远望公司是一家RFID(无线射频识别)通信公司,拥有40多项RFID专利技术,及5大系列60多种具有自主知识产权的RFID产品,包括阅读器、电子标签、天线及其衍生产品。公司在铁路、烟草、军事行业的RFID产品具有技术领先和市场先人优势,并为图书管理、资产追

admin2016-01-08  35

问题 远望公司是一家RFID(无线射频识别)通信公司,拥有40多项RFID专利技术,及5大系列60多种具有自主知识产权的RFID产品,包括阅读器、电子标签、天线及其衍生产品。公司在铁路、烟草、军事行业的RFID产品具有技术领先和市场先人优势,并为图书管理、资产追踪,物流及供应链、机动车辆、畜牧业、医药、门票门禁等多个领域提供了高性能的RFID产品方案。远望公司所主营的高新技术业务受到了政府的大力支持,在2010年,远望公司通过公开招股筹集资金并将其股票上市交易。
  公司上市后,开始着手研究低成本的研发和管理模式。同时,远望公司还着手开展海外市场,对上市前咨询机构提交的多个境外投资方案进行评估。但当远望公司管理层要求信息技术部提供评估需要的相关数据时,信息技术部告知有关信息系统的一些月度数据被人删除,无法提供。远望公司经调查发现,一名已被公司辞退的后勤部职员,在退职后未经允许进入系统删除了有关信息。为此远望公司进行了信息系统安全风险评估。
要求:
简述信息系统安全风险评估常用的模式及其特点,并指出远望公司为防止信息被删除应采取的一般控制措施。

选项

答案①信息系统安全风险评估常用的模式有基线评估、详细评估和组合评估。 1)基线评估。采用基线安全风险评估,企业根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。 这种评估模式需要的资源少,评估周期短,操作简单,是最经济有效的风险评估模式。但是,基线水平的高低确定困难。 2)详细评估。详细评估要求对信息系统中的所有资源都进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。但这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入,最后获得的结果有可能有一定的时间滞后。 3)组合评估。组合评估是上述两种模式的结合。它首先对所有信息系统进行一次较高级别的安全分析,并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。然后对业务非常重要或面临严重风险的部分进行详细评估分析,对其他部分进行极限评估分析。这种评估模式注意了耗费与效率之间的平衡,还注意了高风险系统的安全防范。 ②建议可实施的一般控制以防止上述数据被删掉的事件再次发生: 1)设定适当的权限范围,以配合个别的职务。以防止不相关的职员(如后勤部职员)能够获得或删掉重要的分析数据。 2)制定相关守则或政策,立即终止有关离职雇员对重要信息系统(如载有重要内部数据的系统)的所有访问权限。

解析
转载请注明原文地址:https://kaotiyun.com/show/hSd0777K
0

相关试题推荐
最新回复(0)