第四節　與信息技術和信息系統相關的風險控制及其管理

　　一、信息技術與信息系統相關的風險控制【掌握】

　　系統和數據很容易因以下的原因受到損失，即人為錯誤、蓄意的欺騙行為、技術性錯誤(如硬件或軟件故障)和自然災害(如火災、水災、爆炸和閃電)。因此，信息安全非常重要。為了保護公司的信息資源，需要進行風險評估和控制來減輕這些風險，信息技術行業有許多不同的控制方式。

　　(一)信息安全控制

　　安全控制可以從以下四個方面進行界定, 以發揮其特性。

　　1.預測性。確定可能的問題并提出適當的控制。

　　2.預防性。將發生風險的可能降至最低，例如，防火墻可以防止未經授權的訪問。

　　3.偵察性。日志能夠保存那些未經授權的訪問記錄。

　　4.矯正性。對未經授權的訪問造成的后果提出修正的方法。

　　(二)信息技術/信息系統控制類型

　　信息系統中的控制可分為兩大類：一般控制和應用控制。而信息技術控制主要用于軟件和網絡的控制。

　　1. 一般控制。從總體上確保企業對其信息系統控制的有效性。一般控制的目標是保證計算機系統的正確使用和安全性，防止數據丟失。一般控制在人員控制、邏輯訪問控制、設備和業務連續性這些方面進行控制。

　　(1)人員控制

　　涉及到人員招募、訓練和監督的人員控制必須確保程序和數據職責完成。人員控制包括部門內部職責的分離和數據處理部門的分離。例如，企業應立即停止已離開公司職員所有的訪問權限。

　　(2)邏輯訪問控制

　　邏輯訪問控制對未經授權的訪問提供了安全保護。最普遍的安全訪問是通過密碼，可對密碼定義其格式、長度、加密和常規的變化。

　　(3)設備控制

　　設備控制是對計算機設備進行物理保護，如把他們鎖在一間保護室或保護柜中，并使用報警系統，如果計算機從其位置上發生移動，報警系統將被激活。

　　(4)業務連續性

　　在系統故障、設備操作系統、程序或數據丟失或毀壞的情況下，業務持續性或災難恢復計劃可從信息系統中恢復關鍵的業務信息。

　　2. 應用控制

　　應用控制與管理政策配合，對程序和輸入、處理和輸出數據進行適當的控制，可以彌補一般控制的某些不足。

　　(1) 輸入控制

　　輸入控制的目的是發現和防止錯誤的交易數據的錄入，其中包括：

　　第一、交易前的數據錄入，如在發票與收到的貨物，文件和采購訂單相匹配后，核準供應商的發票。

　　第二、數據輸入屏幕的規定格式令使用者不得跳過強制輸入字段。

　　第三、輸入體系內容的合理檢查，如檢查給予顧客的折扣是否在允許的限度內。