2010《战略与风险管理》:信息技术管理(10)
第四节 与信息技术和信息系统相关的风险控制及其管理
一、信息技术与信息系统相关的风险控制【掌握】
系统和数据很容易因以下的原因受到损失,即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此,信息安全非常重要。为了保护公司的信息资源,需要进行风险评估和控制来减轻这些风险,信息技术行业有许多不同的控制方式。转自环球网校edu24ol.com
(一)信息安全控制
安全控制可以从以下四个方面进行界定, 以发挥其特性。
1.预测性。确定可能的问题并提出适当的控制。
2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。
3.侦察性。日志能够保存那些未经授权的访问记录。
4.矫正性。对未经授权的访问造成的后果提出修正的方法。
(二)信息技术/信息系统控制类型
信息系统中的控制可分为两大类:一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。
1. 一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。
(1)人员控制
涉及到人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限。
(2)逻辑访问控制
逻辑访问控制对未经授权的访问提供了安全保护。最普遍的安全访问是通过密码,可对密码定义其格式、长度、加密和常规的变化。
(3)设备控制
设备控制是对计算机设备进行物理保护,如把他们锁在一间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活。
(4)业务连续性
在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。
2. 应用控制
应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。
(1) 输入控制
输入控制的目的是发现和防止错误的交易数据的录入,其中包括:
第一、交易前的数据录入,如在发票与收到的货物,文件和采购订单相匹配后,核准供应商的发票。
第二、数据输入屏幕的规定格式令使用者不得跳过强制输入字段。
第三、输入体系内容的合理检查,如检查给予顾客的折扣是否在允许的限度内。
环球网校2010年注册会计师考试网上辅导招生简章
2010年注册会计师辅导优惠套餐 转自环 球 网 校edu24ol.com
最新资讯
- 考后复盘:2024年注册会计师各科考情分析汇总2024-08-29
- 2024年注册会计师财管考前考点突击:第十九章业绩评价2024-08-20
- 考前专项练习!2024年cpa财务成本管理易考点:第十八章责任会计2024-08-19
- 2024年注会财务成本管理知识点总结和真题练习:第十七章全面预算2024-08-18
- 2024年注会财务成本管理重点章节:第十六章短期经营决策2024-08-17
- 2024年注会战略易考点及考前专项练习:第八章企业面对的主要风险与应对2024-08-16
- 专项练习!2024年注会财务管理高频考点:第十五章本量利分析2024-08-16
- 考前提分!2024年cpa战略考试易考点:第七章风险管理的流程、体系与方法2024-08-15
- 考前回顾!2024年注会财务管理重点及真题练习:第十四章作业成本法2024-08-15
- 2024年注册会计师财管考前重点回顾:第十三章标准成本法2024-08-15