4.信息技术与信息系统风险控制及其管理
(1)信息技术与信息系统相关的风险控制。
信息系统控制类型
|
类型 |
具体方面 |
具体描述 |
|
-般控制 |
人员控制 |
涉及到人员招募、训练和监督的人员控制。包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限 |
|
类型 |
具体方面 |
具体描述 |
|
-般控制 |
逻辑访问控制 |
逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码,可对密码定义其格式、长度、加密和常规的变化 |
|
设备控制 |
设备控制是对计算机设备进行物理保护,如把它们锁在-间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活设备控制是将新增、报废、流转的设备建档登记,统-管理 | |
|
业务连续性 |
在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息 | |
|
应用控制 |
输入控制 |
交易前的数据录入,如在发票与收到的货物,文件和采购订单相匹配后,核准供应商的发票 |
|
数据输入屏幕的规定格式令使用者不得跳过强制输入字段 | ||
|
输入体系内容的合理检查,如检查给予顾客的折扣是否在允许的限度内 | ||
|
过程控制 |
过程控制确提分程的发生按照公司的要求进行,没有被忽略或处理不当的交易发生。最常见的控制是交易记录、分批平衡和总量控制系统 | |
|
输出控制 |
输出控制确保输入和处理活动已经被执行,而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等 |
|
类型 |
具体方面 |
具体描述 |
|
软件控制和 软件盗版 |
软件受著作权法和知识产权法的保护 软件控制防止制作或安装未经授权的软件拷贝,防止因非法使用造成经济处罚的风险 | |
|
网络控制 |
防火墙 |
包括相应的硬件和软件,存在于企业内部网和公共网络之间 它是-套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其他部分 |
|
数据加密 |
数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取 | |
|
授权 |
客户通过身份验证和密码进行注册 | |
|
病毒防护 |
使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏 | |
(1)信息安全控制可以从以下四个方面进行界定:预测性、预防性、侦察性和矫正性。
(2)信息系统中的控制可分为两大类,-般控制和应用控制,而信息技术控制主要用于软件和网络的控制。
【例题·单选题】在信息系统控制中,为发现和防止错误的交易数据录入所进行的控制是( )。
A.输入控制
B.输出控制
C.人员控制
D.设备控制
【答案】A
【解析】输入控制的目的是发现和防止错误的交易数据的录入。
(2)信息技术支持服务。
信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度,以及其信息技术系统是内部供应还是外包。
信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。包括:
①服务台以应用软件解决用户的问题.包括应用远程诊断软件,为用户提供相关技术进展。
②在硬件和软件购买决策上提供建议,并为系统-体化的标准提供建议,特别是应用企业资源计划系统、战略性企业管理、决策支持系统和经理信息系统。
③为应用开发提供建议,无论是内部还是使用外包承包商,包括与系统开发过程相关的建议。
④监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。
⑤维护企业数据库。
⑥系统维护和测试、用户培训和系统地存储用户文档。
⑦维护信息技术安全。
(3)信息技术基础设施库。
信息技术基础设施库协助企业调整其信息技术服务。它包括十个流程和-项功能。其中有五个流程目标在于服务支持.包括配置管理、事件管理、变更管理、问题管理、发布管理;五个流程侧重于提供服务,包括服务级别管理、可用性管理、能力管理、信息技术服务持续性管理、财务管理。服务台的功能和目标是为处理事件提供单点联系,或提供顾客和业务的单点联系,从而促进正常的操作服务的恢复。
【例题.多选题】信息技术基础设施库中,侧重于提供服务的流程包括( )。
A.服务级别管理
B.可用性管理
C.问题管理
D.能力管理
【答案】ABD
【解析】服务级别管理、可用性管理、能力管理、信息技术服务持续性管理、财务管理等五个流程侧重于提供服务。
