1、IT 审计审计 培训培训IT 安全:S9/12007,3IT 安全安全第第 10节节遵从遵从IT 审计审计 培训培训IT 安全:S9/22007,3介绍介绍合法性合法性v避免违反法律、规定和合同避免违反法律、规定和合同安全策略和遵从情况的检查安全策略和遵从情况的检查v确保符合组织安全策略的要求确保符合组织安全策略的要求系统审计考虑系统审计考虑v尽可能取得最大效益,并使系统审计过程尽可能取得最大效益,并使系统审计过程的影响最小化的影响最小化IT 审计审计 培训培训IT 安全:S9/32007,3合法性合法性确定适用的法律确定适用的法律知识产权知识产权 组织记录的保护组织记录的保护 数据的保护和个
2、人信息的保密数据的保护和个人信息的保密 防止对信息处理设施的滥用防止对信息处理设施的滥用 密码控制的规则密码控制的规则证据的收集证据的收集 IT 审计审计 培训培训IT 安全:S9/42007,3知识产权知识产权 版权版权 v确保材料所涉及的版权符合法律的限制确保材料所涉及的版权符合法律的限制v违法会导致法律诉讼违法会导致法律诉讼v资料复制的限制资料复制的限制IT 审计审计 培训培训IT 安全:S9/52007,3软件版权软件版权发布软件版权政策发布软件版权政策发布获取软件的标准发布获取软件的标准保护版权政策的意识保护版权政策的意识保持资产的登记保持资产的登记保管所有权许可的证明和证据保管所有
3、权许可的证明和证据实施控制,确保未超过所允许的最大用实施控制,确保未超过所允许的最大用户数户数 IT 审计审计 培训培训IT 安全:S9/62007,3软件版权软件版权执行检查执行检查,只有授权的软件产品才能安只有授权的软件产品才能安装装制定政策来维护适当的许可状态制定政策来维护适当的许可状态制定软件或其它产品处置或转让的策略制定软件或其它产品处置或转让的策略运用适当的审计工具运用适当的审计工具遵守从公共网络上获取的软件和信息的遵守从公共网络上获取的软件和信息的使用条款使用条款IT 审计审计 培训培训IT 安全:S9/72007,3记录的保护记录的保护 记录需要加以保护以满足法定要求记录需要加
4、以保护以满足法定要求对记录进行分类对记录进行分类说明记录的保存期限和存放方式说明记录的保存期限和存放方式按照厂家的建议进行存放按照厂家的建议进行存放确保对电子信息的访问确保对电子信息的访问庭审可接受的证据庭审可接受的证据IT 审计审计 培训培训IT 安全:S9/82007,3记录的保护记录的保护记录的销毁记录的销毁 存诸、处理等的指引存诸、处理等的指引密钥密钥密钥信息源的清点密钥信息源的清点IT 审计审计 培训培训IT 安全:S9/92007,3数据保护和隐私数据保护和隐私处理和传输个人数据的法律要求处理和传输个人数据的法律要求数据保护人员的任命数据保护人员的任命数据保护人员的信息数据保护人员
5、的信息IT 审计审计 培训培训IT 安全:S9/102007,3防止信息处理设施的滥用防止信息处理设施的滥用信息处理设施的滥用信息处理设施的滥用处罚措施处罚措施过程的监控过程的监控访问范围的确认访问范围的确认 告警信息告警信息IT 审计审计 培训培训IT 安全:S9/112007,3加密的规则加密的规则 法律、规定的制度法律、规定的制度硬件和软件的进出口硬件和软件的进出口对加密信息的强制访问和自由裁量对加密信息的强制访问和自由裁量法律建议法律建议IT 审计审计 培训培训IT 安全:S9/122007,3证据的收集证据的收集符合法律要求的证据符合法律要求的证据证据的可接受性证据的可接受性证据的质
6、量和完整性证据的质量和完整性v纸质文档纸质文档 原件的安全原件的安全v电子介质电子介质 复制过程的记录复制过程的记录IT 审计审计 培训培训IT 安全:S9/132007,3安全策略和技术符合性的检查安全策略和技术符合性的检查 与安全策略的符合性与安全策略的符合性 v定期检查,以确保符合性定期检查,以确保符合性v涉及信息系统、系统供应商、信息和资产涉及信息系统、系统供应商、信息和资产所有者、用户和管理层所有者、用户和管理层技术符合性的检查技术符合性的检查 v确保硬件和软件的控制措施已得到正确的确保硬件和软件的控制措施已得到正确的实施实施v需要技术专家的建议需要技术专家的建议v渗透测试渗透测试I
7、T 审计审计 培训培训IT 安全:S9/142007,3系统审计考虑系统审计考虑系统审计控制系统审计控制v审计需求和审计范围的批准审计需求和审计范围的批准v仅限只读访问仅限只读访问v审计资源的识别审计资源的识别v访问的监控以及所有过程和需求的记录访问的监控以及所有过程和需求的记录系统审计工具的保护系统审计工具的保护IT 审计审计 培训培训IT 安全:S9/152007,3总结总结合法性合法性v版权、数据的保护、隐私、证据、信息处版权、数据的保护、隐私、证据、信息处理设施的滥用理设施的滥用安全策略和符合性的检查安全策略和符合性的检查v符合安全策略符合安全策略v技术符合性检查技术符合性检查系统审计考虑系统审计考虑v系统审计控制系统审计控制v系统审计工具的保护系统审计工具的保护