信息技术一般控制（续）

信息系统的变更和维护

?

目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标 ?

具体控制领域包括： ? 对维护活动的管理

? 对变更请求的规范、授权与跟踪 ? 对程序变更实施过程的控制 ? 测试和质量确保 ? 程序实施 ? 记录和培训 ?

职责分离

信息技术一般控制（续）

信息系统的操作和运行

?

目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性 ?

具体控制领域包括： ? 计算机运行活动的总体管理 ? 批处理 ? 实时处理

? 备份和问题管理 ? 灾难恢复

?

重要电子表格

20

信息技术一般控制（续）

程序和数据的接触安全

?

目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的?

具体控制领域包括： ? 安全活动管理 ? 安全管理 ? 数据安全

? 操作系统安全 ? 网络安全 ? 物理安全

21

信息技术一般控制（续）

信息技术一般控制举例：

1.1系统开发和重大变更流程:

控制点：

? 用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保 存。

? 变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。 ? 系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。

? 制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的 过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。 ? 对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进 行检查。

? 管理层应在系统上线前对其进行检查和审批。

22