第五章信息与沟通.pptVIP

二、信息系统的控制点 1．开发与维护 2．访问与变更 3．数据输入与输出 4．文件存储与保管 5．网络安全 (1)信息系统开发的主要风险点及其控制措施 （一）信息系统开发的主要风险点 1．信息系统规划时期的主要风险点 2．信息系统自行开发方式的主要风险点 成本过高、产品不能满足企业需要。 3．其他开发方式的主要风险点 业务外包：外包商选择不当，导致信息泄密、成本增加等 外购：产品不适合企业，供应商的服务能力有限。 （二）信息系统开发的关键控制措施 1．系统规划 2．自行开发 加强信息系统的管控工作 3．其他开发方式的主要控制措施 选择信誉好的外包商或供应商 (2)信息系统运营与维护的主要风险点及其控制措施 （一）日常运行维护的关键控制点和主要控制措施 这一环节的主要风险是： 第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。 第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。 第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。 主要控制措施： 第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。 第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。 第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。 （二）系统变更的关键控制点和主要控制措施 系统变更主要包括硬件的升级扩容、软件的修改与升级等。 这一环节的主要风险是：第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。第二，系统变更后的效果达不到预期目标。 主要控制措施：保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统操作人员不得擅自进行软件的删除、修改、升级、改变软件版本、改变软件系统的环境配置。 (3)安全管理的关键控制点和主要控制措施 这一环节的主要风险是： 第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。 第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段，可能导致舞弊和利用计算机犯罪。 第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。 第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。 主要控制措施： 第一，建立信息系统相关资产的管理制度，保证电子设备的安全。 第二，企业应成立专门的信息系统安全管理机构。企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。 第四，企业应当有效利用IT技术手段，对硬件配置调整、软件参数修改严加控制。——数据加密、授权控制 第五，企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。 第六，企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。——防火墙、病毒防护 第七，企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。 第八，企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度。 系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。 系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。 第九，企业应积极开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改。 (4)系统终结的关键控制点和主要控制措施 系统终结是信息系统生命周期的最后一个阶段，在该阶段信息系统将停止运行。停止运行的原因通常有：企业破产或被兼并、原有信息系统被新的信息系统代替。 这一环节的主要风险是，第一，因经营条件发生剧变，数据可能泄密。第二，信息档案的保管期限不够长。 主要控制措施： 第一，要做好善后工作，不管因何种情况导致系统停止运行，都应将废弃系统中有价值或者涉密的信息进行销毁、转移。 第二，严格按照国家有关法规制度和对电子档案的管理规定（比如审计准则对审计证据保管年限的要求），妥善保管相关信息档案。 信息技术过程控制体系（COBIT） 国际信息系统审计与控制协会（ISACA）提出《信息和相关技术的控制目标》（COBIT）。 COBIT是一个基于IT治理概念的、面向IT建设过程中的IT治理实现指南和审计标准，被认为是COSO框架的补充框架。 COB