『壹』 怎样区别信息系统的一般控制和应用控制

一般控制是宏观上的说法,保护程序安全、数据安全等,都是比较常见和抽象的控制;应用控制是具体的控制。

1,一般控制从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。

(1)人员控制:

涉及到人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限。

(2)逻辑访问控制:

逻辑访问控制对未经授权的访问提供了安全保护。最普遍的安全访问是通过密码,可对密码定义其格式、长度、加密和常规的变化。

(3)设备控制:

设备控制是对计算机设备进行物理保护,如把他们锁在一间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活。

(4)业务连续性:

在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中回复关键的业务信息。

2,应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。

(1) 输入控制:

输入控制的目的是发现和防止错误的交易数据的录入。

(2) 过程控制:

过程控制确保过程的发生按照公司的要求进行,没有被忽略或处理不当的交易发生。最常见的控制是交易记录、分批平衡和总量控制系统。

(3) 输出控制:

输出控制确保输入和处理活动已经被执行,而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等。


(1)信息技术的一般控制扩展阅读:

信息技术一般控制包括程序开发,程序变更、程序和数据访问以及计算机运行四个方面:

1,程序开发:程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。

2,程序变更:以达到管理层的应用控制目标。

3,程序和数据访问:程序和数据访问这一领域的目标是确保分配的访同程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访同的子组件一般包括安全活动管理、安全管理数据安全操作系统安全、网络安全和实物安全。

4,计算机运行:计算机运行这领城的目标是确保生产系统根据管理层的控制目标完整准确地运行。确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。