信息系统风险管理
2011-1
清华大学出版社
卢加元
255
随着国民经济和社会信息化进程的加快,信息系统的基础性和全局性作用日益增强,国民经济和社会发展对信息系统的依赖性也越来越大。与此同时,各类计算机犯罪及黑客攻击信息系统的事件屡有发生,其手段也越来越隐蔽和高科技化。信息系统安全正成为一个事关国家政治稳定、社会安定和经济有序运行的全局性问题。与国外发达国家相比,我国信息化的应用以及对信息系统安全的防护能力还处于发展的初级阶段。江民科技公司在2006年12月发布了针对网上银行的病毒调查报告,报告显示,从2004年8月到2006年10月期间,我国感染各类网银木马及其变种的用户数量增长了600倍,用户每月感染病毒及其变种的数量约有160种左右,而且病毒发展正在呈加速上升趋势。2009年7月,中国互联网络信息中心对电子商务、网络支付等交易类应用中的网络信息安全进行了调查,发布的报告指出,半年内有1.95亿网民上网时遇到过病毒和木马的攻击,1.1亿网民遇到过账号或密码被盗的问题,仅有29.2%的网民认为网上交易是安全的。正是由于网络安全存在大量的隐患和许多行业和组织对安全防范的不到位,从而使网民对互联网的信任度下降,进而制约了国内电子商务等交易类应用的发展。可见,信息系统安全已经成为人们普遍关心的话题,如果对此再不加以重视,将会给国家和企业造成重大的危害。面对日益增长的信息系统安全需求,《国家信息化领导小组关于加强信息安全工作的意见》(中办发[2003]27号)明确提出了实行信息安全等级保护,重视信息安全风险工作的要求,使等级保护成为我国信息安全领域的一项基本政策;2005年2月至2005年9月,国信办下发通知《信息安全试点工作方案》,并分别在银行、税务、电力等重要信息系统以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统开展了信息安全风险评估试点工作;2005年12月,公安部《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级要求》、《信息系统安全等级保护基本要求》等文件陆续出台;2006年3月开始实施的公安部、国家保密局、国家密码管理局、国信办等四部委(局办)发布7号文《等级保护管理办法》。这些法规的颁布和实施,充分说明开展信息系统风险的评估、管理与控制等方面的研究不仅必要,而且具有重大的现实意义。本书正是以此为背景,在信息化建设与应用中引入风险管理与控制机制,对信息系统进行全面、有效的风险分析与评估,并采取适当的风险管理与控制措施,旨在为我国各行业和组织信息安全策略的确定、信息系统的建立及安全运行提供依据,为电子商务、电子政务等各类应用的健康发展提供指导。
本书首先介绍了信息系统的相关概念及体系结构,以信息系统风险管理与控制的相关理论作为基础,分析了信息系统的风险及其分布,从信息系统的项目建设过程以及信息系统资源使用过程等方面,对信息系统的风险管理与控制进行了深入的研究。最后结合一个电子政务案例,讨论了信息系统风险管理与控制的具体应用。 本书结构合理,层次清晰,所涵盖的信息系统内容体系完整。本书既可作为信息安全、计算机科学与技术、电子商务、管理科学工程、信息系统与管理、会计(审计)学等专业高年级本科生和研究生教学以及信息化工程技术人员的培训教材,也可作为信息安全公司、it安全咨询顾问、企事业单位高管以及信息管理中心、信息系统审计师以及信息系统工程监理等方面人士的参考用书。
第1章 信息系统概述 1.1信息和信息系统 1.1.1信息的概念及特征 1.1.2信息系统的概念及基本特征 1.2信息系统的软硬件构成 1.2.1信息系统的硬件 1.2.2信息系统的软件 1.3信息系统的网络基础平台 1.3.1典型的网络结构 1.3.2企业组网方式 1.3.3信息系统的应用模式 1.4信息系统的安全 1.4.1信息系统安全的概念 1.4.2信息系统的实体安全 1.4.3信息系统的运行安全 1.4.4信息系统的信息安全 1.5信息系统的组织结构和职责 1.5.1组织结构和职责 1.5.2信息系统对组织结构的影响 1.6信息系统的体系结构 ……第2章 信息系统风险管理与控制的基本理论和方法第3章 信息系统的风险及其分布第4章 信息系统项目的风险管理与控制第5章 信息系统资源的风险管理与控制第6章 信息系统风险管理与控制应用主要参考文献
插图:1)信息具有知识性信息是用于人们消除认识上的不确定性的东西,这也是信息的一个本质特征。如果人们对客观事物不了解,对其缺乏必要的知识,那么就对该事物不清楚,因而对事物的认识就具有不确定性。当人们获得了某种事物的有关信息后,其对此种事物的知识就会增加,对事物的认识也就由不清楚、不确定转向清楚和确定,即信息具有知识的秉性。人们只有借助事物发出的信息,才能获得有关事物的知识,消除对事物认识上的不确定性,改变原来对事物的不知或知之甚少的状态。2)信息是一种资源并具有价值由于信息具有知识的性质,所以它能够成为_种资源。事实上,信息已经成为现代社会生产和生活中一种重要的资源。社会的发展,经济的发展都需要各种信息的支持。一个国家乃至一个企业,如果闭关自守,信息阻塞,就会找不到发展的方向,失去发展的机遇,浪费人力、物力、财力,得不偿失;相反,如果信息灵通,掌握、收集信息及时,就会高瞻远瞩,左右逢源,抓住机遇。另一方面,信息在生产和科学技术的运用过程中,能转化为速度、效益或利润,即信息具有价值。但信息的价值与一般商品的价值是不相同的。一般商品作为一种有形的物品,具有现实的使用价值,而信息是一种无形的商品,因此它的价值也具有一定的特殊性。首先,信息作为一种无形商品,只存在潜在的价值,而不存在现实的使用价值。信息的潜在价值只有通过人们去认识、去开发,才能转变为现实的价值。其次,信息的价值还取决于人们对它的认识和重视的程度,相同的信息会因认识和重视程度的不同而具有不同的价值。其三,信息的价值不完全取决于获取信息所付出的代价,而取决于信息本身的潜在价值及对信息的开发技术和开发能力。3)信息具有无限性和压缩性信息作为一种资源,具有无限性。信息的无限性首先表现在信息的可扩充性上。例如人们对太阳系的认识,对自然界的认识,包括对人类自身的认识等都在不断地加深扩充。信息的无限性还表现在信息的大量性和不断性上。只要人类存在,认识和改造客观世界的社会活动和经济活动就不会停止。在这些活动中:将会不断地产生出新的大量的信息。信息又具有可压缩性,以便于储存。最一般的压缩就是对信息进行加工、整理、概括、归纳、演绎,使之精练而取其精华。4)信息具有时效性信息的时效性指的是信息的效用与信息从发出到使用的时间间隔之间具有的相关关系。这种相关关系表明,时间间隔越短,时效性越强;信息传递的速度越快,时效性越强;信息使用越及时,利用程度越高,时效性越强。因此,为了加强信息的时效性,必须在信息的收集、处理、传递、输出、使用的各个环节上利用最先进的技术和操作工具。信息的时效性代表着信息本身也具有生命周期。信息的生命周期是指信息从产生起到失去保留价值的时间间隔。正因为信息具有生命周期,才可能使人类世界能够容纳下“无限增长”的信息,同时也使人们认识到信息具有新陈代谢的机能,任何存储信息的系统其储存的信息资源需要不断地更新,人的知识也需要不断地更新等。
《信息系统风险管理》:教学目标明确,注重理论与实践的结合;教学方法灵活,培养学生自主学习的能力;教学内容先进,强调计算机在专业中的应用;教学模式完善,提供配套的教学资源解决方案。
