国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　現(xiàn)在面臨著錯(cuò)綜復(fù)雜的風(fēng)險(xiǎn)狀況：一方面，金融風(fēng)暴引發(fā)的經(jīng)濟(jì)持續(xù)下滑使得企業(yè)在IT投資上變得謹(jǐn)慎;另一方面，由于信息技術(shù)的迅猛發(fā)展和其在企業(yè)的應(yīng)用日益復(fù)雜，企業(yè)需要及時(shí)應(yīng)對(duì)更為復(fù)雜的IT風(fēng)險(xiǎn);而且由于信息技術(shù)在社會(huì)和經(jīng)濟(jì)生活越來越充當(dāng)重要角色，國(guó)內(nèi)外近年來出臺(tái)了許多法律法規(guī)加強(qiáng)對(duì)信息技術(shù)的監(jiān)管，這些又進(jìn)一步加大了企業(yè)的合規(guī)風(fēng)險(xiǎn)。即便面臨著巨大的經(jīng)營(yíng)壓力，企業(yè)在有限的IT支出中還是優(yōu)先考慮了對(duì)IT風(fēng)險(xiǎn)進(jìn)行有效控制以達(dá)到企業(yè)可以接受的風(fēng)險(xiǎn)水平，究其根本原因就是信息技術(shù)及其所獲得的信息已經(jīng)成為企業(yè)的核心資產(chǎn)，對(duì)信息技術(shù)和信息的控制勢(shì)必會(huì)得到企業(yè)的優(yōu)先考慮。需要注意的是，這種控制已經(jīng)越過了傳統(tǒng)的邊界，和企業(yè)的業(yè)務(wù)流程以及企業(yè)風(fēng)險(xiǎn)管理框架更緊密地結(jié)合在一起。

　　對(duì)于如何在企業(yè)內(nèi)部進(jìn)行IT風(fēng)險(xiǎn)控制，我們提出了“IT內(nèi)控”這個(gè)概念。IT內(nèi)控是企業(yè)總體內(nèi)控的一個(gè)重要方面，主要用于管理和控制企業(yè)內(nèi)與信息技術(shù)有關(guān)的活動(dòng)，它是一系列滲透到企業(yè)各個(gè)角落的控制措施。企業(yè)對(duì)信息處理的完整性、可靠性及控制的效率和效果均取決于IT內(nèi)控的有效性。IT 內(nèi)控體系的范疇因不同企業(yè)的IT組織方式、管理方式的不同而有所不同。基于多年IT內(nèi)控實(shí)踐經(jīng)驗(yàn)，我們認(rèn)為IT 內(nèi)控重點(diǎn)關(guān)注以下三個(gè)領(lǐng)域：

　　IT基礎(chǔ)設(shè)施：IT基礎(chǔ)設(shè)施是實(shí)現(xiàn)有效IT內(nèi)控的支柱。隨著的深入，組織的核心應(yīng)用系統(tǒng)都己構(gòu)架在IT平臺(tái)之上。IT基礎(chǔ)設(shè)施不僅是整個(gè)組織業(yè)務(wù)的重要支撐，也是對(duì)組織運(yùn)營(yíng)活動(dòng)進(jìn)行控制的重要輔助手段。以具體運(yùn)營(yíng)流程為基礎(chǔ)展開的IT控制，直接關(guān)系運(yùn)營(yíng)活動(dòng)的實(shí)施。

　　業(yè)務(wù)和數(shù)據(jù)：信息技術(shù)的安全性涉及很多方面，但對(duì)于組織來說，較為突出的問題就是如何保障業(yè)務(wù)信息的安全，即保障在應(yīng)用系統(tǒng)中產(chǎn)生、處理、的業(yè)務(wù)數(shù)據(jù)的機(jī)密性、完整性和可用性。所以，從一定程度上來說，保護(hù)數(shù)據(jù)的安全性，是維護(hù)一個(gè)有效的IT內(nèi)控環(huán)境的最基本目標(biāo)。

　　策略和流程：IT基礎(chǔ)設(shè)施以及運(yùn)行其上的應(yīng)用系統(tǒng)構(gòu)成了基本的IT環(huán)境，共同承擔(dān)對(duì)于企業(yè)業(yè)務(wù)的支撐作用，這個(gè)IT環(huán)境的運(yùn)行效力和效率，直接關(guān)系到整個(gè)組織運(yùn)行的效力和效率。因此，如何營(yíng)造一個(gè)體系化的、可審計(jì)的、可持續(xù)改進(jìn)的IT內(nèi)控環(huán)境，是IT內(nèi)控必須考慮的一個(gè)重要問題。效力和效率的提升，從很大程度上取決于組織中“技術(shù)”與“人”這兩個(gè)因素的契合程度，如何以企業(yè)業(yè)務(wù)和合規(guī)性為目標(biāo)，制訂一套涵蓋方針、策略、制度、流程的安全管理體系，是提高IT內(nèi)控水平的關(guān)鍵。

　　在目前的環(huán)境下，有效控制IT資源的難度不斷加大，遵從多項(xiàng)法規(guī)的復(fù)雜性也在增加企業(yè)應(yīng)該如何管理IT基礎(chǔ)設(shè)施、業(yè)務(wù)和數(shù)據(jù)、以及策略和流程以更低的成本實(shí)現(xiàn)IT內(nèi)控，以便合理控制IT風(fēng)險(xiǎn)，滿足對(duì)多項(xiàng)法律法規(guī)的遵從性，最大程度保障業(yè)務(wù)運(yùn)營(yíng)的效力和效率，以實(shí)現(xiàn)IT投資的最大回報(bào)?？梢圆捎萌缦碌姆椒▉斫⒏髌髽I(yè)自己的IT內(nèi)控體系：

　　選擇一個(gè)框架，用于實(shí)現(xiàn)對(duì)多項(xiàng)法規(guī)遵從的IT內(nèi)控

　　雖然針對(duì)多種要求遵從的IT內(nèi)控流程大體相同，但如何在控制中管理細(xì)節(jié)和發(fā)現(xiàn)共性或重疊卻是一個(gè)非常復(fù)雜的問題。在多個(gè)報(bào)告間重復(fù)使用控制數(shù)據(jù)以及向法規(guī)實(shí)體交付遵從證據(jù)可能需要投入大量的時(shí)間和金錢。 但是，只要基于 27001 或類似經(jīng)過認(rèn)可并廣為接受的安全框架來應(yīng)用安全策略，組織就可以使用一套策略規(guī)則來幫助其管理整體遵從的內(nèi)控工作。 為了建立一個(gè)可持續(xù)的遵從狀態(tài)，組織已認(rèn)識(shí)到了實(shí)施綜合全面的控制框架(如 COSO、COBIT 或 ISO 27001)的重要價(jià)值。通過采用這樣一種控制框架可以簡(jiǎn)化溝通，與審核人員和監(jiān)察人員共同驗(yàn)證控制，同時(shí)減少所需工作和降低企業(yè)成本。

　　使用自動(dòng)化流程降低IT內(nèi)控成本

　　雖然有許多方法都可以降低IT內(nèi)控成本，但使用自動(dòng)化流程和整合眾多人工活動(dòng)的技術(shù)卻可以顯著降低在IT內(nèi)控方面耗費(fèi)的時(shí)間和金錢。通過有效的 IT 內(nèi)控體系結(jié)構(gòu)和強(qiáng)健的策略，再加上可以有效管理、維護(hù)和報(bào)告內(nèi)控狀態(tài)的技術(shù)解決，組織可以降低維持IT內(nèi)控所需的人力和資金資源。

　　應(yīng)用最佳實(shí)踐，降低IT內(nèi)控失效風(fēng)險(xiǎn)

　　由于許多組織都已經(jīng)投入了大量的資源來實(shí)現(xiàn)對(duì)各種法規(guī)(如《薩班斯-奧克斯利法案》、國(guó)家等級(jí)保護(hù)政策系列標(biāo)準(zhǔn)和新近頒布的《企業(yè)內(nèi)部控制規(guī)范》)的遵從，相當(dāng)多組織的實(shí)踐知識(shí)和經(jīng)驗(yàn)有了很大程度的增長(zhǎng)。已實(shí)現(xiàn)成熟內(nèi)控的組織機(jī)構(gòu)經(jīng)過自身多年內(nèi)控建設(shè)的實(shí)踐，在IT內(nèi)控建設(shè)和運(yùn)維中積累了很多寶貴的經(jīng)驗(yàn)。這些IT內(nèi)控的寶貴經(jīng)驗(yàn)將有助于建立所有組織都可以使用的績(jī)效基準(zhǔn)，以幫助組織完善自己的工作，快速建立高效的IT內(nèi)控體系。

　　秉承華為和賽門鐵克兩大母公司的在網(wǎng)絡(luò)和信息安全方面的長(zhǎng)期積累，對(duì)國(guó)內(nèi)外運(yùn)營(yíng)商和行業(yè)客戶的業(yè)務(wù)和IT內(nèi)控需求有深刻理解?？梢蕴峁┳稍兎?wù)和管理套件幫助企業(yè)建立高效的IT內(nèi)控體系，減少運(yùn)營(yíng)風(fēng)險(xiǎn)，提高開拓新業(yè)務(wù)的能力，和增強(qiáng)核心產(chǎn)品與業(yè)務(wù)的競(jìng)爭(zhēng)力。

　　IT內(nèi)控解決方案主要包括下列的產(chǎn)品和服務(wù)：

　　提供通用的 IT內(nèi)控框架，在保障業(yè)務(wù)發(fā)展的基礎(chǔ)上滿足多部法規(guī)的合規(guī)要求。

　　以有效簡(jiǎn)潔的方式來執(zhí)行和管理 IT 控制，在整個(gè)基礎(chǔ)設(shè)施中提高 IT 控制的有效性和可靠性，從而規(guī)避和降低企業(yè)面臨的IT風(fēng)險(xiǎn)。

　　自動(dòng)化IT控制流程，集中 IT 領(lǐng)域的信息，減少管理IT資源所需的時(shí)間、費(fèi)用和人力成本。

　　華為賽門鐵克IT內(nèi)控流程模型