为了帮助考生更好的掌握2014年国际内审师考试的相关内容,国际内审师考试网特地整理了2014年国际内审师考试相关辅导知识,希望能够帮助您更好的全面备考2014年国际内审师考试!! 祝大家在未来的学习中更进一步
确定安全的薄弱环节
安全包括采取物理上的和程序上的措施来保护组织的建筑物、使用者、建筑物内财产。工作地安全的目标是消除和减少组织财产损失的风险,无论其是有形的还是无形的,无论毁坏原因是人为还是自然灾害。
薄弱环节是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施缺陷等。从技术类别分类,包括主机系统、网络系统、数据库和应用软件系统等的薄弱环节分析。安全薄弱环节评估就是鉴别和理解系统安全的薄弱环节,包括分析系统资产,定义薄弱环节,并提供整个系统的薄弱环节评估报告。
通常信息安全的薄弱环节集中于三个关键要素:
▲ 保密性——关于隐私和保护机密的政策与行为;防止非授权侵入的保护措施;
▲ 完整性——用以保证相关信息完整和正确;
▲ 有效性——可以减少瘫痪时间以及加强信息系统在遭受破坏、自然灾害、数据侵害等后数据快速恢复能力。
通常一些潜在物理安全的薄弱环节是:
▲ 自然灾害(如火灾、洪水、地震)
▲ 信息服务崩溃(电话、网络、电力、设备等的故障)
▲ 人为错误
▲ 盗窃和故意破坏
▲ 恐怖行为
▲ 怠工
要消灭所有的信息或物理安全风险是不可能的,一个组织需要确认他们拥有一套恰当的风险管理流程可以及时处理可能暴露的信息或实物损失。
通常的安全风险管理流程包括如下步骤:
风险可能性估计
▲ 潜在风险损失的量化
▲ 风险识别
▲▲ 选择风险解决方案
经过资产识别与估价、威胁与薄弱环节的识别与评价,应利用适当的的风险测量的方法或工具确定风险的大小与等级,以便识别与选择适当和正确的安全控制方式。内部审计师应当确定管理层和董事会、审计委员会或其他治理机构清楚地认识到信息安全是管理层的一份责任。它包括本组织的所有关键信息,而不论其以何种形式保存。首席审计执行官应当确定内部审计活动拥有或可以接触到有证明力的审计资源,用来评价信息安全及其风险。它包括内部和外部风险(包括与外部实体的关系相关的风险)。内部审计师应当确定董事会、审计委员会或其他治理机构已经向管理层寻求保证,凡是有可能对本组织构成威胁的违背信息安全的行为和情况会迅速地报告给进行内部审计活动的人员。
推荐阅读: