培训课程
CISA知识点解析:ITGC与ITAC的区别
在信息技术(IT)领域,按控制的范围可以划分为一般控制(ITGC)与应用控制(ITAG)两个不同层面的控制手段。ITGC更为基础,且其有效性不受ITAG的影响。相反,ITAG的有效性则往往受限于ITGC。
1.ITGC
ITGC指各种相对通用的信息系统控制手段和技术,通常适用于IT环境或系统、网络、数据、人员和流程(IT基础架构)的整体。包括:管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和物理设备控制等。
(1)管理控制:主要目标是实现职责分离。常见的管理控制包括:系统分析员不应该接触计算机设备、数据和程序;计算机编程人员不应该接触计算机设备、数据和已交付使用的程序;操作员不应该参与系统设计或更改程序等。
(2)计算机运行控制:为确保系统的正常运行而实施的控制。例如,确保存在足够的审计线索、查看异常报告和事务日志、对不需要的文件在受控条件下及时删除。
(3)系统实施控制:在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下。
(4)软件控制:保证已投入运行的软件未经许可不得修改的控制。
(5)硬件控制:保证硬件正常运行的控制,如奇偶校验(一种校验代码传输正确性的方法。根据被传输的一组二进制代码的数位中“1”的个数是奇数或偶数来进行校验)。
(6)访问控制:确保只有被授权用户才能实现对特定数据和资源进行访问的控制,通常特指逻辑访问控制。
(7)物理设备控制:防止对物理设备的非授权接触的控制。
2.ITAG
ITAG指和特定应用相关的、为保障应用程序正确运行而设定的控制。包括:输入控制、过程控制和输出控制。
(1)输入控制是指当数据手动或自动输入系统时,核对数据的完整性,主要是为了防止或发现将不正确或不完整的数据输入计算机而采取的控制。输入控制包括输入授权、数据转换和编辑检验。其中,编辑检验又包括:
合理性检查,例如航空公司乘客航班起飞时间与航班降落时间相比不合理,客户订单数量与历史订单相比不合理。
格式检查,这类检查是为了确定数据输入的格式是恰当的,可以以数字或字母顺序进行。恰当的格式取决于数据记录的定义。例如,日期字段应该具有如下格式:YYYY:MM:DD。
有效性检查(存在性检查),这类检查测试以下编码的有效性(是否存在),如州、税率、社保号码、客户编号、供应商编号或雇员编号。
相关性检查(依赖性检查),用于检查多个字段之间是否存在某种关联,来判断字段内容的正确性。
数位校验,校验数位是对某字段进行某种计算后得出,并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较,可以发现该字段内容是否已发生变化。
(2)过程控制也叫处理控制,是指检查数据处理任务的正确、完整和有效。常见的过程控制包括:
批处理总数,为确保数据输入和处理的准确性,控制可以将输入的总数与处理的总数进行自动比较。
计算机匹配,例如将新交易与先前输入的交易进行匹配,以避免重复提交。
并发控制,当多个使用者对相同记录或文件进行同时操作时,可能影响数据的整体性。通常,自动化文件或记录锁定装置会阻止同时操作,将损害数据记录的可能性降到最低。
(3)输出控制是指核实数据输出的正确、完整和有效。常见的输出控制包括:平衡性控制、复核处理日志、审核输出报告、审核制度与文件等。其中,平衡性控制是指利用基于系统或功能的技术来平衡交易,这种技术自动识别或报告不平衡情况。例如,每个单元或金额的合计必须等于各个地点的合计。
