2010年國(guó)際注冊(cè)內(nèi)部審計(jì)師輔導(dǎo)：信息技術(shù)（5）

5.信息系統(tǒng)安全
    5.1常見攻擊手段：黑客/阻塞/竊聽/重演/詐騙/中斷/病毒
    5.2不同層次的信息系統(tǒng)安全控制：一般控制/應(yīng)用控制
    一般控制：
    管理控制：制定政策與程序/職責(zé)分離——系統(tǒng)實(shí)施控制：開發(fā)實(shí)施過(guò)程中建立控制點(diǎn)編制文檔/——運(yùn)行控制：數(shù)據(jù)存儲(chǔ)、運(yùn)行規(guī)范化要求，例如在對(duì)不需要的文件要在授權(quán)條件下及時(shí)刪除，管理系統(tǒng)操作、性能監(jiān)測(cè)、系統(tǒng)備份、審計(jì)日志__——軟件控制：未經(jīng)許可不得修改、在獨(dú)立的計(jì)算機(jī)上測(cè)試所有的要進(jìn)入生產(chǎn)環(huán)境的軟件——硬件控制：保證正常運(yùn)行：回?fù)軝z測(cè)、奇偶校驗(yàn)——訪問(wèn)控制（重點(diǎn)）：標(biāo)識(shí)/口令/授權(quán)/訪問(wèn)日志/自動(dòng)注銷登錄/回?fù)?對(duì)工具軟件的限制
    5.3訪問(wèn)控制的類型：標(biāo)識(shí)（確定用戶身份）/口令（弱控制）/授權(quán)（建立訪問(wèn)控制表預(yù)防未經(jīng)授權(quán)訪問(wèn)修改敏感信息）/訪問(wèn)日志（檢測(cè)性控制措施）/回?fù)埽ūＷo(hù)信息按指定路徑傳送）/自動(dòng)注銷登錄（防止通過(guò)無(wú)人照管的終端來(lái)訪問(wèn)主機(jī)敏感信息）/對(duì)工具軟件的限制
    5.4加密和解密——算法和密鑰——加密密鑰和解密密鑰——公鑰和私鑰——數(shù)字證書——數(shù)字簽名——認(rèn)證中心
    5.5電子郵件的安全控制：禁止用EMAIL發(fā)送高度敏感或機(jī)密信息/加密/限使用數(shù)量/工作終端的商用電子郵件保存?zhèn)洳?歸檔和分級(jí)管理。
    5.6防火墻：數(shù)據(jù)濾型/應(yīng)用網(wǎng)關(guān)開型
    5.7應(yīng)用軟件控制：：輸入控制（輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢驗(yàn)）——處理控制（運(yùn)行總數(shù)、計(jì)算機(jī)匹配、并發(fā)控制）、輸出控制——輸出控制（平衡總數(shù)、復(fù)核日志、審核報(bào)告、審核制度文件）
    5.8計(jì)算機(jī)的物理安全：保證傳輸線路的安全以防止非法訪問(wèn)網(wǎng)絡(luò)/盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊/不間斷電源可以在停電時(shí)維持電腦系統(tǒng)的運(yùn)行/防火防潮/生物統(tǒng)計(jì)訪問(wèn)系統(tǒng)
    5.9應(yīng)急計(jì)劃：故障弱化保護(hù)/災(zāi)難恢復(fù)計(jì)劃——第一步風(fēng)險(xiǎn)分析，其次才識(shí)策略、文檔、計(jì)劃執(zhí)行測(cè)試等/災(zāi)難恢復(fù)計(jì)劃的一個(gè)重要組成部分是備份和重新啟動(dòng)程序/當(dāng)組織的結(jié)構(gòu)和運(yùn)營(yíng)發(fā)生改變時(shí)，災(zāi)難恢復(fù)計(jì)劃必須隨之改變以保證恢復(fù)計(jì)劃的及時(shí)有效。