从审计的角度来看,区块链有许多不同的焦点. 幸运的是, 从IT通用控制(ITGCs)的角度来看区块链使审计区块链更易于管理和简化. 说到简化, 对于那些可能是区块链的新手, 让澳门赌场官方软件先快速回顾一下区块链是如何工作的.
区块链中的每个块被比作一个盒子,然后每个盒子被分成几个网格. 历史信息的网格是不能更改的. 如果您想在现有框中添加新信息(或向该网络添加新框), 你必须找到所有的方框并在每个方框中存储相同的新信息(冗余). 这些盒子被放置(或分配)到不同的车库(注释)在不同的区域有一个盖子(i.e.,该区域被加密). 虽然盒子的信息是不能改变的, 每个盒子都有一个与其他盒子连接和通信的方法(点对点).
与 对区块链的理解, IT审核员可以查看ITGCs(特别是, 访问管理, 变更管理和数据管理/备份和恢复)作为区块链审计的基础.
客户端/钱包访问管理
大多数的区块链客户机或钱包访问是由公钥和私钥机制控制的. So, 与私钥安全相关联的访问管理, 除了一般的访问管理, 需要被审计.
在它的治理和关键管理部分 区块链审计程序, ISACA通过考虑以下因素来解决这个访问管理问题:
- 为私人blockchains, 网络运营商在多大程度上管理前澳门赌场官方软件进入网络?
- 成员是否被授权进行适当的IT控制, 如不活动、禁用和访问授权期间? 可以通过Dapp、使用数字证书等方便处理.
- 网络运营商是否利用自动控制禁用非活动用户帐户,或在访问授权期限已过时禁用用户帐户?
Other 访问管理 控制 objectives for client/wallet management include ensuring that a secure key/seed backup exists; determining that backup key/seed is protected against environmental 风险s such as fire, 洪水, and theft; and confirming that proper keyholder grant-and-revoke policies and procedures are created and implemented.
区块链的变更管理
由于过程或系统的变更可能带来风险,因此澳门赌场官方下载必须进行审查, 在系统变更实施前测试并获得批准. 因为区块链是一种较新的技术, 重要的是,所有参与变更管理的人都对区块链技术有一个坚实的理解. 在区块链的元素中,变更管理的最佳实践应该被考虑与软件(挖掘/下注)相关, 钱包(如果适用的话)和智能合约. 例如, 审计智能合约时, 应该确保添加/升级智能合约的过程不会对合约的性能产生负面影响,也不会对节点或网络参与者造成损害.
数据管理备份与恢复
当区块链中的信息流入澳门赌场官方下载的其他系统时, 需要评估数据完整性的风险. 考虑到, 鼓励审核员理解接口物流,并审查从区块链数据平台到通用应用程序的数据传输的完整性和准确性. 审计人员应评估的控制目标包括:
- Procedures around orphan transactions: a matching issue with transactions could be an indicator of fraud; and
- 防止或检测数据/事务时间戳操纵的控件
用于备份和恢复, 在理论上, 只要存储文件的源文件定义了备份文件, 然后加密文件数据并将其提交给区块链中的所有相关节点, 备份相关的风险已被涵盖. 因此,我的拙见是,与备份相关的风险可以是非关键控制.
传统的itgc倾向于更多地关注应用程序, 数据库, 以及操作系统, 所以他们不像区块链那样考虑网络层. 与针对每个澳门赌场官方下载环境量身定制的详细审计计划和方法相结合(i.e., itgc仍然是区块链审计的坚实基础. 在其 区块链审计程序, ISACA已经确定了治理领域的控制, 基础设施, 数据管理, 密钥管理和智能合约. 我希望我今天的博客文章能给你一个关于区块链是什么,以及基于itgc的审计方法如何为区块链的使用提供保证的高级视图.
