计算机辅助审计笔记,审计的笔记

等保——监管由谁来管&＃xff1a;

公安(内容&＃xff0c;重要信息)

网信办

法律

安全的目的&＃xff1a;

风险 审计 控制

审计的作用&＃xff1a;增加价值和改善组织的运营

目标和目的的区别&＃xff1a;

目标是一种量化的指标

目的是最终结果

企业风险的分类&＃xff1a;战略&＃xff0c;合规&＃xff0c;运营&＃xff0c;财务

风险常用术语&＃xff1a;

目标、脆弱性、威胁、可能性、影响程度、固有风险、现有控制措施等……

我国企业IT风险发展阶段&＃xff1a;

1.ISMS初步建立阶段

ISMI体系安全评估&＃xff0c;加固

2.精细化SOC平台、ITRM平台、ISMS/ITSM/BCM体系

IT风险管理阶段

3.IT风险与业务融合阶段

业务风险管理平台&＃xff0c;SOC平台&＃xff0c;ITRM平台&＃xff0c;ISMS/ITSM/BCM体系

管理级别&＃xff1a;

粗放管理级

规范管理级

优化管理级

融合管理级

审计的驱动力&＃xff1a;

1.合规

2.效率、效果——经营

3.安全

4.管理者

5.利用审计要挟

数据是什么&＃xff1a;信息系统中的信息

信息安全的目标&＃xff1a;

基本目标&＃xff1a;保密性、完整性、可用性(这是信息的三要素)

扩展目标&＃xff1a;真实性、可追溯性、防抵赖性……

企业保密信息&＃xff1a;与业务相关、与国家要求相关

风险处置策略&＃xff1a;降低、规避、转嫁、接受风险

风险由可能性和后果构成&＃xff0c;两个维度的阴影面积可以算作是危险程度

用户访问的控制原则&＃xff1a;知所必须。最小授权

本文由乐趣区整理发布&＃xff0c;转载请注明出处&＃xff0c;谢谢。