BUSINESS BOOKS

8.3　建立安全和控制基本結構

除非知道問題在哪裡以及知道如何抵禦，否則，即使有最好的安全工具，你的信息系統也不會可靠和安全。人們必須要知道公司哪裡存在危險，以及用什麼控制方法來保護你的信息系統。如果你的信息系統不起作用，你還需要建立一種安全措施和計劃，來維持你的商業運營。

8.3.1　信息系統控制

信息系統控制是手工的也是自動化的，由一般性控制 （general controls）和應用性控制 （application controls）構成。一般性控制管理著設計、安全、應用電腦程序，另外，數據文件的安全性是通過組織的信息技術基礎。總的來說，一般性控制是有硬件和軟件以及產生所有控制環境的手動程序。

一般性控制包括軟件控制、硬件控制、電腦程序控制、數據安全控制、實施系統過程的控制和行政控制。表8-1描述了每一個控制的作用。

表8-1　一般性控制

應用控制是與其他信息化應用不同的特殊控制，例如工資表和訂單處理。它們通過自動和手動的方法來確保只有經過認可的數據才能得到精確地處理。應用控制可以分成輸入控制、過程控制和輸出控制。

當數據被輸入時，輸入控制（input controls）檢查數據的準確性和完整性。對於輸入許可、數據轉換、數據編輯和錯誤處理，有特殊的輸入控制。過程控制通過更新來建立完整和安全的數據。輸入控制確保電腦處理的結果是準確的、完整的、合適分類的。在後面的學習中，你可以找到更多的應用性控制和一般性控制的細節。

8.3.2　風險評估

當公司把資源用於安全和信息系統控制時，需要知道哪個資產需要保護，以及這些資產受影響的程度。風險評估有助於你回答這些問題，做出最具性價比的控制來保護資產。

如果特殊的功能或程序沒有控制好，風險評估 （risk assessment）能確定這種風險的等級。不是所有的風險都可以得到預計和測量。但是大部分公司能夠獲得其所面臨風險的認識。和信息系統專家合作的公司管理者應當試著決定信息資產的價值、問題可能發生的頻率，以及潛在的危害。例如一個事件一年發生的次數不會超過一次，對組織造成的損失最多也不超過一萬美元，在這種情況下，就沒必要花兩萬美元來設計和維持這種控制以防止這個事件發生。然而如果相同的事一天最少會發生一次，並且會造成一年30萬美元的損失，那麼在控制上面花費10萬美元是完全合適的。

表8-2闡述了為一個在線命令處理系統進行風險評估結果的例子，該系統每天處理30000個命令。每個危害在一年內發生的可能性用百分比來表示。損失範圍說明了每次這些危害發生時預計產生的最高損失和最低損失，以及把最高損失和最低損失相加除以2所得到的最低損失（表8-2中括號裡的數字）。每種危害產生的年預計損失可以用平均損失乘以它的發生概率計算。

表　8-2

表8-2的風險評估表明，電源故障在一年內發生的可能性為30%，每次發生時造成的訂單交易損失的範圍在5000~200000美元（平均102500美元），而這取決於過程中斷了多久。盜用一年內發生的可能性大概為5%，每次發生時潛在的損失範圍為1000~50000美元（平均25500美元）。用戶錯誤一年內發生的可能性為98%，每次發生造成的損失範圍為200~40000美元（平均20100美元）

一旦風險得到評估，系統構建者就會把精力放在最脆弱的和潛在危害最大的控制點上。在這種情況下，控制必須專注於電源故障和用戶錯誤，因為它們每年預計造成的損失是比較大的。

8.3.3　安全措施

一旦確認了自己系統內最主要的風險，你就要為保護公司財產建立安全措施。安全措施由分類信息風險報表、可接受的安全目標以及達成這些目標的機制構成。什麼是公司最重要的信息財產？已經有哪些安全措施來保護這些信息？對於每種財產，什麼等級的風險管理是可以接受的？例如，你是否願意每十年丟失一次客戶信用數據？或者是否要為信用卡數據建立可以經受百年一遇災難的安全系統？管理層必須估計需要花費多少錢來達到風險可接受的等級。

安全措施促使了公司信息資源可獲得性的決策，以及公司哪些成員可以獲得這些信息資產。可接受使用政策 （AUP）規定了公司信息資源、計算機設施，包括桌面、便攜式電腦、無線設施、電話和網絡。公司策略必須搞清楚公司尊重隱私、用戶的反應，以及個人用公司的器材和網絡。一個好的AUP能規定對每個用戶可接受和不可接受的行為，並詳述了違約行為的後果。例如，在跨國公司Unilever，它的安全措施要求每個員工配備便攜式移動設施來使用公司特殊的設備，並且在公司網站工作時，使用通行證或其他方法來認證。

授權政策 （authorization policies）規定了不同層次的用戶對信息資產的不同應用水平。授權管理系統 （authorization management systems）規定，用戶在何時何地可以訪問網站或公司數據庫的某個部分。根據實現設定的訪問規則，用戶只能訪問得到授權進入的系統部分。

8.3.4　災難恢復計劃和業務連續計劃

如果你運營一家公司，你需要對一些事情做出計劃，例如停電、洪水、地震和恐怖襲擊這些會阻礙你的信息系統和商業運作。在計算和交流服務被破壞後，災難恢復計劃能設計計劃來重建計算。災難恢復計劃主要專注於技術性的問題，包括維持系統運行，例如哪些文件需要備份，以及維持電腦備份系統或者是災難恢復服務。

例如，萬事達信用卡在堪薩斯城的密蘇里建立了一個計算機中心作為它位於聖路易斯電腦中心的備份。比建立自己的備份機構更好的是，很多公司與災難恢復公司簽訂合同，像位於Rosemont市的災難恢復公司和總部設於賓夕法尼亞的SunGard Availability公司。

業務連續計劃專注於公司在經過災難衝擊後怎樣恢復商業運作。在系統不起作用時，業務連續計劃能夠發現關鍵的商業程序以及決定行動計劃以處理關鍵任務。例如，在74個國家提供投資銀行和資產管理服務的Deutsche銀行，有一個發展得很好的不斷更新、完善的業務連續計劃。它在新加坡、中國香港、日本、印度和澳大利亞維持全天工作來協助關鍵系統，這樣能使災難發生時公司能繼續運行。Deutsche銀行的計劃能區分公司生存的關鍵程序，並且協調它的計算機中心和公司的災難恢復計劃。

商業管理和信息技術專家需要在計劃種類和商業程序上做出判斷，看哪個系統和商業程序對公司最關鍵。他們必須要確認公司最關鍵的系統和系統缺失時對公司產生的影響。管理人員必須確認公司在系統崩潰時能生存最多的時間，以及哪部分業務要最先恢復。

8.3.5　審核的角色

管理層怎麼知道信息系統的安全和控制有效呢？為了回答這個問題，企業必須組織廣泛的、系統的審核。MIS審核檢查公司全面的安全環境，以及控制單獨的信息系統。如果用合適的自動審核軟件，審核應當通過系統和執行測試找出樣本，就像第6章所描述的那樣，MIS審核也能檢查數據質量。

安全審核檢查技術、程序、記錄、培訓和個人的信息。徹底的審核甚至會模擬襲擊或災難來測試技術、信息系統和公司僱員的反應。