国际注册内部审计师

系统安全

相关知识

系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。

GenerAl Control V8.AppliCAtion Control

一般控制和应用控制

应用控制与一般控制是两个不同层次的控制手段：

· 一般控制（GenerAl Contr01）包括各种相对通用的控制手段和技术，包括：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。

· 应用控制（AppliCAtion Control）包括和特定应用相关的、为保障应用程序正确运行而设定的控制，如输入控制（input Contr01）、处理控制（proCess Control）、输出控制（output Contr01）等。

相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。

相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。当审计师审查一个应用系统的应用控制时，应首先确认该系统已经建立完善的一般控制。对于较复杂的信息系统，通常应结合使用这两种控制技术。

一般控制包括：

· 管理控制（ADministrAtive Contr01）的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序；计算机编程人员不应该接触计算机设备、数据和已交付使用的程序；操作员不应该参与系统设计或更改程序，这样可以最好地防止拥有充分技术的人员绕过安全程序，对生产程序进行修改。

· 运行控制（operAtions Control）包括：

计算机运行控制是为确保系统的正常运行而实施的控制。例如，对不需要的文件要在受控条件下及时删除；

· 系统实施控制（implementAtion Control）是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下，文档应从技术和应用两个角度说明系统是如何运行的；

· 软件控制（softwAre Control）是保证已投入运行的软件未经许可不得修改的控制；

· 硬件控制（hArDwAre Contr01）是保证硬件正常运行的控制，如回波检验（eCho CheCk）、奇偶校验（pArity CheCk）等；

· 访问控制（ACCess Contr01）是确保只有被授权用户才能实现对特定数据和资源进行访问的控制，通常特指逻辑访问控制（logiCAl ACCess Control）；

· 物理设备控制（physiCAl DeviCe Contr01）是防止对物理设备的非授权接触的控制。

应用控制包括：

· 输入控制（input Contr01）包括输入授权（input AuthorizAtion）、数据转换（DAtA Conversion）和编辑检验（eDit CheCks）。其中，编辑检验又包括合理性检验 （reAsonABleness CheCks）、格式检验（formAt CheCks）、存在性检验（existenCe CheCks）、依赖性检验（DepenDenCy CheCks） （又称相关性检验）、检验位 （CheCk Digit）、重新输入控制（reinput Control）等。

· 处理控制（proCessing Contr01），包括运行总数控制（run Control totAls）、计算机匹配（Computer mAtChing）、并发控制（ConCurrenCy Contr01）。

· 输出控制（output Contr01）包括平衡总数（BAlAnCing totAls）、复核处理日志（review of proCessing logs）、审核输出报告（AuDit of output report）、审核制度与文件（AuDit of proCeDures AnD DoCumentAtion）。

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页