公眾號:mywangxiao
及時發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
為了幫助考生系統(tǒng)的復(fù)習(xí)2012年內(nèi)部審計師考試課程,全面的了解內(nèi)審師考試教材的相關(guān)重點,小編特編輯匯總了2011年國際內(nèi)審師考試輔導(dǎo)資料,希望對您參加本次考試有所幫助!
內(nèi)部審計師考試《內(nèi)審計作用》知識點
信息和物理安全
確定安全的薄弱環(huán)節(jié)
安全包括采取物理上的和程序上的措施來保護組織的建筑物、使用者、建筑物內(nèi)財產(chǎn)。工作地安全的目標(biāo)是消除和減少組織財產(chǎn)損失的風(fēng)險,無論其是有形的還是無形的,無論毀壞原因是人為還是自然災(zāi)害。
薄弱環(huán)節(jié)是指系統(tǒng)可能被不良目的所利用的某些方面,包括系統(tǒng)弱點、安全漏洞和實施缺陷等。從技術(shù)類別分類,包括主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件系統(tǒng)等的薄弱環(huán)節(jié)分析。安全薄弱環(huán)節(jié)評估就是鑒別和理解系統(tǒng)安全的薄弱環(huán)節(jié)。包括分析系統(tǒng)資產(chǎn),定義薄弱環(huán)節(jié),并提供整個系統(tǒng)的薄弱環(huán)節(jié)評估報告。
通常信息安全的薄弱環(huán)節(jié)集中于三個關(guān)鍵要素:
1.保密性--關(guān)于隱私和保護機密的政策與行為;防止非授權(quán)侵入的保護措施;
2.完整性--用以保證相關(guān)信息完整和正確;
3.有效性--可以減少癱瘓時間以及加強信息系統(tǒng)在遭受破壞、自然災(zāi)害、數(shù)據(jù)侵害等后數(shù)據(jù)快速恢復(fù)能力。
通常一些潛在物理安全的薄弱環(huán)節(jié)是:
1.自然災(zāi)害(如火災(zāi)、洪水、地震)
2.信息服務(wù)崩潰(電話、網(wǎng)絡(luò)、電力、設(shè)備等的故障)
3.人為錯誤
4.盜竊和故意破壞
5.恐怖行為
6.怠工
要消滅所有的信息或物理安全風(fēng)險是不可能的,一個組織需要確認他們擁有一套恰當(dāng)?shù)娘L(fēng)險管理流程可以及時處理可能暴露的信息或?qū)嵨飺p失。
通常的安全風(fēng)險管理流程包括如下步驟:
1.風(fēng)險識別
2.風(fēng)險可能性估計
3.潛在風(fēng)險損失的量化
4.選擇風(fēng)險解決方案
經(jīng)過資產(chǎn)識別與估價、威脅與薄弱環(huán)節(jié)的識別與評價,應(yīng)利用適當(dāng)?shù)娘L(fēng)險測量的方法或工具確定風(fēng)險的大小與等級,以便識別與選擇適當(dāng)和正確的安全控制方式。內(nèi)部審計師應(yīng)當(dāng)確定管理層和董事會、審計委員會或其他治理機構(gòu)清楚地認識到信息安全是管理層的一份責(zé)任。它包括本組織的所有關(guān)鍵信息,而不論其以何種形式保存。首席審計執(zhí)行官應(yīng)當(dāng)確定內(nèi)部審計活動擁有或可以接觸到有證明力的審計資源,用來評價信息安全及其風(fēng)險。它包括內(nèi)部和外部風(fēng)險(包括與外部實體的關(guān)系相關(guān)的風(fēng)險)。內(nèi)部審計師應(yīng)當(dāng)確定董事會、審計委員會或其他治理機構(gòu)已經(jīng)向管理層尋求保證,凡是有可能對本組織構(gòu)成威脅的違背信息安全的行為和情況會迅速地報告給進行內(nèi)部審計活動的人員。
相關(guān)文章:
2012年內(nèi)審師考試內(nèi)審計作用知識點精講匯總
2012年內(nèi)部審計師考試內(nèi)審計作用精選練習(xí)題匯總
更多關(guān)注:內(nèi)部審計師考試報考指南 考試培訓(xùn) 成績管理
(責(zé)任編輯:中大編輯)