更快、更安全、更好地响应企业需求，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。 IT准则维集中反映了企业的战略目标，从质量、成本、时间、资源利用率、系统效率、必威体育官网网址性、完整性、可用性等方面来保证信息的安全性、可靠性和有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象； 四、IT过程控制体系（5） IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、获得与实施、传递与支持、监控等四个方面确定了34个信息技术处理过程（参见表11-5）。 每个阶段又细分为多个关键控制点，总共有34个控制程序，每个控制程序又明确了相应的控制目标，所有34个IT过程共包含了302个控制目标，这些控制目标为IT控制提供了一个用来明晰策略和良好的实施知道的关键方针。 对信息系统的评价就是针对这34个关键控制点和302个控制目标的达成情况来进行的。 AI6 相关变动的管理 AI5 安装系统及授权 M4 为独立审计提供条件 AI4 规划和维护IT程序 M3 获取外部的独立保证 AI3 购买和维护硬件 M2 评估内部控制的充分性 AI2 购买和维护应用软件 M1 过程的监控 AI1 确定解决方案 4、监控 （Monitoring） 2、获得与实施 （Acquisition and Implementation DS13 运行管理 DS12 设施管理 DS11 数据管理 PO11 质量管理 DS10 问题和意外事件管理 P010 项目管理 DS9 配置管理 PO9 风险评估 DS8 对IT顾客的协助和建议 PO8 确保与外部需求的一致性 DS7 终端用户的教育与培训 PO7 人力资源管理 DS6 区分和归属成本 PO6 管理目标与方针的关系 DS5 确保系统安全 PO5 IT投资管理 DS4 确保持续服务 PO4 定义IT结构和关系 DS3