發(fā)表時(shí)間:2011/11/15 15:27:34 來源:互聯(lián)網(wǎng)
點(diǎn)擊關(guān)注微信:
為了幫助考生系統(tǒng)的復(fù)習(xí)2011年內(nèi)部審計(jì)師考試課程�,全面的了解內(nèi)審師考試教材的相關(guān)重點(diǎn)��,小編特編輯匯總了2011年國際內(nèi)審師考試輔導(dǎo)資料���,希望對您參加本次考試有所幫助�!
內(nèi)部審計(jì)師考試《經(jīng)營分析和信息技術(shù)》知識(shí)點(diǎn):系統(tǒng)安全
系統(tǒng)安全是在風(fēng)險(xiǎn)分析的基礎(chǔ)上��,選擇適宜的控制目標(biāo)與控制方式���,對系統(tǒng)的安全進(jìn)行控制�,使信息資產(chǎn)的風(fēng)險(xiǎn)降到組織可以接受的水平���。
15.1 General Control V8.Application Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個(gè)不同層次的控制手段:
一般控制(General Contr01)包括各種相對通用的控制手段和技術(shù)�,包括:管理控制��、計(jì)算機(jī)運(yùn)行控制、系統(tǒng)實(shí)施控制��、軟件控制���、硬件控制、訪問控制和數(shù)據(jù)安全控制等�。
應(yīng)用控制(Application Control)包括和特定應(yīng)用相關(guān)的、為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制�,如輸入控制(input contr01)、處理控制(process control)��、輸出控制(output contr01)等���。
相對于應(yīng)用控制�,一般控制更為基礎(chǔ)���,且其有效性不受應(yīng)用控制的影響�。相反�,應(yīng)用控制的有效性則往往受到一般控制,尤其是操作系統(tǒng)訪問控制的影響��。當(dāng)審計(jì)師審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí)��,應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對于較復(fù)雜的信息系統(tǒng)���,通常應(yīng)結(jié)合使用這兩種控制技術(shù)��。
一般控制包括:
管理控制(administrative contr01)的主要目標(biāo)是實(shí)現(xiàn)職責(zé)分離�。常見的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計(jì)算機(jī)設(shè)備��、數(shù)據(jù)和程序���;計(jì)算機(jī)編程人員不應(yīng)該接觸計(jì)算機(jī)設(shè)備���、數(shù)據(jù)和已交付使用的程序;操作員不應(yīng)該參與系統(tǒng)設(shè)計(jì)或更改程序���,這樣可以最好地防止擁有充分技術(shù)的人員繞過安全程序��,對生產(chǎn)程序進(jìn)行修改���。
運(yùn)行控制(operations control)包括:
計(jì)算機(jī)運(yùn)行控制是為確保系統(tǒng)的正常運(yùn)行而實(shí)施的控制。例如�,對不需要的文件要在受控條件下及時(shí)刪除;
系統(tǒng)實(shí)施控制(implementation control)是在系統(tǒng)開發(fā)實(shí)施過程的各個(gè)環(huán)節(jié)都建立控制點(diǎn)并編制文檔以保證系統(tǒng)的實(shí)施是在適當(dāng)?shù)目刂坪凸芾碇?��,文檔應(yīng)從技術(shù)和應(yīng)用兩個(gè)角度說明系統(tǒng)是如何運(yùn)行的��;
軟件控制(software control)是保證已投入運(yùn)行的軟件未經(jīng)許可不得修改的控制��;
硬件控制(hardware contr01)是保證硬件正常運(yùn)行的控制�,如回波檢驗(yàn)(echo check)、奇偶校驗(yàn)(parity check)等��;
訪問控制(access contr01)是確保只有被授權(quán)用戶才能實(shí)現(xiàn)對特定數(shù)據(jù)和資源進(jìn)行訪問的控制��,通常特指邏輯訪問控制(logical access control)�;
物理設(shè)備控制(physical device contr01)是防止對物理設(shè)備的非授權(quán)接觸的控制���。
應(yīng)用控制包括:
輸入控制(input contr01)包括輸入授權(quán)(input authorization)�、數(shù)據(jù)轉(zhuǎn)換(data conversion)和編輯檢驗(yàn)(edit checks)�。其中,編輯檢驗(yàn)又包括合理性檢驗(yàn) (reasonableness checks)�、格式檢驗(yàn)(format checks)、存在性檢驗(yàn)(existence checks)�、依賴性檢驗(yàn)(dependency checks)(又稱相關(guān)性檢驗(yàn))、檢驗(yàn)位 (check digit)���、重新輸入控制(reinput control)等��。
處理控制(processing contr01)��,包括運(yùn)行總數(shù)控制(run control totals)��、計(jì)算機(jī)匹配(computer matching)�、并發(fā)控制(concurrency contr01)。
輸出控制(output contr01)包括平衡總數(shù)(balancing totals)���、復(fù)核處理日志(review of processing logs)�、審核輸出報(bào)告(audit of output report)���、審核制度與文件(audit of procedures and documentation)���。
相關(guān)文章:
2011年內(nèi)審師考試分析技術(shù)輔導(dǎo):系統(tǒng)安全匯總
2011年國際內(nèi)審師考試輔導(dǎo):應(yīng)急計(jì)劃匯總
更多關(guān)注:內(nèi)部審計(jì)師考試報(bào)考指南 考試培訓(xùn) 成績管理
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁
