问题
多项选择题
以下事项属于公司层面的信息技术控制的有()。
A.程序和数据访问
B.信息技术预算管理
C.信息技术应急预案的制定
D.信息安全和风险管理
答案
参考答案:B, C, D
解析:
选项A不恰当,程序和数据访问属于信息技术一般控制。常见的公司层面信息技术控制包括但不限于:
(1)信息技术规划的制定;
(2)信息技术年度计划的制定;
(3)信息技术内部审计机制的建立;
(4)信息技术外包管理;
(5)信息技术预算管理(选项B);
(6)信息安全和风险管理(选项D);
(7)信息技术应急预案的制定(选项C);
(8)信息系统架构和信息技术复杂性。