《IT审计要求教程文件》由会员分享,可在线阅读,更多相关《IT审计要求教程文件(6页珍藏版)》请在金锄头文库上搜索。
1、范围所需资料、文件要求1公司层囿控制? IT部门架构图、IT人员职责说明? IT预算、策略和年度规划(2005-2004)? IT内部、IT与业务部门、IT与管理层之 会议记录?与第二方供货商之服务协议(若IT服务 外判)? IT风险评估制度和报告?财务系统与其它系统间之数据流程图? IT内部审计报告和审计发现之跟进1、完整清晰的部门架构以及职员职责说明;2、有完善的费用预算机制,有经过授权并正式签发的 费用预算文件;有与公司战略相匹配的IT策略及每 年的年度规划;3、内部、与业务部门、与管理层之间的会议记录;4、签订相关服务合同;5、完善的风险评估机制,或引进专业风险评估机构;6、提供数据流
2、程图;7、应建立内审机制并定期内审,以辅助外审,建议引 进专业机构定期内审。2信息 安全信息安全制 度、用户信 息安全意识?信息技术安全规章制度?令员工充份了解信息技术安全规章制度 的措施?信息安全培训记录1、制定完善的安全规章制度,并米取广泛的宣传措施 将该制度灌输至每位公司职员。2、规章制度写入员工手册并印发,新员工入职便能了 解公司耍求,并做定期培训,做好培训记录。范围所需资料、文件要求物理安全?机房物理安全规章?保安设施(如门禁系统、访客记录)1、物理要求:门禁系统、烟雾报警器(置于地板夹层或 顶棚夹层)、监控、UPS空调(接UPS)、干粉灭火 器、防火防水装修材料;2、机房管理:专人
3、管理钥匙、有访客记录、机柜门应上 锁;3、服务器管理:密码变更设置(文档/流程/频率)、密 码策略(windows/sql用户酱码强制策略、windows帐号 锁定策略、密6当长度 8位以上、历史密码 6次)、 windows界面自动锁定、应急管理/流程(备用钥匙、密 码文件密封置于机房上锁的柜子中或密封的信封里面);4、机房显眼处应肩机房管理制度;用户权限设止?用户系统权限的列表?用户设置/、同系统权限之制度和审批等 步骤?不同权限是否显示在用户申请表上(需抽样申请表格-参见附注)1、用户权限组有详细的权限定义;2、完整的用户帐号增加、修改、删除审批流程;3、用户帐号审批流程中应体现具体的权
4、限选择;范围所需资料、文件要求用户设定制 度?增加、更改、删除系统用户的步骤?用户部门及IT部门审批程序,申请表格 之处理和保存(需抽样申请表格,可和上 面的样本相同)1、完整的用户帐号增加、修改、删除审批流程;2、有与人力资源中心提供的入职、离职名单相匹配的用 户帐号增加、删除记录;系统密码设止?系统密码设定(应用系统层、操作系统 层、网络层、数据库)? 铝码长度?密码最大更改日数?密码复杂性?可重用旧密码次数?锁定用户前之容许错误登录次数1、密码长度应大于8位、应由字母和数字组成或者再区分大小写、客户端密码变更的频率应有控制(如30天强制要求父更密码);2、错误密码登陆次数应不超过 3次,
5、且系统应用提示信 息;3、密码修改时应/、允许与原密码相同的密码进行修改操 作,应有历史密码控制策略;4、对各种不同密码的变更频率及设置要求等应后完整的 密码管理制度;用户权限审 阅?用户系统权限之定时审阅和复核,及有美 记录(需抽样各阶段之文件及记录-参 见附注)1、对系统用户帐号的申请及权限分配等,应有定期进行 复核的操作,并有相关文档记录,且文档应由相关领当 定期审阅;超级用户?应用系统、操作系统、数据库超级用户 的申请、管理、使用审核的步骤和记录?拥后超级用户的人员名单1、对系统超级用户的使用应有审批授权制度,并有相匹 配的流程;2、对拥后超级用户权限的人员应严格控制;范围所需资料、文
6、件要求3系统 变更系统变更管 理?系统变更管理规章制度?系统变更审批、开发、测试(用户及IT) 之步骤及记录(需抽样各阶段之文件及记 录-参见附注)1、要求有完整的系统变更流程,流程中包括紧急变更的 处理流程;2、变更过程中应肩各种表单支持,如用户申请、上级审 批、开发需求、IT测试、用户测试、实施记录、用户签 收等相关表单;3、测试环境与正式业务系统环境应有严格区分,并有证 据证明(可截图说明);4、紧急变更中应体现允许时候补走流程的内容;5、系统中应后系统父史的日志记录,以方使查询历史变 更;系统变更上 线?系统变更上线审批之步骤及记录(需抽样 文件及记录-参见附注)?开发人员和上线人员之
7、分工(开发人员没 有生产环境之权限)之证明?开发环境和测试环境之逻辑或物理分开 之证明参数变更?应用系统、操作系统、数据库系统参数 变更管理规章制度?系统变更审批、测试(用户及IT)之步骤 及记录(需抽样各阶段之文件及记录- 参见附注)紧急变更?无法循正常变更流程的紧急变更管理规 章制度、审批、测试(用户及IT)之步骤 及记录(需抽样各阶段之文件及记录- 参见附注)4系统 开发系统开发方 法论?系统开发方法论范围所需资料、文件要求(如适用)系统开发流 程?系统开发流程(审批、开发、测试、上 线)数据转换?数据转换制度(审批、测试、方案制定)5信息运作批处理工作?日常系统批处理工作监察(需抽样批
8、处理 核对清单-参见附注)对于批量处理的事务应有完整的流程相匹配,如需要对 数据源的确认、批处理完成后数据的校对。备份制度?系统备份制度、核对(需抽样备份核对清 单-参见附注)1、完整在备份制度,包括数据备份及系统备份;2、每天的自动备份文件应保留 6天以上而/、能每天自动 覆盖;且要有每天的备份任务执行情况的检查记录;3、应有多重的备份机制,如本地磁盘备份、磁带备份、 光碟备份、异地备份;4、应有完善的备用环境,如异地双机热备;5、对备份介质应定期进行恢复测试,有相关业务部门进 行确定数据的准确性,并保留相关记录,该记录要求肩 用户、信息部门、管理层签字确认;6、异地备份的物理环境应同于实际
9、业务环境,以确保实 际环境发生意外时备用环境能立即切换启用;7、对于异地备份根据区域的不同可有不同的定义,不一 定要求在5公里以上的间隔跑离;?备份定期恢复测试制度和记录(需抽样备 份恢复测试记录-参见附注)?异地备份制度?异地备份之物理安全(需抽样异地备份转 移记录)范围所需资料、文件要求用户问题管 理?用户就系统有关问题之管理制度、问题 处理、问题严重性分级、上报机制、问 题汇总和审核制度(需抽样问题处理记录 -参见附注)1、对问题管理应有完善的机制,包括问题收集、汇总, 按严重性、紧急性分级,以及上报机制。2、问题的处理应有跟踪反馈机制,确保问题被及时有效 解决。6最终用户应用程序管 理?对与财务报告有关之重要最终用户应用 程序之管理制度(如用户编制含Macro等程序之Excel, Acces妤)(如适用)1、相关软件的使用权(即正版软件)的购买应在预算中 体现,并肩购买的凭证;2、对禁止使用盗版软件应有严格规定并依此执行;附注控制活动频率样本抽取数量?每年1?每季1 + 1 (年末)?每月2?每周5?每天15?多于每天25
