CICS内控知识学习：交易处理控制中数据存储与检索的内部控制，及案例分析

CICS内控学习 2022年11月30日 23:03 710 内控网

国际注册内部控制师CICS内控知识学习

背景：

1/ 数据存储与检索内部控制措施有着非常重要的意义，因为它们涉及很深程度的人类干预和数据处理。因此，在存储和检索期间，提供给设备和人员必要的程序来控制数据文件的完整是很重要的。

2/ 数据存储与检索内部控制措施是支配着文件处理和文件错误处理的流程。在数据存储与检索流程里的一些控制措施取决于在计算机程序中的人类干预。同样地，这些控制措施可以是人工和自动控制例行程序的组合。很多最新的在线系统都倾向于在数据存储与检索流程中包括大部分这些控制措施，以便在应用系统的计算机处理期间能够自动校验。这对审计能力和控制都提出了更高的要求。

3/ 数据存储与检索控制措施和计算机处理控制措施的区别在于：数据存储与检索控制措施是在存储文件的准备阶段和从存储中删除期间，才被应用系统使用；计算机处理控制措施直到数据已经进入应用系统，并且即将被应用程序处理时，才会开始生效。

一、数据存储与检索控制措施的必要性

4/ 程存储与检索控制措施必须保证数据在计算机信息系统中不被使用期间的完整性和准确性。这些数据的有效性和准确性取决于从某一个计算机处理周期结束到下一个周期开始控制措施发挥的作用。

5/ 随着数据存储与检索控制措施的发展，组织希望能达到下列重要控制的目标：

◆提供数据存储设备和人员程序，保护数据文件和程序免于丢失、毁坏或未经授权的修改；

◆数据存储与检索程序允许最大化简化文件和程序的使用；

◆数据存储与检索程序允许对重建文件的备份设施和程序；

◆数据存储与检索的错误处理程序保证检测错误、校正错误状况并及时重新处理。

6/ 为了检查如何通过使用应用系统控制措施来满足数据存储与检索的控制目标，数据存储与检索的流程被分为若干控制区域。在每一个控制区域内都有一个或多个控制类型。每一控制类型又包含一个或多个特定的应用控制措施，这些控制措施是目前被组织用来控制数据存储和检索的。

二、文件处理控制类型

7/ 文件处理。计算机化的记录在当今的商业组织中是信息的基本来源。当前的数据和历史数据都记录在计算机文件上。文件处理控制措施是很重要的。原因有两个：其一是基础文件（数据库或其他文件结构)的丢失可能严重到足以造成破产，或导致组织花费数千美元来修复丢失的数据。因丢失各种文件而导致的金钱损失，对于使用能与数据库文件互相影响的在线实时系统的组织而言，会使其出现财务困难或者面临破产。

8/ 其二是文件处理控制措施对于符合政府规定的要求是必需的。政府机构对组织访问数据和如何使用数据强加严格的控制措施成为强制性的要求，增加了对数据文件完整性控制措施的必要性。文件处理控制区域包括用于保证数据文件适当存储和检索的程序和方法。

9/ 程序库。源程序语句库——当一个新的应用源程序进人时，源程序语句库被用于保存旧的应用源程序。源程序语句库程序追踪作过修改的日期、顺序和更新或修改数字，以及新旧应用程序列表。

10/ 文件访问。密码———敏感性文件使用密码来保护。

11/ 文件维护。额外活动——系统报告显示额外活动的记录和数据字段。额外活动可以只用有关被使用的业务功能来加以判断。

12/ 备份。灾难计划——基于特定应用需求准备一份灾难计划。这个计划结合了一些在应用数据丢失或硬件丢失的情况下实行的程序。

三、文件错误处理控制区域

13/ 文件错误处理。控制措施包括用于保证检测到的文件错误得到更正并及时被重新输人的程序和方法。这一区域的控制措施保证所有错误在任何处理周期结束时都得到解决。

14/ 错误报告。比较程序——这个程序是用一个控制复制的应用程序与当前正被用来保证文件完整性的应用程序进行比较。用该程序进行比较的频率因该程序关键性的不同而不同。这种比较的类型也被用在连续的数据文件之间。

15/ 错误更正。重新启动程序——由计算机操作员使用所有重新启动的程序都保存为一个记录。

16/ 重新输人已更正数据。作业流日志——信息技术部门保留一份打印的应用作业步骤，用以保证所有错误都被更正。计算机操作员有责任更正错误并输人被遗漏的数据。此作业流日志是一个自动的系统，在错误被报告、更正和重新输人时生成一个记录。

总结：

文件处理控制措施对于保护在数据存储与检索流程期间数据的准确性、完整性和真实性是必要的。

信息技术文件的特征需要密切监控控制措施。计算机媒体文件的物理体积要比人工的记录小得多，增加了因某一单独的小错误或故意行为而导致的对大量数据的破坏或滥用的风险暴露。

必须对数据存储与检索控制措施加以重视，因为在计算机流程中，它是一个高度取决于适当的人为干预的区域。

案例：XX公司程序员“删库跑路”暴露企业IT内控漏洞

事件回顾：2020年2月23日XX公司官网发布公告称，其收到系统监控报警，服务出现故障，大面积服务集群无法响应，生产环境及数据遭受XX公司研发中心运维部核心运维人员贺某的严重破坏。

据悉，目前犯罪嫌疑人已经被宝山区公安局进行刑事拘留，犯罪嫌疑人承认了犯罪的事实。犯罪嫌疑人乃XX公司研发中心运维部核心运维人员贺某，贺某于2月23日晚18点56分通过个人VPN登入公司内网跳板机，因个人精神、生活等原因对XX公司线上生产环境进行了恶意的破坏。

造成的损失：

这是一场牵动了上百万商户的热点事件，经过排查，腾讯云技术团队确认部署在XX公司自建MySQL数据库上的数百T核心业务数据全部被删除，连同备份数据也一并被删除。

严重的影响和后果：

暴露出公司在数据安全方面出现了管理漏洞。事故发生后，公司加强了内部流程控制管理，同时邀请外部数据安全专家一起来评估数据安全保障方案，并迅速制定了一份数据安全保障计划，以杜绝此类事故的再次发生。

给商家经营造成了严重的影响，公司管理层对此深感自责和愧疚，公司准备了1.5亿元人民币赔付拨备金，其中公司承担1亿元，管理层承担5000万元。

腾讯云团队的修复过程：

此次数据修复工作的总指挥、腾讯云运维中心和客户服务部门负责人徐勇州表示，事件发生后，腾讯云组建了来自北上广深四地的服务器技术、IDC现场、售后专家、安全、存储、数据库、网络、基础IaaS研发运维等在内的30多人工程师团队，与XX公司无缝对接，迅速开启事故排查及数据恢复工作。

为确保万无一失，腾讯内部多位硬件专家全程通过腾讯会议进行远程视频操作指导。“所有的专家都在线，几十双眼睛，在屏幕前盯着现场工程师的每一个动作，以保证准确无误。”据悉，在此次整个修复过程期中，腾讯会议处于7*24小时开启状态，从未间断，腾讯云各个业务团队累计通过腾讯会议进行766次入会沟通。

徐勇州在接受记者采访时表示，“我们的目标是要做100分，哪怕失掉5分，对一个商家来说可能就是全部。”经过反复的打捞、拼接、扫描、验证，3月1日，腾讯云成功找回XX公司的完整数据。

截止到3月1日晚8点，在腾讯云团队协助下，经过7*24小时的努力，我们数据已经全面找回，由于此次数据量规模非常大，为了保证数据一致性和线上体验，我们将于3月2日凌晨2点进行系统上线演练，将于3月3日上午9点数据恢复正式上线。

失守的原因：

这场数据被删除事件，为何需要7天7夜才完成数据修复工作? 据了解，XX公司在业务上虽然采用了混合云架构，但核心业务数据依然部署在自建MySQL数据库上，只有部分业务上了云。而此次数据修复困难的一大原因，就是XX公司大部分核心数据没有上云，这部分体量多达数百T的数据，连同备份被完全删除。此外，XX公司因为没有类似腾讯云CAM权限系统那种对资源进行更细颗粒度管理的体系，没有对高危险动作执行二次授权的安全机制，也是导致此次数据安全轻易失守的重要因素。

业内的建议：

业内专家表示，核心数据上云在数据安全管理机制、灾备体系建设、以及运维处理等层面相比自建数据库都具有优势。XX公司如果数据全部在云上，借助云服务里比较完善的数据备份机制和授权管理机制，这场黑天鹅事件或许可以免于发生。

事故发生后公布的数据安全保障计划：

XX公司表示，此次事故暴露出公司在数据安全方面出现了管理漏洞。事故发生后，公司内部在系统自查的同时邀请外部数据安全专家一起来评估数据安全保障方案，现公布措施如下：

措施一：数据安全管理机制全面加固与整改，加强运维平台治理

　　1、完善数据安全管理制度(涵盖权限、监控、审计方面)，严格执行授权审批制度；

　　2、使用腾讯云CAM权限系统进行云资源管理，严格执行分级授权和最小集权限制度，对高危险动作执行二次授权制度；

　　3、建立科学、高效、安全的网络策略，对开发环境、测试环境和生产环境进行严格隔离；使用腾讯云堡垒机替换自建堡垒机，进行细粒度权限分级和授权管理，同时严格审计堡垒机操作日志，发送安全审计报表；

　　4、加强运维安全流程学习，职业道德学习，法律学习等。

措施二：加强灾备体系的建设，做到多云异地冷备

　　1、建立多云灾备体系，在北京、上海、南京等地区建立全备份的冷备系统架构；

　　2、借助腾讯云的IAAS的底层服务能力，建立高可用的同城双活架构；