IT内部控制解决方案
3 关键应用安全解决方案
业务、财务系统作为IT内控的主要控制目标,其安全性直接影响企业的经营,而财务系统又是IT内控中最主要的控制目标。不管业务系统还是财务系统,我们站在IT系统角度来看,都可以把他们归类为应用系统,对应用系统的控制,需要对其生命周期的各个阶段控制,我们把控制分为三个阶段:系统建立、系统使用和系统变更,下表是联想网御针对财务系统的安全解决方案:
|
控制类型 |
控制内容 |
提供的安全服务 |
提供的安全产品 |
|
系统的建立 |
n 需求管控 n 功能设计管控 n 开发管控 n 上线管控 n 试运行管控 n 第三方管控 |
ü 应用评估 ü 源代码审计 ü 渗透测试 |
ü 联想网御安全网关产品 ü 联想网御文件管理系统 ü 联想网御内网管理系统 |
|
系统的使用 |
n 权限管理 n 操作流程 n 业务数据管理 n 备份及应急 n 日志审计 |
ü 安全巡检 ü 安全值守 ü 安全监控 ü 应急响应 |
ü 联想网御安全网关产品 ü 联想网御文件管理系统 ü 联想网御内网管理系统 ü 联想网御异常流量监控系统 ü 联想网御应用管理系统 ü 联想网御安全审计系统 |
|
系统的变更 |
n 变更流程 n 审批权限 n 上线管控 n 备份及应急 n 日志审计 |
ü 应用评估 ü 安全监控 ü 源代码审计 ü 应急响应 |
ü 联想网御应用管理系统 ü 联想网御安全审计系统 |
a 系统建立控制
系统的建立时期是应用系统功能、性能及安全性形成的关键阶段,需要在这个阶段将财务需求和安全需求集成到设计中去,并对整个开发建立过程进行严格控制,使其不偏离安全目标,我们提供的解决方案如下:
* 需求管控
通过IT内控咨询服务,帮助企业确定系统的需求,协助企业梳理应用系统的安全需求,将其集成到系统设计中。
* 功能设计管控
通过IT内控咨询服务,帮助企业确定系统的功能,协助企业设计应用系统的安全功能,使这些功能可保障业务数据的安全。
* 开发管控
通过IT内控咨询服务,在开发过程中帮助企业制定系统开发的管理控制制度;提供开发环境的控制,通过使用联想网御安全网关产品、联想网御文件管理系统、联想网御内网管理系统等防止源代码泄露,保证系统开发过程的安全。
* 上线管控
提供IT内控咨询服务,帮助企业制定系统上线、测试、试运行的流程、制度等;提供系统上线的安全评估、源代码审计和安全加固等服务。
* 第三方管控
提供IT内控咨询服务,帮助企业制定第三方外包管理制度,并进行定期的风险评估,协助监督制度的落实情况;配合使用联想网御安全网关产品、内网管理系统和文件管理系统等产品限制第三方的权限。
b 系统使用控制
这个阶段是IT内控最核心的阶段,为保证财务报表的真实、可靠,必须对财务系统的访问权限、操作流程、应急处理、日志审计及财务数据的保密性、可用性和完整性等多方面进行控制,我们的解决方案如下:
* 权限管理
通过IT内控咨询服务,帮助企业制定权限策略;并可通过联想网御应用管理系统产品对应用系统进行监控。
* 操作流程
通过IT内控咨询服务,帮助企业梳理应用流程;并可通过联想网御应用管理系统对应用系统进行监控。
* 业务数据管理
通过风险评估、安全加固、定期巡检和安全值守等安全服务对财务数据进行安全控制;通过使用联想网御安全网关产品、内网管理系统、应用管理系统、和异常流量管理系统来保证财务数据的完整性、可用性和保密性。
* 备份恢复
利用IT内控咨询服务,建立起灾难备份的策略制度、应急预案等,并协助进行应急演练。
* 日志审计
使用联想网御的安全审计系统,对应用系统的操作进行监控。
c 系统变更控制
系统在使用过程中发生变更,如不对变更进行及时处理,之前的安全部署就面临很大的安全威胁,所以,当系统发生变更时,必须对变更的流程、审批、重新上线等方面进行规范和控制。我们提供的解决方案如下:
* 变更流程
通过IT内控咨询服务,帮助企业制定系统变更策略、制度和流程;并使用联想网御应用管理系统监控系统的变更。
* 审批权限
通过IT内控咨询服务,帮助企业制定系统访问控制策略、审批权限流程等;并使用联想网御应用管理系统和安全审计系统来监控系统的变更。
* 上线管控
提供IT内控咨询服务,帮助企业制定系统上线、测试、试运行的流程和制度;并提供系统上线前的安全评估、源代码审计、安全加固等。
* 备份恢复
利用IT内控咨询服务,建立灾难备份的策略制度、应急预案;并协助进行应急演练。
* 日志审计
使用联想网御的安全审计系统,对应用系统的访问、使用和变更等进行集中审计。
网友评论