信息技术与信息系统相关的风险控制 $ q8 G- L3 C* x4 @$ g/ k- r
% _9 w# a7 |9 ?6 G( A3 u 系统和数据很容易受到损失的原因:即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。
]5 l, P$ }" K) ?7 ]% j
1 S6 H0 \; a4 R (一)信息安全控制
& X& G3 I+ X) C' O N
- b- d$ e8 }. @2 V3 f% k5 z 安全控制可以从以下四个方面进行界定, 以发挥其特性。 8 h7 S# i0 {. X
6 A/ q# b+ [" I8 T; g3 F- _
1.预测性。确定可能的问题并提出适当的控制。 4 E2 G+ l' `4 Z+ H" K8 q4 a
. l9 [$ l9 C7 U4 e 2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。 - c7 L2 ~ D# i6 d/ f& _ |% r( u. n
) z) W* L6 [( i9 ]% {
3.侦察性。日志能够保存那些未经授权的访问记录。 0 b/ Z1 [5 E# b* K: v
3 B: H/ y: C, W5 Q
4.矫正性。对未经授权的访问造成的后果提出修正的方法。 ' B% }0 Z4 `6 \: \
2 F7 w6 W/ o! x$ m1 o (二)信息技术/信息系统控制类型
3 ?) I9 L& d; k7 P6 z. X) ]- J7 L O/ a% r/ @
1. 一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。
# g! b3 F0 w, U% p! F 2. 应用控制 * Y0 X/ z( j" ?1 d( t, o& d
F( u: I' Q0 X# S 应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。包括: 输入控制、 过程控制、输出控制。
1 Z# S1 }/ E+ [3 l9 m9 l2 F1 T. y5 B0 l- [3 \
3. 软件控制和软件盗版 / |2 _: d! q0 a5 a% c
. U8 a. e$ Y4 n9 N, }
4. 网络控制 ! @2 T$ C$ q7 w5 O6 G5 E+ N* P
z* N* N4 p, s 最常用的网络控制有防火墙、数据加密、授权和病毒防护。
5 @, R. o8 ^6 h2 D- K' z1 e# m, Z$ D3 F. i$ Z- ?
(1)防火墙。它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其它部分。
! i6 G+ U, V$ D6 c* \* t0 F
: ]0 J6 }9 `; R8 q: N (2)数据加密。数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。 0 H f, X C, v: K+ `
: `4 F/ V2 h" U
(3)授权。客户通过身份和密码进行注册。 3 z6 b V4 p" ]/ {
7 \; ]# O6 H( ~, U- h k (4)病毒防护。病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。
7 k- h) n9 R3 K# h% Y6 h1 n. s% L4 Z3 H
& l1 Y {# [8 l1 X# {3 J1 p 7 m; i! l+ p4 ?6 l8 Q& | n
: u& c; y. G$ s' H- u |