国际注册内部审计师

TOPIC15　系统安全

一、相关知识

系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。

15.1 GenerAl Control V8.AppliCAtion Control考试论坛

一般控制和应用控制

应用控制与一般控制是两个不同层次的控制手段：

· 一般控制（GenerAl Contr01）包括各种相对通用的控制手段和技术，包括：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。

· 应用控制（AppliCAtion Control）包括和特定应用相关的、为保障应用程序正确运行而设定的控制，如输入控制（input Contr01）、处理控制（proCess Control）、输出控制（output Contr01）等。

相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。

相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。当审计师审查一个应用系统的应用控制时，应首先确认该系统已经建立完善的一般控制。对于较复杂的信息系统，通常应结合使用这两种控制技术。

一般控制包括：

· 管理控制（ADministrAtive Contr01）的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序；计算机编程人员不应该接触计算机设备、数据和已交付使用的程序；操作员不应该参与系统设计或更改程序，这样可以最好地防止拥有充分技术的人员绕过安全程序，对生产程序进行修改。

 相关推荐

更多内审师考试模拟试题

更多内审师考试辅导资料

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页