راهنمای کامل حسابرسی کنترلهای سیستم اطلاعاتی (FISCAM)
دستورالعمل حسابرسی کنترلهای سیستم اطلاعاتی فدرال (FISCAM) به عنوان یک راهنمای جامع، اهداف عملیاتی و کنترلهای کلیدی را برای ارزیابی سیستمهای اطلاعاتی دولتی ارائه میدهد. این دستورالعمل که توسط دفتر حسابرسی دولت آمریکا (GAO) تهیه شده، به دو دسته اصلی کنترلهای عمومی و کنترلهای کاربردی تقسیم میشود.
اهداف عملیاتی کنترلهای سیستمهای اطلاعاتی
این دستورالعمل بر پایه مجموعهای از اهداف کنترلی بنا شده است که برای تضمین امنیت، یکپارچگی و در دسترس بودن اطلاعات در سیستمهای فدرال طراحی شدهاند.
کنترلهای عمومی
کنترلهای عمومی، چارچوب کلی مدیریت و امنیت فناوری اطلاعات را در یک سازمان تشکیل میدهند و بر تمام سیستمهای کاربردی تأثیر میگذارند.
مدیریت امنیت
کنترلهایی که اطمینان معقولی درباره اثربخشی مدیریت امنیت فراهم میآورند، شامل موارد زیر است:
- کنترلهای برنامه مدیریت امنیت
- کنترلهای اعتباردهی و ارزیابی دورهای ریسک
- کنترلهای رویهها و خط مشیهای کنترل امنیت
- کنترلهای آموزش هشیاری نسبت به موارد امنیت و سایر مسائل کارکنان
- کنترلهای آزمون و ارزیابی دورهای اثربخشی خطمشیهای امنیت اطلاعات
- کنترلهای کاهش نقاط ضعف امنیت اطلاعات
- کنترلهای امنیت حاکم بر فعالیتهایی که توسط اشخاص ثالث برونسازمانی انجام میشود
کنترلهای دسترسی
این کنترلها اطمینان میدهند که دسترسی به منابع کامپیوتری (داده، ابزار و تسهیلات) محدود به افراد مجاز است. اثربخشی این کنترلها در موارد زیر سنجیده میشود:
- حفاظت از مرزهای سیستم اطلاعاتی
- مکانیسمهای شناسایی و احراز هویت
- کنترلهای مجاز بودن
- محافظت از منابع حساس سیستم
- قابلیت حسابرسی و پایش، از جمله حل و فصل کردن حوادث
- کنترلهای امنیت فیزیکی
کنترلهای پیکربندی
این کنترلها برای اطمینان از مجاز بودن تغییرات در منابع سیستمهای اطلاعاتی و تطابق عملکرد آنها با انتظارات طراحی شدهاند و شامل موارد زیر هستند:
- سیاستها، طرحها و رویههای مدیریت پیکربندی
- اطلاعات شناسایی پیکربندی جاری
- مناسب بودن مجوز، آزمون، تأیید و ردیابی کلیه تغییرات پیکربندی
- رویههای معمول نظارت
- بهروزرسانی نرمافزار بر مبنای زمانبندی، بهمنظور حفاظت در برابر نقاط ضعف شناساییشده
- مستندسازی و تأیید تغییرات اضطراری پیکربندی
تفکیک وظایف
کنترلهایی که اطمینان معقولی درباره اثربخشی تفکیک وظایف ناسازگار فراهم میکنند، شامل موارد زیر هستند:
- تفکیک وظایف و مسئولیتهای ناسازگار و خطمشیهای مرتبط
- نظارت بر فعالیتهای کارکنان طبق رویههای تعریفشده، سرپرستی و بررسیهای رسمی
برنامهریزی برای وقایع احتمالی
این کنترلها برای محافظت از منابع اطلاعاتی و به حداقل رساندن ریسک قطع شدن فعالیت سیستم طراحی شدهاند:
- ارزیابی میزان حیاتی بودن و حساسیت عملیات کامپیوتریشده و شناسایی منابع پشتیبان
- گامهایی که برای پیشگیری یا به حداقل رساندن آسیبها و توقفها برداشته میشود
- طرح جامع اقدامات مربوط به خطرهای احتمالی
- آزمون دورهای برنامه خطرهای احتمالی به همراه تنظیم مناسب طرح، برمبنای نتایج آزمونها
کنترلهای کاربردی
کنترلهای کاربردی مختص هر برنامه یا سیستم نرمافزاری هستند و برای اطمینان از صحت و یکپارچگی دادههای پردازششده طراحی شدهاند.
- کامل بودن: اطمینان از اینکه کلیه تراکنشها یکبار و به طور کامل ثبت و پردازش شدهاند.
- رخداد: اطمینان از اینکه تراکنشها با اطلاعات صحیح، در زمان مناسب و با دقت پردازش میشوند.
- معتبر بودن: اطمینان از اینکه کلیه تراکنشهای ثبتشده واقعی، مجاز و مربوط به سازمان هستند.
- محرمانه بودن: اطمینان از محافظت دادهها و گزارشها در برابر دسترسیهای غیرمجاز.
- در دسترس بودن: اطمینان از اینکه دادهها و گزارشها در هنگام نیاز در دسترس کاربران مجاز هستند.
منبع: دستورالعمل حسابرسی کنترلهای سیستم اطلاعاتی فدرال (FISCAM)، منتشر شده توسط GAO در فوریه 2009. این دستورالعمل در موارد لازم، بهروزرسانی میشود و در بخشهای تفصیلی، حاوی کاربرگهایی است که به ازای هر یک از کنترلهای یادشده، برنامههای آزمون را ارائه داده است.
ترجمه و تلخیص: عظیم رهنورد واقف، دکترای مدیریت کسب و کار، حسابدار رسمی، حسابرس داخلی خبره
