【正文】 企業(yè) 應(yīng)根據(jù)資產(chǎn)價(jià)值的大小 ，進(jìn)一步 確定要保護(hù)的關(guān)鍵資產(chǎn) 。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全風(fēng)險(xiǎn)評(píng)估和管理 ? 威脅評(píng)估 ? 與威脅有關(guān)的信息可從安全管理人員和業(yè)務(wù)流程處收集。 ? 實(shí)施與維護(hù) ? 實(shí)施和維護(hù)的簡(jiǎn)易性、成本和時(shí)間因素必須要考慮 ? 可以采用檢查列表的方式，列出系統(tǒng)所需要的最小安全保證、成本、可用性、安全因素等內(nèi)容，逐項(xiàng)檢查篩選。 計(jì)劃的重要性 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 業(yè)務(wù)可持續(xù)計(jì)劃 是為了防止正常業(yè)務(wù)行為的中斷而被建立的計(jì)劃。 ? IT資源維 主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是 IT治理過程的主要對(duì)象。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? ITIL的內(nèi)容 ? （ 1）服務(wù)水平管理（ Service Level Management） ? （ 2）可用性管理（ Avaliablity Management） ? （ 3）能力管理（ Capacity Management） ? （ 4）持續(xù)性計(jì)劃（ Contingency Planning） ? （ 5）成本管理（ Coat Management） ? （ 6）幫助臺(tái)（ Helpdesk） ? （ 7）問題管理（ Problem Management） ? （ 8）變動(dòng)管理（ Change Management） ? （ 9） 配置管理 （ Configuration Management） ? （ 10）軟件控制和分發(fā)（ Software amp。 ? 盡管每個(gè)計(jì)劃的細(xì)節(jié)針對(duì)不同公司的要求會(huì)有不同，但 所有可行的計(jì)劃都具有共同的特點(diǎn) 。 指南的主要亮點(diǎn) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息和數(shù)據(jù) 是企業(yè)最寶貴的資產(chǎn)，事關(guān)企業(yè)的經(jīng)濟(jì)運(yùn)行命脈和商業(yè)信譽(yù)； ? 企業(yè)運(yùn)作越依賴于 IT架構(gòu) ，就對(duì)信息系統(tǒng)運(yùn)作的 穩(wěn)定性 和可靠性 的要求越高。 法律、法規(guī)、合同要求 安全需求 業(yè)務(wù)要求 風(fēng)險(xiǎn)評(píng)估結(jié)果要求 業(yè)務(wù)決策過程 管理方法 考慮因素 限制條件 控制目標(biāo)和控制措施 安全需求與控制選擇 控制選擇 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全控制目標(biāo)和控制措施的選擇 ? 選擇控制的過程 選擇控制的過程 確定安全需求 選擇控制目標(biāo)和控制措施 檢查業(yè)務(wù)因素和約素條件 確定控制目標(biāo)和控制措施 檢查控制目標(biāo)和控制措施 安全需求和控制目標(biāo)是否已滿足 是 否 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全控制目標(biāo)和控制措施的選擇 ? 選擇控制的原則 ? 對(duì)控制目標(biāo)和控制措施的選擇 應(yīng)當(dāng)由安全需求來驅(qū)動(dòng) ，選擇控制措施應(yīng)當(dāng)最好能滿足安全需求，并考慮安全需求的不到滿足時(shí)的后果。 ? 在對(duì)資產(chǎn)賦值時(shí)，一方面要考慮 資產(chǎn)的購買成本 ，另一方面也要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營的負(fù)面影響程度 。 ? 缺乏物理保護(hù)或保護(hù)不當(dāng) ? 口令選擇或使用不當(dāng) ? 與外部網(wǎng)絡(luò)的連接沒有保護(hù) ? 沒有保護(hù)的存檔文件 ? 不足夠的安全培訓(xùn) 安全風(fēng)險(xiǎn) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 資產(chǎn) ? 數(shù)據(jù)與文檔（數(shù)據(jù)庫、數(shù)據(jù)文件用戶手冊(cè)、運(yùn)行與支持程序、業(yè)務(wù)持續(xù)性計(jì)劃、應(yīng)急安排 …… .）； ? 合同、指南等企業(yè)文件； ? 軟件資產(chǎn)（應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序）； ? 物理資產(chǎn)（計(jì)算機(jī)、通訊設(shè)備、磁性介質(zhì)、供電設(shè)備、家具、辦公場(chǎng)所等）； ? 人員（員工、客戶） ? 企業(yè)形象與聲譽(yù) ? 服務(wù)（計(jì)算和通訊服務(wù)、照明和電力等其他技術(shù)服務(wù)） 安全風(fēng)險(xiǎn) 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 為了明確對(duì)資產(chǎn)的保護(hù)，有必要 對(duì)資產(chǎn)進(jìn)行估價(jià) 。 ? 信息偽裝技術(shù) —— 將秘密信息隱藏與另一非機(jī)密文件內(nèi)容之中，不同于傳統(tǒng)的加密技術(shù)，不僅隱藏了信息的內(nèi)容，還隱藏了信息的存在。 ? 信息安全主要通過 采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施 ，來保護(hù)信息在其生命周期內(nèi)的 產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié) 中， 信息的機(jī)密性、完整性、真實(shí)性、可用性 等不被波壞。 ? 操作風(fēng)險(xiǎn)： 指做了正確的事情，但用的是錯(cuò)誤的方法。 ? 信息安全 不僅僅是 技術(shù)問題 ，在很大程度上 更多的表現(xiàn)為 管理問題。 ? 技術(shù)與工程標(biāo)準(zhǔn) ? ISO/IEC15408信息產(chǎn)品通用測(cè)評(píng)標(biāo)準(zhǔn) ? SSECMM安全系統(tǒng)工程能力成熟度模型 ? TESEC美國信息安全桔皮書 ? 信息安全管理與控制標(biāo)準(zhǔn) ? BS7799,ISO/IEC17799信息安全管理體系標(biāo)準(zhǔn) ? COBIT信息和相關(guān)技術(shù)控制目標(biāo) ? ITIL基礎(chǔ)架構(gòu)庫 ? ISO13335信息安全管理標(biāo)準(zhǔn) 信息安全相關(guān)問題 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息安全國家標(biāo)準(zhǔn) ? GB178951999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 ? 將信息系統(tǒng)安全分為自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)。 安全需求 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 在確定 由風(fēng)險(xiǎn)而產(chǎn)生的安全需求 時(shí)，理解安全風(fēng)險(xiǎn)將會(huì)對(duì)組織產(chǎn)生什么樣的影響是很重要的。 ? 脆弱性分級(jí)： ? 高度可能，很可能，可能，不太可能，不可能 ? 與每一種威脅相關(guān)的脆弱性都應(yīng)該評(píng)估出來 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全風(fēng)險(xiǎn)評(píng)估和管理 ? 脆弱性評(píng)估 ? 脆弱性及其可能利用該脆弱性的威脅示例： 脆弱性 威脅 脆弱性 威脅 員工缺編 人員短缺 外部人員的行動(dòng)沒有受到監(jiān)督 盜竊 不完備的安全培訓(xùn) 運(yùn)行支持人員錯(cuò)誤 缺乏安全意識(shí) 用戶錯(cuò)誤 軟件文檔不完全 運(yùn)行支持人員錯(cuò)誤 缺乏監(jiān)控機(jī)制 非授權(quán)使用軟件 缺乏正確使用媒介與通訊信息的政策 以非授權(quán)的形式使用網(wǎng)絡(luò)設(shè)施 不完備的招聘程序 蓄意破壞 存儲(chǔ)介質(zhì)缺乏維護(hù)或錯(cuò)誤安裝 維護(hù)錯(cuò)誤 過于復(fù)雜的用戶界面 運(yùn)行支持人員錯(cuò)誤 缺乏審計(jì)軌跡 非授權(quán)使用軟件 缺乏身份驗(yàn)證機(jī)制 用戶身份偽裝 未退出工作站離開 非授權(quán)使用軟件 未對(duì)軟件充分測(cè)試 非授權(quán)使用軟件 口令管理不善 用戶身份偽裝 規(guī)格說明書不完整 軟件故障 不受控制的下載 惡意病毒 訪問權(quán)限未正確分配 非授權(quán)使用軟件 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 安全風(fēng)險(xiǎn)評(píng)估和管理 ? 現(xiàn)有的安全控制 ? 應(yīng)用現(xiàn)有的安全控制措施，可以減少重復(fù)工作，降低安全控制成本。 ” ? 由此可見，災(zāi)難不只指自然的原因，也包括人為的原因，對(duì)于信息系統(tǒng)的連續(xù)性運(yùn)行來說，災(zāi)難的范圍很寬泛。 ? 干擾模擬測(cè)試 在突擊進(jìn)行的情況下，測(cè)試效果最為顯著。 ? 標(biāo)準(zhǔn)主要包括 2個(gè)部分： ，信息安全管理的 操作規(guī)則 ； ，信息安全管理 體系規(guī)范 。 《 會(huì)計(jì)信息系統(tǒng) 》 復(fù)旦大學(xué)出版社 2022年版 上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院饒艷超 ? 信息系統(tǒng)控制標(biāo)準(zhǔn) ? ISO/IEC17799 ? 英國標(biāo)準(zhǔn)協(xié)會(huì)（ BSI）制訂并于 1999年修訂的 《 信息安全管理標(biāo)準(zhǔn) 》 BS7799的一部分已經(jīng)在 2022末被采納為國際標(biāo)準(zhǔn)， 以標(biāo)準(zhǔn)號(hào) ISO/IEC17799發(fā)布，全名為 《 信息安全管理操作規(guī)則 》 。 ? 在經(jīng)濟(jì)允許的范圍內(nèi)，計(jì)劃 應(yīng)盡可能充分地被檢測(cè) ， 測(cè)試應(yīng)該包括備份設(shè)備和備份支持材料。 ? 災(zāi)難備份 ： “ 為了災(zāi)難恢復(fù) 而對(duì)數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、技術(shù)支持能力和運(yùn)行管理能力 進(jìn)行備份 的過程。 ? 通過風(fēng)險(xiǎn)評(píng)估過程確定的控制措施要與現(xiàn)有控制兼容，以免在實(shí)施過程中出現(xiàn)沖突。 ? 需要考慮的問題：