注册会计师

本文主要介绍2012年注册会计师考试战略与风险管理第十二章信息技术管理第四节与信息技术和信息系统相关的风险控制及其管理精选讲义，希望本文能够帮助您更好的全面了解2012年注册会计师考试的相关重点!!  

第四节 与信息技术和信息系统相关的风险控制及其管理

一、信息技术与信息系统相关的凤险控制

系统和数据很容易因以下的原因受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此，信息安全非常重要。为了保护公司的信息资源，需要进行风险评估和控制来减轻这些风险，信息技术行业有许多不同的控制方式。

(一)信息安全控制

安全控制可以从以下四个方面进行界定，以发挥其特性。

1.预测性。确定可能的问题并提出适当的控制。

2.预防性。将发生风险的可能降至最低，例如，防火墙可以防止未经授权的访问。

3.侦察性。日志能够保存那些未经授权的访问记录。

4.矫正性。对未经授权的访问造成的后果提出修正的方法。

(二)信息技术/信息系统控制类型

信息系统中的控制可分为两大类:一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。

1.一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性，防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。

(1)人员控制

涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如，企业应立即停止已离开公司职员所有的访问权限。

(2)逻辑访问控制

逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码，可对密码定义其格式、长度、加密和常规的变化。

(3)设备控制

设备控制是对计算机设备进行物理保护，如把他们锁在一间保护室或保护柜中，并使用报警系统，如果计算机从其位置上发生移动，报警系统将被激活。

(4)业务连续性

在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。

2012年注册会计师考试科目战略与风险管理精讲第九章汇总

2012年注册会计师考试科目战略与风险管理精讲第八章汇总

（责任编辑：xll）

共4页,当前第1页  第一页  前一页  下一页