联想网御企业IT内控解决方案(完整版)

互联网 | 编辑: 杨剑锋 2009-04-10 00:30:00转载-投稿 一键看全文

IT内部控制解决方案

3 关键应用安全解决方案

业务、财务系统作为IT内控的主要控制目标,其安全性直接影响企业的经营,而财务系统又是IT内控中最主要的控制目标。不管业务系统还是财务系统,我们站在IT系统角度来看,都可以把他们归类为应用系统,对应用系统的控制,需要对其生命周期的各个阶段控制,我们把控制分为三个阶段:系统建立、系统使用和系统变更,下表是联想网御针对财务系统的安全解决方案:

控制类型

控制内容

提供的安全服务

提供的安全产品

系统的建立

需求管控

功能设计管控

开发管控

上线管控

试运行管控

第三方管控 

ü 应用评估

ü 源代码审计

ü 渗透测试 

ü 联想网御安全网关产品

ü 联想网御文件管理系统

ü 联想网御内网管理系统

系统的使用

权限管理

操作流程

业务数据管理

备份及应急

日志审计 

ü 安全巡检

ü 安全值守

ü 安全监控 

ü 应急响应 

ü 联想网御安全网关产品

ü 联想网御文件管理系统

ü 联想网御内网管理系统

ü 联想网御异常流量监控系统

ü 联想网御应用管理系统

ü 联想网御安全审计系统

系统的变更

变更流程

审批权限  

上线管控

备份及应急

日志审计 

ü 应用评估

ü 安全监控

ü 源代码审计

ü 应急响应 

ü 联想网御应用管理系统

ü 联想网御安全审计系统

针对应用系统生命周期每个过程的具体控制,我们都有相应的产品和服务来支撑实现,下面就这三个阶段的具体解决方案进行介绍。

a 系统建立控制

系统的建立时期是应用系统功能、性能及安全性形成的关键阶段,需要在这个阶段将财务需求和安全需求集成到设计中去,并对整个开发建立过程进行严格控制,使其不偏离安全目标,我们提供的解决方案如下:

* 需求管控

通过IT内控咨询服务,帮助企业确定系统的需求,协助企业梳理应用系统的安全需求,将其集成到系统设计中。

* 功能设计管控

通过IT内控咨询服务,帮助企业确定系统的功能,协助企业设计应用系统的安全功能,使这些功能可保障业务数据的安全。

* 开发管控

通过IT内控咨询服务,在开发过程中帮助企业制定系统开发的管理控制制度;提供开发环境的控制,通过使用联想网御安全网关产品、联想网御文件管理系统、联想网御内网管理系统等防止源代码泄露,保证系统开发过程的安全。

* 上线管控

提供IT内控咨询服务,帮助企业制定系统上线、测试、试运行的流程、制度等;提供系统上线的安全评估、源代码审计和安全加固等服务。

* 第三方管控

提供IT内控咨询服务,帮助企业制定第三方外包管理制度,并进行定期的风险评估,协助监督制度的落实情况;配合使用联想网御安全网关产品、内网管理系统和文件管理系统等产品限制第三方的权限。

b 系统使用控制

这个阶段是IT内控最核心的阶段,为保证财务报表的真实、可靠,必须对财务系统的访问权限、操作流程、应急处理、日志审计及财务数据的保密性、可用性和完整性等多方面进行控制,我们的解决方案如下:

* 权限管理

通过IT内控咨询服务,帮助企业制定权限策略;并可通过联想网御应用管理系统产品对应用系统进行监控。

* 操作流程

通过IT内控咨询服务,帮助企业梳理应用流程;并可通过联想网御应用管理系统对应用系统进行监控。

* 业务数据管理

通过风险评估、安全加固、定期巡检和安全值守等安全服务对财务数据进行安全控制;通过使用联想网御安全网关产品、内网管理系统、应用管理系统、和异常流量管理系统来保证财务数据的完整性、可用性和保密性。

* 备份恢复

利用IT内控咨询服务,建立起灾难备份的策略制度、应急预案等,并协助进行应急演练。

* 日志审计

使用联想网御的安全审计系统,对应用系统的操作进行监控。

c 系统变更控制

系统在使用过程中发生变更,如不对变更进行及时处理,之前的安全部署就面临很大的安全威胁,所以,当系统发生变更时,必须对变更的流程、审批、重新上线等方面进行规范和控制。我们提供的解决方案如下:

* 变更流程

通过IT内控咨询服务,帮助企业制定系统变更策略、制度和流程;并使用联想网御应用管理系统监控系统的变更。

* 审批权限

通过IT内控咨询服务,帮助企业制定系统访问控制策略、审批权限流程等;并使用联想网御应用管理系统和安全审计系统来监控系统的变更。

* 上线管控

提供IT内控咨询服务,帮助企业制定系统上线、测试、试运行的流程和制度;并提供系统上线前的安全评估、源代码审计、安全加固等。

* 备份恢复

利用IT内控咨询服务,建立灾难备份的策略制度、应急预案;并协助进行应急演练。

* 日志审计

使用联想网御的安全审计系统,对应用系统的访问、使用和变更等进行集中审计。

提示:试试键盘 “← →” 可以实现快速翻页 

一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑