课程资料：13注会战略管理·田明基础班·【038】第三章 战略选择(17)(3)

第三章战略选择
七、信息战略（★★）
（四）信息技术与信息系统风险控制及其管理
1.信息技术与信息系统相关的风险控制。

（1）信息安全控制从以下四个方面进行界定，以发挥其特性
（2）信息技术/信息系统控制类型
①信息系统控制分为两大类
②信息技术控制
信息技术控制包括软件控制和网络控制两大类。

最常用的网络控制方式有：
（3）岗位分工与授权审批。

适当的岗位分工与授权审批为所有的信息系统或信息技术提供支撑，以确保有关控制能提供控制的有效性和力度。

系统开发和变更过程中不相容岗位(或职责）一般应包括：开发（或变更）立项、审批、编程、测试。

系统访问过程中不相容岗位（或职责）一般包括：申请、审批、操作、监控。

一般来说，企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构）审批通过后，方可实施。

财会部门负责信息系统中各项业务账务处理的准确性和及时性、会计电算化制度的制定、财务系统操作规定等。

【相关链接3】
企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪。

一般而言，信息系统不相容职务涉及的人员可以分为三类：系统开发建设人员、系统管理和维护人员、系统操作使用人员。

开发人员在运行阶段不能操作使用信息系统，否则就可能掌握其中的涉密数据，进行非法利用；系统管理和维护人员担任密码保管、授权、系统变更等关键任务，如果允许其使用信息系统，就可能较为容易地篡改数据，从而达到侵吞财产或滥用计算机信息的目的。

此外，信息系统使用人员也需要区分不同岗位，包括业务数据录入、数据检查、业务批准等，在他们之间也应有必要的相互牵制。

企业应建立用户管理制度，加强对重要业务系统的访问权限管理，避免将不相容职责授予同一用户。

企业应当采用密码控制等技术手段进行用户身份识别。

对于重要的业务系统，应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。

对于发生岗位变化或离岗的用户，用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。

企业应当定期对系统中的账号进行审阅，避免存在授权不当或非授权账号。

对于超级用户，企业应当严格规定其使用条件和操作程序，并对其在系统中的操作全程进行监控或审计。

【例题24·单选题】下列各项关于信息技术和信息系统的相关表述中，属于一般控制的是( )。

（2011年）
A.某金融公司在全国设立多个云计算中心
B.某信贷公司业务部的系统每天自动编制交易清单
C.某大型企业所有员工都拥有唯一的系统识别号，并且与其使用的电脑绑定
D．某航空公司规定所有航空里程／积分转让的受让人自添加受让人之日起60日后在系统中自动更新为有效受让人
【答案】C
【解析】本题考核的是信息系统控制中的一般控制。

信息系统控制分为两大类：一般控制和应用控制。

选项A属于信息技术控制中的软件控制和网络控制；选项B属于应用控制中的输出控制；选项 C属于一般控制中的逻辑访问控制，对未经授权的访问提供了安全防范；选项D属于应用控制中的过程控制。

【例题25·单选题】甲会计师事务所历来特别重视对客户资料的保密，除了要求员工恪守职业道德外，甲会计师事务所还在信息系统中加强了控制和管理。

当甲会计师事务所员工
利用电邮系统与客户沟通时，有关信息与数据在传输前将被转化成非可读格式。

甲会计师事务所电邮系统所实施的控制类别属于( )。

（2010年）
A．输入控制 B．一般控制
C．设备控制 D．网络控制
【答案】D
【解析】网络控制在于防止未经授权的访问，并确保数据的完整性。

最常用的网络控制措施有防火墙、数据加密、授权和病毒维护。

数据加密就是指数据在传输前被转化成非可读格式，在传输后重新转换回来。

所以，选项D正确。

3.信息技术基础设施库。

信息技术基础设施库通过规划指导商业用户，以商业需求来提供和管理信息技术服务的质量。

五个服务支持的流程和目标是:
五个提供服务的流程和目标是:。