[信息系统风险与内部控制综述.docVIP

信息系统风险与内部控制综述 【摘要】信息系统建设是一个存在风险的过程，因此要对信息系统进行有效的风险管理和内部控制。内部控制的实质是风险管理，风险管理是安全管理的重要组成部分。本文从风险的评估与管理，以及通过建立良好的控制环境实施内部控制来论述。 【关键词】风险管理，风险评估，控制环境，系统维护 Overview of Information system risk and internal control Abstract: Information system construction is a risky process, so the information system for effective risk management and internal control. Internal control is the essence of risk management, risk management is an important part of safety management. This article from the risk assessment and management, and through the establishment of a good control environment to implement internal control to discuss.[ Key Words: Risk management, risk assessment, control environment, system maintenance. 引言 随着信息系统的应用和普及，信息技术帮助企业改善了经营管理，提高了企业的营运效率和信息质量水平。但与此同时，病毒侵袭，计算机舞弊依然存在，信息系统安全问题已经成为企业不得不重视的一大问题，如何对信息系统的风险进行管理与控制也显得极其重要。从控制到风险管理是一个组织在不断变化的环境中所做出的明智选择。没有风险就没有控制，控制只为管理风险而存在，不分析风险而企图实现有效控制是不可能的，内部控制是建立在有效的风险管理上的。 一、对于信息系统风险管理的认识 信息系统的风险控制包括信息的安全，即信息的必威体育官网网址性、完整性和实用性等。由于计算机网络世界的复杂性，信息系统的安全性的攻击无所不在，无孔不入。相应的防范技术有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、病毒检测技术等。我们可以通过建立风险管理信息系统来进行风险管理。风险管理信息系统是管理信息系统中必不可少的系统，管理人员由此认识并处理现实的或者潜在的风险，以抵御风险所产生的不利效应，降低风险成本。数据库是风险管理信息系统的核心，是贮存基本信息的记忆库在选购软件可行性友好的用和界面灵活性综合性风险管理信息系统中人是最重要的，人是提供和解释数据，设计、组建、安排并维修硬件 二、信息系统风险评估 风险评估在信息安全必威体育官网网址体系建设中起着重要作用，是组织内开展基于风险管理的基础，它贯穿信息系统的整个生命周期，是安全策略制定的依据也是按照PDCA改造组织安全必威体育官网网址体系的关键常用的信息系统风险评估方法基线风险评估基线风险评估是指对信息系统实施一些标准的安全防范使其达到一个最基本的安全级别。这种方法直接对安全风险模型中系统资产所面临的威胁、脆弱性及其破坏后造成的影响进行分析，为信息系统建立安全基线或更高一级的安全要求。详细风险评估详细风险评估是对信息系统所有资产进行识别和评估，并对资产所面临的安全威胁和脆弱性进行评估，最后进行综合风险分析。针对高风险实施合适的安全防范措施，并制定出相应的风险控制策略。需要较多的人力、物力、财力和专业技术能力，提炼安全需求需要较长的时间，因此安全需求有可能不满足现在的要求综合风险评估综合风险评估是对所有的信息系统进行一次较高级别的安全分析，要评估每个系统及其流程在整个业务系统中的价值和面临的威胁及脆弱性，最后针对所有业务进行综合风险分析。通过全面的综合分析，可以快速建立单位的安全策略。 ?在经济管理和监督中提高会计信息资料的正确性和可靠性保证生产和经管活动顺利进行保护企业财产的安全完整保证企业既定方针的贯彻执行为审计工作提供良好基础　《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的必威体育官网网址性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对