我們是一家快速發展的公司,需要突然滿足外部審計師的要求,以便通過 IT 安全準則。作為準則的一部分,我們需要確保各種內部控制的執行。由於控制執行必須是防篡改的,即使是我們公司的管理員也可能無權在控製程式完成後編輯或刪除控製程式(以保留正確的歷史記錄)。
必須保留可審核歷史記錄的流程範例:
- 授予員工存取內部工具的權限
- 授予員工完成某些工作的許可
- 每週例行檢查完成並由負責人記錄結果
看來我們需要依賴外部公司來儲存我們的數據,並只給予我們有限的存取權限,以確保合規性。我走在正確的軌道上嗎?據我所知,美國每家上市公司都必須通過審計,審計的要求也是一樣的,所以我希望有一個標準的程序可以遵循。