第四節(jié) 與信息技術和信息系統(tǒng)相關的風險控制及其管理
一、信息技術與信息系統(tǒng)相關的鳳險控制
系統(tǒng)和數(shù)據(jù)很容易因以下的原因受到損失,即人為錯誤、蓄意的欺騙行為、技術性錯誤(如硬件或軟件故障)和自然災害(如火災、水災、爆炸和閃電)。因此,信息安全非常重要。為了保護公司的信息資源,需要進行風險評估和控制來減輕這些風險,信息技術行業(yè)有許多不同的控制方式。
(一)信息安全控制
安全控制可以從以下四個方面進行界定,以發(fā)揮其特性。
1.預測性。確定可能的問題并提出適當?shù)目刂啤?/P>
2.預防性。將發(fā)生風險的可能降至最低,例如,防火墻可以防止未經(jīng)授權的訪問。
3.偵察性。日志能夠保存那些未經(jīng)授權的訪問記錄。
4.矯正性。對未經(jīng)授權的訪問造成的后果提出修正的方法。
(二)信息技術/信息系統(tǒng)控制類型
信息系統(tǒng)中的控制可分為兩大類:一般控制和應用控制。而信息技術控制主要用于軟件和網(wǎng)絡的控制。
1.一般控制。
從總體上確保企業(yè)對其信息系統(tǒng)控制的有效性。一般控制的目標是保證計算機系統(tǒng)的正確使用和安全性,防止數(shù)據(jù)丟失。一般控制在人員控制、邏輯訪問控制、設備和業(yè)務連續(xù)性這些方面進行控制。
(1)人員控制
涉及人員招募、訓練和監(jiān)督的人員控制必須確保程序和數(shù)據(jù)職責完成。人員控制包括部門內(nèi)部職責的分離和數(shù)據(jù)處理部門的分離。例如,企業(yè)應立即停止已離開公司職員所有的訪問權限。
(2)邏輯訪問控制
邏輯訪問控制對未經(jīng)授權的訪問提供了安全防范。最普遍的安全訪問是使用密碼,可對密碼定義其格式、長度、加密和常規(guī)的變化。
(3)設備控制
設備控制是對計算機設備進行物理保護,如把他們鎖在一間保護室或保護柜中,并使用報警系統(tǒng),如果計算機從其位置上發(fā)生移動,報警系統(tǒng)將被激活。
(4)業(yè)務連續(xù)性
在系統(tǒng)故障、設備操作系統(tǒng)、程序或數(shù)據(jù)丟失或毀壞的情況下,業(yè)務持續(xù)性或災難恢復計劃可從信息系統(tǒng)中恢復關鍵的業(yè)務信息。
相關推薦:北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |