一般控制
一般控制是保證計算機信息系統(tǒng)能夠以持續(xù)、正確的方式運行的政策與程序�����,包括數(shù)據(jù)中心運營�����、系統(tǒng)軟件獲取與維護�、訪問安全、應(yīng)用系統(tǒng)開發(fā)和維護等內(nèi)容。一般控制能對通過編程實現(xiàn)的應(yīng)用系統(tǒng)控制機能提供支持��,一般控制有時也稱為一般計算機控制和信息技術(shù)控制。一般控制過程主要包括:
安全管理
應(yīng)用系統(tǒng)變更控制
數(shù)據(jù)管理
災(zāi)難恢復(fù)
數(shù)據(jù)中心運營
問題管理
資產(chǎn)管理
應(yīng)用控制
應(yīng)用控制是為保證業(yè)務(wù)過程的正常運行,而設(shè)計在應(yīng)用系統(tǒng)中控制措施�,以防止和檢測錯誤的和非授權(quán)的交易�,保證交易處理的完整性���、準確性�����、合法性及適當授權(quán)����。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制:
進行計算時;
實施數(shù)據(jù)合法性驗證和編輯檢查時;
與其他系統(tǒng)有數(shù)據(jù)接口時;
管理層需要依靠應(yīng)用系統(tǒng)進行完整、準確的排序�����、匯總和報告關(guān)鍵信息時;
限制對交易和數(shù)據(jù)訪問時。
IT風險管理的過程也類似于企業(yè)風險的過程,主要有以下風險識別����、風險分析����、風險處理�、風險監(jiān)督����、風險報告及改進的過程:
以上三個層次的IT風險管理,在組織中可以分階段地通過一個個的IT風險控制項目���,例如COBIT�、ISMS��、ITSM�、BCP、CMMI等進行實施��,也可以選擇其中的某些過程進行整合后實施���。
對于所建立IT內(nèi)部控制措施是否能有效地控制風險����,還需要通過第三方對組織內(nèi)部措施的有效性進行獨立審計,出具審計報告�����,以證明內(nèi)部控制措施完備性����。
以上過程是許多上市公司在建立符合薩班斯法要求的IT風險控制框架時的主要方法,這種方法的主要優(yōu)點是把IT風險放在企業(yè)風險的高度進行管理����,容易得到管理層的理解與支持,涉及的風險較全面����,控制與改進的方法較完備。缺點是控制的粒度還較粗����,還不能適當對IT進行精細控制的要求。
