电子商务第17讲附件SOX法案与信息安全课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
① 1. 该应用系统是否用于进行有关重要交易事项的生成、授权、记录、处 理或报告;
② 2. 该系统是否生成关键的表单和数据供财务部门使用,直接作为记账依 据或生成财务报表;
③ 3. 该系统是否生成关键的表单和数据为其他作为记账依据或生成财务报 表的系统使用;
④ 4. 对应用系统的依赖程度,即是否有来自系统的计算结果,应用系统中 是否存在相应的计算、检查、核对过程的控制;
④ 4. 接触控制:未经授权,不得对系统或数据进行修改; 数据保密性; 物理设备的保护。
电子商务第17讲附件SOX法案与信息安全
12
SOX法案与信息安全
p 应用系统控制
n 上市公司内部可能应用各类信息系统,进行应用系统控制之前,首先 应对公司应用的信息系统进行判断,界定是否属于与财务报告相关的关 键应用系统,判定原则包括:
p 此外,在整个管理监控过程中,对企业相关人员进行安全 实践培训。
电子商务第17讲附件SOX法案与信息安全
10
SOX法案与信息安全
p 系统总体控制
n 信息系统总体控制指的是内部控制中对信息系统相关部分的控制,它 保证由信息系统支持的流程控制是可靠的,生成的数据和报告是可信的。 信息系统总体控制涵盖了IT管理和运营所涉及的各个方面:
① 1. 控制环境: 包括信息技术组织、人力资源管理、信息沟通、风险评估、 监控等。
电子商务第17讲附件SOX法案与信息安全
5
背景资料
pSOX法案的由:
n 为改变这一局面,美国国会和政府立即公布了《萨班斯法案》 (Sarbanes-Oxley Act,简称SOX法案),
n 其目的是加强公司责任,以保护公众公司投资者的利益免受公司高管 及相关机构的侵害,正如法案的第一句话所说“遵守证券法律以提高公司 披露的准确性和可靠性,从而保护投资者及其他目的。”
② 2. 信息安全: 包括信息安全组织、逻辑安全、物理安全、网络安全、病 毒防护、第三方管理、事件响应等。
③ 3. 项目建设管理: 包括方法论、立项审批、项目启动、需求分析、项目 设计、系统开发实施、系统测试、数据移植、用户培训、文档管理、验 收和上线后审阅、商业软硬件外购等。
④ 4. 系统变更: 包括日常变更、紧急变更等。 ⑤ 5. 信息系统日常运作: 包括机房环境控制、日常监控、批处理作业调度
n 对电子表格的控制包括开发控制、变更控制、版本控制、 存取控制、输入控制、安全控制、存储归档控制、备份控制、 文档记录、权限控制、逻辑检查。
电子商务第17讲附件SOX法案与信息安全
17
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
n依据:根据国际安全领域权威的ISO 17799/27001和最符合 萨班斯(SOX)法案要求的COBIT等标准,推出了全新的贴 近电信市场需求的新一代业务系统安全解决方案——面向业 务保障的安全服务体系。
电子商务第17讲附件SOX法案与信息安全
20
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
电子商务第17讲附件SOX法案与信息安全
21
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案:在这个闭环中,依次执行以下6 部分内容:
①为了解系统本身的漏洞及潜在的风险,对系统进行风险评估; ②针对评估出来的漏洞和风险提出准确的系统加固建议; ③依据系统加固建议,有效地部署并配置安全设备; ④对工作进程进行安全监控,确保其顺利进行; ⑤如遇紧急事件,由资深安全专家做出及时响应,以解决问题; ⑥根据客户信息系统中的信息资产情况,提供相应的安全信息通告,以邮 件,电话或短信的方式发给客户,提供及时的修补和防御措施。
n 严格地说,SOX法案并没有直接对信息系统提出要求,但法案中404条款对内 控体系建设有明确要求: 公司除了有正确完整的财务报表外,还要有确保报表正 确而完整的控制体系,公司管理层每年需对内控体系的运行效果进行评估,外部 审计师要对内部控制体系和控制效果进行测试并出具审计意见。
n 由于上市公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持, 如果信息系统控制的一致性和有效性方面不足,这将降低数据和自动控制的可依 赖性,增加管理层和审计师在测试方面的工作量,从而对整个内控体系的有效性 产生负面影响。为此,加强信息系统的控制体系建设成为上市公司IT部门的一个 重要工作。
电子商务第17讲附件SOX法案与信息安全
3
背景资料
p什么是SOX法案:
n SOX法案即《萨班斯-奥克斯莱法案(Sarbanes-Oxley Act) 》,又称《2002年公众公司会计改革和投资者保护 法》;
n 该法案于2002年7月由美国总统布什签署发布;
n 是美国政府对公司监管的重要法律;
n 美国总统布什在签署“SOX法案”的新闻发布会上称“这是自 罗斯福总统以来美国商业界影响最为深远的改革法案”。
电子商务第17讲附件SOX法案与信息安全
14
SOX法案与信息安全
p 电子表格控制
n 目前电子表格在上市公司的生产运营、信息管理、数据分析、财务核 算与报告各个环节广泛运用。
n 电子表格中的公式、宏及表间链接等功能增加了电子表格计算的复杂 程度,同时也增加了电子表格数据完整性及计算准确性的风险。
n SOX法案404条款中的一个重点就是关注在编制和维护电子表格过程中 的相关控制。即使相对简单的电子表格计算的一个偏差也可能会对财务 报告及披露产生重大错报的风险。
n 按照美国国会网站对SOX法案的介绍,该法案从最初于2002年2月14日 提交给国会众议院金融服务委员会(Committee on Financial Services),到 7月25日国会参众两院的最终通过,先后有6个版本。
n 最后修订完稿的SOX法案共分11章,第1至第6章主要涉及对会计职业 及公司行为的监管,第8至第11章主要是提高对公司高管及白领犯罪的 刑事责任。
电子商务第17讲附件SOX法案与信息安全
18
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
电子商务第17讲附件SOX法案与信息安全
19
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
n 安全管理监控服务是网络与信息安全系统的委托管理与服 务,是风险管理的过程化实施,是启明星辰公司为企业提供 的专家级服务体系。该体系以全面保护、实时监控、专家响 应为基本元素,建立了一套闭环服务体系,这种全面的安全 服务体系能完全使企业摆脱维护系统安全的烦恼,并从最大 程度上提高投资回报率。
n 特点:以萨班斯(SOX)法案对内控系统的安全需求为根 本,制定了全新的风险评估、应急响应、安全加固等服务。 不仅以市场上的安全需求为导向,更树立起电信级的“零距 离贴近客户、零中断保障客户、零时延快速响应客户”的全 面安全服务解决方案。用专注、专业、专心的精神为电信运 营商客户切实解决遇到的安全问题。
电子商务第17讲附件SOX法案与信息安全
4
背景资料
pSOX法案的由来:
n 2001年底美国安然公司在一片哗然中轰然倒台,由此引发 的“安然事件”至今令许多人记忆犹新。此后,公司丑闻不断, 规模也“屡创新高”,特别是次年6月的世界通信会计丑闻事件, 更是雪上加霜,彻底打击了美国投资者对美国资本市场的信 心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会 计师事务所在投资者中的“诚信危机”,更引发了世界各国对 公司治理模式的新一轮思考。
n 对电子表格的控制包括开发控制、变更控制、版本控制、 存取控制、输入控制、安全控制、存储归档控制、备份控制、 文档记录、权限控制、逻辑检查。
电子商务第17讲附件SOX法案与信息安全
16
SOX法案与信息安全
p 电子表格控制
n 在SOX法案中需评价的电子表格是指由用户程序(如Excel、 Access、 Lotus等)编制的各种支持财务报告及披露的电子 表格或文本文件,包括直接或间接作为财务记账依据的电子 表格、用于财务相关信息核对的电子表格、以及支持财务信 息披露的电子表格,所涉及的使用部门通常包括财务部门编 制及使用的电子表格以及由其他业务部门传递至财务部门供 其作为会计核算及报告披露依据的电子表格。
管理、数据备份与恢复、问题管理等。 ⑥ 6. 最终用户操作: 包括最终用户作安全制度、电子表格管理等。
电子商务第17讲附件SOX法案与信息安全
11
SOX法案与信息安全
p 应用系统控制
n 应用系统控制指的是业务流程中内嵌的信息系统相关控制, 信息系统应用的潜在风险直接影响业务流程中的信息控制目 标:
① 1. 完整性:所有的交易都经过处理,且只处理一次; 不允许数据的 重复录入和处理; 例外情况的发现和解决。
② 2. 准确性: 所有的数据(包括金额和账户)是正确和合理的; 例外 情况被及时发现以保证交易被记录在正确的会计期间。
③ 3. 有效性:交易被适当授权; 系统不接受虚假交易; 异常情况被发现 和处理。
7
背景资料
pSOX法案主要解决什么问题?
n具体内容见SOX法案文档
电子商务第17讲附件SOX法案与信息安全
8
SOX法案与信息安全
pSOX法案对信息系统控制的要求
n 以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确 要求,作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高 度。
电子商务第17讲附件SOX法案与信息安全
6
背景资料
pSOX法案主要解决什么问题?
n再建立上市公司高管人员责任追究机制 ; n强化内外制衡 ; n加强内部独立监督能力 ; n杜绝注册会计师利益瓜葛 ; n会计师行业由自律改为监管 ; n确保证券分析师的客观性和独立性 ; n 加强刑事处罚。
电子商务第17讲附件SOX法案与信息安全
⑤ 5. 上述应用控制是否是惟一依赖的控制措施,是否存在手工控制可以达 到控制目标,弥补风险。
电子商务第17讲附件SOX法案与信息安全
13
SOX法案与信息安全
p 应用系统控制
n 符合以上判断条件的与财务报告相关的关键应用系统应按照应用系统 控制进行控制,控制分为5类,
n 即访问控制、职责分离、输入控制、处理控制、输出控制。
电子商务
Electronic Commerce
副教授
电话:, E_mail:
电子商务第17讲附件SOX法案与信息安全
1
第17讲(附件)
SOX法案与信息安全
电子商务第17讲附件SOX法案与信息安全
2
内容提要
SOX法案背景 SOX法案涉及信息安全的主要内容 针对SOX法案的信息安全方案 SOX法案对信息安全行业的影响
n 内嵌在电子表格中的宏或其他功能可能会严重影响电子表格中数据的 准确性。
n 公司需要对电子表格实施的控制是否能支持重大会计事项及披露进行 谨慎的评估。
电子商务第17讲附件SOX法案与信息安全
15
SOX法案与信息安全
p 电子表格控制
n 在SOX法案中需评价的电子表格是指由用户程序(如Excel、 Access、 Lotus等)编制的各种支持财务报告及披露的电子 表格或文本文件,包括直接或间接作为财务记账依据的电子 表格、用于财务相关信息核对的电子表格、以及支持财务信 息披露的电子表格,所涉及的使用部门通常包括财务部门编 制及使用的电子表格以及由其他业务部门传递至财务部门供 其作为会计核算及报告披露依据的电子表格。
n 其中应用系统的用户权限管理和职责分离(SoD,Segregation of Duties), 是内部控制的重要组成部分,也是SOX法案404条款要求的重点之一。如 2005年1月11日的Compliance Week的报道,在2004年SEC上登记的上市 公司最典型的问题之一就是SoD。根据业界最新的统计,截止到2005年4 月份,在所有报告的实质性漏洞(Material Weakness)中,SoD一项就占了 5%以上,因此必须对与财务报告相关的关键应用系统的用户进行合理的 管理,以实现用户的授权适当和合理分工。
电子商务第17讲附件SOX法案与信息安全
9
SOX法案与信息安全
pSOX法案对信息系统控制的要求主要包括:
n信息系统总体控制(General Computer Control ,简 称GCC )、
n应用系统控制(Application Control,简称AC)
n电子表格控制三部分。
电子商务第17讲附件SOX法案与信息安全
② 2. 该系统是否生成关键的表单和数据供财务部门使用,直接作为记账依 据或生成财务报表;
③ 3. 该系统是否生成关键的表单和数据为其他作为记账依据或生成财务报 表的系统使用;
④ 4. 对应用系统的依赖程度,即是否有来自系统的计算结果,应用系统中 是否存在相应的计算、检查、核对过程的控制;
④ 4. 接触控制:未经授权,不得对系统或数据进行修改; 数据保密性; 物理设备的保护。
电子商务第17讲附件SOX法案与信息安全
12
SOX法案与信息安全
p 应用系统控制
n 上市公司内部可能应用各类信息系统,进行应用系统控制之前,首先 应对公司应用的信息系统进行判断,界定是否属于与财务报告相关的关 键应用系统,判定原则包括:
p 此外,在整个管理监控过程中,对企业相关人员进行安全 实践培训。
电子商务第17讲附件SOX法案与信息安全
10
SOX法案与信息安全
p 系统总体控制
n 信息系统总体控制指的是内部控制中对信息系统相关部分的控制,它 保证由信息系统支持的流程控制是可靠的,生成的数据和报告是可信的。 信息系统总体控制涵盖了IT管理和运营所涉及的各个方面:
① 1. 控制环境: 包括信息技术组织、人力资源管理、信息沟通、风险评估、 监控等。
电子商务第17讲附件SOX法案与信息安全
5
背景资料
pSOX法案的由:
n 为改变这一局面,美国国会和政府立即公布了《萨班斯法案》 (Sarbanes-Oxley Act,简称SOX法案),
n 其目的是加强公司责任,以保护公众公司投资者的利益免受公司高管 及相关机构的侵害,正如法案的第一句话所说“遵守证券法律以提高公司 披露的准确性和可靠性,从而保护投资者及其他目的。”
② 2. 信息安全: 包括信息安全组织、逻辑安全、物理安全、网络安全、病 毒防护、第三方管理、事件响应等。
③ 3. 项目建设管理: 包括方法论、立项审批、项目启动、需求分析、项目 设计、系统开发实施、系统测试、数据移植、用户培训、文档管理、验 收和上线后审阅、商业软硬件外购等。
④ 4. 系统变更: 包括日常变更、紧急变更等。 ⑤ 5. 信息系统日常运作: 包括机房环境控制、日常监控、批处理作业调度
n 对电子表格的控制包括开发控制、变更控制、版本控制、 存取控制、输入控制、安全控制、存储归档控制、备份控制、 文档记录、权限控制、逻辑检查。
电子商务第17讲附件SOX法案与信息安全
17
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
n依据:根据国际安全领域权威的ISO 17799/27001和最符合 萨班斯(SOX)法案要求的COBIT等标准,推出了全新的贴 近电信市场需求的新一代业务系统安全解决方案——面向业 务保障的安全服务体系。
电子商务第17讲附件SOX法案与信息安全
20
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
电子商务第17讲附件SOX法案与信息安全
21
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案:在这个闭环中,依次执行以下6 部分内容:
①为了解系统本身的漏洞及潜在的风险,对系统进行风险评估; ②针对评估出来的漏洞和风险提出准确的系统加固建议; ③依据系统加固建议,有效地部署并配置安全设备; ④对工作进程进行安全监控,确保其顺利进行; ⑤如遇紧急事件,由资深安全专家做出及时响应,以解决问题; ⑥根据客户信息系统中的信息资产情况,提供相应的安全信息通告,以邮 件,电话或短信的方式发给客户,提供及时的修补和防御措施。
n 严格地说,SOX法案并没有直接对信息系统提出要求,但法案中404条款对内 控体系建设有明确要求: 公司除了有正确完整的财务报表外,还要有确保报表正 确而完整的控制体系,公司管理层每年需对内控体系的运行效果进行评估,外部 审计师要对内部控制体系和控制效果进行测试并出具审计意见。
n 由于上市公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持, 如果信息系统控制的一致性和有效性方面不足,这将降低数据和自动控制的可依 赖性,增加管理层和审计师在测试方面的工作量,从而对整个内控体系的有效性 产生负面影响。为此,加强信息系统的控制体系建设成为上市公司IT部门的一个 重要工作。
电子商务第17讲附件SOX法案与信息安全
3
背景资料
p什么是SOX法案:
n SOX法案即《萨班斯-奥克斯莱法案(Sarbanes-Oxley Act) 》,又称《2002年公众公司会计改革和投资者保护 法》;
n 该法案于2002年7月由美国总统布什签署发布;
n 是美国政府对公司监管的重要法律;
n 美国总统布什在签署“SOX法案”的新闻发布会上称“这是自 罗斯福总统以来美国商业界影响最为深远的改革法案”。
电子商务第17讲附件SOX法案与信息安全
14
SOX法案与信息安全
p 电子表格控制
n 目前电子表格在上市公司的生产运营、信息管理、数据分析、财务核 算与报告各个环节广泛运用。
n 电子表格中的公式、宏及表间链接等功能增加了电子表格计算的复杂 程度,同时也增加了电子表格数据完整性及计算准确性的风险。
n SOX法案404条款中的一个重点就是关注在编制和维护电子表格过程中 的相关控制。即使相对简单的电子表格计算的一个偏差也可能会对财务 报告及披露产生重大错报的风险。
n 按照美国国会网站对SOX法案的介绍,该法案从最初于2002年2月14日 提交给国会众议院金融服务委员会(Committee on Financial Services),到 7月25日国会参众两院的最终通过,先后有6个版本。
n 最后修订完稿的SOX法案共分11章,第1至第6章主要涉及对会计职业 及公司行为的监管,第8至第11章主要是提高对公司高管及白领犯罪的 刑事责任。
电子商务第17讲附件SOX法案与信息安全
18
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
电子商务第17讲附件SOX法案与信息安全
19
针对SOX法案的信息安全方案
p 启明星辰公司的解决方案
n 安全管理监控服务是网络与信息安全系统的委托管理与服 务,是风险管理的过程化实施,是启明星辰公司为企业提供 的专家级服务体系。该体系以全面保护、实时监控、专家响 应为基本元素,建立了一套闭环服务体系,这种全面的安全 服务体系能完全使企业摆脱维护系统安全的烦恼,并从最大 程度上提高投资回报率。
n 特点:以萨班斯(SOX)法案对内控系统的安全需求为根 本,制定了全新的风险评估、应急响应、安全加固等服务。 不仅以市场上的安全需求为导向,更树立起电信级的“零距 离贴近客户、零中断保障客户、零时延快速响应客户”的全 面安全服务解决方案。用专注、专业、专心的精神为电信运 营商客户切实解决遇到的安全问题。
电子商务第17讲附件SOX法案与信息安全
4
背景资料
pSOX法案的由来:
n 2001年底美国安然公司在一片哗然中轰然倒台,由此引发 的“安然事件”至今令许多人记忆犹新。此后,公司丑闻不断, 规模也“屡创新高”,特别是次年6月的世界通信会计丑闻事件, 更是雪上加霜,彻底打击了美国投资者对美国资本市场的信 心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会 计师事务所在投资者中的“诚信危机”,更引发了世界各国对 公司治理模式的新一轮思考。
n 对电子表格的控制包括开发控制、变更控制、版本控制、 存取控制、输入控制、安全控制、存储归档控制、备份控制、 文档记录、权限控制、逻辑检查。
电子商务第17讲附件SOX法案与信息安全
16
SOX法案与信息安全
p 电子表格控制
n 在SOX法案中需评价的电子表格是指由用户程序(如Excel、 Access、 Lotus等)编制的各种支持财务报告及披露的电子 表格或文本文件,包括直接或间接作为财务记账依据的电子 表格、用于财务相关信息核对的电子表格、以及支持财务信 息披露的电子表格,所涉及的使用部门通常包括财务部门编 制及使用的电子表格以及由其他业务部门传递至财务部门供 其作为会计核算及报告披露依据的电子表格。
管理、数据备份与恢复、问题管理等。 ⑥ 6. 最终用户操作: 包括最终用户作安全制度、电子表格管理等。
电子商务第17讲附件SOX法案与信息安全
11
SOX法案与信息安全
p 应用系统控制
n 应用系统控制指的是业务流程中内嵌的信息系统相关控制, 信息系统应用的潜在风险直接影响业务流程中的信息控制目 标:
① 1. 完整性:所有的交易都经过处理,且只处理一次; 不允许数据的 重复录入和处理; 例外情况的发现和解决。
② 2. 准确性: 所有的数据(包括金额和账户)是正确和合理的; 例外 情况被及时发现以保证交易被记录在正确的会计期间。
③ 3. 有效性:交易被适当授权; 系统不接受虚假交易; 异常情况被发现 和处理。
7
背景资料
pSOX法案主要解决什么问题?
n具体内容见SOX法案文档
电子商务第17讲附件SOX法案与信息安全
8
SOX法案与信息安全
pSOX法案对信息系统控制的要求
n 以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确 要求,作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高 度。
电子商务第17讲附件SOX法案与信息安全
6
背景资料
pSOX法案主要解决什么问题?
n再建立上市公司高管人员责任追究机制 ; n强化内外制衡 ; n加强内部独立监督能力 ; n杜绝注册会计师利益瓜葛 ; n会计师行业由自律改为监管 ; n确保证券分析师的客观性和独立性 ; n 加强刑事处罚。
电子商务第17讲附件SOX法案与信息安全
⑤ 5. 上述应用控制是否是惟一依赖的控制措施,是否存在手工控制可以达 到控制目标,弥补风险。
电子商务第17讲附件SOX法案与信息安全
13
SOX法案与信息安全
p 应用系统控制
n 符合以上判断条件的与财务报告相关的关键应用系统应按照应用系统 控制进行控制,控制分为5类,
n 即访问控制、职责分离、输入控制、处理控制、输出控制。
电子商务
Electronic Commerce
副教授
电话:, E_mail:
电子商务第17讲附件SOX法案与信息安全
1
第17讲(附件)
SOX法案与信息安全
电子商务第17讲附件SOX法案与信息安全
2
内容提要
SOX法案背景 SOX法案涉及信息安全的主要内容 针对SOX法案的信息安全方案 SOX法案对信息安全行业的影响
n 内嵌在电子表格中的宏或其他功能可能会严重影响电子表格中数据的 准确性。
n 公司需要对电子表格实施的控制是否能支持重大会计事项及披露进行 谨慎的评估。
电子商务第17讲附件SOX法案与信息安全
15
SOX法案与信息安全
p 电子表格控制
n 在SOX法案中需评价的电子表格是指由用户程序(如Excel、 Access、 Lotus等)编制的各种支持财务报告及披露的电子 表格或文本文件,包括直接或间接作为财务记账依据的电子 表格、用于财务相关信息核对的电子表格、以及支持财务信 息披露的电子表格,所涉及的使用部门通常包括财务部门编 制及使用的电子表格以及由其他业务部门传递至财务部门供 其作为会计核算及报告披露依据的电子表格。
n 其中应用系统的用户权限管理和职责分离(SoD,Segregation of Duties), 是内部控制的重要组成部分,也是SOX法案404条款要求的重点之一。如 2005年1月11日的Compliance Week的报道,在2004年SEC上登记的上市 公司最典型的问题之一就是SoD。根据业界最新的统计,截止到2005年4 月份,在所有报告的实质性漏洞(Material Weakness)中,SoD一项就占了 5%以上,因此必须对与财务报告相关的关键应用系统的用户进行合理的 管理,以实现用户的授权适当和合理分工。
电子商务第17讲附件SOX法案与信息安全
9
SOX法案与信息安全
pSOX法案对信息系统控制的要求主要包括:
n信息系统总体控制(General Computer Control ,简 称GCC )、
n应用系统控制(Application Control,简称AC)
n电子表格控制三部分。
电子商务第17讲附件SOX法案与信息安全