安全审计师属于措施

一、风险回避风险回避是投资主体有意识地放弃风险行为，完全避免特定的损失风险。简单的风险回避是一种最消极的风险处理办法，因为投资者在放弃风险行为的同时，往往也放弃了潜在的目标收益。所以一般只有在以下情况下才会采用这种方法：（1）投资主体对风险极端厌恶。（2）存在可实现同样目标的其他方案，其风险更低。（3）投资主体无能力消除或转移风险。（4）投资主体无能力承担该风险，或承担风险得不到足够的补偿。二、损失控制损失控制不是放弃风险，而是制定计划和采取措施降低损失的可能性或者是减少实际损失。控制的阶段包括事前、事中和事后三个阶段。事前控制的目的主要是为了降低损失的概率，事中和事后的控制主要是为了减少实际发生的损失。三、风险转移风险转移，是指通过契约，将让渡人的风险转移给受让人承担的行为。通过风险转移过程有时可大大降低经济主体的风险程度。风险转移的主要形式是合同和保险。（1）合同转移。通过签订合同，可以将部分或全部风险转移给一个或多个其他参与者。（2）保险转移。保险是使用最为广泛的风险转移方式。四、风险自留风险自留，即风险承担。也就是说，如果损失发生，经济主体将以当时可利用的任何资金进行支付。风险保留包括无计划自留、有计划自我保险。（1）无计划自留。指风险损失发生后从收入中支付，即不是在损失前做出资金安排。当经济主体没有意识到风险并认为损失不会发生时，或将意识到的与风险有关的最大可能损失显著低估时，就会采用无计划保留方式承担风险。一般来说，无资金保留应当谨慎使用，因为如果实际总损失远远大于预计损失，将引起资金周转困难。（2）有计划自我保险。指可能的损失发生前，通过做出各种资金安排以确保损失出现后能及时获得资金以补偿损失。有计划自我保险主要通过建立风险预留基金的方式来实现。

1、 风险分析对以上体系进行风险分析后，发现该体系存在如下风险。1. 信息输入时病毒侵入的风险。通过中间机进行信息输入时，可能会有含恶意代码的病毒随有用信息进入内部各单台计算机。2. 数据丢失的风险。各单台涉密计算机中存储的数据信息可能因各种原因损害，造成数据丢失。3. 体系中各责任人执行规定时懈怠的风险。体系中各责任人在执行相关规定要求时，可能产生懈怠，不按照规定执行，从而产生风险。2、 防护措施针对以上可能存在的风险，制定如下防范措施。(1) 计算机病毒与恶意代码防护1. 每台涉密计算机中必须安装正版瑞星杀毒软件，由使用人员每周进行一次病毒查杀；2. 综合办负责每周更新计算机病毒与恶意代码样本库，以光盘的形式下发给使用人员，由使用人员对所使用的计算机进行病毒库升级。(2) 身份验证所有单台涉密计算机的密码分二级共三种密码。1. 一级密码一级密码为主机BIOS密码，由计算机安全保密管理员掌握。密码有效期为一年，满一年后计算机安全保密管理员进行更换。2. 二级密码（1） 二级密码包括主机开机密码，操作系统密码和屏幕保护密码（操作系统密码和屏幕保护密码相同）。由计算机安全保密管理员统一设置，并配发给涉密机使用人；（2） 密码有效期为30天，满30天后由计算机安全保密管理员进行更换，然后配发给涉密机使用人；（3） 涉密机使用人不得自行更改涉密机的任何密码。3. 密码要求主机BIOS密码和开机密码长度不能少于8个字符，操作系统密码和屏幕保护密码长度不能少于10个字符，字符中需要包括英文字母、数字和字母的大、小写。(3) 物理防护1. 所有涉密计算机要放置在具备防火防盗的房间内，距离其它非涉密通讯设备的安全距离不小于一米。2. 所有涉密计算机与其它非涉密信息设备实行物理隔离。(4) 技术防护除涉密中间计算机外的所有涉密计算机，必须安装和使用国产正版瑞星杀毒软件和经国家保密部门认证合格的《XX非授权外联监管系统》和《XXUSB移动存储介质使用管理系统》进行技术处理，从技术上防止非法外联和非法拷贝。(5) 数据交换1. 除内部单台涉密计算机外，其它数据交换实行单向原则，即数据交换方向只能输入或者只能输出；2. 内部单台涉密机使用绑定的涉密U盘进行数据交换。涉密U盘的使用采用登记制度，责任落实到具体人员。(6) 数据存储1. 所有单台涉密计算机内的数据文件信息（包括输入信息，正在生成的文件等），必须存储在主机的D盘，按照所属项目类别分别存放在相应的文件夹中。并按《计算机和信息系统管理制度》的要求进行标密。2. 未按要求存放数据和标密的，根据情节严重程度和造成的破坏程度进行相应的行政和经济处罚。(7) 数据备份1. 每个项目设计工作完成后，所有与之相关的数据和文件（包括纸介质和电子文档）必须上交给项目负责人或公司保密安全负责人统一办理存档手续（刻录光盘和纸介质存档）；(8) 监督检查1. 每六个月对公司所有计算机进行保密安全检查，对发现的问题及时进行整改；2. 各涉密部门每季度对本部门计算机进行保密安全检查，对发现的问题及时进行整改；3. 涉密计算机的使用人每个月对计算机进行保密安全自查，对发现的问题及时进行整改；4. 每三个月形成文档化的安全保密审计报告，每12个月根据系统综合日志，进行一次风险自评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。

涉密信息系统安全审计是运用各种技术手段，全面检测信息系统中的各种会话和事件，记录并分析各种可疑行为、违规操作，帮助定位安全事件源头和追查取证，防范和发现网络违规活动。目前我国没有比较完善的、权威的、有规范性的安全审计法规和指南，现在的审计工作都是依照各自经验开展，审计对象、审计方法、审计分析角度各有不同。 一般来说，审计对象可按两种方式划分：（1）按审计主体划分：主要对对系统管理员、安全保密管理员、安全审计员及其他相关人员；（2）按审计客体划分：主要对涉密网络设备、服务器、用户终端、应用系统、安全保密产品、数据库、安全保密管理实施情况。审计方法一般有使用安全审计分析软件、审计员人工审计以及安全审计软件和人工审计相结合的审计方法。审计分析工作是个复杂的过程，在审计分析时要有敏锐的意识、快速的反映能力，能够将多种事件相关联，分析其隐藏的漏洞和威胁。温馨提示：以上信息仅供参考。应答时间：2021-03-02，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~

七、各级人民政府及有关部门要采取积极措施，在促进互联网的应用和网络技术的普及过程中，重视和支持对网络安全技术的研究和开发，增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育，依法实施有效的监督管理，防范和制止利用互联网进行的各种违法活动，为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动，发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告。任何单位和个人在利用互联网时，都要遵纪守法，抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职，密切配合，依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量，依靠全社会的共同努力，保障互联网的运行安全与信息安全，促进社会主义精神文明和物质文明建设。