信息系统风险和内部控制的概述.doc

信息系统风险与内部控制综述 【摘要】信息系统建设是一个存在风险的过程，因此要对信息系统进行有效的风险管理和内部控制。内部控制的实质是风险管理，风险管理是安全管理的重要组成部分。本文从风险的评估与管理，以及通过建立良好的控制环境实施内部控制来论述。 【关键词】风险管理，风险评估，控制环境，系统维护 Overview of Information system risk and internal control Abstract: Information system construction is a risky process, so the information system for effective risk management and internal control. Internal control is the essence of risk management, risk management is an important part of safety management. This article from the risk assessment and management, and through the establishment of a good control environment to implement internal control to discuss.[ Key Words: Risk management, risk assessment, control environment, system maintenance. 引言 随着信息系统的应用和普及，信息技术帮助企业改善了经营管理，提高了企业的营运效率和信息质量水平。但与此同时，病毒侵袭，计算机舞弊依然存在，信息系统安全问题已经成为企业不得不重视的一大问题，如何对信息系统的风险进行管理与控制也显得极其重要。从控制到风险管理是一个组织在不断变化的环境中所做出的明智选择。没有风险就没有控制，控制只为管理风险而存在，不分析风险而企图实现有效控制是不可能的，内部控制是建立在有效的风险管理上的。 一、对于信息系统风险管理的认识 信息系统的风险控制包括信息的安全，即信息的保密性、完整性和实用性等。由于计算机网络世界的复杂性，信息系统的安全性的攻击无所不在，无孔不入。相应的防范技术有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、病毒检测技术等。我们可以通过建立风险管理信息系统来进行风险管理。风险管理信息系统是管理信息系统中必不可少的系统，管理人员由此认识并处理现实的或者潜在的风险，以抵御风险所产生的不利效应，降低风险成本。风险管理信息系统的组成主要包括数据库，软件，硬件和人事。数据库是风险管理信息系统的核心，是贮存基本信息的记忆库；在选购软件时应考虑其可行性，友好的用和界面，灵活性，综合性等性能；风险管理信息系统中人是最重要的，人是提供和解释数据，设计、组建、安排并维修硬件。 二、信息系统风险评估 风险评估在信息安全保密体系建设中起着重要作用，是组织内开展基于风险管理的基础，它贯穿信息系统的整个生命周期，是安全策略制定的依据，也是按照PDCA改造组织安全保密体系的关键。风险评估的最终目的是控制信息安全风险，所以风险评估的结果，如资产评估、威胁评估和脆弱评估中得到的信息是风险控制的识别和选择的依据。 制定风险控制策略要考虑成本、效率、风险等因素，因为风险的控制受时间，技术和社会约束等多种因素的制约，信息安全的动态性致使不可能完全消除未来发生安全事件的风险。风险的控制措施有四种，即风险降低，风险承受，风险规避和风险转移。风险降低通过实现安全措施，把风险降低到一个可接受的级别，风险承受指接受潜在的风险并运行信息系统，风险规避指通过风险的原因或后果来规避风险，风险转移指通过其他措施来补偿损失，如购买保险。常用的信息系统风险评估方法有以下几种：一，基线风险评估。基线风险评估是指对信息系统实施一些标准的安全防范使其达到一个最基本的安全级别。这种方法直接对安全风险模型中系统资产所面临的威胁、脆弱性及其破坏后造成的影响进行分析，为信息系统建立安全基线或更高一级的安全要求。二，详细风险评估。详细风险评估是对信息系统所有资产进行识别和评估，并对资产所面临的安全威胁和脆弱性进行评估，最后进行综合风险分析。针对高风险实施合适的安全防范措施，并制定出相应的风险控制策略。需要较多的人力、物力、财力和专业技术能力，提炼安全需求需要较长的时间，因此安全需求有可能不满足现在的要求。三，综合风险评估。综合风险评估是对所有的信息系统进行一次较高级别的安全分析，要评估每个系