IT-Allgemeine Kontrollen (ITGC)
IT-Allgemeine Kontrollen (ITGC) sind kritische Kontrollen, die die Zuverlässigkeit von Systemen und Informationen innerhalb einer Organisation unterstützen. Sie umfassen typischerweise eine Reihe von Richtlinien und Verfahren, die den effektiven und sicheren Betrieb der IT-Systeme einer Organisation gewährleisten und die Datenintegrität schützen.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
Der Hauptzweck der ITGC besteht darin, die ordnungsgemäße Entwicklung und Implementierung von Anwendungen sowie die Integrität von Programm- und Datendateien und Computeroperationen zu gewährleisten. ITGCs sind typischerweise in verschiedene Bereiche wie Änderungsmanagement, Zugangskontrollen, Backup und Wiederherstellung sowie Netzwerksicherheit kategorisiert. Sie sind grundlegend für die Erreichung finanzieller, operativer und Compliance-Ziele.
Regierungsorgan
Obwohl die ITGCs nicht von einem einzigen Organ geregelt werden, sind sie oft an Standards und Rahmenwerke ausgerichtet, die von Organisationen wie der International Organization for Standardization (ISO) und der Information Systems Audit and Control Association (ISACA) festgelegt wurden, und an Regelungen wie dem Sarbanes-Oxley Act (SOX) angepasst.
Zuletzt aktualisiert
Da sich Technologie und regulatorische Umgebungen ständig ändern, entwickeln sich auch die ITGC-Praktiken und -Anforderungen kontinuierlich weiter.
Gilt für
ITGCs gelten für alle Organisationen, die Informationssysteme zur Unterstützung ihrer Geschäftsprozesse verwenden. Dazu gehören eine Vielzahl von Branchen wie Finanzen, Gesundheitswesen, Fertigung und Technologie. Sie sind besonders kritisch für börsennotierte Unternehmen aufgrund von regulatorischen Anforderungen.
Kontrollen und Anforderungen
Typische ITGC-Bereiche und ihre zugehörigen Kontrollen umfassen:
- Änderungsmanagement-Kontrollen: Sicherstellen, dass Änderungen an Systemen und Anwendungen autorisiert, getestet, genehmigt und ordnungsgemäß implementiert werden.
- Zugangskontrollen: Beschränkungen, wer bestimmte Daten oder Systemkonfigurationen anzeigen und ändern kann.
- Sicherheitskontrollen für Netzwerke und Systeme: Maßnahmen zum Schutz vor unbefugtem Zugriff auf Systeme und Daten.
- Backup- und Wiederherstellungskontrollen: Sicherstellen, dass Daten regelmäßig gesichert werden und im Falle eines Verlusts oder einer Beschädigung wiederhergestellt werden können.
- Datenverarbeitungskontrollen: Sicherstellen, dass Datenverarbeitungsoperationen genau, vollständig und autorisiert sind.
- Physische Sicherheitskontrollen: Schutz von physischen IT-Ressourcen und Infrastruktur.
Audittyp, Häufigkeit und Dauer
ITGC-Audits werden typischerweise intern oder von externen Prüfern durchgeführt, wobei der Schwerpunkt auf der Einhaltung interner Richtlinien und externer Vorschriften liegt. Regelmäßige Audits werden empfohlen, oft jährlich, insbesondere für Organisationen, die Vorschriften wie SOX unterliegen.
Die Dauer eines ITGC-Audits hängt von der Größe der Organisation, der Komplexität ihrer IT-Umgebung und dem Umfang des Audits ab.