當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
保證數(shù)據(jù)安全的關(guān)鍵之職責(zé)分離原則
職責(zé)分離原則是控制內(nèi)部狀況的關(guān)鍵問題。職責(zé)分離原則是這樣來實現(xiàn)的,通過分配不同的任務(wù)給不同職位的人以及在多個人間針對某個特定的安全操作過程分配相關(guān)的特權(quán)。
職責(zé)分離原則(SoD)這一方式被廣泛地應(yīng)用于財務(wù)會計系統(tǒng)中。各種不同規(guī)模大小的公司都十分清楚不能將各種不同的職責(zé)合并的重要性,例如在財務(wù)系統(tǒng)中這些不同的職責(zé)就包括接收支票(賬戶付款)、批準(zhǔn)注銷、存取現(xiàn)金以及核實銀行報表、審批時間卡和保管好發(fā)票等。
當(dāng)人們在處理和金錢相關(guān)的事務(wù)時有一條常用的準(zhǔn)則,那就是使用職責(zé)分離原則,這樣金錢欺詐行為就需要攻破兩個或多個防線才能實現(xiàn)。使用職責(zé)分離原則能夠大大降低犯罪的可能性,所以說,我們在解決信息安全問題時,也應(yīng)該借鑒這種方法。公司組織很有必采用職責(zé)分離原則,這樣就沒有人能夠憑借個人力量就能實行安全管制,而是需要在多人共同行使職權(quán)的時候才能實現(xiàn)。
職責(zé)分離原則對于IT產(chǎn)業(yè)來說還十分新鮮,但是在薩班斯-奧克斯利法案中來自IT行業(yè)或者與IT行業(yè)相關(guān)的內(nèi)部控制問題里面,有相當(dāng)大部分是關(guān)于IT 行業(yè)中的職責(zé)分離問題,這個問題并不讓人感到奇怪。職責(zé)分離原則是很多監(jiān)管政策(如薩班斯法案和Gramm-Leach-Bliley法案)的一項根本的原則,因此,IT公司組織現(xiàn)在應(yīng)該更多的提高對職責(zé)分離的重視,對所有的IT職責(zé)功能實行職責(zé)分離,尤其是安全部門。
我們這里說到的職責(zé)分離是與安全問題相關(guān)的,它主要有兩個目的。首先第一個目的是防止利益沖突,防止利益沖突的出現(xiàn),防止不法行為、欺詐、濫用職權(quán)以及錯誤等。第二個目標(biāo)是檢測失敗操控,這包括安全漏洞、信息盜竊和安全管制規(guī)避。(安全管制是為了保障信息系統(tǒng)免受因為電腦系統(tǒng)、網(wǎng)絡(luò)以及他們使用的數(shù)據(jù)的保密性、完整性以及可用性導(dǎo)致的攻擊而采取的措施)
職責(zé)分離原則能夠限制權(quán)力的大小或者個人的行使權(quán)力大小,這條原則同樣可以確保人們不會因為職責(zé)問題而發(fā)生沖突或者不能及時對他們自身的問題或者上級的問題提交報告。
對于職責(zé)分離原則,這里有一個簡單的測試。首先,看看是不是有人能夠在不被檢測的情況下更改或者破壞你的財務(wù)數(shù)據(jù);再看看是不是有人能夠偷竊或者泄露關(guān)鍵信息;最后,看看是否某一個人擁有控制設(shè)計與實施以及報告管制的有效性等權(quán)力。如果這些問題的答案都是肯定的,那么你就有必要認真考慮職責(zé)分離原則了。
負責(zé)設(shè)計和實施安全職責(zé)問題的人不應(yīng)該與負責(zé)測試安全、實行安全審計或者監(jiān)測報告安全職責(zé)問題的人是同一個人。因此,負責(zé)信息安全的個人不應(yīng)該向首席信息官報告安全問題,而是另外的人來負責(zé)報告。
這里有五種選擇以幫助我們實現(xiàn)職責(zé)分離,這份清單的順序是根據(jù)我的經(jīng)驗來排列的。
· 選項1: 讓負責(zé)信息安全的人向首席安全官(負責(zé)信息和物理安全)報告安全問題,讓首席安全官直接向首席信息官報告
· 選項2: 讓負責(zé)信息安全的人向?qū)徲嬑瘑T會的主席報告.
· 選項3: 使用第三方來監(jiān)測安全問題、執(zhí)行突擊安全審計以及進行安全測試,并且讓他們向董事會的董事或者報告審計委員會的主席
· 選項4: 讓負責(zé)信息安全的人向董事會報告.
· 選項5: 當(dāng)內(nèi)部審計沒有向負責(zé)財務(wù)的執(zhí)行負責(zé)人報告時,讓負責(zé)信息安全的人向內(nèi)部審計報告.
職責(zé)分離原則發(fā)揮著越來越重要的作用。如果對于首席安全官和首席信息安全官的職責(zé)沒有明確和清楚的分工,將造成安全系統(tǒng)的混亂。我們有必要將開發(fā)、運行和安全測試以及所有管制操作進行職責(zé)分離。所有的職責(zé)都必須分配給個人,這樣就能建立系統(tǒng)內(nèi)的制衡制度,病能減少未經(jīng)授權(quán)訪問和欺詐行為發(fā)生的機率。
請記住,有關(guān)職責(zé)分離的控制技術(shù)問題都需要經(jīng)過外聘審計師的審查。在過去當(dāng)審計師認為安全風(fēng)險很大時,他們會將職責(zé)分離作為審計報告中的物質(zhì)缺乏來處理。當(dāng)然職責(zé)分離要在IT安全充分發(fā)揮其作用還將花費一段時間,那么為什么現(xiàn)在不去和你的外聘安全審計師討論一下職責(zé)分離問題呢?他們的意見能夠為你節(jié)省很大一部分開支和政治內(nèi)訌。(IT專家網(wǎng))
- 1協(xié)同辦公走進大OA平臺協(xié)作時代
- 2管理好網(wǎng)關(guān) 管理好企業(yè)網(wǎng)絡(luò)的進戶門
- 3工程管理OA系統(tǒng)計劃任務(wù)管理系統(tǒng)開發(fā)需求
- 4OA自動化辦公系統(tǒng)支持企業(yè)常用快捷鍵的操作
- 5ERP供應(yīng)商編碼的幾大必備技巧
- 6呼叫中心部署VoIP前的六大注意事項
- 7藍凌協(xié)同辦公解決方案
- 8服務(wù)器和存儲 實現(xiàn)虛擬化最大優(yōu)勢
- 9分析師:思科10億美元云計算計劃雖妙卻險
- 10云計算爭奪戰(zhàn):中國人還在睡覺
- 11從點擊“協(xié)同商務(wù)”開始-上海華欣醫(yī)療集團協(xié)同辦公系統(tǒng)實施案例
- 12虛擬化六大安全問題 有待解決克不容緩
- 13服務(wù)器虛擬化節(jié)省成本像算術(shù)一樣簡單
- 14OA協(xié)同辦公系統(tǒng)解決現(xiàn)狀為企業(yè)帶來益處
- 15復(fù)旦協(xié)達OA協(xié)同辦公系統(tǒng)引領(lǐng)2010
- 16漏洞頻頻曝光 如何保證企業(yè)網(wǎng)絡(luò)安全
- 17把知識管理融入?yún)f(xié)同辦公OA
- 18“云安全”到底是噱頭還是趨勢?
- 19筆者采訪了泛普軟件OA系統(tǒng)的市場部經(jīng)理X先生,詮釋OA行業(yè)新方向
- 20協(xié)同OA系統(tǒng)之知識共享與積累
- 21保障虛擬服務(wù)器環(huán)境安全的二十四個措施
- 22撥開迷霧 中小企業(yè)網(wǎng)絡(luò)建設(shè)技術(shù)淺析
- 23突出重圍 云計算為什么能夠迅速崛起
- 24軟件渠道大會優(yōu)秀產(chǎn)品推薦之:軟易MasterOffice協(xié)同辦公管理系統(tǒng)
- 25移動OA發(fā)展現(xiàn)狀及未來
- 26泛普OA高級文檔管理
- 27軟件渠道大會優(yōu)秀產(chǎn)品推薦之:南電協(xié)同辦公OA系統(tǒng)
- 28為企業(yè)銷售瘦身 如何拒絕臃腫數(shù)據(jù)
- 29VPN訪問外部網(wǎng)絡(luò)不暢的問題應(yīng)該如何解決
- 30SOA數(shù)據(jù)難題主數(shù)據(jù)服務(wù)之困
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓