信息系统安全审计.ppt

02人员离岗是否制定有关管理规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限，并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；是否办理严格的调离手续，并承诺调离后的必威体育官网网址义务后方可离职。03人员考核是否定期对各岗位人员进行安全技能及安全认知的考核；是否建立必威体育官网网址制度；是否定期或不定期的对必威体育官网网址制度执行情况进行检查或考核，并对考核结果进行记录并保存。人员使用对于因工作需要，接触被审计单位商业秘密或国家秘密的人员，是否进行恰当的警示教育。组织中的人员授权使用信息系统或权限变更，是否履行审批手续。是否建立合理的薪酬体系，确保人员稳定。对于违反信息安全规章制度的人员，是否给予必要的处理。01人力资源安全的审计程序查阅岗位安全协议。审查岗位安全责任、违约责任、协议的有效期限和责任人签字等内容的完整性。查阅人员录用时的技能考核文档或记录，审查考核内容和考核结果等方面内容记录的完整性。访谈人力资源部门，了解在人员录用时有哪些条件要求；了解对被录用人的身份、背景、专业资格和资质的审查情况，必要时应抽查背景调查证明材料；了解对技术人员的技能考核情况；了解与被录用人员必威体育官网网址协议签署情况。访谈人力资源部门，询问被审计单位制定了哪些措施来保证信息安全岗位人员稳定，必要时应查看相应制度文档。查阅被审计单位信息安全的奖惩规定，特别是对违反信息安全规定的惩戒措施；审查信息安全奖惩规定文件的健全性，并注意结合违规惩戒记录抽查结果，判断奖惩措施的执行情况。访谈人力资源部门，了解对即将离岗人员的安全控制措施。例如，是否及时终止离岗人员的所有访问权限，取回各种证件及软硬件设备等；调离手续包括哪些，是否要求关键岗位人员调离须承诺相关必威体育官网网址义务后方可离开，并注意抽查调离人员在必威体育官网网址承诺的签字情况。查阅人员离岗的管理文档，审查是否规定了人员调离手续和离岗要求等；是否具有对离岗人员的安全处理记录，如交还身份证件、设备等的登记记录；是否具有按照离职程序办理调离手续的记录。查阅审查和考核文档和记录，审查是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核；是否有对关键岗位人员特殊的安全考核内容；查看记录日期与考核周期是否一致。安全技术控制审计有四个方面的审计事项子类：物理环境安全审计、网络安全审计、操作系统安全审计和数据库安全审计。2.2.1物理环境安全审计010203物理访问的暴露风险来自自然环境，或人为灾害导致的非授权访问或不可用风险，有可能引起组织的财务损失，导致法律诉讼。环境风险可能来源自然灾害，如闪电、地震、暴雨、洪水等；还可能来自电力故障，设置故障、温湿度、静电等，尤以电力故障、水害水灾的影响最大。常见的物理环境安全控制措施有很多，比如门锁、电子门锁、生物特征锁、身份识别卡、水灾探测器、灭火器、不间断电源UPS和备份电力系统等等。01是否指定部门负责机房安全，并配备机房安全管理人员对机房的出入、服务器的开关机等工作进行管理；02是否建立机房安全管理制度，对机房物理访问、物品带进带出机房和机房环境安全等方面的管理作出规定；03是否对机房和办公环境实行统一的安全管理策略，对出入人员进行相应级别的授权，并对进入重要安全区域的活动行为实时监视和记录04是否指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理05检查分析机房设计及基础设置配置是否符合相关标准，并能满足实际业务需求。物理环境安全审计的主要关注点如下：信息系统安全审计主要内容信息系统安全概述1安全审计安全管理控制审计安全技术控制审计2某市医院管理信息系统审计案例3信息资产与人力资源、财务资产和实物资产一样，都是组织的重要商业资产。随着组织对信息系统的依赖性越来越强，信息安全问题也变得日益严峻。据统计，信息安全问题大约60%以上是由管理方面原因造成的，信息安全是一个同时涉及安全技术与管理的综合难题。信息系统安全概念的发展1计算机安全：虽然计算机早在40年代中期就已面世，但20多年后才提出计算机在使用中存在计算机安全问题，此时的计算机安全主要是指实体安全及传输加密问题。2计算机系统安全：七十年代末至八十年代，因各类计算机软硬件系统的发展而提出计算机系统安全。此时不仅指实体（物理）安全，也包括软件与信息内容的安全。3网络安全：在八十年代后期，尤其是九十年代因特网的发展，网络成了计算机应用的重要形式。网络安全一词被广泛采用，用以强调在整个网络环境的安全，不仅包括网络技术手段，还包括网络安全管理等方面。4信息保障：其内涵包括安全保护、监控、反应、恢复，即强调计算机系统（包括网络）安全的系统状况，动态管理过程。我国的《中华人民共和国计算机信息系统安全保护条例》中指出：