组织的职责划分 职责划分是组织中需要考虑的一个重要问题。明确的职责分工有助于各职能的有效运作，并提供监管和控制职能。尤其是对于大型财务系统等重要系统，监管人员需要比下属人员承担更多的责任。IT部门与其他部门的独立和信息系统内部职务分工同样重要。下面对任务分工的若干领域做进一步说明： 1.交易授权 交易授权是用户部门的责任。事实上授权也意味着被授权人员的责任程度。管理人员和信息系统审计师必须定期检测未经授权的交易情况。 2.对账 对账是用户的责任。在一些组织中，数据控制组也使用“核对总计”与平衡表来进行应用程序的对账，这种独立的检验使用户对应用程序的运行和数据准确性都更有信心。 3.资产保管 公司必须决定并指派适当的资产保管者。当某一使用者被指派为“数据所有者”时，应该明文订出责任。数据所有者负责决定保护数据安全的授权等级，而数据安全管理小组则常常负责安全系统的安装与执行。 4.访问数据 实体环境必须足够安全，阻止未经授权人员访问各种联到主机的有形设备。系统和应用安全是阻止未经授权人员访问的另一层安全控制。此外，从外部获得公司内部数据是因特网出现后的新问题。因此，系统管理者需要加强保护信息资产的责任。 5.使用授权表格 用户部门管理者提交电子或印刷的正式授权表格，其中定义员工的访问权，即谁能访问什么，授权表格必须得到管理层的批准。通常所有用户都应以书面形式向主管申请某个特殊系统的访问权限。大公司或有偏远单位的公司，授权的签名、申请书的签名都应存档，以便核查，确保授权申请是正确的。此外，程序上也应要求主管定期检查存取权限，以确认用户的权限与工作职能相配，并随时更新。 6.用户授权表 IT部门使用授权表格中的数据来建立和维护用户授权表。定义哪些人被授权去更新、修改、删除或浏览数据。这些权利分别在系统、交易等层次定义。此外，授权表本身要有密码或加密来保护，防止未经授权的访问。控制日志应详细记录所有用户活动，并有适当的主管来检查，所有意外情形都应加以调查。 7.异常报告 异常事件应该报告给管理层处理，在妥善处理后需要留下证据，即在报告上签名表示该异常已妥善处理。管理层也应跟踪异常善后处理，以确保所有异常均已及时解决。 8.审计轨迹 审计轨迹是信息系统审......More↓↓↓