In today’s technology-driven financial world, 越来越多的网络安全攻击增加了被攻破(或之前被攻破)的金融应用程序在报告中出现重大错报的风险.
随着增长, 在《bet9平台游戏》的安全框架下,网络安全已经成为许多组织更加关注的焦点.
公司需要记住,SOX的范围只包括财务控制和, 因此, 测试仅限于生产范围内的金融应用程序, bet9平台游戏器, 操作系统, 和数据库. 还有许多其他bet9平台游戏器和设备没有经过SOX合规性审查,可能会受到损害, 反过来, impact financial reporting. 因此, 采取包括预防在内的整体安全和内部审计方法至关重要, 检测, and corrective controls to address cybersecurity risks.
对于初学者来说, 内部审计师应将网络风险纳入其年度审计风险评估,并应在此过程中采访关键的网络安全人员. 现在,董事会对网络风险和缓解措施提出了更多的问题, there’s value in scheduling these meetings even more frequently. 这很关键, 然后, 内部审计部门拥有熟悉当前网络安全风险的IT审计资源,并且这些资源全年都用于非sox法案的网络审计工作. After cyber risks are identified and controls are designed, 将公司的SOX和网络控制与NIST等网络安全框架作为基准,以测试/监控缓解工作的有效性,这一点非常重要.
公司在SOX中审查的IT控制可以在其他应用程序和IT环境中使用,以加强网络安全态势, 包括:
- Using least privilege for access control
- 定期修改网络、应用、防火墙、数据库和操作系统的“admin”密码
- 密码控件
- 将bet9平台游戏帐户限制为仅具有必要特权的帐户
- 变更管理和访问修改中的职责分离
- Access review and certification of applications
- Change management procedures
- 备份程序
直接的SOX证据, 公司应每年完成一份SOX网络安全备忘录,并考虑额外的SOX控制措施. 内部和外部IT审计员应完成SOX网络安全备忘录,以评估公司对网络攻击的准备情况. 这些讨论通常会导致公司中的IT安全和内部审计小组如何相互受益. Based on the cyber discussions, obvious design gaps should be addressed, including issues like limited cyber resources, no cyber risk assessment, no cyber maturity framework, poor cyber policies and procedures, inadequate cyber training, 等. 这些讨论使审核员对网络程序的当前状态有了高层次的了解.
灾难恢复也开始作为SOX键控制出现, despite being historically viewed as a corrective control and, 随后, 超出了SOX的范围. 如果公司能够在遭受网络攻击的情况下恢复其范围内的金融应用程序,那么增加这种控制将使公司获得更多的关注.
Not all necessary cyber controls will ever be within your SOX framework; 因此, 安全部门应该要求额外的网络控制和框架,内部审计部门需要安排高风险的网络/IT审计,以验证网络部门的程序, especially for controls out of scope of SOX compliance.
来源: