【正文】 件升級）需要遵循與新系統(tǒng)開發(fā)項目同樣的驗證和測試程序。 ? （ 3）安全管理。企業(yè)可參考第四節(jié)中提出的各種系統(tǒng)控制措施以實施安全管理，確保系統(tǒng)不會受到不必要的干擾。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制 ? 系統(tǒng)和數(shù)據(jù)很容易因以下的原因受到損失，即人為錯誤、蓄意的欺騙行為、技術(shù)性錯誤（如硬件或軟件故障）和自然災(zāi)害（如火災(zāi)、水災(zāi)、爆炸和閃電）。因此，信息安全非常重要。 ? 預(yù)測性 確定可能的問題并提出適當?shù)目刂啤? 預(yù)防性 將發(fā)生風(fēng)險的可能降至最低。 偵察性 日志能夠保存那些未經(jīng)授權(quán)的訪問記錄。 矯正性 對未經(jīng)授權(quán)的訪問造成的后果提出修正的方法。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制 ? 一般控制：從 總體 上確保企業(yè)對 其信息系控制的有效性。 （ 1）人員控制； （ 2）邏輯訪問控制； （ 3）設(shè)備控制； （ 4）業(yè)務(wù)連續(xù)性。 應(yīng)用控制：應(yīng)用控制與管理政策 配合，對程序和輸入、處理和輸 出數(shù)據(jù)進行適當?shù)目刂疲梢詮? 補一般控制的某些不足。 （ 1） 輸入控制； （ 2） 過程控制； （ 3） 輸出控制。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制 ? 最常用的網(wǎng)絡(luò)控制方式有： 防火墻 它包括相應(yīng)的硬件和軟件，存在于企業(yè)內(nèi)部網(wǎng)和公 共網(wǎng)絡(luò)之間。 數(shù)據(jù)加密 數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式，在傳輸后重新 轉(zhuǎn)換回來。 授權(quán) 客戶通過身份和密碼進行注冊。 病毒防護 病毒是一種計算機程序，它能夠自我復(fù)制，并在被 感染的計算機之間傳播。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制 ? 【 例題 1 單選題 】 蘇州某民營企業(yè)擁有多家休閑服銷售連鎖店。為防止員工在銷售過程中未經(jīng)允許給予顧客超出 5%的價格折扣，該企業(yè)在電子付款系統(tǒng)中設(shè)置輸入控制，檢查售貨員輸入的價格折扣，確認在折扣允許限度內(nèi)才可以進行交易，并打印發(fā)票。這種控制的類別是（ ）。（ 2022年） 【 答案 】 D 【 解析 】 應(yīng)用控制對程序和輸入、處理和輸出數(shù)據(jù)進行適當?shù)目刂?。因此，輸入控制屬于?yīng)用控制。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制 ? 【 例題 2 單選題 】 將發(fā)生風(fēng)險的可能降至最低是信息安全控制（ ）的要求。 ? 【 答案 】 B ? 【 解析 】 信息安全控制的預(yù)防性要求將發(fā)生風(fēng)險的可能降至最低。 ? 【 例題 3 單選題 】 確定可能的問題并提出適當?shù)目刂剖切畔踩刂疲? ）的要求。 ? 【 答案 】 A ? 【 解析 】 信息安全控制的預(yù)測性要求確定可能的問題并提出適當?shù)目刂啤? 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制 ? 【 例題 5 多選題 】 下列選項中，屬于最常見的網(wǎng)絡(luò)控制的有（ ）。 D.病毒防護 ? 【 答案 】 ABCD ? 【 解析 】 最常見的網(wǎng)絡(luò)控制有：防火墻、數(shù)據(jù)加密、授權(quán)和病毒防護四種措施。 十三、信息技術(shù)支持服務(wù) ? 信息技術(shù)部門的規(guī)模和結(jié)構(gòu)取決于公司的規(guī)模、信息需求和對信息技術(shù)的需求程度、以及其信息技術(shù)系統(tǒng)是內(nèi)部供應(yīng)還是外包。 信息中心執(zhí) 行某些或以 下所有職能 滿足企業(yè)的 信息系統(tǒng)戰(zhàn) 略、信息技 術(shù)戰(zhàn)略和信 息管理戰(zhàn)略。 （ 1）服務(wù)臺以應(yīng)用軟件解決用戶的問題，包括應(yīng)用遠程診斷軟件，為用戶提供相關(guān)技術(shù)進展； （ 2）在硬件和軟件購買決策上提供建議，并為系統(tǒng)一體化的標準提供建議，特別是應(yīng)用企業(yè)資源計劃系統(tǒng)、戰(zhàn)略性企業(yè)管理、決策支持系統(tǒng)和經(jīng)理信息系統(tǒng)； （ 3）為應(yīng)用開發(fā)提供建議，無論是內(nèi)部還是使用外包承包商，包括與系統(tǒng)開發(fā)過程相關(guān)的建議； （ 4）監(jiān)測網(wǎng)絡(luò)中央處理器和硬盤存儲的使用情況，以保障有足夠的能力進行日常數(shù)據(jù)的備份； （ 5）維護企業(yè)數(shù)據(jù)庫； （ 6）系統(tǒng)維護和測試，用戶培訓(xùn)和系統(tǒng)地存儲用戶文檔； （ 7）維護信息技術(shù)安全。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫 ? 信息技術(shù)基礎(chǔ)設(shè)施庫通過規(guī)劃指導(dǎo)商業(yè)用戶，以商業(yè)需求來提供和管理信息技術(shù)服務(wù)的質(zhì)欲。信息技術(shù)基礎(chǔ)設(shè)施庫協(xié)助企業(yè)調(diào)整其信息技術(shù)服務(wù)。它包括十個流程和一項功能‘其中有瓦個流程目標在于服務(wù)支持，五個流程側(cè)重于提供服務(wù)，服務(wù)臺的功能是對所有十個流程的功能接口提供從客戶到信息技術(shù)的單點聯(lián)系。這五個服務(wù)支持流程和目標包括： – (l）配置管理。 ? 在所有信息技術(shù)組建中識別記錄和報告。 – (2）事件管理。 ? 在事故發(fā)生時．以最快的時間恢復(fù)正常的服務(wù)操作，減少對業(yè)務(wù)運作的不利影響。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫 ? ( 3 ）變更管理。 – 高效快速地處理所有變更需要標準的方法和程序步驟，以減小因變更有關(guān)的事件造成的形響．從而改進正常操作。例如，企業(yè)可以建立軟件和硬件資料庫．并制定變更管理流程．使日常信息系統(tǒng)變更符合指定的程序和步驟。 ? ( 4 ）問題管理。 – 減小因信息技術(shù)基礎(chǔ)設(shè)施故障對商業(yè)造成的負面影響，防止與之相關(guān)的錯誤再次發(fā)生。問題管理的目的是找出根本的原因并采取行動消除這個錯誤。 ? 例如．企業(yè)可以利用知識庫來吸收事故排除經(jīng)驗。當小故垂復(fù)發(fā)生時，知識庫能夠提供直接的解決方案，從而減少恢復(fù)正常運作的時問。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫 ? ( 5）發(fā)布管理。 – 保證所有方血一起發(fā)布，無論技術(shù)和非技術(shù)．都需要考慮。而五個提供服務(wù)的流程和目標是： ? (l）服務(wù)級別管理，通過定期的協(xié)商、監(jiān)督和報告，維護和提高信息技木服務(wù)質(zhì)址，以滿足用戶的商業(yè)日的。 ? (2）可川性管理。優(yōu)化信息技術(shù)基礎(chǔ)設(shè)施、服務(wù)和支持機構(gòu)的能力，提供一個具有成本效益和持續(xù)可川性的服務(wù)和支持．使企業(yè)達到目標。 ? （ 3）能力管理。保證所有目前和將來的能力，并提供符合成本效益的業(yè)績。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫 ? (4）信息技術(shù)服務(wù)持續(xù)性管理保證在要求和協(xié)議規(guī)定的時問內(nèi)。 – 信息技術(shù)服務(wù)和設(shè)施能夠恢復(fù)。這是防止關(guān)鍵服務(wù)缺失的系統(tǒng)方法． ? (5）財務(wù)管理。 – 對能夠提供信息技術(shù)服務(wù)的信息、技術(shù)資產(chǎn)和資源進行有效的管理。服務(wù)臺的功能和目標是為處理事件提供單點聯(lián)系，或提供顧客和業(yè)務(wù)的單點聯(lián)系，從而促進正常的操作服務(wù)的恢復(fù)。