it審計和內控審計
『壹』 計算機審計,大數據審計,IT審計三者之間的區別
大數據審計 是近年才有 意思的差不多 都是按設定好的規則都事物進行分析處理 准確信和自動控制不同
『貳』 請問企業內控與IT內控有什麼關系
您好,以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
『叄』 什麼是It審計
IT審計就是信息系統審計,主要介紹審計的歷史和發展,對象、范圍和意義對象、范圍和意義計劃。
IT審計是獨立於信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師採用客觀的標准對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。
由上面的定義我們可以看出,IT審計涉及整個信息系統的生命周期,IT審計不是單純強調對軟硬體的審計。它的審計對象涵蓋整個信息系統所有活動和中間產物,並包括信息系統實施相關的外部環境。
IT審計按照信息系統的生命周期分為業務計劃審計,業務開發審計、業務執行審計和業務維護審計以及涵蓋整個信息系統周期的共通業務審計。
業務計劃審計主要面向信息系統的企劃,對信息系統的投資可行性,系統規劃與公司戰略的相關性,系統開發計劃的可行性以及系統需求的完整性和正確性進行審核和驗證。
業務開發審計對信息系統開發的各個階段的相關人員的活動、信息、中間產物進行審核,確認這些活動、信息和中間產物的規范性、有效性和對於信息系統目標的針對性。
業務執行審計確認與信息系統運行相關的數據、軟硬體、安裝環境等是否符合信息系統的運營要求,同時對信息系統的功能、性能、易用度、可操作性等進行評估。
業務維護審計對信息系統的維護活動和維護結果實施審核和評價。發現在維護中可能出現的各種漏洞和信息系統維護中急待改善的問題。
共通業務審計涉及文檔管理、進度管理、人員管理、采購管理、風險管理等,檢查這些過程的規范性和有效性,並提出改良建議。
IT審計的任務在於站在客觀公正的角度上,收集審計信息,生成審計報告,通過審計報告促成信息系統生命周期活動和成果物的改善。
實施IT審計能夠強化IT投資效果,提高信息系統的安全性,能夠客觀評價信息系統及信息系統開發,從社會經濟和企業、國家信息化投資、安全等方面都具有極大的意義。
『肆』 企業內控與IT內控有什麼關系
以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。
參考資料:答案來自於谷安天下網站咨詢顧問發表的相關文章
關鍵字是:企業內控、IT內控
『伍』 請問應該怎麼去理解IT審計 IT審計對我們的能力的要求是什麼 IT審計如何規劃職業
1.概念描述
其實你說的這個叫審計並不準確,審計只是針對財務報表發表意見而言的,由於現在企業的財務流程都依賴電子系統,財務數據也是自動化水平越來越高,因此對於財務體系和企業其它內控流程而言,其電子系統的安全穩定和准確可靠變的越來越重要,出於這個要求,就要有一群專業人士來幫助企業確保其電子系統的安全性和可靠性,否則財務體系根本無從信賴,內控流程根本無法控制。這也就是你所說的這些部門建立的主要初衷和他們的工作內容。
2.工作強度
工作強度其實是根據項目而定的,所以不能一概而論。但從我了解來看,相比審計部門,IT相關的這些部門普遍輕松一些,相對加班較少,沒有那麼可怕的加班熬夜,呵呵(視情況而定,個別項目極其變態。。。:))
3.工作內容
工作要涉及計算機、信息系統的一些知識(C、Oracle什麼的),也要涉及財務知識(我認識一些都在考會計的相關證書,因為工作需要相關知識),這兩部分是基礎的,其它的都是當時學當時用。
4.職業發展
主要是相同方向的企業內部部門,外部機構有一些IT咨詢公司等(埃森哲什麼的,其它咨詢的IT服務小組也可以)。個人認為啊,這個部門跳槽的方向稍微有些局限。原因兩點:第一,這些部門有一些專業性(計算機、財務),但又不是特別專業,沒法跟專門干這個的比,憑借這兩點專業跳槽出去的跟人家專門干這個的,有一點劣勢;第二,這些部門跳槽出去,直接對口的部門少,只有IT咨詢跟這些部門的工作交集比較多,因此有一點局限性。
以上的完全是個人意見啊,肯定有不對不全面的地方,祝你順利啊~
『陸』 IT審計的審計流程
計劃階段是整個審計過程的起點。其主要工作包括:
(1)了解被審系統基本情況
了解被審系統基本情況是實施任何信息系統審計的必經程序,對基本情況的了解有助於審計組織對系統的組成、環境、運行年限、控制等有初步印象,以決定是否對該系統進行審計,明確審計的難度,所需時間以及人員配備情況等。
了解了基本情況,審計組織就可以大致判斷系統的復雜性、管理層對審計的態度、內部控制的狀況、以前審計的狀況、審計難點與重點,以決定是否對其進行審計。
(2)初步評價被審單位系統的內部控制及外部控制
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。隨著信息技術特別是以Internet為代表的網路技術的發展和應用,企業信息系統進一步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。加強內部控制制度是信息系統安全可靠運行的有力保證。依據控制對象的范圍和環境,信息系統內控制度的審計內容包括一般控制和應用控制兩類。
一般控制是系統運行環境方而的控制,指對信息系統構成要素(人、機器、文件)的控制。它已為應用程序的正常運行提供外圍保障,影響到計算機應用的成敗及應用控制的強弱。主要包括:組織控制、操作控制、硬體及系統軟體控制和系統安全控制。
應用控制是對信息系統中具體的數據處理活動所進行的控制,是具體的應用系統中用來預測、檢測和更正錯誤和處置不法行為的控制措施,信息系統的應用控制主要體現在輸入控制、處理控制和輸出控制。應用控制具有特殊性,不同的應用系統有著不同的處理方式和處理環節,因而有著不同的控制問題和不同的控制要求,但是一般可把它劃分為:輸入控制、處理控制和輸出控制。
通過對信息系統組織機構控制,系統開發與維護控制,安全性控制,硬體、軟體資源控制,輸入控制,處理控制,輸出控制等方而的審計分析,建立內部控制強弱評價的指標系統及評價模型,審計人員通過互動式人機對話,輸入各評價指標的評分,內控制審計評價系統則可以進行多級綜合審計評價。通過內控制度的審計,實現對系統的預防性控制,檢測性控制和糾正性控制。
(3)識別重要性
為了有效實現審計目標,合理使用審計資源,在制定審計計劃時,信息系統審計人員應對系統重要性進行適當評估。對重要性的評估一般需要運用專業判斷。考慮重要性水平時要根據審計人員的職業判斷或公用標准,系統的服務對象及業務性質,內控的初評結果。重要性的判斷離不開特定環境,審計人員必須根據具體的信息系統環境確定重要性。重要性具有數量和質量兩個方面的特徵。越是重要的子系統,就越需要獲取充分的審計證據,以支持審計結論或意見。
(4)編制審計計劃
經過以上程序,為編制審計計劃提供了良好准備,審計人員就可以據以編制總體及具體審計計劃。
總體計劃包括:被審單位基本情況;審計目的、審計范圍及策略;重要問題及重要審計領域;工作進度及時間;審計小組成員分工;重要性確定及風險評估等。
具體計劃包括:具體審計目標;審計程序;執行人員及時間限制等。 做好上訴材料的充分的准備,便可進行審計實施,具體包括以下內容:
(1)對信息系統計劃開發階段的審計
對信息系統計劃開發階段的審計包括對計劃的審計和對開發的審計,可以採用事中審計,也可以是事後審計。比較而言事中審計更有意義,審計結果的得出利於故障、問題的及早發現,利於調整計劃,利於開發順序的改進。
信息系統計劃階段的關鍵控制點有:計劃是否有明確的目的,計劃中是否明確描述了系統的效果,是否明確了系統開發的組織,對整體計劃進程是否正確預計,計劃能否隨經營環境改變而及時修正,計劃是否制定有可行性報告,關於計劃的過程和結果是否有文檔記錄等等。
系統開發階段包括系統分析、系統設計、代碼編寫和系統測試三部分。其中涉及包括功能需求分析、業務數據分析、總體框架設計、結構設計、代碼設計、資料庫設計、輸入輸出設計、處理流程及模塊功能的設計。編程時依據系統設計階段的設計圖及資料庫結構和編碼設計,用計算機程序語言來實現系統的過程。測試包括動態測試和靜態測試,是系統開發完畢,進入試運行之前的必經程序。其關鍵控制點有:
分析控制點:是否己細致分析企業組織結構;是否確定用戶功能和性能需求;是否確定用戶的數據需求等。
設計控制點:設計界面是否方便用戶使用;設計是否與業務內容相符;性能能否滿足需要,是否考慮故障對策和安全保護等。
編程式控制制點:是否有程序說明書,並按照說明書進行編寫;編程與設計是否相符,有無違背編程原則;程序作者是否進行自測;是否有程序作者之外的第三人進行測試;編程的書寫、變數的命名等是否規范。
測試控制點:測試數據的選取是否按計劃及需要進行,是否具有代表性;測試是否站在公正客觀的立場進行,是否有用戶參與測試;測試結果是否正確記錄等。
(2)對信息系統運行維護階段的審計
對信息系統運行維護階段的審計又細分為對運行階段的審計和對維護階段的審計。系統運行過程的審計是在信息系統正式運行階段,針對信息系統是否被正確操作和是否有效地運行,從而真正實現信息系統的開發目標、滿足用戶需求而進行的審計。對信息系統運行過程的審計分為系統輸入審計、通信系統審計、處理過程審計、資料庫審計、系統輸出審計和運行管理審計六大部分。
輸入審計的關鍵控制點有:是否制定並遵守輸入管理規則,是否有數據生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。
通信系統實施的是實際數據的傳輸,通信系統中,審計軌跡應記錄輸入的數據、傳送的數據和工作的通信系統。通信系統審計的關鍵控制點有:是否制定並遵守通信規則,對網路存取控制及監控是否有效等。
處理過程指處理器在接收到輸入的數據後對數據進行加工處理的過程,此時的審計主要針對數據輸入系統後是否被正確處理。關鍵控制點有:被處理的數據,數據處理器,數據處理時間,數據處理後的結果,數據處理實現的目的,系統處理的差錯率,平均無故障時間,可恢復性和平均恢復時間等。
資料庫審計是保障資料庫正確行使了其職能,如對數據操作的有效性和發生異常操作時對數據的保護功能(正確數據不丟失,數據回滾以保證數據的一致性)。其關鍵控制點有:對數據的存取控制及監視是否有效,是否記錄數據利用狀況,並定期分析,是否考慮數據的保護功能,是否有防錯、保密功能,防錯、保密功能是否有效等。
輸出審計不同於測試階段的輸出審計,此時的輸出是在實際數據的基礎上進行的,對其進行審計可以對系統輸出進行再控制,結合用戶需求進行評價。關鍵控制點有:輸出信息的獲取及處理時是否有防止不正當行為和機密保護措施,輸出信息是否准確、及時,輸出信息的形式是否被客戶所接受,是否記錄輸出出錯情況並定期分析等。
運行管理審計是對人機系統中人的行為的審計。關鍵控制點有:操作順序是否標准化,作業進度是否有優先順序,操作是否按標准進行,人員交替是否規范,能否對預計於實際運行的差異進行分析,遇問題時能否相互溝通,是否有經常性培訓與教育等。
維護過程的審計包括對維護計劃、維護實施、改良系統的試運行和舊系統的廢除等維護活動的審計。維護過程的關鍵控制點有:維護組織的規模是否適應需要,人員分工是否明確,是否有一套管理機制和協調機制,維護過程發現的可改進點,維護是否得到維護負責人同意,是否對發現問題作了修正,維護記錄是否有文檔記載,是否定期分析,舊系統的廢除是否在授權下進行等。 完成階段是實質性的整個信息系統審計工作的結束,主要工作有:
整理、評價執行審計業務過程中收集到的證據。在信息系統審計的現代化管理時期,收集到的數據己存儲在管理系統中,審計人員只需對其進行分析和調用即可。
復核審計底稿,完成二級復核。傳統審計的三級復核制度對信息系統審計同樣適用,它是保證審計質量、降低審計風險的重要措施。一級復核是由信息系統審計項目組長在審計過程進行中對工作底稿的復核,這層復核主要是評價已完成的審計工作、所獲得的工作底稿編制人員形成的結論;二級復核是在外勤工作結束時,由審計部門領導對工作底稿進行的重點復核。在審計工作辦公自動化的今天,二級復核制度同樣可以通過網上報送及調用得以實現。
評價審計結果,形成審計意見,完成三級復核,編制審計報告。評價審計結果主要是為了確定將要發表的審計意見的類型及在整個審計工作中是否遵循了獨立審計准則。信息系統審計人員需要對重要性和審計風險進行最終的評價。這是審計人員決定發表何種類型審計意見的必要過程,所確定的可接受審計風險一定要有足夠充分適當的審計證據支持。簽發審計報告之前,應當隨工作底稿進行最終(三級)復核,三級復核由審計部門的主任進行,主要復核所採用審計程序的恰當性、審計工作底稿的充分性、審計過程中是否存在重大遺漏、審計工作是否符合事務所的質量要求等。三級復核制度的堅持是控制審計風險的重要手段。審計報告是審計工作的最終成果,審計報告首先應有審計人員對被審系統的安全性、可靠性、穩定性、有效性的意見,同時提出改進建議。
『柒』 有誰知道IT內部審計工作如何展開
樓主:
IT內部審計進行審計活動首先要列出計劃,即你審計的單位是一個什麼樣單版位,要對那權個單位進行審計調查,這就要求做出審計計劃。
計劃的內容包括:
1、要對被審計單位的基本情況要了解。這個單位是干什麼的?有多少員工。產值、等等。
2、審計的時間范圍。你們要審計的被審單位是從哪年到哪年。
3、確定你們要重點審計的內容。
同時,在計劃里要列明參加審計組的人員,審計估計開展的時間段,被審計單位需要協助配合的人員和需要提供的資料。
另外,不同的公司有不同的審計規定和方法,大同小異,具體先知曉你公司的規章制度,知道哪些能夠審計,哪些不好審計,然後多跟同事溝通,看看之前的IT內部審計做得如何?
『捌』 企業內部控制規范與IT內部控制有什麼關系
以下解答摘自谷安天下咨詢顧問發表的相關文章:
企業內部控制基本規范包含的五要素框架:
(一)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(二)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素並採取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(三)控制措施。控制措施是根據風險評估結果、結合風險應對策略所採取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批准控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(四)信息與溝通。信息與溝通是及時、准確、完整地收集與企業經營管理相關的各種信息,並使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。
(五)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告並做出相應處理的過程,是實施內部控制的重要保證。
相應的,IT內部控制框架也應對於企業內部控制的五要素框架:
(一)IT內部控制環境。內部環境在企業IT領域的體現是IT的內部控制環境,同樣IT內部控制環境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。
(二)IT風險評估。企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃,IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。
(三)IT控制措施。針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火牆、防病毒、入侵檢測、身份管理、許可權管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
(四)信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務台與事件管理程序,及時傳達企業內部層級之間和與企業外部相關的信息。
(五)監督檢查。需要建立IT內部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日誌、監控系統、綜合分析平台等,和管理手段如內部IT審核、管理評審、專項檢查等措施,不斷改進企業的IT內部控制。
綜合分析IT內部控制的組件,谷安天下將IT的控制分為三個層面:
(一)公司層控制。在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規與IT審計。
(二)流程與應用層控制。分析企業業務流程與活動,在企業業務流程、應用系統層面與通用IT流程層面建立控制,重點關注與財務報表相關的各種業務與應用系統的技術控制與流程式控制制。
(三)資源層控制。針對企業業務運作所依賴的各類信息資產和IT資源,分析具體每個資源點的風險,建立風險控制措施。