首頁 » 方法與準則 » GTAG全球科技查核指引 » GTAG-9 :身份及存取管理

GTAG-9 :身份及存取管理

G身份及存取管理(IAM)係指持續管理何人可以存取哪些資訊的流程。由於IAM觸及機構的每個部份-從使用某項設施的前門,到擷取公司的銀行及財務資訊-內部稽核主管(CAEs)可能想知道機構如何可以更有效的控制存取,以便更為瞭解IAM的範圍。例如,為了有效控制存取,經理人員必須先知道可以存取的實體及邏輯進入點。控制不良或鬆散的IAM流程,可能導致機構未導循法規,以及無法確定公司資料是否遭到濫用。

因此,內部稽核主管應參與機構IAM策略的制訂。內部稽核主管針對IAM可以如何增進存取控制的有效性,帶來獨特的觀點,稽核人員也可以更為瞭解這些控制的運作。

本指引主要提供IAM對於機構的作用之見解,並建議內部稽核應查核之領域。除了參與策略的制訂外,內部稽核主管有責任詢問業務及IT管理階層,目前有哪些IAM流程,以及其如何管理。

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員