十一、信息技术与信息系统相关的风险控制(重点)

　　系统和数据很容易因以下的原因受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此，信息安全非常重要。

　　1.信息安全控制从以下四个方面进行界定

　　2.信息系统中的控制可分为两大类

　　3.网络控制

　　最常用的网络控制方式有：

　　【例题1?单选题】苏州某民营企业拥有多家休闲服销售连锁店。为防止员工在销售过程中未经允许给予顾客超出5%的价格折扣，该企业在电子付款系统中设置输入控制，检查售货员输入的价格折扣，确认在折扣允许限度内才可以进行交易，并打印发票。这种控制的类别是(　)。(2009年)

　　A.过程控制

　　B.一般控制

　　C.逻辑访问控制

　　D.应用控制

　　【答案】D

　　【解析】应用控制对程序和输入、处理和输出数据进行适当的控制。因此，输入控制属于应用控制。

　　【例题2?单选题】将发生风险的可能降至最低是信息安全控制( )的要求。

　　A.预测性 B.预防性 C.侦察性 D.矫正性

　　【答案】B

　　【解析】信息安全控制的预防性要求将发生风险的可能降至最低。

　　【例题3?单选题】确定可能的问题并提出适当的控制是信息安全控制( )的要求。

　　A.预测性 B.预防性 C.侦察性 D.矫正性

　　【答案】A

　　【解析】信息安全控制的预测性要求确定可能的问题并提出适当的控制。

　　【例题4?单选题】从总体上确保企业对其信息系统控制的有效性属于( )。

　　A.一般控制 B.应用控制 C.人员控制 D.过程控制

　　【答案】A

　　【解析】一般控制是指从总体上确保企业对其信息系统控制的有效性。

　　【例题5?多选题】下列选项中，属于最常见的网络控制的有( )。

　　A.防火墙 B.数据加密 C.授权 D.病毒防护

　　【答案】ABCD

　　【解析】最常见的网络控制有：防火墙、数据加密、授权和病毒防护四种措施。