返回
塞班斯法案it内控标准

塞班斯法案it内控标准

ID:12956627

大小:32.39 KB

页数:22页

时间:2018-07-19

塞班斯法案it内控标准_第1页
塞班斯法案it内控标准_第2页
塞班斯法案it内控标准_第3页
塞班斯法案it内控标准_第4页
塞班斯法案it内控标准_第5页
资源描述:

《塞班斯法案it内控标准》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机系统控制计算机系统控制是XX公司内部控制整体结构的一个重要部分。它包括两种控制:一般计算机系统控制及应用系统控制。应用系统由为用户或由用户编写的支持用户业务职能的程序组成。实施及加强数据处理控制的责任应由系统拥有人、用户,数据处理保管人承担。这些标准适用于XX公司计算机处理,包括个人计算机,工作站,计算机中心以及局域网,厂内网,广域网。在管理人员选择内部控制的方法和技术上,实施控制的程度取决于合理的业务判断。决定内部控制执行程度的一般准则是,内部控制的成本不应超过所获得的效益。计算机系统控制包含以下一些作业程序:1.1系统拥有人及设备保管人1.2实物安全及环境控制1.3计算机存取安

2、全1.4网络安全1.5系统开发方法1.6配置管理1.7计算机操作及备份1.1故障恢复计划1.9输入控制1.10处理控制1.11输出控制1.12无纸处理程序及电子数据交换1.1系统拥有人及设备保管人资料处理使用人为应用系统、资料档案、程序的拥有人。他们有权批准系统变更及使用申请。对计算机中心而言,管理信息系统人员是资料处理设施的保管人。对个人计算机,工作站,计算机集合制造系统或局域网而言,保管人可能是经营、工程用户或是部门管理人员。保管人负责数据处理设施的操作及维护。1.1.1事业总部/集团财务负责人应为每一应用系统,包括制造及工程系统,指定一系统拥有人。系统拥有人为主要的系统使用人。对干

3、由多个部门共用的系统,系统拥有人为具有更新应用档案主要责任的用户或用户团体。参照风险:A-1A-1没有系统拥有人的支持,系统可能不能很好地得到维护及控制。1,1.2事业总部/集团总经理或部门经理应与管理信息系统部门经理相协调,以保持系统拥有人的最新名单。参照风险:A-3,A-41.1.3系统拥有人必须批准系统的规格/设计或变更,确定安全分类等级,核准使用系统资料档案,同意接受新系统或系统变更。参照风险:A-21.1.4事业总部/集团总经理或部门经理有责任保证为所有的数据处理设备指派一保管人,这些设备包括计算机中心,远程处理地点,局域网,工程工作站,部门及个人计算机,资料存储地点。参照风险

4、:A-51.1.5资料处理设施及应用资料的保管人必须:a.提供一个安全的实物环境,防止未经许可移走或毁坏资料处理设备;b.安排重要的应用资料档案和程序的备份及保存,即放在资料中心所处的工厂之外的安全地点;C.提供设备或备用的计算机设备,以保证确定的故障恢复计划;d.提供足够的计算机资源以满足用户进行数据处理的要求。用户包括厂内、部门内或局域网;e.建立标准程序,以保证遵守合法使用软件的协议。参照风险;A-6,A-7,A-8,A-9,A-101.1.6事业总部/集团中负责软件开发或维护的组织应编制及维护详细的数据处理政策及程序。此政策和程序包括:a.管理人员批准系统变更由测试转为正式运转的

5、标准;b.系统构造,逻辑设计,物理设计文件的存档标准;C.软件编码标准,规定程序结构,逻辑过程标准及数据元素命名标准。参照风险A-11A-2系统变更及使用可能未经适当批准。A-3管理信息系统人员可能寻求系统拥有人以外的人员批准系统变更。A-4管理人员的职责可能已改变却未转移系统的拥有权。A-5与操作及或维护资料处理设施相关的责任未被明确地加以区分。A-6计算机设备可能被火灾或其它自然原因损坏,或是被未经认可的人员故意损坏。A-7在故障发生时,可能无备份档案供处理之用。A-8在电脑或网络地点发生故障时,XX公司的营业能力可能会受到很大影响。A-9计算机资源可能不能满足经营及发展的要求。A-

6、10XX公司可能要对错误使用或未经授权拷贝的专利软件负责。A-11系统软件操作和应用文件的使用和保管责任未能明确。一般资料处理控制一般资料处理控制主要是关系到计算机资源的操作和保护,以及应用系统及数据的开发及完整性。一般资料处理控制是用户及资料处理设备保管人的共同责任。一个组织内一般资料处理控制的充分性是应用控制的可靠性的基础。同样,也是经营及财务信息的正确及完整性控制的基础。1.2实物安全及环境控制1.2.1管理人员可以指定某些计算机区域为限制进人区域。进入此区域必须获得许可。限制进入的区域有,产品设计部门,计算机中心,网络文件服务器地点。对以下区域须实行控制:a.对计算机及网络硬件,

7、软件,资料及文件的使用必须由管理人员批准,只允许完成职责必需这些职能的人才可使用;参照风险:B-1,11-2b·所有的计算机入口/出口都应有实物的安全措施;参照风险:B-1,B-2,B-3C.所有用以限制进出计算机中心的钥匙卡、钥匙、识别证等,在员工离职或调职时,必须由管理人员收回。计算机中心及其支持地区的进出暗码及指令必须定期变更,在员工离职或调职时亦应变更;参照风险:B-1,B-2,B3d.供应商及访客对计算机硬件,软件,数据及

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。