監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉
重慶OA信息化

當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化

數(shù)據(jù)安全的關(guān)鍵:責(zé)任分離

申請免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

責(zé)任分離是內(nèi)部控制的一項關(guān)鍵機(jī)制。責(zé)任分離是通過在多個人之間分散任務(wù)及其與特定安全過程相關(guān)的特權(quán)來實現(xiàn)的。

責(zé)任分離(SoD)原則廣泛應(yīng)用于金融會計系統(tǒng)中。各個規(guī)模大小的公司都明白角色分離的重要性,如接受分期償還檢查、審批銷賬、存入現(xiàn)金、核對銀行對帳單、審批時間登記卡、保管支票等這些工作都需要由不同的人來擔(dān)任。

責(zé)任分離是人們在處理與錢相關(guān)的工作時通常采用的一種機(jī)制,這樣,欺詐行為至少需要雙方或多方相互勾結(jié)才有可能。這大大降低了欺詐一類的犯罪行為。信息也應(yīng)該通過類似的方法來處理。因此,一個組織的這種責(zé)任分離的設(shè)計很重要,這樣,就不會有任何人可以單獨(dú)地泄露組織的安全控制。

雖然 SoD對于IT組織來說還屬于一種全新的觀點,但是在IT領(lǐng)域,SoD受到了越來越多的關(guān)注,薩班斯-奧克斯利法案(Sarbanes-Oxley Act)的內(nèi)部控制問題有很大一部分都來自或依賴IT。責(zé)任分離是很多日常管制授權(quán)的基本原則,如薩班斯-奧克斯利法案和格雷姆-里奇-比利雷法法案 (Gramm-Leach-Bliley Act)都是依據(jù)這種原則的。因此,現(xiàn)在的IT組織必須在所有功能領(lǐng)域中更加重視責(zé)任分離機(jī)制,特別是在安全領(lǐng)域。

責(zé)任分離與安全相關(guān),主要體現(xiàn)在兩個方面。第一,它能防止利益沖突、侵權(quán)行為、欺詐、濫用私權(quán)及錯誤行為。第二,它能檢測到控制故障,包括安全侵犯、信息竊取、安全控制欺詐等。(安全控制措施用來保護(hù)信息系統(tǒng)免于外界攻擊,從而保護(hù)其上的計算機(jī)系統(tǒng)、網(wǎng)絡(luò)及其數(shù)據(jù)的機(jī)密性、完整性和可用性。)

責(zé)任分離嚴(yán)格限制了每個單獨(dú)個體的權(quán)力和影響力的大小。它還要確保每個個體之間不存在責(zé)任沖突,不負(fù)責(zé)對其自身或上級匯報。

這里簡單地對責(zé)任分離作了一項測試。首先,看看在沒有任何檢測的情況下,是否有人可以改變或毀壞你的財務(wù)數(shù)據(jù)?然后,看看是否有人可以竊取或透露敏感信息。最后,看看是否有人可以對控制設(shè)計和執(zhí)行產(chǎn)生影響,以及是否會對這種控制的有效性的匯報產(chǎn)生影響。如果以上3個問題的答案都是“是”,那么你需要重點考慮一下責(zé)任分離。

負(fù)責(zé)設(shè)計和執(zhí)行信息安全性的人和負(fù)責(zé)安全性測試、安全性審查或是監(jiān)視和匯報安全性問題的人不應(yīng)該是同一個人。因此,每個負(fù)責(zé)信息安全的人不應(yīng)該向首席信息官(CIO)匯報。

以下是在信息安全領(lǐng)域?qū)崿F(xiàn)責(zé)任分離5大關(guān)鍵選項,是基于我的經(jīng)驗按照可接受性程度進(jìn)行劃分的。

● 選項1:讓每一個負(fù)責(zé)信息安全的人都向首席安全官(也即CSO,負(fù)責(zé)處理信息和物理安全的人)匯報,然后讓CSO向CIO直接匯報。

● 選項2:讓每一個負(fù)責(zé)信息安全的人向?qū)彶槲瘑T會主席匯報。

● 選項3:使用第三方來監(jiān)視安全性,對安全檢查執(zhí)行突然襲擊,并且做安全測試,然后,讓第三方向董事會或者是審查委員會主席做匯報。

● 選項4:讓每一個負(fù)責(zé)信息安全的人都向董事會做匯報。

● 選項5:讓每一個負(fù)責(zé)信息安全的人向內(nèi)審人員匯報,只要內(nèi)審人員不向負(fù)責(zé)財務(wù)的執(zhí)行者匯報。

責(zé)任分離顯得越來越重要。由于CSO和首席信息安全官之間的責(zé)任不清晰不明確,導(dǎo)致責(zé)任的混亂。安全性和所有安全控制的開發(fā)、操作和測試的分離很重要。責(zé)任必須要按照這種方式分配給每個不同的個體,從而在系統(tǒng)內(nèi)部建立檢查和平衡機(jī)制,使非法的訪問和欺詐機(jī)率降到最低。

記住,與責(zé)任分離相關(guān)的控制技術(shù)需要接受外部審查人員的檢查。過去,當(dāng)外審人員在判斷風(fēng)險高達(dá)一定程度時,其會在審查報告中列出SoD故障作為一種重要缺陷。IT安全領(lǐng)域執(zhí)行這項責(zé)任分離技術(shù)是遲早的事,既然這樣,為什么不現(xiàn)在就開始與外審人員一起討論責(zé)任分離問題呢?盡早地從他們那獲得對責(zé)任分離的看法和建議,可以節(jié)省你很多成本,并且降低政治沖突。(IT專家網(wǎng))

發(fā)布:2007-04-22 09:10    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)