第四節(jié) 與信息技術(shù)和信息系統(tǒng)相關(guān)的風(fēng)險控制及其管理

　　一、信息技術(shù)與信息系統(tǒng)相關(guān)的鳳險控制

　　系統(tǒng)和數(shù)據(jù)很容易因以下的原因受到損失，即人為錯誤、蓄意的欺騙行為、技術(shù)性錯誤(如硬件或軟件故障)和自然災(zāi)害(如火災(zāi)、水災(zāi)、爆炸和閃電)。因此，信息安全非常重要。為了保護(hù)公司的信息資源，需要進(jìn)行風(fēng)險評估和控制來減輕這些風(fēng)險，信息技術(shù)行業(yè)有許多不同的控制方式。

　　(一)信息安全控制

　　安全控制可以從以下四個方面進(jìn)行界定，以發(fā)揮其特性。

　　1.預(yù)測性。確定可能的問題并提出適當(dāng)?shù)目刂啤?/p>

　　2.預(yù)防性。將發(fā)生風(fēng)險的可能降至最低，例如，防火墻可以防止未經(jīng)授權(quán)的訪問。

　　3.偵察性。日志能夠保存那些未經(jīng)授權(quán)的訪問記錄。

　　4.矯正性。對未經(jīng)授權(quán)的訪問造成的后果提出修正的方法。

　　(二)信息技術(shù)/信息系統(tǒng)控制類型

　　信息系統(tǒng)中的控制可分為兩大類:一般控制和應(yīng)用控制。而信息技術(shù)控制主要用于軟件和網(wǎng)絡(luò)的控制。

　　1.一般控制。

　　從總體上確保企業(yè)對其信息系統(tǒng)控制的有效性。一般控制的目標(biāo)是保證計算機(jī)系統(tǒng)的正確使用和安全性，防止數(shù)據(jù)丟失。一般控制在人員控制、邏輯訪問控制、設(shè)備和業(yè)務(wù)連續(xù)性這些方面進(jìn)行控制。

　　(1)人員控制

　　涉及人員招募、訓(xùn)練和監(jiān)督的人員控制必須確保程序和數(shù)據(jù)職責(zé)完成。人員控制包括部門內(nèi)部職責(zé)的分離和數(shù)據(jù)處理部門的分離。例如，企業(yè)應(yīng)立即停止已離開公司職員所有的訪問權(quán)限。

　　(2)邏輯訪問控制

　　邏輯訪問控制對未經(jīng)授權(quán)的訪問提供了安全防范。最普遍的安全訪問是使用密碼，可對密碼定義其格式、長度、加密和常規(guī)的變化。

　　(3)設(shè)備控制

　　設(shè)備控制是對計算機(jī)設(shè)備進(jìn)行物理保護(hù)，如把他們鎖在一間保護(hù)室或保護(hù)柜中，并使用報警系統(tǒng)，如果計算機(jī)從其位置上發(fā)生移動，報警系統(tǒng)將被激活。

　　(4)業(yè)務(wù)連續(xù)性

　　在系統(tǒng)故障、設(shè)備操作系統(tǒng)、程序或數(shù)據(jù)丟失或毀壞的情況下，業(yè)務(wù)持續(xù)性或災(zāi)難恢復(fù)計劃可從信息系統(tǒng)中恢復(fù)關(guān)鍵的業(yè)務(wù)信息

　2.應(yīng)用控制

　　應(yīng)用控制與管理政策配合，對程序和輸入、處理和輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)目刂疲�可以彌補(bǔ)一般控制的某些不足。

　　(1)輸入控制

　　輸入控制的目的是發(fā)現(xiàn)和防止錯誤的交易數(shù)據(jù)的錄人，其中包括:

　　①交易前的數(shù)據(jù)錄人，如在發(fā)票與收到的貨物，文件和采購訂單相匹配后，核準(zhǔn)供應(yīng)商的發(fā)票。

　　②數(shù)據(jù)輸入屏幕的規(guī)定格式令使用者不得跳過強(qiáng)制輸入字段。

　　③輸入體系內(nèi)容的合理檢查，如檢查給予顧客的折扣是否在允許的限度內(nèi)。

　　(2)過程控制

　　過程控制確保過程的發(fā)生按照公司的要求進(jìn)行，沒有被忽略或處理不當(dāng)?shù)慕灰装l(fā)生。最常見的控制是交易記錄、分批平衡和總量控制系統(tǒng)。

　　(3)輸出控制

　　輸出控制確保輸入和處理活動已經(jīng)被執(zhí)行，而且生成的信息可靠并分發(fā)給用戶。主要的輸出控制形式是交易清單和例外報告等。

　　3.軟件控制和軟件盜版

　　軟件受著作權(quán)法和知識產(chǎn)權(quán)法的保護(hù)。軟件控制防止制作或安裝未經(jīng)授權(quán)的軟件拷貝，防止因非法使用造成經(jīng)濟(jì)處罰的風(fēng)險。因此，從有信譽的經(jīng)銷商處購買正版軟件是重要的控制方式，可以減小上述風(fēng)險，并且維護(hù)好所有軟件的實物存盤是必不可少的。

　　4.網(wǎng)絡(luò)控制

　　計算機(jī)和數(shù)據(jù)安全的具體問題來自于數(shù)據(jù)處理和電子商務(wù)的增長。主要風(fēng)險是黑客、計算機(jī)病毒、電子竊聽機(jī)密信息、計算機(jī)系統(tǒng)故障或自然災(zāi)害。基于以上原因，控制必須存在，以防止未經(jīng)授權(quán)的訪問，并確保數(shù)據(jù)的完整性。隨著電子商務(wù)的增加，這一點變得尤為重要。

　　最常用的網(wǎng)絡(luò)控制措施有防火墻、數(shù)據(jù)加密、授權(quán)和病毒防護(hù)。

　　(1)防火墻。它包括相應(yīng)的硬件和軟件，存在于企業(yè)內(nèi)部網(wǎng)和公共網(wǎng)絡(luò)之間。它是一套控制程序，即允許公眾訪問公司計算機(jī)系統(tǒng)的某些部分，同時限制其訪問其他部分。

　　(2)數(shù)據(jù)加密。數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式，在傳輸后重新轉(zhuǎn)換回來。這些數(shù)據(jù)只能被匹配的解密接收器讀取。

　　(3)授權(quán)。客戶通過身份驗證和密碼進(jìn)行注冊。

　　(4)病毒防護(hù)。病毒是一種計算機(jī)程序，它能夠自我復(fù)制，并在被感染的計算機(jī)之間傳播。病毒能夠修改、刪除文件，甚至刪除計算機(jī)硬盤驅(qū)動中的所有內(nèi)容。因此，使用病毒檢測和防護(hù)軟件掃描病毒，更改用戶和刪除病毒有助于避免計算機(jī)數(shù)據(jù)遭到破壞。

　　二、信息技術(shù)支持服務(wù)

　　信息技術(shù)部門的規(guī)模和結(jié)構(gòu)取決于公司的規(guī)模、信息需求和對信息技術(shù)的需求程度，以及其信息技術(shù)系統(tǒng)是內(nèi)部供應(yīng)還是外包。一般來說，企業(yè)應(yīng)有開發(fā)新系統(tǒng)的能力，維護(hù)和修改現(xiàn)有系統(tǒng)的能力，以及支持用戶和對新系統(tǒng)實施足夠控制的能力。信息中心已成為企業(yè)組織其信息技術(shù)職能最常見的方式。信息中心執(zhí)行某些或以下所有職能滿足企業(yè)的信息系統(tǒng)戰(zhàn)略、信息技術(shù)戰(zhàn)略和信息管理戰(zhàn)略。這些內(nèi)容包括:

　　1.服務(wù)臺以應(yīng)用軟件解決用戶的問題，包括應(yīng)用遠(yuǎn)程診斷軟件，為用戶提供相關(guān)技術(shù)進(jìn)展。

　　2.在硬件和軟件購買決策上提供建議，并為系統(tǒng)一體化的標(biāo)準(zhǔn)提供建議，特別是應(yīng)用企業(yè)資源、計劃系統(tǒng)、戰(zhàn)略性企業(yè)管理、決策支持系統(tǒng)和經(jīng)理信息系統(tǒng)。

　　3.為應(yīng)用開發(fā)提供建議，無論是內(nèi)部還是使用外包承包商，包括與系統(tǒng)開發(fā)過程相關(guān)的建議。

　　4.監(jiān)測網(wǎng)絡(luò)中央處理器和硬盤存儲的使用情況，以保障有足夠的能力進(jìn)行日常數(shù)據(jù)的備份。

　　5.維護(hù)企業(yè)數(shù)據(jù)庫。

　　6.系統(tǒng)維護(hù)和測試、用戶培訓(xùn)和系統(tǒng)地存儲用戶文檔。

　　7.維護(hù)信息技術(shù)安全

三、信息技術(shù)基礎(chǔ)設(shè)施庫

　　信息技術(shù)基礎(chǔ)設(shè)施庫通過規(guī)劃指導(dǎo)商業(yè)用戶，以商業(yè)需求來提供和管理信息技術(shù)服務(wù)的質(zhì)量。信息技術(shù)基礎(chǔ)設(shè)施庫協(xié)助企業(yè)調(diào)整其信息技術(shù)服務(wù)。它包括十個流程和一項功能。其中有五個流程目標(biāo)在于服務(wù)支持，五個流程側(cè)重于提供服務(wù)。服務(wù)臺的功能是對所有十個流程的功能接口提供從客戶到信息技術(shù)的單點聯(lián)系。這五個服務(wù)支持流程和目標(biāo)包括: