文档介绍：信息系统审计
(信息系统风险管理和持续性计划)
1
主要内容:
信息系统的风险
信息系统运行的安全控制
物理控制与环境控制
逻辑访问控制
网络控制
持续性计划(灾难恢复计划)
信息系统的应用控制
2

风险的概念:风险是发生某种威胁使资产损失或破坏的潜在可能。
风险的概念包括以下内容:
威胁、薄弱点、处理过程或资产;
对资产基于威胁和薄弱点的影响;
袭击的可能性。
3
风险审计管理过程
4
信息系统资产
信息和数据
硬件
软件
服务
文档
人员
另外还有一些需要考虑的传统资产包括:建筑物、存货、资金和无形资产等。
5
信息的潜在威胁
错误
恶意破坏
欺诈
盗窃
软硬件故障
6
信息系统的薄弱点
用户缺乏知识
缺乏安全措施
口令缺少变化
未经测试的技术
无保护的数据传输
7
威胁一旦发生所造成的影响
直接的经济损失
违反法律
名誉声望受损
员工或客户受到威胁
信心受损
商业机会的损失
经营效率与性能的降低
商业经营中断。
8
整体风险
整体风险是对企业风险的整体评价,通常做法是:
∑影响×可能性
9
剩余风险
剩余风险是采用控制以后所遗留的风险水平。
管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。
10