前言：
從控制角度來看信息系統構成：
1、 一般控制：管理控制/系統實施控制/運行控制/軟件控制/硬件控制/物理訪問控制/邏輯訪問控制
2、 應用控制：輸入控制/處理控制/輸出控制
3、 保障控制：災難恢復與應急計劃/環境控制/設備來源控制

1、 信息系統的戰略、政策和過程
1.1 信息系統的戰略性應用目標：戰略、政策、過程：通過應用信息系統，達到改進組織的目標、經營和服務或組織與環境的關系，從而幫助組織改善與客戶的關系，取得競爭優勢。戰略性的應用系統滲透于業務層、企業層及行業層面
1.2 信息系統的應用推動組織結構變革：自動化/流程合理話/業務流程再造/異化
1.3 信息系統應用模式的演變：主機/終端模式——客戶機/服務器模式——瀏覽器/服務器模式與信息應用模式相關的問題：降型化/開放系統/遺產系統
1.4 信息系統的功能分類：作業層（事物處理系統TPS）——知識層（知識工作系統KWS/辦公自動戶化系統OAS）——管理層（管理信息系統MIS/決策支持DSS）——戰略層（高級經理支持系統ESS）
1.5 信息系統部門的職責系統開發小組（系統分析員是聯絡的橋梁、設計、編程、測試）——系統運行小組（確保正常運行/幫助平臺、咨詢）
1.6 信息系統安全主管的責任信息系統高層管理人員的職責：評估風險/控制成本/制定風險控制目標與措施信息安全主管的職責：制定安全政策/評價安全控制/檢測調查不成功的訪問企圖/監督特權用戶的訪問
1.7 新興技術——人工智能：專家系統（商品賒銷的審批、醫療專家系統）/神經網絡（超音速飛機的控制系統、電力系統負荷預測）/模糊邏輯（人像識別系統）/遺傳算法（煤氣管道控制、機器人控制）/智能代理（互聯網搜索引擎、電子郵件過濾器）
1.8 第三方服務機構的角色設備管理機構（按用戶要求運行、維護數據處理）——計算機租賃公司（只提供設備）——服務局（管理運行自己的數據處理設備，用戶只需求提供數據，根據服務結果付費）——共享服務商（管理運營自己的數據處理設備、使各類組織可以使用他們的系統）

2、 硬件、平臺、網絡與遠程通訊
2.1 各種計算機媒體：磁帶（容量大、價格低順序存儲）、磁帶庫（容納多盤磁帶、機械臂抓取）、軟盤（直接存取、便于攜帶）、硬盤（直接存取、速度快、容量大）、廉價冗余磁盤陣列/廉價光盤重復排列（重構數據、容錯能力強）、CD-ROM（保存數字文件容量大、便宜、不能寫入）、光盤庫（容納多個光盤）、一次寫多次讀光盤（WORM 適用不須更新、記錄內容）
2.2 計算機類型：個人計算機/工作站/網絡計算機
2.3 各類計算機外部設備：不間斷電源/光學字符識別/打印機/掃描儀/繪圖儀/條碼閱讀器
2.4 外部接口：串口/并口/USB口
2.5 操作系統：分配、調度、監視系統資源，保證雇員只對被授權的數據進行讀寫訪問 DOA/UNIX/VMS
2.6 監視器：辨別硬件的瓶頸和軟件設計問題/調整運行負荷/發現網絡反應時間惡化情況
2.7 圖形化用戶接口：用鼠標點擊圖形來輸入命令如WINDOWS
2.8 大型計算機的使用：影響大型計算機運行速度的因素有：應用軟件的是設計效率/數據庫管理軟件的效率/數據的結構網絡容量及傳輸速度/系統負荷/存儲器容量/安全檢查及備份的頻率/軟件初始化選擇的正確性
2.9 個人計算機與大型計算機的接口：通過局域網連接、口令登陸終端仿真的風險：雇員利用微機謀取私利/備份不充分/拷貝供個人使用/保存登錄序列的文獻/任何能訪問PC機的人員都可以訪問主機。
2.10 計算機網絡的分類：廣域網（覆蓋廣、速度慢）/局域網（范圍小、速度快）/城域網（城市內部高速網）廣域網：專用網絡/虛擬專用網/公用交換網絡/增值網局域網：總線網/星型網/環型網  或者分為：基于服務器的網絡/對等網
2.11 網絡連接設備：網卡/調制解調器/中績器/集線器/網橋/網關/路由器
2.12 因特網：資源無限，缺點：難以定位最好的資源  功能：網絡瀏覽器WEB/電子郵件EMAIL/遠程登錄TELNET/專題論壇USENET/電子公告牌BBS/其他
2.13 數據傳輸模式：異步傳輸（利用額外的啟動位與停止位同步數據傳輸/慢，有間隔）/同步傳輸（同步時鐘同步數據傳輸，快、可連續傳輸）各種基礎通信網絡：公用電話交換網（撥號上網）/DDN數字數據網絡/楨中繼（降局域網和其他局域網連接，使不很敏感的數據傳遞）/綜合服務數字網ISDN/非對稱數字環線ADSL

3、 數據處理
3.1 個人計算機軟件：字處理軟件/電子表格/圖象處理軟件/財務管理/管理軟件/光學字符識別軟件
3.2 程序執行方式：直接執行：語言程序（編譯）——目標代碼（連接）——可執行代碼（執行）——程序運行解釋執行：語言程序（由解釋程序轉換二進制瑪）——程序運行
3.3 語言類型：機器語言/匯編語言/過程化語言/非過程化語言
3.4 文件類型：直接存取文件/順序文件/索引文件主文件與事務文件/平面文件
3.5 數據處理方式：批處理/在線處理   或分集中處理/分散處理/分布處理
3.6 常用計算機審計技術：測試數據（檢查信息系統是否正常）/平行模擬（模擬系統與真實系統比較結果）/繼承集成測試（虛構測試數據與真實數據一起處理，缺點：測試數據可能進入委托人的真實數據環境）/嵌入審計模塊（連續監督）/其他技術（電腦化帳務處理系統自動平帳）
3.7 關系型數據庫的操作：選擇（條件選擇出記錄子集）/連接（按某個共同數據元素結合多個關系型數據庫）/映射（將數據庫中的部分字段構成新的子表）/修改（鎖定/死鎖）
3.8 數據定義語言：描述數據庫內容與結構的語言（建立數據庫表結構）數據操縱語言：修改、操作、插入、查詢數據字典：對數據結構的定義
3.9 分布式數據庫在各接點的分布方法：快照/復制/分割數據組織與查詢：結構化查詢語言（不會對數據庫產生風險）/管理查詢設施（用于趨勢圖、制作圖表）P304管理查詢設施，把“數據有效性檢查”去掉，無法檢查數據有效性/；邏輯視圖/數據挖掘（分析，發現隱藏在數據后的規律）
3.10 電子資金轉帳系統（EFT）風險：未經許可的進入和操作/對交易的重復處理/缺乏備份和恢復能力/未經授權的訪問和交易活動風險最大優勢：交易處理成本比手工低/改善與貿易伙伴的業務關系/減少數據錯誤/提高工作效率實施第一步：畫出未實現組織目標所開展的經營活動的流程圖目標：改善業務關系，提高競爭力EDI的風險：數據網整形和隨意存取數據是EDI的固有風險/數據交換過程中的遺漏、錯序或重復、向交易伙伴傳輸交易信息有時不成功。EDI的風險防范：應用數據簽名技術/給EDI文件順序編號/通過對方的反饋來確認

4、 系統開發獲得和維護
4.1 系統開發生命周期法（系統、規范、嚴密）/（快速）原型法（不斷修改直至滿意，缺點，不系統，不正規）
4.2 系統開發的主要活動：系統分析——系統設計——系統編程——測試——轉換——系統維護系統分析：要解決問題的分析/用戶分析和系統可行性分析/系統分析員是信息系統和其他業務部門聯系橋梁——能力計劃——《系統需求分析規格書》系統設計：邏輯設計/物理設計——《系統設計規格書》系統編程：將設計規格書轉化成計算機軟件代碼的過程——《軟件程序代碼》在軟件需求與設計階段審計師關注點：需求階段安全需求是否完備，能否保證信息系統機密、完整、可用，是否有足夠的審計蹤跡/審計設計階段檢查安全需求是否有足夠的控制已集成到系統定義和測試計劃中，連續性在線審計功能是否集成到系統中/在系統設計階段的基線上是否建立變動控制/檢查相關文檔是否齊全測試：模塊測試/系統測試/驗收測試轉換：平行轉換/直接轉換/試點轉換/分階段的轉換策略
4.3 內部審計師對信息系統開發的參與參與方式：連續參與開發/在系統開發結束時參與/在系統實施后參與連續參與的好處：最大限度地降低系統重新設計的成本
4.4 系統維護與變動的控制：程序變動控制：經管理層批準/經全面測試并保存文檔/必須留下何人、何時、何事的線索修改軟件的風險：使用未經審查、測試的修改軟件，使被處理信息的可靠性減弱
4.5 最終用戶開發的風險系統分析功能被忽略/難集成/系統內產生專用信息系統/缺乏標準和文檔，使用和維護都依賴開發者/缺乏監督，失去數據一致性
4.6 降低最終用戶開發的風險：成立信息中心/集中系統開發專家對用戶進行培訓/提個開發工具與指導，協助建立質量標準/信息中心直接參與系統分析與設計/對終端用戶開發的審計（確定終端用戶開發的程序——對應用程序進行風險排序——對控制情況進行文件處理與測試）
4.7  軟件許可問題：使用盜版軟件的危害（違法/易感染病毒）/防止使用非法軟件的方法（建立制度/版權法教育/定期鑒別/專人保管安裝盤）/非法軟件的發現（比較采購記錄與可執行文件/比較序列號）

5、 信息系統安全5.1 常見攻擊手段：黑客/阻塞/竊聽/重演/詐騙/中斷/病毒
5.2 不同層次的信息系統安全控制：一般控制/應用控制一般控制：管理控制：制定政策與程序/職責分離 ——系統實施控制：開發實施過程中建立控制點編制文檔/——運行控制：數據存儲、運行規范化要求，例如在對不需要的文件要在授權條件下及時刪除，管理系統操作、性能監測、系統備份、審計日志__——軟件控制：未經許可不得修改、在獨立的計算機上測試所有的要進入生產環境的軟件——硬件控制：保證正常運行：回撥檢測、奇偶校驗——訪問控制（重點）：標識/口令/授權/訪問日志/自動注銷登錄/回撥/對工具軟件的限制
5.3 訪問控制的類型：標識（唯一確定用戶身份）/口令（弱控制）/授權（建立訪問控制表預防未經授權訪問修改敏感信息）/訪問日志（檢測性控制措施）/回撥（保護信息按指定路徑傳送）/自動注銷登錄（防止通過無人照管的終端來訪問主機敏感信息）/對工具軟件的限制5.4 加密和解密——算法和密鑰——加密密鑰和解密密鑰——公鑰和私鑰——數字證書——數字簽名——認證中心
5.5 電子郵件的安全控制：禁止用EMAIL發送高度敏感或機密信息/加密/限使用數量/工作終端的商用電子郵件保存備查/歸檔和分級管理。
5.6 防火墻：數據包過濾型/應用網關開型
5.7 應用軟件控制：：輸入控制（輸入授權、數據轉換、編輯檢驗）——處理控制（運行總數、計算機匹配、并發控制）、輸出控制——輸出控制（平衡總數、復核日志、審核報告、審核制度文件）
5.8 計算機的物理安全：保證傳輸線路的安全以防止非法訪問網絡/盡量不要暴露數據中心的位置以防止恐怖分子襲擊/不間斷電源 可以在停電時維持電腦系統的運行/防火防潮/生物統計訪問系統
5.9 應急計劃：故障弱化保護/災難恢復計劃——第一步風險分析，其次才識策略、文檔、計劃執行測試等/災難恢復計劃的一個重要組成部分是備份和 重新啟動程序/當組織的結構和運營發生改變時，災難恢復計劃必須隨之改變以保證恢復計劃的及時有效。

 

（責任編輯：中大編輯）