悦读文网

当前位置: 首页 > 徐子曰 > 正文

2010年内审师CIA《分析和信息技术》:信息技术(2)_国际内审师

时间:2018-06-01来源:能者在职网

1.1. eSAC

国际内审研究院(IIA)在1977年第一次明确提出SAC的概念。当时SAC指的是系统审计和控制(systems auditability and control)。由国际内审研究基金会在1991年和1994年进行较大更新后,SAC是指系统鉴证与控制(systems assurance and control)。目前,SAC已成为IT审计师在信息技术安全、控制与审计领域中的重要指南。

在新版本中,可审计性(auditability)一词已被鉴证(assurance)替代。这是因为我们逐渐认识到治理(governance)和融合(alliance)的重要性,要在组织内部及与业务伙伴的合作中,保证对信息系统有足够的控制,以解放军150医院癫痫科怎么样保护系统的安全性、可审计性。

在电子商务时代,随着互联网技术的飞速发展,系统中的控制及相互依赖性已经没有组织与地理位置的限制,普遍存在于各种组织中。不管是什么规模的组织,都需要有一套控制指南来有效地管理信息系统和技术,并随着业务环境的变化和新技术的发展及时更新系统。信息系统审计师及IT安全从业人员必须知道威胁来自何处,如何管理这些威胁带来的风险,而且也要知道如何与不同层次的管理人员共同讨论安全问题。我们在考虑信息与系统安全时,着重要回答以下关键问题:“如何管理IT风险?”“如何判断安全与控制措施是否完备?”“谁可以为IT安全提供鉴证?”“鉴证可以说明什么?”等。这就是制订SAC控制规范的主要原因。

SAC通过提供及时更新的信息,帮助我们理解、枕叶癫痫病的早期症状监测、评估及降低技术风险。SAC检查业务系统各个组成部分的风险,包括客户、竞争对手、监管部门及合作伙伴。

在新版本SAC中,一个重要特征就是提出了eSAC控制模型。该模型的建立有利于对在电子商务环境中的目标、风险及减轻威胁造成的风险的措施三者的关系进行讨论。

目前有许多不同的风险与控制模型,任何一种模型都有其特定的适用对象及范围,组织必须进行合理剪裁,以适合组织的实际情况。eSAC模型可以较好地反映快速变化的技术环境及电子商务模式所带来的风险,并给出如何管理这些风险的建议。

模型中的左边箭头表示的是组织的任务,包括组织的价值取向、企业战略、主要目标等。右边箭头表示的是组织获得所期望的回报,同时满足组织形象与声望的完善,及获得进一为什么癫痫病很容易发作呢?步提高绩效的学习能力。

从目标到结果需要建立合理的控制环境,包括系统运营的效果和效率(operating),财务及管理的报告(reporting),法律、法规的符合性(compliance),对信息资产的保护(safeguarding)。

控制的效果要用与电子商务相关的各种控制属性来描述,如可用性(availability)、实际能力(capability)、机能性(functionality)、可保护性(protect ability)、责任性(accountability),这些属性都可被称作业务鉴证目标,为人们正确看待各种控制提供了更广阔而准确的框架,对任何业务的控制都可以通过控制属性的组合来实现。例如,对隐私问题的控制可以通过可保护性癫痫病医院哪家比较权威和责任性的组合来实现。

要实现有效控制,需要利用各种资源,如人员(people)、技术(technology)、流程(processes)、投资(investment)、沟通(communication)。

影响内部控制环境的外部因素主要有两种,如多方向的箭头表述了与外部实体(供应商、合作伙伴、代理商)之间的交互作用及相互依赖性,单方向箭头表述了外部市场力量(如客户、竞争对手、监管者、共同体、股东)和不断变化的环境对内部控制的影响。

椭圆形区域表示动态的控制内外部环境,为保证控制环境相对稳定和可控,就必须对环境进行监测与预测,使相关风险被控制在一个组织可以接受的水平。



------分隔线----------------------------