本书结合中国国情,引进、消化和吸收了国际上先进的安全、风险管理与控制的方法论和最佳实务。本书在介绍基本审计知识的基础上,重点阐述信息系统审计理论与实务,以及信息安全审计的相关内容。 本书是为四类读者而写的:一类是管理人士,本书阐述了信息化的整体概念,描述了管理层与咨询和技术服务提供商沟通的共同语言,以及将IT管理与公司上层活动整合起来的方法。第二类是IT的高级管理者和那些准备向管理阶层迈进的IT人士,本书介绍了国际上公认的最权威、最全面的评价和指导IT控制的方法论及其模型。第三类读者是注册会计师及管理咨询顾问,他们在精通管理和专业的同时还急需加强信息系统和网络技术领域的知识。第四类是准备通过国际信息系统审计师或我国信息系统工程监理工程师认证考试的人员,由于信息技术的国际性,本书同样会对这类读者的工作与学习有较大帮助。
以前,我们每个人面对的大多数风险通常都是局部的、个人性质的。随着时间的推移,新的技术不断地进入我们的生活,使我们面临的风险也变得越来越广泛。技术对我们的生活所产生的影响日渐加深。计算机—通讯系统现在已经触及我们日常生活的方方面面,不仅与民众的健康、安乐有关,也对机构、政府乃至于全球的环境都构成了影响。
遗憾的是,随着我们越来越依赖计算机和网络系统,我们要面对的相关风险不是在逐渐减小,而是在迅速增大。发展中的一些新的应用严重地依赖于某些自动化系统。对企业的需求而言,这些系统自身的确定性如何并不是完全透明的。加之没有系统化地考虑系统复杂性问题,使得某些系统变得越来越庞杂。系统中出现新的缺陷和弱点的速度似乎总是快于老问题的解决速度。对系统进行的恶意攻击也有增多的趋势。可以预想,我们将来重要的国家基础设施也将会以不同的方式依赖于信息技术—— 实际上是互相依赖。
通常,风险总是会出现在旁观者的眼里。风险常常会被当事者所轻视,甚至于完全被忽视。对于每一个从事风险管理、风险预防或者风险处置的人来说,对风险具有深入的理解是非常重要的。幸运的是《信息技术风险》这本书为不同背景的读者带来了有关信息技术风险的很多新颖的观点。在信息技术风险管理领域,这是迄今为止最重要、最实用而又最切合实际的一本书,对信息技术管理者而言更是如此。
这本书所体现的智慧在某些人看来可能仅仅是一些“常识”。但是,常识往往并不普通。回忆一下历史上曾经出现过的那些带有缺陷的系统,回想一下曾经出现过的滥用、人为错误、操作失误、环境风险、管理不善以及发生过的各种事故(Neumann,1995),我们可以发现,从常识上来看这些问题应该极为罕见,但现实却截然相反。业界普遍存在的一种现象是表现在系统管理和系统开发决策上的短视,常常忽略风险设施。造成的后果往往也是灾难性的——
造成无可挽回的人身伤亡、巨大的经济损失以及秘密泄漏。
一个人所冒的风险对其他人来说也会是一场挑战。这本书为我们描述了可以彻底避免或者大幅减少上述错失的诸多选择。因为,重大的伤害一直伴随着计算机革命进程的始终。我本人希望读者能够仔细地阅读并留意作者的建议—— 相信通过持续不断地努力,我们能够避免再次遭受这些损失。当然,我们也不能指望采用一些简单的方法就能达到我们的目标,因为问题本身就非常复杂,问题的答案需要深思熟虑,需要谅解,需要远见,更需要大局观。请记住!避免风险没有容易的答案。对我们来说,风险总是如影随行。
把应对风险和“击鼓”相比较是个非常不同的视角—— “鼓声”是单音,而本书则是一部交响曲,所有的声音都会纠缠在一起发出共鸣。如果本书在使读者了解更多细节的同时还能看到这一幅巨大的图景,那么这就是它最大的贡献了。
Peter G. Neumann
加州,美国
2004年9月21日
(斯坦福研究院国际计算机科学实验室首席科学家,ACM风险论坛主持人,ACM通讯杂志联合编辑)
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved