【正文】 技術(shù)外包的主要缺點是 從長遠的戰(zhàn)略 考慮上來看，這 種成本節(jié)約是短期的。 十一、信息系統(tǒng)開發(fā)框架 ? – 在商業(yè)持續(xù)變化和新興信息技術(shù)的大環(huán)境下，企業(yè)可能需要開發(fā)新的信息系統(tǒng)。 十一、信息系統(tǒng)開發(fā)框架 ? 設(shè)計信息系統(tǒng)的一種方法是利用系統(tǒng)開發(fā)周期，這包括： 可行性研究 通過辨認當前問題確定建立新系統(tǒng)的目標，從技術(shù) 上，可操作性和經(jīng)濟可行性提出解決方案，并明確交 付使用情況、成本和完成時間，以及人員配備、職責 分工等安排。 信息系統(tǒng)測試 與上線計劃 現(xiàn)階段，有關(guān)數(shù)據(jù)安全性和授權(quán)水平需要制定相應(yīng)的 規(guī)則，以進行系統(tǒng)測試。要加強這些方面的管理，企業(yè)可實施不同程度的內(nèi)部控制措施。 ①制定信息系統(tǒng)使用操作程序、信息管理制度以及操作規(guī)范、及時跟蹤；②定期檢查在硬件方面的保養(yǎng)和運營狀況及更換易耗品；③定期審閱系統(tǒng)賬戶，避免授權(quán)不當或存在非授權(quán)賬戶，禁止不相容職務(wù)的用戶賬戶交叉操作；④設(shè)置突發(fā)事件（如系統(tǒng)故障）應(yīng)變機制及配備專業(yè)負責處理。 ? （ 3）安全管理。 ? 預(yù)測性 確定可能的問題并提出適當?shù)目刂啤? 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制 ? 一般控制：從 總體 上確保企業(yè)對 其信息系控制的有效性。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制 ? 最常用的網(wǎng)絡(luò)控制方式有： 防火墻 它包括相應(yīng)的硬件和軟件，存在于企業(yè)內(nèi)部網(wǎng)和公 共網(wǎng)絡(luò)之間。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制 ? 【 例題 1（ 2022年） 【 答案 】 D 【 解析 】 應(yīng)用控制對程序和輸入、處理和輸出數(shù)據(jù)進行適當?shù)目刂啤? ? 【 答案 】 B ? 【 解析 】 信息安全控制的預(yù)防性要求將發(fā)生風險的可能降至最低。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制 ? 【 例題 5 信息中心執(zhí) 行某些或以 下所有職能 滿足企業(yè)的 信息系統(tǒng)戰(zhàn) 略、信息技 術(shù)戰(zhàn)略和信 息管理戰(zhàn)略。它包括十個流程和一項功能‘其中有瓦個流程目標在于服務(wù)支持，五個流程側(cè)重于提供服務(wù)，服務(wù)臺的功能是對所有十個流程的功能接口提供從客戶到信息技術(shù)的單點聯(lián)系。 ? 在事故發(fā)生時．以最快的時間恢復正常的服務(wù)操作，減少對業(yè)務(wù)運作的不利影響。 ? ( 4 ）問題管理。當小故垂復發(fā)生時，知識庫能夠提供直接的解決方案，從而減少恢復正常運作的時問。 ? (2）可川性管理。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫 ? (4）信息技術(shù)服務(wù)持續(xù)性管理保證在要求和協(xié)議規(guī)定的時問內(nèi)。服務(wù)臺的功能和目標是為處理事件提供單點聯(lián)系，或提供顧客和業(yè)務(wù)的單點聯(lián)系，從而促進正常的操作服務(wù)的恢復。這是防止關(guān)鍵服務(wù)缺失的系統(tǒng)方法． ? (5）財務(wù)管理。 ? （ 3）能力管理。 – 保證所有方血一起發(fā)布，無論技術(shù)和非技術(shù)．都需要考慮。問題管理的目的是找出根本的原因并采取行動消除這個錯誤。 – 高效快速地處理所有變更需要標準的方法和程序步驟，以減小因變更有關(guān)的事件造成的形響．從而改進正常操作。 ? 在所有信息技術(shù)組建中識別記錄和報告。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫 ? 信息技術(shù)基礎(chǔ)設(shè)施庫通過規(guī)劃指導商業(yè)用戶，以商業(yè)需求來提供和管理信息技術(shù)服務(wù)的質(zhì)欲。 D.病毒防護 ? 【 答案 】 ABCD ? 【 解析 】 最常見的網(wǎng)絡(luò)控制有：防火墻、數(shù)據(jù)加密、授權(quán)和病毒防護四種措施。 單選題 】 確定可能的問題并提出適當?shù)目刂剖切畔踩刂疲? ）的要求。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制 ? 【 例題 2為防止員工在銷售過程中未經(jīng)允許給予顧客超出 5%的價格折扣，該企業(yè)在電子付款系統(tǒng)中設(shè)置輸入控制，檢查售貨員輸入的價格折扣，確認在折扣允許限度內(nèi)才可以進行交易，并打印發(fā)票。 授權(quán) 客戶通過身份和密碼進行注冊。 應(yīng)用控制：應(yīng)用控制與管理政策 配合，對程序和輸入、處理和輸 出數(shù)據(jù)進行適當?shù)目刂?，可以? 補一般控制的某些不足。 偵察性 日志能夠保存那些未經(jīng)授權(quán)的訪問記錄。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制 ? 系統(tǒng)和數(shù)據(jù)很容易因以下的原因受到損失，即人為錯誤、蓄意的欺騙行為、技術(shù)性錯誤（如硬件或軟件故障）和自然災(zāi)害（如火災(zāi)、水災(zāi)、爆炸和閃電）。①建立嚴格的系統(tǒng)變更申請、審批、執(zhí)行程序。 – （ 1）日常運行維護。 實施后的 復核 （ 1）確定新系統(tǒng)是否滿足用戶的需要； （ 2）與系統(tǒng)規(guī)范相比，評價系統(tǒng)的實際績效； （ 3）提出改進意見； （ 4）確定系統(tǒng)實施的管理質(zhì)量和以后的項目值得學習的地方； （ 5）對系統(tǒng)開發(fā)程序提出改進建議； （ 6）比較實際成本和項目預(yù)算費用，確定是否已取得效益。 系統(tǒng)設(shè)計 一個可行的設(shè)計包括源數(shù)據(jù)，輸入布局、文件結(jié)構(gòu)與 其他系統(tǒng)的接口等。 – 根據(jù) 《 企業(yè)內(nèi)部控制應(yīng)用指引第 18號 ― 信息系統(tǒng) 》 規(guī)定，企業(yè)如果選定外購調(diào)試或業(yè)務(wù)外包方式進行開發(fā)活動，應(yīng)當采用公開招標等形式擇優(yōu)確定供應(yīng)商或開發(fā)單位。雖然在很多情況下企業(yè)與外包服務(wù)商會有一個服務(wù)級別協(xié)議，但要在協(xié)議上明確每一方的義務(wù)是難以實現(xiàn)的。 ? （了解） 十、信息系統(tǒng)外包與管理 ? 非核心部分和技術(shù)支持活動的外包在企業(yè)中越來越普遍，尤其是在提供信息技術(shù)服務(wù)方面，當把技術(shù)支持工作外包給相關(guān)的專業(yè)公司后，企業(yè)可以集中精力于他們的核心活動。 交易報告 該報告包含了在一段時間內(nèi)所有交易的詳細清單。供應(yīng)商和顧客系統(tǒng)由一種共同的數(shù)據(jù)格式相連，以便顧客的購買定單能被自動轉(zhuǎn)化成銷售商的銷售定單。 電子資金轉(zhuǎn) 賬 （ EFTPOS） 電子資金轉(zhuǎn)賬能使客戶用借記卡或信用卡來支付其購買的 商品。 擴展零售途徑渠道 用戶可以通過互聯(lián)網(wǎng)進行商品的預(yù)訂和購買。 外部網(wǎng) 外聯(lián)網(wǎng)是獲得批準的外部人員使用有效的用戶名和 密碼即可訪問的內(nèi)聯(lián)網(wǎng)，它主要用于商業(yè)伙伴之間 信息的交換。針對以上風險，本章第三節(jié)和第四節(jié)將討論在信息系統(tǒng)開發(fā)、運行和維護階段可實施的主要管控措施。完整、可靠、準確、及時的信息能夠幫助企業(yè)決策者做出正確合理的判斷。 六、信息系統(tǒng)的評價 對信息進行收集、處理、分析和報告可能需要昂貴的成本，必須注意