中文国产日韩欧美视频,午夜精品999,色综合天天综合网国产成人网,色综合视频一区二区观看,国产高清在线精品,伊人色播,色综合久久天天综合观看

詳談企業(yè)IT內(nèi)控方案 -電腦資料

電腦資料 時間:2019-01-01 我要投稿
【www.szmdbiao.com - 電腦資料】

  IT內(nèi)控與企業(yè)內(nèi)控

  全球化背景下,共享與安全問題并存,越來越多的國家認識到,無論是市場還是企業(yè)本身,均存在著對企業(yè)內(nèi)部控制的要求,

詳談企業(yè)IT內(nèi)控方案

。許多國家均已頒布了相關(guān)法案,如美國的《薩班斯法案》(2002年安然、世通舞弊事件)、日本的《金融商品交易法》等。

  有“中國版薩班斯法案”之稱的《企業(yè)內(nèi)部控制基本規(guī)范》在企業(yè)治理、職權(quán)控制和信息發(fā)布方面提出了極為嚴(yán)格的監(jiān)管要求。而據(jù)有關(guān)咨詢公司對中國上市公司的一項調(diào)查顯示,56%的受訪公司尚未建立或完善內(nèi)部控制機制,情況并不樂觀。

  現(xiàn)今,國內(nèi)大中型企業(yè)高度依賴IT系統(tǒng)作為業(yè)務(wù)的支撐,IT內(nèi)控已成為是企業(yè)信息化管理中規(guī)避潛在風(fēng)險的重要方法。使用技術(shù)手段實現(xiàn)IT內(nèi)部控制與IT風(fēng)險管理,方能幫助企業(yè)規(guī)避風(fēng)險、提高管理水平。

  內(nèi)控方案的五要素

  《企業(yè)內(nèi)部控制基本規(guī)范》包含五要素:內(nèi)部環(huán)境、風(fēng)險評估、控制措施、信息與溝通、監(jiān)督檢查。

  深信服認為,作為企業(yè)內(nèi)控重要組成部分的IT內(nèi)控方案,也應(yīng)從如上五方面考慮:

  1。 IT環(huán)境

  企業(yè)IT環(huán)境是實施內(nèi)控的依據(jù)。

  所采用的技術(shù)方案應(yīng)適合組織文化、組織架構(gòu)、已有網(wǎng)絡(luò)環(huán)境、未來網(wǎng)絡(luò)規(guī)劃、IT管理制度、信息安全等級要求、信息安全保密要求等。能提供靈活的控制,在管理要求和人性化之間取得平衡;

  2。 IT風(fēng)險評估

  現(xiàn)在,來自網(wǎng)絡(luò)的安全威脅如:病毒傳播、網(wǎng)頁/郵件掛馬、 入侵、網(wǎng)絡(luò)數(shù)據(jù)竊賊,來自組織內(nèi)部的威脅:網(wǎng)絡(luò)訪問權(quán)限與職務(wù)不匹配、終端安全級別底下、安全防范意識不到位等,甚至系統(tǒng)內(nèi)部泄密,已經(jīng)使信息安全成為各行業(yè)信息化建設(shè)中的首要問題。

  IT管理者需要技術(shù)方案,對IT風(fēng)險進行識別與分析,如信息資產(chǎn)的風(fēng)險、IT管理制度的風(fēng)險以及應(yīng)用權(quán)限的風(fēng)險。

  3。 IT控制

  以風(fēng)險評估為依據(jù),IT管理者需要可實行的IT控制措施。正所謂“三分制度、七分管理”,采用技術(shù)手段配合制度已是共識。

  技術(shù)類控制措施,如身份管理、權(quán)限管理、信息過濾、日志留存、安全防護等,配合管理類控制措施,如各類制度與流程:授權(quán)審批、職權(quán)匹配、定期報表匯報、提前預(yù)估、IT績效考核等。IT控制措施應(yīng)符合企業(yè)現(xiàn)狀,所選方案須有足夠的靈活性,兼顧組織架構(gòu)中各層級人物的需求。

  4。 信息與溝通

  企業(yè)應(yīng)用信息技術(shù)促進信息的集成與共享,信息保密顯得尤為重要。截至09年9月,我國每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟損失高達上百億。其中,因為存在安全漏洞被攻擊、入侵導(dǎo)致的被動泄密,因為利益誘惑導(dǎo)致的主動泄密,舞弊事件等,給企業(yè)造成商機泄露、客戶流失、形象受損等諸多損失,

電腦資料

詳談企業(yè)IT內(nèi)控方案》(http://www.szmdbiao.com)。

  IT管理者需要懲防并舉、重在預(yù)防的技術(shù)方案,事前預(yù)防,事發(fā)攔截,事后追蹤。

  5。 內(nèi)部監(jiān)督

  企業(yè)需要IT審核機制,通過日志監(jiān)控、行為綜合分析、定期專項評審等措施,評估控制的有效性,作為改進依據(jù),并為安全事件的發(fā)生做好應(yīng)急追蹤預(yù)案。

  深信服IT內(nèi)控方案

  針對如上IT內(nèi)控要求,深信服科技總結(jié)多年來基于用戶需求的產(chǎn)品研發(fā)經(jīng)驗,提出如下解決方案:

  ◆精準(zhǔn)識別上網(wǎng)用戶身份,保證行為與用戶一一對應(yīng)

  管理的前提,是對用戶身份、行為的準(zhǔn)確定義,尤其認定用戶身份的重要性不言而喻。

  對上網(wǎng)人員的身份認定有多種方式:需用戶手動參與的Web認證、無需用戶參與的IP/MAC認證、USBkey硬件認證、AD/POP3/Proxy單點登錄認證、第三方LDAP/Radius/AD服務(wù)器聯(lián)動認證等,可結(jié)合企業(yè)的具體情況選擇合適的方式。

  ◆最小化業(yè)務(wù)所需訪問權(quán)限,實現(xiàn)職權(quán)對應(yīng)

  IT內(nèi)控要求實現(xiàn)給企業(yè)各組成部門分配與業(yè)務(wù)匹配的訪問權(quán)限。

  深信服建議管理員可設(shè)定策略:

  訪問權(quán)限差異化,僅滿足部門業(yè)務(wù)要求的最小化網(wǎng)絡(luò)訪問權(quán)限(如僅允許財務(wù)部門訪問財務(wù)服務(wù)器,為核心研發(fā)人員配置特殊權(quán)限),封堵與業(yè)務(wù)無關(guān)的應(yīng)用,防止越權(quán)訪問;

  使用流控策略,防止資源濫用;

  為防范泄密與不良輿論事件,封堵論壇、博客、BBS等網(wǎng)站,采取“看貼不能發(fā)帖”“webmail能收不能發(fā)郵件”功能平衡人性化和信息保護要求,并基于多關(guān)鍵字過濾、告警敏感信息(發(fā)帖、郵件)。

  ◆信息安全防護、保護信息資產(chǎn)安全

  潛在的泄密行為、舞弊行為,往往隱藏在正常業(yè)務(wù)數(shù)據(jù)中,如數(shù)據(jù)傳送、文件外發(fā)、郵件發(fā)送。深信服建議IT管理員關(guān)注業(yè)務(wù)數(shù)據(jù)流中的異常信息,除了使用關(guān)鍵字、行為定義預(yù)先發(fā)現(xiàn)外發(fā)敏感信息的行為,還需要對敏感郵件、外發(fā)可疑文件做攔截審計。

  面對來自網(wǎng)絡(luò)的危險,深信服幫助管理員封堵木馬、 遠程控制,發(fā)現(xiàn)并攔截中毒終端對外發(fā)送數(shù)據(jù)的行為,避免無辜員工卷入泄密事件。

  ◆行為記錄和報表分析,作為IT評估依據(jù)

  為進行IT評估、追查安全事件,企業(yè)必須保留適當(dāng)期限的外發(fā)信息日志、上網(wǎng)日志,并使用專業(yè)的可視化設(shè)備進行統(tǒng)計、查詢、檢索。

  深信服建議管理員定期輸出“網(wǎng)絡(luò)運維情況報表”“異常行為智能報表”,了解控制效果,及時發(fā)現(xiàn)潛在的異常行為,既作為IT調(diào)控依據(jù),又可幫助企業(yè)提前預(yù)知風(fēng)險。

  為保障信息安全,建議管理員為組織高層領(lǐng)導(dǎo)配發(fā)“免審計Key”免除過分審計帶來的泄密風(fēng)險,配備“日志查看權(quán)限key”保護日志信息安全。

  綜上,深信服致力于為客戶提供綜合解決方案,幫助客戶實現(xiàn)更低的風(fēng)險、業(yè)務(wù)安全發(fā)布、增強企業(yè)受信度、降低員工流動率、更好的公司治理、快速決策。

最新文章