您现在的位置:ITGov-IT治理研究中心>> 研究>> IT领导力>>正文内容
基于SOX的信息安全控制目标
发布时间:2006年03月01日点击数: 作者:王东红 来源:本站原创
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:

基于萨班斯的信息安全控制目标

控制目标——控制措施能合理保证:适当维护财务报告系统和子系统的安全性,防止未经授权的情况下对数据的使用,披露,修改以及防止数据的损坏和遗失。

基本原理——确保系统安全包括物理和逻辑两方面的控制,以防止未授权使用的情况发生。这些控制通常支持适当授权,鉴定,认可,数据分类和安全监控。这一领域的缺陷将严重影响财务报告。例如,缺乏对交易授权的控制将导致不准确的财务披露。

描述性控制

描述性控制测试

存在信息安全政策,而且已经过适当管理层的批准。

取得关于组织安全政策的复印件,评估其有效性。应考虑如下几点:

1、 安全性对于组织的重要性是否有一个总体说明?

2、 是否明确了具体的政策目标?

3、 是否考虑了员工以及合同方的安全责任?

4、 政策是否经适当的高级管理层批准以表示管理层对安全性的承诺?

5、 是否将政策通知到各个层次的管理者和员工?

制订了安全标准框架以支持安全政策的目标。

取得关于安全标准的复印件。确定这一标准框架是否达到安全控制目标。考虑是否包括了下列安全标准考虑的内容:

1、 安全组织

2、 资产分类与控制

3、 人员安全

4、 软件安全政策

5、 物理安全与环境安全

6、 工作站安全

7、 计算环境管理

8、 网络环境管理

9、 系统访问控制

10、            业务持续计划

11、            符合性

12、            系统开发与维护

 

确定是否存在有关程序以沟通和保持这些标准。

存在符合总体IT战略计划的IT安全计划

取得关于财务报告系统或子系统的安全计划或安全战略的复印件并评估其相对于公司总体计划是否充分。

更新IT计划以反映IT环境变更以及特定系统的安全要求。

确定安全计划反映了财务报告系统和子系统的独特的安全要求。

制订并执行有关程序鉴定使用系统的用户,以保证交易总体的合理性。

对赋予用户使用财务报告系统的权限,及权限在一定时期后失效的机制进行评估。

制订并遵守有关程序,以维护身份认证和访问机制的有效性(如定期更新口令)。

检查安全措施,确保身份认证控制(口令,ID,两因素机制等等)被恰当运用而且符合一般的保密要求(不共享ID和口令,口令使用字母等等)。

制订并遵守有关程序,以确保及时响应安全事件的请求,建立,发布,延迟及用户账户注销。

确保制订并遵守了有关程序,以及时在财务报告系统和子系统上登记、变更和删除用户。

及时记录并追踪未经授权人员试图进入财务报告系统和子系统的行为。

选择新用户的样本。确定管理部门是否批准他们使用系统,而且该权限与以前的访问权限是否相符。

选择离职员工的样本,确定他们的访问权限已被及时取消。

选择现有用户的样本。检查他们对系统的使用与各自的职务是否相符。

制订并执行控制程序,以定期检查和确定访问权限。

询问管理部门是否定期检查对财务报告系统与子系统的访问控制。

评估对例外事件的重新测试是否充分,是否及时采取追踪控制。

在合适的地方制订控制措施以确保没有哪一方可以否认交易。执行控制措施以认可原始票据和收据。

确定组织在交易初始化和批准方面的责任。

通过观察一个试图进入未授权交易的用户,测试责任控制的效果。

取得交易的样本,确认关于每个交易的责任或原由的证据。

在有网络连接的地方,采取包括防火墙,入侵检测,脆弱性评估等适当的控制措施,以防止未经授权的访问。

确定包括防火墙和入侵检测系统的参数安全是否充分适当。

询问管理部门是否对上一年的控制措施进行了独立评估(如,道德,社会因素)

取得关于独立评估的复印件,检查其结果(包括对已确认的薄弱环节所采取的后续措施是否适当)

确定是否使用防病毒系统保护财务报告系统和子系统的的完整性和安全性。

在适当的时候,确定是否使用密码技术支持从一个系统传送至另一个系统的财务信息的机密性。

IT安全管理部门监督、记录安全措施,并将确认的违反安全措施的行为报告高层管理部门。

询问是否存在安全办公室对安全薄弱环节和相关风险给予监督。

评估上一年上述有关事项的性质和范围,与管理层讨论他们是如何采取控制措施防止未经授权访问或使用财务系统及子系统的。

根据数据和系统访问权限的请求与批准的职责分离原则,制订并执行有关的控制措施。

检查对系统和数据访问权限的请求和批准过程,确定这些职务不由一个人完成。

只有经过授权和必要的、适当的身份识别和授权之后,才能接触设备。

取得与设备安全性,密码和读卡权限相关的政策和程序——确定这些程序能否表示适当的身份识别和授权。

观察组织设备的出入记录,确定对访问权限实施了适当的控制。

选择用户样本并确定他们的权限与其职责是否相当。

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计