監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉
重慶OA信息化

當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化

保證數(shù)據(jù)安全的關(guān)鍵之職責(zé)分離原則

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

職責(zé)分離原則是控制內(nèi)部狀況的關(guān)鍵問題。職責(zé)分離原則是這樣來實現(xiàn)的,通過分配不同的任務(wù)給不同職位的人以及在多個人間針對某個特定的安全操作過程分配相關(guān)的特權(quán)。

職責(zé)分離原則(SoD)這一方式被廣泛地應(yīng)用于財務(wù)會計系統(tǒng)中。各種不同規(guī)模大小的公司都十分清楚不能將各種不同的職責(zé)合并的重要性,例如在財務(wù)系統(tǒng)中這些不同的職責(zé)就包括接收支票(賬戶付款)、批準(zhǔn)注銷、存取現(xiàn)金以及核實銀行報表、審批時間卡和保管好發(fā)票等。

當(dāng)人們在處理和金錢相關(guān)的事務(wù)時有一條常用的準(zhǔn)則,那就是使用職責(zé)分離原則,這樣金錢欺詐行為就需要攻破兩個或多個防線才能實現(xiàn)。使用職責(zé)分離原則能夠大大降低犯罪的可能性,所以說,我們在解決信息安全問題時,也應(yīng)該借鑒這種方法。公司組織很有必采用職責(zé)分離原則,這樣就沒有人能夠憑借個人力量就能實行安全管制,而是需要在多人共同行使職權(quán)的時候才能實現(xiàn)。

職責(zé)分離原則對于IT產(chǎn)業(yè)來說還十分新鮮,但是在薩班斯-奧克斯利法案中來自IT行業(yè)或者與IT行業(yè)相關(guān)的內(nèi)部控制問題里面,有相當(dāng)大部分是關(guān)于IT 行業(yè)中的職責(zé)分離問題,這個問題并不讓人感到奇怪。職責(zé)分離原則是很多監(jiān)管政策(如薩班斯法案和Gramm-Leach-Bliley法案)的一項根本的原則,因此,IT公司組織現(xiàn)在應(yīng)該更多的提高對職責(zé)分離的重視,對所有的IT職責(zé)功能實行職責(zé)分離,尤其是安全部門。

我們這里說到的職責(zé)分離是與安全問題相關(guān)的,它主要有兩個目的。首先第一個目的是防止利益沖突,防止利益沖突的出現(xiàn),防止不法行為、欺詐、濫用職權(quán)以及錯誤等。第二個目標(biāo)是檢測失敗操控,這包括安全漏洞、信息盜竊和安全管制規(guī)避。(安全管制是為了保障信息系統(tǒng)免受因為電腦系統(tǒng)、網(wǎng)絡(luò)以及他們使用的數(shù)據(jù)的保密性、完整性以及可用性導(dǎo)致的攻擊而采取的措施)

職責(zé)分離原則能夠限制權(quán)力的大小或者個人的行使權(quán)力大小,這條原則同樣可以確保人們不會因為職責(zé)問題而發(fā)生沖突或者不能及時對他們自身的問題或者上級的問題提交報告。

對于職責(zé)分離原則,這里有一個簡單的測試。首先,看看是不是有人能夠在不被檢測的情況下更改或者破壞你的財務(wù)數(shù)據(jù);再看看是不是有人能夠偷竊或者泄露關(guān)鍵信息;最后,看看是否某一個人擁有控制設(shè)計與實施以及報告管制的有效性等權(quán)力。如果這些問題的答案都是肯定的,那么你就有必要認真考慮職責(zé)分離原則了。

負責(zé)設(shè)計和實施安全職責(zé)問題的人不應(yīng)該與負責(zé)測試安全、實行安全審計或者監(jiān)測報告安全職責(zé)問題的人是同一個人。因此,負責(zé)信息安全的個人不應(yīng)該向首席信息官報告安全問題,而是另外的人來負責(zé)報告。

這里有五種選擇以幫助我們實現(xiàn)職責(zé)分離,這份清單的順序是根據(jù)我的經(jīng)驗來排列的。

· 選項1: 讓負責(zé)信息安全的人向首席安全官(負責(zé)信息和物理安全)報告安全問題,讓首席安全官直接向首席信息官報告

· 選項2: 讓負責(zé)信息安全的人向?qū)徲嬑瘑T會的主席報告.

· 選項3: 使用第三方來監(jiān)測安全問題、執(zhí)行突擊安全審計以及進行安全測試,并且讓他們向董事會的董事或者報告審計委員會的主席

· 選項4: 讓負責(zé)信息安全的人向董事會報告.

· 選項5: 當(dāng)內(nèi)部審計沒有向負責(zé)財務(wù)的執(zhí)行負責(zé)人報告時,讓負責(zé)信息安全的人向內(nèi)部審計報告.

職責(zé)分離原則發(fā)揮著越來越重要的作用。如果對于首席安全官和首席信息安全官的職責(zé)沒有明確和清楚的分工,將造成安全系統(tǒng)的混亂。我們有必要將開發(fā)、運行和安全測試以及所有管制操作進行職責(zé)分離。所有的職責(zé)都必須分配給個人,這樣就能建立系統(tǒng)內(nèi)的制衡制度,病能減少未經(jīng)授權(quán)訪問和欺詐行為發(fā)生的機率。

請記住,有關(guān)職責(zé)分離的控制技術(shù)問題都需要經(jīng)過外聘審計師的審查。在過去當(dāng)審計師認為安全風(fēng)險很大時,他們會將職責(zé)分離作為審計報告中的物質(zhì)缺乏來處理。當(dāng)然職責(zé)分離要在IT安全充分發(fā)揮其作用還將花費一段時間,那么為什么現(xiàn)在不去和你的外聘安全審計師討論一下職責(zé)分離問題呢?他們的意見能夠為你節(jié)省很大一部分開支和政治內(nèi)訌。(IT專家網(wǎng))

發(fā)布:2007-04-22 09:11    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)