2011年注会《公司战略与风险管理》精讲笔记(52)

　　第四节 与信息技术和信息系统相关的风险控制及其管理

　　一、信息技术与信息系统相关的凤险控制

　　系统和数据很容易因以下的原因受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此，信息安全非常重要。为了保护公司的信息资源，需要进行风险评估和控制来减轻这些风险，信息技术行业有许多不同的控制方式。

　　(一)信息安全控制

　　安全控制可以从以下四个方面进行界定，以发挥其特性。

　　1.预测性。确定可能的问题并提出适当的控制。

　　2.预防性。将发生风险的可能降至最低，例如，防火墙可以防止未经授权的访问。

　　3.侦察性。日志能够保存那些未经授权的访问记录。

　　4.矫正性。对未经授权的访问造成的后果提出修正的方法。

　　(二)信息技术/信息系统控制类型

　　信息系统中的控制可分为两大类:一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。

　　1.一般控制。

　　从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性，防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。

　　(1)人员控制

　　涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如，企业应立即停止已离开公司职员所有的访问权限。

　　(2)逻辑访问控制

　　逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码，可对密码定义其格式、长度、加密和常规的变化。

　　(3)设备控制

　　设备控制是对计算机设备进行物理保护，如把他们锁在一间保护室或保护柜中，并使用报警系统，如果计算机从其位置上发生移动，报警系统将被激活。

　　(4)业务连续性

　　在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。

　　2011注会《公司战略与风险管理》精讲笔记汇总

　　2011年注册会计师考试各科目章节重点汇总

　　2011年注册会计师考试报名时间预测：3月-4月

　　考生必读：2011年注册会计师考试高分技巧汇总