AQA 資訊與通訊技術/ICT4/法律方面
企業資訊系統 (IS) 安全策略旨在保護公司免受威脅。此安全策略應成為組織戰略管理的一部分。將其做好至關重要,因為
- 為公司提供保護自身所需的安全性需要成本
- 使用者對計算機系統的安全性持懷疑態度,並且高度意識到所涉及的風險
人們不想參與一家以不安全而聞名的公司
資訊系統安全策略的存在是為了
- 保護系統免受可用性、完整性或機密性損失
- 防止和檢測濫用,包括針對相關法案和公司內部政策的濫用
- 根據政策中規定的程式調查和處理任何濫用行為
- 限制和恢復損失
資訊系統安全中的三道防線是
- 預防
- 檢測
- 恢復
企業資訊系統策略應包括考慮對系統終端使用者的安全意識培訓和推廣,因為安全漏洞很可能發生在那裡。
他們應該接受有關從網際網路下載未知可執行檔案或不使用易於猜測的通用密碼等事宜的教育。
審計是公司對其軟體和硬體進行的調查。審計是為了最大程度地減少公司資源資料庫(通常用於保險目的)的錯誤,監控系統的效率以及確保其軟體符合適當的許可證。
審計結果用於提高公司硬體資料庫的準確性,從而更好地支援和容量規劃。
許多公司使用外部審計師來最大程度地減少內部欺詐的可能性,但一些公司出於成本考慮進行內部審計。根據法律(針對註冊公司),每年都需要對財務記錄進行審計。
審計還可能涵蓋系統(特別是財務系統)的準確性。有三種類型的審計技術,其中審計師手動計算系統的預期輸出並檢查其是否匹配。
- 即時資料測試 - 審計師使用系統當前處理的實際資料。這樣做有不能檢查所有可能資料型別的缺點。
- 歷史資料測試 - 在這種情況下,審計師將舊資料重新輸入系統,因此除了手動檢查之外,審計師還可以檢查系統在兩次執行時是否一致。
- 虛擬資料測試 - 審計師在此生成假資料,以測試所有可能性
這種審計方式的問題在於,當系統對審計師可用時,它無法用於其正常功能,並且它只提供了系統在那一刻的快照。
審計跟蹤是系統建立的日誌,顯示哪些內容已更改以及誰做了什麼。(Mediawiki 有一個很好的例子,例如,請檢視 此頁面的歷史記錄頁面。)
- 人為錯誤(資料輸入錯誤、程式錯誤、操作員錯誤)
- 計算機犯罪(駭客攻擊、非法修改資料、病毒和邏輯炸彈)
- 自然災害(火災、地震、颶風、洪水)
- 戰爭和恐怖主義活動(炸彈、火災)
- 硬體故障(電源故障、磁碟磁頭損壞、網路故障)
建築安全旨在保護場所免受闖入、未經授權的訪客等。
授權軟體涉及使用者 ID 和密碼。它強制使用者登入才能訪問其計算機和網路,並且可以強制執行“訪問許可權”,限制對某些檔案和資料夾的許可權。
通訊安全可以使用回撥(當觸發時,它會撥給你,而不是你撥進來 - 確認你的身份)、握手(兩臺計算機之間預定的交換,通常遵循演算法)和加密 - 透過僅由兩個通訊系統知道的設定演算法更改文字。
操作安全涉及使用日誌來顯示系統的使用情況並建立審計跟蹤。
人員安全是必要的,因為人員通常是資訊系統中最容易被利用的部分。需要基本的使用者資訊安全才能防止使用“社會工程學”進行訪問。缺乏動力的員工也可能對公司資料造成破壞。透過將事務中的任務拆分,因此需要多個人參與,從而減少欺詐。
這是整個公司 ICT 安全策略的一部分,是管理人員而不是技術人員需要做的事情。風險分析可能包括找到以下問題的答案
- 系統中儲存的是什麼型別的資料?
- 如何使用資料?
- 誰可以訪問系統?
- 如果資料丟失、損壞或被盜,公司將損失多少錢?
災難(見自然災害)計劃通常只關注業務的關鍵方面,而不太重要的功能通常成本太高。
為了防止企業在災難中倒閉,可以實施兩種“最後的手段控制” - 保險和災難恢復計劃。保險不是一種預防措施,但它確實有助於減少損失的財務影響。
災難恢復計劃必須包含備份設施的規定,這些設施可以在災難發生時使用。一些可能性是
- 公司擁有的備份設施,地理位置分散 - 有時稱為“冷備用”站點。
- 與另一家執行相容計算機系統的公司的互惠安排。
- 訂閱災難恢復服務。
如何選擇合適的恢復計劃?使用各種標準
- 組織及其 ICT 系統的規模
- 運營的性質:線上系統可能需要在幾個小時內恢復,而批處理計費流程可以在離線狀態下執行幾天。
- 不同選項的相對成本:擁有多個站點透過電信連線的公司可能能夠制定 DRP,將運營暫時轉移到另一個站點。
- 災難發生的感知可能性。一家位於 Intake 的公司可能需要一個計劃來應對盜竊,但不需要應對地震。
我們已經在ICT1中涉及了涵蓋 ICT 的立法。對於 ICT4,你需要能夠回憶起資料保護法案、版權、設計和專利法案、計算機濫用法案和健康與安全法案。在設計公司資訊系統策略時,公司應確保其符合相關的法律法規。