日志和责任制-IntosaiCommunityPortal.PPT

应用安全 第14讲 目标 回顾通用安全和应用安全之间的关系 讨论应用访问控制的目标 识别通常构建在程序中的安全控制 通用和应用安全 第8和9节讲述了安装级别的访问安全，即对企业和计算机网络的访问。 本节考虑客户如何控制对财务程序及其内部的访问。 应用安全的目标 应用安全控制用于： 确保业务和程序标准、主文件数据的完整性 加强责任分离 用户责任 通过以下手段： 识别和鉴别 保护资源 日志 程序登录控制 登录ID和密码 审计师应该审查程序密码策略和过程 登录控制随程序而不同 很多依赖于控制实现或配置的方式 记住审查任何相关的手工控制 应用资源保护 对登录程序的用户的访问控制 限制访问模块 限制访问程序工具与功能 通常通过访问控制列表或矩阵实现（对个人或工作职能限制访问） 日志和责任制 用户应该对他们的行为负责任 责任制导致 更少的错误和更少的欺诈 责任制＝识别个人、与他们的行为相连接、对结果负责 通常通过使用日志来达到程序的责任制 需要记录哪些情况的想法 审计日志的保护 日志只有在受保护的情况下才能够信赖 通过文件/目录许可保护 WORM驱动器 加密 IT audit training IT CONTROLS: S14/ * for March 2007 Finance AUDIT LOG Page * IT audit train