GTAG-9 :身份及存取管理

身份及存取管理(IAM)係指持續管理何人可以存取哪些資訊的流程。由於IAM觸及機構的每個部份-從使用某項設施的前門，到擷取公司的銀行及財務資訊－內部稽核主管(CAEs)可能想知道機構如何可以更有效的控制存取，以便更為瞭解IAM的範圍。例如，為了有效控制存取，經理人員必須先知道可以存取的實體及邏輯進入點。控制不良或鬆散的IAM流程，可能導致機構未導循法規，以及無法確定公司資料是否遭到濫用。

因此，內部稽核主管應參與機構IAM策略的制訂。內部稽核主管針對IAM可以如何增進存取控制的有效性，帶來獨特的觀點，稽核人員也可以更為瞭解這些控制的運作。

本指引主要提供IAM對於機構的作用之見解，並建議內部稽核應查核之領域。除了參與策略的制訂外，內部稽核主管有責任詢問業務及IT管理階層，目前有哪些IAM流程，以及其如何管理。