参考答案

信息系统控制的措施和方法分为两大类:一般控制和应用控制。
一般控制,也称为总体控制,从总体上确保企业对其信息系统控制的有效性。具体包括:
①人员控制。涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。如:对重要岗位员工进行信息系统安全保密培训,并签署安全保密协议。
②逻辑访问控制。逻辑访问控制对未经授权的访问提供安全防范。如:要求访问者拥有合适的登录口令和文件访问权限。
③设备控制。设备控制是对计算机设备进行物理保护。将新增、报废、流转的设备建档登记、统一管理。如:机房使用门禁系统、安装摄像头、雇佣保安等。
④业务连续性。业务连续性是指企业在信息系统支持中断的情况下继续经营能力以及发生灾难性事件情况下的生存能力。通过灾难备份和灾难恢复以确保业务的连续性。灾难备份是指为了减少灾难发生时或发生后造成的损失而采取的各种防范措施,如:本地备份异地保存。灾难恢复是指在发生计算机系统灾难后,在远离灾难现场的地方重新组织系统运行和恢复营业的过程。
应用控制,也称为具体控制,应用控制与管理政策配合,可以弥补一般控制的某些不足。具体包括:
①输入控制。输入控制是确保只有完整、准确、合法的数据才能被录入或修改。
②过程控制。过程控制是处理、操作、完成正确的任务。
③输出控制。输出控制确保输入和处理活动已经被执行,而且处理结果是所期望的结果。信息技术控制包括软件控制和网络控制两大类。软件控制的主要措施是使用正版软件。
最常用的网络控制方式有:
①防火墙。它包括相应的硬件和软件,存在于企业内部网和公共网络之间。
②数据加密。数据在传输前被转化成非可读格式,在传输后重新转换回来。
③授权。客户通过身份和密码进行注册。
④病毒防护。病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。