中国石油集团公司企业标准
信息系统总体控制培训
二〇〇九年三月
编写依据:
《中国石油天然气集团公司企业标准 信息系统总体控制规范第1部分:实施》
《中国石油天然气集团公司企业标准 信息系统总体控制规范第2部分:测试》
主要内容:
实施背景
2.信息系统总体控制实施规范及测试规范介绍
3.信息系统总体控制(GCC)实施与测试
培训目的:
使集团公司各单位初步掌握GCC的内容以及实施方法,配合集团公司内控体系建设的要求按时完成GCC的实施推广。
简介
主要内容
一、信息系统总体控制(GCC)背景
二、信息系统总体控制实施规范及测试规范介绍
三、信息系统总体控制(GCC)实施与测试
信息系统总体控制规范背景
信息系统总体控制( General Computer Controls) GCC所指的是内部控制中对信息系统相关部分的控制,保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。
公司层面控制
企业道德规范
公司行为方式
公司组织架构
沟通流程
流程层面控制
业务流程
财务相关IT应用系统流程
信息系统总体控制
IT 基础设施
数据库
操作系统
公司层面控制
ELC
流程层面控制
PLC
信息系统总体控制
GCC
信息系统总体控制规范背景
2005年3月,中国石油启动了信息系统总体控制建设项目
2005年11月,形成了股份公司GCC文档体系,包括GCC管理规定及GCC实施规范等文档,并在整个股份公司推广,并在执行过程中形成完整的证据链
2006年2月-8月组织多轮信息系统总体控制符合性测试与整改
2007年5月,普华永道出具“无保留意见”的内控审计报告,标志着股份公司信息系统总体控制在设计及执行均有效
外部法律法规的要求
2002年7月30日,美国证券委颁布了《萨班斯-奥克斯利法案》
内部管理需求
是实现公司战略目标和提高企业管理水平的需要
股份公司内控体系建设
作为股份公司内控体系建设的重要的组成部分,股份公司GCC建设情况
股份公司内控体系建设目标
通过的外部审计,并提高公司战略目标和企业管理水平
信息系统总体控制规范背景
随着集团公司内控体系建设的推进,需要建设集团公司统一的信息系统总体控制体系。
外部法律法规的要求
国资委2006年6月下发了《中央企业全面风险管理指引》,要求中央企业根据自身实际情况贯彻执行。
财政部、审计署等五部委2008年6月联合发布《企业内部控制基本规范》,《规范》于2009年7月1日起首先在上市公司范围内施行,要求非上市的大中型企业执行。
集团公司内控体系建设目标
充分借鉴股份公司体系建设经验,在“十一五”末建立起集团公司统一的、较为完善和有效运行的内部控制体系。
2009年完成总部机关和第一批体系建设单位的体系建设工作,2010年完成所有未上市企业内控体系建设工作,并全面运行。
股份公司信息系统总体控制文档体系主要包括规定及实施办法等文档,包含了6大类,25个流程,44张操作表单41个控制目标。
信息系统总体控制规范
为了建成集团公司统一的信息系统总体控制体系,项目组在股份公司现有信息系统总体控制体系的基础上进行了总结提升,形成了《中国石油天然气集团公司企业标准 信息系统总体控制规范》,包括实施及测试规范两个部分。
作为集团公司内控体系建设的重要的组成部分,集团公司GCC建设情况
集团公司统一的内控体系建设
内部管理需求
实现公司战略目标的需要。
集团公司提升科学管理水平的需要。
集团公司履行出资人职责的需要。
在股份公司GCC实施基础上,建立起符合集团公司的信息系统总体控制体系
注:《信息系统总体控制规范第1部分:实施》以下简称《GCC实施规范》
《信息系统总体控制规范第2部分:测试》以下简称《GCC测试规范》
信息系统总体控制规范
第1部分:实施
Q/SY ××××—××××
××××-××-××实施
××××-××-××发布
发布
ICS
specification for general computer control
Part 1: Implementation
信息系统总体控制规范
第2部分:测试
Q/SY ××××—××××
××××-××-××实施
××××-××-××发布
发布
ICS
Specification for general computer control
Part2: Test
主要内容
一、信息系统总体控制(GCC)背景
二、信息系统总体控制实施规范及测试规范介绍
三、信息系统总体控制(GCC)实施与测试
总体介绍
通过两年多来运行,在股份公司已形成了一套符合中国石油实际的具有可操作性的信息系统总体控制体系,为中国石油集团实施信息系统总体控制打下了坚实的基础。
借鉴股份公司两年多来在执行和测试信息系统总体控制的宝贵经验,在股份公司现有信息系统总体控制体系的基础上进行了总结提升,形成了《中国石油天然气集团公司企业标准 信息系统总体控制规范》,标准分为两部分内容:
实施规范:依据信息系统总体控制要求制定的用于指导日常信息技术管理和运营的管理流程和具体要求,内容涉及信息系统的建设和运行维护等信息化工作的方方面面。通过不同人员的职责和义务的履行,将信息系统控制的执行最终落实在各岗位人员的具体操作上,并在执行过程中保留完整的证据链,保证了信息系统总体控制执行的规范化。
测试规范:在信息系统总体控制实施和执行的基础上,还应有配套的测试监督方法和定期检查机制,保证信息系统控制执行的有效性,形成一个执行—检查—整改的良性循环。项目组依据实施规范各部分的具体要求,从实施规范中提取出88个控制点并确定了每个控制点的测试步骤和方法,形成了信息系统总体控制测试规范,用以规范GCC测试工作。测试人员在测试之前选定测试范围(控制点),依据测试规范中每个控制点的测试步骤和方法对控制点进行测试。
实施规范用于指导GCC的执行,执行的结果是GCC测试的基础,测试规范用于指导测试人员开展测试,测试的目的检查GCC执行的有效性并对检查出的问题进行整改,因此实施规范与测试规范是相辅相成的
《信息系统总体控制规范-第1部分:实施规范 》
范围
组织机构
内容
实施规范范围
本规范规定了中国石油所有可能接触信息资产的员工、供应商、临时员工,以及其他能够访问中国石油内部网络的第三方人员。
本规范涵盖了信息系统总体控制各个方面,适用于指导日常信息技术管理和运营。
注:信息资产:从广义上说,网络、服务器、应用系统、数据库、操作系统、相关数据及其备份等均为信息资产。可根据重要性和敏感性,将信息资产分为高、中、低三个级别,对信息资产的管理可参见实施规范。
实施规范组织机构
本规范对涉及的主要的组织机构及人员进行了解释与定义。组织机构主要包括“信息管理部门”。人员主要包括“应用系统管理员”、“应用系统负责人”、“信息安全管理负责人”、“电子表格负责人”,对人员的GCC职责进行说明。
信息管理部门:指集团公司(纵向覆盖各控股公司、全资公司、直属企事业单位)的各级信息管理部门及信息化工作主管部门。
应用系统管理员:指具有应用系统管理员权限,能进行应用系统日常维护和管理操作的人员。
应用系统负责人:指对该应用系统的日常管理活动进行授权和决策的人员,负责确保应用系统的准确、稳定、安全、可靠运行,并满足业务需求。
信息安全管理负责人:指负责公司信息安全工作的组织、落实、独立审核、监督和检查的人员,属于信息管理部门人员。
电子表格负责人:指对电子表格进行日常管理的人员,以保证电子表格(包括电子表格里的数据)完整、准确、安全、可靠,并能满足业务需求。
实施规范内容
控制环境:
总体环境、信息与沟通、风险评估、监控等
项目建设管理:
开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等
系统变更管理:
应用系统日常变更、系统环境日常变更、紧急变更管理等
系统运行维护:
机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等
信息安全:
信息安全管理组织 、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等
信息系统总体控制
控制环境
信息安全
系统运行维护
系统变更管理
项目建设管理
最终用户操作
最终用户操作:
最终用户计算机操作安全制度、电子表格管理等
以信息安全为例,主要包含7个方面
信息安全
物
理
安
全
网
络
安
全
逻
辑
安
全
信
息
安
全
管
理
组
织
计
算
机
病
毒
防
护
第
三
方
安
全
管
理
信
息
全
事
件
响
应
信息安全
对操作系统(含网络操作系统)、数据库和应用系统在使用和管理过程中的安全性进行控制,包括系统登录验证机制、用户帐号管理、口令规则、用户权限管理、用户活动的监控、服务器操作系统设置规定、数据的直接访问。
对机房及敏感的纸质系统文件的管理。敏感纸质系统包括:财务报表相关系统的设计、开发、测试、变更管理文档、用户使用手册,以及网络和基础设施的设计和变更文档等
集团公司各级信息管理部门要设立信息安全管理负责人,信息安全管理负责人负责对本单位信息技术日常工作进行安全监督和检查和培训的组织。
逻辑安全
物理安全
信息安全管理组织
各级信息管理部门负责本单位网络设计、变更方案设计并需要经过审批信息管理部审批实施;对边界网络出口的设置、防火墙的配置和检查、网络监控及远程登录管理确定了具体要求。
网络安全
安装Windows操作系统的服务器和个人计算机,应安装统一的防病毒软件,病毒库要及时更新,防病毒软件应打开定期扫描和实时监控功能。
计算机病毒防护
与第三方供应商达成的合同或协议应明确阐述中国石油的信息安全要求,对第三方访问应用系统生产环境及远程登录中国石油内部网络要经审批,事后要及时收回权限。
第三方安全管理
信息安全事件应依据其对业务的影响程度和安全损害的严重程度对其进行响应。
信息安全事件响应
详细内容可参考《实施规范》第4章
信息安全
物
理
安
全
网
络
安
全
逻
辑
安
全
信
息
安
全
管
理
组
织
计
算
机
病
毒
防
护
外
部
第
三
方
安
全
管
理
信
息
安
全
事
件
响
应
以信息安全的网络安全为例
信息安全
网络安全
网络设计、变更审批管理
边界网络设置管理
网络监控与入侵检测
远程登录管理
信息安全
物
理
安
全
网
络
安
全
逻
辑
安
全
信
息
安
全
管
理
组
织
计
算
机
病
毒
防
护
外
部
第
三
方
安
全
管
理
信
息
安
全
事
件
响
应
1.网络设计、变更审批管理
内部控制点
控制措施
测试证据
涉及岗位
内部网络设计必须经过正式的批准,且经批准实施的网络设计文档、图纸已正式存档
集团公司信息化工作主管部门负责制定网络的总体方案
各级信息化工作管理部门根据本企事业单位的业务需要,结合集团公司网络总体方案,编制本单位的网络设计方案,并报集团公司信息化工作主管部门审批、备案后实施
各级信息技术部门负责本单位网络拓朴图、IP分配表等网络设计文档的归档
网络设计文档、
相关审批文件
网络管理负责人
针对内部网络设计变更建立正式的变更管理流程,该流程概况了针对内部网络层面进行变更的具体需求及相应的内部控制
参见变更管理
网络管理负责人
详细内容可参考《实施规范》第节
内部控制点
控制措施
测试证据
涉及岗位
与外部网络的连接均已被适当的记录并且与业务需求匹配
各级信息化工作主管部门对边界网络出口进行登记,填写《边界网络出口登记表》,详细描述与业务需求的匹配关系,并报集团公司信息化工作主管部门审批
各级信息化工作管理部门需新增边界网络出口时,应填写《边界网络出口申请表》,报集团公司信息化工作主管部门审批同意后执行,并由各级信息化工作管理部门更新《边界网络出口登记表》
《边界网络出口登记表》、 《边界网络出口申请表》
网络管理负责人
已经建立防火墙设计、安装、配置及变更的正式流程,并且只有授权人员可以接触
集团公司信息化工作主管部门负责编制防火墙的安全配置标准
各级企事业单位的网络管理员根据集团公司的防火墙安全配置标准进行设置,安全配置标准中未规定的内容保持原有设置
信息安全管理负责人在网络管理员协助下,定期(每三个月)审核防火墙配置是否符合安全配置标准,填写《防火墙安全配置检查表》并负责归档
集团公司防火墙安全配置标准、
《防火墙安全配置检查表》
网络管理员、网络管理负责人
信息安全管理负责人
详细内容可参考《实施规范》第节
2.边界网络设置管理
3.网络监控与入侵检测
内部控制点
控制措施
测试证据
涉及岗位
对防火墙日志定期进行查阅,以识别网络异常事件进行及时跟踪,审查异常信息,防止发生非授权的访问
网络管理员每周检查防火墙日志,对网络进行监控,检测是否有非法入侵。具体要求参考第7章规定
《防火墙日志检查记录表》
网络管理员
详细内容可参考《实施规范》第
内部控制点
控制措施
测试证据
涉及岗位
远程登录需要具备正式的申请审批程序
用户填写《远程登录帐号申请表》,说明申请理由及登录时间期限,提交用户主管领导审批
网络管理负责人审批《远程登录帐号申请表》,确定用户权限
网络管理员根据《远程登录帐号申请表》进行网络设置,通知用户,并负责《远程登录帐号申请表》的归档
网络管理负责人每三个月审核用户远程登录帐号和权限分配是否合理,填写《远程登录权限检查表》。网络管理员根据审查结果,纠正不符的权限分配并关闭不合理和无人使用的远程登录用户帐号
《远程登录帐号申请表》、《远程登录权限检查表》
网络管理员、
网络管理负责人
与财务报表相关的数据通过Internet传输时需进行加密
远程登录应通过安全可靠的方式进行,例如VPN
如果不能采用安全可靠的方式,例如直接拨号登录,则应对传输的数据进行加密
抽查
网络管理负责人
详细内容可参考《实施规范》第节
4.远程登录管理
各岗位执行“GCC控制”时根据需要填写表单以留下GCC在执行过程中的完整的证据链,这个证据链将是之后对GCC执行有效性测试的重要依据。
4
最终用户操作
14
信息系统日常运作
4
系统变更管理
1
项目建设管理
18
信息安全
2
控制环境
表单数量
GCC领域
43
合计
信息系统总体控制规范
第1部分:实施
Q/SY ××××—××××
××××-××-××实施
××××-××-××发布
发布
ICS
specification for general computer control
Part 1: Implementation
注:各岗位每月将其相关的GCC证据提交给本部门文档管理人员,由文档管理人员统一归档,具体规定见规范“ 文档管理”
《信息系统总体控制规范-
第2部分:测试规范 》
配合GCC实施规范制定测试规范的目的
实施与测试一致性:测试是实施的后继步骤,测试的内容是对实施的有效性的监控,从标准上讲,测试规范是对实施规范的拓展和延续,是保证实施过程和测试过程一致性的标准。
测试标准化:统一测试标准,将测试过程中的步骤、重点环节、注意事项固化下来,使得各个测试人员能够以统一的模式进行GCC体系测试,可保证对各个公司的测试结论是建立在同一个统一的标准之上得出的,使测试结果的正确性进一步提高,确保测试工作的统一性和规范性,有利于GCC体系配合整个内控体系协调一致推进
测试简易化:标准的测试规范,可有效降低编制GCC测试文档的难度,降低了GCC测试对测试人员的要求,并可将有效降低未来测试人员的工作量。
信息全面化:测试步骤详细列清了要了解的信息以及要得到的证据,使测试能最大限度地获得各类相关信息
测试规范总体介绍
GCC测试规范配合信息系统总体控制实施的6个方面内容,规定了信息系统总体控制测试的程序与要求,即控制环境测试、安全管理测试、项目建设管理测试、变更管理测试、运维管理控制测试、最终用户操作测试6方面,项目组依据实施规范各部分的具体要求,总结股份公司管理层测试经验,提取了信息系统总体控制88个控制点(包含关控) ,依据控制点的重要程度确定了其中47个控制点为关键控制点,确定了每个控制点的测试步骤、控制方法及控制频率。
合计
最终用户操作 YH
系统运行维护 YW
系统变更管理 BG
项目建设管理 JS
信息安全 AQ
控制环境 HJ
GCC领域 / 缩写
47
88
3
8
5
9
17
5
关键控制点
7
6
13
5
11
4
19
3
28
2
10
1
控制点(包含关控)
领域编号
以信息安全为例,详细介绍测试规范
在信息安全方面的内容
信息安全管理组织
信息安全管理机制
员工信息安全培训要求
逻辑安全
系统登录验证机制
用户帐号管理
用户帐号分配规则
普通用户帐号管理
特权用户帐号管理
口令规则
初始口令规定
口令重置申请规定
口令管理规定
用户权限管理
用户帐号和权限定期审核制度
用户活动的监控
服务器操作系统设置规定
数据的直接访问
物理安全
进入机房的物理安全访问控制机制
进入机房的登记管理
敏感的纸质系统文件管理
网络安全
网络设计、变更审批管理
边界网络设置管理
网络监控与入侵检测
远程登录管理
计算机病毒防护
防毒软件安装范围
病毒库更新
定期扫描
第三方安全管理
第三方供应商服务合同中有关信息安全的必要条款及监督
第三方对应用系统的访问
第三方对系统远程登录的规定
信息安全事件响应
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
控制点 Key
还有11个一般控制点未在上图中一一列出
每个控制点包括5部分内容,
以控制点 Key为例
控制点 Key
控制点描述:
应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。
测试步骤:
1)访谈纳入范围的系统的应用系统负责人,了解对应用系统用户的权限检查情况,确定应用系统管理员。
2)访谈应用系统管理员,了解不符帐号和权限的修正过程。
3)访谈信息安全管理负责人,了解用户权限定期检查的执行情况,获得对纳入范围的系统的应用系统权限检查表。
4)检查权限检查表的内容填写是否符合要求,是否有应用系统负责人的审核签字。
5)检查表单中的检查结果与系统中的实际情况是否一致。
6)检查是否对检查结果的不符合要求的情况进行了改正,是否有应用系统负责人的签字确认。
控制方法:手工
控制频率:每季
控制点编号为 Key
AQ:为GCC领域“信息安全”的拼音缩写
:2为该控制点所处GCC控制的领域号(信息安全为第2个领域),4表示该控制点为该领域的第4个控制
Key:表示该控制点为关键控制
表示该控制点为手工控制
(注:目前GCC的所有控制均为手工控制)
表示该控制执行的频率,测试员可根据该频率确定测试期间段的应抽表单数量
测试人员在测试该控制点时应依据的方法
该控制点的具体控制措施,测试步骤通常采用访谈相关岗位人员,对实施证据(GCC表单及相关文档)进行抽样检查和查看实际执行情况等方式。
内容
在测试规范中包含三张表(测计划表,测试表,抽样测试表)
信息系统总体控制规范
第2部分:测试
Q/SY ××××—××××
××××-××-××实施
××××-××-××发布
发布
ICS
Specification for general computer control
Part2: Test
主要内容
一、信息系统总体控制(GCC)背景
二、信息系统总体控制实施规范及测试规范介绍
三、信息系统总体控制(GCC)实施与测试
参照股份公司实施经验,GCC体系建设需经三个阶段
实施阶段
分析与设计阶段
1、建立一套符合中国石油实际的GCC体系,包括相关制度、流程和标准
3、进行信息系统总体控制体系测试工作
2、推行GCC体系,并在执行过程中形成完整的证据链
GCC
控制目标
现有
规章制度
测试计划
与测试方案
修正
改进建议
GCC
实施规范
GCC
测试规范
GCC实施
测试阶段
建立统一的、较为完善和有效运行的GCC体系。
标准
已制定
实施、测试阶段的主要的工作有四项
各岗位人员知道自己应完成哪些GCC任务
要求各各单位GCC负责人进行必要的督促与培训
知道这些任务如何完成,该什么时间完成,要留下什么测试证据,什么样的测试证据才算合规
培养自己的测试人员
测试人员知道如何对这些任务进行测试,要填写哪些测试文档
1
知道做什么
知道怎么做
知道怎么测
2
3
4
知道GCC工作存在什么问题
知道如何进行整改
知道怎么改
实施、测试阶段
宣贯推广
测试、整改
集中培训
现场宣贯
现场检查测试
整改建议
各单位自测
会议、内控手册宣贯
GCC实施采用六步法
2
从“岗位人员对照表”中明确自己的岗位角色
3
在“GCC任务单”中查看本岗位需要完成哪些任务
4
对具体某些任务,到“实施规范”对应章节中查看其详细内容和要求
5
执行“实施规范”要求,根据需要填写表单,并注意表单填写的注意事项
6
每月将其相关的GCC证据提交给本部门文档管理人员,由文档管理人员统一归档
“岗位人员对照表”
“GCC任务单”
“GCC实施规范”
“GCC相关表单”
“归档文件清单”
划定GCC实施范围
1
所需
相关
文档
确定各个单位GCC信息系统控制负责人
实现纳入范围的应用系统及基础设置的物理集中,如不能实现物理集中应确保对相关服务器及相关基础设施达到GCC实施规范的要求
GCC负责人应根据公司管理及相关规定,确定实施范围,重点集中在财务报表相关的应用系统和基础设施上
调研本单位信息系统以及分布情况,明确纳入实施范围的信息系统及其服务器分布情况
划定GCC实施范围
最终明确本单位纳入信息系统总体控制信息资产,包括机房,边界网络出口,应用系统,防火墙等
由GCC负责人切实承担
起本单位的宣贯与实施
GCC负责人应将实施规范中所定义的各岗位角色要落实到具体的人员,填写“岗位人员对照表”,并注意职责分离的要求。
监督者独立于执行者;
操作者和授权者分离;
应用系统管理员和数据库管理员分离;
程序开发人员无生产环境的访问权限。
GCC负责人应根据GCC的要求,督促相关部门更新本部门的岗位职责说明书
GCC负责人组织对相关部门和岗位的人员进行培训和宣贯,使相关人员明白他们需要完成的GCC任务,并督促执行
具体要求如下:
GCC各相关岗位和人员应根据任务单执行具体的GCC任务
1
从“岗位人员对照表”中明确自己的岗位角色
2
在GCC任务单中查看本岗位需要完成哪些任务
3
对具体某些任务,到“实施规范”对应章节中查看其详细内容和要求
4
执行“实施规范”要求,根据需要填写表单,并注意表单填写的注意事项
5
每月将其相关的GCC证据提交给本部门文档管理人员,由文档管理人员统一归档
《用户帐号及权限管理表》例表
详细内容可参考《实施规范》第节
当根据业务需要增加、变更和撤销用户帐号时,申请人填写该表单
各项均要填写,特别是申请类别、申请的系统名称、用户ID、权限分配/变更描述等
账号申请和权限变更由申请人来填写,权限撤销时由申请人主管领导填写表单,申请人填写被撤销权限的员工
申请权限:申请人须说清楚需要的权限,这是后续审核的依据
如有需要:员工在申请总部统一集中管理系统的帐号及权限时,除其主管领导审批外,还应由总部审批,因此需要填写此栏
签字人必须在检查了上述填写的内容符合要求的情况下才允许签字
填表日期、审批日期、实施日期要符合先后顺序
表单填写及测试重点
注意事项;各GCC相关岗位一定要按时填写实施表单,不能事后补填,否则容易在测试时出现例外事项
GCC测试采用四步法
0
执行“实施规范”的规定和要求,填写相关表单
并将证据提交给本部门文档管理人员统一归档
1
2
3
GCC实施规范
GCC相关表单
测试计划表
测试表
抽样测试表
4
根据系统实际情况明确样本总体、确定样本数量,编制测试计划
根据测试计划表,结合各单位实际情况及测试规范,编制测试表
将测试结果与“不符合控制要求条件”进行比对,分析是否存在例外情况,填写测试结论。最终形成测试报告。
执行具体测试步骤,开展访谈、获得测试证据文档,对测试证据进行抽样测试,检查测试证据是否全面、完整,是否与实际一致
测试报告
各单位对GCC的执行有效性负责,定期开展GCC的自我测试工作
各单位应建立并培养GCC测试队伍
各单位测试完成之后根据测试报告对问题进行整改
GCC测试规范
课程回顾
GCC培训
GCC
背景
GCC
实施规范及
测试规范介绍
GCC实施与测试
讨论
*
*
*
*
*
*
*
*
*
*
我们知道,内控的目标是生成完整的财务指标证据链,外审通过对这些证据的审计来确定公司财务指标的真实性。而GCC的目标是生成完整的IT指标证据链,保证由信息系统生成的财务指标是真实的。这样文档体系是GCC证据链的重要内容。
*
GCC测试规范配合信息系统总体控制实施的6个方面识别出88个控制点,
*
*
