返回
信息系统风险与内部控制综述

信息系统风险与内部控制综述

ID:15518201

大小:48.50 KB

页数:10页

时间:2018-08-03

信息系统风险与内部控制综述_第1页
信息系统风险与内部控制综述_第2页
信息系统风险与内部控制综述_第3页
信息系统风险与内部控制综述_第4页
信息系统风险与内部控制综述_第5页
资源描述:

《信息系统风险与内部控制综述》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统风险与内部控制综述【摘要】信息系统建设是一个存在风险的过程,因此要对信息系统进行有效的风险管理和内部控制。内部控制的实质是风险管理,风险管理是安全管理的重要组成部分。本文从风险的评估与管理,以及通过建立良好的控制环境实施内部控制来论述。【关键词】风险管理,风险评估,控制环境,系统维护OverviewofInformationsystemriskandinternalcontrolAbstract:Informationsystemconstructionisariskyprocess,sotheinformationsystemforeffectiverisk

2、managementandinternalcontrol.Internalcontrolistheessenceofriskmanagement,riskmanagementisanimportantpartofsafetymanagement.Thisarticlefromtheriskassessmentandmanagement,andthroughtheestablishmentofagoodcontrolenvironmenttoimplementinternalcontroltodiscuss.[KeyWords:Riskmanagement,riskas

3、sessment,controlenvironment,systemmaintenance.引言随着信息系统的应用和普及,信息技术帮助企业改善了经营管理,提高了企业的营运效率和信息质量水平。但与此同时,病毒侵袭,计算机舞弊依然存在,信息系统安全问题已经成为企业不得不重视的一大问题,如何对信息系统的风险进行管理与控制也显得极其重要。从控制到风险管理是一个组织在不断变化的环境中所做出的明智选择。没有风险就没有控制,控制只为管理风险而存在,不分析风险而企图实现有效控制是不可能的,内部控制是建立在有效的风险管理上的。一、对于信息系统风险管理的认识信息系统的风险控制包括信息的安

4、全,即信息的保密性、完整性和实用性等。由于计算机网络世界的复杂性,信息系统的安全性的攻击无所不在,无孔不入。相应的防范技术有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、病毒检测技术等。我们可以通过建立风险管理信息系统来进行风险管理。风险管理信息系统是管理信息系统中必不可少的系统,管理人员由此认识并处理现实的或者潜在的风险,以抵御风险所产生的不利效应,降低风险成本。风险管理信息系统的组成主要包括数据库,软件,硬件和人事。数据库是风险管理信息系统的核心,是贮存基本信息的记忆库;在选购软件时应考虑其可行性,友好的用和界面,灵活性,综合性等性能;风险管理信

5、息系统中人是最重要的,人是提供和解释数据,设计、组建、安排并维修硬件。二、信息系统风险评估风险评估在信息安全保密体系建设中起着重要作用,是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是按照PDCA改造组织安全保密体系的关键。风险评估的最终目的是控制信息安全风险,所以风险评估的结果,如资产评估、威胁评估和脆弱评估中得到的信息是风险控制的识别和选择的依据。制定风险控制策略要考虑成本、效率、风险等因素,因为风险的控制受时间,技术和社会约束等多种因素的制约,信息安全的动态性致使不可能完全消除未来发生安全事件的风险。风险的控制措施有四种,

6、即风险降低,风险承受,风险规避和风险转移。风险降低通过实现安全措施,把风险降低到一个可接受的级别,风险承受指接受潜在的风险并运行信息系统,风险规避指通过风险的原因或后果来规避风险,风险转移指通过其他措施来补偿损失,如购买保险。常用的信息系统风险评估方法有以下几种:一,基线风险评估。基线风险评估是指对信息系统实施一些标准的安全防范使其达到一个最基本的安全级别。这种方法直接对安全风险模型中系统资产所面临的威胁、脆弱性及其破坏后造成的影响进行分析,为信息系统建立安全基线或更高一级的安全要求。二,详细风险评估。详细风险评估是对信息系统所有资产进行识别和评估,并对资产所面临的安

7、全威胁和脆弱性进行评估,最后进行综合风险分析。针对高风险实施合适的安全防范措施,并制定出相应的风险控制策略。需要较多的人力、物力、财力和专业技术能力,提炼安全需求需要较长的时间,因此安全需求有可能不满足现在的要求。三,综合风险评估。综合风险评估是对所有的信息系统进行一次较高级别的安全分析,要评估每个系统及其流程在整个业务系统中的价值和面临的威胁及脆弱性,最后针对所有业务进行综合风险分析。通过全面的综合分析,可以快速建立单位的安全策略。 三、内部控制含义,组成部分,作用及演变过程内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。