第四节　与信息技术和信息系统相关的风险控制及其管理

　　一、信息技术与信息系统相关的风险控制【掌握】

　　系统和数据很容易因以下的原因受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此，信息安全非常重要。为了保护公司的信息资源，需要进行风险评估和控制来减轻这些风险，信息技术行业有许多不同的控制方式。

　　(一)信息安全控制

　　安全控制可以从以下四个方面进行界定, 以发挥其特性。

　　1.预测性。确定可能的问题并提出适当的控制。

　　2.预防性。将发生风险的可能降至最低，例如，防火墙可以防止未经授权的访问。

　　3.侦察性。日志能够保存那些未经授权的访问记录。

　　4.矫正性。对未经授权的访问造成的后果提出修正的方法。

　　(二)信息技术/信息系统控制类型

　　信息系统中的控制可分为两大类：一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。

　　1. 一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性，防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。

　　(1)人员控制

　　涉及到人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如，企业应立即停止已离开公司职员所有的访问权限。

　　(2)逻辑访问控制

　　逻辑访问控制对未经授权的访问提供了安全保护。最普遍的安全访问是通过密码，可对密码定义其格式、长度、加密和常规的变化。

　　(3)设备控制

　　设备控制是对计算机设备进行物理保护，如把他们锁在一间保护室或保护柜中，并使用报警系统，如果计算机从其位置上发生移动，报警系统将被激活。

　　(4)业务连续性

　　在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。

　　2. 应用控制

　　应用控制与管理政策配合，对程序和输入、处理和输出数据进行适当的控制，可以弥补一般控制的某些不足。

　　(1) 输入控制

　　输入控制的目的是发现和防止错误的交易数据的录入，其中包括：

　　第一、交易前的数据录入，如在发票与收到的货物，文件和采购订单相匹配后，核准供应商的发票。

　　第二、数据输入屏幕的规定格式令使用者不得跳过强制输入字段。

　　第三、输入体系内容的合理检查，如检查给予顾客的折扣是否在允许的限度内。