信息系統(tǒng)風(fēng)險(xiǎn)管理

前言

隨著國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的加快，信息系統(tǒng)的基礎(chǔ)性和全局性作用日益增強(qiáng)，國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)信息系統(tǒng)的依賴性也越來(lái)越大。與此同時(shí)，各類計(jì)算機(jī)犯罪及黑客攻擊信息系統(tǒng)的事件屢有發(fā)生，其手段也越來(lái)越隱蔽和高科技化。信息系統(tǒng)安全正成為一個(gè)事關(guān)國(guó)家政治穩(wěn)定、社會(huì)安定和經(jīng)濟(jì)有序運(yùn)行的全局性問(wèn)題。與國(guó)外發(fā)達(dá)國(guó)家相比，我國(guó)信息化的應(yīng)用以及對(duì)信息系統(tǒng)安全的防護(hù)能力還處于發(fā)展的初級(jí)階段。江民科技公司在2006年12月發(fā)布了針對(duì)網(wǎng)上銀行的病毒調(diào)查報(bào)告，報(bào)告顯示，從2004年8月到2006年10月期間，我國(guó)感染各類網(wǎng)銀木馬及其變種的用戶數(shù)量增長(zhǎng)了600倍，用戶每月感染病毒及其變種的數(shù)量約有160種左右，而且病毒發(fā)展正在呈加速上升趨勢(shì)。2009年7月，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心對(duì)電子商務(wù)、網(wǎng)絡(luò)支付等交易類應(yīng)用中的網(wǎng)絡(luò)信息安全進(jìn)行了調(diào)查，發(fā)布的報(bào)告指出，半年內(nèi)有1.95億網(wǎng)民上網(wǎng)時(shí)遇到過(guò)病毒和木馬的攻擊，1.1億網(wǎng)民遇到過(guò)賬號(hào)或密碼被盜的問(wèn)題，僅有29.2％的網(wǎng)民認(rèn)為網(wǎng)上交易是安全的。正是由于網(wǎng)絡(luò)安全存在大量的隱患和許多行業(yè)和組織對(duì)安全防范的不到位，從而使網(wǎng)民對(duì)互聯(lián)網(wǎng)的信任度下降，進(jìn)而制約了國(guó)內(nèi)電子商務(wù)等交易類應(yīng)用的發(fā)展?？梢?，信息系統(tǒng)安全已經(jīng)成為人們普遍關(guān)心的話題，如果對(duì)此再不加以重視，將會(huì)給國(guó)家和企業(yè)造成重大的危害。面對(duì)日益增長(zhǎng)的信息系統(tǒng)安全需求，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全工作的意見》（中辦發(fā)[2003]27號(hào)）明確提出了實(shí)行信息安全等級(jí)保護(hù)，重視信息安全風(fēng)險(xiǎn)工作的要求，使等級(jí)保護(hù)成為我國(guó)信息安全領(lǐng)域的一項(xiàng)基本政策；2005年2月至2005年9月，國(guó)信辦下發(fā)通知《信息安全試點(diǎn)工作方案》，并分別在銀行、稅務(wù)、電力等重要信息系統(tǒng)以及北京市、上海市、黑龍江省、云南省等地方的電子政務(wù)系統(tǒng)開展了信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作；2005年12月，公安部《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等文件陸續(xù)出臺(tái)；2006年3月開始實(shí)施的公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦等四部委（局辦）發(fā)布7號(hào)文《等級(jí)保護(hù)管理辦法》。這些法規(guī)的頒布和實(shí)施，充分說(shuō)明開展信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)估、管理與控制等方面的研究不僅必要，而且具有重大的現(xiàn)實(shí)意義。本書正是以此為背景，在信息化建設(shè)與應(yīng)用中引入風(fēng)險(xiǎn)管理與控制機(jī)制，對(duì)信息系統(tǒng)進(jìn)行全面、有效的風(fēng)險(xiǎn)分析與評(píng)估，并采取適當(dāng)?shù)娘L(fēng)險(xiǎn)管理與控制措施，旨在為我國(guó)各行業(yè)和組織信息安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)，為電子商務(wù)、電子政務(wù)等各類應(yīng)用的健康發(fā)展提供指導(dǎo)。

內(nèi)容概要

本書首先介紹了信息系統(tǒng)的相關(guān)概念及體系結(jié)構(gòu)，以信息系統(tǒng)風(fēng)險(xiǎn)管理與控制的相關(guān)理論作為基礎(chǔ)，分析了信息系統(tǒng)的風(fēng)險(xiǎn)及其分布，從信息系統(tǒng)的項(xiàng)目建設(shè)過(guò)程以及信息系統(tǒng)資源使用過(guò)程等方面，對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)管理與控制進(jìn)行了深入的研究。最后結(jié)合一個(gè)電子政務(wù)案例，討論了信息系統(tǒng)風(fēng)險(xiǎn)管理與控制的具體應(yīng)用。　　本書結(jié)構(gòu)合理，層次清晰，所涵蓋的信息系統(tǒng)內(nèi)容體系完整。本書既可作為信息安全、計(jì)算機(jī)科學(xué)與技術(shù)、電子商務(wù)、管理科學(xué)工程、信息系統(tǒng)與管理、會(huì)計(jì)（審計(jì)）學(xué)等專業(yè)高年級(jí)本科生和研究生教學(xué)以及信息化工程技術(shù)人員的培訓(xùn)教材，也可作為信息安全公司、it安全咨詢顧問(wèn)、企事業(yè)單位高管以及信息管理中心、信息系統(tǒng)審計(jì)師以及信息系統(tǒng)工程監(jiān)理等方面人士的參考用書。

書籍目錄

第1章 信息系統(tǒng)概述 　1.1信息和信息系統(tǒng) 　　1.1.1信息的概念及特征 　　1.1.2信息系統(tǒng)的概念及基本特征 　1.2信息系統(tǒng)的軟硬件構(gòu)成 　　1.2.1信息系統(tǒng)的硬件 　　　1.2.2信息系統(tǒng)的軟件 　1.3信息系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)平臺(tái) 　　1.3.1典型的網(wǎng)絡(luò)結(jié)構(gòu) 　　1.3.2企業(yè)組網(wǎng)方式 　　　1.3.3信息系統(tǒng)的應(yīng)用模式 　1.4信息系統(tǒng)的安全 　　1.4.1信息系統(tǒng)安全的概念 　　1.4.2信息系統(tǒng)的實(shí)體安全 　　1.4.3信息系統(tǒng)的運(yùn)行安全 　　1.4.4信息系統(tǒng)的信息安全 　1.5信息系統(tǒng)的組織結(jié)構(gòu)和職責(zé) 　　1.5.1組織結(jié)構(gòu)和職責(zé) 　　1.5.2信息系統(tǒng)對(duì)組織結(jié)構(gòu)的影響 　1.6信息系統(tǒng)的體系結(jié)構(gòu) 　　……第2章　信息系統(tǒng)風(fēng)險(xiǎn)管理與控制的基本理論和方法第3章　信息系統(tǒng)的風(fēng)險(xiǎn)及其分布第4章　信息系統(tǒng)項(xiàng)目的風(fēng)險(xiǎn)管理與控制第5章　信息系統(tǒng)資源的風(fēng)險(xiǎn)管理與控制第6章　信息系統(tǒng)風(fēng)險(xiǎn)管理與控制應(yīng)用主要參考文獻(xiàn)

章節(jié)摘錄

插圖：1）信息具有知識(shí)性信息是用于人們消除認(rèn)識(shí)上的不確定性的東西，這也是信息的一個(gè)本質(zhì)特征。如果人們對(duì)客觀事物不了解，對(duì)其缺乏必要的知識(shí)，那么就對(duì)該事物不清楚，因而對(duì)事物的認(rèn)識(shí)就具有不確定性。當(dāng)人們獲得了某種事物的有關(guān)信息后，其對(duì)此種事物的知識(shí)就會(huì)增加，對(duì)事物的認(rèn)識(shí)也就由不清楚、不確定轉(zhuǎn)向清楚和確定，即信息具有知識(shí)的秉性。人們只有借助事物發(fā)出的信息，才能獲得有關(guān)事物的知識(shí)，消除對(duì)事物認(rèn)識(shí)上的不確定性，改變?cè)瓉?lái)對(duì)事物的不知或知之甚少的狀態(tài)。2）信息是一種資源并具有價(jià)值由于信息具有知識(shí)的性質(zhì)，所以它能夠成為_種資源。事實(shí)上，信息已經(jīng)成為現(xiàn)代社會(huì)生產(chǎn)和生活中一種重要的資源。社會(huì)的發(fā)展，經(jīng)濟(jì)的發(fā)展都需要各種信息的支持。一個(gè)國(guó)家乃至一個(gè)企業(yè)，如果閉關(guān)自守，信息阻塞，就會(huì)找不到發(fā)展的方向，失去發(fā)展的機(jī)遇，浪費(fèi)人力、物力、財(cái)力，得不償失；相反，如果信息靈通，掌握、收集信息及時(shí)，就會(huì)高瞻遠(yuǎn)矚，左右逢源，抓住機(jī)遇。另一方面，信息在生產(chǎn)和科學(xué)技術(shù)的運(yùn)用過(guò)程中，能轉(zhuǎn)化為速度、效益或利潤(rùn)，即信息具有價(jià)值。但信息的價(jià)值與一般商品的價(jià)值是不相同的。一般商品作為一種有形的物品，具有現(xiàn)實(shí)的使用價(jià)值，而信息是一種無(wú)形的商品，因此它的價(jià)值也具有一定的特殊性。首先，信息作為一種無(wú)形商品，只存在潛在的價(jià)值，而不存在現(xiàn)實(shí)的使用價(jià)值。信息的潛在價(jià)值只有通過(guò)人們?nèi)フJ(rèn)識(shí)、去開發(fā)，才能轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)的價(jià)值。其次，信息的價(jià)值還取決于人們對(duì)它的認(rèn)識(shí)和重視的程度，相同的信息會(huì)因認(rèn)識(shí)和重視程度的不同而具有不同的價(jià)值。其三，信息的價(jià)值不完全取決于獲取信息所付出的代價(jià)，而取決于信息本身的潛在價(jià)值及對(duì)信息的開發(fā)技術(shù)和開發(fā)能力。3）信息具有無(wú)限性和壓縮性信息作為一種資源，具有無(wú)限性。信息的無(wú)限性首先表現(xiàn)在信息的可擴(kuò)充性上。例如人們對(duì)太陽(yáng)系的認(rèn)識(shí)，對(duì)自然界的認(rèn)識(shí)，包括對(duì)人類自身的認(rèn)識(shí)等都在不斷地加深擴(kuò)充。信息的無(wú)限性還表現(xiàn)在信息的大量性和不斷性上。只要人類存在，認(rèn)識(shí)和改造客觀世界的社會(huì)活動(dòng)和經(jīng)濟(jì)活動(dòng)就不會(huì)停止。在這些活動(dòng)中：將會(huì)不斷地產(chǎn)生出新的大量的信息。信息又具有可壓縮性，以便于儲(chǔ)存。最一般的壓縮就是對(duì)信息進(jìn)行加工、整理、概括、歸納、演繹，使之精練而取其精華。4）信息具有時(shí)效性信息的時(shí)效性指的是信息的效用與信息從發(fā)出到使用的時(shí)間間隔之間具有的相關(guān)關(guān)系。這種相關(guān)關(guān)系表明，時(shí)間間隔越短，時(shí)效性越強(qiáng)；信息傳遞的速度越快，時(shí)效性越強(qiáng)；信息使用越及時(shí)，利用程度越高，時(shí)效性越強(qiáng)。因此，為了加強(qiáng)信息的時(shí)效性，必須在信息的收集、處理、傳遞、輸出、使用的各個(gè)環(huán)節(jié)上利用最先進(jìn)的技術(shù)和操作工具。信息的時(shí)效性代表著信息本身也具有生命周期。信息的生命周期是指信息從產(chǎn)生起到失去保留價(jià)值的時(shí)間間隔。正因?yàn)樾畔⒕哂猩芷?，才可能使人類世界能夠容納下“無(wú)限增長(zhǎng)”的信息，同時(shí)也使人們認(rèn)識(shí)到信息具有新陳代謝的機(jī)能，任何存儲(chǔ)信息的系統(tǒng)其儲(chǔ)存的信息資源需要不斷地更新，人的知識(shí)也需要不斷地更新等。

編輯推薦

《信息系統(tǒng)風(fēng)險(xiǎn)管理》：教學(xué)目標(biāo)明確，注重理論與實(shí)踐的結(jié)合；教學(xué)方法靈活，培養(yǎng)學(xué)生自主學(xué)習(xí)的能力；教學(xué)內(nèi)容先進(jìn)，強(qiáng)調(diào)計(jì)算機(jī)在專業(yè)中的應(yīng)用；教學(xué)模式完善，提供配套的教學(xué)資源解決方案。

圖書封面

評(píng)論、評(píng)分、閱讀與下載

---

    信息系統(tǒng)風(fēng)險(xiǎn)管理 PDF格式下載

---