专业的控制电缆,公司宗旨:质量为根,诚信为本。
授权控制-允许用户只能访问其工作职责所需的信息,这有利于适当的职责分离。配置控制-授权新用户和修改现有用户的访问权限。撤消控制-在终止或(岗位)调动时撤消用户访问权限。特权访问控制-授权管理员用户或高级用户的访问。用户访问审查控制-验证或评估用户访问权限,以便在一段时间内持续授权。安全配置控制-每种技术一般都有关键的配置设置,帮助限制对环境的访问。物理访问控制-授权对数据中心和硬件的物理访问,因为这种访问可能会凌驾于其他控制之上。在变更管理领域,可能影响数据保护的控制措施包括:数据转换控制-授权在开发、实施或升级IT环境期间进行数据转换。
ISO 27002已经更新,并将被转移到新的ISO 27001框架中。信息删除数据屏蔽防止数据泄漏监控活动WEB过滤在制矩阵和可信服务标准的差距分析中也发现了这些控制措施。这里强调需要额外的控制措施来确保数据安全和管理数据安全风险。需要考虑的新IT一般控制检查可信服务标准和制矩阵中存在的、但未反映在IT一般控制中的控制措施,可以看出审计师还需要考虑的一些其他IT一般控制(图1)。在测试IT环境中的应用程序、数据库、操作系统和网络组件时,应考虑传统的IT一般控制和新建议的控制。在审计IT一般控制以确保信息系统在财务报告中的可靠性时,数据的完整性是很重要的,但机密性是否同样重要,则值得商榷。如果强大的身份验证控制已经到位,并且对数据的直接访问被严格限制在适当的个人身上,那么新的控制是否有必要?
确定的控制措施可以根据其应用和IT环境的其他方面而有所不同。有关数据安全的IT一般控制措施在《国际审计准则》315附录6中定义。在访问管理领域,能够影响数据保护的控制措施包括:身份验证控制-确保访问IT应用或IT环境其他方面的用户没有使用其他用户的凭证。授权控制-允许用户只能访问其工作职责所需的信息,这有利于适当的职责分离。配置控制-授权新用户和修改现有用户的访问权限。
确定的控制措施可以根据其应用和IT环境的其他方面而有所不同。有关数据安全的IT一般控制措施在《国际审计准则》315附录6中定义。在访问管理领域,能够影响数据保护的控制措施包括:身份验证控制-确保访问IT应用或IT环境其他方面的用户没有使用其他用户的凭证。授权控制-允许用户只能访问其工作职责所需的信息,这有利于适当的职责分离。配置控制-授权新用户和修改现有用户的访问权限。
确定的控制措施可以根据其应用和IT环境的其他方面而有所不同。有关数据安全的IT一般控制措施在《国际审计准则》315附录6中定义。在访问管理领域,能够影响数据保护的控制措施包括:身份验证控制-确保访问IT应用或IT环境其他方面的用户没有使用其他用户的凭证。授权控制-允许用户只能访问其工作职责所需的信息,这有利于适当的职责分离。配置控制-授权新用户和修改现有用户的访问权限。