SAC(systems assurance and control),指系統鑑證與控制。
國際內審研究院(IIA)在1977念第一次明確的提出SAC的概念。當時SAC是指系統審計和控制(system auditability & control)。有國際內審研究基金會在1991年和1994年進行較大更新後,SAC是指系統見證於控制(system assurance & contro)。目前,SAC已成為IT審計師在信息技術安全、控制與審計領域中的重要指南。
在新版本中,可審計性(auditability)一詞已被鑑證(assurance)替代.這是因為我們逐漸認識到治理(governance)和融合(alliance)的重要性,要在組織內部及與業務夥伴的合作中,保證對信息系統有足夠的控制,以保護系統的安全性、可審計性。
在電子商務時代,隨著網際網路技術的飛速發展,系統中的控制及相互依賴性已經沒有組織與地理位置的限制,普遍存在於各種組織中.不管是什麼規模的組織,都需要有一套控制指南來有效地管理信息系統和技術,並隨著業務環境的變化和新技術的發展及時更新系統。信息系統審計師及IT安全從業人員必須知道威脅來自何處,如何管理這些威脅帶來的風險,而且也要知道如何與不同層次的管理人員共同討論安全問題。我們在考慮信息與系統安全時,著重要回答以下關鍵問題:“如何管理lT風險?”,“如何判斷安全與控制措施是否完備?”,“誰可以為IT安全提供鑑證?”,“鑑證可以說明什麼?”等。這就是制訂SAC控制規範的主要原因。
SAC通過提供及時更新的信息,幫助我們理解、監測、評估及降低技術風險。SAC檢查業務系統各個組成部分的風險,包括客戶、競爭對手、監管部門及合作夥伴。
在新版本SAC中,一個重要特徵就是提出了eSAC控制模型。該模型的建立有利於對在電子商務環境中的目標、風險及減輕威脅造成的風險的措施三者的關係進行討論。
目前有許多不同的風險與控制模型,任何一種模型都有其特定的是用對象及範圍,組織必須進行合理剪裁,以適合組織的實際情況.eSAC模型可以較好地反映快速變化的技術環境及電子商務模式所帶來的風險,並給出如何管理這些風險的建議.
模型中的左邊箭頭表示的是組織的任務,包括組織的價值取向、企業戰略、主要目標等。右邊箭頭表示的是組織獲得所期望的回報,同時滿足組織形象與聲望的完善,及獲得進一步提高績效的學習能力。
SAC描述了一系列對技術挑戰的有效反應,這些反應包括對電子商務的風險評估、內部控制目標和電子鑑證服務。