- 1、本文档共17页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
变更控制程序IT审计培训
IT 安全 第 8节 系统开发和维护 介绍 系统的安全需求 应用系统的安全 加密控制 系统文件的安全 开发和支持流程的安全 系统的安全需求 在初始系统设计时就考虑系统的安全,比事后将它们整合在一起,要便宜很多倍 应说明系统的需求,包括自动控制以及所需的人工控制。 应用系统的安全 预防应用系统数据的损失、篡改和滥用 包括输入、处理和输出控制 在IT控制模块中有深入讨论 加密控制 保护信息的机密性、完整性和可用性。 包含以下控制: 加密控制的使用政策 加密 数字签名 服务的不可抵赖性 密钥管理 见 ‘第 10讲 – 加密控制’ 系统文件的安全 为确保系统项目和支持活动的安全进行 密钥控制是: 应用软件的控制 系统测试数据的保护 程序源库的访问控制 操作软件的控制 生产系统软件执行的控制程序 控制包括 程序库由授权人员进行更新 生产系统只有可执行代码 在投入运行之前,成功测试可执行代码 更新程序的审计记录 软件以前版本的保留 对供应商软件的控制 系统测试数据的保护 以保护和控制系统数据 控制包括: 访问控制程序 独立授权 数据库隐私的处理 测试后数据的删除 测试的记录 程序库的访问控制 保护对程序源库的严格控制 控制包括: 远离生产系统 任命一名程序管理人员 IT支持人员访问的限制 在开发或维护时,不保留程序 程序库的访问控制 控制包括: 更新仅由指定人员进行 程序列表的安全存放 程序库访问的审计记录 获得源程序的旧版本 对程序源库维护和复制的变更控制 开发和支持过程的安全 为维护应用系统软件和信息的安全 控制包括:: 变更控制程序 生产系统变更的控制程序 限制对软件包的变更 对隐蔽通道和木马代码的控制 外包软件的开发 变更控制程序 运用正式的变更控制程序,严格控制变更的实施 隐藏控制以确保对系统配置的所有变更是经过授权、测试、记录、控制,并且有充分的变更审计轨迹 见IT控制模块的“变更控制程序” 生产系统变更的技术检查 检查应用控制和完整性程序是否进行了折衷 确保年度计划涵盖对生产系统变更的测试 及时通告生产系统的变更 确保对业务持续计划的适当变更 软件变更的严格控制 不鼓励对使用的供应商软件包进行变更 仅对副本进行变更 变更之前,检查 是否有内部控制的补偿 是否征得卖方的同意 是否能从卖方那里获得所需的变更 对未来维护的影响 隐蔽通道和特洛伊代码 仅通过可靠的渠道购买软件 源代码一同购买 使用经评估的产品 使用之前检查源代码 控制对代码修改的过程 使用有信誉的员工 外包软件开发 许可证、代码所有权 工作质量的认证 仅通过可靠的渠道购买软件 代码的质量 特洛伊代码 的测试 总结 在新系统中植入安全 应用系统的安全—输入、处理和输出控制 加密控制 – 加密、数字签名、密钥管理, 系统文件的安全– 测试数据的保护、程序库的访问控制 开发和控制 – 变更控制、特洛伊代码 IT 审计 培训 IT 安全 : S8/ * 2007,3 104 105 114 Things can go wrong . The post office occasionally loses a letter; networks sometimes lose packets; or damage them in transit. Unlike the post office, we’ll see that the Internet protocols can deal with these problems successfully. Packets may arrive out of sequence. If you mail two letters to the same place on successive days, theres no guarantee that they will take the same route or arrive in order. The same is true of the internet. 113 127 129 136 129 Page *
文档评论(0)