0-信息技术控制测试 下载本文

3. 信息技术一般控制

1、网络安全: (1)取得网络拓朴图: (2)是否有防火墙:

(3)物理隔离:设备、厂家、清单

(4)逻辑隔离:配置,研发人员不能有操作权限 (5)物理环境是否外包

2、操作系统:了解用什么,微软有漏洞

13

? 如果计算机环境发现了信息技术一般控制的缺陷,则会影响系统整体的可 信程度 例如:

√ 程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程 逻辑进行修改,导致系统接受不准确的录入数据

√ 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理 性检查,而该合理性检查在其他方面将使系统无法处理金额超过最大容 差范围的支付操作

16

信息技术一般控制所包括的范围

信息系统的开发和实施:

? 开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和

质量保证、数据转换、上线、文档与培训等

信息系统的变更和维护:

? 维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产

环境的授权、文档和培训等

信息系统的操作和运行:

? 对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢

复、用户帮助部门的功能、服务水平协议等

程序和数据的接触安全:

? 安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网

络安全、边界网络安全、物理安全等

17

信息系统的开发和实施

?

目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标,包括考虑: ? 程序开发活动的全面管理

? 项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用 控制目标 具体控制领域包括: ? 用户需求

? 测试和质量确保 ? 数据迁移 ? 程序实施 ? 记录和培训 ? 职责分离

?

18