甲公司是一家国有全资电力公司,主要为国内企事业单位和个人提供生产、生活用电。甲公司成立于一百多年前,一直采用煤炭发电。甲公司承担着保持社会稳定发展及民生的责任,为居民提供合理或较低价格水平的电力服务,政府对甲公司产生的亏损提供补贴。为鼓励甲公司提高营运效率,建立符合市场竞争需求的运行模式,政府于2010年决定将甲公司改制为股份有限公司,通过公开招股筹集资金并将其股票上市交易。2011年,甲公司股票上市后,政府持有甲公司股票的比率由原有的100%降至51%。甲公司上市后,开始着手研究并实行低成本、低碳排放的发电模式,如研究用风力发电、地热发电、天然气发电取代煤炭发电的可能性。同时,甲公司还着手对上市前咨询机构提交的多个境外投资方案进行评估。但当甲公司管理层要求信息技术部提供评估需要的相关数据时,信息技术部告知有关信息系统的一些月度数据被人删除,无法提供。甲公司经调查发现,一名已被甲公司辞退的后勤部职员,在退职后未经允许进入系统删除了有关信息。为此甲公司进行了信息系统安全风险评估。要求:(1)简述业务处理系统的内涵以及运用业务处理系统带来的好处,并指出甲公司为实行低成本、低碳排放发电模式需要获得的基本信息(包含外部信息及内部信息)。(2)简述信息系统安全风险评估常用的模式及其特点,并指出甲公司为防止信息被删除应采取的一般控制措施。
参考答案:
(1)①业务处理系统的内涵:业务处理系统(TPS)是负责记录、处理并报告组织中重复性的日常活动,记录和更新企业业务数据的信息系统。TPS是为组织作业层服务的基本信息系统,它是信息系统在组织中早期的应用形式,也是最基本的信息系统形式,主要作用是运用信息技术手段加工和处理业务信息。②通过业务处理系统处理业务信息可带来如下好处:1)有利于提高信息处理的准确度;2)有助于提高信息处理速度;3)节省人力,提高劳动生产率;4)改善服务水平,能更好地满足客户对产品和服务的要求。③第一,在风力发电、地热、天然气发电等不同发电模式的计划中的成本与效益的数据(外部信息):第二,甲公司现有发电站的营运成本、以煤发电的单位成本和相关碳排放的内部信息。(2)①信息系统安全风险评估常用的模式有基线评估、详细评估和组合评估。1)基线评估。采用基线风险评估,企业根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。这种评估模式需要的资源少,评估周期短,操作简单,是最经济有效的风险评估模式。但是,基线水平的高低确定困难。2)详细评估。详细评估要求对信息系统中的所有资源都进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估模式集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。但这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入,最后获得的结果有可能有一定的时间滞后。3)组合评估。组合评估是上述两种模式的结合。它首先对所有信息系统进行一次较高级别的安全分析,并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。然后对业务非常重要或面临严重风险的部分进行详细评估分析,对其他部分进行基线评估分析。这种评估模式注意了耗费与效率之间的平衡,还注意了高风险系统的安全防范。②建议可实施的一般控制以防止上述数据被删掉的事件再次发生:第一、设定适当的权限范围,以配合个别的职务。以防止不相关的职员(如后勤部职员)能够获得或删掉重要的分析数据。第二、制定相关守则或政策,立即终止有关离职雇员对重要信息系统(如载有重要内部数据的系统)的所有访问权限。