ITGC Guidance 中文

1、CE:Understand, evaluate and validate control components other than control activities IT本步驟旨在補充而非重復(fù)“領(lǐng)域 2000”中所記錄的總體內(nèi)部控制框架分析。本部分的目的在于記錄我們對客戶建立和維持一個強有力的 IT 控制環(huán)境和有效的信息技術(shù)一般控制（ ITGC）的了解和考慮。針對處理有重大財務(wù)影響的應(yīng)用或數(shù)據(jù)的公司整體以及各個獨立管理的 IT 機構(gòu)或 IT 附屬單位，實施以下程序：a) 了解、評估和記錄與各內(nèi)部控制要素相關(guān)的 IT 控制的設(shè)計和執(zhí)行情況。 b) 如果審計中計劃信賴內(nèi)部控制，要對確定的客戶

2、內(nèi)部控制框架中與審計相關(guān)的各個方面進(jìn)行驗證。 c) 在確定對四個 ITGC 領(lǐng)域中的各個領(lǐng)域所要實施的審計工作的性質(zhì)、時間和范圍時，考慮已經(jīng)實施的審計工作的結(jié)果。 d) 確保將已發(fā)現(xiàn)的內(nèi)部控制要素的缺陷與管理層進(jìn)行溝通，并在評估重大錯報風(fēng)險和確定審計策略及審計計劃時予以考慮。確保已對審計信賴矩陣（）和/或?qū)徲嬓刨噮R總表（）進(jìn)行更新。PBC1 主要應(yīng)用系統(tǒng)列表（見附表1）2 重要主機列表，指出主要應(yīng)用系統(tǒng)相應(yīng)的應(yīng)用服務(wù)器，數(shù)據(jù)庫服務(wù)器（見附表2）3 主要系統(tǒng)在2006年的開發(fā)，變更，升級情況（見附表3）系統(tǒng)架構(gòu)圖（描述系統(tǒng)間接口情況和通過接口傳遞的重要數(shù)據(jù)）4 IT 部門組織架構(gòu)圖5 IT 部門

3、職責(zé)說明書和IT崗位說明書6 IT 計劃（未來1年內(nèi)和5年內(nèi)）7 IT 年度預(yù)算 8 IT 管理制度和規(guī)定（包括系統(tǒng)變更流程，系統(tǒng)開發(fā)流程和技術(shù)規(guī)范，系統(tǒng)運維制度，信息安全相關(guān)規(guī)章制度如操作系統(tǒng)安全規(guī)范，數(shù)據(jù)（庫）安全規(guī)范，應(yīng)用系統(tǒng)安全規(guī)范，內(nèi)外網(wǎng)絡(luò)安全規(guī)范，機房安全規(guī)范，終端用戶相關(guān)安全規(guī)范要求等）9 IT 部門人員招聘流程（如有）10 IT 部門人員培訓(xùn)計劃及培訓(xùn)記錄（如有）11 IT 部門人員考核紀(jì)錄（如年度績效評估）（如有）12 審計期間系統(tǒng)、服務(wù)器、機房發(fā)生有無發(fā)生過緊急情況時，向管理層的匯報及向用戶部門的通知13 IT 部門向管理層定期報告IT 部門與其他部門或供應(yīng)商之間的服務(wù)水平

4、協(xié)議或服務(wù)合同1.控制環(huán)境A.信息系統(tǒng)主要管理2007年x月x日, 通過對xxxx的訪談, 我們了解到xx信息技術(shù)部門管理范圍如下: 主要應(yīng)用系統(tǒng)清單: 重要主機列表:在信息技術(shù)部門的主要政策方面,xxx建立一系列IT 部門的有關(guān)制度和規(guī)定,規(guī)定包括: xxxxxxx xxxxxx xxxxxxx相關(guān)規(guī)定如何傳達(dá)到所有需要遵守的員工？B. 信息技術(shù)部門的組織架構(gòu) 信息部門的主要架構(gòu) 信息部門的職責(zé)分工和崗位職責(zé)說明 這些架構(gòu)信息如何傳達(dá)到員工以規(guī)范工作職責(zé)C.信息技術(shù)部門人力資源方面以及相應(yīng)培訓(xùn) 培訓(xùn)情況 招聘情況2.信息溝通 信息部門內(nèi)部溝通方式(溝通留下的證據(jù),如會議記錄等) 信息部門與其

5、他部門,高級管理層的溝通方式(溝通留下的證據(jù),如會議記錄等) 人員考核情況 重大IT問題的溝通方式3.風(fēng)險評估 如何識別IT中的風(fēng)險 年度工作計劃,年度工作總結(jié) 年度預(yù)算計劃4.監(jiān)控 高級管理層如何監(jiān)控信息部門的工作有效性,如考核等？ 是否聘請外部公司共同監(jiān)控IT各個方面安全？PC:Understand, evaluate and validate: program changes變更大致有以下類型：由業(yè)務(wù)發(fā)展引起的正常變更；由于系統(tǒng)存在bug引起的變更；由于一些緊急需求和情況引起的變更；一些ERP系統(tǒng)的參數(shù)變更（SAP，Oracle等）。程序修改領(lǐng)域的目標(biāo)是：“確保對程序和相關(guān)基礎(chǔ)組件的修改

6、經(jīng)過請求、授權(quán)、執(zhí)行、測試和實施，達(dá)到管理層應(yīng)用控制的目標(biāo)?！背绦蛐薷牡囊话阋匕ǎ簩S護(hù)活動的管理對修改請求的規(guī)范、授權(quán)與跟蹤對程序修改實施過程的控制測試和質(zhì)量保證程序執(zhí)行記錄和培訓(xùn)職責(zé)分離對程序修改這一領(lǐng)域進(jìn)行了解、評估，如果擬對該領(lǐng)域的控制予以信賴時,驗證對生成財務(wù)報表賬戶余額的系統(tǒng)進(jìn)行程序修改的控制。在實施程序修改的控制時，客戶會采取多種措施。以下側(cè)重點可能會有助于識別需要評估和驗證的控制活動。僅需考慮與客戶財務(wù)報告相關(guān)的側(cè)重點。在修訂審計程序時,參考記錄在信息技術(shù)一般控制范圍的步驟中關(guān)于確定范圍的決策。PBC14 審計期間系統(tǒng)變更的列表（見附表3）15 管理層對系統(tǒng)變更狀態(tài)和優(yōu)先順

7、序的跟蹤紀(jì)錄16 經(jīng)用戶部門批準(zhǔn)的系統(tǒng)變更請求(如有)17 測試計劃（如系統(tǒng)測試計劃，用戶測試計劃等）18 用戶測試結(jié)果與測試驗收報告 (如有)19 經(jīng)批準(zhǔn)的上線申請與上線計劃(如有)20 上線紀(jì)錄 (如有)21 技術(shù)文檔、用戶文檔以及用戶培訓(xùn)紀(jì)錄(如有)對系統(tǒng)變更的外包商的監(jiān)督紀(jì)錄(如有)對維護(hù)活動的管理管理層應(yīng)當(dāng)建立程序修改的控制流程并對該流程的有效性進(jìn)行監(jiān)督?？紤]以下內(nèi)容：1. 管理層如何確保對包括應(yīng)用程序、基礎(chǔ)組件、經(jīng)營管理單位和系統(tǒng)所在地的所有系統(tǒng)修改都遵守了控制流程的規(guī)定？2. 管理層如何記錄和溝通關(guān)于管理政策和程序的修改？3. 管理層如何記錄和溝通關(guān)于管理層角色和職責(zé)的變化？4.

8、 管理層如何對已執(zhí)行的程序控制的遵守情況進(jìn)行監(jiān)督？(變更的監(jiān)督，如變更列表，每月會議的討論當(dāng)月的變更效果之類的，以確保管理層和用戶及時掌握變更情況)對修改請求的規(guī)范、授權(quán)與跟蹤需求提出：由業(yè)務(wù)部門提出；由IT人員由于IT環(huán)境發(fā)生的變化和緊急情況提出。對修改請求的控制應(yīng)當(dāng)確保用戶請求被接收、經(jīng)過授權(quán)和區(qū)分優(yōu)先順序，以支持管理層實現(xiàn)應(yīng)用控制的目標(biāo)?？紤]以下內(nèi)容：1. 管理層如何確保所有要求修改用戶的請求被接收？（管理變更的小組啊，OA系統(tǒng)之類的，變更是怎么被提出，怎么到達(dá)指定執(zhí)行人的）2. 管理層如何確保所有修改用戶的請求都保留有適當(dāng)管理層授權(quán)的證據(jù)？（變更的審批流程）3. 管理層如何確保在處理修

9、改用戶的請求時會識別有問題的管理活動同上？4. 管理層如何考慮修改請求對有關(guān)財務(wù)報表的內(nèi)部控制產(chǎn)生的潛在影響？對程序修改實施過程的控制對修改實施過程的控制應(yīng)當(dāng)確保修改發(fā)生、實施的過程可以支持管理層實現(xiàn)應(yīng)用控制的目標(biāo)。考慮以下內(nèi)容： 1. 管理層如何確保對內(nèi)部開發(fā)的應(yīng)用程序使用程序編制標(biāo)準(zhǔn)版本和代碼的控制和管理，編程的規(guī)范和代碼的一致。？2. 管理層如何確保所有系統(tǒng)均存在版本控制？ 3. 管理層如何確保已對集成應(yīng)用程序和數(shù)據(jù)文件之間的相關(guān)性進(jìn)行識別和考慮？接口的處理和開發(fā)，變更設(shè)計到的話。測試和質(zhì)量保證用戶測試，測試環(huán)境和正式環(huán)境的版本和數(shù)據(jù)轉(zhuǎn)移等。測試和質(zhì)量保證控制應(yīng)當(dāng)確保適當(dāng)人員實施了充分測

10、試，確保程序按照預(yù)期運行，以實現(xiàn)管理層應(yīng)用控制的目標(biāo)?？紤]以下內(nèi)容： 1. 管理層如何確定各項修改的測試性質(zhì)和范圍（即單位測試、用戶測試、回歸測試）？2. 管理層如何確保實施的測試不但應(yīng)對已作出的修改，還要確保測試系統(tǒng)中的重要功能不應(yīng)發(fā)生變化？3. 管理層如何確保適當(dāng)?shù)挠脩艉凸芾韺訁⑴c測試，對程序修改可能對財務(wù)報告的內(nèi)部控制產(chǎn)生的影響進(jìn)行了適當(dāng)?shù)膽?yīng)對？4. 在修改被推廣之前，管理層如何獲取用戶接受修改的證據(jù)？5. 管理層如何確保邏輯環(huán)境間的代碼遷移受到控制？6. 管理層如何確保修改后的配置選項可以繼續(xù)滿足業(yè)務(wù)和控制的要求？程序執(zhí)行用戶部門和管理層的sign off程序執(zhí)行控制應(yīng)當(dāng)確保只有在進(jìn)行

11、充分測試并且獲得業(yè)務(wù)用戶管理層的適當(dāng)批準(zhǔn)之后，才能由適當(dāng)?shù)娜藛T將修改后的程序在實際環(huán)境中付諸實施?？紤]以下內(nèi)容：1. 管理層如何確保所有程序修改在實施之前經(jīng)過適當(dāng)?shù)臉I(yè)務(wù)用戶及/或 IT 管理層的批準(zhǔn)？2. 管理層如何確保將修改應(yīng)用于生產(chǎn)流程時遵守控制流程的規(guī)定？3. 管理層如何確保將修改應(yīng)用于生產(chǎn)流程之后發(fā)生的緊急修改被接受、經(jīng)過記錄和批準(zhǔn)？4. 管理層如何確保只有適當(dāng)?shù)慕?jīng)過授權(quán)的人員有權(quán)限限制，可以將程序修改應(yīng)用到生產(chǎn)環(huán)境之中？5. 管理層如何確保生產(chǎn)流程中運行的程序是已經(jīng)過測試的最新版本，并得到了業(yè)務(wù)用戶管理層的批準(zhǔn)？6. 如果程序在多個地點運行，管理層如何確保程序的所有副本已升級至正確的

12、版本？記錄和培訓(xùn)記錄和培訓(xùn)控制應(yīng)當(dāng)確保在實施程序修改的同時，對終端用戶和 IT 支持的文件記錄和培訓(xùn)進(jìn)行更新?？紤]以下內(nèi)容： 1. 管理層如何確保對系統(tǒng)發(fā)生的重大變化，用戶和技術(shù)性文件記錄得以及時更新？2. 管理層如何確保對系統(tǒng)發(fā)生的重大變化，包括導(dǎo)致財務(wù)報告內(nèi)部控制發(fā)生的變化，用戶和 IT 人員能夠得到適當(dāng)?shù)呐嘤?xùn)？職責(zé)分離職責(zé)分離控制應(yīng)當(dāng)確保整個程序修改過程中的角色和職責(zé)已得到適當(dāng)?shù)南拗坪头蛛x?？紤]以下內(nèi)容： 1. 管理層如何確保對整個程序修改過程中的角色和職責(zé)作出適當(dāng)?shù)姆蛛x崗位說明書等。？2. 管理層如何確保對開發(fā)、測試和生產(chǎn)流程保持獨立的環(huán)境，并且只有適當(dāng)?shù)娜藛T方可訪問這些環(huán)境環(huán)境的分離

13、，物理分離和邏輯分離等；還有進(jìn)入各個環(huán)境的權(quán)限分配。？3. 如何長期維持對職責(zé)分離的控制維護(hù)SOD和權(quán)限，如果在ATPD cover到的話可以refer。？PD:Understand, evaluate and validate: program development程序開發(fā)領(lǐng)域的目標(biāo)是：“確保系統(tǒng)的開發(fā)、配置和執(zhí)行能夠?qū)崿F(xiàn)管理層應(yīng)用控制的目標(biāo)?！背绦蜷_發(fā)控制的一般要素包括：對開發(fā)和執(zhí)行活動的管理項目啟動、分析和設(shè)計對程序開發(fā)實施過程的控制/軟件包選擇測試和質(zhì)量保證數(shù)據(jù)轉(zhuǎn)換程序執(zhí)行記錄和培訓(xùn)職責(zé)分離注：只有當(dāng)存在或預(yù)期會發(fā)生重大開發(fā)、執(zhí)行或轉(zhuǎn)換項目時，才和該程序開發(fā)領(lǐng)域的控制相關(guān)。在確定本領(lǐng)

14、域的工作性質(zhì)、時間和范圍時，需要根據(jù)各個具體項目的實際情況作出重要的判斷。隨著開發(fā)項目接近實施階段，關(guān)于程序開發(fā)的信息技術(shù)一般控制對于財務(wù)報告內(nèi)部控制的重要性和相關(guān)性也會增加。一般最關(guān)鍵的控制會在項目周期的后期產(chǎn)生，例如對系統(tǒng)測試、用戶承接和數(shù)據(jù)轉(zhuǎn)換的控制。 對程序開發(fā)這一領(lǐng)域進(jìn)行了解、評估，如果擬對該領(lǐng)域的控制予以信賴時，驗證對當(dāng)前審計期間已經(jīng)運行或正在進(jìn)行中的與財務(wù)報告系統(tǒng)相關(guān)的所有重大系統(tǒng)開發(fā)而實施的程序開發(fā)控制。 在實施程序開發(fā)控制時，客戶會采取多種措施。以下側(cè)重點可能會有助于識別需要評估和驗證的控制活動。僅需考慮與客戶財務(wù)報告相關(guān)的側(cè)重點。針對SAP系統(tǒng)實施1 系統(tǒng)開發(fā)可行性分析報告

15、2 系統(tǒng)開發(fā)合同或系統(tǒng)開發(fā)項目計劃書3 系統(tǒng)開發(fā)需求分析4 系統(tǒng)測試報告5 系統(tǒng)驗收報告6 系統(tǒng)上線計劃7 系統(tǒng)上線前的培訓(xùn)紀(jì)錄8 系統(tǒng)用戶手冊9 系統(tǒng)開發(fā)過程的階段性報告10 IT 部門與用戶部門的會議紀(jì)錄 11 遷移數(shù)據(jù)收集模板和數(shù)據(jù)檢查記錄12. 數(shù)據(jù)遷移結(jié)果檢查記錄對開發(fā)和執(zhí)行活動的全面管理管理層應(yīng)當(dāng)建立包括加強主要系統(tǒng)在內(nèi)的程序開發(fā)活動的控制流程，并監(jiān)督該流程的有效性?？紤]以下內(nèi)容：1. 公司是否采用了正式的方法和/或明確的政策和程序來管理程序開發(fā)活動？2. 管理層如何確保所有重大項目都制定和執(zhí)行了綜合全面的實施計劃，包括考慮所希望具有的系統(tǒng)功能、對財務(wù)報告的內(nèi)部控制以及適當(dāng)?shù)陌踩?/p>

16、權(quán)限控制？3. 管理層如何記錄和向參與程序開發(fā)活動的個人溝通他們的角色和職責(zé)分工？4. 管理層如何確保適當(dāng)?shù)臉I(yè)務(wù)部門協(xié)調(diào)人和 IT 項目負(fù)責(zé)人參與制訂需要滿足的業(yè)務(wù)要求、測試計劃和測試結(jié)果？5. 管理層如何監(jiān)督程序開發(fā)活動和相關(guān)控制？項目啟動、分析和設(shè)計項目啟動控制應(yīng)當(dāng)確保項目的計劃、資源配置和啟動可以支持管理層應(yīng)用控制目標(biāo)的實現(xiàn)。考慮以下內(nèi)容： 1. 管理層如何確保為程序開發(fā)作出的努力與總體業(yè)務(wù)目標(biāo)和內(nèi)部控制目標(biāo)保持一致？2. 管理層如何確保各項目小組擁有必要的業(yè)務(wù)和技術(shù)技能，包括內(nèi)部控制知識？3. 管理層如何確保所有項目都已指派業(yè)務(wù)部門協(xié)調(diào)人和數(shù)據(jù)所有者？4. 管理層如何確保對系統(tǒng)要求進(jìn)行

17、的開發(fā)一致而詳盡？5. 管理層如何確保項目小組能夠考慮到每個項目的系統(tǒng)及接口依存關(guān)系、內(nèi)部控制的要求和安全方面的要求？6. 管理層如何確保在進(jìn)入項目實施階段之前獲得業(yè)務(wù)部門協(xié)調(diào)人的批準(zhǔn)？對程序開發(fā)實施過程的控制/軟件包選擇對程序開發(fā)實施過程的控制和對軟件包選擇的控制應(yīng)當(dāng)確保進(jìn)行的內(nèi)部程序開發(fā)活動和軟件包的選擇可以支持管理層應(yīng)用控制目標(biāo)的實現(xiàn)?？紤]以下內(nèi)容： 1. 管理層如何確保對內(nèi)部開發(fā)的應(yīng)用程序使用程序編制標(biāo)準(zhǔn)？2. 管理層如何確保對外購軟件包的選擇、定制（用戶化）和執(zhí)行進(jìn)行統(tǒng)一的應(yīng)用控制？3. 管理層如何確保所有系統(tǒng)均存在版本控制？ 4. 管理層如何確保已對集成應(yīng)用程序和數(shù)據(jù)文件之間的相關(guān)

18、性進(jìn)行識別和考慮？測試和質(zhì)量保證測試和質(zhì)量保證控制應(yīng)當(dāng)確保適當(dāng)人員實施了充分測試，確保新系統(tǒng)的功能按照預(yù)期運行，以實現(xiàn)管理層應(yīng)用控制的目標(biāo)。考慮以下內(nèi)容：1. 管理層如何確保測試計劃適當(dāng)，能夠應(yīng)對分析和設(shè)計階段提出的要求？2. 管理層如何確定測試的性質(zhì)和范圍（即單位測試、用戶測試、回歸測試）？3. 管理層如何確保相關(guān) IT 和/或經(jīng)營單位人員實施并批準(zhǔn)了適當(dāng)?shù)臏y試？4. 管理層如何確保在測試中充分應(yīng)對了對新的或修改過的有關(guān)財務(wù)報告的內(nèi)部控制的設(shè)計和運行的有效性？5. 管理層如何確保經(jīng)過測試的程序在投入生產(chǎn)運營之前不被修改？6. 管理層如何確保邏輯環(huán)境間的代碼遷移受到控制？7. 管理層如何確保選

19、擇的應(yīng)用軟件包的配置選項達(dá)到了業(yè)務(wù)和控制的要求？數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換控制應(yīng)當(dāng)確保數(shù)據(jù)被完整、準(zhǔn)確地轉(zhuǎn)入到新系統(tǒng)。考慮以下內(nèi)容：1. 管理層如何確保數(shù)據(jù)字段從原有系統(tǒng)正確地聯(lián)接到目標(biāo)系統(tǒng)？2. 管理層如何確保轉(zhuǎn)換后數(shù)據(jù)的完整性、準(zhǔn)確性和有效性？3. 管理層如何確保在數(shù)據(jù)轉(zhuǎn)換計劃中考慮了關(guān)鍵的系統(tǒng)接口？程序執(zhí)行程序執(zhí)行控制應(yīng)當(dāng)確保只有在進(jìn)行了充分測試，獲取了業(yè)務(wù)部門協(xié)調(diào)人的批準(zhǔn)，并且制定了適當(dāng)?shù)膱?zhí)行和取消計劃之后，才能將新系統(tǒng)在實際環(huán)境中付諸實施?？紤]以下內(nèi)容：1. 管理層如何確保所有程序執(zhí)行均經(jīng)過適當(dāng)?shù)臉I(yè)務(wù)部門協(xié)調(diào)人和 IT 管理層的批準(zhǔn)？2. 管理層如何確保按照一致的流程作出系統(tǒng)投入使用的決策（即

20、執(zhí)行計劃、取消程序等）？3. 管理層如何確保生產(chǎn)流程中運行的程序是已經(jīng)過測試的最新版本，并得到了業(yè)務(wù)部門協(xié)調(diào)人的批準(zhǔn)？4. 如果程序在多個站點運行，管理層如何確保程序的所有副本已升級至正確的版本？5. 管理層如何確保在程序執(zhí)行后的期間能夠應(yīng)對重大的執(zhí)行風(fēng)險，尤其是對復(fù)雜系統(tǒng)的執(zhí)行風(fēng)險（例如運行后復(fù)核、運行終結(jié)過程的詳細(xì)控制等）？ 記錄和培訓(xùn)記錄和培訓(xùn)控制應(yīng)當(dāng)確保在程序執(zhí)行的同時向終端用戶和技術(shù)支持人員提供充分的文件記錄和培訓(xùn)。考慮以下內(nèi)容：1. 管理層如何確保對所有新系統(tǒng)的用戶和技術(shù)文件的記錄得以及時編制和溝通？2. 管理層如何確保對所有新系統(tǒng)和相關(guān)的內(nèi)部控制，用戶和 IT 人員能夠得到適當(dāng)?shù)?/p>

21、培訓(xùn)？職責(zé)分離職責(zé)分離控制應(yīng)當(dāng)確保整個程序開發(fā)過程中的角色和職責(zé)已得到適當(dāng)?shù)南拗坪头蛛x?？紤]以下內(nèi)容：1. 管理層如何確保對整個程序開發(fā)過程中的責(zé)任作出適當(dāng)?shù)姆蛛x？2. 管理層如何確保對開發(fā)、測試和生產(chǎn)流程保持獨立的環(huán)境，并且只有適當(dāng)?shù)娜藛T方可訪問這些環(huán)境？ATPD:Understand, evaluate and validate: access to progams and data程序和數(shù)據(jù)的訪問權(quán)限領(lǐng)域的控制目標(biāo)是：“確保只有通過身份認(rèn)證的用戶有權(quán)訪問程序和數(shù)據(jù)。”程序和數(shù)據(jù)的訪問權(quán)限一般包括下列子項：安全活動管理、安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、實物安全對程序和數(shù)據(jù)的訪問

22、權(quán)限這一領(lǐng)域進(jìn)行了解、評估，如果擬對該領(lǐng)域的控制予以信賴,驗證生成財務(wù)報表賬戶余額的系統(tǒng)的安全控制。在實施安全控制時，客戶會采取多種措施。以下側(cè)重點可能會有助于識別需要評估和驗證的控制活動。僅需考慮與客戶財務(wù)報告相關(guān)的側(cè)重點。在修訂審計程序時,參考記錄在信息技術(shù)一般控制范圍的步驟中關(guān)于確定范圍的決策。 除了下列側(cè)重點，還可考慮使用 Guardian 中任何適用的技術(shù)平臺輔助手段和工作程序，以協(xié)助評估對程序和數(shù)據(jù)的訪問權(quán)限的控制。PBC1 公司信息安全策略2 計算機安全培訓(xùn)紀(jì)錄及相關(guān)講義（對IT人員和一般用戶）3 重要應(yīng)用系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫用戶帳號維護(hù)流程4 有用戶部門管理層審批的用戶帳號維

23、護(hù)申請表或電子郵件5 定期復(fù)核應(yīng)用系統(tǒng)和操作系統(tǒng)層面用戶權(quán)限的證據(jù) (如有)6 使用防病毒軟件和定期更新病毒定義的證據(jù)7 網(wǎng)絡(luò)拓?fù)鋱D8 網(wǎng)絡(luò)變更流程9 網(wǎng)絡(luò)變更，升級紀(jì)錄 (如有)10 網(wǎng)絡(luò)安全監(jiān)控日志11 防火墻日志樣本/ 入侵警報訊息 (如有)12 數(shù)據(jù)庫管理流程13 數(shù)據(jù)庫升級紀(jì)錄 (如有)14 直接訪問數(shù)據(jù)庫行為的audit trail (例如，紀(jì)錄數(shù)據(jù)庫管理員所有活動的活動日志)15 數(shù)據(jù)庫管理員修改數(shù)據(jù)庫數(shù)據(jù)的紀(jì)錄及相關(guān)審批文檔16 數(shù)據(jù)庫用戶權(quán)限列表17 主機操作系統(tǒng)和用戶機操作系統(tǒng)安裝和升級流程及記錄18 服務(wù)器操作系統(tǒng)參數(shù)變更流程19 服務(wù)器操作系統(tǒng)用戶權(quán)限列表20 防病毒軟

24、件安裝記錄和監(jiān)控記錄21. 機房訪問日志安全活動管理P&P應(yīng)當(dāng)設(shè)計和執(zhí)行一個安全功能及相關(guān)的政策和程序以支持客戶的信息整合目標(biāo)。考慮以下內(nèi)容：1. 管理層如何從數(shù)據(jù)所有者的角度確保將經(jīng)營單位的管理適當(dāng)?shù)丶{入到信息的安全功能中？2. 管理層如何記錄和溝通關(guān)于安全的角色和職責(zé)分工？ 3. 管理層如何定義、記錄和溝通適用于所有相關(guān)技術(shù)部分的安全政策和程序？4. 管理層如何確保定期及在技術(shù)部分發(fā)生變化時對安全政策和程序進(jìn)行更新？5. 管理層如何對 IT 和業(yè)務(wù)用戶定期培訓(xùn)有關(guān)安全責(zé)任及相關(guān)的政策和程序？安全管理權(quán)限管理都放在這個section中寫。安全管理活動應(yīng)當(dāng)確保只有經(jīng)過授權(quán)的人員才有權(quán)訪

25、問應(yīng)用程序、數(shù)據(jù)和操作系統(tǒng)，他們的訪問權(quán)限與其工作職責(zé)和管理層的控制目標(biāo)相匹配。考慮以下內(nèi)容：1. 訪問權(quán)限是否由適當(dāng)級別的 IT 和經(jīng)營單位管理層定義和建立,以實現(xiàn)相關(guān)的控制目標(biāo)，包括 IT 和業(yè)務(wù)流程中的職責(zé)分離？ 2. 管理層如何設(shè)計安全管理控制，以確保只有經(jīng)過適當(dāng)管理人員的批準(zhǔn)才能根據(jù)需要授予、變更和取消訪問權(quán)限？3. 安全管理功能如何協(xié)助經(jīng)營單位管理層進(jìn)行用戶權(quán)限的定期復(fù)核，以確保經(jīng)過一段時間后訪問權(quán)限依舊保持與工作職責(zé)相匹配？4. 管理層如何定義業(yè)務(wù)流程中的職責(zé)分離目標(biāo)并將其與訪問權(quán)限的批準(zhǔn)和定期復(fù)核相結(jié)合？數(shù)據(jù)安全數(shù)據(jù)安全控制應(yīng)當(dāng)確保對數(shù)據(jù)的直接訪問僅限于經(jīng)過適當(dāng)授權(quán)的人員，監(jiān)督

26、對數(shù)據(jù)的訪問以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問。考慮以下內(nèi)容：1. 管理層如何確保在設(shè)計安全管理和安全監(jiān)督控制時定義和考慮了所有直接的數(shù)據(jù)訪問方法（即從應(yīng)用程序之外進(jìn)行訪問）？考慮： 可用于修改數(shù)據(jù)文件或數(shù)據(jù)庫信息的操作系統(tǒng)命令 可用于修改數(shù)據(jù)但不會顯示在清單中的操作系統(tǒng)管理員、數(shù)據(jù)庫管理員以及其他超級用戶名 識別有權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫的用戶， 可用于授權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫的操作系統(tǒng)和數(shù)據(jù)庫安全管理性能， 可用于在應(yīng)用系統(tǒng)外修改數(shù)據(jù)的報告書寫器和其他有用程序？2. 管理層如何確保將數(shù)據(jù)環(huán)境與以下適當(dāng)?shù)臋?quán)限限制進(jìn)行配置： 有重要財務(wù)影響的應(yīng)用數(shù)據(jù)文件和數(shù)據(jù)庫， 可用于修改數(shù)據(jù)文件或數(shù)據(jù)庫信息

27、的操作系統(tǒng)命令， 可用于修改數(shù)據(jù)但不會顯示在清單中的操作系統(tǒng)管理員、數(shù)據(jù)庫管理員以及其他超級用戶名 識別有權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫的用戶， 可用于授權(quán)訪問特定數(shù)據(jù)文件或數(shù)據(jù)庫的操作系統(tǒng)和數(shù)據(jù)庫安全管理性能， 可用于在應(yīng)用系統(tǒng)外修改數(shù)據(jù)的報告書寫器和其他有用程序？3. 管理層如何確保對數(shù)據(jù)訪問權(quán)限設(shè)置（即數(shù)據(jù)文件許可）的修改在受到控制的情況下完成，包括批準(zhǔn)經(jīng)營單位所有者對數(shù)據(jù)進(jìn)行訪問？ 4. 考慮上述識別的訪問方法，管理層如何復(fù)核對數(shù)據(jù)的直接訪問權(quán)限，以確保訪問權(quán)限與工作職責(zé)相匹配？5. 如果使用特別的系統(tǒng)功能來控制對數(shù)據(jù)的直接訪問，那么管理層如何確保對此類功能的使用情況定期進(jìn)行記錄、錄入日志

28、和復(fù)核？6. 管理層如何監(jiān)督數(shù)據(jù)環(huán)境以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問活動？操作系統(tǒng)安全操作系統(tǒng)安全控制應(yīng)當(dāng)確保對操作系統(tǒng)的直接訪問僅限于經(jīng)過適當(dāng)授權(quán)的人員，監(jiān)督對操作系統(tǒng)的直接訪問以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問。考慮以下內(nèi)容： 1. 管理層如何確保對安全設(shè)置的修改得到控制，并與預(yù)期設(shè)計（即全局安全參數(shù)、密碼參數(shù)、服務(wù)的運行等）保持一致？ 2. 管理層如何定期復(fù)核對操作系統(tǒng)的訪問權(quán)限，以確保安全管理流程按照預(yù)期運行，對操作系統(tǒng)的訪問權(quán)限與工作職責(zé)相匹配？3. 管理層如何監(jiān)督操作系統(tǒng)環(huán)境以防止?jié)撛诘奈唇?jīng)授權(quán)的訪問活動？網(wǎng)絡(luò)安全內(nèi)部和外部網(wǎng)絡(luò)安全控制可能是必要的，以防止對有重大財務(wù)影響的系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問

29、。取決于對程序和數(shù)據(jù)訪問權(quán)限的其他控制的有效性，還可以考慮以下各項：1. 網(wǎng)絡(luò)設(shè)計（例如領(lǐng)域的邏輯分離、信任關(guān)系、外部網(wǎng)絡(luò)連接等）如何確保對有重大財務(wù)影響的系統(tǒng)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，以防止未經(jīng)授權(quán)的訪問（例如越過防火墻）？2. 管理層如何確保將驗證控制（即密碼控制、用戶分組、遠(yuǎn)程訪問等）植入網(wǎng)絡(luò)配置之中？3. 管理層如何確保對內(nèi)部和外部網(wǎng)絡(luò)設(shè)計作出的所有修改都考慮了適當(dāng)?shù)陌踩刂疲?. 管理層如何監(jiān)督和應(yīng)對內(nèi)部和外部網(wǎng)絡(luò)中潛在的安全事項？實物安全實物安全控制在某些環(huán)境下是必要的，以確保客戶的系統(tǒng)免受未經(jīng)授權(quán)的實物接觸。相關(guān)時，考慮管理層如何對向有重大財務(wù)影響的系統(tǒng)提供邏輯訪問的設(shè)施進(jìn)行實物安全方面的

30、限制。C0: Understand, evaluate and validate: computer operations系統(tǒng)維護(hù)活動的規(guī)程和標(biāo)準(zhǔn)；系統(tǒng)出現(xiàn)問題時的解決方式和流程。計算機運行領(lǐng)域的目標(biāo)是：“確保生產(chǎn)系統(tǒng)按照管理層的控制目標(biāo)完全、正確地運行，運行過程中發(fā)現(xiàn)的問題得以完全、正確地解決，以保持財務(wù)數(shù)據(jù)的完整性?！睂τ嬎銠C運行這一領(lǐng)域進(jìn)行了解、評估，如果擬對該領(lǐng)域的控制予以信賴時,驗證處理交易和生成財務(wù)報表賬戶余額的系統(tǒng)的計算機運行控制。在實施計算機運行控制時，客戶會采取多種措施。以下側(cè)重點可能會有助于識別需要評估和驗證的控制活動。僅需考慮與客戶財務(wù)報告相關(guān)的側(cè)重點。在修訂審計程序時,

31、參考記錄在信息技術(shù)一般控制范圍的步驟中關(guān)于確定范圍的決策。PBC1 備份流程2 備份磁帶輪換時間表3 備份日志(系統(tǒng)日志或手工日志)4 批處理作業(yè)變更流程5 批處理運行紀(jì)錄6 系統(tǒng)性能監(jiān)控證據(jù)7 網(wǎng)絡(luò)性能監(jiān)控證據(jù)8 Helpdesk 流程(如有)9 事故處理流程 (如有)10 事故報告 (如有)11 災(zāi)難恢復(fù)計劃/ 持續(xù)經(jīng)營計劃12 軟硬件以及其他設(shè)施的維護(hù)制度以及維護(hù)報告13 . 機房/重要服務(wù)器所在區(qū)域的物理環(huán)境規(guī)定對計算機運行活動的整體管理管理層應(yīng)當(dāng)建立計算機運行的控制流程并對該流程的有效性進(jìn)行監(jiān)督。考慮以下內(nèi)容：1. 管理層如何記錄和溝通計算機運行的政策和程序？2. 管理層如何記錄和溝通計算機運行中的角色和職責(zé)分工？3. 管理層如何組織計算機運行的功能以確保職責(zé)分離？4. 管理層如何確保計算機運行人員具有履行職責(zé)的必要技能？5. 管理層如何監(jiān)督計算機運行環(huán)境以確保識別和解決潛在的運行問