第四节与信息技术和信息系统相关的风险控制及其管理


一、信息技术与信息系统相关的凤险控制


系统和数据很容易因以下的原因受到损失,即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此,信息安全非常重要。为了保护公司的信息资源,需要进行风险评估和控制来减轻这些风险,信息技术行业有许多不同的控制方式。


(一)信息安全控制


安全控制可以从以下四个方面进行界定,以发挥其特性。


1.预测性。确定可能的问题并提出适当的控制。


2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。


3.侦察性。日志能够保存那些未经授权的访问记录。


4.矫正性。对未经授权的访问造成的后果提出修正的方法。


(二)信息技术/信息系统控制类型


信息系统中的控制可分为两大类:一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。


1.一般控制。


从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。


(1)人员控制


涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限。


(2)逻辑访问控制


逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码,可对密码定义其格式、长度、加密和常规的变化。


(3)设备控制


设备控制是对计算机设备进行物理保护,如把他们锁在一间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活。


(4)业务连续性


在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。