2信息系统审计方法论V2.ppt
- 文档编号:1381437
- 上传时间:2022-10-21
- 格式:PPT
- 页数:69
- 大小:3.93MB
2信息系统审计方法论V2.ppt
《2信息系统审计方法论V2.ppt》由会员分享,可在线阅读,更多相关《2信息系统审计方法论V2.ppt(69页珍藏版)》请在冰豆网上搜索。
信息系统审计方法论,agenda,向审计委员会和高阶管理层提出关于IT内部控制问题的建议;执行IT风险评估执行:
体制风险领域的审计一般控制审计应用控制审计控制技术的技术性审计在系统开发和分析活动的内部控制顾问。
IT审计角色,什么是信息?
近代控制论的创始人维纳有一句名言:
“信息就是信息,不是物质,也不是能量。
”这句话听起来有点抽象,但指明了信息与物质和能量具有不同的属性。
信息、物质和能量,是人类社会赖以生存和发展的三大要素。
ISO13335信息技术安全管理指南是一部重要的国际标准,其中对信息给出了明确的定义:
信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
信息是无形的,借助于信息媒体以多种形式存在和传播;同时,信息也是一种重要资产,具有价值,需要保护。
从广义上讲,信息是任何一个事物的运动状态以及运动状态形式的变化,它是一种客观存在。
例如,日出、月落,花谢、鸟啼以及气温的高低变化、股市的涨跌等,都是信息。
它是一种“纯客观”的概念,与人们主观上是否感觉到它的存在没有关系。
而狭义的信息的含义却与此不同-,狭义的信息,是指信息接受主体所感觉到并能被理解的东西。
中国古代有“周幽王烽火戏诸侯”和“梁红玉击鼓战金山”的典故,这里的“烽火”和“击鼓”都代表了能为特定接收者所理解的军情,因而可称为“信息”;相反,至今仍未能破译的一些刻在石崖上的文字和符号,尽管它们是客观存在的,但由于人们(接受者)不能理解,因而从狭义上讲仍算不上是“信息”。
同样道理,从这个意义上讲,鸟语是鸟类的信息,而对人类来说却算不上是“信息”。
可见,狭义的信息是一个与接受主体有关的概念。
信息安全的定义,ISO国际标准化组织对于信息安全给出了精确的定义,这个定义的描述是:
信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
信息安全的基本属性,安全术语,所谓的安全,实际上就是控制,将风险控制在可以接受的范围内,这就是安全的本质目的。
所以,COBIT的逻辑和方法在信息安全领域实际上也是适用的。
这就是对我们工作的帮助意义。
IT控制,一般控制,ITConcernsandIssues,灾难恢复业务恢复计划BRP测试候补过程,物理安全物理访问HVAC防火墙保护UPS,备份/应急计划数据备份还原程序异地存储,变更管理计划变更控制跟踪变更审批,IT-一般控制,IT控制,应用控制,ITConcernsandIssues,输出控制分解分布访问,过程控制审计追踪接口控制控制总控,访问控制用户ID/口令数据安全网络安全安全管理访问授权,一般控制,输入控制数据加密控制系统修改职责分工交易授权,IT-应用控制,一个自上而下理解IT控制的方法。
Governance,Management,Technical,IT控制的层次,IT控制是一个提供保证信息和信息服务,以及帮助减轻风险与利用技术的的过程。
理解IT控制,IT控制的需求,如控制成本保护信息资产遵守法律和规章实施有效的IT控制将提高效率,可靠性和灵活性。
IT控制的重要性,董事/理事会管理-制定,批准,执行IT控制审计员,IT控制的角色和责任,风险分析识别和优先考虑的风险考虑风险,确定是否有足够的IT控制确定风险缓解策略-接受/减轻/分享,基于风险的IT控制,监控IT控制不断监测/特别审查/自动连续审计,监控IT控制,评估IT控制是一个持续的过程技术继续推进新的漏洞出现,评估IT控制,agenda,安全工具扫描人工评估数据库评估渗透测试代码审计,网络架构分析用户访谈问卷调查应用评估,弱点评估的内容,
(1)安全漏洞工具扫描,扫描工具:
采用Eeye的retina5和ISS的InternetScanner7.0扫描范围:
服务器、路由器、交换机、终端;扫描策略:
扫描策略最大化发现尽可能多的漏洞不包括DOS测试不包括口令猜测(BruteForce)影响最小化不对现有网络产生显著影响,安全漏洞扫描示例,
(2)人工评估,系统补丁系统账号文件系统网络及服务系统配置文件NFS或其它文件系统共享审计及日志后门入侵痕迹检测、分析,人工评估结果示例,(3)网络架构分析,3-1:
基础架构分析:
分层拓扑结构、路由协议、接入方式等3-2:
访问控制和安全审计:
ACL、SYSLOG、SNMP3-3:
安全设备深入评估审计:
防火墙、IDS、VPN等3-4:
IDS取样和网络协议分析,网络架构分析示例:
安全设备部署,发现的弱点或风险:
网络架构分析示例,(4)用户访谈和问卷调查,人员互相介绍介绍本次访谈的主要内容介绍主要的理念和思路提问和回答记录在访问结束时需要确认用户评价访谈之后的整理,(5)应用评估与代码审计,(6)渗透测试,渗透测试说明示例,覆盖到的安全内容,安全策略安全组织人员安全资产管理日常运维管理业务连续性规划法律符合性,IT安全层次物理和环境安全网络层安全操作系统安全通用应用程序层业务系统层(开发)业务系统流程安全技术技术-鉴别和认证技术-访问控制技术-审计和跟踪技术-响应和恢复技术-内容安全,agenda,半定量风险分析模型,风险评估的价值,风险评估基本流程,风险评估基本流程中的工作,风险评估流程资产识别与赋值,信息资产分类,信息资产赋值,机密性赋值标准,完整性赋值标准,可用性赋值标准,资产价值计算,AssetValue=Round1Log2(A2Conf+B2Int+C2Avail)/3A代表机密性的权值;B代表完整性的权值;C代表可用性的权值电信运营商(最关注可用性):
A=0.7,B=0.7,C1.6;金融行业(最关注完整性):
A=0.7,B=1.6,C0.7;政府涉密部门(最关注机密性):
A=1.6,B=0.7,C0.7;,资产、威胁和弱点的对应关系,风险评估流程安全威胁介绍,安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,安全威胁的定义与分类,Q1:
我们面临的对手都是谁?
确认威胁来源列表,Q2:
我们最主要的对手是谁?
威胁来源列表排序,Q3:
他们都是多高等级的对手?
确认威胁来源的等级,Q4:
他们会采用什么样的威胁方式?
确认威胁方式列表,Q5:
最主要的威胁方式是什么?
威胁方式列表排序,威胁可能性排序,这些威胁发生的可能性有多大?
威胁的属性-可能性Likelihood,人为故意威胁的可能性:
资产的吸引力和暴光程度,组织的知名度;资产转化成利益的容易程度,包括财务的利益和资源,威胁赋值方法,通过评估体过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;过去一年或两年来国际机构(如FBI)发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。
威胁的可能性赋值标准,风险评估流程安全弱点介绍,安全弱点的定义,弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害弱点包括两个属性,弱点的严重性和被利用的难易程度弱点的严重性等同于影响的严重性,弱点严重性赋值标准,现有安全措施界定,在弱点和威胁评估时充分考虑现有安全措施及强弱程度对其影响。
安全技术措施安全控制手段有效的安全服务安全策略,agenda,集成COBIT的IT审计综述,IT审计方法总览,1.对应COBIT到审计范围,2.使用COBIT框架,审计问卷设计,基于COBIT的审计报告,基于COBIT的审计报告(续),基于COBIT的审计报告(续),使用COBIT建立IT风险与控制测量,定期的管理报告,agenda,财务相关的IT审计特点,基于风险的信息系统审计方法,财务相关的IT审计项目,IT一般控制审计检查表,问题讨论,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 审计 方法论 V2
![提示](https://static.bdocx.com/images/bang_tan.gif)