一、信息技术与信息系统相关的风险控制
8 R! X: y g0 G1 c2 Q6 S
6 e' g3 f' s; J/ T! R+ O8 ] 系统和数据很容易受到损失的原因:即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。
) e4 e3 m" o# `, ?3 b: C n
5 {" [9 E; J' `! |1 X$ c (一)信息安全控制
; N$ q. M/ `$ A8 @! u0 h1 G" D$ J( V1 M* a
安全控制可以从以下四个方面进行界定, 以发挥其特性。
1 _( X$ v7 |8 W, @: W$ O1 O' F0 }3 B4 K) D- C$ _% l
1.预测性。确定可能的问题并提出适当的控制。 + ?5 c* ~ T" V9 \- ]: a+ R
' k7 r& J3 h" U- k/ b3 J 2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。 + s% x0 }, P Y8 n, Y+ S
$ V7 ~$ m @1 G9 O+ P
3.侦察性。日志能够保存那些未经授权的访问记录。 0 f* x6 I& k8 L, ]
) R; D8 @) R* K- N
4.矫正性。对未经授权的访问造成的后果提出修正的方法。 1 r' P, \1 x" V* s9 I
6 I/ g* P, G8 p' }+ P3 z (二)信息技术/信息系统控制类型
5 R/ m2 P3 N! W: ^5 u$ b6 u( Y7 R, i
1. 一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。 * I' u8 D8 z1 Z/ G$ X1 d
2 N) T: X! P5 a1 {
2. 应用控制 + r0 z3 Q7 e$ l' a6 U! {. n
# E3 j. S$ o( W 应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。包括: 输入控制、 过程控制、输出控制。
; {0 @$ B, j6 n( P! c* A1 o5 n0 C) B
3. 软件控制和软件盗版
, [* {4 ]5 [3 I5 s
4 o& N3 n- H. j! O8 J; [1 n 4. 网络控制
* i) d5 w! e8 G9 A r k4 o o. z. {$ @% {2 O
最常用的网络控制有防火墙、数据加密、授权和病毒防护。
$ C+ V0 M) g, I/ P
; c% _" I: Z5 P6 x7 D6 _5 p (1)防火墙。它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其它部分。 - a! j/ ]/ J; h; `- c& F
5 b7 e& n+ W4 E4 V* a! k' @+ y (2)数据加密。数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。
+ k6 A+ L, s" P, |* U5 E4 O/ S# ]# H+ ~$ T H
(3)授权。客户通过身份和密码进行注册。 ( Q; I4 {/ u" L' s6 f5 c$ ^ X
! t# A" f+ ]0 R* z( ]; j
(4)病毒防护。病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。
- ~+ n: M: ?: P* ^
/ e. Q7 V$ B6 |6 t p6 Q G 二、信息技术支持服务
, @: ^' B! [- ^; _+ C4 }# X$ [7 q% p( K9 r( B4 C
信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度、以及其信息技术系统是内部供应还是外包。
8 D. ~+ G0 w$ V; `1 g \& `' [- }) |9 e/ W$ X P) t& a- ^
信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。这包括:
3 Y4 p9 ~6 X1 q" J/ P' e! b/ j! W$ c/ ~# m* [! x
1.服务台以应用软件解决用户的问题,包括应用远程诊断软件,为用户提供相关技术进展。
8 \9 H' B6 s3 T* U1 |( u/ p2 g/ G* o/ t4 `5 T& k N
2.在硬件和软件购买决策上提供建议,并为系统一体化的标准提供建议,特别是应用企业资源计划系统、战略性企业管理、决策支持系统和经理信息系统。
& q& F) J9 v% S$ [ B0 r2 a, Y, [; Q1 `% S6 u
3.为应用开发提供建议,无论是内部还是使用外包承包商,包括与系统开发过程相关的建议。
8 c9 u8 H6 i2 ^$ K6 x- V# o
r- l7 V, J, g. w% H9 H- D 4.监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。
/ ]4 {7 e' `# }8 a: D* Y1 m/ F- r p7 j! B" o
5.维护企业数据库。
$ {; A8 Y4 b& Y7 x2 h q$ i5 ^$ a* e2 l; x/ L5 J3 K4 r$ |# X+ v. ]
6.系统维护和测试、用户培训和系统与用户文档。 0 Q1 {9 D' P) T* g" O3 [! d
5 b1 H3 [3 o/ V 7.维护信息技术安全。 : f, M1 ?( j' C% _2 i$ P
g9 k3 G0 U6 z, F& N% k3 O 三、信息技术基础设施库 ) P1 }& @1 C* p$ T( `3 [
0 Z: H( j6 D; O1 x% r) i4 |
信息技术基础设施库通过规划指导商业用户,以商业需求来提供和管理信息技术服务的质量。 - ~% B2 i. ^- m! Y8 C/ N
0 |! X- z9 m* q 五个服务支持流程和目标包括:配置管理、事件管理、 变更管理、问题管理、发布管理。
- ^+ Y& u9 N& F' G. d, v0 s+ e9 v! i
4 W4 G) {$ F- V" w- ^' k3 { 五个提供服务的流程和目标:服务级别管理、可用性管理、能力管理、信息技术服务持续性管理、财务管理。
! E4 T4 N n$ A' ^) J! a; }
2 J, S/ w; l: V5 H* W+ t. Q; `2 r6 \' x. u/ D' A0 Z
% `% k; u0 ]5 N! v4 U; U
|
发表于 2012-2-22 20:43:02
