返回
IT审计相关资料

IT审计相关资料

ID:41364895

大小:557.00 KB

页数:50页

时间:2019-08-23

IT审计相关资料_第1页
IT审计相关资料_第2页
IT审计相关资料_第3页
IT审计相关资料_第4页
IT审计相关资料_第5页
资源描述:

《IT审计相关资料》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、风险评估的国际动态中国科学院研究生院信息安全国家重点实验室赵战生2004年10月12日汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系信息安全管理成为 信息安全保障的热点ITIS$!信息就是财富,安全才有价值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformationInfrastructure.CIIP:CriticalInformationInfrastructureProtection技术提供安全保障功能,但不

2、是安全保障的全部提高人的安全意识,技术、管理两手抓成为国际共识。标准化组织和行业团体抓紧制定管理标准ISO13335正在重组修改正在修订17799BS7799-2成为国际标准正在讨论NIST在联邦IT系统认证认可的名义下提出大量规范SP800-18《IT系统安全计划开发指南》(1998年12月)SP800-26《IT系统安全自评估指南》(2001年11月)SP800-30《IT系统风险管理指南》(2002年1月发布,2004年1月21日修订)SP800-37《联邦IT系统认证认可指南》(2002年9月,2003年7月,2004年5月最后文本)FIPS199

3、《联邦信息和信息系统的安全分类标准》(草案第一版)(2003年12月)SP800-53《联邦信息系统安全控制》(2003年8月31日发布草案)SP800-53A《联邦信息系统安全控制有效性检验技术和流程》(计划2003至2004年出版)SP800-60《信息和信息类型与安全目标及风险级别对应指南》(2004年3月草案2.0版)ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformati

4、onsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandrisk

5、acceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)国际信息系统审计与控制协会(ISACA)提出:1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effectiv

6、e1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004提出《信息和相关技术的控制目标》(CoBIT)CoBIT开发和推广了第三版,CoBIT起源于组织

7、为达到业务目标所需的信息这个前提CoBIT鼓励以业务流程为中心,实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、保密性、可靠性和一致性。CoBIT进一步把IT分成4个领域计划和组织,获取和运用,交付和支持,监控和评价。共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是:计划和组织流程9——评估风险:传递和支持流程4——确保连贯的服务;传递和支持流程5——保证系统安全。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细

8、的控制目标,以及建立在这些目标上的广泛的行动指南。后者是用来评估和

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。