注会《风险》第八章 管理信息系统的应用与管理06
第八章 管理信息系统的风险与安全管理
第八章管理信息系统的风险与安全管理第一节项目管理1.项目:项目是为完成某一独特的产品、服务或任务所做的一次性努力。
2.项目的特征:1)项目是一次性任务。
2)人类有组织的活动都有其目的性。
3)项目是为了实现目标而展开的任务的集合。
3.项目管理:是以项目为对象的系统管理方法,通过一个临时性专门的柔性组织,对项目进行高效率的计划、组织、指导和控制,以实现项目的动态管理和项目目标的综合协调与优化。
4.项目管理的特征:1)需要通过一个专门的组织实施2)规划资源。
5.项目管理的领域:范围管理、时间管理、成本管理、质量管理、采购管理、人力资源管理、沟通管理、风险管理、综合管理。
6.采购是从系统外部获得货物、土建工程和服务的采办过程。
7.甘特图:又称条线图或横道图,主要用于项目的计划和项目进度的安排。
甘特图是一个二维平面图,横向维表示进度或活动的时间,纵向维表示工作的内容。
8.Microsoft Project包括以下几个基本模块:1)基本数据输入模块2)数据计算处理模块。
3)人机交互调整模块4)项目信息输出模块。
第二节管理信息系统风险管理1.风险:是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务损失,自然破坏或损伤的可能性。
2.风险分类:1)按风险后果:纯粹风险、投机风险2)按风险来源:自然风险、人为风险3)按风险影响后果:政府风险、项目业主风险、承包风险、投资方风险、监理单位风险、供应商风险等4)按风险可预测性:已知风险、可预测风险、不可预测风险5)按原因角度:商业风险、技术风险、管理风险。
3.按对待风险的态度划分,可以分成风险的规避者、风险中立者、冒险者。
4.风险管理:是指在项目的执行过程中,持续不断地进行风险识别、分析、策略制定、监控风险执行情况的过程。
5.风险管理具体可以分为:风险识别、风险分析、风险规划、风险监控四个步骤6.风险识别:就是确定哪些风险可能会对事物产生影响,然后将这些风险按特征分类记录为文档,系统地确定对项目的威胁。
注册会计师《风险》第八章管理信息系统的应用与管理
注册会计师《风险》第八章管理信息系统的应用与管理04(共5页)--本页仅作为文档封面,使用时请直接删除即可----内页可以根据需求调整合适字体及大小--第八章管理信息系统的应用与管理第二节管理信息系统的应用三、信息系统与组织决策(四)群体决策支持系统(GDSS)(★)1.群体决策与群体决策支持系统。
在组织中,大多数重大决策都不是某个个体完成的,而是群体决策的结果。
相比个体决策,群体决策具有如下特点:(1)通常决策的正确性更高,但速度较慢;(2)集思广益,决策可能更具创造性;(3)可能出现风险极端化,可能过度保守或过度冒险;(4)群体成员关系好坏可能左右决策效能;(5)决策群体的构成对群体决策的影响较大。
群体决策支持系统(group decision support system,GDSS),是指在系统环境中,多个决策参与者共同进行思想和信息的交流,群策群力,寻找一个令人满意和可行的方案,但在决策过程中只由某个特定的人做出最终决策,并对决策结果负责。
2.群体决策支持系统的应用。
GDSS按照决策时间和群体成员地理上的邻近程度可分为决策室、局域决策网、电子会议、远程决策四种应用类型。
(1)决策室。
决策室的主要特征是决策者面对面地在同一时间和地点进行群体决策。
设立一个与传统会议室相似的决策室,决策者通过互联的计算机站点相互合作完成决策。
决策室是相对较简单的GDSS,主要缺点是不能有效地屏蔽各决策者之间的相互影响。
(2)局域决策网。
局域决策网型GDSS建立在局域网(local area network,LAN)的基础上。
在决策过程中,各决策者在近距离的不同房间的工作站上参与群体决策,共享决策源,通过网络相互通信,以了解其他决策结点的状态及全局状态。
这种类型GDSS的主要优点是可以克服定时决策的限制,决策者可在决策周期内分时地参与决策。
(3)电子会议。
电子会议利用计算机网络的通信技术,使分散各地的决策者在同一时间内进行集中决策。
信息系统在企业风险管理中的应用
信息系统在企业风险管理中的应用企业风险管理是现代企业运营的重要组成部分,它旨在识别、评估和应对可能对企业目标实现产生不利影响的各种风险。
作为信息技术的重要应用领域之一,信息系统在企业风险管理中发挥着重要的作用。
本文将探讨信息系统在企业风险管理中的应用,并讨论其优势和挑战。
一、风险管理的基本概念在探讨信息系统在企业风险管理中的应用之前,首先需要了解风险管理的基本概念。
风险管理是一种系统性和有序的方法,它包括识别、评估、处理和监控风险的过程。
企业风险可以分为战略风险、操作风险、财务风险、法律风险等多个方面。
通过风险管理,企业可以更好地预防和应对风险,保证企业的可持续发展。
二、信息系统在风险识别与评估中的应用信息系统在企业风险管理中的首要任务是帮助企业准确地识别和评估风险。
通过信息系统,企业可以收集、存储和分析大量与风险相关的数据,帮助企业确定潜在的风险因素,并对其进行量化和评估。
信息系统可以利用数据挖掘和预测模型等技术手段,快速准确地识别风险,为企业的决策提供可靠的依据。
三、信息系统在风险处理中的应用一旦企业识别和评估了风险,接下来就需要采取相应的措施来处理风险。
信息系统在这个过程中发挥了重要的作用。
例如,企业可以借助信息系统来制定和执行风险应对策略,并确保风险处理措施的及时性和有效性。
此外,信息系统还可以提供风险监控和反馈机制,帮助企业实时跟踪风险的动态变化,并做出相应的调整和改进。
四、信息系统在风险监控与报告中的应用风险监控和报告是企业风险管理的重要环节,也是决策者了解企业风险状况的关键手段。
信息系统可以为企业提供实时的风险监控和报告功能,帮助决策者及时了解和评估企业的风险状况。
信息系统可以通过数据可视化和报表生成等功能,将大量的风险数据转化为易于理解和分析的形式,为决策者提供决策支持。
五、信息系统在风险管理中的优势和挑战信息系统在企业风险管理中具有许多优势,如高效性、准确性和可靠性。
信息系统可以帮助企业实现风险管理的自动化和规范化,提高企业的工作效率和风险处理的准确性。
注册会计师公司战略与风险管理分类模拟题管理信息系统的应用与管理(一).doc
注册会计师公司战略与风险管理分类模拟题管理信息系统的应用与管理(一)一、单项选择题1、下列选项中,有关信息系统与组织变革表述错误的是__________ 。
A.组织变革是推动信息系统进步的诱因B.信息系统支持组织扁平化调整C.信息系统有助于减少专业人员,增加多面手D.虚拟组织是组织扁平化在企业之间的形式2、处理和记录企业经营运作所必需的组织基本活动和作业信息,服务于组织的作业层的计算机系统属于 _______ 。
A.经理信息系统(EIS)B.决策支持系统(DSS)C.管理信息系统(MIS)D.业务处理系统(TPS)3、客户关系管理(CRM)的核心是_______ 。
A.客户利润管理B.客户价值管理C.客户生命周期管理D.客户成本管理4、乙公司计划上马一套CRM系统,以改善客户关系。
公司希望新系统能够实现企业直接与客户互动(通常通过网络),实现全方位地为客户交互服务和收集客户信息,形成与多种客户交流的渠道。
根据以上信息可以判断,乙公司计划使用的CRM系统是_______________ 。
A. 运营型CRMB. 分析型CRMC.协同型CRMD.关系型CRM5、群体决策支持系统DSS按照决策时间和群体成员地理上的邻近程度可分为四种应用类型。
其中,在决策过程中,各决策者在近距离的不同房间的工作站上参与群体决策,共享决策源,通过网络相互通信,以了解其他决策结点的状态及全局状态表现的是 _________________ 。
A.决策室B.局域决策网C.电子会议D.远程决策6、甲公司聘请中介机构对自身信息系统整体运行安全情况进行评估。
公司对中介机构提出的要求是:评估要有充分的计划性,不对系统运行产生显著影响。
所使用的评估工具要经过多次使用考验,具有很好的可控性。
以上信息表明,甲公司在进行评估过程中,比较重视的原则是___________________ 。
A.规范性原则B.整体性原则C.最小影响原则D.保密性原则7、下列选项中,属于基于网络的安全策略是_________ 。
注册会计师《风险》第八章 管理信息系统的应用与管理06
第八章管理信息系统的应用与管理第三节管理信息系统的管理二、信息系统安全管理(一)信息系统安全管理概念(★★)1.信息系统的不安全因素及风险。
信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。
从不同的角度对于信息系统安全威胁的分类有以下几类。
(1)按照威胁的来源分类。
①自然灾害威胁。
②意外人为威胁。
③有意人为威胁。
(2)按照作用对象分类。
按照所作用的对象,可以将信息系统的威胁分为以下两种。
第一种,针对信息的威胁。
针对信息(资源)的威胁又可以归结为以下几类:①信息破坏:非法取得信息的使用权,删除、修改、插入、恶意添加或重发某些数据,以影响正常用户对信息的正常使用。
②信息泄密:故意或偶然地非法侦收、截获、分析某些信息系统中的信息,造成系统数据泄密。
③假冒或否认:假冒某一可信任方进行通信或者对发送的数据事后予以否认。
第二种,针对系统的威胁。
针对系统的威胁包括对系统硬件的威胁、对系统软件的威胁和对于系统使用者的威胁。
对于通信线路、计算机网络以及主机、光盘、磁盘等的盗窃和破坏都是对于系统硬件(实体)的威胁;病毒等恶意程序是对系统软件的威胁;流氓软件等是对于系统使用者的威胁。
(3)按照威胁方法的分类。
按照威胁的手段,可以将信息系统的威胁分为以下六种:第一种,信息泄露。
信息泄露是指系统的敏感数据有意或无意地被未授权者知晓。
第二种,扫描。
扫描是指利用特定的软件工具向目标发送特制的数据包,对响应进行分析,以了解目标网络或主机的特征。
第三种,入侵。
入侵即非授权访问,是指没有经过授权(同意)就获得系统的访问权限或特权,对系统进行非正常访问,或擅自扩大访问权限越权访问系统信息。
第四种,拒绝服务。
拒绝服务是指系统可用性因服务中断而遭到破坏。
拒绝服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。
第五种,抵赖(否认)。
通信一方由于某种原因而实施的下列行为都称为抵赖:①发方事后否认自己曾经发送过某些消息;②收方事后否认自己曾经收到过某些消息;③发方事后否认自己曾经发送过某些消息的内容;④收方事后否认自己曾经收到过某些消息的内容。
信息系统在风险管理中的作用
信息系统在风险管理中的作用信息系统是现代企业运营中不可或缺的一部分,它在风险管理中起到了重要的作用。
本文将探讨信息系统在风险管理中的具体应用,并分析其对企业的影响。
一、风险管理概述风险管理是企业运营中的重要环节,它包括风险识别、风险评估、风险控制和风险监测等过程。
通过对潜在风险进行全面管理,企业可以有效降低风险对企业运营的不利影响,提高企业的竞争力和长期发展能力。
二、信息系统在风险识别中的作用信息系统可以帮助企业快速准确地收集与业务相关的信息,从而帮助企业进行风险识别。
通过信息系统,企业可以查看各种业务数据、市场情报以及内外部环境的实时信息,从而及时发现潜在的风险。
同时,信息系统还可以对数据进行分析和挖掘,帮助企业发现隐藏的风险,并提供决策支持的依据。
三、信息系统在风险评估中的作用信息系统在风险评估中的作用不可忽视。
通过信息系统,企业可以建立风险评估模型,将各种业务数据和环境因素输入系统,进行风险定量化评估。
系统可以通过算法和模型对数据进行分析,确定风险概率和影响程度,帮助企业评估风险的发生概率和对企业的影响程度。
这样,企业可以更加全面客观地了解各种风险,并有针对性地制定风险应对策略。
四、信息系统在风险控制中的作用信息系统在风险控制中发挥着关键的作用。
首先,信息系统可以通过建立风险管理数据库,帮助企业对风险进行分类、归档和管理,确保风险管理工作的有序开展。
其次,信息系统可以提供风险控制的工具和平台。
例如,企业可以借助信息系统建立风险管理流程,制定风险管控方案,并实时监测风险的变化情况。
同时,信息系统还可以通过预警机制和提醒系统,帮助企业及时发现风险,采取相应的控制措施,减少损失。
五、信息系统在风险监测中的作用信息系统在风险监测中的作用主要体现在数据收集和分析上。
通过信息系统,企业可以自动化地收集、整理和储存各种与风险相关的数据,例如市场数据、供应链数据等。
同时,信息系统还可以对这些数据进行分析和挖掘,帮助企业发现风险的变化趋势和规律。
第八章风险管理信息系统
PPT文档演模板
第八章风险管理信息系统
第五十三条 企业风险管理信息系统的基本流程和内部控制环节
第五十三条 企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本 流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分 析、测试、传递、报告、披露等。
•重点说明:系统必须涵盖风险管理基本流程和内部控制系统各环节
•风险管理系统必须建立良 好的信息传递机制,这种 信息的传递机制应当建立 于风险管理的各个环节中
▪信息的 传递
▪信息的 采集
风险信息的采集就必须要明确 需要哪些基础信息,这些基础信 息的来源,基础信息的收集频度, 不同基础信息之间的口径差异,
信息的采集流程,技术手段等
•分析的内容、层 次、方法和频度 都会是信息分析 环节关注的重点
欧洲某大型集团公司的风险管理
▪公共集中的客户信息管理平台
要点
▪标准化的客户信用管理工具和客户交易数据系统
▪所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库
• 一个集中的数据库 • 数据按天收集 • 按月进行风险计算
流程
组织
技术
•集团内统一流程,企业依照执行 ▪一个强势的集团治理架构
▪全球化的信息系统架构
一些系统提供了对客户交易情况进行持续监督功能, 结合基本的业务工作流 程来减轻每日操作中的风险。保证信息的一致性需要特别注重企业面对行业变 动, 高度创新和快速发展的竞争者, 或重大顾客需求改变。信息系统需要随着 新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信息, 还要及时的处理和报告这些信息,确保对企业经营活动进行有效的控制
运营风险报告框架
运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估
注会风险战略管理必背考点
第八章管理信息系统的应用与管理【必背考点1】简述管理信息与管理活动的关系1、管理信息是管理活动的基础和核心2、管理信息是提高管理效益的关键3、管理信息是有效控制企业运行过程的灵魂【记忆口诀】重点把握关键字:基础和核心、关键、灵魂【必背考点2】简述管理信息系统的特点1、面对管理决策的系统2、综合性的系统3、人-机相互作用的系统4、现代管理方法与手段相结合的系统5、多学科交叉的边缘科学【必背考点3】简述流程管理和信息技术的关系(1)信息化助力流程管理①信息技术实现了五流合一,提高了业务流程的运作效力。
所谓五流即指信息流、商流、资金流、事务流和物流。
②信息技术规范了流程的运作,提高了业务流程的有效性③信息技术有利于优化企业的组织结构,从而建立以流程为导向的组织(2)流程管理推进信息化【记忆口诀】信息化助力流程管理;流程管理推进信息化【必背考点4】简述信息系统与组织变革的关系,以及信息系统对组织结构变革的影响信息系统与组织变革是相互影响的关系。
一方面,信息系统是推动组织变革的诱因;另一方面,组织变革又进一步促进信息系统应用信息系统对组织变革的影响具体表现为以下几个方面:(1)支持组织扁平化调整(2)支持新型组织结构【记忆口诀】信息系统与组织变革相互影响,推动诱因与促进应用【必背考点5】简述信息系统的评价方法有哪些?(1)多因素加权平均法(2)层次分析法(3)数据包络分析法(4)经济效果评价法第七章风险管理框架下的内部控制【必背考点1】简述COSO委员会和我国《企业内部控制基本归法》对内部控制的定义、目标和要素。
COSO委员会规定的内部控制三项目标包括:取得经营的效率和有效性;确保财务报告的可靠性;遵循适用的法律法规内部控制的五大要素包括:控制环境、风险评估、控制活动、信息与沟通、监控监督我国《企业内部控制基本规范》要求企业建立内部控制体系时应符合以下目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第八章管理信息系统的应用与管理第三节管理信息系统的管理二、信息系统安全管理(一)信息系统安全管理概念(★★)1.信息系统的不安全因素及风险。
信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。
从不同的角度对于信息系统安全威胁的分类有以下几类。
(1)按照威胁的来源分类。
①自然灾害威胁。
②意外人为威胁。
③有意人为威胁。
(2)按照作用对象分类。
按照所作用的对象,可以将信息系统的威胁分为以下两种。
第一种,针对信息的威胁。
针对信息(资源)的威胁又可以归结为以下几类:①信息破坏:非法取得信息的使用权,删除、修改、插入、恶意添加或重发某些数据,以影响正常用户对信息的正常使用。
②信息泄密:故意或偶然地非法侦收、截获、分析某些信息系统中的信息,造成系统数据泄密。
③假冒或否认:假冒某一可信任方进行通信或者对发送的数据事后予以否认。
第二种,针对系统的威胁。
针对系统的威胁包括对系统硬件的威胁、对系统软件的威胁和对于系统使用者的威胁。
对于通信线路、计算机网络以及主机、光盘、磁盘等的盗窃和破坏都是对于系统硬件(实体)的威胁;病毒等恶意程序是对系统软件的威胁;流氓软件等是对于系统使用者的威胁。
(3)按照威胁方法的分类。
按照威胁的手段,可以将信息系统的威胁分为以下六种:第一种,信息泄露。
信息泄露是指系统的敏感数据有意或无意地被未授权者知晓。
第二种,扫描。
扫描是指利用特定的软件工具向目标发送特制的数据包,对响应进行分析,以了解目标网络或主机的特征。
第三种,入侵。
入侵即非授权访问,是指没有经过授权(同意)就获得系统的访问权限或特权,对系统进行非正常访问,或擅自扩大访问权限越权访问系统信息。
第四种,拒绝服务。
拒绝服务是指系统可用性因服务中断而遭到破坏。
拒绝服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。
第五种,抵赖(否认)。
通信一方由于某种原因而实施的下列行为都称为抵赖:①发方事后否认自己曾经发送过某些消息;②收方事后否认自己曾经收到过某些消息;③发方事后否认自己曾经发送过某些消息的内容;④收方事后否认自己曾经收到过某些消息的内容。
第六种,滥用。
滥用泛指一切对信息系统产生不良影响的活动,主要内容如下:①传播恶意代码。
②复制重放。
③发布或传播不良信息。
2.信息系统的安全管理技术。
(1)通信保密,包括数据保密、认证技术和访问控制等。
数据保密就是隐蔽数据,防止信息被窃取,其方法有以下两种:①数据加密,即隐蔽数据的可读性,将可读的数据转换为不可读数据,即将明文转换为密文,使非法者不能直接了解数据的内容。
加密的逆过程称为解密。
②数据隐藏,即隐藏数据的存在性,将数据隐藏在一个容量更大的数据载体之中,形成隐秘载体,使非法者难以察觉其中隐藏有某些数据,或者难以从中提取被隐藏数据。
从认证的对象看,认证技术可以分为报文认证和身份认证。
报文认证包括报文鉴别(主要用于数据完整性保护,也称为消息鉴别,即要鉴别报文在传输中有没有被删除、添加或篡改)和数字签名(主要用于抗抵赖性保护,能够验证签名者的身份,以及签名的日期和时间;能够用于证实被签报文的内容的真实性;签名可以由第三方验证,以解决双方在通信中的争议。
),身份认证(如口令、指纹等)主要用于真实性保护。
访问控制是从系统资源安全保护的角度对要进行的访问进行授权控制。
它从访问的角度将系统对象分为主体和客体两类。
主体也称为访问发起者,主要指用户、用户组、进程以及服务等;客体也称资源,主要指文件、目录、机器等。
授权就是赋予主体一定的权限(修改、查看等),赋予客体一定的访问属性(如读、写、添加、执行、发起链接等),同时在主体与客体之间建立一套安全访问规则,通过对客体的读出、写入、修改、删除、运行等管理,确保主体对客体的访问是经过授权的,同时要拒绝非授权的访问。
【相关链接】访问控制是对信息系统资源的访问范围以及方式进行限制的策略。
简单地说,就是防止合法用户的非法操作。
它是建立在身份认证之上的操作权限控制。
身份认证解决了访问者是否是合法者,但并非身份合法就什么都可以做,还要根据不同的访问者,规定他们分别可以访问哪些资源,以及对这些可以访问的资源可以用什么方式(读、写、执行、删除等)访问。
它是基于权限管理的一种非常重要的安全策略。
对用户权限的设定,称为授权。
(2)信息防护技术。
信息防护技术有防火墙技术,信息系统安全审计和报警,数据容错、容灾和备份等。
防火墙是设置在可信任的内部网络与不可信任的外界之间的一道屏障。
它可以屏蔽非法请求,一定程度地防止跨权限访问并产生安全报警,有效地监控了内部网和互联网之间的任何活动。
信息系统安全审计(按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。
相当于飞机上的“黑匣子”)和报警是信息系统安全中一项极为重要的安全服务措施。
它有如下功能:①记录与系统安全活动有关的全部或部分信息;②对所有记录的信息进行分析、评价、审查,发现系统的安全隐患;③对潜在的攻击者进行威慑或警告;④出现安全事故后,追查造成安全事故的原因并落实对安全事故负责的实体或机构,为信息系统安全策略的调整和修改提供建议。
安全审计和报警不可分割。
但是安全审计不直接阻止安全违规。
安全报警一般在安全相关事件达到某一或一些预定义域值时发出。
数据容错、容灾和备份是信息系统安全的重要保障。
为了保证系统的可靠性,经过长期的摸索,人们总结出三种方法,即避错、纠错和容错。
错误没有办法完全避免,纠错作为避错的补充,在系统出现故障时起作用,而容错是指硬件故障或软件错误时,系统仍能执行一组规定的程序或程序不会因为系统的故障而中断或被修改,并且执行结果也不包含因故障而引起的差错。
数据容灾系统,对于IT而言,就是为计算机信息系统提供的一个能应付各种灾难的环境。
当计算机系统在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时,容灾系统将保证用户数据的安全性(数据容灾)。
从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保证。
(3)信息保障,即信息系统安全风险评估。
系统的安全强度可以通过风险大小衡量。
科学地分析信息系统的风险,综合平衡风险和代价的过程就是信息系统安全风险评估。
世界各国信息化的经验表明:①不计代价、片面地追求系统安全是不切实际的;②不考虑风险存在的信息系统是危险的,是要付出代价,甚至是灾难性代价的;③所有的信息系统建设的生命周期都应当从安全风险评估开始。
通过信息系统安全风险评估,组织可以达到如下目的:①了解组织信息系统的管理和安全现状。
②确定资产威胁源的分布,如入侵者、内部人员、自然灾害等;确定其实施的可能性;分析威胁发生后,资产的价值损失、敏感性和严重性,确定相应级别;确定最敏感、最重要资产在威胁发生后的损失。
③了解系统的脆弱性分布。
④明晰组织的安全需求,指导建立安全管理框架,合理规划安全建设计划。
信息系统安全风险评估应选择恰当的时机。
信息系统安全风险评估是信息系统每个生命周期的起点和动因。
具体地说,应当在下面的一些时机进行:①要设计规划或升级到新的信息系统时;②给目前的信息系统增加新的应用或新的扩充(包括进行互联)时;③发生一次安全事件后;④组织具有结构性变动时;⑤按照规定或某些特殊要求对信息系统的安全进行评估时。
信息系统安全风险评估的准则有:①规范性原则,具有三层含义:1)评估方案和实施,要根据有关标准进行。
2)选择的评估部门需要被国家认可,并具有一定等级的资质。
3)评估过程和文档要规范。
②整体性原则,评估要从业务的整体需求出发,不能局限于某些局部。
③最小影响原则,具有两层含义:1)评估要有充分的计划性,不对系统运行产生显著影响。
2)所使用的评估工具要经过多次使用考验,具有很好的可控性。
④保密性原则,具有三层含义:1)对评估数据严格保密。
2)不得泄露参评人员资料。
3)不得使用评估数据对被评方造成利益损失。
信息系统安全风险评估应采用恰当的模式。
安全风险评估模式是进行安全风险评估时应当遵循的操作过程和方式。
以下是几种常用的风险评估模式。
①基线评估。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
这种评估模式需要的资源少,评估周期短,操作简单,是最经济有效的风险评估模式。
但是,基线水平的高低确定困难。
②详细评估。
详细评估要求对信息系统中的所有资源都进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。
这种评估模式集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
但是,这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入,最后获得的结果有可能有一定的时间滞后。
③组合评估。
组合评估是上述两种模式的结合。
它首先对所有信息系统进行一次较高级别的安全分析,并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。
然后对非常重要业务或面临严重风险的部分进行详细评估分析,对其他部分进行基线评估分析。
这种评估模式注意了耗费与效率之间的平衡,还注意了高风险系统的安全防范。
3.信息安全道德规范。
信息系统作为信息技术的一种应用形式,它所涉及的道德问题主要包括隐私问题、正确性问题、产权问题和存取权问题。
(1)隐私问题。
信息技术强大的信息搜集能力为组织提供全方位服务的同时,应该考虑信息收集对人的隐私权的尊重。
(2)正确性问题。
正确性问题是指关于谁有责任保证信息的权威性、可信性和正确性,以及谁来统计和解决错误等问题。
(3)产权问题。
产权问题主要涉及谁拥有信息,什么是信息交换的公平价值,谁拥有传输信息的渠道,如何分配这些稀有的资源等问题。
(4)存取权问题。
存取权问题应该规定什么人对什么信息有特权取得,在什么条件下有什么安全保障。
一些在国际上有影响力的组织推出的关于企业的道德标准值得学习和借鉴。
下面以数据处理管理联盟(Data Processing Managemengt Association,DPMA)的标准为例说明。
DPMA 专业标准包括针对业主、针对社会的和针对专业的内容。