بخشی از پاورپوینت
اسلاید 2 :
امنيت سيستمهاي اطلاعاتي حسابداري
اسلاید 3 :
مقدمه
باگسترش روابط انسانی وسهولت برقراری ارتباط با فن آوری های نوین، تهدیدهای امنیتی رنگ وبوی جدیدی به خود گرفتهاند. شنود تلفن شاید از همان آغازین روزهای رواج این فناوری بصورت تفننی توسط اپراتورهای مراکز تلفن صورت می پذیرفت . اما به مرور زمان پای سرویس های جاسوسی گروههای تروریستی واخلال گران، به این حوزه نیز باز شد.امروزه بستره فن آوری اطلاعات محیط مناسبی جهت تبادل اطلاعات به ظاهر عادی است که همین اطلاعات آشکار و بی ارزش سهم عمده ای از اطلاعات مورد نیاز سرویس های جاسوسی را شامل می شود.
اسلاید 4 :
تاریخچه سیستم های حسابداری در ایران
تاریخ پیدایش سیستم های حسابداری بی ارتباط با تاریخ تكوین حسابداری نیست چرا كه هركجا در مورد روش ارائه اطلاعات مالی و نحوه تهیه گزارشات صحبت شود، گوینده جهت انتقال نظریات خود ناچار از استفاده از مثال ها و ناگزیر از استناد به روش هایی است كه مجموعه این روش ها و سلیقه ها در حقیقت نشان دهنده سیستم خاصی از حسابداری در صنعت یا بخش اقتصادی مورد نظر است.
اسلاید 5 :
تاریخچه سیستم های حسابداری در ایران را می توان در ادوار زیر مورد مطالعه قرار داد:
۱) ایران قبل از اسلام
۲) ایران بعد از اسلام تا دوران قاجاریه
۳) از دوران قاجاریه تا انقلاب مشروطیت
۴) از انقلاب مشروطیت تا اوایل دهه چهل
۵) از اوایل دهه چهل تاكنون
اسلاید 6 :
گامهای پیادهسازی سیستمهای امنیت اطلاعات
(ISS)
فناوری اطلاعات مطالعه، طراحی، توسعه، پیاده سازی و پشتیبانی یامدیریت سیستم های اطلاعات مبتنی بر کامپیوتر خصوصا نرم افزارهای کاربردی وسخت افزار کامپیوتر است. سیستم اطلاعاتی، سیستمی از افراد، داده های ذخیره شده وفعالیت های است که داده و اطلاعات را در یک سازمان پردازش می کند، فرآیندهای سازمان از نوع دستی وخودکار است. سیستم های اطلاعاتی توسعه و کاربرد و مدیریت سازمان با زیرساخت فناوری اطلاعات است.
اسلاید 7 :
مهمترین عامل توانایی وقدرت حفاظت از اطلاعات
امنیت اطلاعات :
امنیت اطلاعات به مفهوم حفاظت و مراقبت از اطلاعات و سیستم های اطلاعاتی در مقابل هرگونه مخاطره وتهدید است. مخاطرات وتهدیدهای این حوزه شامل دسترسی، کاربرد، افشاء، قطع، تغییر یا انهدام غیرمجاز اطلاعات است. امنیت اطلاعات طبق استاندارد ISO27001 حفظ محرمانگی، جامعیت و در دسترس بودن اطلاعات در مقابل مخاطرات، تهدیدها و آسیب پذیری ها تعریف شده است.
اسلاید 8 :
برنامه استراتژیک امنیت اطلاعات
هدف برنامه استراتژیک امنیت اطلاعات جهت دادن به پیاده سازی امنیت اطلاعات است، برنامه چارچوبی را برای اهداف در جهت الزام به محرمانگی، جامعیت ودر دسترس بودن فراهم می آورد.
اسلاید 9 :
برقراری مدیریت امنیت اطلاعات شش هدف متصور است:
گام ١: توسعه، تصویب و ترویج خط مشی امنیت اطلاعات فراگیر
گام ٢: کارکنان بایستی آگاه از پاسخگویی درباره امنیت اطلاعات باشند
گام ٣: ایجاد امور امنیت اطلاعات هربخش
گام ٤: بنا نهادن فرآیندی برای گزارش گیری منظم از پیشرفت به مدیر اجرایی
گام ٥: پیاده نمودن کنترلهای فعال وگسترده
گام ٦: پیاده نمودن وارتقاء مداوم وبرنامه های ترسیم حوادث.
اسلاید 10 :
برنامه امنیت اطلاعات در یک لحظه قابل برقرای نیست، اقدامی مداوم است که بصورت فرآیند چرخشی قابل پیاده سازی است
اسلاید 11 :
امنيت سيستمهای رايانهای
راه حلهای امنيت سيستمها و شبكههای اطلاعاتی
امروزه كمتر سازمانی را مييابيد كه از شبكههای رایانه ای استفاده نكند و اطلاعات با ارزشی را در آن ذخیره ننماید. تمامی اين سازمانها از ارتباطات پرسرعت و كم سرعت اينترنتی بهره میگيرند. از طرف ديگر نفوذگران نيز مجهز به ابزارهای پرقدرت و ارزان قيمت نرمافزاری و سخت افزاری مشتاق به بهرهگيری اقتصادی يا ارضای كنجكاوی خود، آماده اخلال در اين شبكهها هستند. استقرار يك سياست امنيتی موثر و پويا، وظيفه هر سازمان برای حفاظت از اطلاعات و وجهه خود است.
اسلاید 12 :
سيستم مديريت امنيت اطلاعات
سه اصل مهم زير همواره بايدرعايت گردد:
Confidentiality : محرمانه بودن اطلاعات - تنها افراد مجاز، به اطلاعات دسترسی خواهنديافت.
Integrity : جامعيت - كامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات بايد تضمينشود.
Availability : در دسترس بودن - اطلاعات بطور صحيح در دسترس افرادی كه حق دسترسی به آن را دارند قرارگيرد.
اسلاید 13 :
يك سيستم جامع امنيتی بر سه پايه بنا میشود:
سيستمها و دستورالعملهای امنيتی: طرحها و برنامههای مرتبط با نحوه محافظت از سيستمهای اطلاعاتی و دادههای آنها در اين قسمت مورد توجه قرار میگيرد.
فناوری و محصولات امنيتی: تمام ابزارهای مورد استفاده در بخشهای مختلف امنيتی براي اعمال دستورالعملها، كنترل و نظارت
عوامل اجرائی: اين عوامل از تكنولوژی و ابزارها در جهت اجرای سياستها و دستورالعملهای امنيتی استفاده میكنند.
اسلاید 15 :
راه حلهای امنيت اطلاعات
• شناسائی سرمايههای سازمانی و تخمين آسيبپذيری امنيتی
• تدوين و پيادهسازی سياستهای مديريت امنيت بر اساس استانداردهای ISO 17799-BS7799
• بازبينی، طراحی و پيادهسازی سياستهای امنيت شبكه بر اساس سياستهای سازمان
• بازبينی، طراحی و پيادهسازی امنيت در سطح برنامههای كاربردی
اسلاید 16 :
• بازبينی، طراحی و پيادهسازی امنيت در سطح سيستم عاملهای متداول
• نصب و راهاندازی ابزارهای امنيتی
• تربيت و آموزش نيروهای متخصص در زمينه امنيت شبكه • طراحی و پياده سازی امنيت در سطح ابزارهای شبكه و سرويس دهنده ها
• مشاوره در زمينه امنيت شبكه
اسلاید 17 :
جامعه برای تامین نیازهای اطلاعاتی خود به طور روزافزون به سیستمهای اطلاعاتی حسابداری وابستگی پیدا کرده است و سیستمهای اطلاعاتی حسابداری خود به طور وسیع در حال گسترش و پیچیدگی است. به موازات افزایش پیچیدگی سیستم اطلاعاتی حسابداری و وابستگی جامعه بر این سیستم، شرکتها نیز با مخاطرات فزایندهای در مورد سیستمهای اطلاعاتی خود روبرو میشوند.
اسلاید 18 :
سیستم اطلاعاتی یک شرکت غالباً با چهار نوع تهدید روبروست:
1- حوادث طبیعی و سیاسی مثل آتشسوزی، طوفان، جنگ، ….
2- خطاها و خرابیهای نرمافزاری و سختافزاری.
3- بیدقتی و سهلانگاری (اقدامات غیرعمومی) مثل سهلانگاری و قصور افراد دراجرای صحیح روشها، عدم وجود آموزشهای مناسب، نبودن سرپرستی صحیح.
4- اقدامات عمومی (جرایم رایانهای) مثل سرقت رایانهای، خرابکاری سیستم …
اسلاید 19 :
از این رواجرای کنترلهای کافی و ایمنیهای مناسب بر روی منابع اطلاعاتی هر بنگاه تجاری باید در اولویت مدیریت ارشد آن بنگاه تجاری باشد که بدین منظور انواع کنترلهای داخلی مورد استفاده شرکتها به منظور حصول اطمینان از صحت و درستی سیستم اطلاعاتی حسابداری مورد بررسی قرار خواهد گرفت.
فناوری اطلاعاتی، فرصتهای ویژهای را برای حل مسائل تجاری راهبردی و فنی ارائه میکند .
اما دروازه فناوری اطلاعات همیشه به روی تهدیدات سیستم اطلاعات حسابداری باز است و بالطبع در معرض خطراتی قرار میگیرد که برای سیستمهای اطلاعاتی حسابداری پذیرفتنی است.
اسلاید 20 :
ارزیابی خطر مذکور از دو جهت اهمیت دارد
1-از دیدگاه مدیریت: این ارزیابی از خطر برای تصمیمگیری مناسب در مورد ایجاد رویهها و سیستمهای کنترل داخلی جدیدی ضروری است که برای حفاظت یکپارچه و مطمئن از سیستمهای اطلاعاتی مستقر میشود.
2-از دیدگاه حسابرسان: ارزیابی خطرات مربوطه به تهدیدات سیستم کنترل داخلی سازمان معمولاً جزیی ضروری از کار حسابرسان بوده است.
به هر حال قانون ساربینز-اکسلی (2002) مسئولیت پیادهسازی به نگهداری و ارزیابی سیستم کنترلهای داخلی را به مدیریت واگذار کرده و آنها را ملزم کرده تا ارزیابی اثربخش کنترلهای داخلی را در گزارش سالانه سازمان مدنظر قرار دهند.
