企業(yè)使用Internet對(duì)內(nèi)部控制之影響一個(gè)風(fēng)險(xiǎn)分析方法26課件

企業(yè)使用Internet對(duì)內(nèi)部控制之影響：一個(gè)風(fēng)險(xiǎn)分析方法報(bào)告人張?jiān)Ｐ襐ol5,1999,pp.21-37What-公司內(nèi)稽內(nèi)控內(nèi)稽–內(nèi)部會(huì)計(jì)稽核，保護(hù)資產(chǎn)安全，提高會(huì)計(jì)資訊可靠性及完整性。內(nèi)控–內(nèi)部管理控制，增進(jìn)公司經(jīng)營績效，促使管理政策達(dá)到目標(biāo)。內(nèi)部控制過程的目的在於合理保證達(dá)成下列三個(gè)使命，分別為營運(yùn)活動(dòng)的有效性和效率性、財(cái)務(wù)報(bào)導(dǎo)的可靠性及導(dǎo)行相關(guān)法令規(guī)章。內(nèi)控是企業(yè)為了合理保證達(dá)成持定的目標(biāo)所建立的政策和程序，這系列的政策和程序附著於企業(yè)組織結(jié)構(gòu)中，與企業(yè)的營運(yùn)控制密不可分。Impact-網(wǎng)路技術(shù)應(yīng)用企業(yè)希望透過網(wǎng)路的利用，以促進(jìn)績效、降低成本、依循既有標(biāo)準(zhǔn)、加快決策速度，並提供新的行銷、分配、銷售管道，創(chuàng)造新的產(chǎn)品，改善對(duì)客戶服務(wù)等。Internet的應(yīng)用對(duì)企業(yè)而言，已不僅僅是提供通訊管道，更對(duì)企業(yè)的行銷、生產(chǎn)、財(cái)務(wù)、人事、資訊流通等方面產(chǎn)生全面性的影響。Inter-Control-內(nèi)部控制內(nèi)部控制的對(duì)象都是企業(yè)內(nèi)部的活動(dòng)，不能超過企業(yè)個(gè)體，因此才稱為「內(nèi)部控制」。內(nèi)部控制的目的與Internet的使用上具有相輔相成的效果，具備健全的內(nèi)部控制制度對(duì)於Internet的有效使用是十分重要的。企業(yè)僅能透過內(nèi)部控制制度訂定與實(shí)施，對(duì)企業(yè)的使用者進(jìn)行限制或要求，並制定相關(guān)政策及程序以防範(fàn)外部入侵，確保企業(yè)使用Internet提昇營運(yùn)績效。ResearchPurpose–研究目的本文嘗試以風(fēng)險(xiǎn)分析之方法，透過系統(tǒng)化方式分析使用Internet的風(fēng)險(xiǎn)，並進(jìn)一步整理使用Internet應(yīng)建立之內(nèi)部控制制度，並和以往的內(nèi)部控制進(jìn)行比較，以分析企業(yè)使用Internet時(shí)對(duì)內(nèi)部控制制度所造成的影響。Contribution-研究貢獻(xiàn)研究結(jié)果能提供管理人員在使用Internet時(shí)設(shè)計(jì)內(nèi)部控制制度的參考。風(fēng)險(xiǎn)分析資產(chǎn)確認(rèn)分析威脅確認(rèn)分析弱點(diǎn)確認(rèn)分析How-如何確認(rèn)資產(chǎn)為了確認(rèn)企業(yè)使用Internet相關(guān)資產(chǎn)，本研究根據(jù)Bernstein等人[25]所提出之最安全防火牆架構(gòu)(如圖一)，結(jié)合Fites等人[35]所整理的資產(chǎn)，做為本研究網(wǎng)路開放使用的風(fēng)險(xiǎn)分析對(duì)象(如表一)。[25]Bernstein,T.andBhimani,A.B.andSchultz,E.andSiegel,C.A.,InternetSecurityofBusiness,JohnWiley&Sons,Inc.,1996.[35]Fites,P.andKratz,M.P.J.,InformationSystemsSecurity:apractitioner’sreference,InternationalThomsonComputerPress,1996.防火牆架構(gòu)威脅確認(rèn)分析根據(jù)Fites等人[35]所提出的威脅動(dòng)機(jī)、種類與所影響的資產(chǎn)性質(zhì)相對(duì)關(guān)係架構(gòu)，結(jié)合Baskerville[23]、及White[51]等人所提出的架構(gòu)可以擴(kuò)充Fites的分類架構(gòu)，加入誤用、偽造及否認(rèn)三種威脅種類，並將可用性資產(chǎn)加入分類架構(gòu)中，形成圖二之新的威脅分類架構(gòu)。威脅確認(rèn)分析其中「誤用」意謂著資源被使用在不適當(dāng)?shù)哪康鼗驎r(shí)機(jī)，這包含員工在上班時(shí)間上網(wǎng)或以ICQ(orMSN)聊天，架設(shè)與工作無關(guān)的網(wǎng)站供外部網(wǎng)路任意存取等(造成佔(zhàn)用頻寬及提高內(nèi)部資料被竊取的風(fēng)險(xiǎn))。偽造(Falsification)與篡改是不同性質(zhì)的威脅來源，而一般較常見的「拒絶服務(wù)」(Denialofservice)攻擊手法則是利用各種技術(shù)(通常是在一個(gè)單位時(shí)間內(nèi)針對(duì)某個(gè)主機(jī)發(fā)送大量request封包)，將主機(jī)原來的服務(wù)阻檔或中斷，這是屬中斷威脅，其影響為資源可獲得性。由上述說明可知，Internet環(huán)境中的威脅來源和一般資訊系統(tǒng)或區(qū)域網(wǎng)路的威脅不同，其中否認(rèn)(Repudiation)威脅的風(fēng)險(xiǎn)隨著電子商務(wù)的興起，影響與日俱增，為此電子商務(wù)的法律規(guī)範(fàn)中，引用了數(shù)位簽章技術(shù)以確認(rèn)交易雙方資訊的不可否認(rèn)性。由於各類資產(chǎn)受到的威脅來源不同，本文根據(jù)上節(jié)所進(jìn)行的資產(chǎn)分析配合本節(jié)所進(jìn)行的威脅分析，架構(gòu)出表二各種資產(chǎn)威脅的彙整表。(一)先天弱點(diǎn)所謂先天弱點(diǎn)係指由於通訊機(jī)制及設(shè)備、資訊的密度與價(jià)值，系統(tǒng)的存取性、複雜性及人員等因素所產(chǎn)生的弱點(diǎn)。通訊機(jī)制架構(gòu)的先天弱點(diǎn)：網(wǎng)際網(wǎng)路所使用的協(xié)定TCP/IP本身的特性與設(shè)計(jì)特別容易遭受駭客攻擊(譬如：Port25是不需驗(yàn)證密碼)。TCP/IP最重要的問題在於沒有能力驗(yàn)證通訊個(gè)體的識(shí)別資料，且沒有保護(hù)資料隱密性的機(jī)制(以http而言，傳送帶有帳號(hào)及密碼參數(shù)的request封包非常容易擷取，而暴露資料庫的帳號(hào)及密碼，如圖3-1)。協(xié)定弱點(diǎn)在Internet的協(xié)定中尚有下列的四個(gè)弱點(diǎn)：低層協(xié)定(lower-layerprotocols)採廣播式(broadcast)協(xié)定，使得Internet上的竊聽相當(dāng)容易(eavesdrop)。沒有認(rèn)證(authentication)能力。沒有確認(rèn)封包內(nèi)容(Packetcontents)能力。序號(hào)(sequencenumbers)容易猜測(cè)。FTP的漏洞微軟IIS服務(wù)項(xiàng)中的的預(yù)設(shè)功能是允許匿名連線，但這樣的狀況容易遭受駭客對(duì)FTP資料區(qū)開啓隱藏公用目錄-PUB的攻擊。受攻擊的電腦會(huì)被開啓一個(gè)沒有名稱的資料夾(通常被隱藏)，而該資料夾的子項(xiàng)會(huì)出現(xiàn)一堆由亂碼為資料夾名稱，目錄徑深度通常大於３層以上，而最底層資料夾則被置放大量駭客所存放的檔案。通常受攻擊一方不自覺，直到發(fā)現(xiàn)磁碟空間越來越少，才驚覺磁碟空間被偷用。但困難的是，該資料夾無法刪除。此時(shí)處理方式為：先暫停IIS的FTP服務(wù)，取消允許匿名登入的設(shè)定。至於如何刪除被開啓公用目錄PUB的資料夾，可參考下列兩個(gè)網(wǎng)址：0716-HowtoRemoveFileswithReservedNamesinWindows

RecoveringfromAnonymous,BackendWWW的漏洞駭客經(jīng)常使用Unicode漏洞攻擊取得Web主機(jī)的控制權(quán)，最常用的指令為:/上述指令若執(zhí)行成功可以瀏覽Web主機(jī)的目錄，並刪除或更改某些權(quán)限沒有嚴(yán)格限制的檔案。若要取得該伺服器主機(jī)較高權(quán)限則至駭客網(wǎng)站下載木馬程式並於winnt/system32目錄夾下植入該木馬程式，再透過http指令執(zhí)行該木馬程式即可以取得該主機(jī)的較高權(quán)限。木馬程式上傳：–iGETncx99.exec:【Note】為被攻擊主機(jī)，為攻擊主機(jī)。上述指令要成功必須(1)被攻擊主機(jī)目錄c:\inetpub\scripts\存在；(2)該win2000server主機(jī)未安裝防止unicode攻擊之修正程式(補(bǔ)丁程式)。若上述指令執(zhí)行成功，則再執(zhí)行c:\inetpub\scripts\ncx99.exe將目錄切換至c:\inetpub\scripts\ncx99.exe則可以成功取得最高權(quán)限。電子商務(wù)弱點(diǎn)企業(yè)在使用Internet作為交易媒介，與客戶、供應(yīng)商作線上交易、資料交換或是銀行轉(zhuǎn)帳時(shí)，無可避免地會(huì)有遭受攻擊的風(fēng)險(xiǎn)。因此電子商務(wù)本身具有三大弱點(diǎn)：使用電子商務(wù)的風(fēng)險(xiǎn)將不僅須考慮系統(tǒng)本身的安全，其安全性亦受到供應(yīng)商及客戶的影響。交易本身是安全的，然而原始動(dòng)機(jī)不見得是安全的。這意味著光是保護(hù)通訊過程，仍不足以保證不會(huì)發(fā)生損失。網(wǎng)路上的權(quán)利義務(wù)並不對(duì)等。由以上的分析，可對(duì)使用Internet的先天弱點(diǎn)做一分類，如圖三所示：(三)政策弱點(diǎn)所謂政策弱點(diǎn)是由於企業(yè)沒有具備適當(dāng)?shù)陌踩胧┘俺绦蛩斐傻娜觞c(diǎn)。政策是否有弱點(diǎn)可以從安全政策及程序是否適當(dāng)有效制定及有效執(zhí)行予以評(píng)估。常見的政策弱點(diǎn)如備份程序不適當(dāng)、輸出入程序不安全、缺乏安全控制的管理支援、軟硬體維護(hù)不當(dāng)及未建立緊急應(yīng)變編組及電腦危機(jī)處理程序等。這些都是安全政策及程序沒有適當(dāng)有效策定所造成。綜合前三項(xiàng)所進(jìn)行的分析可以整理各類資產(chǎn)所可能具有的各種弱點(diǎn)，如表三。由於各類資產(chǎn)所面臨的威脅不同，各類資產(chǎn)所具有的弱點(diǎn)也不同，此二者配合起來，將是制定各類資產(chǎn)保護(hù)措施的重要依據(jù)。

通訊類別防火牆(如表五)可採用之內(nèi)部控制措施：一般控制：與廠商訂定維護(hù)合約、管理人員之技術(shù)訓(xùn)練、訂定操作管理規(guī)範(fàn)、產(chǎn)品及服務(wù)項(xiàng)目評(píng)估。實(shí)體控制：定期檢測(cè)設(shè)備，防範(fàn)設(shè)備遭受破壞及不當(dāng)人員操作。硬體變動(dòng)管理：實(shí)體或硬體使用地點(diǎn)變更須核準(zhǔn)。設(shè)定管理：訂定操作標(biāo)準(zhǔn)作業(yè)程序、定期檢視稽核日誌Logfile，定期檢視安全政策設(shè)定是否周嚴(yán)。資料類別資料庫、稽核日誌檔、各主機(jī)之區(qū)域資料(如表六)、執(zhí)行中的資料(如表七)可採用之內(nèi)部控制措施：一般控制：各使用帳號(hào)之資料存取動(dòng)作均記錄於稽核日誌檔中、管理人員須定期檢視稽核日誌檔、稽核日誌檔異常事件之處理程序與危機(jī)風(fēng)險(xiǎn)指標(biāo)、定期掃毒等。實(shí)體控制：定期檢測(cè)資料庫及硬碟使用狀態(tài)，防範(fàn)資料(庫)遭受破壞及不當(dāng)人員存取。設(shè)定管理：訂定資料庫異?；貜?fù)操作標(biāo)準(zhǔn)作業(yè)程序、主機(jī)檔案資料、資料庫及稽核日誌檔定期備份，建立資料庫管理系統(tǒng)及平臺(tái)之設(shè)定標(biāo)準(zhǔn)作業(yè)程序。存取控制：各帳號(hào)資料存取的容量規(guī)劃與管制、不同帳號(hào)之存取權(quán)限設(shè)定。資料類別資料類別3.資料的備份(如表八)可採用之內(nèi)部控制措施：一般控制：訂定備份操作程序、訂定資料調(diào)用標(biāo)準(zhǔn)與審核程序、訂定備份周期、定期備份等。實(shí)體控制：備份實(shí)體之儲(chǔ)放環(huán)境，防範(fàn)遭受破壞及不當(dāng)人員存取。資料類別4.媒介中正在傳輸?shù)馁Y料(如表九)可採用之內(nèi)部控制措施：一般控制：關(guān)閉不必要的協(xié)定與服務(wù)、傳輸內(nèi)容嵌入加解密機(jī)制、建立安全的通訊管道(securechannel)等。實(shí)體控制：監(jiān)看網(wǎng)路流量是否異常、防範(fàn)駭客啓動(dòng)網(wǎng)路分析軟體、啓動(dòng)安全性掃瞄軟體。人員類別(三)人員(如表十)可採用之內(nèi)部控制措施：一般控制：訂定明確的使用及管理規(guī)範(fàn)、強(qiáng)化人員忠誠度、落實(shí)職務(wù)等級(jí)及存取權(quán)限的控管。實(shí)體控制：利用防火牆QoS機(jī)制設(shè)定開放上網(wǎng)瀏覽時(shí)段及流量分配，稽核各人員帳號(hào)之存取事件。(四)軟體類別軟體(如表十一)可採用之內(nèi)部控制措施：一般控制：軟體版本控制及更新、軟體合法使用授權(quán)、建立軟體安裝、使用之標(biāo)準(zhǔn)操作程序、軟體正確使用之教育訓(xùn)練，軟體安裝序號(hào)管理。實(shí)體控制：軟體使用權(quán)限設(shè)定，軟體實(shí)體儲(chǔ)放與軟體下載管理，確保軟體安裝之平臺(tái)及環(huán)境之正常運(yùn)作。(四)軟體類別2.通訊軟體(如表十二)可採用之內(nèi)部控制措施：一般控制：教育系統(tǒng)人員正確使用、依據(jù)作業(yè)需求設(shè)定通訊連線之安全性、機(jī)密性或敏感性資料傳輸採安全傳輸通道傳送。存取控制：軟體使用權(quán)限設(shè)定，訂定和外界實(shí)體存取連線的安全政策，確保通訊軟體安裝之平臺(tái)及環(huán)境之正常運(yùn)作，稽核日誌檔設(shè)計(jì)及定期檢視。設(shè)定控制：訂定通訊軟體的標(biāo)準(zhǔn)設(shè)定及操作程序。(五)其他類別1.買賣相關(guān)的權(quán)利(如表十三)可採用之內(nèi)部控制措施：一般控制：買賣契約訂定、安全性資料交換協(xié)定的建立、線上付款系統(tǒng)的評(píng)估、導(dǎo)入安全性解決方案。(五)其他類別2.商譽(yù)(如表十四)可採用之內(nèi)部控制措施：一般控制：緊急應(yīng)變計(jì)畫之訂定、建立顧客理賠制度及評(píng)估標(biāo)準(zhǔn)、系統(tǒng)危安事件資料及記錄蒐集、聘任系統(tǒng)安全顧問。完整的Internet內(nèi)部控制制度上述所訂定的安全控制策略屬於技術(shù)面的控制策略。企業(yè)的安全策略範(fàn)圍十分廣泛除技術(shù)面外，應(yīng)涵蓋組織面及政策面的考量。根據(jù)COSO報(bào)告[30]，良好的內(nèi)部控制要素為：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、資訊與溝通、監(jiān)督等五項(xiàng)。[30]CommitteeofSponsoringOrganizationsofTreadwayCommission,InternalControls–IntegratedFramework,CoopersandLybrand,Vol.1-4,Sep.1992.控制環(huán)境(Environmentcontrol)環(huán)境是主要影響控制政策和程序執(zhí)行效益的因素。它本身營造組織風(fēng)氣與文化進(jìn)而影響員工對(duì)內(nèi)部控制的認(rèn)知，控制環(huán)境是其他控制要素的基礎(chǔ)。環(huán)境要素包含下列：成員的道德操守、管理哲學(xué)和經(jīng)營型態(tài)、組織結(jié)構(gòu)、職權(quán)和職責(zé)的指派、人力資源經(jīng)營與訓(xùn)練。風(fēng)險(xiǎn)評(píng)估(RiskAssessment)企業(yè)應(yīng)對(duì)現(xiàn)在與潛在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，而評(píng)估的活動(dòng)主要在識(shí)別和分析目前公司營運(yùn)存在的風(fēng)險(xiǎn)以作為管理風(fēng)險(xiǎn)之依據(jù)。風(fēng)險(xiǎn)評(píng)估包含確定風(fēng)險(xiǎn)存在的可能機(jī)率、對(duì)企業(yè)營運(yùn)的衝擊範(fàn)圍、影響時(shí)間長久及尋求排除或降低損失的解決方案，建立預(yù)制度及危機(jī)處理小組。

控制活動(dòng)(ControlActivities)控制活動(dòng)是指落實(shí)管理層級(jí)所下達(dá)的指令能夠確實(shí)執(zhí)行所進(jìn)行的程序，包括：授權(quán)(任務(wù)指派)、執(zhí)行、記錄、保管及稽核。資訊與溝通(InformationandCommunication)資訊在企業(yè)的角色不僅可以加速其營運(yùn)績效，亦可作為稽核績效的依據(jù)。而企業(yè)資訊流的加速傳遞必須有實(shí)體層次及應(yīng)用層次的溝通管道(傳播通道)?！綨ote】企業(yè)知識(shí)管理系統(tǒng)亦建立於組織的通訊線路的基礎(chǔ)建設(shè)及應(yīng)用層次的資訊整合分享應(yīng)用。監(jiān)控(Monitoring)企業(yè)內(nèi)部控制是否執(zhí)行得當(dāng)及如何提出適時(shí)修正，均需設(shè)計(jì)良好的監(jiān)控制度。安全人員(MIS人員)必須遵照規(guī)定定期檢視系統(tǒng)稽核日誌檔。企業(yè)成員亦須做到防範(fàn)系統(tǒng)危安事件的發(fā)生，有效規(guī)避不當(dāng)?shù)馁Y料存取，電腦病毒發(fā)作的即時(shí)阻絶及通報(bào)均應(yīng)視為自身的職責(zé)。完整的Internet內(nèi)部控制制度技術(shù)面?zhèn)S針對(duì)各種資產(chǎn)及所面臨的威脅、弱點(diǎn)所進(jìn)行實(shí)際的控制；而非技術(shù)面的控制係從企業(yè)整體環(huán)境上予以控制，以塑造有利的控制環(huán)境，做為技術(shù)面控制措施的基礎(chǔ)。肆、各種電腦化環(huán)境下的內(nèi)部控制電子資料處理(EDP)電子資料交換(EDI)電子資料處理(ElectronicDataProcessing;EDP)電子資料處理(ElectronicDataProcessing;EDP)系統(tǒng)的內(nèi)部控制：完整EDP內(nèi)部控制架構(gòu)必須包含許層面，根據(jù)美國會(huì)計(jì)認(rèn)證協(xié)會(huì)所提出的EDP內(nèi)部控制架構(gòu)(如圖四)，EDP系統(tǒng)的內(nèi)部控制可區(qū)分成為一般控制程序(Generalcontrolprocedures)及應(yīng)用控制程序(Applicationcontrolprocedures)。完整的EDP系統(tǒng)的內(nèi)部控制制度必須涵蓋相當(dāng)廣泛的層面，如此方能達(dá)到內(nèi)部控制的各項(xiàng)目的，確保企業(yè)營運(yùn)績效，資訊表達(dá)的正確性及達(dá)成相關(guān)的法律責(zé)任。電子資料交換(EDI)電子資料交換(EDI)的內(nèi)部控制電子資料交換係指交易夥伴透過電腦的加值型專線傳送具標(biāo)準(zhǔn)格式的電子文件。目前EDI兩大標(biāo)準(zhǔn)(ANSI及UN/EDIFACT)都提供了資料傳輸完整性控制，如確認(rèn)(Acknowledgements)，批次總數(shù)(Batchtotals)，檔案序號(hào)(numbers)。除了上述EDI本身提供的控制機(jī)制，EDI所面對(duì)的風(fēng)險(xiǎn)及可採取的內(nèi)部控制可整理如表十五所示：電子資料交換(EDI)Marcella等人[42]則進(jìn)一步指出EDI存在下列風(fēng)險(xiǎn)：交互影響的弱點(diǎn)(Cross-vulnerability)：連線單位的系統(tǒng)安全會(huì)相互影響，加密機(jī)制、設(shè)定資料擁有權(quán)、跨組織安全診斷、金鑰的保存政策等均為上述弱點(diǎn)的解決方案。第三者網(wǎng)路風(fēng)險(xiǎn)(Third-partynetworkrisks)：這類風(fēng)險(xiǎn)包含資料的穩(wěn)密性遭受揭露，傳輸錯(cuò)誤或第三者(third-party)所造成的無效或未授權(quán)交易。整合性風(fēng)險(xiǎn)(RisksofIntegration)：當(dāng)EDI和企業(yè)原有系統(tǒng)整合時(shí)，由於錯(cuò)誤、疏忽及故障所造成的骨牌效應(yīng)，將作倍數(shù)成長。解決方案為系統(tǒng)的安全控制、環(huán)境控制及系統(tǒng)的專案控制等，而應(yīng)用控制則包含輸入、處理和輸出及EDI介面控制等。稽核性風(fēng)險(xiǎn)(Auditabilityrisks)：由於電子性記錄十分容易遭受偽造及更改，因此透過稽核技術(shù)可以檢查記錄在傳送的過程是否遭受更改，企業(yè)使用EDI將迫使稽核人員改變其稽核方式，保有電子性記錄是稽核EDI系統(tǒng)中不可或缺的重要考量。各種內(nèi)部控制的比較Internet和EDP、EDI環(huán)境最大的不同在於開放性的技術(shù)和系統(tǒng)架構(gòu)、以及協(xié)定本身未具備足夠的安全防護(hù)機(jī)制。Internet的開放性使得原本在企業(yè)內(nèi)部的資料文件容易受到外界的存取。另由於企業(yè)內(nèi)部成員可以利用Internet資源從事與公司業(yè)務(wù)無關(guān)活動(dòng)，相對(duì)提高系統(tǒng)危安事件發(fā)生的機(jī)率(如電腦病毒)，亦增加內(nèi)部控制的負(fù)擔(dān)。Internet由於資訊流量大及開放特性，程序控制及技術(shù)性控制的比重大於實(shí)體控制。許多軟體廠商為彌補(bǔ)TCP/IP協(xié)定弱點(diǎn)，開發(fā)商用控制機(jī)制，如加解密機(jī)制(SSL，S-http等)及整合性安全機(jī)制(如SET安全交易系統(tǒng))，或SATAN等網(wǎng)路安全分析軟體或是防火牆產(chǎn)品。因此，技術(shù)依賴性有漸漸提高趨勢(shì)。結(jié)論完善的內(nèi)部控制制度雖然無法限制外界人員的行為但可以大幅減少可能的損失。內(nèi)部人員熟悉企業(yè)運(yùn)作流程及業(yè)務(wù)內(nèi)容，企業(yè)有80%至95%的攻擊來自企業(yè)內(nèi)部人員所為[25]。來自內(nèi)部的威脅是企業(yè)安全控管最大的考驗(yàn)，任何制度必須要人員配合方能達(dá)到成效。內(nèi)部控制的五個(gè)要素必須全面具備方能達(dá)成控制目標(biāo)，光是技術(shù)面的各種控制措施並不一定可以有效保障安全性，非技術(shù)面的控制措施須加以重視。線上購物的選擇條件之一為網(wǎng)站的安全性，完善的內(nèi)部控制制度可以提昇電子商務(wù)競爭優(yōu)勢(shì)。[25]Bernstein,T.andBhimani,A.B.andSchultz,E.andSiegel,C.A.,InternetSecurityforBusiness,JohnWiley&Sons,Inc.,1996.NfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo&v)y0C3F6IaLdPgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUls&w)z0C4F7JaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B7IaMdPhSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZ(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZv(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9PgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQi