公眾號(hào):mywangxiao
及時(shí)發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗(yàn)
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
為了幫助考生系統(tǒng)的復(fù)習(xí)2011年內(nèi)部審計(jì)師考試課程,全面的了解內(nèi)審師考試教材的相關(guān)重點(diǎn),小編特編輯匯總了2011年國(guó)際內(nèi)審師考試輔導(dǎo)資料,希望對(duì)您參加本次考試有所幫助!
內(nèi)部審計(jì)師考試《經(jīng)營(yíng)分析和信息技術(shù)》知識(shí)點(diǎn):系統(tǒng)安全
系統(tǒng)安全是在風(fēng)險(xiǎn)分析的基礎(chǔ)上,選擇適宜的控制目標(biāo)與控制方式,對(duì)系統(tǒng)的安全進(jìn)行控制,使信息資產(chǎn)的風(fēng)險(xiǎn)降到組織可以接受的水平。
15.1 General Control V8.Application Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個(gè)不同層次的控制手段:
一般控制(General Contr01)包括各種相對(duì)通用的控制手段和技術(shù),包括:管理控制、計(jì)算機(jī)運(yùn)行控制、系統(tǒng)實(shí)施控制、軟件控制、硬件控制、訪問(wèn)控制和數(shù)據(jù)安全控制等。
應(yīng)用控制(Application Control)包括和特定應(yīng)用相關(guān)的、為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制,如輸入控制(input contr01)、處理控制(process control)、輸出控制(output contr01)等。
相對(duì)于應(yīng)用控制,一般控制更為基礎(chǔ),且其有效性不受應(yīng)用控制的影響。相反,應(yīng)用控制的有效性則往往受到一般控制,尤其是操作系統(tǒng)訪問(wèn)控制的影響。當(dāng)審計(jì)師審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí),應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對(duì)于較復(fù)雜的信息系統(tǒng),通常應(yīng)結(jié)合使用這兩種控制技術(shù)。
一般控制包括:
管理控制(administrative contr01)的主要目標(biāo)是實(shí)現(xiàn)職責(zé)分離。常見(jiàn)的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和程序;計(jì)算機(jī)編程人員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和已交付使用的程序;操作員不應(yīng)該參與系統(tǒng)設(shè)計(jì)或更改程序,這樣可以最好地防止擁有充分技術(shù)的人員繞過(guò)安全程序,對(duì)生產(chǎn)程序進(jìn)行修改。
運(yùn)行控制(operations control)包括:
計(jì)算機(jī)運(yùn)行控制是為確保系統(tǒng)的正常運(yùn)行而實(shí)施的控制。例如,對(duì)不需要的文件要在受控條件下及時(shí)刪除;
系統(tǒng)實(shí)施控制(implementation control)是在系統(tǒng)開(kāi)發(fā)實(shí)施過(guò)程的各個(gè)環(huán)節(jié)都建立控制點(diǎn)并編制文檔以保證系統(tǒng)的實(shí)施是在適當(dāng)?shù)目刂坪凸芾碇拢臋n應(yīng)從技術(shù)和應(yīng)用兩個(gè)角度說(shuō)明系統(tǒng)是如何運(yùn)行的;
軟件控制(software control)是保證已投入運(yùn)行的軟件未經(jīng)許可不得修改的控制;
硬件控制(hardware contr01)是保證硬件正常運(yùn)行的控制,如回波檢驗(yàn)(echo check)、奇偶校驗(yàn)(parity check)等;
訪問(wèn)控制(access contr01)是確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源進(jìn)行訪問(wèn)的控制,通常特指邏輯訪問(wèn)控制(logical access control);
物理設(shè)備控制(physical device contr01)是防止對(duì)物理設(shè)備的非授權(quán)接觸的控制。
應(yīng)用控制包括:
輸入控制(input contr01)包括輸入授權(quán)(input authorization)、數(shù)據(jù)轉(zhuǎn)換(data conversion)和編輯檢驗(yàn)(edit checks)。其中,編輯檢驗(yàn)又包括合理性檢驗(yàn) (reasonableness checks)、格式檢驗(yàn)(format checks)、存在性檢驗(yàn)(existence checks)、依賴性檢驗(yàn)(dependency checks)(又稱相關(guān)性檢驗(yàn))、檢驗(yàn)位 (check digit)、重新輸入控制(reinput control)等。
處理控制(processing contr01),包括運(yùn)行總數(shù)控制(run control totals)、計(jì)算機(jī)匹配(computer matching)、并發(fā)控制(concurrency contr01)。
輸出控制(output contr01)包括平衡總數(shù)(balancing totals)、復(fù)核處理日志(review of processing logs)、審核輸出報(bào)告(audit of output report)、審核制度與文件(audit of procedures and documentation)。
相關(guān)文章:
2011年內(nèi)審師考試分析技術(shù)輔導(dǎo):系統(tǒng)安全匯總
2011年國(guó)際內(nèi)審師考試輔導(dǎo):應(yīng)急計(jì)劃匯總
更多關(guān)注:內(nèi)部審計(jì)師考試報(bào)考指南 考試培訓(xùn) 成績(jī)管理
(責(zé)任編輯:中大編輯)