萨傲审计俱乐部 专注 专业 坚持 房地产企业风险库 信息系统风险 风险1:中心出入未严格控制 风险描述:信息中心的出入未严格控制,导致系统设置被篡改或安全被破坏,影响公司的数据安全。 风险2:未经授权进出或触碰设备系统 风险描述:各类人员未经授权可随意进出设备存放地或触摸系统关键设备,导致设备遭遇人为损坏,影响公司日常生产经营。 风险3:未对关键系统硬件设备进行维护 风险描述:公司未能对服务器等关键系统硬件设备建立良好的物理环境并指定专人日常负责,无法有效防范设备出现异常物理状况而不能运行,影响公司日常生产经营。 风险4:机房无检查管理人员 风险描述:机房管理员未检查机房的环境和状态,导致机房设备受损,造成公司的资产和数据安全受影响。 风险5:管理员为定期检查机房设备 风险描述:机房管理员未定期检查机房主要设备运行使用情况,导致设备持续正常运转无法保证,影响公司业务正常运营。 风险6:系统未设立职责分离制度 风险描述:系统未建立适当的职责分离制度,导致系统人员职责存在冲突、数据发生篡改,影响公司日常生产经营。 风险7:操作软件随意变更、修改 风险描述:操作软件被操作人员随意变更、更新、删除、修改等,导致系统环境配置被改变,影响系统正常稳定运行。 风险8:未取得合作公司源代码 风险描述:未取得合作软件公司的源代码程序。 风险9:系统未安装安全软件 风险描述:系统中未安装有效安全软件或采取有效措施防范系统受到病毒等恶意软件的感染和破坏,导致系统无法持续稳定运行,影响公司日常经营生产。 风险10:未建立系统安全保密制度 风险描述:公司未建立系统安全保密与泄密追究制度,导致系统接触人员未能对数据保密,公司机密数据外泄,影响公司日常生产经营。 风险11:没有系统故障处理平台和处理程序 风险描述:缺乏有效的系统故障处理平台及处理程序,导致业务中断,影响公司的日常生产经营。 风险12:服务器安装软件未经批准 风险描述:服务器中安装软件无授权批准,导致数据安全环境受损,影响业务的持续稳定和数据的准确完整。 风险13:读写数据未监控 风险描述:未采取必要的措施监控直接读写数据库数据的操作,导致数据发生未经授权的篡改或丢失,影响业务的持续稳定或财务数据的准确完整。 风险14:未经授权更改安全设定和参数 风险描述:更改数据库安全设定或参数时(例如:口令设定)未进行相关授权,导致数据安全环境受损,发生未经授权的篡改或丢失,影响业务的持续稳定或财务数据的准确完整。 风险15:未经许可进入系统 风险描述:对于未经许可进入系统、数据及网络设备的行为没有控制和监督,导致业务或财务数据出现未经授权的变更。 风险16:未签订保密协定 风险描述:公司委托专业机构进行系统维护管理时,未签订任何保密协议或签订的协议未涉及保密,导致公司机密数据外泄,影响公司日常生产经营。 风险17:用户权限设置不恰当 风险描述:用户权限设置不恰当,权限过大或过小,导致公司机密数据外泄、影响公司正常经营运作。 风险18:没有用户权限申请表 风险描述:系统管理员是根据业务部门的申请来开立或调整用户权限,但没有用户权限申请表,导致IT部门没有各个用户的权限记录文档,造成权限管理混乱,影响安全。 风险19:更新修改不及时 风险描述:用户权限的更新和修改不及时,岗位职位变动后相关权限未及时调整,导致公司机密数据外泄,影响公司正常经营运作。 风险20:用户账户未及时注销 风险描述:用户账户未及时注销,导致公司机密数据外泄,影响公司正常经营运作。 风险21:未对系统用户进行培训 风险描述:未能对系统用户进行适当培训,导致用户使用不当,影响业务或财务数据的准确完整。 风险22:硬件维修未经审批 风险描述:信息资产包含U盘等存储硬件和电脑等的维修没有相应的审批,导致重要信息泄露风险,影响公司信息安全。 风险23:未明确信息资产报废须经公司确认 风险描述:公司未明确规定信息资产报废需要经过IT确认无公司机密才可报废,可能导致公司关键信息丢失,影响生产经营。。 风险24:没有建立数据备份与恢复机制 风险描述:没有建立数据备份与恢复机制,影响公司的数据安全。 风险25:数据备份和恢复未执行检查 风险描述:数据备份和恢复未执行检查,导致操作工作没有落到实处,影响公司的数据安全。 风险26:未进行数据备份后的恢复演习 风险描述:未进行数据备份后的恢复演习,导致实际备份数据无法恢复,影响公司数据安全和保证业务的正常运行。 未完待续 除发布的文章无法追溯到作者获得授权及实在无法确认原作者外,我们均会注明作者和文章来源。如作者见到请及时联系我们,我们再得到您的授权后重新发布或第一时间删改,谢谢! 摒弃各自逞强,共赴同一未来! 扫扫下方二维码,或添加“saao_club”为微信好友 |
|