《2022年国际内审师《内审计作用》基础知识总结(7)》由会员分享,可在线阅读,更多相关《2022年国际内审师《内审计作用》基础知识总结(7)(9页珍藏版)》请在金锄头文库上搜索。
1、 2022年国际内审师内审计作用基础知识总结(7)隐私包括个人隐秘(身体和心理)、活动自由(不受监视)、信息保密(收集,使用、公布个人资料)。个人资料通常与某个特定个人有关的信息。隐私损害是一种风险,指未能通过适当的掌握措施爱护隐私和个人资料可能对组织带来的影响。潜在的薄弱环节普遍存在,一个组织的网站,电子化效劳,信息技术系统,数据库,应用系统,以及通过网络连接的外部效劳供应者和第三方都要关注隐私。隐私可能会损害个人或组织的声誉,引起法律问题,引发客户和员工猜疑,必需进展掌握。内部审计师应当慎重利用和爱护在职责中猎取的信息,不应当以个人目的或有违反于组织道德标准的状况下利用信息。对外公布信息不
2、是内部审计师的职责,而是董事会或审计委员会的职责。隐私具有技术和法律方面的特征,内部审计师可以寻求第三方专家帮忙来评估组织的隐私框架。4.信息或物理安全:a.确定安全方面的薄弱环节。b.确定对违反安全规定的处理。c.报告合规状况。解释:薄弱环节:系统可能被不良目的所利用的某些方面:如系统弱点,安全漏洞,实施缺陷等。经过资产评估,威逼与薄弱环节的识别和评价,采纳适宜的方法确定风险水平和等级,识别和选择恰当的安全掌握方式。信息安全是治理层的责任,包括本组织全部的关键信息,而不管以何种形式保存。信息安全的薄弱环节集中在三个关键要素:保密性:用于隐私和爱护机密的政策和行为,防止非授权侵入的爱护措施。完
3、整性:用以爱护相关信息的完整性。有效性:可以削减瘫痪时间以及加强信息系统在患病破坏、自然灾难、数据损害后的数据快速回复力量。潜在的影响物理安全的薄弱环节:自然灾难(火灾、洪水、地震),信息效劳崩溃(电话,网络,电力,设备故障),人为错误,盗窃和有意破坏,怠工,恐惧行动。不行能毁灭全部信息和物理安全风险,需要有一套风险治理流程准时处理可能暴露的信息或实物损失。通常安全风险治理流程包括:风险识别,风险可能性估量,潜在风险损失的量化,选择风险解决方案。内部审计师应当评价针对过去发生的,以及将来有可能发生的对信息系统的攻击进展预防、发觉和减轻措施是否有效。确认董事会等相关治理机构已被告知这些弱点和订正
4、措施。定期评价本组织的信息安全实务,并提出改良意见和信息的掌握和爱护措施的实施建议,评价后,向相关治理机构提交报告。对违反安全规定的行为和处理应当定期报告董事会,包括治理层处理的措施。要评价遵守法律、法规有关隐私的规定。信息系统应当根据这些要求设计,遵循有关要求,记载遵循状况。2.新技术带来的风险案例:新技术带来的风险(USB存储设备特点和风险)如今都在使用USB数据存储设备来存储数据, U盘具有很大的优势。这类设备面临的风险一局部与过去传统的可移动存储设备如软盘,光盘等面临的风险一样,另外还有一些审计师应当知道的不同的风险。风险新的第三代智能U盘的消失,对于信息和系统的机密性,完整性和可用性
5、更是增加了潜在的风险。假如有恶意用户试图非授权访问应用程序或者网络,他/她可以很简单在网络的计算机上使用支持U3的USB设备,USB驱动器可以安装以下的程序:密码窃取工具:可以捕获全部通过键盘输入的字符,包括搜集用户ID和密码。密码收集程序:可以搜寻windows的密码。病毒:计算机安全公司报导了使用USB设备进展穿透测试的例子。他们把通过把含有恶意程序的驱动器任凭的仍在公司的停车场,毫无戒备的职员到达停车场后,发觉了被感染的驱动器,捡起来并插到自己的计算机上以检验这个驱动器是否还可以使用。于是这样,他们的计算机甚至整个网络都被感染了。弱点扫描程序:可以对网络上的设备进展弱点扫描,收集信息并用
6、于非授权访问。另一种影响重大的风险是用户随便处置或者无意丧失了储存有重要信息的USB驱动器。这些设备简单导致泄密,假如他们没有被物理爱护的话。掌握要削减这些风险的影响,重要的是制定政策。组织应当让大家清晰的知道如何正确的使用USB存储盘。这局部政策应当是整个“可移动介质”政策的组成局部,其制定的根底是组织的风险评估。政策应当指明:依据组织的数据分类政策的规定,确定和批准可以被存储在可移动介质上的数据类型加密要求密码要求用户安全意识培训从中我们可以看出对于新技术,审计人员应当有根本的了解,以便建立必要的风险意识。可能发生的问题(风险):1.用户不了解其角色以及在使用U盘时的责任,从而导致损害敏感
7、信息的机密性。2.合法用户丧失了U盘,导致对于敏感或者机密的信息的非法泄露。3.授权用户把敏感机密信息拷贝到U盘上,以非授权的方式使用。4.非授权个人用户使用U盘对工作站或网络进展破坏,以获得敏感机密信息。可以实行的相应掌握措施:1.1制定关于使用可移动介质的政策和标准,包括全部的领域例如:正确的使用、进展批准制度、数据加密、密码爱护和物理安全等。1.2与终端用户沟通,使其了解使用可移动介质的政策和标准。2.1要求不允许在U盘上存储敏感或机密信息;或者U盘上敏感机密信息,在使用完毕后要求马上删除。2.2对于U盘上存储的数据要进展加密,并设置密码爱护。2.3对于U盘的物理访问安全。3.1在拷贝文
8、件到合法的U盘上时,使用第三方的安全工具记录全部拷贝文件日志。3.2使用基于效劳器的日志记录对于敏感和机密信息的访问。3.3进展适当的掌握,防止非授权的USB设备访问工作站。相应的审计方法和步骤:1.1确定是否存在相关的政策和措施。确定时候否这些政策和措施是最近版本。1.2.确定是否存在有效的与用户沟通的方法,以及是否用户已经具有相应的学问。确定是否认期开展与使用可移动介质风险有关的培训。与其中的用户面谈,确定他们是否熟识组织关于可移动介质使用的政策和标准。2.1确定是否有政策直接要求用户不允许在U盘上存储敏感或机密信息;或者要求用户在使用完U盘上敏感机密信息后,马上删除。随机找一些使用U盘的
9、用户,观察他们U盘上的内容,以确定是否包含了机密和敏感信息。2.2确定是否政策和措施明确要求用户对其U盘上的数据进展加密和密码爱护。确定是否措施中明确解释了为什么要求用户进展数据加密和数据爱护,确定是否有适当的工具可以使用并进展记录。选择一些使用U盘的用户,审查并确定数据有没有遵守政策中数据加密和密码爱护的规定。2.3观看工作环境,观察是否存在担心全的U盘。与一些用户面谈,确定他们存放U盘的场所。3.1确定是否维护了日志文件确定是否存在有效的程序定期审查USB记录,以及当发觉特别行为时,实行何种行动。3.2确定是否效劳器日志记录了对于读取和拷贝敏感机密信息的时间和用户信息。确定是否存在有效的程
10、序定期审查USB记录,以及当发觉特别行为时,实行何种行动。3.3确定工作站有没有进展适当的配置或如何进展配置,以防止非授权的USB设备访问(例如使用第三分安全工具,安全名目,Vista 操作系统等)。审核工作站或掌握工具的配置状况,确保其配置状况适宜。3.口令和加密。什么才是安全的密码?两种根本的加密方式加密技术通常分为两大类:“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采纳,如美国政府所采纳的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。非对称式加密就是加密和解密所
11、使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能翻开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里,由于对称式的加密方法假如是在网络上传输加密文件就很难把密钥告知对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避开了密钥的传输安全性问题。假设用户甲要寄信给用户乙,他们相互知道对方的公钥。甲就用乙的公钥加密邮件寄出,乙收到后就可以用自己的私钥解密出甲的原文。由于别人不知道乙的私钥,所以即使是甲本人也无法解密那封信,这就解决了信件保密的问题。另一方面,由于每个人都知道乙的公钥,他们都可以给乙发信,那么乙怎么确信是不是甲的来信呢?那就要用到基于加密技术的数字签名了。甲用自己的私钥将签名内容加密,附加在邮件后,再用乙的公钥将整个邮件加密。这样这份密文被乙收到以后,乙用自己的私钥将邮件解密,得到甲的原文和数字签名,然后用甲的公钥解密签名,这样一来就可以确保两方面的安全了。
