知識點:信息技術與信息系統相關的風險控制(掌握)
1.信息技術與信息系統相關的風險控制
(1)信息安全控制層面
①預測性。確定可能的問題并提出適當的控制。
②預防性。將發生風險的可能降至最低,例如,防火墻可以防止未經授權的訪問。
③偵察性。日志能夠保存那些未經授權的訪問記錄。
④矯正性。對未經授權的訪問造成的后果提出修正的方法。
(2)信息技術/信息系統控制類型(重點掌握)
| 類型 | 具體類型 | 描述 |
| 一般控制 | 人員控制 | 涉及人員招募、訓練和監督的人員控制。包括部門內部職責的分離和數據處理部門的分離。例如,企業應立即停止已離開公司職員所有的訪問權限。 |
| 邏輯訪問控制 | 邏輯訪問控制對未經授權的訪問提供了安全防范。最普遍的安全訪問是使用密碼,可對密碼定義其格式、長度、加密和常規的變化。例如,要求系統用戶定期更改密碼并要求密碼包含至少八位數值,且其中必須包含數字、字母和符號。 | |
| 設備控制 | 包括物理保護及管理。保護是指物理保護,對計算機設備進行物理保護,例如,把它們鎖在一間保護室或保護柜中,并使用報警系統,如果計算機從其位置上發生移動,報警系統將被激活。管理是指將新增、報廢、流轉的設備建檔登記,統一管理。 | |
| 業務連續性 | 在系統故障、設備操作系統、程序或數據丟失或毀壞的情況下,業務持續性或災難恢復計劃可從信息系統中恢復關鍵的業務信息 | |
| 應用控制 | 輸入控制 | 輸入控制的目的是發現和防止錯誤的交易數據的錄入,其中包括: A.交易前的數據錄入,如在發票與收到的貨物,文件和采購訂單相匹配后,核準供應商的發票。 B.數據輸入屏幕的規定格式令使用者不得跳過強制輸入字段。 C.輸入體系內容的合理檢查,如檢查給予顧客的折扣是否在允許的限度內。 |
| 過程控制 | 過程控制確提分程的發生按照公司的要求進行,沒有被忽略或處理不當的交易發生。最常見的控制是交易記錄、分批平衡和總量控制系統 | |
| 輸出控制 | 輸出控制確保輸入和處理活動已經被執行,而且生成的信息可靠并分發給用戶。主要的輸出控制形式是交易清單和例外報告等 |
| 類型 | 具體類型 | 描述 |
| 軟件控制和軟件盜版 | 防止制作或安裝未經授權的軟件拷貝,防止因非法使用造成經濟處罰的風險。因此,從有信譽的經銷商處購買正版軟件是重要的控制方式,可以減小上述風險,并且維護好所有軟件的實物存盤是必不可少的。 | |
| 網絡控制 | 防火墻 | 它包括相應的硬件和軟件,存在于企業內部網和公共網絡之間傳播。它是一套控制程序,即允許公眾訪問公司計算機系統的某些部分,同時限制其訪問其他部分 |
| 數據加密 | 在傳輸前被轉化成非可讀格式,在傳輸后重新轉換回來。這些數據只能被匹配的解密接收器讀取 | |
| 授權 | 客戶通過身份驗證和密碼進行注冊 | |
| 病毒防護 | 病毒是一種計算機程序,它能夠自我復制,并在被感染的計算機之間傳播。病毒能夠修改、刪除文件,甚至刪除計算機硬盤驅動中的所有內容。因此,使用病毒檢測和防護軟件掃描病毒,更改用戶和刪除病毒有助于避免計算機數據遭到破壞 | |
適當的崗位分工與授權審批為所有的信息系統或信息技術提供支撐,以確保有關控制能提供控制的有效性和力度。
·系統開發和變更過程中不相容崗位(或職責)一般應包括:
開發(或變更)立項、審批、編程、測試。
·系統訪問過程中不相容崗位(或職責)一般應包括:
申請、審批、操作、監控。
·一般來說,企業計算機信息系統戰略規劃、重要信息系統政策等重大事項應當經由董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構)審批通過后,方可實施。
·財會部門負責信息系統中各項業務賬務處理的準確性和及時性、會計電算化制度的制定、財務系統操作規定等。
2.信息技術支持服務(了解)
信息技術部門的規模和結構取決于公司的規模、信息需求和對信息技術的需求程度,以及其信息技術系統是內部供應還是外包。
信息中心執行某些或以下所有職能滿足企業的信息系統戰略、信息技術戰略和信息管理戰略。
3.信息技術基礎設施庫
信息技術基礎設施庫協助企業調整其信息技術服務。它包括十個流程和一項功能。
·五個服務支持流程和目標包括配置管理、事件管理、變更管理、問題管理、發布管理;
·五個流程側重于提供服務,包括服務級別管理、可用性管理、能力管理、信息技術服務持續性管理、財務管理。
服務臺的功能是對所有十個流程的功能接口提供從客戶到信息技術的單點聯系。
