根據發起組織委員會 (COSO) 的說法,在實體規模的 IT 管理中應用了六類一般控制。在進行審計時,通常首先評估一般控制,因為它對應用程式控制有影響。一般控制的六類如下: - IT 職能的管理(IT 職能的管理) 高層管理人員做出的決策極大 中國電報號碼資料 地影響了公司/組織中每次使用資訊科技的重要性,因此組織/公司日益複雜的範圍必須得到 IT 的支援專注於執行監控和滿足企業技術需求的團隊/IT 部門
- IT權力分離(IT職責分離) 為了最大限度地發揮IT團隊的職能和任務,有必要將各個部分固有的主要職能分離,即:IT管理、系統開發和資料控制
- 系統開發(System Development) 在開發資訊系統的過程中,必須從漏洞(滲透測試)和負載測試(壓力測試)兩方面進行測試,最重要的是提供檔案。
- 物理和線上網路安全(物理和線上安全)需要此控制過程來減輕因未經授權的更改以及資料和程式的不當使用而導致的任何風險
- 備份和應急計劃(Backup & Contingency Planning) 這是在使用資訊系統過程中防止資料丟失的必要條件。公司可以利用災難恢復計劃,以災難恢復中心的異地儲存的形式,可以由自己提供或使用第三方服務。
- 硬體控制:在此過程中,稽核員重點關注當發生錯誤或系統故障時相關技術人員如何進行事件處理。
由此可見,通過IT控制,審計人員可以確保公司所使用的資訊系統能夠良好、可靠地執行,涵蓋三個安全類別,即機密性、完整性和可用性(CIA),從而使資訊系統能夠幫助公司/組織實現其願景和使命中。
|