内部审计]安全认证和评估.ppt

该【内部审计]安全认证和评估 】是由【相惜】上传分享，beplayapp体育下载一共【90】页，该beplayapp体育下载可以免费在线阅读，需要了解更多关于【内部审计]安全认证和评估 】的内容，可以使用beplayapp体育下载的站内搜索功能，选择自己适合的beplayapp体育下载，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此beplayapp体育下载到您的设备，方便您编辑和打印。。技术在不断变化,新的应用正在开发,新的平台正在加到非军事区〔DMZ〕,额外的端口正在加进防火墙。由于竞争,很多应用在市场的生存时间越来越短,软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录,将计算机、网络设备以及在网络上的各个应用编制进去,而只是将这些组件单独地进行配置。由于没有将平安测试作为软件质量保证的一个组成局部,应用的漏洞〔脆弱性〕不断发生。平安评估认证平安体系结构是否能满足平安策略和最好的经营业务实际。一个典型的平安评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个概念,称为平安成熟度模型〔SecurityMaturityModel,SMM〕,用来适当地测量一个给定的准那么,该准那么基于在工业界最正确的经营业务实际,且能将其反响到经营业务。它还提供一个改进的方法,包括将缺乏之处列成清单。平安成熟度模型可测量企业平安体系结构的3个不同局部:方案、技术与配置、操作运行过程。从经营业务的观点看,要求平安解决方案的性能价格比最好,即基于特定产业的最正确实际。在任何系统中的平安控制应预防经营业务的风险。然而,决定哪些平安控制是适宜的以及性能价格比好的这一过程经常是复杂的,有时甚至是主观的。平安风险分析的最主要功能是将这个过程置于更为客观的根底上。风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体包括总经理、CFO〔ChiefFinancialOfficer,首席财务执行官〕、经营业务部门的负责人,以及信息所有者。一个组织的总的风险依赖于下面一些属性:资产的质量〔丧失资产的效应〕和数量〔钱〕的价值;基于攻击的威胁可能性;假设威胁实现,对经营业务的影响。〔ReturnOnInvestment,ROI〕的能力经常是困难的。相反,可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息,因为对这些信息的错误处理,其结果将危害到国家秘密。比之于商业组织,政府愿意花更多的费用来保护信息。直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的,很多金融贸易系统因此而遭受大量经济损失。生产的降低,例如E-mail效劳器宕机,很多组织的工作将停止。与定量的代价相比,质量的代价对组织的破坏更大。假设用来销售的Web站点被黑客破坏了,有可能所有客户的信用卡号被偷,这将严重地影响这个站点的信誉。也有可能在短时期内,经营业务停止。风险评估对漏洞和威胁的可能性进行检查,并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大局部内部人员不大可能使用黑客工具,然而十分熟悉网上的应用,可以删除文件、引起某些物理损坏,甚至是逻辑炸弹等。漏洞水平和保护组织资产的平安体系结构的能力正相反。如果平安控制弱,那么暴露的水平高,随之发生事故灾难的机率也大。对数据、资源的漏洞及其利用的可能性取决于以下属性,且很难预测:资产的价值、对对手的吸引力、技术的变更、网络和处理器的速度、软件的缺陷等。描述威胁和漏洞最好的方法是根据对经营业务的影响描述。此外,对特殊风险的评估影响还和不确定性相联系,也依赖于暴露的水平。所有这些因素对正确地预测具有很大的不确定性,因此平安的方案和认证是十分困难的。。