在当今技术驱动的金融世界, 越来越多的网络安全攻击增加了被攻破(或之前被攻破)的金融应用程序在报告中出现重大错报的风险.
随着增长, 在《bet9平台游戏》的安全框架下,网络安全已经成为许多组织更加关注的焦点.
公司需要记住,SOX的范围只包括财务控制和, 因此, 测试仅限于生产范围内的金融应用程序, bet9平台游戏器, 操作系统, 和数据库. 还有许多其他bet9平台游戏器和设备没有经过SOX合规性审查,可能会受到损害, 反过来, 影响财务报告. 因此, 采取包括预防在内的整体安全和内部审计方法至关重要, 检测, 以及解决网络安全风险的纠正措施.
对于初学者来说, 内部审计师应将网络风险纳入其年度审计风险评估,并应在此过程中采访关键的网络安全人员. 现在,董事会对网络风险和缓解措施提出了更多的问题, 更频繁地安排这些会议是有价值的. 这很关键, 然后, 内部审计部门拥有熟悉当前网络安全风险的IT审计资源,并且这些资源全年都用于非sox法案的网络审计工作. 在识别网络风险并设计控制措施之后, 将公司的SOX和网络控制与NIST等网络安全框架作为基准,以测试/监控缓解工作的有效性,这一点非常重要.
公司在SOX中审查的IT控制可以在其他应用程序和IT环境中使用,以加强网络安全态势, 包括:
- 使用最小权限进行访问控制
- 定期修改网络、应用、防火墙、数据库和操作系统的“admin”密码
- 密码控件
- 将bet9平台游戏帐户限制为仅具有必要特权的帐户
- 变更管理和访问修改中的职责分离
- 对申请进行审查和认证
- 改变管理程序
- 备份程序
直接的SOX证据, 公司应每年完成一份SOX网络安全备忘录,并考虑额外的SOX控制措施. 内部和外部IT审计员应完成SOX网络安全备忘录,以评估公司对网络攻击的准备情况. 这些讨论通常会导致公司中的IT安全和内部审计小组如何相互受益. 基于网络讨论, 应该解决明显的设计缺陷, 包括有限的网络资源等问题, 没有网络风险评估, 没有网络成熟度框架, 糟糕的网络政策和程序, 网络培训不足, 等. 这些讨论使审核员对网络程序的当前状态有了高层次的了解.
灾难恢复也开始作为SOX键控制出现, 尽管在历史上被视为纠正控制和, 随后, 超出了SOX的范围. 如果公司能够在遭受网络攻击的情况下恢复其范围内的金融应用程序,那么增加这种控制将使公司获得更多的关注.
Not all necessary cyber controls will ever be within your SOX framework; 因此, 安全部门应该要求额外的网络控制和框架,内部审计部门需要安排高风险的网络/IT审计,以验证网络部门的程序, 特别是对于超出SOX遵从范围的控制.
来源: