一、信息基础设施、应用程序和数据库的访问控制
二it、信息系统开发生命周期的控制
一个企审计业组织必须按照标准化的流程it,对信息系统的立项、开发、运行、完善与终止等过程实施控制。内部审计开展IT审计,要对操作信息系统开发周期内的各个环节实施控制检查和测试。尽管审计人员对IT技术不够了解,但是对审计诸如信息系统立项是否合业务理、开发成本是否有效控制、开发人员是否具流程备资质、开发周期是否在预算时间内等等开展检查。
三、变更应用熟悉与管理程序模块的控制
信息系统中,某些程序模块的升级、变更、合并等都会影响信息系统整体的安全性和稳定性,因此,变更应用与管理程序模块必须要有严格控制工作流程。
四、数据中心的物理安全控制
物理安全控制的检查相对容易一些,例如审计人员要看数据中心的流程物理环境是否符合安全的条件,是否防火、放水、温度是否工作流程合适等等。但除了这些,也有很专业的地方,例如设备的性能与环境的关系等等。
五、系统、数据备份和恢复的控制
信息技术部门一般都会有相应的操作章程来规定系统、数据备份的周期。系统熟悉、数据备份也会留下相应的痕迹和记录。但实际操作中,是否能真正按照操作章程对系统、数据进行备份呢?曾经一位IT资深人士告诉笔者,他所在的某大型金融单位在搬迁在用的计算机设备前操作,还真的没有进行按照规程进行数据备份,所幸最后设备搬迁和调试运行顺利。
六、计算机操作系统的控制
很多审计人员在开展IT审计时,都是从计算机操作系统控制入手的。例如,审计人员会检查计算机操作系统的权限设业务置是否合理,登陆密码是否及时更新,是否存在一个权限不同人使用,是否离任人员的操作系统权限及时清理,等等。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
