收藏 分销(赏)

信息系统风险管理审计概述.pptx

上传人:a199****6536 文档编号:10259435 上传时间:2025-05-04 格式:PPTX 页数:71 大小:527.48KB 下载积分:16 金币
下载 相关 举报
信息系统风险管理审计概述.pptx_第1页
第1页 / 共71页
信息系统风险管理审计概述.pptx_第2页
第2页 / 共71页


点击查看更多>>
资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,信息系统审计,(信息系统风险管理和连续性计划),杨 烺 (CISA),国际注册信息系统审计师,1,信息系统风险管理审计概述,第1页,主要内容:,信息系统风险,信息系统运行安全控制,物理控制与环境控制,逻辑访问控制,网络控制,连续性计划,(灾难恢复计划),信息系统应用控制,2,信息系统风险管理审计概述,第2页,1.信息系统风险,风险概念:风险是发生某种威胁使资产损失或破坏潜在可能。,风险概念包含以下内容:,威胁、微弱点、处理过程或资产;,对资产基于威胁和微弱点影响;,攻击可能性。,3,信息系统风险管理审计概述,第3页,风险审计管理过程,4,信息系统风险管理审计概述,第4页,信息系统资产,信息和数据,硬件,软件,服务,文档,人员,另外还有一些需要考虑传统资产包含:建筑物、存货、资金和无形资产等。,5,信息系统风险管理审计概述,第5页,信息潜在威胁,错误,恶意破坏,欺诈,偷窃,软硬件故障,6,信息系统风险管理审计概述,第6页,信息系统微弱点,用户缺乏知识,缺乏安全办法,口令缺乏改变,未经测试技术,无保护数据传输,7,信息系统风险管理审计概述,第7页,威胁一旦发生所造成影响,直接经济损失,违反法律,声誉声望受损,员工或客户受到威胁,信心受损,商业机会损失,经营效率与性能降低,商业经营中止。,8,信息系统风险管理审计概述,第8页,整体风险,整体风险是对企业风险整体评价,通常做法是:,影响可能性,9,信息系统风险管理审计概述,第9页,剩下风险,剩下风险是采取控制以后所遗留风险水平。,管理人员使用剩下风险确认一些地方是否需要更多控制办法以深入降低风险。,10,信息系统风险管理审计概述,第10页,2.信息系统运行控制,控制基本概念,物理控制与环境控制,逻辑访问控制,网络控制与互联网使用,11,信息系统风险管理审计概述,第11页,控制基本概念,控制是为实现企业目标,防止、检验、纠正不受欢迎事件发生提供合理担保政策、办法和组织结构。,控制目标是经过实施控制过程要到达目标或结果。,12,信息系统风险管理审计概述,第12页,一些信息系统控制目标:,到当前为止自动系统上数据一直被正确处理和保留,从而处于安全状态。,每项操作都经过授权,而且只处理一次。,全部操作都有统计,而且都是在正确时间段进行。,全部拒绝操作都有汇报。,重复操作有汇报,文件都经过充分备份,以备正确恢复。,对软件全部变动都经核实,并进行了测试。,13,信息系统风险管理审计概述,第13页,预防性控制,作用:,检验发觉未发生问题;,监督操作和输入;,在问题发生之前及时预测和调整;,防止错误、疏漏和欺诈行为发生。,信息系统中常见预防性控制,只雇佣经过良好训练,具备任职资格人员;,职责分离;,对接触或访问各种物理设备进行控制;,使用设计规范文档;,建立适当交接授权过程;,程序化编辑检验;,使用访问控制软件,只有取得授权人员才能访问敏感文件。,14,信息系统风险管理审计概述,第14页,发觉性控制,用于检测发生错误、遗漏或者欺诈、作弊行为,并就当前状态作出汇报。,信息系统中常见发觉性控制有:,哈西总数(hash totals);,生产过程中检测点(check points);,远程通信中回叫(echo)控制;,重复计算检验;,定时汇报各种改变和不一致;,内部审计职能。,15,信息系统风险管理审计概述,第15页,纠正控制,纠正控制作用包含:,降低威胁影响;,对发觉问题进行补救;,确认问题原因;,修正已发问题引发错误;,修改处理系统,降低未来再次发生问题可能性。,信息系统中常见纠正控制包含:,意外事故计划;,备份过程;,系统重启过程。,16,信息系统风险管理审计概述,第16页,综合控制与应用控制,综合控制是对组织各部门设计、安全、使用计算机程序总体上控制。,应用控制是各个计算机应用程序中尤其控制。,综合控制是最低水平控制。综合信息技术控制形成了一个整体控制信息技术行为和确保整体控制目标框架。在此基础上能够深入增加应用控制。,17,信息系统风险管理审计概述,第17页,综合控制与应用控制,18,信息系统风险管理审计概述,第18页,信息系统综合控制,综合信息技术控制主要关注企业信息技术基础,包含任何与信息技术相关政策、过程和工作实践。他们并不针对某一尤其交易流或财务应用系统。大多数情况下,综合控制元素主要集中在信息技术部门或相同部门。,19,信息系统风险管理审计概述,第19页,综合控制主要包含以下几类:,组织和管理(高水平信息技术政策和标准);,职责分离;,物理控制(接触与环境控制);,逻辑访问控制;,系统开发和程序修改;,对计算机人员(包含程序员、系统分析员和计算机操作人员)控制(包含内部和外部信息技术服务);,确保计算机系统可用性控制;,对最终用户计算控制。,20,信息系统风险管理审计概述,第20页,应用控制,应用控制尤其针对某个应用系统,并对交易事务处理产生直接影响。这些控制用于确保全部交易均是正当,经过授权,并被统计下来。因为应用控制与交易流存在关系,所以通常包含:,交易(transactions)输入控制;,处理控制;,输出控制;,固定数据(standing data)和主文件控制。,21,信息系统风险管理审计概述,第21页,物理与环境控制,物理控制:是用于阻止对IT设备未经授权访问,预防其发生故障机制和管理过程。,环境控制:是用于保护计算机软硬件,防止其受到火灾、水灾、灰尘、电源事故伤害行为和过程。,22,信息系统风险管理审计概述,第22页,与物理和环境控制相关风险,(1)物理风险,员工(IT雇员、清洁工、警卫及其它人员)有意或无意破坏;,计算机或其零部件失窃;,电压波动造成设备损坏或数据丢失或损坏;,存在绕过逻辑访问控制旁路;,复制或查阅敏感或机密信息。,(2)环境风险,水灾或火灾破坏,以及其它自然灾害破坏;,电源掉电造成内存数据丢失;,电压不稳造成系统故障、处理错误和设备部件损坏;,因为温度、湿度恶劣造成系统故障;,炸弹破坏;,静电破坏敏感电子部件;,其它诸如。照明设备停工,灰尘或污垢聚集等。,23,信息系统风险管理审计概述,第23页,物理控制,三个方面:,安全区物理控制,管理控制,门禁系统(locks on doors),24,信息系统风险管理审计概述,第24页,安全区物理控制,物理访问安全应基于信息技术设备所处区域定义。比如,能够将一栋大楼、一个计算机房、一个打印间看成一个管理区域。管理区域定义应该清楚明白,雇员能够意识到它边界。,从安全区在外层防护到建筑物入口、计算机间和终端,应该经过多层控制办法,控制对用户站点和安全区域访问。,25,信息系统风险管理审计概述,第25页,管理控制,雇员佩带身份或姓名证章;,解除解聘人员访问权限;,来访人员必须登记,包含他是谁,在哪工作,找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。,办公室无人照管时控制过程。比如当雇员晚上回家或外出吃饭时,应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。,26,信息系统风险管理审计概述,第26页,门禁系统(locks on doors),常见门禁系统包含:,使用机械钥匙锁。,组合门禁系统或密码锁,电子门禁系统,生物门禁系统,27,信息系统风险管理审计概述,第27页,其它常见物理控制办法,电视摄像头,警卫,雇员在上班时间以外控制;,计算机锁,手工日志统计:来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证实。,电子日志:在电子或生物安全系统中,全部来客都要做日志统计,尤其是失败进入试图需要被尤其标识。,控制来客接触:全部来客都应有雇员护送。,28,信息系统风险管理审计概述,第28页,其它常见物理控制办法(续),人员担保:全部服务人员应该有担保。,死人门(deadman doors):该系统使用一对门。前一门未锁上,后一门不能打开。在两个门之间只能有一个人。以预防未经授权人跟随其它人进入。,不宣扬敏感设备位置;,计算机终端锁;,经控制单个输入点;,夜贼警报系统;,安全文件分发车。,29,信息系统风险管理审计概述,第29页,环境控制,火灾预防、检测和扑救,防水,电源保护和控制,高温、通风和空调,维护与房间保洁,30,信息系统风险管理审计概述,第30页,火灾预防、检测和扑救,火灾预防控制,火灾扑救系统包含:,手持灭火器;,一些灭火器适合电子设备,比如二氧化碳或halon(BCF)灭火器。,水灭火器能够放在计算机耗材库房中。,自动灭火系统,自动灭火器通常使用水或halon。Halon对计算机设备无害,而且相对二氧化碳来说,危害较小。,31,信息系统风险管理审计概述,第31页,防水,进入机房水可能来自以下方面:,洪水;,屋顶漏水;,爆裂管道;,洗手间或水池溢水;,冷却系统漏水。,32,信息系统风险管理审计概述,第32页,逻辑访问控制,基本概念,逻辑访问风险,需要保护资源、文件和工具,访问安全框架,操作系统和应用访问控制,日志,33,信息系统风险管理审计概述,第33页,基本概念,逻辑访问安全有三个最基本组成部份,用户身份,通常使用用户名或登录ID号,来表明用户身份。,身份,计算机需要核实这个人到底是谁。能够经过用户拥有,或知道东西加以确认。普通到方法是口令(passwords)、身份证代码、署名或其它生物特征比如手印等。,资源保护,资源是计算机文件、目录和外围设备。资源保护应基于每个用户需要。比如当某个用户登录计算机以后,能够其只能访问一些文件、应用或其它工作需要资源。,34,信息系统风险管理审计概述,第34页,逻辑访问风险,信息缺乏逻辑访问控制主要影响包含:,未经允许泄漏;,未经授权修改;,系统完整性受到破坏。,计算机系统可能受到不一样方面攻击,包含:,(1)黑客,(2)雇员,(3)已解聘雇员,(4)外部人员,(5)供货商或咨询商,35,信息系统风险管理审计概述,第35页,需要保护资源、文件和工具,(1)数据文件,(2)应用软件,(3)口令文件,(4)系统软件和工具,(5)日志文件,(6)缓冲区文件和暂时文件,36,信息系统风险管理审计概述,第36页,访问安全框架,确保充分控制应防范任何可能风险是用户经理责任。管理人员经过制订企业访问安全政策,从而为逻辑访问控制指明方向。,在制订政策时,管理人员应定义企业经营对访问控制需求,及每个系统访问需求。企业安全政策通常是以上较短文档。包含以下内容:,定义,安全政策陈说;,责任,详细逻辑访问控制将基于企业IT安全并向高层陈说。,37,信息系统风险管理审计概述,第37页,操作系统和应用访问控制,逻辑访问控制存在两个层次:系统层次(installation level)和应用层次(application level)。所以访问控制能够建立于:,操作系统(或系统工具),每个应用,每层逻辑访问控制均由不一样管理员实现。IT部门人员负责管理谁能登录网络,以及登录网络以后能够访问什么应用和数据文件。这些人在系统层次控制访问。应用管理员则负责管理在应用软件中谁能做什么。,IT部门系统管理员对操作系统及其资源有更加好了解,知道什么应用软件和工具程序需要保护。这么能够保护系统资源不被外部人员和未经授权IT人员使用。,应用管理员对应用软件以及谁将使用软件比较了解。这有利于应用管理员依据每个用户需要设置访问权限。这么能够确保用户只拥有工作需要访问权限。,系统管理员与应用管理员职责应分离。,38,信息系统风险管理审计概述,第38页,系统级逻辑访问控制,各种操作系统软件中都内置了逻辑访问控制,比如UNIX、Novell、NT。各家产品不一样,逻辑访问控制力度也不一样。一些组织对操作系统安全特征进行了独立测试。美国国家计算机安全信息中心(NCSC)于1983年提出了可信计算机系统评定准则TCSEC(trusted computer system evaluation criteria),要求了安全计算机系统基本准则,通常称为“桔皮书”(orange book)。,桔皮书将计算机系统安全等级划分为四类七级:D、C1、C2、B1、B2、B3、A1。其中A1级是最安全。除非有尤其安全需要,不然多数财务系统都依照C2级标准。C2级标准要求操作系统使用登录控制、审计安全相关事件以及隔离资源等办法,控制访问。所以假如审计人员被通知该系统到达C2级,则意味着系统中包含了用户区分(identification)、身份判定(authentication)和日志(logging)控制。,假如操作系统中没有逻辑访问安全办法,用户能够安装一个独立软件包。比如在IBM大型机中安装访问控制软件包RACF或ACF2。也有一些用于微机安全软件包。,39,信息系统风险管理审计概述,第39页,逻辑访问控制,(1)登录过程(logon procedures),(2)用户区分(identification),(3)身份判定(authentication),(4)资源保护,(5)其它逻辑访问控制,40,信息系统风险管理审计概述,第40页,日志,前面讲述到控制均用于预防非法用户访问计算机系统。而下一步控制则是检测非法用户访问试图和行为。这通常能够从事件日志统计中取得。计算机系统中审计日志普通有两种:安全审计日志和交易审计日志。,安全审计日志用于统计各种用户操作信息。,交易审计日志用于统计交易被系统处理路径和过程。,41,信息系统风险管理审计概述,第41页,网络控制与互联网使用,1与网络相关风险,2网络控制(network controls),3互联网控制(internet control),42,信息系统风险管理审计概述,第42页,与网络相关风险,网络将用户计算机带入了一个辽阔,存在众多潜在匿名用户到空间。一旦客户系统连入了网络,就可能存在被外部人员(黑客)和未经授权同事访问风险。轻易造成:,数据丢失:数据可能被有意删除或在传输过程中丢失。,数据破坏:数据可能被用户破坏,数据传输过程中可能发生错误。比如因为线路噪音干扰,发出数据“1”,接收时变成了“0”。,来自内部或外部欺诈:窃贼不再依赖枪和偷窃工具来打劫银行。一个风度翩翩君子在世界另一端,就能够侵入银行系统,将资金划走。,系统无法使用:网络连接以及服务器都能够被轻易破坏。一个集线器丢失,能够影响众多用户操作处理。通信线路也超出了用户范围而失去控制。,泄密:一旦一些主要 系统比如,人事系统、科研开发系统被连接到网络上,就更增加了信息有意或无意泄漏风险。,病毒与蠕虫感染:蠕虫感染是尤其经过设计,用于网络传输。病毒感染经常发生,用户应经常使用杀病毒软件进行检验,并对杀病毒软件及时升级。,违反版权和数据保护法:因为用户能够从网上随便取得数据和软件,从而造成触犯当地版权和数据保护法。,43,信息系统风险管理审计概述,第43页,网络控制(network controls),网络特点决定了物理访问控制作用是有限。所以在保护网络设备不被滥用和偷窃同时,还需要将精力集中于逻辑访问和管理控制。依据各个用户所确认风险、操作系统、网络控制软件以及网络和通信政策不一样,用户所需逻辑访问控制也不一样。,44,信息系统风险管理审计概述,第44页,审计人员可能碰到控制:,(1)网络安全政策,这可能是企业整体IT安全政策一部分。,(2)网络标准、过程和操作指令,这些应该基于网络安全政策,而且文档化;相关人员应能够得到该文档复印件。,(3)网络文档,用户应有数份描述网络逻辑和物理层次文档。比如网络布线图。这些文档通常作为机密文档保留。,(4)逻辑访问控制,这是尤其主要。用户应确保拥有适当登录口令和资源访问权限。,(5)对外部连接限制,比如调制解调器。这些连接可能是用户系统微弱点,尤其是当这些连接未被允许时。,45,信息系统风险管理审计概述,第45页,审计人员可能碰到控制:,(6)当用户被允许使用调制解调器时,能够考虑使用回叫调制解调器(call back modems)。这种调制解调器只允许由自己呼叫出去连接访问。比如,一个在家办公远程用户希望访问系统。他能够经过调制解调器呼叫办公系统。办公系统建立连接并要求用户提供ID号。然后办公系统断开连接。假如ID号是正确,办公系统按照预先设置好电话号码拨回。在这里是该雇员家中电话。然后该雇员就能够访问系统了。还能够经过使用其它标识(token)来进行控制,确认外部用户确实取得访问系统权限。,(7)网络应该由经过适当培训,具备相当经验雇员管理和控制。管理人员对这些雇员工作进行监督管理。,(8)特定网络事件应该被网络操作系统自动记入日志。应定时检验日志,寻找未经授权行为。,46,信息系统风险管理审计概述,第46页,审计人员可能碰到控制:,(9)使用网络管理和监控软件包和设备。网络管理员能够找到很多工具、软件监督网络使用及网络性能。它们也能够用于检验每个终端用户计算机中所安装软件。,(10)外部供给商和咨询商访问也应受到监督。客户经常允许软件供给商经过远程访问连接对系统进行维护和故障修复。这些工具使用应受到监督,而且只有在需要且经过授权以后才能够使用。远程连接调制解调器只有管理人员同意才能激活,而且一旦任务完成,就应断开。,(11)联入网络终端只能是特定终端。这能够经过终端号码(比如网卡号码)或IP地址进行控制。,(12)数据加密(data encryption)。在一些环境下,用户能够将网上数据加密。即使未授权用户能够搭线窃听获取了数据,也会因为加过密而无法使用。,47,信息系统风险管理审计概述,第47页,审计人员可能碰到控制:,(13)使用应答设备(challenge-response devices)。这是经典手持设备,大小与计算器相仿。这种设备经过允许远程用户对系统提出信号作出应答方式验证远程用户身份。比如当有些人想远程登录系统时,中心系统发出一个“挑战”比如“121288”。远程用户将这个代码输入手持设备。该手持设备生成一个相当“响应”“22233”。普通情况,用户能够有60秒钟将信号输入计算机。中心系统收到响应信号以后,经核实正确就能够允许用户访问系统。这种设备 优点在于每个“挑战”“响应”信号是唯一。所以未授权用户无法重复使用密码访问系统。,(14)使用私有线路或专线,假如线路是私有线路或专线,数据被截取风险就低得多。而且使用专线能够传输更多数据,数据传输错误也较少。,(15)使用数字线路而不是模拟线路。数字线路含有较高容量,不需要调制解调器,不会发生数字与模拟信号转换错误。,48,信息系统风险管理审计概述,第48页,互联网控制(internet control),假如需要将计算机直接连接到互联网络上,那么最安全办法是:,将计算机与主要信息系统物理隔离;,指定有经验可靠管理员管理互联网计算机;,禁止匿名访问计算机。假如一定要话,应防止将目录设为即可读又可写;,从计算机中移走全部无须要数据和软件;,关闭全部互联网服务器上无须要逻辑端口;,监视登录计算机企图;,只有经过仔细检验以后,才将文件在主要信息系统和互联网计算机之间传递。应切记程序能够附带在电子邮件信息中传递;,尽可能少设置互联网计算机用户帐户,并定时更换期密码;,假如不是尤其需要话,应防止运行一些诸如互联网聊天室之类服务器应用。,49,信息系统风险管理审计概述,第49页,其它安全控制技术,防火墙(firewall),口令,访问控制,加密,安全电子邮件PEM(privacy enhanced mail),良好隐私PGP(pretty good privacy),站点安全工具,事故汇报与更改,50,信息系统风险管理审计概述,第50页,连续计划,基本概念,灾难备份系统组成,灾难恢复计划制订,51,信息系统风险管理审计概述,第51页,基本概念,1商业持续计划(business continuity planning,BCP),商业持续能力是指企业在信息系统支持中断情况下继续经营能力以及发生灾难性事件情况下生存能力。商业持续计划用于灾难预测和预防处理。灾难包括从洪水、火灾、地震到劳动市场动荡、重要文件丢失。商业持续计划主要处理两个问题:企业信息完整性维护,保持信息系统运行直到正常业务能重新使用。商业持续计划是在灾难降临时怎样恢复全部经营业务方法,而不仅仅限于信息部门业务。,52,信息系统风险管理审计概述,第52页,基本概念,2信息系统灾难,信息系统灾难是指造成主要业务数据丢失,使业务中止了不可忍受一段时间计算机系统事故,这些事故造成银行丧失了全部或部分业务处理能力,引发企业营业收入下降、信誉降低和形象受损,甚至威胁其生存。造成计算机系统灾难性事故原因有自然灾害、基础设施突发性事故、计算机系统故障和各种人为原因等。,53,信息系统风险管理审计概述,第53页,基本概念,3灾难备份,灾难备份是指为了降低灾难发生概率,以及降低灾难发生时或发生后造成损失而采取各种防范办法。,4灾难恢复,灾难恢复是一个在发生计算机系统灾难后,在远离灾难现场地方重新组织系统运行和恢复营业过程。,灾难恢复目标一是保护数据完整性,使业务数据损失最少甚至没有业务数据损失。二是快速恢复营业,使业务停顿时间最短甚至不中止业务。,54,信息系统风险管理审计概述,第54页,基本概念,5灾难备份中心,灾难备份中心是一个拥有备份系统与场地,配置了专职人员,建立并制订了一系列运行管理制度、数据备份策略和灾难恢复程序,能够负担灾难恢复任务机构。,6灾难应急方案,灾难应急方案是指在发生计算机系统灾难事件时,为了尽可能降低损失,而对计算机应用系统采取抢救办法、故障隔离办法、恢复过程以及工作人员救护和撤离计划等。,7灾难恢复方案,灾难恢复方案是一套为确保在计算机系统发生灾难后恢复业务运行而预先制订一套技术办法、管理方法和处理步骤。它是在充分考虑经济、技术、管理和社会条件可行性基础之上,提出最正确灾难恢复策略。,55,信息系统风险管理审计概述,第55页,灾难备份系统组成,灾难备份系统普通由可接替生产系统运行后备运行系统、数据备份系统、终端用户切换到备份系统备用通讯线路等部分组成。,在正常生产和数据备份状态下,生产系统经过人工或网络传输方法向备份系统传送需备份各种数据。备份中心与生产中心及终端用户关系如图所表示。,56,信息系统风险管理审计概述,第56页,灾难备份系统组成,灾难发生后,备份系统将接替生产系统继续运行,备份中心、生产中心及终端用户三者之间关系如图所表示。此时主要营业终端用户将从生产主机切换到备份中心主机,继续对外营业。,57,信息系统风险管理审计概述,第57页,数据备份方式,当前比较实用数据备份方式可分为当地备份异地保留、远程磁带库与光盘库、远程关键数据+定时备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。,(1)当地备份异地保留,是指按一定时间间隔(如一天)将系统某一时刻数据备份到磁带、磁盘、光盘等介质上,然后及时地传递到远离运行中心、安全地方保留起来。,(2)远程磁带库、光盘库,是指经过网络将数据传送到远离生产中心磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立通信线路。,(3)远程关键数据+定时备份,本方式定时备份全部数据,同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。,58,信息系统风险管理审计概述,第58页,数据备份方式,(4)远程数据库复制,在与生产系统相分离备份系统上建立生产系统上主要数据库一个镜像拷贝,经过通信线路将生产系统数据库日志传送到备份系统,使备份系统数据库与生产系统数据库数据改变保持同时。,(5)网络数据镜像,是指对生产系统数据库数据和主要数据与目标文件进行监控与跟踪,并将对这些数据及目标文件操作日志经过网络实时传送到备份系统,备份系统则依据操作日志对磁盘中数据进行更新,以确保生产系统与备份系统数据同时。,(6)远程镜像磁盘,利用高速光纤通信线路和特殊磁盘控制技术将镜像磁盘安放到远离生产系统地方,镜像磁盘数据与主磁盘数据以实时同时或实时异步方式保持一致。磁盘镜像可备份全部类型数据。,59,信息系统风险管理审计概述,第59页,后备运行系统选择,能够选择后备运行系统包含互助协定、冷站、温站和热站。,(1)互助协定(mutual aid),互助协定是指两个或多个企业达成灾害发生时相互共享资源协定。要使该协定有效必须满足以下条件:,每家企业都必须含有额外信息处理能力,或必须能够降低其业务量,以对另一家发生灾害企业提供援助;,各企业业务系统平台必须兼容;,全部签约方不能都受到灾害影响;,企业之间含有很高信任度。,因为这种方法在合并两家企业 业务系统时,会出现意想不到问题,所以现在已经不多采取。,60,信息系统风险管理审计概述,第60页,后备运行系统选择,(2)冷站(cold site),企业为系统运行提供了最基本环境,比如电源、空调、地板、办公桌椅等设备等。一旦发生灾难能够将恢复设备安装在该环境中。采取冷站备份企业还需 与设备供给商签署紧急情况下,及时供给设备协议。,一旦发生灾难,能够从设备供给商处购置新设备。安装在冷站环境中,用数据备份介质(磁带或光盘)恢复应用数据,手工逐笔或自动批量追补孤立数据,将终端用户经过通讯线路切换到备份系统,恢复业务运行。,优点:设备投资较少,节约通信费用,通信环境要求不高。,缺点:恢复时间较长,普通要数天至一周,数据完整性与一致性较差。,61,信息系统风险管理审计概述,第61页,后备运行系统选择,(3)温站(worm site),温站中装备了部分设备,比如办公环境、通信设备、存放设备等。不过考虑道主机价格比较昂贵,而且需要时,能够快速从供给商处取得,所以温站中没有配置主机。使用温站设备一旦发生灾难,能够快速租借或购置主机,使用定时备份数据,手工逐笔或自动批量追补孤立数据或,将终端用户经过通讯线路切换到备份系统,恢复业务运行。,优点:设备投资较少,通信环境要求不高。,缺点:恢复时间长,普通要十几小时至数天,数据完整性与一致性较差。,62,信息系统风险管理审计概述,第62页,后备运行系统选择,(4)热站(hot site),热站中装备了全套处理设备,能够在数小时内投入运行。也可定时。一旦发生灾难,只需在备份系统上恢复生产系统数据,并对备份后业务事项进行追补就可快速接替生产系统运行,恢复营业。,优点:恢复时间短,普通几十分钟到数小时,数据完整性与一致性最好,数据丢失可能性最小。,缺点:设备投资大。,63,信息系统风险管理审计概述,第63页,后备运行系统选择,(5)镜像系统(mirrored systems),镜像系统是一个相对高成本方案,适合于一些运行非常主要任务 系统。比如航线管理、银行业务等等。这种方法要求在相距较远两个不一样地方,同时运行两套或更多套系统。每发生一笔业务,两套系统中数据同时并行修改。一旦一个系统发生故障,全部业务处理能够直接切换到镜像系统中,对用户不会造成任何影响。美国“911”攻击事件中,总部在世贸大楼摩根斯坦利银行遭到毁灭性打击。不过其业务数据却没有受到任何影响,就是因为采取了镜像系统备份。,64,信息系统风险管理审计概述,第64页,灾难备份技术发展,灾难备份技术发展趋势主要有三个方面:,(1)采取实时热备份技术。实时热备份技术含有一次性投资昂贵、通讯费用高等缺点,但含有最好数据完整性与业务连续性确保。伴随商业银行业务发展及竞争需要,银行业务连续性要求将越来越高,采取实时热备份技术来实现灾难备份是未来发展趋势。,(2)外包方式:灾难恢复计划包括到业务风险分析、方案选择、实施、测试、培训、演练等内容,是一项既复杂又繁锁工作。采取外包方式则可将灾难恢复计划交给专业计算机企业来完成,银行则可专心从事银行生产与经营。,(3)开发灾难恢复计划辅助工具:灾难恢复计划是一项系统工程,开发灾难恢复计划辅助工具与系统是非常必要,它包含:备份策略决议系统,灾难恢复指导系统,自动运行管理系统等。,65,信息系统风险管理审计概述,第65页,灾难恢复计划制订,制订灾难恢复计划需要五个阶段:,阶段I对企业经营环境进行评定;,阶段II分析恢复策略;,阶段III灾难恢复计划文档;,阶段IV设计灾难恢复计划;,阶段V执行、评定和维护灾难恢复计划。,66,信息系统风险管理审计概述,第66页,对企业经营环境进行评定,这个阶段目标是确定企业遭受风险类型和这些风险对信息系统运行潜在影响。主要过程以下:,(1)确定企业最有可能面临风险;,(2)确定企业遭受信息系统运行风险潜在影响。企业应确定以下任务:,企业执行了信息系统那些功效;,确定系统中那些功效对业务成功是至关主要;,确定假如在一小时、一天、一周、一个月或者更长时间内不执行主要功效对企业将造成影响。,最终,企业应对其可能遭受风险进行合理评定,并评定其对业务所造成潜在影响。,67,信息系统风险管理审计概述,第67页,分析恢复策略,这个阶段目标是确定适当信息资源,分析全部可选恢复办法,并挑选最能满足企业目标办法。企业信息系统资源包含:中央计算机、个人电脑、网络、应用软件、系统软件以及数据中心。,68,信息系统风险管理审计概述,第68页,灾难恢复计划文档,以文档形式将灾难计划统计下来,主要步骤包含:,(1)制订恢复时间。企业为每个主要功效安排恢复时间(如主机一定在48小时内恢复,个人电脑必须在一周内更换)。,(2)为每一个主要功效制订恢复行动计划。这个计划包含:应该完成任务、每项任务责任人、时间安排、执行地点、怎样完成。,(3)制订恢复规划表。恢复规划表是灾难发生时需要执行时间规划表。,69,信息系统风险管理审计概述,第69页,设计灾难恢复计划,这个阶段目标是制订灾难恢复计划。主要内容有:,(1)审阅灾难恢复计划。,(2)紧急应对程序。综述在灾难发生时应该采取程序(如计算机关闭、火灾扑灭、疏散和警报程序等)。,(3)灾难应对计划。评定损失、警告职员、执行灾难恢复计划。,(4)恢复运行方法。恢复硬件、软件、网络程序并确保数据及时恢复运行。,(5)怎样恢复运行。在灾难发生地或其它地点恢复运行计划。这个计划应该包含构建新设备、获取新硬件和软件、在实施前测试新系统。,(6)怎样测试和维护数据。测试和维护详细计划。,(7)附录:包含硬件、软件详细目录、职员协议、保险政策、软件安全协议、网络和硬件供给商支持协议以及工作地点之外储存数据列表和怎样取得它指令。,(8)术语汇编。在计划中使用技术性术语定义。,需要注意是,该计划一定要保留在与水火隔离工作环境之外。一旦发生灾难,在必要保护下不会受到破坏。,70,信息系统风险管理审计概述,第70页,执行评定和维护灾难恢复计划,这个阶段主要目标是确保灾难恢复计划按照设计执行,并确保计划被正确地维护。测试范围包含硬件、系统软件、应用软件和远程通信网络。主要步骤以下:,(1)研究灾难恢复计划测试目标和评定准则。尤其是企业需要确定经过测试灾难恢复计划想要到达目标,及怎样评价测试成功和失败。,(2)统计高水平测试灾难恢复计划。企业需要明确确认测试内容和测试方法。,(3)准备详细测试工作计划。,(4)执行测试。,(5)评定测试。,(6)准备测试汇报。,(7)维护计划。定时审查和修订计划。,71,信息系统风险管理审计概述,第71页,
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服