《企业信息系统风险评估分析2012上半年》由会员分享,可在线阅读,更多相关《企业信息系统风险评估分析2012上半年(3页珍藏版)》请在金锄头文库上搜索。
1、企业信息系统风险评估分析 在加快实现企业信息化建设的过程中,企业越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下,信息系统风险评估走上了风险控制的前台,成为企业信息化项目治理的重要组成部分。 运用先进的评估方法,逐步完善信息系统风险评估的流程,建立风险特征的评估模型,并通过信息系统风险评估的手段,保障信息资产的安全、数据的完整、提高信息系统的效率,可以使企业不断加强信息系统风险管理和内部控制,以适应风险环境日益复杂化的需要,确保信息系统安全、稳定、有效运行。一 信息系统风险分析我们公司信息系统风险分析主要从以下几方面进行:(一)信息系统固有的脆弱性和缺陷;、硬件
2、的脆弱性信息系统硬件组件的安全隐患多数来源于设计,主要表现为物理安全方面的问题。、软件系统的脆弱性软件系统的安全隐患来源于设计和软件工程实施中的遗留问题。、网络和通信协议互联网是一个没有明确物理界限的网际,而tcp/ip协议栈在设计时考虑了互联互通和资源共享的问题,无法兼容解决来自网际的大量安全问题。(二)信息系统应用和管理的问题;、数据完整性较难保证企业规模大,信息系统的结构就会复杂,发生信息错误的机会增多。、职责分离失效信息系统中,业务人员可能一人身兼多个职能,极易出现错弊。、授权管理的问题授权文件或注册系统的密码一旦被冒用或一人掌握多个级别操作密码,权限就会失控。(三)信息系统开发和运行
3、风险;、信息系统缺陷或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。、系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。、系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。(四)公司整合矿井信息系统存在的风险;1、由于煤业公司响应政府号召,在河南许昌、郑州两地整合了几十对小煤矿。所有整合矿井信息系统基本都不完善。管理人员相关较少。对各矿井复工复产后的安全生产带来了隐患。二 信息系统风险控制措施(一)在信息系统固有的脆弱性和缺陷方面公司对信息系统的硬、软件设计严格按要求把关。设备软件在使用前都是通过考察,对设备的评价做以分析
4、,设备软件必须使用正版,并且是有授权厂家供货。坚决杜绝三无产品。(二)在信息系统应用和管理的问题方面公司为了避免发生系统结构复杂,发生信息错误的机会增多。采取了使用统一的系统平台,并且系统设有错误提示,由上级权限进行审核。单位在使用方面还尽量减少一人多职的情况,从而避免会发生信息错误或出现错弊现象。在管理权限方面,每个级别权限只能操作本权限内的业务。由系统管理员严格按程序注册用户,对增加或更改用户,严格按程序及时变更。避免造成一人用多个级别或被冒用现象。(三)在信息系统开发和运行风险方面公司在进行安装一套信息系统前,要严格按设计要求及国家行业标准等相关规定进行审核。考虑一定的冗余度,使用同一系
5、统平台。从而避免规划不合理,造成信息孤岛或重复建设。系统在选购前,严格按内部控制的要求进行授权管理。按照信息技术实施有效控制。(四)近期煤业公司对信息系统存在的风险方面随着公司整合的矿井,陆续进入复工复产阶段。公司先对所有的整合矿井进行了六大系统摸底工作。对查到的不符合要求的信息系统,我们采取了招标更换新系统。对各整合矿井不符合要求的系统进行了整改。并严格按照煤矿安全规程及煤矿紧急避险六大系统的建设标准来对各整合矿井的信息系统进行管理。公司并组织各单位信息化管理人员进行了培训。并通过单位自查,区域公司检查以及煤业公司检查等方式,对各单位的系统定期进行了检查。对发现在隐患,及时按五落实原则进行整改。加大了各单位信息系统的有效管理,降低了风险。
