信息安全风险管理能力评价认证证书申报需要的要求
随着风险管理的推广和发展,先进的风险管理理念逐渐得到认可和重视,智能风控、
大数据等应用逐渐进入风险管理领域。
有了智能风险控制和大数据风险控制,我只想表现出我知道的样子。没别的了。接下来,
结合个人风险管理体系的实施实践,谈谈普通、常规和民用风险控制体系的建设思路。
资产是指应在环境中受到保护并在业务流程和任务中使用的任何东西。它可以是计算机文件、
网络服务、系统资源、流程、程序、产品、It基础设施、数据库、硬件设备、家具、产品配方、
人员、软件和设施。如果组织认为在某种资源的保护和控制下存在风险,它可以对其进行分析,
并将其标记为自己的风险。资产的损失或泄漏会危及整体安全,导致生产效率降低、利润减少、额外费用增加、组织关闭等许多无形的不良后果。
任何可能发生并给组织或特定资产带来不想要或不想要的结果的事情都被称为威胁。
威胁是指任何会导致资产损失、毁坏、变更、损失或披露,或阻碍资产获取或维护的行为或不行为。
威胁可以是大的,也可以是小的,油井会造成大的或小的后果。它们可能是有意的或偶然的,
可能来自人、组织、硬件、网络、结构或自然。威胁对象会试图利用脆弱性。
威胁对象通常是个人,但也可能是程序、硬件或系统。威胁事件是对脆弱性的意外利用。
威胁事件包括火灾、地震、洪水、系统故障和人为失误(通常由于缺乏培训或疏忽)以及电源故障。
信息安全风险管理能力评价认证证书申报需要的条件
使用系统密码管理:所有ERP用户和OA用户将被分配一个帐户密码。账号将保持不变。
用户可以更改自己的系统密码。密码应尽可能设置为具有高安全性的复杂密码。
严格禁止用户将密码设置为傻瓜密码,如123456。如果密码设置过于简单,
被其他用户非法登录后,会在ERP中非法编制篡改文件,在OA中非法、欺诈使用流程管理权限,
造成严重后果;严禁将ERP账号或OA账号密码泄露给他人,
并允许他人代为制作ERP文档或办理OA流程;员工调动或辞职时,
部门负责人应及时通知信息管理部注销员工的申请系统账号。
如果上述原因造成的信息安全后果将由本人承担。采用用户身份认证系统:
目前我公司登录服务器采用静态密码认证,这是低级别的密码保护技术。
在企业中,服务器的登录密码容易被其他部门的人员注意到,
可能被动机不良的员工登录服务器,破坏服务器数据;在企业外部,
黑客很容易扫描字典,破解密码,从而攻击各种应用服务器,破坏或窃取业务数据等。
因此,在我部门未来的发展规划中,我们应该把用户身份认证作为一个重大的安全隐患,并找到解决办法。