信息技术一般控制和应用控制

是信息技术安全管理中非常重要的两个方面。信息技术保护的目的是保证企业的信息资产安全，避免未经授权的访问、不当的修改、丢失或泄露信息。而信息技术一般控制和应用控制可以帮助企业实现信息安全的目标，从多个角度进行分析。

1. 定义信息技术一般控制和应用控制

信息技术一般控制包括那些针对整个IT环境内的控制要素，如对IT管理的组织结构、策略、流程、流程控制和安全系统的评估。这些控制要素能够为企业提供必要的安全保障，使企业能够在企业级应用、网络、操作系统、数据库、物理安全等方面实现基本数据安全的保护。

应用控制是指应用程序内的控制要素，包括对应用程序的访问控制、数据完整性和安全、应用程序的开发、测试和部署、应用程序的管理和维护。应用程序的安全性具有直接关联的要素，应用控制是确保应用程序能够正常工作的可靠性。

2. 信息技术一般控制的重要性

信息技术一般控制是确保企业基础设施、网络和应用程序等运行的关键环节，如果没有充分保障，将导致涉及到企业信息安全的种种问题，如未经授权的访问主机和网络，数据结果和审查信息，违反安全策略和标准等。一般控制对信息安全管理的重要性不言而喻。

其中的组织结构、策略、流程、流程控制和安全系统的评估是一些必要而又有效的控制手段，例如，建立一份完整的安全策略，员工遵守标准并参与安全培训，IT管理员定期检查设备的安全性，以及保障网络系统的运行。

3. 应用控制的重要性

应用程序在系统中担负着很关键的作用，如果应用程序存在安全漏洞，那么将对程序的正常运行和机密性产生不良影响。应用控制可有针对性的帮助企业保护应用程序的无误性、完整性和安全性，避免应用程序发生程序设计错误、无端部署操作等问题。

而应用控制还可以帮助企业满足政策和法规方面的要求，包括针对不同分类别信息的处理授权、审计要求和防范恶意攻击等方面。

4. 信息技术一般控制和应用控制的设计原则

在设计信息技术一般控制和应用控制时，需要考虑一些有关的原则，包括企业安全目标、业务流程、应用程序以及相关的程序或系统分类等。此外，针对不同的行业或企业该控制的深度和广度也要根据实际需求来进行规划。

5. 总结

信息技术一般控制和应用控制是企业信息安全保护的关键手段，能够提高企业的信息安全性。企业要制定行之有效的安全策略，建立科学、合理的管理体系，加强员工的安全意识，从而全方位提升信息安全管理的水平。关注这些方面，对于一个信息化时代的企业来说，不仅是应对安全威胁的必要举措，还是打造企业安全文化的必由之路。