시스템 보안 및 감사
시스템 감사
운영 시스템의 성능을 검토하기위한 조사입니다. 시스템 감사를 수행하는 목적은 다음과 같습니다.
실제 및 계획된 성능을 비교합니다.
명시된 시스템 목표가 현재 환경에서 여전히 유효한지 확인합니다.
명시된 목표의 달성을 평가합니다.
컴퓨터 기반 재무 및 기타 정보의 신뢰성을 보장합니다.
처리하는 동안 모든 기록이 포함되도록합니다.
사기로부터 보호하기 위해.
컴퓨터 시스템 사용 감사
데이터 처리 감사자는 컴퓨터 시스템을 제어하기 위해 사용을 감사합니다. 감사인은 컴퓨터 시스템 자체에서 얻은 제어 데이터가 필요합니다.
시스템 감사 자
감사 자의 역할은 시스템 개발의 초기 단계에서 시작되어 결과 시스템이 안전합니다. 로드 계획 및 하드웨어 및 소프트웨어 사양 결정에 도움이되는 기록 할 수있는 시스템의 활용 아이디어를 설명합니다. 컴퓨터 시스템의 현명한 사용과 시스템의 오용 가능성을 나타냅니다.
감사 재판
감사 시도 또는 감사 로그는 컴퓨터 시스템에 액세스 한 사람과 주어진 기간 동안 수행 된 작업으로 구성된 보안 레코드입니다. 감사 시도는 시스템의 데이터가 어떻게 변경되었는지를 자세히 추적하는 데 사용됩니다.
거래가 처리되는 동안 적용되는 다양한 제어 기술에 대한 문서 증거를 제공합니다. 감사 재판은 독립적으로 존재하지 않습니다. 손실 된 거래를 복구하기위한 회계의 일부로 수행됩니다.
감사 방법
감사는 두 가지 방법으로 수행 할 수 있습니다.
컴퓨터 주변 감사
- 샘플 입력을 받아 처리 규칙을 수동으로 적용합니다.
- 출력을 컴퓨터 출력과 비교합니다.
컴퓨터를 통한 감사
- 선택한 중간 결과를 검토 할 수있는 감사 시험을 설정합니다.
- 통제 합계는 중간 점검을 제공합니다.
감사 고려 사항
감사 고려 사항은 내러티브와 모델을 모두 사용하여 잘못 배치 된 기능, 분할 된 프로세스 또는 기능, 손상된 데이터 흐름, 누락 된 데이터, 중복되거나 불완전한 처리 및 주소 지정되지 않은 자동화 기회로 인해 발생하는 문제를 식별함으로써 분석 결과를 검사합니다.
이 단계의 활동은 다음과 같습니다.
- 현재 환경 문제 식별
- 문제 원인 식별
- 대체 솔루션 식별
- 각 솔루션의 평가 및 타당성 분석
- 가장 실용적이고 적절한 솔루션 선택 및 추천
- 프로젝트 비용 추정 및 비용 편익 분석
보안
시스템 보안은 도난, 무단 액세스 및 수정, 우발적이거나 의도하지 않은 손상으로부터 시스템을 보호하는 것을 말합니다. 컴퓨터 화 된 시스템에서 보안은 데이터, 소프트웨어 및 하드웨어를 포함하는 컴퓨터 시스템의 모든 부분을 보호하는 것을 포함합니다. 시스템 보안에는 시스템 개인 정보 보호 및 시스템 무결성이 포함됩니다.
System privacy 관련 개인의 허가 / 지식없이 개인 시스템에 액세스하고 사용하지 못하도록 보호합니다.
System integrity 시스템에서 처리 된 원시 데이터와 처리 된 데이터의 품질 및 신뢰성과 관련이 있습니다.
통제 조치
다음과 같이 광범위하게 분류 할 수있는 다양한 제어 조치가 있습니다.
지원
시간 중요도와 크기에 따라 매일 / 매주 정기적으로 데이터베이스를 백업합니다.
더 짧은 간격으로 증분 백업.
특히 재해 복구에 필요한 안전한 원격 위치에 백업 복사본을 보관합니다.
매우 중요한 시스템이고 디스크에 저장하기 전에 중단을 용인 할 수없는 경우 중복 시스템이 실행되고 모든 트랜잭션이 미러링됩니다.
시설에 대한 물리적 액세스 제어
- 물리적 잠금 및 생체 인증. 예 : 지문
- 보안 직원이 ID 카드 또는 입장권을 확인합니다.
- 데이터를 읽거나 수정하고 파일에 기록하는 모든 사람의 식별.
논리 또는 소프트웨어 제어 사용
- 암호 시스템.
- 민감한 데이터 / 프로그램 암호화.
- 데이터 관리 / 취급 및 보안에 대한 직원 교육.
- 인터넷에 연결된 동안 바이러스 백신 소프트웨어 및 방화벽 보호.
위험도 분석
위험은 가치있는 것을 잃을 가능성입니다. 위험 분석은 시스템의 취약성과 이로 인한 영향을 식별하여 보안 시스템을 계획하는 것으로 시작됩니다. 그런 다음 위험을 관리하고 재난에 대처하기위한 계획을 세웁니다. 재난 가능성과 그 비용에 접근하기 위해 수행됩니다.
위험 분석은 화학 물질, 인적 오류 및 공정 장비와 같은 다양한 배경을 가진 전문가의 팀워크입니다.
위험 분석을 수행하는 동안 다음 단계를 따라야합니다.
컴퓨터 시스템의 모든 구성 요소 식별.
각 구성 요소가 직면 한 모든 위협 및 위험 식별.
위험을 정량화합니다. 즉, 위협이 현실화되는 경우 손실 평가.
위험 분석 – 주요 단계
위험이나 위협이 변화하고 잠재적 손실도 변화함에 따라 위험 관리는 고위 관리자가 주기적으로 수행해야합니다.
위험 관리는 지속적인 프로세스이며 다음 단계를 포함합니다.
보안 조치 식별.
보안 조치 구현 비용 계산.
보안 조치 비용과 위협의 손실 및 확률 비교.
보안 조치의 선택 및 구현.
보안 조치의 구현 검토.