首页 > 企业实务 > 内部控制 > 正文

基于SOX的信息安全控制目标

2010-03-16   【 】【打印

基于萨班斯的信息安全控制目标L2x中华财教网

 L2x中华财教网

 L2x中华财教网

控制目标——控制措施能合理保证:适当维护财务报告系统和子系统的安全性,防止未经授权的情况下对数据的使用,披露,修改以及防止数据的损坏和遗失。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

基本原理——确保系统安全包括物理和逻辑两方面的控制,以防止未授权使用的情况发生。这些控制通常支持适当授权,鉴定,认可,数据分类和安全监控。这一领域的缺陷将严重影响财务报告。例如,缺乏对交易授权的控制将导致不准确的财务披露。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

描述性控制L2x中华财教网

 L2x中华财教网

 L2x中华财教网

描述性控制测试L2x中华财教网

 L2x中华财教网

 L2x中华财教网

存在信息安全政策,而且已经过适当管理层的批准。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

取得关于组织安全政策的复印件,评估其有效性。应考虑如下几点:L2x中华财教网

 L2x中华财教网

 L2x中华财教网

1、 安全性对于组织的重要性是否有一个总体说明?L2x中华财教网

 L2x中华财教网

 L2x中华财教网

2、 是否明确了具体的政策目标?L2x中华财教网

 L2x中华财教网

 L2x中华财教网

3、 是否考虑了员工以及合同方的安全责任?L2x中华财教网

 L2x中华财教网

 L2x中华财教网

4、 政策是否经适当的高级管理层批准以表示管理层对安全性的承诺?L2x中华财教网

 L2x中华财教网

 L2x中华财教网

5、 是否将政策通知到各个层次的管理者和员工?L2x中华财教网

 L2x中华财教网

 L2x中华财教网

制订了安全标准框架以支持安全政策的目标。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

取得关于安全标准的复印件。确定这一标准框架是否达到安全控制目标。考虑是否包括了下列安全标准考虑的内容:L2x中华财教网

 L2x中华财教网

 L2x中华财教网

1、 安全组织L2x中华财教网

 L2x中华财教网

 L2x中华财教网

2、 资产分类与控制L2x中华财教网

 L2x中华财教网

 L2x中华财教网

3、 人员安全L2x中华财教网

 L2x中华财教网

 L2x中华财教网

4、 软件安全政策L2x中华财教网

 L2x中华财教网

 L2x中华财教网

5、 物理安全与环境安全L2x中华财教网

 L2x中华财教网

 L2x中华财教网

6、 工作站安全L2x中华财教网

 L2x中华财教网

 L2x中华财教网

7、 计算环境管理L2x中华财教网

 L2x中华财教网

 L2x中华财教网

8、 网络环境管理L2x中华财教网

 L2x中华财教网

 L2x中华财教网

9、 系统访问控制L2x中华财教网

 L2x中华财教网

 L2x中华财教网

10、            业务持续计划L2x中华财教网

 L2x中华财教网

 L2x中华财教网

11、            符合性L2x中华财教网

 L2x中华财教网

 L2x中华财教网

12、            系统开发与维护L2x中华财教网

 L2x中华财教网

 L2x中华财教网

 L2x中华财教网

 L2x中华财教网

 L2x中华财教网

确定是否存在有关程序以沟通和保持这些标准。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

存在符合总体IT战略计划的IT安全计划L2x中华财教网

 L2x中华财教网

 L2x中华财教网

取得关于财务报告系统或子系统的安全计划或安全战略的复印件并评估其相对于公司总体计划是否充分。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

更新IT计划以反映IT环境变更以及特定系统的安全要求。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

确定安全计划反映了财务报告系统和子系统的独特的安全要求。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

制订并执行有关程序鉴定使用系统的用户,以保证交易总体的合理性。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

对赋予用户使用财务报告系统的权限,及权限在一定时期后失效的机制进行评估。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

制订并遵守有关程序,以维护身份认证和访问机制的有效性(如定期更新口令)。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

检查安全措施,确保身份认证控制(口令,ID,两因素机制等等)被恰当运用而且符合一般的保密要求(不共享ID和口令,口令使用字母等等)。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

制订并遵守有关程序,以确保及时响应安全事件的请求,建立,发布,延迟及用户账户注销。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

确保制订并遵守了有关程序,以及时在财务报告系统和子系统上登记、变更和删除用户。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

及时记录并追踪未经授权人员试图进入财务报告系统和子系统的行为。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

选择新用户的样本。确定管理部门是否批准他们使用系统,而且该权限与以前的访问权限是否相符。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

选择离职员工的样本,确定他们的访问权限已被及时取消。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

选择现有用户的样本。检查他们对系统的使用与各自的职务是否相符。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

制订并执行控制程序,以定期检查和确定访问权限。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

询问管理部门是否定期检查对财务报告系统与子系统的访问控制。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

评估对例外事件的重新测试是否充分,是否及时采取追踪控制。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

在合适的地方制订控制措施以确保没有哪一方可以否认交易。执行控制措施以认可原始票据和收据。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

确定组织在交易初始化和批准方面的责任。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

通过观察一个试图进入未授权交易的用户,测试责任控制的效果。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

取得交易的样本,确认关于每个交易的责任或原由的证据。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

在有网络连接的地方,采取包括防火墙,入侵检测,脆弱性评估等适当的控制措施,以防止未经授权的访问。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

确定包括防火墙和入侵检测系统的参数安全是否充分适当。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

询问管理部门是否对上一年的控制措施进行了独立评估(如,道德,社会因素)L2x中华财教网

 L2x中华财教网

 L2x中华财教网

取得关于独立评估的复印件,检查其结果(包括对已确认的薄弱环节所采取的后续措施是否适当)L2x中华财教网

 L2x中华财教网

 L2x中华财教网

确定是否使用防病毒系统保护财务报告系统和子系统的的完整性和安全性。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

在适当的时候,确定是否使用密码技术支持从一个系统传送至另一个系统的财务信息的机密性。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

IT安全管理部门监督、记录安全措施,并将确认的违反安全措施的行为报告高层管理部门。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

询问是否存在安全办公室对安全薄弱环节和相关风险给予监督。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

评估上一年上述有关事项的性质和范围,与管理层讨论他们是如何采取控制措施防止未经授权访问或使用财务系统及子系统的。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

根据数据和系统访问权限的请求与批准的职责分离原则,制订并执行有关的控制措施。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

检查对系统和数据访问权限的请求和批准过程,确定这些职务不由一个人完成。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

只有经过授权和必要的、适当的身份识别和授权之后,才能接触设备。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

取得与设备安全性,密码和读卡权限相关的政策和程序——确定这些程序能否表示适当的身份识别和授权。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

观察组织设备的出入记录,确定对访问权限实施了适当的控制。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

选择用户样本并确定他们的权限与其职责是否相当。L2x中华财教网

 L2x中华财教网

 L2x中华财教网

 L2x中华财教网

责任编辑:admin

发表评论/信息纠错查看全部评论
评论人条评论发表时间
  • 昵    称:
  • 验证码: *
  • 填写评论或纠错内容:
  • 注:您的评论需经过管理员审核后才能公布。
  1、凡本网注明"来源:中华财会网"的所有作品,版权均属中华财会网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明"来源:中华财会网"。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
   编辑信箱:admin#91jiaoyu.com