對(duì)于從事會(huì)計(jì)業(yè)務(wù)的IT審計(jì)師來(lái)說(shuō)，IT一般控制的重要性是顯而易見(jiàn)的，尤其是在財(cái)務(wù)報(bào)表的訪問(wèn)管理領(lǐng)域。十多年來(lái)，IT一般控制幾乎沒(méi)有變化，而美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）的信托服務(wù)標(biāo)準(zhǔn)和云安全聯(lián)盟（CSA）的云控制矩陣等框架卻在不斷發(fā)展。國(guó)際標(biāo)準(zhǔn)化組織（ISO）標(biāo)準(zhǔn)ISO 27002的信息安全框架也在進(jìn)行重大升級(jí)，包括新的控制措施。數(shù)據(jù)生命周期內(nèi)的財(cái)務(wù)報(bào)告風(fēng)險(xiǎn)因素幾乎沒(méi)有變化，這可能嗎？數(shù)據(jù)被保存在一個(gè)系統(tǒng)內(nèi)，如數(shù)據(jù)庫(kù)，其功能確保數(shù)據(jù)可以被訪問(wèn)和處理。然而，隨著信息系統(tǒng)的外包和（虛擬）硬件的使用，IT環(huán)境已經(jīng)發(fā)生了重大變化。為了確定IT一般控制是否需要更新，或者它們是否仍然足以覆蓋大多數(shù)IT環(huán)境，檢查這些適用于數(shù)據(jù)安全（主要是完整性和機(jī)密性）的控制是非常有用的。然后，可以將選取的IT一般控制與服務(wù)組織鑒證報(bào)告中經(jīng)常使用和普遍接受的框架及其數(shù)據(jù)保護(hù)控制進(jìn)行比較。

審計(jì)師使用一套基本的（建議的）IT一般控制措施來(lái)確定控制措施，如國(guó)際審計(jì)與鑒證準(zhǔn)則委員會(huì)（IAASB）在《國(guó)際審計(jì)準(zhǔn)則》（ISA）315（2019年修訂版）中公布的準(zhǔn)則中所定義的控制措施。確定的控制措施可以根據(jù)其應(yīng)用和IT環(huán)境的其他方面而有所不同。有關(guān)數(shù)據(jù)安全的IT一般控制措施在《國(guó)際審計(jì)準(zhǔn)則》315附錄6中定義。

(資料圖片僅供參考)

在訪問(wèn)管理領(lǐng)域，能夠影響數(shù)據(jù)保護(hù)的控制措施包括：

身份驗(yàn)證控制-確保訪問(wèn)IT應(yīng)用或IT環(huán)境其他方面的用戶沒(méi)有使用其他用戶的登錄憑證。

授權(quán)控制-允許用戶只能訪問(wèn)其工作職責(zé)所需的信息，這有利于適當(dāng)?shù)穆氊?zé)分離。

配置控制-授權(quán)新用戶和修改現(xiàn)有用戶的訪問(wèn)權(quán)限。

撤消控制-在終止或（崗位）調(diào)動(dòng)時(shí)撤消用戶訪問(wèn)權(quán)限。

特權(quán)訪問(wèn)控制-授權(quán)管理員用戶或高級(jí)用戶的訪問(wèn)。

用戶訪問(wèn)審查控制-驗(yàn)證或評(píng)估用戶訪問(wèn)權(quán)限，以便在一段時(shí)間內(nèi)持續(xù)授權(quán)。

安全配置控制-每種技術(shù)一般都有關(guān)鍵的配置設(shè)置，幫助限制對(duì)環(huán)境的訪問(wèn)。

物理訪問(wèn)控制-授權(quán)對(duì)數(shù)據(jù)中心和硬件的物理訪問(wèn)，因?yàn)檫@種訪問(wèn)可能會(huì)凌駕于其他控制之上。

在變更管理領(lǐng)域，可能影響數(shù)據(jù)保護(hù)的控制措施包括：

數(shù)據(jù)轉(zhuǎn)換控制-授權(quán)在開(kāi)發(fā)、實(shí)施或升級(jí)IT環(huán)境期間進(jìn)行數(shù)據(jù)轉(zhuǎn)換。

在IT運(yùn)營(yíng)管理領(lǐng)域，能夠影響數(shù)據(jù)保護(hù)的控制措施包括：

入侵檢測(cè)控制-監(jiān)測(cè)IT環(huán)境中的漏洞和/或入侵行為。

《國(guó)際審計(jì)準(zhǔn)則》（ISA）315（2019年修訂版）中提到這些控制是審計(jì)師可能考慮的IT一般控制。審計(jì)員必須進(jìn)行風(fēng)險(xiǎn)評(píng)估，并使用專業(yè)判斷來(lái)確定IT環(huán)境中的風(fēng)險(xiǎn)因素和適當(dāng)?shù)目刂拼胧﹣?lái)緩解這些風(fēng)險(xiǎn)。ISA315中定義的IT一般控制清單與其他組織定義的IT一般控制準(zhǔn)則相似。因此，ISA標(biāo)準(zhǔn)是IT審計(jì)師使用的IT一般控制的適當(dāng)反映。

除了依靠信息系統(tǒng)進(jìn)行財(cái)務(wù)報(bào)告所需的IT一般控制之外，大多數(shù)服務(wù)組織還向客戶提供鑒證報(bào)告，以證明其符合控制框架?？刂瓶蚣?，比如那些由AICPA和CSA制定的框架，包含了比我們熟悉的IT一般控制更多的控制。當(dāng)其他框架的控制被認(rèn)為是無(wú)效的，或者如果鑒證報(bào)告有保留意見(jiàn)，就會(huì)進(jìn)行影響評(píng)估，以確定這些缺陷是否會(huì)對(duì)財(cái)務(wù)報(bào)告產(chǎn)生負(fù)面影響。由于服務(wù)機(jī)構(gòu)控制（SOC）報(bào)告通常不只涵蓋IT一般控制，會(huì)計(jì)師和IT審計(jì)師必須確定額外控制的影響，而這些控制在只測(cè)試IT一般控制時(shí)一般不會(huì)被評(píng)估。

為了確定與數(shù)據(jù)保護(hù)相關(guān)的、不在IT一般控制范圍內(nèi)的控制措施，對(duì)可信服務(wù)標(biāo)準(zhǔn)和云控制矩陣進(jìn)行了差距分析。對(duì)于可信服務(wù)標(biāo)準(zhǔn)，確定了額外的數(shù)據(jù)保護(hù)控制措施。

該實(shí)體選擇、制定并執(zhí)行持續(xù)或單獨(dú)的評(píng)價(jià)，以確定內(nèi)部控制的組成部分是否存在并發(fā)揮作用。

該實(shí)體為信息資產(chǎn)實(shí)施邏輯訪問(wèn)安全軟件、基礎(chǔ)設(shè)施和架構(gòu)，以保護(hù)它們免受安全事件的影響。

該實(shí)體將信息的傳輸、移動(dòng)和移除限制在經(jīng)授權(quán)的內(nèi)部和外部用戶和流程中，并在傳輸、移動(dòng)或移除過(guò)程中對(duì)其進(jìn)行保護(hù)。

該實(shí)體實(shí)施控制措施，以防止或檢測(cè)未經(jīng)授權(quán)或惡意軟件的引入并采取行動(dòng)。

該實(shí)體使用檢測(cè)和監(jiān)控程序來(lái)識(shí)別導(dǎo)致引入新漏洞以及對(duì)新發(fā)現(xiàn)漏洞的敏感性的配置變更。

該實(shí)體監(jiān)測(cè)系統(tǒng)組件和這些組件的運(yùn)行情況，以發(fā)現(xiàn)表明惡意行為、自然災(zāi)害和影響該實(shí)體實(shí)現(xiàn)其目標(biāo)的錯(cuò)誤的異常情況；對(duì)異常情況進(jìn)行分析，以確定它們是否意味著安全事件。

該實(shí)體處置機(jī)密信息以實(shí)現(xiàn)該實(shí)體與機(jī)密性相關(guān)的目標(biāo)。

對(duì)于云控制矩陣，確定了額外的數(shù)據(jù)保護(hù)控制措施（因?yàn)樵摼仃囉芯唧w和細(xì)化的控制措施，其中一些被分組），包括：

自動(dòng)化應(yīng)用安全測(cè)試

應(yīng)用程序的漏洞修復(fù)

密碼學(xué)、加密和密鑰管理

安全處置/數(shù)據(jù)保留和刪除

敏感數(shù)據(jù)傳輸

保護(hù)日志的完整性

安全監(jiān)測(cè)和警報(bào)

審計(jì)日志訪問(wèn)和問(wèn)責(zé)

記錄和監(jiān)測(cè)（包括故障和異常情況）。

滲透測(cè)試

通用端點(diǎn)管理（如存儲(chǔ)加密、防火墻）

數(shù)據(jù)丟失防護(hù)

圖片來(lái)源于公共圖片庫(kù)

ISO/IEC 27001/27002是一個(gè)流行的信息安全框架，但不常被用來(lái)為財(cái)務(wù)報(bào)告提供保證。ISO 27002已經(jīng)更新，并將被轉(zhuǎn)移到新的ISO 27001框架中。為了滿足IT環(huán)境中的信息安全的最新要求，已經(jīng)引入了一些控制措施，包括：

威脅情報(bào)

物理安全監(jiān)控

配置管理(包括安全配置)

信息刪除

數(shù)據(jù)屏蔽

防止數(shù)據(jù)泄漏

監(jiān)控活動(dòng)

WEB過(guò)濾

在云控制矩陣和可信服務(wù)標(biāo)準(zhǔn)的差距分析中也發(fā)現(xiàn)了這些控制措施。這里強(qiáng)調(diào)需要額外的控制措施來(lái)確保數(shù)據(jù)安全和管理數(shù)據(jù)安全風(fēng)險(xiǎn)。

檢查可信服務(wù)標(biāo)準(zhǔn)和云控制矩陣中存在的、但未反映在IT一般控制中的控制措施，可以看出審計(jì)師還需要考慮的一些其他IT一般控制（圖1）。

在測(cè)試IT環(huán)境中的應(yīng)用程序、數(shù)據(jù)庫(kù)、操作系統(tǒng)和網(wǎng)絡(luò)組件時(shí)，應(yīng)考慮傳統(tǒng)的IT一般控制和新建議的控制。

在審計(jì)IT一般控制以確保信息系統(tǒng)在財(cái)務(wù)報(bào)告中的可靠性時(shí)，數(shù)據(jù)的完整性是很重要的，但機(jī)密性是否同樣重要，則值得商榷。如果強(qiáng)大的身份驗(yàn)證控制已經(jīng)到位，并且對(duì)數(shù)據(jù)的直接訪問(wèn)被嚴(yán)格限制在適當(dāng)?shù)膫€(gè)人身上，那么新的控制是否有必要？在這種情況下，未經(jīng)授權(quán)的個(gè)人獲取和修改數(shù)據(jù)的風(fēng)險(xiǎn)似乎很低。為了了解這些控制措施的相關(guān)性，需要仔細(xì)研究欺詐和缺乏數(shù)據(jù)完整性的風(fēng)險(xiǎn)。

在對(duì)信息系統(tǒng)執(zhí)行IT審計(jì)時(shí)，關(guān)鍵的風(fēng)險(xiǎn)因素是數(shù)據(jù)不安全和欺詐。2016年，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）描述了三種可能導(dǎo)致數(shù)據(jù)完整性問(wèn)題的網(wǎng)絡(luò)攻擊場(chǎng)景：勒索軟件、數(shù)據(jù)破壞和數(shù)據(jù)操縱（內(nèi)部威脅）。最近的另一項(xiàng)研究描述了云中的多種攻擊，可能導(dǎo)致數(shù)據(jù)完整性問(wèn)題。在連接到互聯(lián)網(wǎng)或云的信息系統(tǒng)中，攻擊面要大得多；因此，數(shù)據(jù)安全是一個(gè)重要問(wèn)題。

云平臺(tái)使用的增加以及與之相關(guān)的風(fēng)險(xiǎn)因素的增加，反映在所實(shí)施的欺詐數(shù)量上。在最近的一項(xiàng)調(diào)查中，“近70%的遭遇欺詐的組織報(bào)告說(shuō)，最具破壞性的事件來(lái)自外部攻擊或內(nèi)外的勾結(jié)?！蓖徽{(diào)查表明，網(wǎng)絡(luò)欺詐比資產(chǎn)挪用更常見(jiàn)。

IT一般控制已經(jīng)過(guò)時(shí)了嗎？盡管專業(yè)審計(jì)師總是可以根據(jù)正在進(jìn)行的風(fēng)險(xiǎn)評(píng)估來(lái)定義他們自己的控制，但I(xiàn)T一般控制指南已經(jīng)過(guò)時(shí)了。隨著IT環(huán)境的不斷變化，對(duì)數(shù)據(jù)保護(hù)的要求也需要不斷發(fā)展。為了解決這個(gè)問(wèn)題，隨著時(shí)間的推移，可信服務(wù)標(biāo)準(zhǔn)、云控制矩陣和ISO/IEC 27002等框架已經(jīng)被開(kāi)發(fā)出來(lái)。

在測(cè)試IT一般控制時(shí)，應(yīng)考慮對(duì)IT環(huán)境中的相關(guān)應(yīng)用、數(shù)據(jù)庫(kù)、操作系統(tǒng)和網(wǎng)絡(luò)組件進(jìn)行與安全評(píng)估、數(shù)據(jù)資產(chǎn)保護(hù)、安全數(shù)據(jù)傳輸、端點(diǎn)保護(hù)、漏洞監(jiān)測(cè)、安全監(jiān)測(cè)和安全處置有關(guān)的額外控制措施。

作者：Jouke Albeda

來(lái)源：ISACA

編輯：孫哲

標(biāo)簽：