一般控制
一般控制是保證計算機信息系統(tǒng)能夠以持續(xù)、正確的方式運行的政策與程序����,包括數(shù)據(jù)中心運營、系統(tǒng)軟件獲取與維護���、訪問安全�����、應(yīng)用系統(tǒng)開發(fā)和維護等內(nèi)容���。一般控制能對通過編程實現(xiàn)的應(yīng)用系統(tǒng)控制機能提供支持,一般控制有時也稱為一般計算機控制和信息技術(shù)控制�。一般控制過程主要包括:
安全管理
應(yīng)用系統(tǒng)變更控制
數(shù)據(jù)管理
災(zāi)難恢復
數(shù)據(jù)中心運營
問題管理
資產(chǎn)管理
應(yīng)用控制
應(yīng)用控制是為保證業(yè)務(wù)過程的正常運行,而設(shè)計在應(yīng)用系統(tǒng)中控制措施�����,以防止和檢測錯誤的和非授權(quán)的交易,保證交易處理的完整性����、準確性、合法性及適當授權(quán)���。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制:
進行計算時;
實施數(shù)據(jù)合法性驗證和編輯檢查時;
與其他系統(tǒng)有數(shù)據(jù)接口時;
管理層需要依靠應(yīng)用系統(tǒng)進行完整�����、準確的排序�、匯總和報告關(guān)鍵信息時;
限制對交易和數(shù)據(jù)訪問時��。
IT風險管理的過程也類似于企業(yè)風險的過程����,主要有以下風險識別、風險分析�����、風險處理、風險監(jiān)督����、風險報告及改進的過程:
以上三個層次的IT風險管理,在組織中可以分階段地通過一個個的IT風險控制項目��,例如COBIT�、ISMS、ITSM�����、BCP���、CMMI等進行實施,也可以選擇其中的某些過程進行整合后實施��。
對于所建立IT內(nèi)部控制措施是否能有效地控制風險��,還需要通過第三方對組織內(nèi)部措施的有效性進行獨立審計����,出具審計報告,以證明內(nèi)部控制措施完備性�����。
以上過程是許多上市公司在建立符合薩班斯法要求的IT風險控制框架時的主要方法,這種方法的主要優(yōu)點是把IT風險放在企業(yè)風險的高度進行管理�����,容易得到管理層的理解與支持����,涉及的風險較全面,控制與改進的方法較完備�����。缺點是控制的粒度還較粗�����,還不能適當對IT進行精細控制的要求��。
