您的位置:軟件測(cè)試 > 軟件項(xiàng)目管理 > 風(fēng)險(xiǎn)管理 >
IT風(fēng)險(xiǎn)管理研究框架
作者:網(wǎng)絡(luò)轉(zhuǎn)載 發(fā)布時(shí)間:[ 2013/6/21 16:02:18 ] 推薦標(biāo)簽:

一般控制

一般控制是保證計(jì)算機(jī)信息系統(tǒng)能夠以持續(xù)、正確的方式運(yùn)行的政策與程序,包括數(shù)據(jù)中心運(yùn)營(yíng)、系統(tǒng)軟件獲取與維護(hù)、訪(fǎng)問(wèn)安全、應(yīng)用系統(tǒng)開(kāi)發(fā)和維護(hù)等內(nèi)容。一般控制能對(duì)通過(guò)編程實(shí)現(xiàn)的應(yīng)用系統(tǒng)控制機(jī)能提供支持,一般控制有時(shí)也稱(chēng)為一般計(jì)算機(jī)控制和信息技術(shù)控制。一般控制過(guò)程主要包括:

安全管理

應(yīng)用系統(tǒng)變更控制

數(shù)據(jù)管理

災(zāi)難恢復(fù)

數(shù)據(jù)中心運(yùn)營(yíng)

問(wèn)題管理

資產(chǎn)管理

應(yīng)用控制

應(yīng)用控制是為保證業(yè)務(wù)過(guò)程的正常運(yùn)行,而設(shè)計(jì)在應(yīng)用系統(tǒng)中控制措施,以防止和檢測(cè)錯(cuò)誤的和非授權(quán)的交易,保證交易處理的完整性、準(zhǔn)確性、合法性及適當(dāng)授權(quán)。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制:

進(jìn)行計(jì)算時(shí);

實(shí)施數(shù)據(jù)合法性驗(yàn)證和編輯檢查時(shí);

與其他系統(tǒng)有數(shù)據(jù)接口時(shí);

管理層需要依靠應(yīng)用系統(tǒng)進(jìn)行完整、準(zhǔn)確的排序、匯總和報(bào)告關(guān)鍵信息時(shí);

限制對(duì)交易和數(shù)據(jù)訪(fǎng)問(wèn)時(shí)。

IT風(fēng)險(xiǎn)管理的過(guò)程也類(lèi)似于企業(yè)風(fēng)險(xiǎn)的過(guò)程,主要有以下風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)監(jiān)督、風(fēng)險(xiǎn)報(bào)告及改進(jìn)的過(guò)程:

以上三個(gè)層次的IT風(fēng)險(xiǎn)管理,在組織中可以分階段地通過(guò)一個(gè)個(gè)的IT風(fēng)險(xiǎn)控制項(xiàng)目,例如COBIT、ISMS、ITSM、BCP、CMMI等進(jìn)行實(shí)施,也可以選擇其中的某些過(guò)程進(jìn)行整合后實(shí)施。

 對(duì)于所建立IT內(nèi)部控制措施是否能有效地控制風(fēng)險(xiǎn),還需要通過(guò)第三方對(duì)組織內(nèi)部措施的有效性進(jìn)行獨(dú)立審計(jì),出具審計(jì)報(bào)告,以證明內(nèi)部控制措施完備性。

以上過(guò)程是許多上市公司在建立符合薩班斯法要求的IT風(fēng)險(xiǎn)控制框架時(shí)的主要方法,這種方法的主要優(yōu)點(diǎn)是把IT風(fēng)險(xiǎn)放在企業(yè)風(fēng)險(xiǎn)的高度進(jìn)行管理,容易得到管理層的理解與支持,涉及的風(fēng)險(xiǎn)較全面,控制與改進(jìn)的方法較完備。缺點(diǎn)是控制的粒度還較粗,還不能適當(dāng)對(duì)IT進(jìn)行精細(xì)控制的要求。

上一頁(yè)12345678下一頁(yè)
軟件測(cè)試工具 | 聯(lián)系我們 | 投訴建議 | 誠(chéng)聘英才 | 申請(qǐng)使用列表 | 網(wǎng)站地圖
滬ICP備07036474 2003-2017 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd