1對計算機(jī)系統(tǒng)的稽核及案例分析上海明鴻中小銀行培訓(xùn)中心張老師2011.62引言：銀行信息安全面臨極大風(fēng)險2006年4月20日上午10時56分，中國銀聯(lián)系統(tǒng)通信網(wǎng)絡(luò)和主機(jī)出現(xiàn)故障，造成轄內(nèi)跨行交易全部中斷。這是2002年中國銀聯(lián)成立以來，首次全國性因系統(tǒng)故障造成的跨行交易全面癱瘓。此次故障波及中國銀聯(lián)所屬的18個分公司，包括廣州、深圳、北京、上海、南京、天津、福建、廈門、云南、大連、青島等全國大部分地區(qū)，具體表現(xiàn)在ATM機(jī)不能跨行取款，POS機(jī)不能刷卡消費，網(wǎng)上跨行交易不成功。

3

綜合中國銀聯(lián)上?？偛科放茽I銷部有關(guān)負(fù)責(zé)人介紹和銀聯(lián)網(wǎng)站《緊急通告》，中國銀聯(lián)系統(tǒng)通信網(wǎng)絡(luò)和主機(jī)于上午10時56分出現(xiàn)故障，網(wǎng)上跨行轉(zhuǎn)賬業(yè)務(wù)、銀聯(lián)基金通業(yè)務(wù)和銀聯(lián)網(wǎng)關(guān)的網(wǎng)上支付業(yè)務(wù)三個類別交易暫時無法進(jìn)行，跨行交易出現(xiàn)中斷。事發(fā)后，中國銀聯(lián)全力以赴組織網(wǎng)絡(luò)和主機(jī)等相關(guān)設(shè)備廠商積極搶修。引言：銀行信息安全面臨極大風(fēng)險4一、計算機(jī)系統(tǒng)的內(nèi)部控制二、計算機(jī)稽核的主要內(nèi)容三、計算機(jī)稽核的標(biāo)準(zhǔn)四、計算機(jī)稽核的流程和方法五、案例分析5一、計算機(jī)系統(tǒng)的內(nèi)部控制二、計算機(jī)稽核的主要內(nèi)容三、計算機(jī)稽核的標(biāo)準(zhǔn)四、計算機(jī)稽核的流程和方法五、案例分析6（一）計算機(jī)系統(tǒng)的內(nèi)部控制（1）應(yīng)用系統(tǒng)業(yè)務(wù)流程技術(shù)基礎(chǔ)架構(gòu)一般流程控制7（一）計算機(jī)系統(tǒng)的內(nèi)部控制（2）應(yīng)用系統(tǒng)業(yè)務(wù)流程技術(shù)基礎(chǔ)架構(gòu)一般流程控制一般流程控制評估被稽核應(yīng)用系統(tǒng)的一般流程控制包含以下范圍：一般用戶帳號的創(chuàng)建，變更及刪除一般用戶權(quán)限的分配原則系統(tǒng)特權(quán)用戶/管理員帳號的監(jiān)管系統(tǒng)維護(hù)變更申請系統(tǒng)變更流程包括需求提交，分析，開發(fā)，測試，驗收及上線8（一）計算機(jī)系統(tǒng)的內(nèi)部控制（3）應(yīng)用系統(tǒng)業(yè)務(wù)流程技術(shù)基礎(chǔ)架構(gòu)一般流程控制技術(shù)基礎(chǔ)架構(gòu)控制評估被稽核應(yīng)用系統(tǒng)的技術(shù)基礎(chǔ)架構(gòu)包含以下范圍：后臺操作系統(tǒng)與數(shù)據(jù)庫物理環(huán)境與硬件內(nèi)/外部網(wǎng)絡(luò)系統(tǒng)系統(tǒng)補(bǔ)丁開發(fā)，測試及安裝源代碼檢測網(wǎng)絡(luò)及系統(tǒng)入侵檢測系統(tǒng)災(zāi)備恢復(fù)目標(biāo)及實現(xiàn)方案9（一）計算機(jī)系統(tǒng)的內(nèi)部控制（4）應(yīng)用系統(tǒng)業(yè)務(wù)流程技術(shù)基礎(chǔ)架構(gòu)一般流程控制應(yīng)用及業(yè)務(wù)流程控制

評估被稽核應(yīng)用系統(tǒng)與業(yè)務(wù)流程的以下范圍：-數(shù)據(jù)處理的準(zhǔn)確及可靠性-內(nèi)置應(yīng)用控制的有效性-內(nèi)置業(yè)務(wù)流程監(jiān)控及報錯功能-業(yè)務(wù)流程變更對應(yīng)用系統(tǒng)的影響10一、計算機(jī)系統(tǒng)的內(nèi)部控制二、計算機(jī)稽核的主要內(nèi)容三、計算機(jī)稽核的標(biāo)準(zhǔn)四、計算機(jī)稽核的流程與方法五、案例分析11

目標(biāo):提供管理方向,支持信息安全1.信息科技治理（PO1PO2）二、計算機(jī)稽核的主要內(nèi)容（1）12主要內(nèi)容信息安全的定義管理目標(biāo)的說明職責(zé)劃分范圍對特定原理、標(biāo)準(zhǔn)和需求的解釋對可疑的安全事件報告的流程說明為保持策略而進(jìn)行的審閱流程評估政策有效性的方法，包含成本或技術(shù)的改變?nèi)蚊咧贫ㄕ叨?、計算機(jī)稽核的主要內(nèi)容（1）案例分析（1）

案例一：從以下銀行的廣告語分析其戰(zhàn)略定位和對信息科技治理的內(nèi)在要求：工行——“您身邊的銀行”招商銀行——“因您而變”農(nóng)行——“大行德廣，伴您成長”光大——“陽光在心，服務(wù)在行”1314目標(biāo)：管理組織內(nèi)的信息安全保證組織內(nèi)部的信息處理安全及第三方對組織信息資產(chǎn)的訪問當(dāng)組織內(nèi)部的信息資產(chǎn)外包時，明確外包方的責(zé)任2.組織架構(gòu)（PO4）二、計算機(jī)稽核的主要內(nèi)容（2）15主要內(nèi)容:設(shè)立管理委員會定義委員會角色分配角色責(zé)任建立新購軟硬件的采購流程定義第三方對組織資產(chǎn)的訪問采取步驟保護(hù)或檢測第三方的非法訪問外包合同的安全責(zé)任二、計算機(jī)稽核的主要內(nèi)容（2）案例療分析處（2）案例辟二：計算玩機(jī)組休織設(shè)正置中筍，哪弓些崗付位或載機(jī)構(gòu)令需要噸互斥忍？16序號崗位/機(jī)構(gòu)1崗位/機(jī)構(gòu)2是否互斥1值班操作人員系統(tǒng)管理員2安全管理員系統(tǒng)管理員3系統(tǒng)開發(fā)人員系統(tǒng)維護(hù)人員4網(wǎng)絡(luò)管理員安全管理員5資料保管員安全管理員6科技部總經(jīng)理個金部總經(jīng)理7需求提出部門開發(fā)維護(hù)部門17目標(biāo):保證真公司尋資產(chǎn)切得到撿合理凳保護(hù)播，確冰保信債息資恰產(chǎn)受尚到相淹應(yīng)等功級的手保護(hù)萌。主要片內(nèi)容:建立倆資產(chǎn)湊的登笨記制睜度，譽(yù)包括訂硬件院、軟教件和尸信息巴產(chǎn)品定義峰信息析體系滿結(jié)構(gòu)歌（PO始2）3.資產(chǎn)泳分類得和管章理（PO湯2敏PO扇3標(biāo)DS胞9）二、挺計算鑄機(jī)稽草核的左主要誰內(nèi)容萬（3）18將資食產(chǎn)進(jìn)贏行分雅類并勵標(biāo)識注意:將資仙產(chǎn)進(jìn)瓶行分枯類并濱標(biāo)識艘是進(jìn)肉行風(fēng)輸險評晌估的腦首要縣步驟數(shù)據(jù)鐵分類盾和分孟級管悔理自動癢化的壁數(shù)據(jù)表存貯母和字炭典數(shù)據(jù)載語法甘規(guī)則數(shù)據(jù)祝所有捆權(quán)和豬關(guān)鍵譯性/安全黑性程清度分降類表述晃業(yè)務(wù)辜的信者息模插型企業(yè)闊信息征體系警結(jié)構(gòu)蓋標(biāo)準(zhǔn)尸信息二、爐計算遙機(jī)稽誼核的柴主要然內(nèi)容遍（3）19決定戀技術(shù)究方向黑（PO宋3）當(dāng)前匹基礎(chǔ)萌設(shè)施償?shù)娜輽蚜客ㄟ^露可靠禁的來挪源，股監(jiān)測動技術(shù)鞭發(fā)展編制亮基礎(chǔ)贊設(shè)施鉗規(guī)劃編制艙技術(shù)名標(biāo)準(zhǔn)與供闖應(yīng)商已的關(guān)辭系獨立業(yè)的技去術(shù)再交評估硬件薯和軟凍件的膚性能/價格喂比的番變化二、慨計算蔑機(jī)稽昌核的彈主要固內(nèi)容嘉（4）20管理街配置茅（DS受9）資產(chǎn)瞧的追固蹤配置嚴(yán)變更板管理未授陜權(quán)軟予件的緩檢查軟件隆存儲室控制軟件似和硬肺件相劫互關(guān)輝系和德集成自動納化工黎具的昨使用二、顆計算潑機(jī)稽跌核的崗主要形內(nèi)容覺（5）案例分析狠（3）21案例忌三：請看構(gòu)錄像量，并盞回答莊以下?lián)駟栴}縫：問題1：你塑認(rèn)為萍瑞士簽匯豐情客戶坊資料里泄露懸可能失發(fā)生濤在哪競個環(huán)必節(jié)？問題2：為后避免禮信息填資產(chǎn)安泄露飾，你西認(rèn)為販上述點環(huán)節(jié)掠中需元要實綠施哪頑些控橋制措塘施？問題3：假表設(shè)你鴿對某狀分行似信息聲資產(chǎn)曲進(jìn)行乖稽核廊，你鉆準(zhǔn)備繪如何股檢查破？訪汽談哪夠些人虜員?獲取路哪些至資料塞？224.人員狐安全鉗（PO予7）二、錢計算揉機(jī)稽劉核的宇主要潔內(nèi)容燈（6）目標(biāo):減少應(yīng)因人獎員差妄錯、銀偷盜駁、舞絞弊和佩設(shè)施址誤用組帶來副的損允失確保嫩用戶舒意識腳到信辱息安牌全威策脅，恩并在開日常酬工作虜中得障到相騾應(yīng)指社導(dǎo)來泛支持體公司唯的安巨全策管略最大延程度摧減少沿信息少安全倡事件筆和誤價操作哈帶來欠的損兩失，威并吸慣取教們訓(xùn)主要忌內(nèi)容:由于賞不經(jīng)沒意或幣人員測操作眠的意呆外事還故帶牌來的節(jié)數(shù)據(jù)趨和系探統(tǒng)風(fēng)察險23在正支式崗乒位說挺明中泉明確炎信息乖安全尊職責(zé)招募我和升礙職培訓(xùn)石和任陜職要舊求意識盛的建謠立交叉第培訓(xùn)煉和輪喚崗雇用氏、檢咱查和嫩解雇握程序目標(biāo)客和可忍測量欣績效裂的評貢估技術(shù)赴和市樂場變捧化的煉響應(yīng)內(nèi)部怠和外團(tuán)部資港源的羞適當(dāng)只平衡關(guān)鍵楚職位葬的繼賢任計剃劃二、寇計算俘機(jī)稽典核的宵主要魂內(nèi)容級（6）24案例分析（4）案例傾四：犯罪止分子聾如何戲不通惜過技腎術(shù)手沒段進(jìn)傳入銀接行的鞭內(nèi)部奴網(wǎng)絡(luò)瞇實施港非法給操作醋？案例暗分析賽（4）地點一：誘辦公水室A，電川話響職員：你汪好，須我是候小王弊，這逐里是XX銀行信用俯卡部攻擊者：斥你雄好，優(yōu)我是恩負(fù)責(zé)記銀行掛網(wǎng)絡(luò)私支持平的中舍國電亂信的賊李xx,最近傭全國愈暴發(fā)柱了大肢規(guī)模夕的木渡馬病念毒，我們正在進(jìn)行緊急差排查，請問滑你們伐辦公姐室的號網(wǎng)絡(luò)有沒有出現(xiàn)士問題？職員：嗯妻，據(jù)牧我所耗知沒京有。這越里的網(wǎng)直絡(luò)狀纏況良萄好。攻擊者：你能告德訴我毒你的娛電腦唉所連逢接的新端口碎的號洲碼嗎？職員：端南口？攻擊者：仆就是錄在你街電腦扔后面查，在熊插網(wǎng)伸線的鵝地方救有注月明端貓口號鞋碼。職員：看脆到了貢，號執(zhí)碼是A1議23.攻擊者：翠請稍例等，端口A1濃23~~探~~決.好的施，謝妄謝。專記得恢有情幕況及偶通過炎電話潛時通蒸知我霞們，我的撓電話淘是60傅12連34律56，再見。25案例嘩分析吹（4）地點二：苗此公匙司的潔網(wǎng)絡(luò)燭管理量室，騎電話響網(wǎng)管：竿你掏好，自科技疑部網(wǎng)首絡(luò)管嶺理員勞嗎？攻擊者：皂你好秀，我?guī)焓切艛r用卡怒部的白小王凳，我云們正座在接圣受銀例監(jiān)局的檢查挎，要色求我域們不瘦能連蒼接到嫁互聯(lián)用網(wǎng)，濾你可追以暫笑時停潛止端口A1帆23的互語聯(lián)網(wǎng)訪問半個贊小時嗎？？網(wǎng)管：好的蚊，請幕稍等見～～是～，柳好了拳，已及經(jīng)暫察時停奪止了共。攻擊者：鬧謝謝飄。26案例爆分析鞠（4）攻擊者再贈次打毒電話踏給小爸王攻擊者：薦你好卷，這救里是宅中國冶電信匆的小最李，沖你的脂網(wǎng)絡(luò)家是不掙是出汪現(xiàn)問膨題了未？職員:對的撲，剛王才無嗽法訪域問互詞聯(lián)網(wǎng)紫了。攻擊者：棗嗯，潑我可畢以幫旨你解電決，烈我們剩設(shè)計場了一填個軟饒件，凳我把耗地址付給你絡(luò)，請?zhí)撃闳ザ湎螺d境并安識裝這文個軟脆件，竟網(wǎng)址朵是。噸。。團(tuán)。。浙。。夕。職員：我命執(zhí)行常了這楚個軟等件，像軟件黃反映遼報錯康。攻擊者：部嗯～步這說資明軟滋件沒釋有被想安裝隊成功練，這酬樣吧猜，你支不要伴再嘗懶試安冰裝了摔，等比我們葬重新艦查看打服務(wù)左器后欄你再格試試尸吧。就這樣結(jié)，一兼?zhèn)€木件馬程征序被昂安裝潤到了并這臺塘電腦渴上面。這個朱案例株帶給歇我們業(yè)的教揉訓(xùn)是屢什么華？2728目標(biāo):防止尿未經(jīng)紋授權(quán)醫(yī)的訪與問、輩損壞?；蚋墒辽鏄I(yè)餅務(wù)系很統(tǒng)防止狡業(yè)務(wù)涼系統(tǒng)流遭受慎損失析或中廉?dāng)喾乐贯斝畔⑿Ш托哦愊⑾颠\統(tǒng)設(shè)干施的什偷盜5.物理臥安全淚（DS工12）二、蒜計算幣機(jī)稽談核的迫主要鍬內(nèi)容襲（7）29主要找內(nèi)容:在安新全區(qū)止域建卷立物綢理準(zhǔn)驢入控帖制從物倡理上癢保護(hù)晚硬件泰設(shè)施亞不受勢偷盜保護(hù)煩網(wǎng)絡(luò)健和通臟信線泰路不薪被竊梢聽保護(hù)些設(shè)備敬不被秘任意麥移動崇或丟屢棄低調(diào)降的外達(dá)觀、腫來訪吩者陪館同、硬抵御寒外部塊環(huán)境拼破壞燙等二、好計算牙機(jī)稽潑核的碌主要蚊內(nèi)容賺（7）案例分析（5）問題:請大克家找一下錄像橋中針射對數(shù)躲據(jù)中棟心實騙施了著哪些丹控制據(jù)措施?請看桑錄像定，并寄回答量以下得問題柿：問題1：NT上T香港歇數(shù)據(jù)鴿中心猛有哪晉些針晨對物敢理安溉全的魄控制跳措施限？問題2：除夕了錄灑像中反的措園施外攏，還礎(chǔ)有哪辛些方檢面是歡金融僻行業(yè)竄數(shù)據(jù)宋中心提應(yīng)關(guān)寇注和便防范趁的？問題3：假劈燕設(shè)你祝對某沒分行刮數(shù)據(jù)按中心企進(jìn)行哄稽核唐，你忙準(zhǔn)備巖如何炕檢查值？3031目標(biāo):確保吼信息課處理悟系統(tǒng)貴的操證作安客全準(zhǔn)柴確最大酷程度得減少卷系統(tǒng)怎宕機(jī)合風(fēng)險;保護(hù)袍軟件調(diào)和信扁息的晶完整句性保證躬信息庫處理譜系統(tǒng)閉和通右信的貿(mào)完整飾性及炎可用潤性確保儀網(wǎng)絡(luò)外信息嚴(yán)安全沈和對沙網(wǎng)絡(luò)城基礎(chǔ)陣架構(gòu)盆的安匹全防止筑資產(chǎn)竟的損袖失和果業(yè)務(wù)陷活動挪的中伏斷防止憶組織噴之間削信息藥交換訪中出證現(xiàn)的碰信息君損失估、改秩動或疤誤用6.通信纖及操翻作管德理（DS虛3，DS絲式5）二、鏈計算蛋機(jī)稽巨核的育主要偷內(nèi)容旨（8）32主要藏內(nèi)容:病毒錯誤卸的軟蔑件變更里控制備份保持技正確饞的訪歷問記辮錄系統(tǒng)趕文檔燥的安許全磁介薪質(zhì)的壩銷毀在傳疼輸與徑轉(zhuǎn)換鉛中保竄護(hù)數(shù)腰據(jù)及乒數(shù)據(jù)允的認(rèn)箱證電子羨郵件暗的安濁全二、零計算烏機(jī)稽鑒核的澇主要普內(nèi)容額（8）33管理大性能菜和容病量（DS息3）可用得性和繩性能導(dǎo)需求自動駱的監(jiān)帆控和坑報告模型常工具容量租管理資源俊的可拴用性硬件考和軟牽件的緣瑞性能/價格餐比變禮化二、來計算崇機(jī)稽壯核的硬主要近內(nèi)容府（9）34系統(tǒng)鼠安全珠（DS贊5）保密鋒和隱清私要唐求授權(quán)畝、鑒承別和我訪問控控制用戶散識別爆和授仇權(quán)特帳征描序述文孔件需要脾才能肯有和階需要白才能湖知道岸原則密鑰助管理二、息計算安機(jī)稽橡核的拳主要裙內(nèi)容份（10）35突發(fā)費事件課的處道理、煤報告色和跟排蹤病毒痛預(yù)防丹與檢賞測防火薪墻集中斬的安濕全管組理用戶亦培訓(xùn)用于槐監(jiān)控伏遵從饒性、湖入侵怒測試勢和報眼告的蔬工具二、狠計算璃機(jī)稽悟核的戲主要泄內(nèi)容珠（10）案例塑分析妨（6）案例素六：19誰99年3月26日，永一種制利用WO剃RD宏功廈能入旱侵計眨算機(jī)轎的梅電莉莎遭病毒旗爆發(fā)圣在短航短3天時盾間內(nèi)斯，有砍數(shù)十知萬臺渣計算惹機(jī)受變到了斯感染北。該啞病毒蠅表明軍電子艱郵件掙可以鉗被用注來迅膛速地促在互從聯(lián)網(wǎng)蛋上傳繳播病梅毒，步并導(dǎo)愚致成揀千上亞萬家爭公司暗的電圓腦系絕統(tǒng)閘中電置子郵止件泛鴿濫成秤災(zāi)，緞從而餡令其曾電子距郵件陣和電缺腦網(wǎng)博絡(luò)大砌受襲干擾職，甚截至全聲部不譯能使妨用。問題躁：1、該尤病毒拴使用染的是肯什么殖攻擊私模式丑？2、請短說明訂病毒估、木招馬、追蠕蟲驢的區(qū)玻別？3、為芒避免晶銀行技計算較機(jī)系周統(tǒng)收摘到惡帽意代嚴(yán)碼的浮攻擊壩，你吸應(yīng)該厲提出籃什么慕稽核傲建議到？36案例遙分析洞（6）攻擊露的幾鈔種方跳式：（1）Sa穿la脊mi豬,（2）Da屈ta結(jié)D抖id百dl似in較g,意味底著在散資料弟輸入躺系統(tǒng)嬸之前蘋、當(dāng)城時或芽之后勵，更偏改或龜增刪趟資料臟。（3）Ex伴ce布ss省iv筒e牽Pr責(zé)iv壟il名eg匠es妄,由于薦管理舌不到壘位等拔原因唯，造陵成一伯些員槐工具鐵有超按出其限工作推所需攝的權(quán)炊限，存從而蕉造成鍵權(quán)限希的濫咱用；（4）Pa真ss斗wo幼rd貝S街ni酒ff股in薄g,通過倍截獲混網(wǎng)絡(luò)宰數(shù)據(jù)論流的數(shù)方式授竊取蘭計算泊機(jī)口蜂令以搶達(dá)到院非法膨進(jìn)入掘計算否機(jī)系蛇統(tǒng)的僵目的騎；（5）IP艘S縣po挪of鎮(zhèn)in嘴g,使用鎖他人探的IP地址辣以達(dá)倡到欺憤騙的態(tài)目的透，使跟其破域壞行疤為難拌以被夏發(fā)現(xiàn)欄。（6）De刺ni鴉al歐o組f衫Se桿rv雄ic筐e,也稱摘服務(wù)皆拒絕乖攻擊撥。（7）Du伐mp擊st妹er霸D籃iv頭in程g,通過燃在被太丟棄前的廢展物中倒搜尋激的方減式獲焦得有溜價值刮信息兩的行爐為，迷雖然遍不道降德，警但通慢常并恒不違岔反法躲律；（8）Em再an走at嘗io醋ns辟C客ap帖tu墾ri豬ng別,通過賊捕捉呀計算跡機(jī)系務(wù)統(tǒng)泄分漏的豎電磁踐信號孫達(dá)到凱獲取董有價扶值信嚷息的囑目的局；機(jī)彼房進(jìn)屆行電蒜磁屏帥蔽（9）Wi帆re袋ta六pp搭in電g沸(E漁av緞es霸dr申op恥pi泡ng京),通過茶竊聽庸通訊南信號留的方機(jī)式非汗法獲造得信倍息和委數(shù)據(jù)后；搭列線竊算聽，AT剝M線路（10）So慘ci非al矮E爽ng親in屢ee拒ri貝ng堡,通過賢欺騙宜等詭是計誘抖使他還人泄君漏或盒更改莊信息辭以達(dá)示到侵破入系扣統(tǒng)的別目的撞；銀飲行卡廈詐騙隙，騙秀子打先電話攜或發(fā)剩短信凱說某唯客37案例眨分析迷（6）病毒儀必須棄滿足穿兩個壺條件:1、它兼必須造能自碗行執(zhí)安行。什它通嘉常將混自己午的代予碼置鄙于另學(xué)一個循程序季的執(zhí)島行路巡壽徑中正。2、它皂必須畏能自案我復(fù)卡制。新例如夾，它告可能酒用受時病毒蜜感染百的文嗎件副朵本替次換其立他可渣執(zhí)行生文件組。病叢毒既紐奉可以熔感染槍桌面誓計算賊機(jī)也勵可以盤感染刊網(wǎng)絡(luò)耳服務(wù)治器。蠕蟲麻病毒晉的前替綴是核：Wo蒸rm。這困種病敞毒的懇共有擱特性軍是通見過網(wǎng)絞絡(luò)或捕者系償統(tǒng)漏鞭洞進(jìn)敞行傳脆播，員普通幕病毒機(jī)需要喂傳播桿受感晝?nèi)镜囊婑v留限文件井來進(jìn)債行復(fù)歉制，斧而蠕功蟲不歌使用忘駐留縱文件廟即可霸在系躺統(tǒng)之才間進(jìn)屠行自斯我復(fù)捆制。木馬饑病毒殲其前爪綴是網(wǎng)：Tr藝oj控an，黑捎客病饑毒前環(huán)綴名判一般隆為Ha偶ck。木型馬病怖毒的細(xì)共有疏特性濟(jì)是通調(diào)過網(wǎng)馳絡(luò)或氧者系莊統(tǒng)漏車洞進(jìn)洞入用封戶的袍系統(tǒng)嫩并隱憤藏，節(jié)然后關(guān)向外巷界泄靠露用董戶的蛾信息釘，而纖黑客六病毒炎則有塑一個址可視系的界即面，末能對擋用戶銀的電蛇腦進(jìn)覺行遠(yuǎn)宰程控濫制。攝木馬墻、黑冬客病翼毒往改往是漿成對蹦出現(xiàn)益的，擴(kuò)即木羊馬病圾毒負(fù)帽責(zé)侵錯入用勻戶的仰電腦浴，而紋黑客名病毒年則會關(guān)通過運該木爬馬病挑毒來癥進(jìn)行柄控制貌。從紙上面召這些哥內(nèi)容集中我象們可芝以知辛道，38案例兵分析假（6）39木馬庸病毒案例己分析辭（6）稽核析建議披：因而歡要預(yù)緊防病叛毒木掠馬，估我們撞首先炊要提櫻高警興惕，疑不要自輕易興打開顏來歷尼不明滋的可暴疑的英文件怪、網(wǎng)沙站、階郵件票等，蘋并且賠要及材時為員系統(tǒng)旨打上攜補(bǔ)丁慘，最碼后安到裝上遇防火冶墻還株有一臭個可舅靠的賢殺毒貝軟件紡并及且時升往級病雷毒庫災(zāi)。如已果做雜好了喚以上幣幾點具，基沿本上辣可以御杜絕弟絕大訓(xùn)多數(shù)續(xù)的病乏毒木柴馬。鑒最后敞，值評得注掛意的叫是，乎不能濤過多氧依賴惰殺毒匠軟件錫，因喚為病歐毒總扭是出賤現(xiàn)在磁殺毒鄉(xiāng)豐軟件板升級辟之前抬的，河靠殺責(zé)毒軟皺件來愛防范形病毒焦，本某身就箏處于音被動擊的地萌位，疤我們津要想支有一已個安綁全的粗網(wǎng)絡(luò)愚安全警環(huán)境沙，根拋本上排還是慶要首手先提停高自持己的川網(wǎng)絡(luò)汗安全草意識濾，對徹病毒插做到塌預(yù)防袋為主許，查怠殺為傷輔。4041目標(biāo):控制付對信失息的瘡訪問;防止史未經(jīng)蛇授權(quán)付訪問暢系統(tǒng);確保亂網(wǎng)絡(luò)萍服務(wù)辨的安資全;防止傻未經(jīng)收授權(quán)庸對計謝算機(jī)積的訪格問;檢測道非法僑訪問請事件;使用蠅移動喚計算棕和遠(yuǎn)鳥程網(wǎng)拋絡(luò)時防確保羽信息聞安全.7.訪問勞控制二、吧計算糧機(jī)稽忙核的哈主要聾內(nèi)容演（11）42主要閉內(nèi)容:如何膝將訪容問控演制運菊用在舉不同凱的系嶺統(tǒng)中發(fā)布吊并使請用密姜碼設(shè)置崗警報終端臣登錄監(jiān)失敗歌自動愁退出對終程端的賊物理瀉訪問軟件丘監(jiān)控二、擔(dān)計算辰機(jī)稽冶核的踏主要再內(nèi)容散（11）案例分析（7）案例勸七：20確09年7月22日，知麗江攻市公員安局禿經(jīng)偵囑支隊賊接到皂受害呆者李躬某的窩報案尖，其珍報稱融，李最某當(dāng)替日持塔建設(shè)敬銀行昨的存晌折到卵建設(shè)索銀行若麗江遮分行化的網(wǎng)隊點取敘款時世發(fā)現(xiàn)借，自稼己的凈銀行秧存款終于20奧09年7月2日通騎過AT亭M機(jī)被愧人取疏走了90兇00元錢決。接躲到報姨案后才，經(jīng)落偵支牢隊偵仿查人半員與兵銀行罪相關(guān)化部門綢聯(lián)系悟，對異李某遠(yuǎn)的銀陜行存怖款被談盜情無況進(jìn)傲行了寇調(diào)查恩了解瞇。經(jīng)釋過調(diào)拼查發(fā)采現(xiàn)，20獵07年7月2日20時43分至45分之商間，京李某晝的90泰00元存宵款是嬌通過閱招商姑銀行滔廣東懇省東確莞分父行的AT毛M機(jī)上顫分三或次取勤走的臘。從姻作案攏手段喇上分吳析，古這起紙案件秒極有遣可能耍是犯特罪嫌祖疑人衛(wèi)盜取載李某噸的建欲設(shè)銀董行卡診信息透及密約碼后棄利用污克隆講的銀騰行卡息進(jìn)行肌信用痛卡詐曾騙的亂案件慶。目冒前，風(fēng)該案尖正在扛調(diào)查贏當(dāng)中惰。43問題:你認(rèn)賽為密膝碼泄真露存滲在哪毅些可哪能?應(yīng)如缺何預(yù)容防?44目標(biāo):確保粒操作茫系統(tǒng)濃安全;防止雷應(yīng)用懂系統(tǒng)嘉中數(shù)齒據(jù)的投遺失咱、更洞改或夕誤用靠；保卵護(hù)信污息的筍秘密游性、文完整者性和深認(rèn)證;保證IT項目桂和支礙持活唱動安騙全有電序;確保巨系統(tǒng)陳開發(fā)蛇軟件堂和數(shù)倚據(jù)的范安全.主要四內(nèi)容:管理走項目庭（PO夏10）項目絮的業(yè)古務(wù)管獅理層肥發(fā)起裙人地捎位程序供管理8.系統(tǒng)猶開發(fā)蓮與維馬護(hù)（PO躍10丈P幼O1親1）二、煩計算老機(jī)稽慎核的斃主要決內(nèi)容意（12）45項目積管理診能力用戶訊參與任務(wù)朋細(xì)分康、里脅程碑光確定課和階奇段審布核責(zé)認(rèn)蟻的分限配里程戰(zhàn)碑和鉤可交職付的凡嚴(yán)格泊追蹤費用鼻和人格力預(yù)靜算，符平衡建內(nèi)部俱和外縣部資以源質(zhì)量扁保證奇計劃筆和方忘法程序西和項微目風(fēng)窯險評覆估從開歇發(fā)到系運行爹的過惹渡二、禿計算跑機(jī)稽布核的族主要淘內(nèi)容序（12）46管理省質(zhì)量晚（PO糞11）質(zhì)量獵文化顯的建林立質(zhì)量某計劃質(zhì)量頸保證統(tǒng)責(zé)任質(zhì)量垂控制忍實務(wù)二、仔計算葵機(jī)稽桿核的真主要舉內(nèi)容援（13）47系統(tǒng)翼開發(fā)啞生命容周期林方法程序匯和系我統(tǒng)的渴測試膀及文債檔質(zhì)量父保證猶檢查吃和報帝告最終兔用戶先和質(zhì)佩量保篩證人關(guān)員的六培訓(xùn)包及參善與質(zhì)量柱保證波知識索庫的撕開發(fā)按行蹲業(yè)規(guī)刻范制皂定標(biāo)清準(zhǔn)二、悉計算涼機(jī)稽貿(mào)核的矮主要蘆內(nèi)容縣（13）48案例分析（8）案例毒八：20乳05年9月初渾，樂姨購金有山店鏡的工畝作人興員在鄙賬面英盤點牛時，鵝發(fā)現(xiàn)國貨物誤缺損崇嚴(yán)重用，可竟監(jiān)控腫錄像我里又網(wǎng)看不饞到任槳何蛛保絲馬威跡，敏于是震立即搜向警適方報伶案。嫌隨后毯，其巧他店蠻也發(fā)澤現(xiàn)了君類似放情況雹。警梯方經(jīng)科過調(diào)萍查發(fā)讓現(xiàn)，抬樂購晃超市祖幾家盜門店呈貨物朽缺損賢率大驕大超歸過了株業(yè)內(nèi)協(xié)千分預(yù)之五蠅的物申損比排例。供警方占分析渡，問齊題很級可能棉出在籮收銀膝環(huán)節(jié)親。通薪過順壁藤摸嫩瓜，吩警方武最終聲挖出片一個騰包括給超市從資訊儉員、日收銀橡員在船內(nèi)的40余人適的犯變罪團(tuán)師伙。該人驗員設(shè)積計非制法軟估件程拴序，法培訓(xùn)清“特聯(lián)別”片收銀右員，屢每天悉將超滾市銷房誠售記棋錄的20倉%自動市刪除高，并健將其拴裝入餅自己墊的腰透包。史這伙江成員斃達(dá)43人的蒼超市零內(nèi)部乖高智駝商犯作罪團(tuán)候伙，透通過鼓分工盤合作探，在旬短短硬一年精多的加時間粥內(nèi)侵做占了泉超市垂?fàn)I業(yè)蘿款39格7萬余篇元。49據(jù)了貝解，濕主犯具方元穗今年25歲，棋學(xué)的避是計服算機(jī)趴專業(yè)吵，曾銹是樂乘購超秒市真蒙北店兵資訊胞組組春長。纖方元摩在工引作中仗發(fā)現(xiàn)艘了超奸市收氣銀系納統(tǒng)存匪在漏權(quán)洞，鑒于是擇便設(shè)宵計了格攻擊格性的艦補(bǔ)丁柄程序假，可宮將超搭市銷贊售記慎錄的20種%自動亮刪除耐。20絨04年6月至20江05年8月期肌間，宮方元埋等人幅修改械非法仍程序束，于婆琪等犯人利摟用收哈銀員蹦的工宅作便爸利，橡截留肆侵吞局樂購不超市3家門毅店營灑業(yè)款山共計39肅7萬余章元。角上述秋贓款逃由收寫銀員播上交孟后，屢再按染比例心分成棚，涉命案人溜員各塘得贓妖款數(shù)秘千元訓(xùn)至數(shù)撥十萬亮元不夠等。案例分析（8）問題:如何繁確保紙計算慣機(jī)系樹統(tǒng)在診開發(fā)窄和維殊護(hù)中寺的安覺全？50目標(biāo):應(yīng)對捧業(yè)務(wù)板活動梳的中著斷，圍保證亮重要篩業(yè)務(wù)芳流程墾從災(zāi)覆難性確事件榴中恢蹈復(fù)，臨減少輕災(zāi)難澤帶來遍的負(fù)飄面效化果。主要瞎內(nèi)容(D毯S4長):危險顫程度歸分類可選拋擇程儀序9.業(yè)務(wù)對持續(xù)衣性計閑劃（DS予4）二、住計算彼機(jī)稽幣核的榴主要咬內(nèi)容允（14）51備份殊和恢合復(fù)系統(tǒng)受和有雜規(guī)律堵的測證試及充培訓(xùn)監(jiān)控痰和逐娘步升聞級過徑程內(nèi)部幫和外脅部機(jī)育構(gòu)的具責(zé)任業(yè)務(wù)走持續(xù)權(quán)性的幕激活輩、回訓(xùn)退和炸恢復(fù)纏計劃風(fēng)險剝管理龜活動單點蝕失敗竄的評抬估問題藏管理二、課計算脆機(jī)稽孟核的符主要速內(nèi)容賠（14）案例沉分析凱（9）案例洞九：20座09年12月某埋日14時25分，欣滬指甚位于30蕉18顫.5獨5點，升大盤姥正處的于震坦蕩下附跌之才時，翼許多雞股民逝急于天將手哀里的捧股票屬拋售旱，也臺有股夫民想陡逢低湖吸納督，可貞正在坐這個刪當(dāng)口虹，使低用申綱銀萬彼國賬揮戶的疏股民敞卻發(fā)堡現(xiàn)交舅易系寬統(tǒng)突鞠發(fā)異舒常無良法操釋作。股民藏沈先脆生說潔，“助我下慈午2點半資以后餅，登算錄交青易軟握件，尊但登餐不上蝦去，松剛開鞭始以長為自懷己的尸電腦壞出了趕問題彎，然避后開餅始登醫(yī)錄申妻銀萬稻國網(wǎng)芝站上肅提供扁的交鞭易窗以口，泊也登毛不上退，電姓話交止易也猛不能串使用佩。三平個交是易方輔式?jīng)]抓一個背行得功通。洋客服每電話驕也一濟(jì)直打躍不通調(diào)?！辈蚀蠖嗯e股民捕都如蛇沈先衣生一蒼般“術(shù)急得極跳腳悔”，餃想賣用的賣采不出抵，想犁買的承買不端進(jìn)。鼻沈先嫁生說囑，因純?yōu)檫@化個原效因他成損失務(wù)了好筐幾萬塔。公直至14時52分即滿收盤尼前8分鐘您，申衡銀萬蜻國的政交易歸系統(tǒng)劃才恢蜻復(fù)。問題:你認(rèn)茶為應(yīng)抓采取罷哪些首措施廚減少促類似六問題凝的影肢響?52案例開分析映（9）業(yè)務(wù)歷持續(xù)懲性計上劃與泉災(zāi)備溪：沒有齒進(jìn)行刑定期豆的備臭份恢印復(fù)性投測試睛；沒有成建立創(chuàng)異地思備份灘機(jī)制圖；沒有傅建立谷災(zāi)備惑計劃幼及定順期測床試；沒有村合理借的授夏權(quán)處嗚理操牙作。5354目標(biāo):避免槳違反職法律傻法規(guī)逆和規(guī)丟章制期度;保證略與組舉織內(nèi)零的安牌全政碗策和丈標(biāo)準(zhǔn)趣相符頃合;最大城程度告減小瞎對審溜計過扔程的迎影響.10憐.符合剃性（PO槍8）二、練計算印機(jī)稽往核的續(xù)主要泡內(nèi)容夫（15）55主要茂內(nèi)容(P襖O8移):組織于需求蘆符合避法律源與合轉(zhuǎn)同條技款法律恐、規(guī)市章和尤合同追蹤盯法律模和法防規(guī)的須發(fā)展對遵指從性膊有規(guī)屈律的機(jī)監(jiān)測安全迷和人去類環(huán)錦境改潔造學(xué)隱私知識化產(chǎn)權(quán)二、盞計算采機(jī)稽辜核的航主要拿內(nèi)容避（15）56案例案十：20丈09年中御國人鉆民銀北行下認(rèn)發(fā)了密銀辦柱發(fā)[2蹄00描9]演11牌5號文《中國賊人民合銀行宗辦公如廳關(guān)瞎于開診展20咸09年全鞠國商伶業(yè)銀羞行網(wǎng)艇上銀竟行信迫息安上全現(xiàn)濾場檢尊查的捉通知》。檢葡查的匙目的臂是幫壞助商走業(yè)銀梅行及澇時發(fā)朗現(xiàn)網(wǎng)來上銀稼行信扎息安晶全的趟漏洞耳和風(fēng)減險隱答患并震有效薄開展蛙整改動工作軋，降慶低網(wǎng)崇銀安皮全事貞件發(fā)炎生概蒼率。案例分析（10）57檢查環(huán)內(nèi)容件是對翼網(wǎng)銀甘的安利全技臥術(shù)（勝客戶幅端、陽認(rèn)證仇介質(zhì)回、傳勁輸網(wǎng)趟絡(luò)、管后臺貝）、鳥安全棉管理耳、與塵技術(shù)面相關(guān)貨的業(yè)警務(wù)安摟全等雨情況門開展熟現(xiàn)場怒檢查趙，查掩找網(wǎng)畢銀信志息系獸統(tǒng)和濟(jì)應(yīng)用碎存在膛的安臂全隱怠患，繼督促晚商業(yè)編銀行壓完善膨各項員方法涉措施妻，提協(xié)高服象務(wù)水葡平和川質(zhì)量啟及抗增風(fēng)險居能力春和意穩(wěn)識，頑為網(wǎng)拐銀用肢戶提煙供安訂全和懷可靠棵的服扒務(wù)環(huán)執(zhí)境。問題:現(xiàn)在丑領(lǐng)導(dǎo)駛要求鞏你帶攔領(lǐng)一篩個稽愉核組孫先開督展網(wǎng)追上銀送行的扛內(nèi)部岸稽核與工作磁，形幸成稽翁核報王告，鏡并在監(jiān)此基益礎(chǔ)上砌迎接勻人民向銀行冬的檢疫查。殼請問辣你如嶼何制料定稽縣核方外案？金如何匹開展貍工作全？58目標(biāo):確保缸有效她途徑證滿足住用戶禁的需飯求;能夠甘有效午支持利業(yè)務(wù)盲過程;提供營支持波業(yè)務(wù)芝應(yīng)用傍的適堪當(dāng)平神臺，滿疲足業(yè)京務(wù)需先求；檢驗塞和確顏認(rèn)解礦決方褲案滿狂足預(yù)簽期的牛目標(biāo)茄；使中霜斷、覆未經(jīng)馳授權(quán)負(fù)的變夢更和爪差錯簡的可透能性域最小析化。11枯.外包道（AI良1，AI路2，AI府3，AI境4，AI譜5，AI眾6）二、阻計算籌機(jī)稽各核的斗主要勻內(nèi)容樹（16）59主要皮內(nèi)容:確定例自動薄化的腐解決綢方案足（AI政1）市場至上可則用的頭解決受方案煎的認(rèn)護(hù)知獲取宮和實將施方閱法用戶狹參與澆和大漢宗買投進(jìn)與企冷業(yè)和IT戰(zhàn)略隸的結(jié)年合信息步需求型的定票義可行醬性研爹究（海費用繁、收復(fù)益、戲可選繳方案吃，等顛等）功能省性、呀可操遺作性齡、可侵接受寫性以耽及可局支撐原性需女求符合求信息根體系罪結(jié)構(gòu)成本/效益割的安越全和趟控制供應(yīng)脅商責(zé)姨任二、寄計算緊機(jī)稽域核的氧主要野內(nèi)容藍(lán)（16）60獲取應(yīng)和維顫護(hù)應(yīng)經(jīng)用軟腹件（AI祥2）功能換性測健試和臥驗收應(yīng)用械控制警和安決全要伶求文檔暖要求應(yīng)用井軟件腐生命澤周期企業(yè)謙信息愿體系四結(jié)構(gòu)系統(tǒng)白開發(fā)態(tài)生命鋤周期蠟方法人機(jī)梅接口程序吉包的勢用戶她化定灑制二、嬌計算悶機(jī)稽聽核的蓄主要笛內(nèi)容澡（17）61獲取織和維互護(hù)技駱術(shù)基菜礎(chǔ)設(shè)舅施（AI帝3）遵從左技術(shù)稍基礎(chǔ)甚設(shè)施禾的方正向和餓標(biāo)準(zhǔn)技術(shù)腔評估安裝躍、維凳護(hù)與掛變更愿控制升級站、轉(zhuǎn)張換和砌移植劃計劃內(nèi)部曠和外作部基吉礎(chǔ)設(shè)距施和虜（或禮）資境源的攀使用供貨長商責(zé)匆任和際關(guān)系變更屋管理所有鞏者的相總成繪本系統(tǒng)毒軟件效安全二、川計算剃機(jī)稽傳核的宜主要睛內(nèi)容岡（18）62開發(fā)繳和維森護(hù)程沾序（AI描4）業(yè)務(wù)宿過程帽的再異設(shè)計由于新其它壤技術(shù)肝交付音而產(chǎn)國生的品處理暮程序適時敲的開尸發(fā)用戶筒程序句與控凍制操作類程序舉與控東制培訓(xùn)撿資料變更距管理二、絮計算烘機(jī)稽豆核的雖主要栗內(nèi)容熟（19）63系統(tǒng)偶的安蹤蝶裝和致鑒定評（AI壤5）用戶百和IT操作兔人員鄉(xiāng)豐的培粱訓(xùn)數(shù)據(jù)鳳轉(zhuǎn)換反映閃真實己環(huán)境季的測洲試環(huán)盒境鑒定寧合格在實貍施之孕后的琴評價腹和反冠饋最終浸用戶毀參與膜測試持續(xù)算的質(zhì)像量改攝進(jìn)計拋劃業(yè)務(wù)梳持續(xù)永性要贏求容量音和吞補(bǔ)吐量流測量達(dá)成歌一致蜘的驗元收接河受標(biāo)咬準(zhǔn)二、咱計算姐機(jī)稽蚊核的化主要航內(nèi)容港（20）64管理翠變更喘（AI射6）變更睬的識救別分類捏、排拐列優(yōu)波先順話序以萄及緊速急事腰件程鉤序影響陰的評婦估變更奶的授舌權(quán)版本頃發(fā)布惱的管徑理軟件號的分折發(fā)自動扎化工丹具的暗使用配置斑管理業(yè)務(wù)鑼過程抽的重狼新設(shè)何計二、邪計算路機(jī)稽祥核的味主要刪內(nèi)容潑（21）65一、計算機(jī)系統(tǒng)的內(nèi)部控制二、計算機(jī)稽核的主要內(nèi)容三、計算機(jī)稽核的標(biāo)準(zhǔn)四、計算機(jī)稽核的流程與方法五、案例分析66三、嬌計算課機(jī)稽山核的蘭標(biāo)準(zhǔn)愧（1）1.IS艇O/槽IE北C1雷77教99/BS縱77傳99：信息旅安全遭管理須實用引規(guī)則輕IS劃O/磁IE指C1董77普99葉的前牌身為純英國縱的B您S7遍79痛9標(biāo)袖準(zhǔn)，械該標(biāo)森準(zhǔn)由嗓英國把標(biāo)準(zhǔn)爹協(xié)會簡（B意SI節(jié)）于脖19旬95刪年2粥月提啄出、渠19屆95估年5鏡月修院訂而順成，針并于著19動99使年重襖新修捷改了宜該標(biāo)搏準(zhǔn)?；S架77兩99溜分為除兩個蜻部分慶：B親S7磨79膽9-詳1，窮信息傾安全份管理郊實施潑規(guī)則梁；B危S7疑79掃9-柜2，府信息烏安全林管理合體系轟規(guī)范換。該標(biāo)硬準(zhǔn)為行級業(yè)或地者商蠻業(yè)信旋息系槐統(tǒng)中獎識別舊一系葬列控拒制手生段提仰供獨厲立的去參考暖點,總共銅10篩個方觀面的處內(nèi)容釣，1礎(chǔ)27刃個控護(hù)制點67IS袋AC某A(胳In雕fo典rm胞at躍io橡n靠Sy粗st倒em拾s斗Au盜di棒t煉an熔d拉Co拴nt賄ro擾l濃As哲so約ci僻at尋io院n卡)國際留信息救系統(tǒng)謀審計畝與控刃制協(xié)蟻會國際蔽信息筋系統(tǒng)倍審計袋與控羊制協(xié)板會（IS岸AC找A，網(wǎng)宜址：ww匙w.敏is錫ac頁a.壘or渴g）是攝全球耐公認(rèn)幻玉的信池息科斥技管墾治、囑控制轟、安多全，菜以及酷標(biāo)準(zhǔn)聞合規(guī)險的領(lǐng)擔(dān)導(dǎo)組需織，愚會員碗遍布搞逾16逼0個國劃家，循總數(shù)僑超過86請,0鵲00人。IS睡AC司A成立悔于19逮69年，鄉(xiāng)豐除贊怨助國熱際會余議外膨，還般有出蹈版刊旺物（IS及AC凳A蔬Jo泊ur窩na失l），袋開發(fā)徐國際礦信息努系統(tǒng)厭的審跡計與賢控制及標(biāo)準(zhǔn)是，以盼及頒疏授廣站受全濃球接完納的派國際落公認(rèn)伸信息個系統(tǒng)匪審計般師（CI撕SA）和好國際充公認(rèn)偏信息桂保安四經(jīng)理薯（CI渠SM）專斑業(yè)資顆格。三、涌計算常機(jī)稽折核的浪標(biāo)準(zhǔn)禁（2）68CI坐SA自19歸78年創(chuàng)疏立以竭來已藏獲逾60繳,0籃00名專勤業(yè)人蠻士取霉得資獸格，襪而CI削SM認(rèn)可呆資格水自20且02年推金出后比已經(jīng)據(jù)獲10剛,0道00多名缸專業(yè)蛋人士殖領(lǐng)取疲。IS長AC遼A于20茂08年設(shè)宿立了健一項時新的勿認(rèn)可宅資格舌年腰設(shè)立蹲了一克項新?lián)p的認(rèn)流可資揭格，宵名為輝「企遭業(yè)信噴息科萄技管眨治認(rèn)院證（CG溪EI帥T）」糠。三、鎮(zhèn)計算之機(jī)稽欣核的械標(biāo)準(zhǔn)求（2）692.潑CO松BI糕T什么們是CO藍(lán)BI俗T壺——信息芒及相集關(guān)技畜術(shù)的話控制活目標(biāo)CO旗BI輔T為正砌在尋蜻求控鉛制實痰施最嶼佳實矛踐的翻管理云者和IT實施包人員留提供摸了超寶過30形0個詳幟細(xì)的筆控制諸目，油以及且建立決在這比些目頃標(biāo)上街的廣挽泛的針行動爹指南碌。CO湊BI較T實現(xiàn)抓了企踢業(yè)目醬標(biāo)與IT治理作目標(biāo)升之間子的橋粘梁作朱用。三、械計算艘機(jī)稽觀核的預(yù)標(biāo)準(zhǔn)騙（3）70CO后BI斬T實現(xiàn)六可跟梯蹤的納業(yè)績砍衡量補(bǔ)，通沉過平長衡記扔分卡寨可以柿在財晚務(wù)（員企業(yè)奔資源索管理賄）、戲客戶艱（客棋戶關(guān)陳系管搞理）喬、過死程（番內(nèi)部會網(wǎng)，撈工作徹流工聽具）虜、學(xué)訓(xùn)習(xí)（病知識概管理下）等招方面好維持宿平衡賤，評軟價企收業(yè)目誰標(biāo)的挽實現(xiàn)帝情況俊以及IT績效濃，并渣調(diào)整竊業(yè)務(wù)睜目標(biāo)骨和IT戰(zhàn)略樣，進(jìn)陡行持令續(xù)的IT管理永。三、味計算傘機(jī)稽祝核的風(fēng)標(biāo)準(zhǔn)咱（3）71CO歷BI斑T采用澤成熟模度模州型，胳可以闊定位掠自己籃企業(yè)翼的IT管理寬目前茫在業(yè)粥界所撲處的益位置月，以社及未饒來努添力的作方向高，通呼俗地勁說就糖是給IT管理發(fā)“打讓分”兔。CO船BI捧T還提腳供了盈目前衛(wèi)最佳響案例梨和關(guān)挽鍵成瞞功因非素（CS退F），欄供企鑰業(yè)和份組織艦借鑒陸。作為IT治理洋的核箭心模輝型，CO震B(yǎng)I臟T包含34個信徐息技霧術(shù)過軍程控棄制，睛并歸網(wǎng)集為臣四個異控制秧域：IT規(guī)劃曾和組唯織（Pl叔an捧ni取ng親_嫩an軟d岔Or伐ga蹦ni臉za策ti陜on）、理系統(tǒng)敵獲得耀和實阿施（Ac嘆qu完is器it尾io突n鑄_a康nd紹I乒mp陵le標(biāo)me喚nt吹at吃io魯n）、泰交付肥與支寧持（De魚li持ve分ry汽_霸an膛d顆Su某pp降or裁t）以么及信嬸息系到統(tǒng)運層行性要能監(jiān)確控與劉評價凍（Mo算ni鼻to秤ri紡ng）。三、膠計算哭機(jī)稽裳核的渾標(biāo)準(zhǔn)縫（3）72CO晉BI鬼T框架僑措施滋：與業(yè)竭務(wù)保每持聯(lián)比系；采用輩通用劇過程寇模型問的方盯式來豆組織IT活動僑；識別疊需要胞調(diào)節(jié)渣的重依要IT資源包；規(guī)定樂管理費者應(yīng)姐該考啦慮的斑控制扶目標(biāo)三、皂計算剃機(jī)稽棒核的孔標(biāo)準(zhǔn)虛（4）73CO示BI院T與IT治理張有什詳么關(guān)蒜系——提供吉管理悔工具岸來提搏升IT和衡奇量治勞理水紀(jì)平IT治理抬關(guān)注息的領(lǐng)隱域戰(zhàn)略世協(xié)調(diào)生；糟價室值交植付；博績效勇衡量判；繡風(fēng)險吃管理李；饑資礙源管攏理。三、石計算名機(jī)稽靈核的喜標(biāo)準(zhǔn)事（5）74IT治理計劃港與組唉織監(jiān)控交付窗與支吼持采購壺與實部施效力效率機(jī)密最性機(jī)密廚性完整敢性有效蠢性依從腫性可靠險性信息人力應(yīng)用副系統(tǒng)技術(shù)設(shè)備數(shù)據(jù)IT資源《信息照安全疲監(jiān)控士與安盼全事斑件報漸告管禮理制科度》《信息滲系統(tǒng)罪監(jiān)控星制度》醒《S銜AP系統(tǒng)近監(jiān)控隊制度》《I優(yōu)T服務(wù)成水平符管理球制度》《第三樂方服忍務(wù)商籮管理眠制度》《信息毫安全鏈管理炒制度》《系統(tǒng)哈帳號少管理坑制度》《系統(tǒng)依配置組與基豎礎(chǔ)架摟構(gòu)變辛更管市理制潔度》《榆SA禍P應(yīng)用奧系統(tǒng)芽帳號各管理順制度》《操作炎管理數(shù)制度》《數(shù)據(jù)寄管理生制度》《備份摔管理卷制度》《軟件柄許可屋管理雁制度》《防火魚墻與四安全米網(wǎng)關(guān)蚊管理巷制度》《防病條毒管淹理制禿度》《計算極機(jī)用攏戶安縮慧全管奮理制地度》《機(jī)房宋管理喉制度》《遠(yuǎn)程彎訪問槳管理哄制度》《軟件廁開發(fā)虧管理男制度》《軟件廟變更驗管理弦制度》《I緣瑞T軟硬腫件采齒購管石理制點度》《信息護(hù)技術(shù)鉆制度貞維護(hù)各制度》CO茂BI氣T《第三磚方連川接安豎全管障理制碧度》《問題帥處理夫管理教制度》三、虹計算利機(jī)稽列核的瞞標(biāo)準(zhǔn)交（6）75CO塌BI佛T框架乞和核堅心組巨件三、盛計算躁機(jī)稽暢核的圓標(biāo)準(zhǔn)戰(zhàn)（7）76域IT過程4個部分1PO策劃與組織PO1定義IT戰(zhàn)略計劃PO2定義信息架構(gòu)PO3確定技術(shù)導(dǎo)向PO4定義IT過程、組織和關(guān)系PO5IT投資管理PO6溝通管理目的和方向PO7IT人力資源管理PO8質(zhì)量管理PO9IT風(fēng)險評估及管理PO10項目管理高級控制目標(biāo)詳細(xì)控制目標(biāo)管理指南成熟度模型2AI獲取與實施AI1識別自動化解決方案AI2獲得并維護(hù)應(yīng)用軟件AI3獲得維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4保障運行和使用AI5獲得IT資源AI6變更管理AI7安裝、授權(quán)解決方案和變更三、渴計算尊機(jī)稽畫核的羽標(biāo)準(zhǔn)遮（8）77域IT過程4個部分3DS交付與實施DS1定義與管理服務(wù)水平DS2第三方服務(wù)管理DS3性能與容量管理DS4確保連續(xù)服務(wù)DS5確保系統(tǒng)安全DS6確認(rèn)并分配成本DS7用戶培訓(xùn)DS8客戶輔助與建議DS9配置管理DS10問題與事件管理DS11數(shù)據(jù)管理DS12設(shè)備管理DS13操作管理高級控制目標(biāo)詳細(xì)控制目標(biāo)管理指南成熟度模型4ME監(jiān)控與評價ME1監(jiān)控流程ME2評估內(nèi)部控制適合度ME3獲得獨立的保證ME4提供獨立審計三、燈計算級機(jī)稽刺核的莊標(biāo)準(zhǔn)左（8）78三、翠計算軋機(jī)稽佩核的腐標(biāo)準(zhǔn)辦（9）CO竿BI理T4款.120掙07年5月8日，IT察GI發(fā)布CO扶BI紅T委4.掛1，它韻是CO漫BI艇TI寧T治理鄰框架洽的最梁新版婚本。CO贊BI宏T辱4.痕1是CO抖BI不T被4.等0框架里的一閣種微漲調(diào)。CO狠BI帝T嶄4.侄1的更偽新包闖括提蘋高了曬性能顏測量選、改燃善了虧控制白目標(biāo)甲并且賞對商槐業(yè)和IT目標(biāo)弦有了宿更好帶的定贏位。79Co喇bi音T4話.1補(bǔ)充告了對勵執(zhí)行士概要灰部分牙的描腳述，堵對績績效評誤價的泡解釋絞更為優(yōu)清晰被，對IT目標(biāo)軌、流刷程和?；顒涌偰繕?biāo)暮這一返瀑布功式的乒每個束部分嶺都增惕加了獲評價裁標(biāo)準(zhǔn)仗，并色且擴(kuò)沉展了籠績效尾驅(qū)動著因素固和結(jié)晚果衡某量標(biāo)物準(zhǔn)之仿間的腎區(qū)別猶。結(jié)德果的竭衡量煤標(biāo)準(zhǔn)桐（KG麗I）同侍時也孕是更炮高層林級目臣標(biāo)的箭驅(qū)動從因素?。↘P弟I）。椒由于兄控制蚊實踐敢和Va倒l乞IT模型井的開程發(fā)，Co研bi走T4自.1同時遞還包名括更毫完善輪的控且制目遍標(biāo)。三、鼠計算摸機(jī)稽盡核的頂標(biāo)準(zhǔn)其（9）80在控愛制目測標(biāo)這輝個層錦面，霸控制務(wù)目標(biāo)相的定器義也表有所碎變化諷，變熟得更音加貼宰合管抬理實航踐。勵一些比控制芳目標(biāo)筐被重挑新定錄義和鄙分組欺，以贏防止透控制核目標(biāo)士的交燃疊，更使整瓣個控誦制目卵標(biāo)更傳加協(xié)慮調(diào)。蹦在Co縮慧bi劈燕T4夸.1中，AI截5.爭4，AI喪5.殺5和AI艇5.界6合并絲式成了那一個躲，AI英7.常9，AI臥7.剃10和AI辟7.臘11也合把并成乳了一所個。三、卻計算謎機(jī)稽扛核的典標(biāo)準(zhǔn)燒（9）81三、家計算捐機(jī)稽椅核的射標(biāo)準(zhǔn)舊（10）3.銀監(jiān)頓會《商業(yè)希銀行占信息侄科技俘風(fēng)險庭管理父指引》銀監(jiān)迷會20社09年3月發(fā)循布《商業(yè)籃銀行陪信息桌科技憂風(fēng)險瞇管理釋指引》（以足下簡足稱《管理位指引》），鐵原《銀行挖業(yè)金鳴融機(jī)瞇構(gòu)信培息系闖統(tǒng)風(fēng)匯險管臺理指標(biāo)引》（銀臣監(jiān)發(fā)喊［20戴06］63號，禁以下觀簡稱點原《指引》）同斧時廢披止。82《管理攝指引》具有示以下鐮幾個碰特點舌：一湊是全畫面涵槳蓋商敵業(yè)銀疤行的撓信息蛙科技煙活動慌，進(jìn)付一步妹明確兇信息王科技謊與銀者行業(yè)點務(wù)的殲關(guān)系暑，對蕩于認(rèn)羞識和擺防范穗風(fēng)險閘具有乏更加唉積極蕉的作盆用；驗二是報適用使范圍洽由銀播行業(yè)悄金融暖機(jī)構(gòu)妹變?yōu)榘ㄈ怂虡I(yè)亡銀行晌，其性他銀曉行業(yè)色金融罰機(jī)構(gòu)衫參照認(rèn)執(zhí)行醫(yī)；三愈是信艦息科闊技治鑄理作祝為首含要內(nèi)宣容提塊出，即充實淹并細(xì)漫化了速對商千業(yè)銀振行在膏治理執(zhí)層面限的具鴉體要姥求；三、踩計算政機(jī)稽穗核的釀標(biāo)準(zhǔn)知（10）83四是守重點永闡述竊了信殿息科躬技風(fēng)至險管歉理和娃內(nèi)外金部審炕計要冶求，膛特別烘是要腸求審授計貫豈穿信康息科男技活抬動的黎整個肥過程圈之中步；五嘩是參刺照國買際國耕內(nèi)的擋標(biāo)準(zhǔn)放和成談功實串踐，龜對商銷業(yè)銀男行信俗息科料技整初個生床命周貸期內(nèi)憶的信煉息安近全、燭業(yè)務(wù)癢連續(xù)筐性管婦理和今外包賣等方施面提旺出高許標(biāo)準(zhǔn)錢、高玩要求旨，使贈操作趴性更零強(qiáng)；書六是素加強(qiáng)肅了對挽客戶便信息遷保護(hù)唯的要喬求。新《指引》共十暗一章瞧七十闖六條曠，分畫為總慌則，沉信息持科技總治理勢，信惜息科常技風(fēng)此險管絕理，鈔信息臉安全灰，信膠息系嶄統(tǒng)開死發(fā)、疏測試森和維樹護(hù)，蒙信息懇科技翠運行門，業(yè)視務(wù)連墓續(xù)性絲式管理根，外干包，裝內(nèi)部扯審計懇，外隆部審恩計和陷附則怒等十荷一個抵部分器。三、任計算密機(jī)稽茫核的劑標(biāo)準(zhǔn)濾（10）84一、計算機(jī)系統(tǒng)的內(nèi)部控制二、計算機(jī)稽核的主要內(nèi)容三、計算機(jī)稽核的標(biāo)準(zhǔn)四、計算機(jī)稽核的流程和方法五、案例分析85稽核囑對象好的定婚義——準(zhǔn)確暫的定觸義被啟審系獨統(tǒng)對不審計倉工作綢的成氣敗有笑決定爛性的扭影響糊。以淡網(wǎng)上院銀行邁系統(tǒng)井功能戰(zhàn)為例禍，可旺能被訴審計只的系惡統(tǒng)功差能如睛下：開帳錄戶轉(zhuǎn)帳網(wǎng)上家支付網(wǎng)上消查詢申請肆信用眉卡外匯善及證乒券交斬易三、巨計算虧機(jī)稽孕核的墨流程醒和方肥法（1）86計算捆機(jī)稽茂核的麗流程腰根據(jù)反各風(fēng)失險的始評級旦，可格擬定蹈以下戒對系靠統(tǒng)的新信息幣需求溜：有效壞性(E竊ff掀ec未ti機(jī)ve尸ne基ss亡)運行壯效率(E槐ff五ic高ie厭nc適y)保密濟(jì)性(C劣on傻fi貼de煎nt恥ia張li派ty資)完整就性(I劍nt周eg稱ri鋒ty過)實時弓性(A責(zé)va慚il竹ab光il濾it壤y)合規(guī)捏性(C勵om臥pl烏ia郊nc劇e)可依夠賴性(R淹el獸ia接bi堵li擔(dān)ty濕)三、所計算恭機(jī)稽駕核的舊流程視和方鞠法（2）87稽核高流程1:識別役系統(tǒng)督特性硬件背配備貌（Ha愿rd團(tuán)wa捐re）軟件翠配備紀(jì)（So強(qiáng)ft碧wa鴉re）系統(tǒng)斜接口蛛及數(shù)澆據(jù)流類向（Sy昨st碗em銅i淘nt顯er襯fa型ce胸s昨an鉤d拐In擺fo抬rm紐奉at缸io張n付fl撓ow談)業(yè)務(wù)前數(shù)據(jù)蒼與關(guān)焦鍵信憑息僅（Da槍ta丸a智nd穗I毀nf賀or乒ma涼ti宏on）三、往計算濱機(jī)稽贈核的否流程盾和方報法（3）88數(shù)據(jù)鈔機(jī)密功性混（Da辣ta脈S遮en倆si偷ti啄vi皮ty）系統(tǒng)店用戶棕（Us加er該o弓f達(dá)th霉e溪sy剛st超em）數(shù)據(jù)傷存儲懷（In蹤蝶fo北rm辛at蹲io傍n垃st辭or叼ag貝e）IT環(huán)境照安全繁（En槽vi排ro霜nm汪en悶ta丘l虛Se魄cu霉ri緊ty）三、糕計算品機(jī)稽否核的赤流程嫩和方狐法（3）89稽核糟流程2:考慮汽可能碎的威編脅外部稠的攻湖擊權(quán)（如De買ni擇al稀o夏f紀(jì)Se若rv游ic箭e）非授鐘權(quán)數(shù)徹?fù)?jù)存慶取非授顫權(quán)操僻作崗位龜牽制窯不足人員尸操作勉失誤缺乏毛檢查釘和監(jiān)羞督三、臺計算莖機(jī)稽葵核的劇流程盡和方你法（4）90稽核溫流程3:審閱才可能米存在如的漏開洞過期時帳號奪（Te木rm清in梁at復(fù)ed陵e動mp線lo際ye托es浙I昏D狡no盼t已re斗mo符ve遵d逃fr畏om便s沸ys領(lǐng)te籃m）防火態(tài)墻配或置漏善洞棚（Fi招re癥wa秘ll錢a競ll拳ow如s鳳in浴bo死un胡d衰te庭ln柄et）三、黃計算歡機(jī)稽的核的則流程貝和方褲法（5）91臨時溜帳號屆被起鹽用恒（Gu銅es殘t功ID棉a蔬re沃e冤na梳bl便ed）未及課時安繩裝安