第四(si)節　與(yu)信息(xi)技術和(he)信息(xi)系統相關的風險控制及其管(guan)理(li)

　　一、信(xin)息技(ji)術與信(xin)息系統相(xiang)關(guan)的風險控制【掌握】

　　系(xi)統和(he)(he)數據很容易因(yin)(yin)以(yi)下的(de)原(yuan)因(yin)(yin)受(shou)到損失(shi)，即(ji)人(ren)為錯誤(wu)、蓄意的(de)欺騙行(xing)為、技(ji)術性錯誤(wu)(如(ru)硬件或軟件故障)和(he)(he)自然災害(hai)(如(ru)火災、水災、爆炸和(he)(he)閃電)。因(yin)(yin)此，信(xin)息(xi)安全非(fei)常重要。為了保護公司(si)的(de)信(xin)息(xi)資源，需(xu)要進行(xing)風(feng)險評估(gu)和(he)(he)控制來減(jian)輕這些風(feng)險，信(xin)息(xi)技(ji)術行(xing)業有許(xu)多不(bu)同的(de)控制方式(shi)。

　　(一(yi))信息安全(quan)控制

　　安全控(kong)制可(ke)以從以下(xia)四個方面進行界定, 以發揮(hui)其特性。

　　1.預測性(xing)。確(que)定可能(neng)的(de)問題(ti)并提出適當的(de)控(kong)制。

　　2.預防性。將(jiang)發生風險(xian)的可(ke)能降至最低(di)，例如，防火墻可(ke)以(yi)防止未(wei)經授權的訪問(wen)。

　　3.偵察性(xing)。日志能夠保存那些(xie)未經授權(quan)的訪問記錄。

　　4.矯正性。對未經授權的(de)訪問造成(cheng)的(de)后(hou)果(guo)提出修正的(de)方法。

　　(二)信息技術(shu)/信息系統控(kong)制類(lei)型

　　信息系統中(zhong)的(de)控制(zhi)可分為兩大類(lei)：一般控制(zhi)和(he)應用控制(zhi)。而信息技術控制(zhi)主要(yao)用于(yu)軟件(jian)和(he)網絡的(de)控制(zhi)。

　　1. 一般控(kong)制(zhi)(zhi)(zhi)。從總體上確保(bao)企業(ye)對其信息系(xi)統(tong)控(kong)制(zhi)(zhi)(zhi)的有效性(xing)(xing)。一般控(kong)制(zhi)(zhi)(zhi)的目標是保(bao)證計算機系(xi)統(tong)的正確使用(yong)和(he)安全性(xing)(xing)，防止數據(ju)丟失。一般控(kong)制(zhi)(zhi)(zhi)在人員控(kong)制(zhi)(zhi)(zhi)、邏(luo)輯(ji)訪問控(kong)制(zhi)(zhi)(zhi)、設備和(he)業(ye)務連(lian)續性(xing)(xing)這(zhe)些方(fang)面進行(xing)控(kong)制(zhi)(zhi)(zhi)。

　　(1)人員控制

　　涉及到(dao)人員招(zhao)募、訓(xun)練(lian)和監督的(de)(de)人員控制必須確保(bao)程(cheng)序和數據職責(ze)完(wan)成。人員控制包(bao)括部(bu)門內部(bu)職責(ze)的(de)(de)分離和數據處理(li)部(bu)門的(de)(de)分離。例如，企業(ye)應立即(ji)停止(zhi)已(yi)離開公司職員所有的(de)(de)訪問權限。

　　(2)邏輯(ji)訪問控制(zhi)

　　邏輯訪(fang)問(wen)(wen)控制對未經(jing)授權的訪(fang)問(wen)(wen)提供了安(an)(an)全(quan)(quan)保護(hu)。最普(pu)遍的安(an)(an)全(quan)(quan)訪(fang)問(wen)(wen)是通過密碼，可對密碼定義其格(ge)式(shi)、長度、加密和常規的變化。

　　(3)設備控制

　　設備控(kong)制是對計算(suan)機設備進(jin)行物理保護(hu)，如把他們鎖(suo)在一間(jian)保護(hu)室或保護(hu)柜中，并使用報警(jing)系統(tong)，如果計算(suan)機從其位置(zhi)上發生(sheng)移動，報警(jing)系統(tong)將被(bei)激活(huo)。

　　(4)業(ye)務連(lian)續(xu)性

　　在(zai)系(xi)統(tong)故(gu)障、設備操作系(xi)統(tong)、程序或(huo)數據丟失或(huo)毀壞(huai)的情(qing)況下(xia)，業(ye)務持續性(xing)或(huo)災難恢復計劃可從信息系(xi)統(tong)中恢復關(guan)鍵的業(ye)務信息。

　　2. 應用控制

　　應用控(kong)制與(yu)管理(li)政策配(pei)合，對程(cheng)序和輸入、處(chu)理(li)和輸出數據進行適當的控(kong)制，可以彌補一般控(kong)制的某(mou)些不足(zu)。

　　(1) 輸入(ru)控制

　　輸入控制的目(mu)的是發(fa)現和(he)防止錯誤的交易(yi)數(shu)據的錄(lu)入，其中包括：

　　第一、交易前的數據錄(lu)入，如在(zai)發票與收到的貨物，文件和采購訂單相匹配后(hou)，核準(zhun)供應商的發票。

　　第二、數據(ju)輸(shu)入(ru)屏(ping)幕的規定格式令(ling)使用者不得跳過強制輸(shu)入(ru)字段。

　　第(di)三、輸入體系內(nei)容的合理(li)檢查，如檢查給予(yu)顧客的折扣是否在允許的限度內(nei)。