塞班斯法案IT内控标准.docx
《塞班斯法案IT内控标准.docx》由会员分享,可在线阅读,更多相关《塞班斯法案IT内控标准.docx(18页珍藏版)》请在冰豆网上搜索。
塞班斯法案IT内控标准
计算机系统控制
计算机系统控制是XX公司内部控制整体结构的一个重要部分。
它包括两种控制:
一般计算机系统控制及应用系统控制。
应用系统由为用户或由用户编写的支持用户业务职能的程序组成。
实施及加强数据处理控制的责任应由系统拥有人、用户,数据处理保管人承担。
这些标准适用于XX公司计算机处理,包括个人计算机,工作站,计算机中心以及局域网,厂内网,广域网。
在管理人员选择内部控制的方法和技术上,实施控制的程度取决于合理的业务判断。
决定内部控制执行程度的一般准则是,内部控制的成本不应超过所获得的效益。
计算机系统控制包含以下一些作业程序:
1.1系统拥有人及设备保管人
1.2实物安全及环境控制
1.3计算机存取安全
1.4网络安全
1.5系统开发方法
1.6配置管理
1.7计算机操作及备份
1.1故障恢复计划
1.9输入控制
1.10处理控制
1.11输出控制
1.12无纸处理程序及电子数据交换
1.1系统拥有人及设备保管人
资料处理使用人为应用系统、资料档案、程序的拥有人。
他们有权批准系统变更及使用申请。
对计算机中心而言,管理信息系统人员是资料处理设施的保管人。
对个人计算机,工作站,计算机集合制造系统或局域网而言,保管人可能是经营、工程用户或是部门管理人员。
保管人负责数据处理设施的操作及维护。
1.1.1事业总部/集团财务负责人应为每一应用系统,包括制造及工程系统,指定一系统拥有人。
系统拥有人为主要的系统使用人。
对干由多个部门共用的系统,系统拥有人为具有更新应用档案主要责任的用户或用户团体。
参照风险:
A-1
A-1没有系统拥有人的支持,系统可能不能很好地得到维护及控制。
1,1.2事业总部/集团总经理或部门经理应与管理信息系统部门经理相协调,以保持系统拥有人的最新名单。
参照风险:
A-3,A-4
1.1.3系统拥有人必须批准系统的规格/设计或变更,确定安全分类等级,核准使用系统资料档案,同意接受新系统或系统变更。
参照风险:
A-2
1.1.4事业总部/集团总经理或部门经理有责任保证为所有的数据处理设备指派一保管人,这些设备包括计算机中心,远程处理地点,局域网,工程工作站,部门及个人计算机,资料存储地点。
参照风险:
A-5
1.1.5资料处理设施及应用资料的保管人必须:
a.提供一个安全的实物环境,防止未经许可移走或毁坏资料处理设备;
b.安排重要的应用资料档案和程序的备份及保存,即放在资料中心所处的工厂之外的安全地点;
C.提供设备或备用的计算机设备,以保证确定的故障恢复计划;
d.提供足够的计算机资源以满足用户进行数据处理的要求。
用户包括厂内、部门内或局域网;
e.建立标准程序,以保证遵守合法使用软件的协议。
参照风险;A-6,A-7,A-8,A-9,A-10
1.1.6事业总部/集团中负责软件开发或维护的组织应编制及维护详细的数据处理政策及程序。
此政策和程序包括:
a.管理人员批准系统变更由测试转为正式运转的标准;
b.系统构造,逻辑设计,物理设计文件的存档标准;
C.软件编码标准,规定程序结构,逻辑过程标准及数据元素命名标准。
参照风险A-11
A-2系统变更及使用可能未经适当批准。
A-3管理信息系统人员可能寻求系统拥有人以外的人员批准系统变更。
A-4管理人员的职责可能已改变却未转移系统的拥有权。
A-5与操作及或维护资料处理设施相关的责任未被明确地加以区分。
A-6计算机设备可能被火灾或其它自然原因损坏,或是被未经认可的人员故意损坏。
A-7在故障发生时,可能无备份档案供处理之用。
A-8在电脑或网络地点发生故障时,XX公司的营业能力可能会受到很大影响。
A-9计算机资源可能不能满足经营及发展的要求。
A-10XX公司可能要对错误使用或XX拷贝的专利软件负责。
A-11系统软件操作和应用文件的使用和保管责任未能明确。
一般资料处理控制
一般资料处理控制主要是关系到计算机资源的操作和保护,以及应用系统及数据的开发及完整性。
一般资料处理控制是用户及资料处理设备保管人的共同责任。
一个组织内一般资料处理控制的充分性是应用控制的可靠性的基础。
同样,也是经营及财务信息的正确及完整性控制的基础。
1.2实物安全及环境控制
1.2.1管理人员可以指定某些计算机区域为限制进人区域。
进入此区域必须获得许可。
限制进入的区域有,产品设计部门,计算机中心,网络文件服务器地点。
对以下区域须实行控制:
a.对计算机及网络硬件,软件,资料及文件的使用必须由管理人员批准,只允许完成职责必需这些职能的人才可使用;
参照风险:
B-1,11-2
b·所有的计算机入口/出口都应有实物的安全措施;
参照风险:
B-1,B-2,B-3
C.所有用以限制进出计算机中心的钥匙卡、钥匙、识别证等,在员工离职或调职时,必须由管理人员收回。
计算机中心及其支持地区的进出暗码及指令必须定期变更,在员工离职或调职时亦应变更;
参照风险:
B-1,B-2,B3
d.供应商及访客对计算机硬件,软件,数据及文件的使用必须经管理人员的批准。
所有的供应商及访客必须由经认可的人员批准;
参照风险:
B-1,B.2
e.对所有包含专有资讯的计算机设备及资料档案的移动,必须经主管人员的特定许可,并加以记录核对。
所有资料档案必须按安全分类等级进行处理。
参照风险:
B-1,B.2
1.2.2计算机安装地点必须按设备供应商所指定的环境要求进行及维护。
参照风险:
B-4,B-5,H-6,B.7
1·2·3必须定期对计算机硬件,软件,资料存储媒介及物料进行盘点并加以核对。
参照风险:
B-1,B-2,B.5
1.2.4计算机主控制站,网络/系统管理终端仅可由经过授权的人员操作使用,主控制站的运作状况必须予以记录。
参照风险:
B-2,B-3
1.2.5计算机及网络硬件不可以放置在未得到保护,往来频繁的地区。
参照风险:
B-1,B.2。
1.2.6火灾侦测、预防和灭火系统及设备必须安置在计算机硬件区,可供操作人员使用并定期测试。
参照风险:
B-1,B-4,B-5,B-7
12.7所有计算机硬件必须予以保护,避免电流剧变,水灾及其它可能干扰操作的自然灾害。
参照风险:
B-1,B-4,B-5,B-7
1.2.8计算机硬件地点不得建筑在任何靠近易燃或危险物品的地区。
参照风险:
B丑,B-4,B-5,B-7
1.2.9计算机硬件地点必须保持清洁,不得靠近易燃物质。
参照风险:
B-1,B-4,B-5,B-7
1.2.10所有计算机硬件和软件的问题必须予以记录、监控和分析,以便及时地确认和改正错误/问题。
参照风险:
B-6。
B-1计算机硬件,软件,数据,及文件可能未得到适当保护而损坏或被窃。
B-2可能发生未经许可的对系统及资料的使用、揭示、更改及损坏。
B-1计算机硬件,软件,数据,及文件可能未得到适当保护而损坏或被窃。
B-2可能发生未经许可的对系统及资料的使用、揭示、更改及损坏。
B-3计算机硬件可能被XX的人员使用,逃避了正常的安全及操作控制,进入保密性的系统及数据资料。
B-4若环境控制不当,人员可能遭受不必要的人身风险。
B-5由于安置、维护及硬件存储、存储媒介的不当,可能发生重要资料的遗失。
B-6操作效率及信赖度可能受到影响,严重破坏资料的处理。
B-7由于不充分的环境监控及控制系统,可能会对计算机硬件,软件,资料产生很大的损害。
B-1计算机硬件,软件,数据及文件可能未得到适当保护而损坏或被窃。
B-4若环境控制不当,人员可能遭受不必要的人身风险。
B-5由于安置、维护及硬件存储、存储媒介的不当,可能发生重要资料的遗失。
B-6操作效率及信赖度可能受到影响,严重破坏资料的处理。
B-7由于不充分的环境监控及控制系统,可能会对计算机硬件,软件,资料产生很大的损害。
1.3计算机存取安全
计算机存取安全控制的目标在于保护资料/程序的完整和正确,以及提供机密性/专有性或敏感性资料/程序的安全及保密。
13.1计算机设备的保管人应保证在设备上安装存取安全软件,当此设备用于经营,工程应用,产品测试及或制造处理时。
使用安全软件可以成为计算机操作系统的一部分。
使用安全软件至少应执行以下功能:
a.防止资料档案及程序被未经许可而使用及或变更,被窃或毁坏;
参照风险;C-1,C-2,C-3,C-4,C-8。
b.要包括存取控制设施,该设施给使用者提供将电脑系统所执行的不相容的业务功能加以区分的能力;
参照风险:
C-1,C-2,C-3,C-4,C-5,C-10。
C.在总公司/事业总部/集团管理人员所制定的期间内,自动要求建立及变更密码。
密码在存储的过程中必须加密,只在实际的密码校验中才可解密;参照风险:
C-1,C-2,C-3,C-4,C-8,C-g,C-11
d.具有自动产生审计线索记录的功能,显示未经批准使用应用资料档案/程序的情况,及未经认可尝试使用专有及易于有欺诈行为的应用文件及记录。
参照风险:
C-1,C-2,C-3,C-4,C-8,C-9。
1.3.2计算机设备保管人应同总经理及部门经理协调,确定安全管理员。
安全管理员的职责应在可行的情况下与计算机操作及系统开发分开。
_参照风险:
C-6,C-7
1.3.3安全管理员在与总经理及部门经理协调后,必须编制及执行安全管理程序。
这些程序包括:
a.为新用户建立帐户,将管理人员的批准文件存档;
b.允许使用生产资料档案和程序;
C.控制那些忽视正常软件资料安全控制的使用过程(特权);
d.按照公司/事业总部/集团的政策,确定。
报告并调查未经认可的存取尝试。
参照风险:
C-7,C-8,C-9,C.12。
1.3.4当用户调职或离职时。
安全管理员应与公司/事业总部/集团人事部门协调,建立程序以及时更新或取消用户帐户。
同样,应有程序可检验出用户已离职但仍未取消的帐户。
参照风险:
C-13,C-14
1·3·5应用系统拥有人必须:
a.批准用户使用应用系统及其资料。
此项批准应以“需要知道”为标准;
参照风险:
C-10,C.15
b.将数据挡案及程序按XX公司保护专有资讯政策分类。
分类的最终决定权在于总经理及部门经理;
参照风险:
C-1,C-11,C-15,C-16
C.将有保密或敏感性资料的计算机打印报表,或联机屏幕进行适当的分类标示(如XX公司机密文件,XX公司注册机密文件);
参照风险:
C-8,C-11,C-16
d.每年要和使用人所属部门之管理人员确认使用人使用应用系统的持续要求,这一确认过程应有计算机设备保管人及安全管理员的协助。
参照风险:
C.17
1.3.6部门经理必须保证所允许的多重系统的处理不会危害到职能的划分。
参照风险:
C-10C.17
1.3.7总公司/事业部/集团财务负责人或总经理及信息系统负责人必须批准使用电子资料交换系统,例如公司和供应商、顾客,或合同服务之间的发票,订单或付款事项。
参照风险:
C-8,C.11
1.3.8计算机系统和程序如被管理人员用在指导、记录或报告经营,工程或制造方面时,即称其在正式运转。
正式运转系统的软件可能是由信息系统部门或用户开发,或从供应商处购得。
正式运转的系统可能在主机,部门,个人微机或广域网、局域网上作业。
必须做到下列控制,以保护正式运转的计算机软件及数据档案:
a.不能授予应用程序设计员永久可使用软件或资料档案的权力,程序设计员须经管理人员批准才可修改软件或档案资料,以更正系统错误;
b.负责维护或执行计算机操作系统,系统管理软件的人员或程序员对分类为XX公司机密或注册机密正式运转的软件或数据档案的用户更新必须加以记录.管理人员必须指定人员维护记录,以证明及时检查此记录卡.
参照风险:
C-1,C-11,C-15,C-16
1.3.9供货商,合同程序员以及其它非XX公司人员必须在他们使用XX公司计算机系统前签署不泄露资讯协议书。
非XX公司人员必须有单独的计算机帐户或用户号码。
参照风险:
C-1,C-11,C-15,C-16
1.3.10计算机设备保管人必须保证在所有应用于经营。
工程应用、产品测试和/或制造过程上的计算机安装防病毒软件。
参照风险;C-19
C-1XX公司的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-2处理经营,制造及工程系统业务的计算机及做产品测试的计算机可能设有合适的存取安全软件。
C-3计算机存取安全软件或操作系统可能未能提供最低的保护及检验性安全控制。
C-4用户计算机帐户的密码可能被揭示,产生未经认可对资料及程序的处理。
C-5由于系统使用方法及人员职责的合并,会造成职责不清。
C-6计算机使用安全控制可能得不到实施。
C-7安全管理员可能具有相冲突的责任,因而允许他们同时改变使用安全性及系统处理。
C-8可能无适当的认可而允许处理正式档案和程序。
C-9可能有经常性的未经认可的处理尝试而无法得知。
C-10同一用户接近多重系统可能造成职责不清。
C-11敏感性的资料可能被XX的人使用或被揭示给这些人。
C-1XX公司的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-7安全管理员可能具有相冲突的责任,因而允许他们同时改变使用安全性及系统处理。
C-8可能无适当的认可而允许处理正式档案和程序。
C-9可能有经常性的未经认可的处理尝试而无法得知。
C-10同一用户接近多重系统可能造成职责不清。
C-]1敏感性的资料可能被XX的人使用或被揭示给这些人。
C-12可能允许某些使用特权的存在。
导致未经许可的对运行数据档案的存取。
C-13D离职/调职的员工可能使用或毁坏敏感性的公司资料,扰乱正常的经营过程,或将敏感性的资料揭示给公司外的人员。
C-14可能无法查出离职/调职员工对系统的使用,无法查出和离职、调职人员的计算机帐户。
C-15系统用户可能给予权力使用并非其工作所需要的数据档案及程序。
C-16计算机系统内储存的专有资讯可能未能得到保护。
C-1XX公司的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-10同一用户接近多重系统可能造成职责不清。
C-11敏感性的资料可能被XX的人使用或被揭示给这些人。
C-15系统用户可能给予权力使用并非其工作所需要的数据档案及程序。
C-16计算机系统内储存的专有资讯叮能未能得到保护。
C-17用户可能已改变工作职责,但系统使用功能仍未改变。
C-11业务资料可能在无适当的资料处理或会计控制下进行,产生错误的订单,付款或采购。
C-1XX公司的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-11敏感性的资料可能被XX的人使用或被揭示给这些人。
C-15系统用户可能给予权力使用并非其工作所需要的数据档案及程序。
C-16计算机系统内储存的专有资讯可能未能得到保护。
C-19经营,制造或工程系统可能会功能不正常,导致产量及收入的损失,或是关键性的资料被损坏。
1.4网络控制
网络控制的目标包括保护网络,防止未经许可的进入,错误使用或是对资料的更改及网络拒绝工作的状态。
XX公司网络有三个层次。
第一层次,XX公司公司组织网络,包括广域网(WAN)。
第二层次,事业部组织网络,即厂内主干网,提供基于标准的对第三层次局域网与第一层次广域网的联结,第三层次,即部门组织网络,局域网(LAN)。
1.4.1操作通讯网络的数据处理保管人必须将网络拓扑结构的维护描述文件存档。
参照风险:
D-1
1.4.2如果可行尽量使用网络协议。
只有经过测试及批准的协议才可在XX公司网络内使用。
参照风险:
D-2,D-3
1.4.3网络管理人员必须使用配置、运行情况、误差、会计核算及安全管理工具来监控网络。
参照风险:
D-1,D-2,D-3,D-4,D-6,D7
1.4.4网络地址及名称必须按XX公司数据网络结构标准进行维护。
参照风险:
D-2,D-3,D-7
1.4.5计算机设备保管人必须保证在传送专有资讯时,加密功能可供使用,在网络传送中密码必须实行加密。
参照风险:
D-1,D-4,D-5
1.4.6内部人员使用XX公司网络必须由单一IN素鉴定加以控制,如单一用户帐户,密码或令牌鉴定。
参照风险:
D-1,D-4,D-5
D-1XX公司的专有资讯可能被揭示或丢失,对公司的竞争地位不利。
D-2资料可能未正确、完全地转移。
D-3数据转移可能无适当的查错功能。
D-1XX公司的专有资讯可能被揭示或丢失,对公司的竞争地位不利。
D-2资料可能未正确、完全地转移。
D-3数据转移可能无适当的查错功能。
D-4敏感性信息储存在计算机系统内,可能未能得到保护。
D-5存储在计算机内的专有资讯可能未能得到保护。
D-6在资料传送过程中专有资讯可能揭示给未经许可的人员。
D-7在系统发生故障之后,数据库可能包含不正确,不完整的资料。
1.5系统开发方法
1.5.1公司/事业总部/集团负责软件开发及维护的部门必须定义开发及维护应用系统的标准方法并存档保留。
参照风险:
E-1,E-2,E-3,E-4
1.5.2公司/事业总部/集团系统开发方法必须包括以下内容:
a.系统开发项目必须分割成可衡量的部分或预先定义的可移交的阶段;
参照风险:
E-1,E-3
b.项目小组的职责必须明确加以定义并存档保留;
参照风险:
E-2,E-4
C.系统开发项目小组包括用户、信息系统人员及系统拥有人,该小组必须先核准每一主要开发阶段的完成,然后才能转向下一阶段。
参照风险:
E-3,E-4,E-5,E.6
d.系统开发小组必须编制一份正式计划。
这一计划必须符合XX公司软件开发质量政策,至少包括以下方面:
----对所提议系统的业务目的及要求的清晰正确描述;
参照风险:
E-2,E-5,E.6------确认可能的软件方法及成本/收益分类的可行性研究;
参照风险:
E-5
------详细的逻辑及物理系统设计;
参照风险:
E6
------系统及用户可接受性测试,即按所定义的详细逻辑及物理设计测试系统功能及运行条件;
参照风险:
E-7,E.1
------对所提议系统的转换作规格说明,以保证处理程序及数据的完整;
参照风险:
E-9
-------编写用户程序,以说明用户如何与系统交谈及如何控制此种交谈。
此程序应能合理地解答系统操作,更正错误及控制方面的问题,
参照风险:
E-10,E.11
-------编制如何操作应用系统的详细操作手册。
此手册应包括在硬件或软件出现故障时如何重新启动该应用系统;
参照风险:
E-12,E-13
-------培训以保证用户独立地操作及控制系统处理。
参照风险:
E-14
E-1所应用的系统可能未能满足用户要求;或不符合XX公司软件质量标准
E-2人员角色及职责可能不明晰,造成增加系统开发时间或系统开发不适当。
E-3所应用的系统可能并未经过对系统设计的批准,未经适当测试,产生错误的处理。
E-4用户可能井未主动参与系统开发过程,这可能会导致在设计及测试阶段做出错误的决定。
E-2人员角色及职责可能不明晰,造成增加系统开发时间或系统开发不适当。
E-3所应用的系统可能并未经过对系统设计的批准,未经适当测试,产生错误的处理。
E-4用户可能并未主动参与系统开发过程,这可能会导致在设计及测试阶段做出错误的决定。
E-5由于对可选方法的不完整评估,造成为解决经营问题而采用的数据处理方法不当。
E-6系统设计可能未很好地存档,未加控制或错误处理进行讨论。
E-7由于错误的处理,单个的程序或整个的系统可能未很好地测试或不能很好地操作,满足用户的要求。
E-8用户可能未参与系统可接受性测试。
系统可能不能很好地工作,不能满足用户要求。
E-9资料档案可能未能很好地转换到新系统。
E-10用户可能无法使错误的处理恢复原状。
E-11用户可能无法独立于系统开发的信息系统人员,对系统进行操作。
E.12操作人员可能无法操作系统。
E.13操作人员及或用户可能无法使错误恢复原状以便继续业务处理。
E-14未能得到很好培训的用户可能不能很好地操作及控制系统。
1.6配置管理
对正式运转环境的变更,包括软件,硬件及操作程序,必须经过批准,留档及测试
1.6.1对立式运转环境变更的申请包括业务目的,或对业务影响的分析,必须获得系统拥有人的批准。
参照风险:
F-1,F.2
1.6.2对正式运转的硬件及或软件的变更必须加以测试。
测试必须包括所有的情况以保证新系统可发挥所期望的功能。
测试也应包括,证明所有的要求已通过测试,可满足系统最终用户的要求。
参照风险:
F-3,F-4,F-5
1.63如果系统变更会引起会计分录帐户的变化,或是产生新的会计分录,这一变更应获得财务管理人员的批准。
参照风险:
F-5,卜6
1.6.4负责硬件或软件的部门或组织应留存并执行软件配置管理的计划及程序。
软件配置管理包括程序变更控制,版本及发行管理,情况汇报,及对操作系统软件的变更。
参照风险:
F-2,F4
1.6.5对所运转的环境作维护方面的变臾时,负责软件或硬件的部门或组织必须遵循所批准的正式的系统开发方法。
参照风险:
F-4,F-7
1.6.6如果分布式系统将同一程序及数据资料的拷贝件用于多个计算机时,系统范围内的控制必须得以实行,以保证整个系统内使用合适版本的程序及数据资料。
参照风险:
F-1,F-3
F-1错误的变更,或产生于对系统的不正确的处理的变更可能会引起未经许可的对系统的变更。
F-2处理系统变更的程序员或其它人员可能未能很好地评估变更对业务处理的影响。
F-3变更可能未很好地进行测试,系统的实行可能导致错误的处理。
F-4用户及操作人员可能对会产生错误的系统处理的系统变更并无认识。
F-5财务或经营记录可能表述不正确。
F-6不正确的会计分录或帐户记录可能由于系统变更而产生。
F-1错误的变更,或产生于对系统的不正确的处理的变更可能会引起未经许可的对系统的变更。
F-3变更可能未很好地进行测试,系统的实行可能导致错误的处理。
F-4用户及操作人员可能对会产生错误的系统处理的系统变更并无认识。
F7用户及操作人员可能无法从系统故障中恢复原状。
1.7系统操作及备份
操作计算机设备的部门及组织有责任保证计算机操作符合XX公司的政策及程序
1.7.1计算机数据档案,程序及系统软件必须定期备份以保证在硬件或软件出现故障时仍能继续进行业务处理。
参照风险:
G-1,G-2
1.7.2公司/事业总部/集团财务负责人有责任确认应该按法律或税法,如税务机构或政府合同机构的要求,加以保存的数据档案。
参照风险:
G-3,G-4
1.7.3计算机系统的拥有人/保管员必须维护能够记录追踪备份数据资料的系统,此系统也应包括其它脱机储存媒介以利十恢复及保存目标的实现。
参照风险:
G-5
1.7.4程序,数据档案及附属文件的备份必须保存在厂外区域,不受厂内计算机处理设备所面临的相同风险。
参照风险:
G-6,G-7
1.7.5负责计算机操作的人员应编制及维护说明计算机及系统软件操作方法的政策及程序。
参照风险:
G-1
G-1由于硬件或软件故障;人为错误造成程序或信息的丢失。
G-2磁带文件可能丢失或误销。
G-3经营数据档案可能未很好地保存,XX公司可能需为此支付罚金。
G-4为法律方面的要求而保存的数据档案可能包括不正确或不完整的资料。
G-5未有备份可供使用或程序未能按管理人员所希望的发挥作用。
G-6在出现故障时,关键性的文件可能被损坏,无法帮助业务处理的恢复。
G-7在出现危急情况时,继续进行业务操作的能力会受到影响。
G-8说明计算机操作及控制的程序可能未能很好地得以宣传或执行。
1·8故障
升级会员 