党建
区块链从审计的角度来看,有许多不同的风险分析方向。而IT 通用控制点 (ITGC) 的角度,是区块链审计中,最基础和易于管理的切入点。对于那些可能不熟悉区块链的人,让我们先快速回顾一下区块链的工作原理: 区块链中的每个块都可以被比作一个盒子,每个盒子可以被分成几个网格。有历史信息的网格,不能更改。如果您想将新信息放入现有框(或向现有网络添加新框),则必须找到所有框并在每个框中存储相同的新信息。(冗余)这些盒子被放置到不同区域(分布式)的不同房子里(节点),并盖上盖子(即该区域被加密)。虽然盒子的信息不能改变,但每个盒子都有一种方法来与其他盒子连接和通信(点对点)。 有了对区块链的理解(understanding of blockchain),IT 审计员可以将 ITGC(包括访问管理、变更管理和数据管理/备份和恢复)做为区块链审计的基础。 访问管理 大多数客户端/钱包访问是通过公钥和私钥访问控制的。因此,除了一般访问管理之外,还需要审核与私钥安全相关的访问管理。 在区块链审计管理(Blockchain Audit Program)和密钥管理中,ISACA 通过考虑以下因素来解决访问管理的问题: 对于私有区块链,网络运营商在多大程度上管理前成员访问网络? 成员是否获得了适当 IT 控制的授权,例如不活动禁用和访问授权期?可以通过 Dapp、使用数字证书等来促进处理。 网络运营商是否在访问授权期到期时使用自动控制禁用不活动的用户帐户或禁用用户帐户? 客户端/钱包管理的其他访问管理控制包括: 确保存在安全的密钥/种子备份; 确定备份密钥/种子受到保护,免受火灾、洪水和盗窃等环境风险的影响; 并确认制定并实施了适当的密钥持有人授予和撤销政策和程序。 由于流程或系统的变更而引入风险的可能性,使得企业在实施之前必须对系统变更进行审查、测试并获得批准。由于区块链是一项较新的技术,重要的是,所有参与变更管理的人都对区块链技术有更深入的了解。应考虑变更管理中,最佳实践的区块链元素与软件(如采矿/抵押以及钱包等)和智能合约有关。例如,在审计智能合约时,应确保围绕添加/升级智能合约的过程不会对合约性能产生不利影响或对其它节点造成损害。 当区块链中的信息流入企业的其他系统时,需要评估围绕数据完整性的风险。鉴于此,鼓励审计员了解不同系统之间的接口,并审查从区块链数据平台到通用应用程序的数据传输的完整性和准确性。 审计师应评估的控制目标示例如下: 关于孤儿交易的程序:交易的匹配问题可能是欺诈的一个指标;和 防止或检测操纵数据/交易时间戳的控制点。 对于备份和恢复,理论上,只要存储文件的来源定义了备份文件,然后将文件数据加密并提交给区块链中的所有相关节点,备份相关的风险就已经被覆盖了。所以,我的拙见是与备份相关的风险可以是一个非关键控制。 传统的 ITGC 往往更关注应用、数据库和操作系统,因此区块链ITGC考虑网络层是比较特别的一面。而在针对每个企业环境(即区块链的设置和利用方式)量身定制的详细审计计划和方法中,ITGC 仍然是区块链审计的坚实基础。这里,ISACA 制定了管理、基础设施、数据管理、密钥管理和智能合约领域的控制措施(Blockchain Audit Program)。 我希望今天的博客文章可以让您对区块链是什么以及基于 ITGC 的审计方法如何为区块链的使用提供保证有一个高层次的看法。(作者:王婕雯(Wickey))
区块链变更管理
数据管理备份和恢复
97046009
