在实施后的再造过程中,未建立控制措施,因为再造基本上集中于新的和创新的过程设计,力求显着,显着且显着地提高公司的生产率,效率和利润。 ,而无需依靠流程中控件的设计。因此,必须对基本控制和基本控制的实施进行分析并更加强调数据处理领域。否则,必定会导致新流程的失败或偏差,而我们无法及时确定或听诊它们,并避免出现失败或错误。一旦制定了这些准则,就必须由整个公司,并且主要由在系统领域工作的人员来实施。
这项工作的目的不是要教您如何重新设计或解释您的方法。这项工作的目的是向您显示重新设计后还有“超越”之处,这些是这项工作所关注的控件和有价证券。我的目的是向您显示即将“处于险境”的区域的警报点,以及向业务管理员解释的技术含量较低的方法,以及通过实施控制和数据安全性来防止它们的方法。
还必须告知业务管理员,尽管他或她不是计算机系统专家,但他或她必须“知道”基本要点,并必须从其公司的系统专家那里获取详细信息。
最后,如果业务管理员领导一所大学,大学,工业,银行或商业公司,那么这项工作将对您有很大帮助,因为它适用于任何类型的公司。它的重点主要放在处理和相关领域,但其概念甚至可以扩展到其他领域。
第1 章:总则
- 再造目标
关于什么是再造还是不是再造已经有很多说法。在所谓的重新设计之中,我们有一个程序或方法论在寻求根本性的改变,在寻求渐进式改进,在追求自动化,组织,缩小规模,质量。
流程再造被定义为一种“平衡”的方法,其中包含更传统的改进程序的要素,尽管它不是“更多”的改进程序,因为再设计的内容更多。在影响绩效的重要措施上寻求决定性的进展。寻找质量,成本,速度,灵活性,客户满意度,精度等多方面的目标;所有这些都是同时进行的,特别是其中之一。重新设计以“流程”为观点,并专注于它们以重新设计它们,因此,它的观点既不是功能性的也不是组织性的。
对于之前已经解释过的内容以及对于重新设计您应该已经了解的内容,它力求简化过程,从中删除蛇形结构。为此,它定义了一个流程具有边界,并且在每个边界处至少具有一个控件,因此该流程将至少具有两个控件,一个控件用于进行转移的人,另一个控件用于进行转移的人,对于再设计,是不可思议。在他们看来,建立控件会损害流程的流程,因为它们包含的活动在此方法论方面并没有增加价值。
重新设计的定义期望通过根据以下两个方面进行衡量来实现组织中工作流程和生产率的优化:增加的盈利能力,市场份额,投资回报率,资产和资产。重新设计也可以通过减少总成本或单位成本来衡量。
流程重组在业务结果(选择此计划的高级管理人员感兴趣)与流程结果之间建立显式关联:流程速度,准确性和减少的处理时间(流程团队认为尝试进行优化)。
没有在目的与手段之间,即在业务结果与过程结果之间建立这种故意的,可量化的联系;重新设计程序注定会失败。
最后,重新设计是对业务环境趋势演变的响应,在这种情况下,传统的增量改进计划失败了。在许多情况下,只有对承诺进行重新设计才能足够快且彻底地改变,以适应不断变化的业务环境。
- 控制目标
控制是行政管理的基础之一。控制手段的一个简单概念就是“相对于预期的全部或部分测量当前和过去的结果,以纠正,改进和制定新计划”。控件本身试图系统地收集数据以了解计划的执行情况。
随着技术的进步和通信系统的成功,在许多情况下有可能获得来自控制本身的信息的“反馈”,并加以利用,以便自动启动纠正措施,通过该措施,不必等到结果完全产生就可以将纠正措施付诸行动:以前建立的过程会根据这些结果不断纠正措施,而无需停止采取行动。
控件可以是自动的,手动的或两者的组合。为了了解呈现控件的方式,我们有以下示例:已在特定位置将其建立为温度标准,必须将其保持在20摄氏度至22摄氏度之间。在手动控制系统中,有必要可视化温度计何时降至20°C以下或高于22°C,以调节通风以符合指示的标准。
在自动控制系统中,当温度低于20°C或高于22°C时,它会自动改变加热状态,从而将温度始终保持在所需水平。
在管理领域,例如,可以获取相同的应用程序:在需要替换点的库存中,一旦达到相同的要求,就会自动生成必要的订单,以便在消耗库存时不丢失基本要素。手动执行的此示例还需要手动控制库存水平和补给点。
在对“控制”的简要说明之后,我们定义控制的目的是为公司提供监视和检测过程中偏差或故障的元素。创建它们是为了保护诸如以下元素:
-根据公司的要求,信息的安全性,及时性和准确性。
-对存储的数据或处理中心(例如公司的微型计算机)中使用的程序应用保护和控制措施。
-设计有形和行政证券,从而为处理中心和使用官方数据进行操作的其他实体提供控制措施的支持。
-通过执行授权的流程,可以根据设计流程的应用,通过明确表示可靠授权的最终产品的授权流程,来访问公司的正式数据,并具有特定的归属。
-授权人员,官方数据(正式数据)和授权流程是机构正式系统的一部分,由公司的控制机制不断检查,审查和批准,并在适用的安全和控制方案。
-与公司相关以及何时与公司相关的过程,数据和程序,必须始终具有正式化的趋势(无论是通过用户,内部审计,系统,内部控制,培训等)处理过程及其持续性都是连续发生的。这样可以确保遵守该机构制定的所有规则,政策,程序和控制措施。
-分析遵守数据安全和控制规则和程序所需的可能投资;用标准评估投资可带来的收益,并始终考虑必须维护的公司利益。
第2章:人身安全
- 物理安全目标
目的是在硬件,软件,文档和磁性介质方面保护系统免受丢失,丢失或物理损坏的风险。同样,如果没有适当的物理安全控制,未经授权人员的访问也可能产生潜在的风险;在大火中 停电;在因漏水造成的洪水中以及在逻辑访问控制中。
- 涉及人身安全的方面
物理安全至少涉及以下几个方面:
- 门禁控制消防安全能源供应空调水检测保安员电信
2.2.1访问控制
尽管对门禁系统的投资不一定是繁重的工作,例如防弹眼镜,24小时武装警卫或摄像机的植入;公司应考虑采取充分合理的控制措施,以防止个人甚至“未经授权”的人员访问处理中心或数据处理或官方和专有信息区域。
这些安全系统必须考虑使用通过位于每个区域的电子组件或通过使用编码塑料卡输入的安全密钥。密钥分配必须由系统区域的代表来指定,并且必须定期进行修改,以避免任何渗透到密钥主文件中或避免用户之间授予密钥主文件。
应该注意的是,为此目的,在使个人通过使用密钥负责的每个区域与分配和控制发布给用户的密钥的控制区域之间必须存在相互关系。如果不知道在特定或永久时间内解雇,辞职或缺席特定人员,将导致访问控制流程无法成功进行破坏,盗窃,攻击等行为所造成的损害。
还必须根据最低需求并在系统负责人的监督下,根据情况授予访问权限。
当人员被重新分配到不需要其先前授权访问权限的其他职能时;一旦该人被调任,就必须撤销许可证。同样,在员工休假期间也应采用相同的概念。
设备或磁性装置的动员只能由授权人员执行,并且必须遵循控制设备动员的程序。保安人员必须确保在案件授权下进行进出设备的动员或磁性手段的调动。
与访问者类别相对应且需要在处理中心或相关地点移动的人员必须使用表明其作为“访问者”的素质的卡,并且必须始终由机构人员陪同或监督,并且他们的出入境必须记录在该地区的博客中。
处理中心和相关中心的清洁和清洁必须在机构人员在场的情况下进行。所述清洁人员必须在身份识别之前进入保安人员,保安人员必须在公司外部人员登记册中确认其姓名和允许的访问时间。
禁止携带带有行李箱或行李或其他物品的人员进入,而构成或服务于清洁或清洁工作的人员或行李除外。
万一丢失,必须立即向安全人员和系统管理员报告进入禁区的访问卡以及访客卡,以撤消对这些卡的使用。
对于紧急情况,安全人员必须拥有处理中心和办公室的钥匙。这些必须保存在密封的信封中,并受到安全保护,并由审计署定期审查。
人员的出入时间表以及设备和磁性装置的时间表必须由审核人员定期检查,并核实设备的移动已按照既定的控制措施进行,并且人员的出入是否符合规定。它是在既定时间进行的,并取得了相应的下班后到达或离开的许可。
公司计划制定一项保护其固定资产损失或损坏的政策,这一点很重要。
- 消防安全
处理中心及相关中心必须装有烟雾探测器,烟雾大量散发时必须自动启动烟雾探测器。这些设备应定期进行测试以验证其操作。对于带有自动加水功能的火灾探测器,应将其放置在远离设备和无法通过接触水回收的材料的区域。
处理中心必须配备足够的便携式灭火器,必须对其进行定期测试,以使其在紧急情况下能够正常工作。
应通过将要装卸的灭火器送到相应的维护中心进行目视检查。
同样,该区域的标记方式应指明禁止吸烟或使用可燃材料的区域。
使用的灭火器会根据发生的火灾类别而有所不同。为此,我们有A,B,C和D型火灾,A型火灾是由普通固体燃料(例如木材,纺织品,垃圾等)产生的。这种火会破裂材料,产生灰烬,留下灰烬并从外向内扩散。优选与水基灭火剂战斗。
易燃液体(汽油,机油,油漆,油脂等)发生B型起火。其特征在于仅在表面上发生火灾。为了与它们作斗争,我们必须优选消除接触的氧气,并且必须使用能够达到这一目的的灭火剂。
C型火灾发生在连接的电气设备中,尽管这种火灾发生在固体或液体材料中,但由于存在电流危险,因此应进行特殊分类。使用灭火剂非电导体。
D型火灾发生在轻金属,化学制品,药品等上。这些材料在燃烧时会产生自己的氧气。当受到普通灭火剂的攻击时,它们会产生剧烈反应,包括爆炸。最好使用特殊的灭火剂,例如化学粉扑灭它们。
以下是每种类型的火灾和灭火器类型的说明表。
| 消防班 | 灭火器 | |||||||
| 类 | 燃料种类 | 水 | 泡沫 | 二氧化碳 | 粉末BC | ABC粉末 | 特殊代理商 | |
| 至 | 木头,抹布,纸等 一般坚固 | ñ | ñ | 和 | 和 | ñ | [R | |
| 乙 | 低熔点的易燃液体或固体。 | [R | ñ | ñ | ñ | ñ | 和 | |
| C | 带电或已连接的电气设备 | [R | [R | ñ | ñ | ñ | 和 | |
| d | 材料,化学药品等 | [R | [R | [R | 和 | 和 | ñ | |
| n适用于类型/防火 | ê可以使用 | r不应在这种类型/火灾中使用 | ||||||
加工及相关中心必须配备设备,家具和不易燃材料。最好在加工中心不使用窗帘。电气设备(例如电缆)必须由高素质的人员进行安装和准备。
电源开关必须由两部分分开,一个部分应允许在紧急情况下完全关闭电源,必须对其进行保护以防止意外操作。
在任何情况下都不得在加工区域吸烟。任何易燃材料(例如纸张,手册,表格)均应远离热源,并可能与易燃元素接触。
- 能源供应
-Every公司必须有一个UPS(û ninterruptable P奥尔小号 upply /不间断电源),以保护自身免受任何悬浮或下降的电供应。
-除UPS外,还必须在紧急情况下使用发电机,必须定期对其进行测试以确保其正常运行。
| 能源 发电机 |
-预计发电机和UPS最多要使用其负载的70%。
-应当注意,UPS处于持续运行状态,不仅可以承受一段时间的光照,而且还可以承受闪烁或电气尖峰。重要的是,在购买前必须正确评估UPS必须具备的规格,以便它支持处理中心及相关设备的所有设备。此评估必须由系统负责人进行。
-设备必须定期维护。
-加工中心及相关中心的能源必须是排他性的,不得与其他地区共享。
-在紧急情况下,重要的是,处理中心的人员必须熟悉各自的流程,以便在仅使用UPS提供的能源工作时,关闭不必要的设备,以延长时间备用电源。
-作为应急工具,应始终使用电池供电的手电筒。
- 空调
-加工中心必须保持在18-19°C之间的温度,湿度在45%-50%之间。
-对于处理中心,必须独立于中央空调系统,配备两台“专用”空调设备,其中一台不能正常运行时,另一台可以作为另一台的备用设备。这些设备的特性不是普通空调的常见特性之一。这些设备主要自动调节温度,湿度,控制气流并保持静音,从而避免损坏构成处理中心的计算机和其他设备。
-在紧急情况下无法使用主空调且没有备用设备时;在紧急情况期间,可保持基座风扇为主要设备冷却。
- 水检测
对于公司而言,在其处理中心中使用水检测器非常罕见,这不是因为效率低下,而是因为缺乏对这些类型设备的存在知识。这些设备对于使加工中心远离漏水非常重要,主要是在薄弱的地方,例如空调设备附近,以免漏水。
| 水和湿度传感器 | 音频水检测器 |
-这些设备可以是声音或灵敏度水探测器。它们可以根据每个公司的需要单独使用,也可以组合使用,即:可以在某些关键区域使用水和湿度传感器(空调设备所在的地方),而在其他关键区域则可以使用可听见的检测器(水龙头或水管附近)。
-必须定期维护和测试警报,以确保其运行。
-作为自动系统的补充方式,可以在视觉上检测假地板,躺椅或墙壁上的泄漏或水流。
保安人员
-保安人员必须确保对办公室,主要是对加工中心等的永久监视。未经相应的许可,任何未经授权的人都不得进入处理中心。
-他们还必须验证来访人员是否在地板上以及与来访人员是否在一起。同样,访问者的离开必须进行注册,并且必须通过访问卡以及访问者的签名和离开时间进行控制。
-根据公司的规模和所处理信息的敏感性,安全摄像机通常由楼层或部门建立,并由为此目的而指定的控制场所中的一组保安人员进行监视。
- 电讯
交流被定义为“交流”的艺术和科学。这个简单的概念扩展到电信,其中包括使用电子,电气,光学,电缆,光纤或电磁方式在一定距离内进行“通信”。电信只是信号的传输,接收和交换的手段。
-在电信领域必须遵守的安全措施中,通信电缆和电缆必须以受保护的方式保存,以确保它们正常工作。
-通信设备,例如调制解调器,节点,控制器,服务器等。根据设备制造商和/或供应商提供的技术规范,必须在所处的物理位置和环境中对它们进行保护。
-在整个公司内(主要是在加工中心内),电缆必须位于非导电电能材料的水槽或塑料管内。对于网络电缆(语音和数据传输器,通常使用金属管)。
-电缆(无论是否为电气设备)必须在适当的位置上正确标明并已订购,并使用市场上必要的元件保护其免受电路损坏或因疏忽,水,啮齿动物等造成的损坏。
-目前,致力于环境设计的公司提供可移动的墙,这些墙已集成在面板,电缆槽中。必须强调的是,这种类型的镶板应在加工区域之外使用,因为覆盖它们的材料通常是布料,因此容易燃烧。
尽管业务管理员确实会委托公司系统负责人执行或安装电气或结构化电缆(用于网络),但这同样是正确的,您必须了解这种类型的电缆必须涵盖的要点。设备:
-电气安装:土建工程的设计和执行,管道(塑料)的铺设,电缆的铺设。提供和安装:插座,电路板,电涌抑制器(稳压器-UPS)等。
-结构化布线:土建工程的设计和执行,管道(金属或塑料)的铺设,水槽的铺设,语音和数据电缆的铺设。提供和安装:机柜,连接器,配线架,集线器,路由器等。提供和安装计算机设备及其相应软件。
-网络维护服务:它可以包括所有计算机设备(服务器,个人计算机,打印机等),以及检查和纠正网络及其活动组件的铺设问题。在现有设施中,提供了网络认证服务。
第3章:与系统相关的控制
- 逻辑访问控制
需要控制
逻辑访问控制至关重要,因为它们可以保护程序,文件,事务,命令,实用程序等资源。
我们将定义准则,以实现对数据处理中心和相关资源的本地和远程逻辑访问的控制机制。
-通常,访问权限必须基于用户了解信息的需求。这意味着必须根据用户角色支持和证明权限。
-在紧急情况下,通常资源不受保护,并且要求除授权人员以外的其他人进行逻辑访问,必须始终在适当的监督下进行操作。紧急情况后,该用户和密码必须退订或用新密码替换,以确保安全。
-逻辑访问控制系统必须考虑违反行为。应该自动维护所有访问的历史记录,包括尝试失败或违反安全性。
-访问密码必须放在适当密封的信封中,并放在安全的地方。在紧急情况下,保险柜负责人在系统负责人的授权下可以将受保护的钥匙交给后者。应保留对这些备份密码和相应授权的访问记录。
-用户负责分配给他们的密钥。在任何情况下都不得泄露密码或与其他用户交换密码。任何不遵守此规定的结果将由相应用户专门负责。
-公司必须建立一个负责管理证券,用户和密码的实体。分配的功能将是控制和更新分配给不同资源的用户和密码列表,并建立定期更改的策略,以避免资源安全性出现偏差。
- 用户识别
-用户切勿共享其用户标识和密码。必须要求每个新用户并将其证明给系统管理员,并且一旦获得批准,就必须通过证券管理员引导他们进行各自的分配和控制。
-重要的是,系统管理员必须同时告知申请人和安全管理员,这是新用户将拥有的访问类型,以及未访问的信息,甚至可以覆盖终端级别的限制。
-如果没有相应的密钥或密码(密码),则无法创建任何用户,因为这是安全控制的唯一手段。
-键必须至少包含6个字母数字字符(数字和字母),由用户选择。在其他情况下,根据您将访问的资源的不同,密钥将由证券管理员直接分配并通知用户,例如:网络用户和网络密钥。
-重要的是,用户管理器在其记录中不能为其他用户使用相同的密码。如果发生这种情况,必须立即更改密码,并且必须将新密码通知相应的用户。在这种情况下,还应考虑以下因素:
*在相同位置上具有相同字符的不同用户必须没有密码,例如:123SRRG和123LRRG。
*必须规定密码中使用的数字字符数。
*必须规定最大字符数。
-密码必须至少每30天更改一次。如果用户代码高度敏感,则应评估更长的更改时间。
-密码输入错误后,尝试失败的总数最多为三。在三次失败尝试之后,必须禁止该用户。这些尝试必须在系统中注册以便以后控制。
-不应显示按键。您的存储空间必须为加密(加密)形式。
-对每个资源的每次访问都必须包含一个特定的密钥,并且不能重复。
-如果用户由于失去机密而考虑更改密码,则必须要求安全管理员立即分配新密码。
-有些程序默认包含用户名和密码(默认),以方便其安装。安装程序后,必须更改此设置。
-必须将密钥备份在安全性信封中,并且必须进行随机测试以验证其真实性和货币性。
- 暂停许可证
出于以下原因,必须暂停许可证:
-由于休假导致员工缺席时。
-30天内未使用您的用户名和密码时。
-评估证券管理员和系统负责人在周末和节假日的访问权限。
-当您超出分配资源失败访问的最大尝试次数时。
在上述任何一种情况下,都必须分析和调查原因,以使用户康复,必须根据所用悬挂的类型再次请求授权。如果系统处于非活动中止状态,则后者必须再次请求重新输入密码。
- 资料存取
-数据将存储在磁性介质上,例如软盘,盒式磁带或磁带。这些数据只能由授权人员访问。
-必须根据您的安全性对打印的信息进行分类。
-如果无法访问数据,则系统必须保留此信息的详细信息以及用户的姓名,日期,应用程序,文件等。打算访问的内容以及尝试次数。
-以相同的方式,在几次失败的尝试之后,系统应继续检查成功的尝试。这些可以通过必须由安全管理员定期检查的安全日志(按时间顺序活动的文件)进行管理。
-企业必须设计程序,使他们能够成功地确保对数据访问安全性的控制。
- 访问程序和实用程序
对程序和实用程序的访问权限必须根据用户的个人资料进行细分。一般分类为:
- 系统用户系统开发人员和生产人员。
系统的用户是那些可以生成真实交易或使用生产系统功能的用户。他们还将能够访问由于交易而由系统生成的文件。
该程序员应该只能访问测试或开发环境。他们不应有权访问实际交易或生产中的系统功能。
-生产人员必须确保他们仅访问为每个用户定义的信息。您将能够执行为生产区域定义的任务,但可以防止使用任何类型的编程工具或通过应用程序访问数据。
-必须将程序库和实用程序库分开进行开发和生产。
-重要的是,正在开发的程序也必须保持在版本级别以及开发它的日期,时间和用户数据。至少保留最新的倒数第二个至关重要,因此,如果要还原,则可以使用最后两个版本中的任何一个。
-如有必要,可以允许系统用户和生产人员访问开发环境中的库。
-在系统投入生产之前,必须先评估该程序或实用程序提供的安全级别。系统审核员和内部控制主管必须进行核对,以确定系统是否符合技术规格并包含适当的防护措施和控制措施,这一点很重要。
-生产程序后所做的更改必须根据更改控制进行。
- 应用程序控制
应用控制是那些专注于用户的控制,并通过系统控制。用户可以控制输入数据,固定数据,拒绝或等待的项目,输出数据。系统控制的重点是输入数据,等待项和处理。
用户控制是指用户在准备和批准交易(输入数据)中必须承担的责任;在修改主文件和系统表中的固定数据时,负责其完整性和准确性(固定数据);在控制被拒绝或暂停的交易时,必须立即根据其会计日期(被拒绝和暂停的项目)进行更正,并最终对输出数据中显示和检测到的错误或偏差负责。
系统的控制是提供并保证输入的数据完全数字化(输入数据)的控制;正确识别了被拒绝和待处理的物料,并保留了待解决的方案(被拒绝和待处理的物料);最后,该系统具有用于处理的控制机制,以确保使用正确的数据文件处理信息,并且还通过处理的不同阶段提供对交易的监控,以保持足够的审计证据(关于处理)。
在系统的各种控制中,我们可以提到数据输入的控制,这些输入是通过事务生成控制,总计控制,序列控制,记录大小控制,密钥验证等方式给出的。这些控件不应选择而是全部应用,因为它们在输入操作的整个路径中都具有特定功能。
- 使用事务控制时,在处理之前会建立一个相同的批准,这是自动批准;对于人工批准,最好在处理结束时或交易已经完成时给出:当在采购系统中进行购买输入并在所述输入系统中进行付款批准时,通过签署文件进行;您不确定原始交易的金额,供应商和其他数据是否正确存入了押金。为了避免欺诈,在这种情况下,重要的是在交易完成后(即在交易结束时)批准或签署。还有其他类型的控件旨在维护有关商品更改,价格,数量,等等。使用Total Controls,可以建立一个注册表,以确保对所有输入的交易进行总计。“按顺序控制”是指以预先编号形式的级别或通过输入的文档自动生成的顺序自动或手动生成记录序列的控件,“记录大小”可以确认邮件的长度。根据已建立的技术参数注册,并避免传输交易中未考虑的信息。在某些情况下,还可以评估以加密形式传输信息的需求,这将使解密信息变得更加困难。后者在信息高度敏感时被广泛使用,在任何情况下,应用程序控制都必须确保用户仅访问或影响为每个用户授权和定义的内容。系统程序员活动控件。
系统程序员的活动必须确保设计的程序满足要求的要求,案例的安全性和完整性。系统经理将负责在程序投入生产之前进行验证,程序员已正确记录了程序或更改,已执行验证和验证例程以及已完成系统测试。 。
重要的是,必须对所有寄存器进行数据输入和输出验证,并且不可能操纵任何特定的寄存器,例如:银行应用程序程序员(支票或储蓄帐户)可以对借方或贷方进行编程不会用肉眼检测到这些。实施控制和验证机制至关重要,以确保所讨论的程序符合要求的要求和案件的保障措施。
3.1.7.1 有关未经授权访问计算机系统和欺诈的真实案例-五角大楼,花旗银行,伦敦巴林银行,密歇根州斯普林阿伯大学和厄瓜多尔普罗因科
情况1:访问五角大楼系统。
由于美国在伊拉克战争中经历的政治和战略影响,该消息立即被披露。国防部副部长约翰·哈姆雷(John Hamre)迅速否认,黑客进入五角大楼是对他秘密系统的访问。他指出,如果有条目,但这些条目将进入未分类的信息网络。他还试图根据攻击的表达将攻击可视化为“游戏”,目的是消除局势的戏剧性。
在袭击发生的几天内,这名涉嫌非法进入五角大楼计算机的年轻人最终被捕。海盗似乎是一个18岁的以色列人,名为埃德胡德·特内鲍姆(Edhud Tenebaum),他的虚名(昵称)是“分析员”,他从学校的计算机和网络登录,以免留下他对军事设施进行虚拟旅行的个人痕迹。美国。
除五角大楼外,这名年轻人还会入侵以色列和美国的许多其他机构。这两个国家收集的对比信息最终将导致发现年轻人的身份。
除“分析员”外,还逮捕了一批据称参与进入五角大楼系统的青年人。一旦发现此条目,负责此操作的人员就会将总共47个FBI代理放到黑客的踪迹中。
但由于此案的结果,1998年头几个月在探索频道上出现了一个非常详细的纪录片,表明该国防部曾在1994年遭到过黑客的攻击,但出于安全原因,当时,这个问题很少被披露。
在这种情况下,已经向公众介绍了有关金融实体的计算机欺诈的更多信息,在这种情况下,黑客访问了他们的中央计算机,通过一种不那么有利的手段来操纵银行账户余额。复杂的方法,但有一大批专门从事此类欺诈的人。因此,很方便的是,随着技术的进步,公司准备和准备自己的系统,投资于可降低风险并在许多情况下完全消除风险的尖端技术。
案例2:向花旗银行欺诈
这是银行抢劫历史上唯一通过其系统记录的案件。抢劫是由一名名叫弗拉基米尔·列文(Vladimir Levin)的黑客进行的,他是俄罗斯国民,他于1994年设计并设计了花旗银行1000万美元的历史上最著名的抢劫案。
此案在美国和欧洲得到广泛宣传。操作此黑客(黑客)的方法是访问花旗银行系统,并从花旗银行在世界各地不同办事处的各个客户帐户中分配数百万美元,以分配给其位于美国加利福尼亚州,以色列,芬兰的同伙的帐户,德国,荷兰和瑞士。他在俄罗斯圣彼得堡做的所有事情都没有离开键盘。他于1995年被国际刑警组织逮捕。
这种情况是不寻常的,不仅因为被盗的金额或所使用的方法,还因为它在金融界和互联网安全行业引起了轰动。
在这种情况下,人们再次质疑计算机犯罪如何盛行以及为什么金融和商业部门不利于举报计算机犯罪。
在这方面,当时引起了金融部门以及该案检察官和调查员的评论。就其本身而言,银行部门通过其代表指出,花旗银行事件是一个巧合,根据法律,金融部门必须报告在这些情况下所遭受的损失,这表明他们隐藏信息是一种损失。错误。另一方面,检察官和调查员反对这些陈述,表明该案并非仅仅是巧合,而且,在与金融和商业部门合作的经验中,碰巧他们发现问题时便否认了这些并涵盖了所有证据。为了避免失去公众对该行业的信任,并避免与上级主管发生问题,发生了什么。
目前,自花旗银行案以来,纽约联邦调查局(FBI)表示,他们已经能够在大约500家公司中进入私营部门,尽管他们的反应不佳,但他们知道他们采取的方法是保护公司的正确方法。
通过计算机犯下的罪行不仅限于盗窃现金或通过信用卡。它们还广泛传播到盗窃商业机密和公司战略。
最后,花旗银行通过该行发言人艾米·伊达斯(Amy Dates)表示;尽管发生了这一事件,但他们并没有失去一个客户,并且很高兴他们非常重视这次活动,并且
他们将与司法系统一起大力确定应对这些行为负责的人。
案例3:伦敦巴林银行欺诈
1995年2 月,伦敦最古老的银行巴林银行倒闭,亏损超过10亿美元。丑闻震惊了国际银行业,这是由一名名叫尼古拉斯(尼克)威廉·利森(Nicholas(Nick)William Leeson)的银行雇员造成的,该雇员曾担任该银行的交易员(交易员),并因重大灾难而受到指责。目前,在留在德国监狱之后,他被引渡到新加坡,并继续进行该程序。利森是唯一参与巴林银行倒闭的银行,尽管调查人员表示,该银行高管也有罪。
政治家,调查人员和国际银行人员对该案进行了分析,每个人都同意错误出在同一家银行,这使Lesson可以开始和结束操作,而无需对其活动进行任何控制或监督。他既是前台的负责人,也就是负责运营的人。以及后台,即对所做承诺的日常评估,即获得的风险水平。换句话说,同一个人必须做出决定并控制这些决定,以防止他们承担太多风险。
归根结底,大英银行的倒闭是由于李森(Leeson)糟糕的谈判导致的累积亏损。两位官方调查人员的研究表明,巴林银行的倒闭确实是由于政府的“无能”和对三个重大失误的缺乏警惕,这三个主要失误是:系统,监督和内部控制。
在这三个领域中,控制的重要性都被完全忽略了。由于巴林银行拥有内部审计师,因此表明了“控制的重要性”,但上述审计师所提交的报告并未得到重视。显然,其官员不具备覆盖业务各个部分的必要知识和技能。霸菱银行有信息,但并未用于疏忽大意。
所有这一切似乎都是对的,因为巴林银行的伦敦管理层被告知利森正在开展的业务,因为他在银行倒闭前的两个月里转移了大笔款项(约20家日本银行借出了4亿英镑) 。尼克·李森(Nick Leeson)也许对他要求进行这些转账的真正原因撒谎了,但是,董事对于大笔钱的目的地缺乏好奇心似乎很奇怪。
实际上,巴林的灾难本可以避免。1994年世界银行的内部审计报告(事件发生前的一年)提到需要改变世界银行的业务。如果该报告具有案件重要性,那么就应该警告并避免倒闭,因为审计师在报告中明确指出尼克·李森在谈判中负有责任,也有侵犯其能力的危险。银行系统。世行的行政管理人员由于谈判而渴望获得宽松的资金,因此没有遵循这些建议,其后果是巨大的。
案例4:密歇根州Spring Arbor(Christian)大学的欺诈行为。
1995年5 月,另一起欺诈丑闻爆发。这次轮到位于密歇根州的Spring Arbor University了。被告:约翰·本内特(John Bennett),现年57岁,是一名福音派基督徒,在费城利他主义圈子中享有无可挑剔的声誉。
Bennett的运作方式是应用经典的庞氏金字塔系统,该系统使Charles Ponzi可以从波士顿剥夺一些失去所有积蓄的钱。庞氏说服人们交钱,以换取三个月后给他们50%的收入。在鼓励投资的人的资金下,庞兹(Ponzi)结清了即将到期的账户,但大多数第一批“受益人”将其收益再投资了。不出所料,巨大的金字塔最终坍塌,成千上万的人被骗。
因此,贝内特的系统是一个金字塔,由斯普林阿伯大学会计学教授兼会计师阿尔伯特·迈耶发现。迈耶(Meyer)在大学的帐户对帐单中看到,大量资金转移到了一个银行的帐户中,该银行帐户属于“证券继承”基金会。梅耶尔在调查此案时获悉,Herencia de Valores是基金会,是大学与新时代基金会(设在宾夕法尼亚州)之间的中介,贝内特是该基金会的主任。贝内特向被扣押的机构表示,他正在从匿名的捐助者那里分发钱。因此,如果像Spring Arbor University这样的非营利机构收取一定数量的捐款,“捐助者”承诺捐出相等的款项。
当迈耶知道这些信息后,他对它是否是庞氏金字塔的怀疑就被清除了。在花了一些时间继续研究这个主题并与Spring Arbor的几位官员进行了交谈之后,她用所提供的收入收到了她的钱。在这种情况下,大学按时收到增长的资金时就不会感到怀疑,他们只是将其视为无抵押贷款,始终按时偿还。
迈尔随后加强了调查,甚至去了大学的最高行政部门表达他的关注,但是作为回应,他得到了“很难增加资金,而且不需要他们的干预”。尽管如此,Meyer还是向税收征管处索要了纳税申报表的副本。在这里,他观察到贝内特尽管获得了全额投资,但没有任何记录。
经过Meyer的一系列调查和询问,欺诈被完全发现。Bennett被控犯有财务欺诈罪,并从该基金会的账户中不当地转移了超过420万美元到他自己的企业账户。估计损失超过1亿美元。
案例5:Proinco Sociedad Financiera SA(厄瓜多尔)
1999年6月,Proinco Sociedad Financiera SA的一名被发现非法使用万事达卡加油卡的对象#550141007500776被发现对Proinco Sociedad Financiera SA损失了超过500万苏克。虽然这并不意味着很多钱,但这个案例只是一个例子。该厄瓜多尔实体如何使用未被误取消的卡来欺骗。
这种情况不是唯一的,也不是世界范围内发生的许多可塑货币欺诈的最后形式,我国也不例外。有大量针对可塑性货币欺诈的运动,从安装假冒的自动柜员机,克隆卡到购买低速移动的帐号以窃取金钱而不会被轻易发现的活动。这些小组与从事欺诈活动的同一机构的人员定期合作。
这些异常通常仅在客户向金融机构提出索赔时才被发现,但是,由于流程缺乏控制,许多此类情况无法解决。通常,实施欺诈的人是谁接收索赔或对其进行处理,这使得检测欺诈变得困难。
3.2外汇管制
- 建立变更控制的理由
确定符合生产环境任何要素(例如程序,设备,实用程序等)中所做更改的控制的机制非常重要。这样,就为变更的管理提供了一种形式结构,以便在公司或业务级别对这些变更进行技术评估,以便在系统负责人各自授权下以一致的方式合并变更。
同样,变更控制是通过对最终用户的影响分析完成的,最终用户必须完全了解他们。这些风险必须事先进行评估和分析。
变更控制是一种基本工具,可以按时间顺序记录我们的计算机系统或其设备中发生的情况。它不仅是一种信息手段,它可以更新技术文档,而且还可以做出决定,以解决在实施所述更改后出现的故障或不一致性。
举个例子,一家不考虑交换控制的公司在计费区域中引用了一个简单的案例。由于税法的影响,公司决定从发票中消除“原始保留”。行政管理员向系统管理员请求此更改。进行了更改,并且在下一个开票中,不再记录原始来源的预扣金额,但确定小计加上增值税不匹配发票总额。
行政管理人员与系统管理员沟通,然后系统管理员寻找进行更改以暴露问题的程序员。程序员不在这里,他正在休假。您认为本案的结果是什么?很多情况是,时间的浪费,文档的缺乏,由于缺乏信息,无法开票,无法支付账单的费用,现金流的影响以及许多其他问题而导致无法将工作委托给另一个程序员。现在,如果您掌握了程序员所做的变更的信息,那么解决问题的方法就非常简单了,程序员的工作在没有监督和适当批准的情况下就已投入生产。问题在于,当程序员为“总发票”字段构建新算法时,它只占用了小计字段,并删除了预扣字段,不幸的是也删除了增值税字段。这些问题可以通过执行变更控制来解决。
- 外汇管制程序
对于程序或实用程序的更改,将遵循以下步骤。
-授权用户接收请求。
-评估变更所造成的影响。
-用户认可由变更引起的风险和影响。
-执行开发环境中的变更。
-定义请求更改的证据。
-开发人员在开发环境中进行更改的证据。
-对要进行的更改进行系统审核。
-进行更改的内部控制。
-在内部审核和控制之后调试变更。
-在开发环境中用户进行更改的证据。
-变更控制注册表中用户的正式批准。
-变更控制寄存器中系统负责人的正式批准。
-确定书面指令和标准,对于正确转移到生产环境中以及在有必要执行的情况下进行反向转换,是必不可少的。
-确定实施生产环境变更所需的地点,日期,时间,物质和人力资源。
如果设备(硬件)发生变化,将遵循以下步骤。
-授权用户接收请求。
-评估变更所造成的影响
-用户认可由变更引起的风险和影响。
-定义所请求变更的证据
-以书面形式确定正确更换硬件所必需的说明和标准。
-确定实施生产环境变更所需的地点,日期,时间,物质和人力资源。
-执行更改。
-变更控制注册表中用户的正式批准。
-用户培训
-更新设备库存
-更新设备配置清单和机房计划。
-修改设备的维护合同和担保,以确保对配置进行必要的支持。
- 变更生产和运营控制格式模型
生产和运营控制中要应用的标准
这些标准是在运行可靠,一致,可靠和安全的标准时给出的,这些标准可以使服务以最高的质量交付。
这些标准将应用于组织,调度,生产监控,存储介质,文档和问题管理方面。
- 生产功能程序和
对于生产和运营区域的组织,将考虑以下内容:
-操作人员不得在程序或应用程序或系统的创建或修改中扮演任何角色。
-您不应该负责更新操作系统。
-您不应以用户身份访问特定应用程序。
-他们必须有特定的职务说明和职责,并经过充分的培训以履行职责。
-您必须有足够的监督,以确保正确履行职责。
在计划和监视生产时,将考虑以下内容:
-仅授权任务将与生产数据一起处理,从而最大程度地减少遗漏风险,并具有可预测的订单和计划。
-负载规划,执行和过程监控活动最好尽可能自动化。
-在不可避免的操作人员干预的情况下,必须为要进行的活动提供精确的说明,必须对其进行记录并随后进行分析。
-如果出现紧急结果,则必须有应急措施应对上述结果。
-流程计划必须考虑其在不同应用程序之间的优先级。
-必须实施控制措施,以防止或检测未经生产计划授权的任务的执行。
-对于用户要求未建立或未包含在生产计划中的任务的情况,必须建立例外程序,并对其进行适当控制并具有相应的授权。
-生产环境和操作程序应确保使用正确版本的程序和相应的文件。
在保护存储介质的情况下,将考虑以下因素:
-操作,负责对存储在磁介质中的数据进行充分的保护,控制和审核。
-为了控制磁带,盒带和软盘等介质的物理安全性,必须将它们存储在受保护的区域,并记录系统区域中使用的所有磁性介质的位置。
-他们必须记录设备磁介质的所有输入和输出。
-所存储的磁性媒体必须正确标明其内容,日期和时间顺序。
对于文档,将考虑以下内容:
-根据操作员的日常活动,逐步进行日常计划或入门。
-每天计划或过程的入门,以及每个操作的开始和结束。
-流程的应急程序
-硬件,软件和电信故障的应急程序。
-处理磁性介质的说明以及进入或移出房间的人员的记录。
-操作区域问题的记录
-对计算机室的访问注册表。
-系统区域负责人必须确保操作所需的所有文档都是完整,正确和最新的。
在问题管理的情况下,将考虑以下内容:
-所有操作失败和异常事件应记录在问题报告中,并详细说明时间,问题类型,症状和采取的初步措施。每个报告都应唯一标识,并应尽快分配其调查和解决的责任。
-维护问题记录,必须由系统经理定期检查。
-所有需要提供者或系统人员支持的呼叫,都必须记录有关此类呼叫的响应时间和所采取措施的信息,以进行后续分析。
-必须有一个定期检查程序,其中包括对问题的趋势分析,并确保所有问题都得到解决。
-应考虑在问题管理系统中注册的证据,以便就日常维护和设备更换的机会做出决定。
-所有标识为要纳入生产环境的变更的解决方案都必须注册,并由变更控制程序进行管理。此外,必须记录解决方案的来源,以识别问题或失败的原因。
-通知所有受已发现问题的影响以及解决问题的进展所影响的用户。
第4章:程序的支持和恢复
- 程序备份和恢复过程
-必须根据其内容根据周期性进行备份。重要的是,必须每天,每周,每两周和每月对高度敏感的信息进行备份。为了分析备份的周期性,必须考虑到意外情况下丢失的信息量以及上次备份的日期。例如,如果每天进行一次备份,并且在星期三发生意外事件,则基于星期二每天备份的存在,等同于一天的不受支持的信息将丢失。
-操作系统和程序通常必须保存在其原始版本中,并在生产中使用。
-如果进行更改,则必须始终支持原始版本,更改之前的版本以及更改的产品版本,这类似于祖父,父子的分代方案。
- 磁性媒体存储程序
-高敏感度程序和数据备份应始终保存在外部防火保管库中。将选择首选地点,一个地点在公司运营所在城市但与该地点相距较远,另一个地点在城市以外。密钥文件的副本可以以必要的安全性保存在公司场所内,以便在恢复过程中使用。
-另外,必须考虑与所述靠背的运输相关的控制。这些控制措施可以通过使用上锁的行李袋,往返于安全保险库或保险箱的靠背移动记录以及在适当情况下使用安全车辆来实现。
-磁性媒体必须以适当的方式进行标记,以便可以获取磁性媒体并轻松识别和恢复所需文件。
-通常,所需的备份将被视为高度敏感的信息:
*由公司自己准备的程序
*根据许可购买的程序,并可能进行永久性更新和/或自定义。
*数据文件:会计,财务,行政,采购和生产信息以及公司认为敏感的其他信息。
-必须以某种方式对备份程序进行连续测试,以便通过恢复和验证来验证其有效性。
此外,还必须定期评估备份站点,其访问的便利性以及对存储的磁介质的访问控制程序。
-至少每年一次,必须检查长期保存在安全保管库中的磁带,盒式磁带和软盘。必须对其进行测试以验证其操作。
-此外,必须建立在程序或数据恢复中实施基本控制所必需的所有要求。这些将由开发程序的分析人员或数据恢复的用户负责。数据安全管理员就这些要求提出建议很重要。
-除了程序的磁性存储外,还应考虑与执行备份的操作过程,使用安装备份从轻微故障中恢复的过程,使用外部备份从重大故障中恢复的过程相对应的文档的存储,恢复后针对次要和主要故障的备份过程(恢复正常)。
- 备份控制,恢复和存储格式模型。
| 备份存储和控制表格示例 | ||||
| 获得支持(地点和日期) | ||||
| 小时 | ||||
| 备份识别 | ||||
| 详细内容 | ||||
| 负责获得支持 | ||||
| 公司 | ||||
| 备用介质和数量 | ||||
| 负责区域负责人签名 | ||||
| 获取备份 | ||||
| 确认对备份安全负责 | ||||
| Site1备份传送(日期) | ||||
| 接待主管 | ||||
| 接待时间 | ||||
| 公司 | ||||
| Site2备份交付(日期) | ||||
| 接待主管 | ||||
| 接待时间 | ||||
| 公司 | ||||
| Site3交付备份(日期) | ||||
| 接待主管 | ||||
| 接待时间 | ||||
| 公司 | ||||
| 确认对备份安全负责 | ||||
| Site1备份传送(日期) | ||||
| 接待主管 | ||||
| 接待时间 | ||||
| 公司 | ||||
| Site2备份交付(日期) | ||||
| 负责接待 | ||||
| 接待时间 | ||||
| 公司 | ||||
| Site3交付备份(日期) | ||||
| 接待主管 | ||||
| 接待时间 | ||||
| 公司 | ||||
| Site1 =现场 | Site2 =本地外部站点 | Site3 =外部站点另一个城市 | ||
| 备份恢复表格示例 | |||
| 要求:
更新还原 |
地点和时间: | ||
| 从获得的备份 | 地点: | 日期: | 小时: |
| 备份识别 | |||
| 详细内容 | |||
| 备用媒体 | |||
| 靠背位置: | |||
| Site1,Site2,Site3 | |||
| 被要求 | 公司: | ||
| 要求的A | 公司: | ||
| 交付的保管人(姓名) | 公司: |
第5章
人事管理中应用的控件。
人事管理是各个学科融合的领域。它包括组织和工业心理学,工业工程,劳动法,安全工程,职业医学,系统工程等概念。主题是多种多样的,上述学科是多种多样的。因此,人事管理既指组织的内部方面,也指外部或环境方面。
然后,我们可以定义人事管理由独立的子系统组成,如下表所示:
| 人事管理子系统。 | 涵盖的章节 |
| 人力资源 | ·人力资源计划。
·人员招募 ·员工选拔 |
| 人力资源申请 | ·费用的描述和分析
·绩效考核 |
| 人力资源维护 | ·补偿
· 社交好处 ·卫生与安全 · 劳动关系 |
| 人力资源发展 | ·培训和人员发展
· 组织发展 |
| 人力资源控制 | ·数据库和信息系统。
·人力资源审计 |
这些子系统紧密相关且相互依存,但是尽管如此,却没有独特的方式来建立它们,因为这与公司一致并且取决于各种因素,例如组织,人力和技术因素。
为此,将创建策略或规则,以指导功能并确保根据所需目标执行功能。
创建这些规则中的一些规则是为了建立“管理控制”,以防止员工执行不属于他们的功能或危害特定功能的成功。
适用于人事管理的控件集中在所有子系统上,并且主要集中在本章将要讨论的主题上。
- 行政管理目标
本章介绍必须在行政区域的敏感点上建立的控制对象,这些控制对象是人员要注意的重点,例如人员,雇用,休假等。
- 合同订立和终止
必须完美地评估人员招聘和雇用以及外部服务的过程。合同的条款中必须包含公司执行的数据安全策略和标准。
必须根据适用于公司常任人员的相同安全标准对外部服务人员进行评估。
当内部或外部员工停止提供服务时,必须暂停对设施,系统或数据具有逻辑和物理访问权限的授权。员工所属地区的首席执行官负责根据公司制定的政策报告员工的永久缺勤情况。
就其本身而言,行政部门必须撤销该雇员拥有的所有访问权限,并检索公司的磁性访问卡和凭据并禁用它们。必须核实员工已处理的所有机密文件的归还。
- 行政政策假期
必须休假的人员主要是在公司的系统区域内,将按照内部法规进行休假。建议上述工作人员在两年内没有停止自己的假期。当举报者休假时,往往会发现一些计算机欺诈。他们无法访问系统或在假期期间被替换的时间。应该向业务管理员指出,这是一个基本的安全点,在管理控制内必须仔细考虑。
5.3.2培训
系统人员必须遵守公司制定的培训计划,并遵循数据安全标准和程序以及工作场所的特定安全方面。
5.3.2计算资源的使用
应禁止将计算资源用于个人事务。
每个用户操作的软件必须根据其使用进行分配,并且必须具有相应的许可证。
员工应熟悉敏感或机密数据的存储。
应该注意的是,每个用户都要对所分配的设备,所使用的软件,其中包含的数据以及它所运行的实用程序负责。
公司必须针对使用非法(未经许可)软件以及与公司标准不符的软件制定明确的政策和法规。同样,公司必须明确确定内部人员制定或开发的程序的使用和所有权,通常在雇佣合同中对其进行监管。
- 结论
- 公司所有流程必须包含控制和安全活动。没有数据和组件的控制和保证,任何带有或不带有Reengineering应用程序的公司流程都无法保留。
- 在重新设计的流程中始终会出现控件缺失,而在流程中几乎始终没有控件的应用,而无需应用任何工具来提高效率和生产率。再造是一种出色的方法论工具,是可行的,并且取得了巨大的成果,并且取得了巨大的进步,但同样,它确实使过程脆弱而薄弱,因为它希望消除不增加价值的活动;他们创建的过程缺少令人满意的控制,因此是必不可少的。同样,如果尚未从战略上考虑未经过重新设计的流程,则可能会缺乏控制。
- 对人类行为的建模不足以确保令人满意的控制和安全级别。有许多新技术和方法学的前身,这些新技术和方法学旨在对人类行为进行建模,并且与通常的控制和安全措施相对立。人工建模不足以确保流程中不会出现错误或欺诈。人体模型适用于非常有用的营销,战略和人际关系问题,但不适用于运营和安全方面。
- 最后,拥有安全系统的好处永远无法完全衡量,因为大多数公司不会真正知道有人试图破坏其证券的“时间”。然而,由于避免了成本,很容易客观地确定收益将是巨大的。在这种情况下,安全系统才是“无价之宝。您可以在安全系统中找到的唯一优点和缺点在替代方案中给出选择和实施的安全性,这将为您的流程提供或多或少的安全性。可以提供的另一种选择就是根本没有任何安全系统。这绝对是过失的。
- 推荐建议业务管理员必须记住,必须对手动或自动过程进行充分和充分的控制,而不会造成疏忽或过大。在此工作中,这里提供了一个工具,使您至少能够绘制公司中的薄弱环节列表并知道您必须控制它们。您是否认为公司中的所有事情都进展顺利,并且您在这项工作中绝对不需要任何建议?如果是,我建议您再次阅读该论文;然后与您最参与控制和数据安全性实施的系统主管会面,并要求他们详细告诉您系统部门每个领域的工作。我保证,您会惊讶地知道您可以应用列表中的每个项目,并且能够进入这个神话般的世界;业务管理员必须研究所有替代方案,并且如果他选择“再造”,则必须对所有替代方案进行研究。必须知道重新设计的新流程是什么应该在充分和令人满意的控制和保证的实施之间取得平衡。也许不可能由同一位再造人员来执行它,因为再造和控制的概念没有太多发言权。因此,我建议管理员与系统负责人和再工程负责人进行协商,以就流程的生产率和效率以及其安全性达成协议,业务管理员应更多地参与公司的所有流程。 ,包括行政,运营和系统。只有这样,您才能全面了解公司流程链中的每个链接是如何链接的。无论您在系统安全方面投入了多少资金来保护网络,组件或数据,都不要以为“足够”是因为技术进步总是需要更多来阻止入侵者。这样一来,您将不会把获得证券视为一项支出,而将其视为一项投资。
参考书目
-数据安全,普华永道会计师事务所方法论,1992年
-应急计划,普华永道1997年方法学
-如何进行再造,Raymond L. Manganelly和Mark M. Klein
-人力资源管理局,Idalberto Chiavenato,1994年
-工商管理(理论与实践,第二部分),Agustin Reyes Ponce,1994年。
-杂志《世界信息》(MundoInformático)版,1998年4月
-Journal“ Selections” Edition 1996年6月
-杂志宇宙“事件组”,1999年7月5日
网址查询:
| 水探测器 | http://www.cam.surf1.com |
| 灭火器 | http://www.pp.okstate.edu/ehs/modules/apw.htm |
| 冷气机 | http://www.liebert.com/products |
| 不间断电源(UPS) | http://www.exide.com |
| 布线 | http://www.wit-sa.com.ar
www.sidicom.net |
| 安全系统 | http://protectiontech.com/ |
| 花旗银行欺诈案 | http://www.infowar.com
www.discovery-channel.com/area/technology/hackers/levin.html |
| 伦敦霸菱银行的欺诈案。 | http://www.imd.ch/pub/pfm_9601.html
www.fsa.ulaval.ca/personnel/vernag/PUB/Barings.E%20.html |
| 密歇根州Spring Arbor大学的欺诈案。 | http://cgi.pathfinder.com/time/magazine/archive/1995/950529/950529.scandal.html |
| 金字塔欺诈系统。 | http://cnet.bigpond.com/Briefs/Guidebook/Crime/ss03a.html |
作者数据
| 名称 | 索尼亚·罗萨多·加西亚 |
| 年龄 | 28年 |
| 大专学历 | 商业工程师(业务管理员) |
| 电子邮件 | [email protected] |
| 国家城市 | 厄瓜多尔/瓜亚基尔 |
|
在重新设计,全面质量,应急计划和物理安全流程方面的经验。 |
