【正文】 件升級(jí)）需要遵循與新系統(tǒng)開(kāi)發(fā)項(xiàng)目同樣的驗(yàn)證和測(cè)試程序。 ? （ 3）安全管理。企業(yè)可參考第四節(jié)中提出的各種系統(tǒng)控制措施以實(shí)施安全管理，確保系統(tǒng)不會(huì)受到不必要的干擾。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制 ? 系統(tǒng)和數(shù)據(jù)很容易因以下的原因受到損失，即人為錯(cuò)誤、蓄意的欺騙行為、技術(shù)性錯(cuò)誤（如硬件或軟件故障）和自然災(zāi)害（如火災(zāi)、水災(zāi)、爆炸和閃電）。因此，信息安全非常重要。 ? 預(yù)測(cè)性 確定可能的問(wèn)題并提出適當(dāng)?shù)目刂啤? 預(yù)防性 將發(fā)生風(fēng)險(xiǎn)的可能降至最低。 偵察性 日志能夠保存那些未經(jīng)授權(quán)的訪(fǎng)問(wèn)記錄。 矯正性 對(duì)未經(jīng)授權(quán)的訪(fǎng)問(wèn)造成的后果提出修正的方法。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制 ? 一般控制：從 總體 上確保企業(yè)對(duì) 其信息系控制的有效性。 （ 1）人員控制； （ 2）邏輯訪(fǎng)問(wèn)控制； （ 3）設(shè)備控制； （ 4）業(yè)務(wù)連續(xù)性。 應(yīng)用控制：應(yīng)用控制與管理政策 配合，對(duì)程序和輸入、處理和輸 出數(shù)據(jù)進(jìn)行適當(dāng)?shù)目刂疲梢詮? 補(bǔ)一般控制的某些不足。 （ 1） 輸入控制； （ 2） 過(guò)程控制； （ 3） 輸出控制。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制 ? 最常用的網(wǎng)絡(luò)控制方式有： 防火墻 它包括相應(yīng)的硬件和軟件，存在于企業(yè)內(nèi)部網(wǎng)和公 共網(wǎng)絡(luò)之間。 數(shù)據(jù)加密 數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式，在傳輸后重新 轉(zhuǎn)換回來(lái)。 授權(quán) 客戶(hù)通過(guò)身份和密碼進(jìn)行注冊(cè)。 病毒防護(hù) 病毒是一種計(jì)算機(jī)程序，它能夠自我復(fù)制，并在被 感染的計(jì)算機(jī)之間傳播。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制 ? 【 例題 1 單選題 】 蘇州某民營(yíng)企業(yè)擁有多家休閑服銷(xiāo)售連鎖店。為防止員工在銷(xiāo)售過(guò)程中未經(jīng)允許給予顧客超出 5%的價(jià)格折扣，該企業(yè)在電子付款系統(tǒng)中設(shè)置輸入控制，檢查售貨員輸入的價(jià)格折扣，確認(rèn)在折扣允許限度內(nèi)才可以進(jìn)行交易，并打印發(fā)票。這種控制的類(lèi)別是（ ）。（ 2022年） 【 答案 】 D 【 解析 】 應(yīng)用控制對(duì)程序和輸入、處理和輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)目刂?。因此，輸入控制屬于?yīng)用控制。 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制 ? 【 例題 2 單選題 】 將發(fā)生風(fēng)險(xiǎn)的可能降至最低是信息安全控制（ ）的要求。 ? 【 答案 】 B ? 【 解析 】 信息安全控制的預(yù)防性要求將發(fā)生風(fēng)險(xiǎn)的可能降至最低。 ? 【 例題 3 單選題 】 確定可能的問(wèn)題并提出適當(dāng)?shù)目刂剖切畔踩刂疲? ）的要求。 ? 【 答案 】 A ? 【 解析 】 信息安全控制的預(yù)測(cè)性要求確定可能的問(wèn)題并提出適當(dāng)?shù)目刂啤? 十二、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制 ? 【 例題 5 多選題 】 下列選項(xiàng)中，屬于最常見(jiàn)的網(wǎng)絡(luò)控制的有（ ）。 D.病毒防護(hù) ? 【 答案 】 ABCD ? 【 解析 】 最常見(jiàn)的網(wǎng)絡(luò)控制有：防火墻、數(shù)據(jù)加密、授權(quán)和病毒防護(hù)四種措施。 十三、信息技術(shù)支持服務(wù) ? 信息技術(shù)部門(mén)的規(guī)模和結(jié)構(gòu)取決于公司的規(guī)模、信息需求和對(duì)信息技術(shù)的需求程度、以及其信息技術(shù)系統(tǒng)是內(nèi)部供應(yīng)還是外包。 信息中心執(zhí) 行某些或以 下所有職能 滿(mǎn)足企業(yè)的 信息系統(tǒng)戰(zhàn) 略、信息技 術(shù)戰(zhàn)略和信 息管理戰(zhàn)略。 （ 1）服務(wù)臺(tái)以應(yīng)用軟件解決用戶(hù)的問(wèn)題，包括應(yīng)用遠(yuǎn)程診斷軟件，為用戶(hù)提供相關(guān)技術(shù)進(jìn)展； （ 2）在硬件和軟件購(gòu)買(mǎi)決策上提供建議，并為系統(tǒng)一體化的標(biāo)準(zhǔn)提供建議，特別是應(yīng)用企業(yè)資源計(jì)劃系統(tǒng)、戰(zhàn)略性企業(yè)管理、決策支持系統(tǒng)和經(jīng)理信息系統(tǒng)； （ 3）為應(yīng)用開(kāi)發(fā)提供建議，無(wú)論是內(nèi)部還是使用外包承包商，包括與系統(tǒng)開(kāi)發(fā)過(guò)程相關(guān)的建議； （ 4）監(jiān)測(cè)網(wǎng)絡(luò)中央處理器和硬盤(pán)存儲(chǔ)的使用情況，以保障有足夠的能力進(jìn)行日常數(shù)據(jù)的備份； （ 5）維護(hù)企業(yè)數(shù)據(jù)庫(kù)； （ 6）系統(tǒng)維護(hù)和測(cè)試，用戶(hù)培訓(xùn)和系統(tǒng)地存儲(chǔ)用戶(hù)文檔； （ 7）維護(hù)信息技術(shù)安全。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫(kù) ? 信息技術(shù)基礎(chǔ)設(shè)施庫(kù)通過(guò)規(guī)劃指導(dǎo)商業(yè)用戶(hù)，以商業(yè)需求來(lái)提供和管理信息技術(shù)服務(wù)的質(zhì)欲。信息技術(shù)基礎(chǔ)設(shè)施庫(kù)協(xié)助企業(yè)調(diào)整其信息技術(shù)服務(wù)。它包括十個(gè)流程和一項(xiàng)功能‘其中有瓦個(gè)流程目標(biāo)在于服務(wù)支持，五個(gè)流程側(cè)重于提供服務(wù)，服務(wù)臺(tái)的功能是對(duì)所有十個(gè)流程的功能接口提供從客戶(hù)到信息技術(shù)的單點(diǎn)聯(lián)系。這五個(gè)服務(wù)支持流程和目標(biāo)包括： – (l）配置管理。 ? 在所有信息技術(shù)組建中識(shí)別記錄和報(bào)告。 – (2）事件管理。 ? 在事故發(fā)生時(shí)．以最快的時(shí)間恢復(fù)正常的服務(wù)操作，減少對(duì)業(yè)務(wù)運(yùn)作的不利影響。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫(kù) ? ( 3 ）變更管理。 – 高效快速地處理所有變更需要標(biāo)準(zhǔn)的方法和程序步驟，以減小因變更有關(guān)的事件造成的形響．從而改進(jìn)正常操作。例如，企業(yè)可以建立軟件和硬件資料庫(kù)．并制定變更管理流程．使日常信息系統(tǒng)變更符合指定的程序和步驟。 ? ( 4 ）問(wèn)題管理。 – 減小因信息技術(shù)基礎(chǔ)設(shè)施故障對(duì)商業(yè)造成的負(fù)面影響，防止與之相關(guān)的錯(cuò)誤再次發(fā)生。問(wèn)題管理的目的是找出根本的原因并采取行動(dòng)消除這個(gè)錯(cuò)誤。 ? 例如．企業(yè)可以利用知識(shí)庫(kù)來(lái)吸收事故排除經(jīng)驗(yàn)。當(dāng)小故垂復(fù)發(fā)生時(shí)，知識(shí)庫(kù)能夠提供直接的解決方案，從而減少恢復(fù)正常運(yùn)作的時(shí)問(wèn)。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫(kù) ? ( 5）發(fā)布管理。 – 保證所有方血一起發(fā)布，無(wú)論技術(shù)和非技術(shù)．都需要考慮。而五個(gè)提供服務(wù)的流程和目標(biāo)是： ? (l）服務(wù)級(jí)別管理，通過(guò)定期的協(xié)商、監(jiān)督和報(bào)告，維護(hù)和提高信息技木服務(wù)質(zhì)址，以滿(mǎn)足用戶(hù)的商業(yè)日的。 ? (2）可川性管理。優(yōu)化信息技術(shù)基礎(chǔ)設(shè)施、服務(wù)和支持機(jī)構(gòu)的能力，提供一個(gè)具有成本效益和持續(xù)可川性的服務(wù)和支持．使企業(yè)達(dá)到目標(biāo)。 ? （ 3）能力管理。保證所有目前和將來(lái)的能力，并提供符合成本效益的業(yè)績(jī)。 十四、信息技術(shù)基礎(chǔ)設(shè)施庫(kù) ? (4）信息技術(shù)服務(wù)持續(xù)性管理保證在要求和協(xié)議規(guī)定的時(shí)問(wèn)內(nèi)。 – 信息技術(shù)服務(wù)和設(shè)施能夠恢復(fù)。這是防止關(guān)鍵服務(wù)缺失的系統(tǒng)方法． ? (5）財(cái)務(wù)管理。 – 對(duì)能夠提供信息技術(shù)服務(wù)的信息、技術(shù)資產(chǎn)和資源進(jìn)行有效的管理。服務(wù)臺(tái)的功能和目標(biāo)是為處理事件提供單點(diǎn)聯(lián)系，或提供顧客和業(yè)務(wù)的單點(diǎn)聯(lián)系，從而促進(jìn)正常的操作服務(wù)的恢復(fù)。