iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 28

[Day 28] 系統開發導入(下)

資訊審計人員需要能識別和了解所設計的控制,以確保輸入和輸出各種業務和應用程式的數據授權、完整性和準確性。

Data Validation Edits and Controls 數據驗證編輯和控制

Sequence Check 序列檢查 : 數字照順序
Limit Check 限制檢查 : 數字不會有超過預期的值
Validity Check 有效性檢查 : 輸入的值是可接受的
Range Check : 數字應該在某個範圍
Reasonableness check 合理性檢查 : 與平時不同或不合理狀況 EX.溫度平時都30度,突然變成60度
Table Lookups 表查找 : 輸入數據符合表格中定義 EX.匯款時銀行代碼輸入不存在的數字無法執行
Existence Check 存在檢查 : 數據輸入正確並符合有效的預定義標準
Key verification 按鍵驗證 : 重複的按鍵輸入進行比較 EX.輸入兩次密碼都相同才能更改密碼
Duplicate check 重複檢查 : 檢查新交易與之前輸入的交易匹配,以確保尚未輸入 EX.重覆繳兩次電話費

處理控制

Manual recalculations 手動重新計算 : 比對手動結果是否與輸出相同
Run to Run : 在每個階段驗證,確保資料在每個階段正確

輸出控制

稽核需確認保留政策是否符合法令法規,例如GDPR跨境傳輸,傳輸間的安全,尤其需要注意傳出去的資料難以被掌控,可能被複製傳給不恰當的地方,因此傳出的關卡務必重點管控。

在安全的地方紀錄和儲存
準確性、完整性、即時性
核對與對帳 : 總數核對
輸出錯誤處理
輸出報告保留
報告接收校驗 : 接收者需要以類似簽收動作

測試

  • Unit Testing 單元測試 : 最小規模的測試,確保功能正常
  • Component Testing/Module Testing 組件/模塊測試 : 對多個Unit組成的Module做測試
  • Interface/Integration Testing 接口/整合測試 : 通常指Module間數據串接測試,有的時候包含SIT系統整合測試
  • System Testing 系統測試 : 完成上述測試後,對開發的系統測試確定符合功能需求
  • System Integration Testing(SIT)系統整合測試 : 系統間數據串接測試
    https://ithelp.ithome.com.tw/upload/images/20210222/200777523nxANQkC1A.jpg
    圖片來源: https://slideplayer.com/slide/5068105/

系統測試細項

  • Volume testing 容量測試 : 系統能承受的最大資料容量(資料儲存)
  • Usability Testing 可用性測試
  • Recovery Testing 恢復測試 : 檢查系統在軟件或硬件故障後的恢復能力。
    Performance Testing效能測試
  • Load Testing 負載測試 : 用大量數據測試應用程序以評估其在高峰時段的性能。(乘載幾萬人在線)
  • Stress Testing 壓力測試 : 測試在極端的狀態運行狀況。(被DDos)
  • Performance Testing 性能測試 : 與其他相似產品比較。(手機跑分)

Acceptance test 驗收測試

  • Function/validation testing 功能/驗證測試 : 類似於系統測試,但通常用於根據詳細要求來測試系統的功能,以確保已構建的軟件可追溯到客戶要求。
  • Quality Assurance Testing(QAT) 質量保證測試 : 專注於應用程序的技術方面,它通過測試邏輯設計和技術本身來驗證應用程序是否按文檔所述工作。它還確保該應用程序符合記錄的技術規格和可交付成果。通常由IT執行
  • User acceptance testing(UAT) 用戶接受/驗收測試 : 專注於應用程序的功能方面,客戶會審查是否符合當初規格要求的功能

更版/上線測試

  • Alpha Test 軟件發佈前的第一個測試,通常在內部測試環境
  • Beta Test 測試軟件功能的可用性,提供外部人員測試
  • Parallel Testing 並行測試 : 這是將測試數據輸入修改後的系統和另一個系統的兩個系統中並比較結果的過程。
  • Sociability testing 社交性測試用於確認新系統或修改後的系統可以在其目標環境中運行,而不會對現有系統造成不利影響。
  • Regression testing 回歸測試是重新運行一部分測試方案或測試計劃以確保更改或更正未引入新錯誤的過程。

稽核角度的測試

  • Test data 使用一組假設的事務來在短時間內驗證程序邏輯和內部控制,並為IT背景最少的審核員提供驗證
  • parallel simulation 並行 將實際程序的結果與為IS審核員編寫的程序的結果進行比較; 此技術可能很耗時,並且需要IT專業知識
  • integrated test 集成的測試 使在線處理交易時能夠持續評估測試數據; 此技術非常耗時,需要IT專業知識
  • embedded audit module 嵌入式審計模塊是已編程的模塊,已插入應用程序以測試控件。 此技術非常耗時,需要IT專業知識。
    https://ithelp.ithome.com.tw/upload/images/20210222/20077752Pzyuh1SIAY.jpg
    圖片來源: https://www.slide-finder.com/view/Application-Controls-Batch-Processing.264042.html

實施後的審查

  • 稽核須查看訪問控製配置,確定系統是否達到目的(滿足客戶需求)、預期成本的效益或ROI衡量
  • 是否手冊文件供使用者實施,並在異常事件時有Error Code 相對應的處理方式
  • 審查輸入輸出處理報告,查核系統正確處理數據

BPR

business process reengineering 企業流程再造
BPR的目標是幫助企業從根本上,重新思考怎麼樣工作,以便根本上地提高客戶服務,削減運營成本,成為世界級競爭者(Wiki),簡單來說就是增加效率、增加金錢(省錢)、減少舞弊

  • 定義範圍
  • 制定計畫
  • 了解流程
  • 重新設計
  • 實施流程
  • 持續改進

benchmarking process
標杆管理是一個衡量公司產品,服務或流程的績效的過程,該過程與是與同業最佳的業務績效進行比較,用來確立未來改進的目標。Benchmarking process用來作為BPR的工具

  • PLAN 識別基準測試的關鍵流程
  • RESEARCH 收集指標數據
  • OBSERVE 收集數據並拜訪基準測試合作夥伴
  • ANALYZE 匯總和解釋所收集的數據,並分析組織過程與其合作夥伴過程之間的差距
  • ADOPT 調查結果轉化為一些核心原則,並從原則到策略再到行動計劃
  • IMPROVE 改進

稽核需要關注關鍵控制是否被撤銷,確定管理層對此知情,並願意承擔不設立控制衍伸的風險
須確定變更工作與戰略計畫一致、避免對其他員工造成負面影響並記錄經驗教訓供其他計畫參考改進。

稽核

  • 查看系統是否達到目標的要求,查故障申告單、滿意度調查等等
  • 審查方案是否合理且符合成本效益,並確定有讓適當高層批准
  • 審查控制配置是否符合設計要求
  • 審查操作人員的錯誤日誌,以確定是否有運行問題

參考資料


上一篇
[Day 27] 系統開發導入(上)
系列文
資訊系統安全稽核與 CISA 的簡單應用28

尚未有邦友留言

立即登入留言