對于從事會計業(yè)務(wù)的IT審計師來說，IT一般控制的重要性是顯而易見的，尤其是在財務(wù)報表的訪問管理領(lǐng)域。十多年來，IT一般控制幾乎沒有變化，而美國注冊會計師協(xié)會（AICPA）的信托服務(wù)標(biāo)準(zhǔn)和云安全聯(lián)盟（CSA）的云控制矩陣等框架卻在不斷發(fā)展。國際標(biāo)準(zhǔn)化組織（ISO）標(biāo)準(zhǔn)ISO 27002的信息安全框架也在進(jìn)行重大升級，包括新的控制措施。數(shù)據(jù)生命周期內(nèi)的財務(wù)報告風(fēng)險因素幾乎沒有變化，這可能嗎？數(shù)據(jù)被保存在一個系統(tǒng)內(nèi)，如數(shù)據(jù)庫，其功能確保數(shù)據(jù)可以被訪問和處理。然而，隨著信息系統(tǒng)的外包和（虛擬）硬件的使用，IT環(huán)境已經(jīng)發(fā)生了重大變化。為了確定IT一般控制是否需要更新，或者它們是否仍然足以覆蓋大多數(shù)IT環(huán)境，檢查這些適用于數(shù)據(jù)安全（主要是完整性和機密性）的控制是非常有用的。然后，可以將選取的IT一般控制與服務(wù)組織鑒證報告中經(jīng)常使用和普遍接受的框架及其數(shù)據(jù)保護(hù)控制進(jìn)行比較。

審計師使用一套基本的（建議的）IT一般控制措施來確定控制措施，如國際審計與鑒證準(zhǔn)則委員會（IAASB）在《國際審計準(zhǔn)則》（ISA）315（2019年修訂版）中公布的準(zhǔn)則中所定義的控制措施。確定的控制措施可以根據(jù)其應(yīng)用和IT環(huán)境的其他方面而有所不同。有關(guān)數(shù)據(jù)安全的IT一般控制措施在《國際審計準(zhǔn)則》315附錄6中定義。

(資料圖片僅供參考)

在訪問管理領(lǐng)域，能夠影響數(shù)據(jù)保護(hù)的控制措施包括：

身份驗證控制-確保訪問IT應(yīng)用或IT環(huán)境其他方面的用戶沒有使用其他用戶的登錄憑證。

授權(quán)控制-允許用戶只能訪問其工作職責(zé)所需的信息，這有利于適當(dāng)?shù)穆氊?zé)分離。

配置控制-授權(quán)新用戶和修改現(xiàn)有用戶的訪問權(quán)限。

撤消控制-在終止或（崗位）調(diào)動時撤消用戶訪問權(quán)限。

特權(quán)訪問控制-授權(quán)管理員用戶或高級用戶的訪問。

用戶訪問審查控制-驗證或評估用戶訪問權(quán)限，以便在一段時間內(nèi)持續(xù)授權(quán)。

安全配置控制-每種技術(shù)一般都有關(guān)鍵的配置設(shè)置，幫助限制對環(huán)境的訪問。

物理訪問控制-授權(quán)對數(shù)據(jù)中心和硬件的物理訪問，因為這種訪問可能會凌駕于其他控制之上。

在變更管理領(lǐng)域，可能影響數(shù)據(jù)保護(hù)的控制措施包括：

數(shù)據(jù)轉(zhuǎn)換控制-授權(quán)在開發(fā)、實施或升級IT環(huán)境期間進(jìn)行數(shù)據(jù)轉(zhuǎn)換。

在IT運營管理領(lǐng)域，能夠影響數(shù)據(jù)保護(hù)的控制措施包括：

入侵檢測控制-監(jiān)測IT環(huán)境中的漏洞和/或入侵行為。

《國際審計準(zhǔn)則》（ISA）315（2019年修訂版）中提到這些控制是審計師可能考慮的IT一般控制。審計員必須進(jìn)行風(fēng)險評估，并使用專業(yè)判斷來確定IT環(huán)境中的風(fēng)險因素和適當(dāng)?shù)目刂拼胧﹣砭徑膺@些風(fēng)險。ISA315中定義的IT一般控制清單與其他組織定義的IT一般控制準(zhǔn)則相似。因此，ISA標(biāo)準(zhǔn)是IT審計師使用的IT一般控制的適當(dāng)反映。

除了依靠信息系統(tǒng)進(jìn)行財務(wù)報告所需的IT一般控制之外，大多數(shù)服務(wù)組織還向客戶提供鑒證報告，以證明其符合控制框架?？刂瓶蚣埽热缒切┯葾ICPA和CSA制定的框架，包含了比我們熟悉的IT一般控制更多的控制。當(dāng)其他框架的控制被認(rèn)為是無效的，或者如果鑒證報告有保留意見，就會進(jìn)行影響評估，以確定這些缺陷是否會對財務(wù)報告產(chǎn)生負(fù)面影響。由于服務(wù)機構(gòu)控制（SOC）報告通常不只涵蓋IT一般控制，會計師和IT審計師必須確定額外控制的影響，而這些控制在只測試IT一般控制時一般不會被評估。

為了確定與數(shù)據(jù)保護(hù)相關(guān)的、不在IT一般控制范圍內(nèi)的控制措施，對可信服務(wù)標(biāo)準(zhǔn)和云控制矩陣進(jìn)行了差距分析。對于可信服務(wù)標(biāo)準(zhǔn)，確定了額外的數(shù)據(jù)保護(hù)控制措施。

該實體選擇、制定并執(zhí)行持續(xù)或單獨的評價，以確定內(nèi)部控制的組成部分是否存在并發(fā)揮作用。

該實體為信息資產(chǎn)實施邏輯訪問安全軟件、基礎(chǔ)設(shè)施和架構(gòu)，以保護(hù)它們免受安全事件的影響。

該實體將信息的傳輸、移動和移除限制在經(jīng)授權(quán)的內(nèi)部和外部用戶和流程中，并在傳輸、移動或移除過程中對其進(jìn)行保護(hù)。

該實體實施控制措施，以防止或檢測未經(jīng)授權(quán)或惡意軟件的引入并采取行動。

該實體使用檢測和監(jiān)控程序來識別導(dǎo)致引入新漏洞以及對新發(fā)現(xiàn)漏洞的敏感性的配置變更。

該實體監(jiān)測系統(tǒng)組件和這些組件的運行情況，以發(fā)現(xiàn)表明惡意行為、自然災(zāi)害和影響該實體實現(xiàn)其目標(biāo)的錯誤的異常情況；對異常情況進(jìn)行分析，以確定它們是否意味著安全事件。

該實體處置機密信息以實現(xiàn)該實體與機密性相關(guān)的目標(biāo)。

對于云控制矩陣，確定了額外的數(shù)據(jù)保護(hù)控制措施（因為該矩陣有具體和細(xì)化的控制措施，其中一些被分組），包括：

自動化應(yīng)用安全測試

應(yīng)用程序的漏洞修復(fù)

密碼學(xué)、加密和密鑰管理

安全處置/數(shù)據(jù)保留和刪除

敏感數(shù)據(jù)傳輸

保護(hù)日志的完整性

安全監(jiān)測和警報

審計日志訪問和問責(zé)

記錄和監(jiān)測（包括故障和異常情況）。

滲透測試

通用端點管理（如存儲加密、防火墻）

數(shù)據(jù)丟失防護(hù)

圖片來源于公共圖片庫

ISO/IEC 27001/27002是一個流行的信息安全框架，但不常被用來為財務(wù)報告提供保證。ISO 27002已經(jīng)更新，并將被轉(zhuǎn)移到新的ISO 27001框架中。為了滿足IT環(huán)境中的信息安全的最新要求，已經(jīng)引入了一些控制措施，包括：

威脅情報

物理安全監(jiān)控

配置管理(包括安全配置)

信息刪除

數(shù)據(jù)屏蔽

防止數(shù)據(jù)泄漏

監(jiān)控活動

WEB過濾

在云控制矩陣和可信服務(wù)標(biāo)準(zhǔn)的差距分析中也發(fā)現(xiàn)了這些控制措施。這里強調(diào)需要額外的控制措施來確保數(shù)據(jù)安全和管理數(shù)據(jù)安全風(fēng)險。

檢查可信服務(wù)標(biāo)準(zhǔn)和云控制矩陣中存在的、但未反映在IT一般控制中的控制措施，可以看出審計師還需要考慮的一些其他IT一般控制（圖1）。

在測試IT環(huán)境中的應(yīng)用程序、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)組件時，應(yīng)考慮傳統(tǒng)的IT一般控制和新建議的控制。

在審計IT一般控制以確保信息系統(tǒng)在財務(wù)報告中的可靠性時，數(shù)據(jù)的完整性是很重要的，但機密性是否同樣重要，則值得商榷。如果強大的身份驗證控制已經(jīng)到位，并且對數(shù)據(jù)的直接訪問被嚴(yán)格限制在適當(dāng)?shù)膫€人身上，那么新的控制是否有必要？在這種情況下，未經(jīng)授權(quán)的個人獲取和修改數(shù)據(jù)的風(fēng)險似乎很低。為了了解這些控制措施的相關(guān)性，需要仔細(xì)研究欺詐和缺乏數(shù)據(jù)完整性的風(fēng)險。

在對信息系統(tǒng)執(zhí)行IT審計時，關(guān)鍵的風(fēng)險因素是數(shù)據(jù)不安全和欺詐。2016年，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）描述了三種可能導(dǎo)致數(shù)據(jù)完整性問題的網(wǎng)絡(luò)攻擊場景：勒索軟件、數(shù)據(jù)破壞和數(shù)據(jù)操縱（內(nèi)部威脅）。最近的另一項研究描述了云中的多種攻擊，可能導(dǎo)致數(shù)據(jù)完整性問題。在連接到互聯(lián)網(wǎng)或云的信息系統(tǒng)中，攻擊面要大得多；因此，數(shù)據(jù)安全是一個重要問題。

云平臺使用的增加以及與之相關(guān)的風(fēng)險因素的增加，反映在所實施的欺詐數(shù)量上。在最近的一項調(diào)查中，“近70%的遭遇欺詐的組織報告說，最具破壞性的事件來自外部攻擊或內(nèi)外的勾結(jié)。”同一調(diào)查表明，網(wǎng)絡(luò)欺詐比資產(chǎn)挪用更常見。

IT一般控制已經(jīng)過時了嗎？盡管專業(yè)審計師總是可以根據(jù)正在進(jìn)行的風(fēng)險評估來定義他們自己的控制，但I(xiàn)T一般控制指南已經(jīng)過時了。隨著IT環(huán)境的不斷變化，對數(shù)據(jù)保護(hù)的要求也需要不斷發(fā)展。為了解決這個問題，隨著時間的推移，可信服務(wù)標(biāo)準(zhǔn)、云控制矩陣和ISO/IEC 27002等框架已經(jīng)被開發(fā)出來。

在測試IT一般控制時，應(yīng)考慮對IT環(huán)境中的相關(guān)應(yīng)用、數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)組件進(jìn)行與安全評估、數(shù)據(jù)資產(chǎn)保護(hù)、安全數(shù)據(jù)傳輸、端點保護(hù)、漏洞監(jiān)測、安全監(jiān)測和安全處置有關(guān)的額外控制措施。

作者：Jouke Albeda

來源：ISACA

編輯：孫哲

標(biāo)簽：