Khu vực CNTT Mục tiêu kiểm soát
1 Vận hành hệ ISO 1.00 - Hoạt động CNTT hỗ trợ
thống thông tin lập kế hoạch, thực hiện, giám sát và
liên tục đầy đủ các hệ thống,
chương trình và quy trình để đảm
bảo xử lý và ghi lại đầy đủ, chính
xác và hợp lệ các giao dịch tài
chính.
2 Vận hành hệ ISO 2.00 - Việc lưu trữ thông tin tài
thống thông tin chính được quản lý hợp lý, chính
xác và đầy đủ.
3 Vận hành hệ ISO 3.00 - Truy cập vật lý được
thống thông tin quản lý thích hợp để bảo vệ các
thành phần có liên quan của cơ sở
hạ tầng CNTT và tính toàn vẹn của
thông tin tài chính.
4 Bảo mật thông ISEC 1.00 - Cấu hình bảo mật của
tin các ứng dụng, cơ sở dữ liệu, mạng
và hệ điều hành được quản lý đầy
đủ để bảo vệ chống lại những thay
đổi trái phép đối với các chương
trình và dữ liệu có thể dẫn đến việc
xử lý hoặc ghi lại thông tin tài
chính không đầy đủ, không chính
xác hoặc không hợp lệ.
5 Bảo mật thông ISEC 2.00 - Bảo mật đầy đủ được
tin thực hiện để bảo vệ chống lại sự
truy cập trái phép và sửa đổi hệ
thống và thông tin, có thể dẫn đến
việc xử lý hoặc ghi lại thông tin tài
chính không đầy đủ, không chính
xác hoặc không hợp lệ.
Kiểm soát hoạt động
ISO 1.01 - Xử lý hàng loạt và / hoặc
trực tuyến được xác định, thực hiện
kịp thời và được giám sát để hoàn
thành thành công. ISO 1.02 - Các
trường hợp ngoại lệ được xác định
trên quá trình xử lý hàng loạt và /
hoặc trực tuyến được xem xét và sửa
chữa kịp thời để đảm bảo xử lý
thông tin tài chính chính xác, đầy đủ
và được ủy quyền.
ISO 2.02 - Các công cụ sao lưu tự
động đã được triển khai để quản lý
các kế hoạch và lịch trình dữ liệu lưu
giữ. ISO 2.04 - Các thử nghiệm về
khả năng đọc của các bản sao lưu
được thực hiện định kỳ. Kết quả hỗ
trợ khôi phục kịp thời và thành công
dữ liệu đã sao lưu.
ISO 3.02 - Truy cập vật lý được cho
phép, giám sát và hạn chế đối với
những cá nhân yêu cầu quyền truy
cập đó để thực hiện nhiệm vụ công
việc của họ. Sự xâm nhập của nhân
viên trái phép được giám sát và ghi
lại. Nhật ký được duy trì và thường
xuyên xem xét bởi ban quản lý
CNTT.
ISEC 1.02 - Các chính sách và thủ
tục chính thức xác định các mục tiêu
bảo mật thông tin của tổ chức và
trách nhiệm của nhân viên đối với
việc bảo vệ và tiết lộ tài nguyên
thông tin. Quản lý giám sát việc tuân
thủ các chính sách và thủ tục bảo
mật, và sự đồng ý với những điều
này được chứng minh bằng chữ ký
của nhân viên. ISEC 1.06 - Phù hợp
với các chính sách và quy trình bảo
mật thông tin, người dùng cục bộ và
từ xa được yêu cầu xác thực với các
ứng dụng, cơ sở dữ liệu, mạng và hệ
điều hành thông qua mật khẩu để
tăng cường bảo mật máy tính.
ISEC 2.02 - Chủ sở hữu hệ thống ủy
quyền cho tài khoản người dùng và
bản chất và mức độ đặc quyền truy
cập của họ. ISEC 2.04 - Người dùng
đã thay đổi vai trò hoặc nhiệm vụ
trong tổ chức, hoặc đã được chuyển
giao hoặc chấm dứt sẽ được thông
báo ngay cho bộ phận bảo mật để
sửa đổi quyền truy cập tài khoản
người dùng nhằm phản ánh trạng

6 Quản lý kiểm CCM 1.00 - Các thay đổi được triển
soát thay đổi khai trong các ứng dụng, cơ sở dữ
liệu, mạng và hệ điều hành (gọi
chung là "thay đổi hệ thống") được
đánh giá rủi ro, được ủy quyền và
ghi chép kỹ lưỡng để đảm bảo kết
quả mong muốn là đầy đủ.
7 Quản lý kiểm CCM 2.00 - Các thay đổi được thực
soát thay đổi hiện trong các ứng dụng, cơ sở dữ
liệu, mạng và hệ điều hành (hoàn
toàn được gọi là "thay đổi hệ
thống") được kiểm tra thích hợp.
Kiểm thử được thực hiện bởi một
nhóm khác với nhóm chịu trách
nhiệm về hệ thống (ví dụ: thay đổi
hệ điều hành được thực hiện bởi
một người nào đó không phải là lập
trình viên hệ thống, v.v.).
8 Quản lý kiểm CCM 3.00 - Các thay đổi được thực
soát thay đổi hiện trong các ứng dụng, cơ sở dữ
liệu, mạng và hệ điều hành (gọi
chung là "thay đổi hệ thống") được
quản lý thích hợp để giảm sự gián
đoạn, thay đổi trái phép và lỗi ảnh
hưởng đến tính chính xác, đầy đủ
và xử lý và ghi lại thông tin tài
chính hợp lệ.
9 Quản lý kiểm CCM 4.00 - Các thay đổi được triển
soát thay đổi khai trong các ứng dụng, cơ sở dữ
liệu, mạng và hệ điều hành (gọi
chung là "thay đổi hệ thống") được
chính thức phê duyệt để hỗ trợ xử
lý và ghi lại thông tin tài chính
chính xác, đầy đủ và hợp lệ.
thái mới và / hoặc sửa đổi. ISEC
2.05 - Việc truyền tải thông tin nhạy
cảm được mã hóa phù hợp với các
chính sách và quy trình bảo mật để
bảo vệ tính bảo mật của nó.
CCM 1.03 - Tài liệu liên quan đến
việc thực hiện thay đổi là đầy đủ và
đầy đủ. CCM 1.05 - Tài liệu liên
quan đến việc thực hiện thay đổi đã
được phát hành và thông báo cho
người dùng hệ thống.
CCM 2.01 - Các thay đổi hệ thống
được kiểm tra trước khi triển khai
vào môi trường sản xuất phù hợp với
các kế hoạch và trường hợp thử
nghiệm. CCM 2.02 - Các kế hoạch
kiểm thử và các trường hợp liên
quan đến dữ liệu kiểm thử đầy đủ và
đại diện (thay vì dữ liệu sản xuất)
được phê duyệt bởi chủ sở hữu ứng
dụng và quản lý phát triển.
CCM 3.01 - Các vấn đề và lỗi gặp
phải trong quá trình kiểm tra các
thay đổi hệ thống được xác định, sửa
chữa, kiểm tra lại, theo dõi để sửa
chữa và ghi lại.
CCM 4.04 - Đánh giá tổng thể được
thực hiện bởi ban quản lý sau khi
các thay đổi hệ thống đã được thực
hiện trong môi trường trực tiếp hoặc
sản xuất để xác định xem các mục
tiêu thực hiện thay đổi hệ thống có
được đáp ứng hay không.