一、信息技术与信息系统相关的风险控制 / m6 [2 N, O0 a [
; E# n$ A4 V* o! ~# p/ y 系统和数据很容易受到损失的原因:即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。 5 ~, V8 u4 e. m" H4 V Q
/ W( ]" @, F6 Q6 T7 m( h: q5 c0 n (一)信息安全控制 7 l I! P( B/ a8 {
5 G R+ I9 ` Y# G5 ?, Y
安全控制可以从以下四个方面进行界定, 以发挥其特性。 0 i( v+ Q: d' x/ s9 x
0 e( a- ^0 u! p+ H4 I; M+ c
1.预测性。确定可能的问题并提出适当的控制。 ( Q. D0 e# h, Z. q, ~0 L3 {9 v( i0 `% U
9 j( o6 L" p$ `0 Y2 l7 K, X 2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。
( Z- x; U7 o( g, I, J" c4 d r4 Y9 {+ _" |) y* ?
3.侦察性。日志能够保存那些未经授权的访问记录。 0 ?# _2 I# @9 K
( m* o P! a8 i
4.矫正性。对未经授权的访问造成的后果提出修正的方法。
, E9 a2 e' D+ s/ M1 F4 ?8 U/ v. h: ~! h+ b" {- L
(二)信息技术/信息系统控制类型 . M0 X' d5 g: k* B: x
( a+ ?' Q+ i2 p3 z! g$ `# f- y9 Z
1. 一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。
; b, s( {. h t8 M: a
/ s, g H9 U1 k7 K, C 2. 应用控制 3 [! a7 U5 w' J# d
/ `7 C' _4 u/ p* v8 k) i
应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。包括: 输入控制、 过程控制、输出控制。
' C$ R) G1 t2 {8 I
+ D$ f7 \4 V: e/ g: f% Q 3. 软件控制和软件盗版
- K# U" L& _( @ l6 L% D7 s
1 l j R: w: K y# W0 Y 4. 网络控制 7 E3 h8 J( ^8 M# @) _; |8 B
0 M. q+ S0 @4 y' p! V3 p9 E
最常用的网络控制有防火墙、数据加密、授权和病毒防护。
) b+ S1 u" x% ]' `, l. x
) B p0 W6 \$ x# o! l (1)防火墙。它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其它部分。
/ L3 I! t& S a6 W! i3 `, l+ Q- L+ n8 [
(2)数据加密。数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。 " C. z6 t- X, Q; s
, w# v u* z& O2 M4 A+ }
(3)授权。客户通过身份和密码进行注册。
9 a% c; s2 O9 [4 L
7 v5 k: D. V& J4 a) U8 W" y; g; f (4)病毒防护。病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。 ' u2 |, S7 Q4 A* k6 W9 z5 |
~' y/ j: x& {# \! n# Z4 T4 H+ i
二、信息技术支持服务
3 G' e0 a9 ~- ]. y! A* x
9 i6 l: O6 i7 h, t# o: h" R+ Y( w 信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度、以及其信息技术系统是内部供应还是外包。
/ C' S" {: v, e% g; N
* [3 }- I$ }# }: I 信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。这包括: " \) C5 v F0 Q( H* |* W
2 v* _! x! h$ V! X5 p% g
1.服务台以应用软件解决用户的问题,包括应用远程诊断软件,为用户提供相关技术进展。
/ b$ I6 B3 \5 L
0 k3 F _4 W( w% f! w 2.在硬件和软件购买决策上提供建议,并为系统一体化的标准提供建议,特别是应用企业资源计划系统、战略性企业管理、决策支持系统和经理信息系统。 h4 x. K3 f5 N/ V
$ k, w x/ z |- o$ ]
3.为应用开发提供建议,无论是内部还是使用外包承包商,包括与系统开发过程相关的建议。
& J4 g) ^$ G. T1 u" ~1 w; S" |3 _
& U# B9 } k! r) l: n2 G/ Z 4.监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。 ' ]% |& W$ I# r4 }9 `
. r- ?- P3 O& W8 x, o" H/ S9 x 5.维护企业数据库。
: x& u2 V. n+ {8 u* \
: E+ a% u# G' a9 P. U# ] 6.系统维护和测试、用户培训和系统与用户文档。
0 z" l& `4 b$ x- d4 T
! n5 A: B; U4 u0 x! ` 7.维护信息技术安全。 ! e( A8 o4 C# M. v" x. D$ H% m
1 Q! |$ N' e& G% D) X+ o5 z
三、信息技术基础设施库
, \1 X9 _) j7 k: a7 R
/ B& V O& F, Y& y" B/ p- X1 u( m 信息技术基础设施库通过规划指导商业用户,以商业需求来提供和管理信息技术服务的质量。 2 N, K" t8 u$ @/ ^5 n
! r8 [, h( H* `. |1 W 五个服务支持流程和目标包括:配置管理、事件管理、 变更管理、问题管理、发布管理。 ) y( j) H8 w& D, K7 F( n# S" G
" p5 v/ A4 c9 n
五个提供服务的流程和目标:服务级别管理、可用性管理、能力管理、信息技术服务持续性管理、财务管理。
# d+ i4 u7 Q- Y. i
1 D6 @2 N ^9 Z ~3 H & O" `1 H4 S8 j! Q0 y: |1 o; z2 n
$ l7 x+ b. \3 N( n; h7 ], f% ^0 H5 D
|
发表于 2012-2-22 20:43:02
