日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
職責(zé)分離原則是企業(yè)保證數(shù)據(jù)安全關(guān)鍵之道

職責(zé)分離原則是控制內(nèi)部狀況的關(guān)鍵問題。職責(zé)分離原則是這樣來實(shí)現(xiàn)的,通過分配不同的任務(wù)給不同職位的人以及在多個(gè)人間針對某個(gè)特定的安全操作過程分配相關(guān)的特權(quán)。

專業(yè)從事成都做網(wǎng)站、網(wǎng)站建設(shè),高端網(wǎng)站制作設(shè)計(jì),小程序定制開發(fā),網(wǎng)站推廣的成都做網(wǎng)站的公司。優(yōu)秀技術(shù)團(tuán)隊(duì)竭力真誠服務(wù),采用H5頁面制作+CSS3前端渲染技術(shù),響應(yīng)式網(wǎng)站,讓網(wǎng)站在手機(jī)、平板、PC、微信下都能呈現(xiàn)。建站過程建立專項(xiàng)小組,與您實(shí)時(shí)在線互動,隨時(shí)提供解決方案,暢聊想法和感受。

職責(zé)分離原則(SoD)這一方式被廣泛地應(yīng)用于財(cái)務(wù)會計(jì)系統(tǒng)中。各種不同規(guī)模大小的公司都十分清楚不能將各種不同的職責(zé)合并的重要性,例如在財(cái)務(wù)系統(tǒng)中這些不同的職責(zé)就包括接收支票(賬戶付款)、批準(zhǔn)注銷、存取現(xiàn)金以及核實(shí)銀行報(bào)表、審批時(shí)間卡和保管好發(fā)票等。

當(dāng)人們在處理和金錢相關(guān)的事務(wù)時(shí)有一條常用的準(zhǔn)則,那就是使用職責(zé)分離原則,這樣金錢欺詐行為就需要攻破兩個(gè)或多個(gè)防線才能實(shí)現(xiàn)。使用職責(zé)分離原則能夠大大降低犯罪的可能性,所以說,我們在解決信息安全問題時(shí),也應(yīng)該借鑒這種方法。公司組織很有必采用職責(zé)分離原則,這樣就沒有人能夠憑借個(gè)人力量就能實(shí)行安全管制,而是需要在多人共同行使職權(quán)的時(shí)候才能實(shí)現(xiàn)。

職責(zé)分離原則對于IT產(chǎn)業(yè)來說還十分新鮮,但是在薩班斯-奧克斯利法案中來自IT行業(yè)或者與IT行業(yè)相關(guān)的內(nèi)部控制問題里面,有相當(dāng)大部分是關(guān)于IT 行業(yè)中的職責(zé)分離問題,這個(gè)問題并不讓人感到奇怪。職責(zé)分離原則是很多監(jiān)管政策(如薩班斯法案和Gramm-Leach-Bliley法案)的一項(xiàng)根本的原則,因此,IT公司組織現(xiàn)在應(yīng)該更多的提高對職責(zé)分離的重視,對所有的IT職責(zé)功能實(shí)行職責(zé)分離,尤其是安全部門。

我們這里說到的職責(zé)分離是與安全問題相關(guān)的,它主要有兩個(gè)目的。首先第一個(gè)目的是防止利益沖突,防止利益沖突的出現(xiàn),防止不法行為、欺詐、濫用職權(quán)以及錯(cuò)誤等。第二個(gè)目標(biāo)是檢測失敗操控,這包括安全漏洞、信息盜竊和安全管制規(guī)避。(安全管制是為了保障信息系統(tǒng)免受因?yàn)殡娔X系統(tǒng)、網(wǎng)絡(luò)以及他們使用的數(shù)據(jù)的保密性、完整性以及可用性導(dǎo)致的攻擊而采取的措施)

職責(zé)分離原則能夠限制權(quán)力的大小或者個(gè)人的行使權(quán)力大小,這條原則同樣可以確保人們不會因?yàn)槁氊?zé)問題而發(fā)生沖突或者不能及時(shí)對他們自身的問題或者上級的問題提交報(bào)告。

對于職責(zé)分離原則,這里有一個(gè)簡單的測試。首先,看看是不是有人能夠在不被檢測的情況下更改或者破壞你的財(cái)務(wù)數(shù)據(jù);再看看是不是有人能夠偷竊或者泄露關(guān)鍵信息;最后,看看是否某一個(gè)人擁有控制設(shè)計(jì)與實(shí)施以及報(bào)告管制的有效性等權(quán)力。如果這些問題的答案都是肯定的,那么你就有必要認(rèn)真考慮職責(zé)分離原則了。

負(fù)責(zé)設(shè)計(jì)和實(shí)施安全職責(zé)問題的人不應(yīng)該與負(fù)責(zé)測試安全、實(shí)行安全審計(jì)或者監(jiān)測報(bào)告安全職責(zé)問題的人是同一個(gè)人。因此,負(fù)責(zé)信息安全的個(gè)人不應(yīng)該向首席信息官報(bào)告安全問題,而是另外的人來負(fù)責(zé)報(bào)告。

這里有五種選擇以幫助我們實(shí)現(xiàn)職責(zé)分離,這份清單的順序是根據(jù)我的經(jīng)驗(yàn)來排列的。

選項(xiàng)1: 讓負(fù)責(zé)信息安全的人向首席安全官(負(fù)責(zé)信息和物理安全)報(bào)告安全問題,讓首席安全官直接向首席信息官報(bào)告

選項(xiàng)2: 讓負(fù)責(zé)信息安全的人向?qū)徲?jì)委員會的主席報(bào)告.

選項(xiàng)3: 使用第三方來監(jiān)測安全問題、執(zhí)行突擊安全審計(jì)以及進(jìn)行安全測試,并且讓他們向董事會的董事或者報(bào)告審計(jì)委員會的主席

選項(xiàng)4: 讓負(fù)責(zé)信息安全的人向董事會報(bào)告.

選項(xiàng)5: 當(dāng)內(nèi)部審計(jì)沒有向負(fù)責(zé)財(cái)務(wù)的執(zhí)行負(fù)責(zé)人報(bào)告時(shí),讓負(fù)責(zé)信息安全的人向內(nèi)部審計(jì)報(bào)告.

職責(zé)分離原則發(fā)揮著越來越重要的作用。如果對于首席安全官和首席信息安全官的職責(zé)沒有明確和清楚的分工,將造成安全系統(tǒng)的混亂。我們有必要將開發(fā)、運(yùn)行和安全測試以及所有管制操作進(jìn)行職責(zé)分離。所有的職責(zé)都必須分配給個(gè)人,這樣就能建立系統(tǒng)內(nèi)的制衡制度,病能減少未經(jīng)授權(quán)訪問和欺詐行為發(fā)生的機(jī)率。

請記住,有關(guān)職責(zé)分離的控制技術(shù)問題都需要經(jīng)過外聘審計(jì)師的審查。在過去當(dāng)審計(jì)師認(rèn)為安全風(fēng)險(xiǎn)很大時(shí),他們會將職責(zé)分離作為審計(jì)報(bào)告中的物質(zhì)缺乏來處理。當(dāng)然職責(zé)分離要在IT安全充分發(fā)揮其作用還將花費(fèi)一段時(shí)間,那么為什么現(xiàn)在不去和你的外聘安全審計(jì)師討論一下職責(zé)分離問題呢?他們的意見能夠?yàn)槟愎?jié)省很大一部分開支和政治內(nèi)訌。


當(dāng)前文章:職責(zé)分離原則是企業(yè)保證數(shù)據(jù)安全關(guān)鍵之道
文章路徑:http://m.5511xx.com/article/dpsehcj.html