信息系统风险管理认识

《信息系统风险管理认识》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、浅谈对于信息系统风险管理的认识风险管理是项目管理的主要部分，其目的是追求积极活动的最大化和不利活动的最小化。在现代项目管理中，强调对项目目标的主动控制，以对项目实现过程中遭遇的风险和干扰因素可以预防作用，从而减少损失。信息系统是信息内部传递和信息对外报告的技术手段，是企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素;同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部

2、控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。信息系统建设项目是一项风险的过程，风险管理贯穿信息系统项目的全系统生命周期。《企业内部控制应用指引第18号—信息系统》提出了企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，至少应当关注下列方面：(1)信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下;(2)系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制;(3)系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。信息系统与信息系统相关的风险控制

3、系统和数据很容易因以下的原因受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此，信息安全非常重要。（一）．信息安全控制1.信息安全控制从以下四个方面进行界定预测性：确定可能的问题并提出适当的控制。预防性：将发生风险的可能降至最低。侦察性：日志能够保存那些未经授权的访问记录。矫正性：对未经授权的访问造成的后果提出修正的方法。　　2.信息系统中的控制可分为两大类一般控制：从总体上确保企业对其信息系统控制的有效性。（1）人员控制；（2）逻辑访问控制；（3）设备控制；（4）业务连续性。应用控制：应用控制与管理政策

4、配合，对程序和输入、处理和输出数据进行适当的控制，可以弥补一般控制的某些不足。（1）输入控制；（2）过程控制；（3）输出控制。　　3.软件控制和软件盗版　　4.网络控制　　最常用的网络控制方式有：防火墙它包括相应的硬件和软件，存在于企业内部网和公共网络之间。数据加密数据在传输前被转化成非可读格式，在传输后重新转换回来。授权客户通过身份和密码进行注册。病毒防护病毒是一种计算机程序，它能够自我复制，并在被感染的计算机之间传播。