การควบคุมของระบบสารสนเทศ

การควบคุม  คือ กระบวนการที่ถูกติดตั้งตากความต้องการของคณะกรรมการบริหาร(Boardofdiretors) ผู้บริหาร และบุคลากรภายใต้การกำกับของบุคคลข้างต้นเพื่อก่อให้เกิดความมั่นใจในความสำคัญ ในความสำเร็จของวัตถุประสงค์การควบคุมระบบสารสนเทศ 4 วัตถุประสงค์หลัก คือ เพื่อรักษาทรัพย์สินให้ปลอดภัย (Asset safeguarding)  ความสำบูรณ์ของข้อมูล (Data integrity) หรือความครบถ้วนถูกต้องของข้อมูล และความมีประสิทธิภาพและประสิทธิผลของระบบ ( System efficiemcy and effectivemess )  การรักษาความปลอดภัย ( Security )  คือ การเข้าถึงระบบสารสนเทศและข้อมูลในระบบถูกควบคุมและจำกัดเข้าถึงระบบเฉพาะผู้ที่ได้รับอนุมัติเท่านั้น  โดยการรักษาความปลอดภัยดังกล่าวมีเป้าหมายสุดท้ายคือ การทำให้ระบบเชื่อถือได้หรือความเชื่อถือได้ของระบบ ( System reliability )

           1.การรักษาความปลอดภัยเป็นประเด็นด้านบริหารจัดการ (Management issue) ไม่ใช่ประเด็นด้านเทคโนโลยี (Technology  issue ) เนื่องจากผู้บริหารมีหน้าที่รับผิดชอบในความถูกต้องของสารสนเทศ เช่น ความถูกต้องของรายการของการเงิน เป็นต้น

           2. รูปแบบเวลาในการรักษาความปลอดภัย (Time-based model  of security ) ซึ่งใช้ประเมินประสิทธิผลของการรักษาความปลอดภัยขององค์กรโดยวัดและเปรียบเทียบความสัมพันธ์ระหว่างระยะเวลาที่ผู้โจมตีสามารถผ่านการควบคุมแบบป้องกันขององค์กรได้