资产分类和控制.doc

PAGE PAGE 1 INTOSAI IT 审计委员会 IT 安全 学员资料 2007年3月 IT安全：学员资料 目录 TOC \o 1-1 \u 1 模块目标 PAGEREF _Toc185582837 \h 1 2 IT 安全– 介绍 PAGEREF _Toc185582838 \h 1 3 IT安全标准和框架 PAGEREF _Toc185582839 \h 3 4 风险分析 PAGEREF _Toc185582840 \h 9 5 风险管理 PAGEREF _Toc185582841 \h 28 6 安全策略 PAGEREF _Toc185582842 \h 35 7 组织的信息安全 PAGEREF _Toc185582843 \h 38 8 资产分类和控制 PAGEREF _Toc185582844 \h 43 9 人员安全 PAGEREF _Toc185582845 \h 46 10 系统开发和维护 PAGEREF _Toc185582846 \h 51 11 网络和通信控制 PAGEREF _Toc185582847 \h 57 12 遵从性控制 PAGEREF _Toc185582848 \h 79 13 审计考虑 PAGEREF _Toc185582849 \h 92 附录 1: 术语 PAGEREF _Toc185582850 \h 95 附录 2: 风险分析方法举例 PAGEREF _Toc185582851 \h 98 附录 3: 简单的IT安全标准 PAGEREF _Toc185582852 \h 116 模块目标 本模块从审计师的角度介绍信息系统安全。目的是为了让审计师能够检查客户的信息系统安全方法，并评估它们是否足以使信息系统的风险降低到可接受的水平。 上下文中使用的信息系统安全方面的一些术语是开放的诠释。我们已尽力使本文所用到的技术术语的含义清晰，若有任何疑问，见附录1中术语的注释。 这些注释由IT控制和业务持续计划的模块提供。 IT 安全– 介绍 介绍 什么是IT安全？ IT系统中的信息成为越来越重要的资源，它能够使组织实现他们的目标。此外，人们对存储在IT系统中的个人资料有一个合理的期望，即隐私得到保护，不受伤害。而IT系统的受益人有一个合法的期望，即系统在有效行使其职能的同时，能够适当地控制信息，以确保它们免遭有害的或不必要的传播、修改或损失。IT安全这个术语包含预防和缓解上述以及类似的危险。 管理部门对IT安全的关注 管理部门应关注IT安全的三个主要理由： 对IT系统的依赖：信息系统都可以提供准确的服务，它们已成为现代企业生存的关键。没有计算机和通信设施，他们将无法提供服务、处理票据、接洽客户或付款。信息系统也处理组织的机密信息，这些信息如果公开的话，将会使组织陷入困境，甚至可能导致业务失败。 IT系统的暴露。IT系统需要一个稳定的环境。IT系统会受到火灾、洪水、飓风或地震等自然灾害的破坏；空调或电源的问题会导致系统失败；恐怖炸弹的攻击会造成巨大破坏；意外或蓄意破坏可以影响整个网络。IT系统是访问企业海量数据的核心；这使得它们成为对黑客、调查记者和间谍具有吸引力的目标，并有可能为内部人员提供某种动机，使其滥用其特权对外出售信息。组织也依赖于信息系统提供的准确信息，这种信任一旦遭到破坏，对企业的影响可能与破坏系统所造成的影响一样大。因此，保护数据，使其免遭意外或恶意的破坏，这一点非常重要。 IT系统的投资。信息系统的开发和维护成本较高，管理部门应像保护其它有价值的资产一样来保护此项投资。IT资产对盗贼特别具有吸引力，因为它们携带方便，具有很高的价值重量比，可以轻易出售。 一旦高层管理者意识到他们对信息系统的依赖和他们所面对的风险，可能会产生一种过度反应的倾向。没有一个系统是完全安全的，基线控制一旦就位，往往会降低安全措施进一步投资的回报。IT资产保护昂贵且具有一定的破坏性，因此必须有一个确保安全的平衡点： 适合于组织的业务需求，但要全面综合考虑； 它将感知的风险降到管理层愿意接受的一个合理的水平； 有效应对实际的威胁。 与IT安全有关的一个新兴的概念是信息安全治理，它已由美国联邦政府的国家标准与技术研究院定义为“建立和维护框架、配套管理结构的过程，以及确保信息安全战略符合和支持业务目标的过程，通过政策的一贯性和内部控制，符合适用的