1.4.2 控制目标和控制措施
控制目标被定义为一个或多个运营领域或角色的目标,旨在促成公司战略目标的实现。换句话说,控制目标与公司的整体战略明确相关。
控制目标说明通过实施控制活动(程序)所达到的期望结果或目的。例如,控制目标可能会与以下概念相关:
• 运营的有效性和效率。
• 财务报告的可靠性。
• 遵守适用法律法规。
• 保护信息资产。
控制目标适用于所有控制,无论是手动控制、自动控制还是两者兼而有之(如系统日志审查)。信息系统环境下的控制目标与手动环境下的目标没有差异;但控制措施的实施方式可能会有所不同。因此,需要采用一种与特定信息系统相关流程有关的方式来实现控制目标。
控制措施是指有助于实现控制目标的活动。控制目标和控制措施均可用于将战略层面的目标分解为较低级别的目标和活动,以便能够作为任务分配给员工。这种分配可表现为工作说明中指定的角色描述。
信息系统控制目标
信息系统控制目标包括一整套高层次要求供管理层考虑,用以有效控制各个IT流程领域。信息系统控制目标:
• 说明对信息系统流程实施控制达到期望结果或目标。
• 政策、程序、实践和组织结构。
• 要求旨在提供合理保证,确保将实现业务目标并预防、检测和纠正意外事件。
组织管理层需要通过以下方式做出与控制目标相关的选择:
• 选择适用的控制目标。
• 决定将要实施的控制目标。
• 选择实施方式(如频率、范围、自动化等)。
• 接受因未实施可能适用的目标而面临的风险。
特定于信息系统的控制目标包括:
• 保护信息资产,包括确保关于自动化系统的信息为最新信息,而且足够安全,不会遭到不正当访问。
• 确保制定、落实并有效运行系统开发生命周期(System Development Life Cycle,SDLC)流程,以合理保证业务、财务和/或工业软件系统和应用程序的开发可重复、可靠并符合业务目标。
• 确保通用操作系统(Operating System,OS)环境的完整性,包括网络管理和运营。
• 通过以下方法确保敏感和关键应用程序系统环境完整性,包括会计/财务和管理信息(信息目标)以及客户数据:
■ 输入授权。对每笔交易进行授权,并且只允许输入一次。
■ 输入验证。对每次输入进行验证,确保其不会对交易处理带来负面影响。
■ 交易处理的准确性和完整性。准确记录特定时段内完成的所有交易并将其输入到系统中。
■ 整体信息处理活动的可靠性。系统在处理过程中采取的所有程序操作都是合理的。
■ 输出的准确性、完整性和安全性。可以依赖于输出并实施对策,以确保所生成信息资产的安全性。
■ 数据库机密性、完整性和可用性。底层记录系统具有一般信息系统安全控制。
• 确保恰当识别信息系统资源的用户(最终用户以及基础设施支持)并对其进行身份认证。
• 确保运营的效率和有效性(运营目标)。
• 符合用户要求、组织政策和程序,以及适用的法律法规(合规性目标)。
• 通过制订高效的业务持续计划(Business Continuity Plan,BCP)以及包括备份和恢复流程在内的灾难恢复计划(Disaster Recovery Plan,DRP)来确保IT服务的可用性。
• 通过制订事故响应计划来增强对数据和系统的保护。。
• 通过实施有效的变更管理程序来确保系统的完整性和可靠性。
• 确保外包的信息系统流程和服务明确定义服务等级协议和合同条款与条件,以保护组织的资产并实现业务目标和目的。
一般控制方法
一般控制方法适用于组织的所有领域,如图1.5所示。
涉及日常运营、职能和活动的运营和管理控制通常属于管理控制的范畴。技术控制和物理控制分别涉及技术的使用和物理设备或装置的使用,以控制访问。
图1.5 一般控制方法
企业应维持控制类型的适当平衡,以满足其特定需求并帮助实现其业务目标。例如,实施技术控制(例如,防火墙)需要为管理或实行该控制的员工提供以下培训:其正确配置程序、其监控责任分配以及定期测试之安排。如果不同时实施这些控制,则利益相关方可能产生一种安全错觉,导致漏洞未识别、资源使用无效以及超出预期的风险。
信息系统特有的控制
每项一般控制方法都可以转变为信息系统特有的控制。精心设计的信息系统应针对其所有敏感或关键功能内置相应的控制。例如,应制定一般程序,以确保对资产和设施的访问采取适当的保障措施,并将其转化为一套与信息系统有关的控制程序,其中包括对计算机程序、数据和设备的访问保护。
信息系统特有的控制程序示例包括:
• IT职能的战略和方向。
• IT职能的一般组织和管理。
• 对包括数据和程序在内的IT资源的访问。
• 系统开发方法和变更控制。
• 操作程序。
• 系统编程和技术支持功能。
• 质量保证(Quality Assurance,QA)程序。
• 物理访问控制。
• BCP/DRP.
• 网络和通信技术(如局域网、广域网、无线网络)。
• 数据库管理。
• 针对内部和外部攻击的保护和检测机制。
注意
CISA考生应该了解与信息系统控制相关的概念,并知道在觃划审计时如何运用这些概念。
业务流程应用程序和控制
在集成式应用程序环境中,控制以嵌入方式配置到支持流程的业务应用程序中。业务流程控制鉴证涉及评估流程和活动级别的控制,这些控制可能结合了管理、程序化和手动控制。除评估会对流程产生影响的一般控制之外,信息系统审计师还应评估特定于业务流程所有者的相关控制,例如,适当安全防护和职责分离(Separation of Duties,SoD)、访问权限的定期审查和审批,以及业务流程中的应用程序控制等。
要对业务应用程序系统进行有效审计,信息系统审计师必须对受审查的应用程序系统具有清晰的认识。为提高效率并增强信息可靠性,多个财务和运营职能已经实现计算机化。这些应用程序涉及的范围极广,从传统应用程序(包括总账、应付账款、薪资管理),到适用于特定行业的应用程序(如银行贷款、交易结算、物料需求规划),应有尽有。由于这些应用程序具备独特性,计算机化的应用程序系统进一步加剧了审计工作的复杂程度。这些特性可能包括有限的审计轨迹、即时更新和信息过载。
图1.6描述了企业中常见业务应用程序的风险和控制示例。
图1.6 业务应用程序控制
注意
CISA考生应当熟悉不同类型的业务应用程序系统和架构、流程、风险和相关控制,以及信息系统审计影响和实务。信息系统审计师应参考特定于行业或技术的指导,并根据需要应用适当的信息系统特有的控制。例如,在审查电子商务应用程序时,信息系统审计师可以考虑来自权威来源(例如开放式Web应用程序安全项目)的适用指导。如果信息系统审计部门不具备特定的技能,则应聘请外部专家来执行相关审查。