返回
会计信息系统安全风险2

会计信息系统安全风险2

ID:26993991

大小:264.01 KB

页数:81页

时间:2018-11-30

会计信息系统安全风险2_第1页
会计信息系统安全风险2_第2页
会计信息系统安全风险2_第3页
会计信息系统安全风险2_第4页
会计信息系统安全风险2_第5页
资源描述:

《会计信息系统安全风险2》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第十三章 会计信息系统安全风险管理学习目标熟悉会计信息系统面临的各类风险掌握分析识别系统面临的各类安全问题掌握系统安全需求分析方法掌握风险评估方法和技术熟悉并应用系统安全控制目标和控制措施的选择了解灾难恢复和业务持续计划的重要性掌握制定灾难恢复和业务持续计划的方法,并能有效管理相关计划会计信息系统面临的风险类型信息安全相关问题信息安全管理控制规范会计信息系统的安全问题(1)自然灾害和政治灾难火灾、水灾、地质灾害等自然灾害恐怖活动、战争等政治灾害2006年12月26日台湾地震导致国际海底光缆中断(2)软件错误和设备故障软件程序的BUG、电力中断、通

2、信线路中断等例:用友软件操作过程中遇见的问题会计信息系统面临的风险类型(3)无意识的破坏行为员工安全意识缺乏导致的系统及信息破坏会计无意中删除了重要的账户资料(4)有意识的破坏行为恶意软件、非授权访问和修改、偷窃、消息路径错误和重定向担任世界最大衍生交易市场领导角色的法国第二大银行兴业银行,2008年1月24日爆出该行历史上最大违规操作丑闻。现年30多岁的交易员热罗姆·盖维耶尔通过了银行“5道安全关”获得使用巨额资金的权限,在未经授权情况下大量购买欧洲股指期货,最终给银行造成49亿欧元(约合71.4亿美元)损失。会计信息系统面临的风险类型业务过程

3、风险的类型战略风险:指做了错误的事情。操作风险:指做了正确的事情,但用的是错误的方法。财务风险:指面临财务资源的损失、浪费或偷窃。法律法规风险:指是否面临违背法律法规的风险。信息风险:如是否存在错误的或不相关的信息、不可靠的系统和不正确的报告。信息是一种资产,和其他重要的业务资产一样,对企业而言具有价值,需要保护。信息安全是指防止信息资源的非授权泄露、更改、破坏,或使用非法系统辨识、控制和否认,以确保信息的机密性(confidentiality)、完整性(integrity)、可用性(availability)、真实性(authenticity)

4、及有效性(utility)。信息安全相关问题信息安全一般可以通过实体安全、运行安全、管理安全等方面来加以控制实现。信息安全主要通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性、真实性、可用性等不被波坏。信息安全相关问题机密性是指确保只有被授予特定权限的人才能访问到信息。公开信息敏感信息完整性是指保证信息及其处理方法的正确性和完整性。在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象。信息处理方法正确,错误的操作,有

5、可能造成重要文件的丢失和毁损,甚至造成整个系统的瘫痪。可用性是确保授权用户在需要的时候确实可以访问系统获得所需信息。通信线路中断、网络拥堵都会造成信息在一段时间内不可用,影响正常的业务运营。信息安全相关问题信息安全包括信息系统的安全和信息的安全,并以信息安全为最终目标。实现信息安全必须从管理和技术两方面着手,技术层面和管理层面的良好配合,是企业实现信息安全的有效途径。信息安全不仅仅是技术问题,在很大程度上更多的表现为管理问题。据安永分析,在整个系统安全工作中,管理所占的比重应该达到70%,而技术应占30%。在信息安全实务工作中,人们的注意力通常集

6、中在计算机及其技术的使用、安装、配置以及预防工具滥用等方面,容易忽视使用工具的人。信息安全相关问题常用的信息安全技术密码技术——密码编码、密码分析、认证、鉴别、数字签名、密钥管理、密钥托管等防病毒技术——专用的防病毒软件和硬件。防火墙技术——计算机防火墙、网络防火墙,结合采用过滤技术、代理技术、电路网关技术。入侵检测技术——检测计算中网络中违反安全策略的技术。虚拟专用网VPN技术——集成了鉴别认证、访问控制和密码变换的安全隧道技术。信息伪装技术——将秘密信息隐藏与另一非机密文件内容之中,不同于传统的加密技术,不仅隐藏了信息的内容,还隐藏了信息的存

7、在。单一的信息安全技术往往不能解决问题,必须综合运用多种信息安全技术,实现信息安全。信息安全相关问题信息安全管理是企业用于指导和管理各种控制信息安全风险的、一组相互协调的活动,有效的信息安全管理要尽量做到在有限的成本下,保证安全“滴水不漏”。信息安全管理一般包括制定信息安全政策、风险评估、控制目标和方式的选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作,通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等十个领域内建立管理控制措施,为企业建

8、立一张完备的信息安全“保护网”,保证企业信息资产的安全与业务的连续性。信息安全相关问题信息安全国际标准互操作标准对称加密标准EDS,3D

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。