| 2.
访问控制和内部控制的关系
控制(control)是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提供保障。这样,控制就成为适当的管理计划、组织和指导的必然结果。
内部控制(internal control)是为了在组织内保障以下目标的实现而采取的方法:(1)信息的可靠性和完整性,(2)政策、计划、规程、法律、法规和合同的执行,(3)资产的保护,(4)资源使用的经济性和有效性,和(5)业务及计划既定目的和目标的达成。
访问控制(access control)与计算机信息系统相关的内容包括(1)限制主体对客体的访问,(2)限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。比如,人是主体,文件是客体。
“保护资产”是内部控制和访问控制的共同目标。例如,内部控制涉及所有的资产,包括有形的和无形的资产,包括计算机相关的资产也包括和计算机无关的资产。访问控制涉及无形(知识)资产如程序、数据、程序库以及有形资产如硬件和放置计算机的房产。访问控制是整体安全控制的一部分。
|
