《信息系统审计报告模板》由会员分享,可在线阅读,更多相关《信息系统审计报告模板(31页珍藏版)》请在金锄头文库上搜索。
1、信息系统审计报告模板篇一:信息系统审计 信息系统审计 审计信息安全管理信息化进程中存在操作轨迹不可见、操作流程缺失、数 据非法修改、生产系统故障、信息系統人为欺诈等各类风险。 随着数据大集中的推迸,信息系統的安全、可靠、稳定、有 效、可信显得更加重要。而这些风险特別是人为因素造成 的风险存在于信息技术流程管理、技术安全管理、项目管 理和生产系统运行管理过程中,因此,迫切需要对正在使用 或即将投产的信息系統的安全性、真实性、完整性、有效性 进行鉴证,通过对信息系統的审计,保证信息系統的可信度, 以促进保险公司内控体系的建设,并对信息化建设提供必要 的安全控制咨询。一、信息系统审计的内容1. 管理
2、流程审计信息技术管理流程审计主要评估与公司发展战略目标相 一致的信息技术规划,评估信息技术工作条例或工作程序, 评估信息技术部门的工作职责与工作分,评估信息系統取 得开发、购置、引进的制度和流程,评估生产系統的运行维护的制度和流程,评估项目管理、项目监理的制度和流 程,评估信息系統的安全管理制度,评估开发、测试、生产 系統分岗制衡管理制度等。2. 技术平台审计信息技术平台审计主要评估信息技术基础平台的运行与 安全管理,包括网络运行与安全管理如路由器、网络设各、 防火墙、通信线路等、硬件运行与安全管理如小型机、 服务器、前置机、打印机、扫描仪、存储设各、PC、终端 等、操作系統及数据库等运行平台
3、的运行与安全管理如 Unix、Windows、数据库、中间件、应用开发 具、应用发布工具、版本管理工具、项目管理工具、防/杀 毒工具等。3. 信息系统项目审计信息系统项目审计主要评估信息系统项目管理与项目监 理的有效性。项目管理审计主要评估项目启动、立项、需求分析、系統 设计、开发、测试、试点、验收、推广过程的有效性,评价 系统开发生命周期中的每一个程序是否均被严格执行,评价 系统迁移的方案与效果,评价各类项目文档是否齐全。其目 的是控制项目进展过程中的风险。项目监理审计主要评估项 目监理在信息系統建设过程中发挥的作用,评估项目监理是 否有效保证了信息系統建设的质量、进度和成本符合项目立 项时
4、的要求。评估项目管理与项目监理间的责职是否清晰, 分是否明确。4. 生产系统审计信息系統的上线与投产,仅仅是信息化的开始,大量的 风险与问题将出现在信息系統的生产运行与维护阶段。保险 公司内部一般均建立了核心业务系統、人员营销员等管 理系统、财务系統、精算系統、再保系統等生产系统,公司 的生产经营活动大多要通过生产系统进行,生产系统审计便 显得更为重要。生产系統的审计首先是信息系統与业务流程吻合审计, 主要评估实际业务操作流程与信息系統操作流程的吻合情 况,评估信息系统对需求的满足度及信息系統操作流程与业 务操作流程的吻合度。以退保操作流程为例,退保的典型处 理方式是在信息系統中产生应付信息,
5、而财务支付遐保款后 不再在系统中确认已付款,这就导致系统信息与实际情况不 一致,致使流程与数据均不完整,流程被短路、数据被割裂, 最终导致数据可用性差,并留下安全隐患。其次是评估与信 息系统相关的风险。评估数据访问授权、系統功能授权、业 务操作授权、业务审批决定授权是否有效,是否拥有防 止非法进行数据修改的措施。评估或测试信息系統中的关键 控制点是否得到有效控制,如核赔中结案环节控制,需评估 结案前的赔案信息状况,如资料是否完整,计算是否正确, 会签、审批是否完成。同时需评估结案后的流程执行是否完 整,如数据流是否与业务单证流一致。也可评估结案后对保 单承保如结案后要求限制承保、保全如结案后要
6、求扣 还保单质押借款、生存给付如结案后要求中止生存给付 或确保再给付几年等的影响,测试该关键点对保单生命周 期各环节的影响是否合理与正确。二、信息系统审计流程信息系统审计的工作流程主要包括确定审计范围、做好 审计准各、进行审计评估、出具审计报告、提供管理咨询等 过程。可根据审计目标,确定审计范围。例如,是进行全面审 计还是专项审计;是进行全公司审计还是部分分公司审计。 在此基础上制定审计预案,审计预案中要确定审计依据、人 员分、审计工作程序、方法技巧、审计工作文档模板与案 例、审计时间表,并注明需重点关注的地方,也可以将审计 预案制作成审计工作手册,让每一个审计人员得到同样的信 息。进行审计评
7、估时,应对照审计依据,了解被审计单位的 信息技术管理流程、技术基础平台、生产系统运行环境与管 理制度,通过关键点测试等方式做出公正、合理的评估。完 成后还需出具详细的审计报告,对被审计信息系統或专项被 审计对象进行鉴证,并提出必要的管理建议书,也可主动为 被审计单位提供管理咨询,促进或帮助被审计单位提高信息 系統管理水平。对于公司内部审计,还有一个通过提供管理 咨询帮助其提高管理水平的过程,如总公司对分公司的审 计,或公司内部对信息系統的审计,更多的责任或义务是通 过内部审计发现信息技术管理中的不足,提出改进建议,并 督促或辅导职能部门改迸、完善。三、信息系统审计方法1.信息系统审计机构保险公
8、司应有专门的机构负责信息系统审计工作,制定 信息系统审计管理制度和工作程序、设计审计方案、制作审 计计划、开发审计评估、出具审计报告、提出改进建议、提 供管理咨询。2 .常规审计与专项审计信息系统审计也可分为常规审计和专项审计。常规审计 为例行的全面审计,如毎年一次对信息系统进行全面的审 计,包括管理流程、技术平台、项目开发和生产系统审计, 对信息系統做出全面的评估、鉴证,提出管理建议。专项审 计可以针对信息系統管理的某一方面进行专门的审计,可以 视实际情况选择进行。如信息系统运行安全的专项审计,可 以对公司在信息系統方面的安全管理措施、技术措施的实际 应用情况进行审计评估、鉴证,提出管理建
9、议。专项审计针对公司重点关心的专项问題,针对性强。 专项审计也可用于高级信息技术管理人员的离任审计。3.现场审计与非现场审计信息系统审计可在现场进行,也可在非现场进行。现场 审计适用于需在现场访谈、观察、测试、调查的情况。如对 信息系統操作流程与实际业务操作流程吻合度的审计,需在 现场观察数据流与实物流的流转情况。非现场审计主要借助 非现场审计系统进行,通过计算机系统进行审计。如对万能 险账户积数与账户余额的监控,可以通过计算机系統进行远 程随机实时审计,也可要求被审计单位打印指定账户积数与 佘额后传真至审计机构进行审计。现场审计与非现场审计可 以发挥定期审计与随机实时审计相结合的优势,使信息
10、系統 审计制度化。4.外部审计、内部审计与自查审计外部审计是指由公司外部独立的专业审计机构进行的审 计,可对信息系统做出合理、公正的评价,可参照财务审计, 每年进行一次。内部审计主要由保险公司内部的审计机构对 信息系统进行审计,其目的在于帮助信息管理部门找差距, 并督促和辅导信息管理部门提高信息系統管理水平。自查审 计主要由各级信息技术管理部门对照信息技术管理标准自 查、自纠,进行自我管理与自我完善。5. 通过审计系统进行审计信息系统审计的常用方法有访谈、观察、现场测试、调 阅文档、调查信息系统相关角色等,也可以开发审计系统对 生产系统进行审计。要实现通过审计系統对生产系统进行审计,必須加强对
11、 生产系统建设的事前和事中审计,在生产系统立项、建设时, 应明确审计要求,审计人员应參与生产系統的立项、需求分 祈、设计、验收等工作。在生产系统中,应设置审计接口, 记录审计轨迹,由计算机自动记录审计线索,对于修改与删 除的操作,应参照会计的红字更正法,在生产系统中留下可 追溯的记录。在对生产系統进行验收的过程中,除评价系統 是否迗到了设计目标、是否满足需求外,还需强调生产系統 的可审计性。在开发生产系統的同时,也要开发相应的审计 系統,使生产系统投产后就有相应的审计系统投产运行。开发相应的审计系統,应借鉴国际通用的审计软件,形成 一套有保险公司自身特色的通用审计系統,通过对数据的采 集、比对
12、、分析,对关键审计点的跟踪、监控、反馈,保障 生产系统健康、安全地运行。通过审计系統的应用,汇集大 量的审计案例,分析其中的规律,强化已有的控制点,发现 或部署新的控制点。这样,一方面进一步改进生产系統的运 行状况;另一方面进一步完善审计系统自身功能,使生产系 统与审计系統的应用水平共同提高。四、信息系统审计的目标与任务信息系统审计的根本目标是促进信息系統安全、稳定、 有效、持续运行。通过对信息系統的安全性、稳定性和有效 性进行审计、咨询,降低保险公司面临的信息系统风险,促 使保险公司信息技术发展目标与其总体经营目标、战略相一 致。其任务是完成对信息系統的鉴证、促进和咨询。1. 鉴证信息系统审
13、计的鉴证是指通过审计,合理地保证被审计 单位信息系統及其处理、产生的信息的真实性、完整性与有 效性,政策遵循的一贯性。在市场经济下,保险公司的信息 资料对其生存、发展非常重要,是其重要的信息资产;同时 对利益相关者如监管者、投资者、代理人或机构、団体客户、 个人客户等也非常重要。信息系統审计以其独立的身份,对 保险公司的信息系统进行审计,查出其中的各种错误、舞弊、 风险、不足,有效地保证了被审计信息系統及其处理、产生 信息的真实性、完整性、有效性,是维护保险公司正常生产 经营不可或缺的重要手段。2. 促进信息系统审计完成后需出具审计报告,以鉴证被审计信息系統的真实、完整、有效。这可增强人们对保
14、险公司信息 系統的信任度。诚信即价值,经鉴证后的信息系统对信息的 使用者是有价值的,高可信的信息系统可以吸引更多的投资 者,这对积极争取上市的保险公司具有重要意义。信息系統 审计还可出具管理建议书,对信息系統中存在的错误、舞弊、 风险、不足提出控制或改进建议,以促进被审计单位对信息 系统进行全面审视,并针对上述问题设计解决方案并努力完 善。篇二:审计报告格式 审计报告格式 一、引言随着网络的发展,网络信息的安全越来越引起世界各国 的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全 产品都得到了广泛的应用,但是这些信息安全产品都是为了 防御外部的入侵和窃取。随着对网络安全的认识和技术的发 展,
15、发现由于内部人员造成的泄密或入侵事件占了很大的比 例,所以防止内部的非法违规行为应该与抵御外部的入侵同 样地受到重视,要做到这点就需要在网络中实现对网络资源 的使用进行审计。在当今的网络中各种审计系统已经有了初步的应用,例 如:数据库审计、应用程序审计以及网络信息审计等,但是, 随着网络规模的不断扩大,功能相对单一的审计产品有一定 的局限性,并且对审计信息的综合分析和综合管理能力远远 不够。功能完整、管理統一,跨地区、跨网段、集中管理才 是综合审计系统最终的发展目标。本文对涉密信息系統中安全审计系統的概念、内容、实 现原理、存在的问题、以及今后的发展方向做出了讨论。二、什么是安全审计国内通常对
16、计算机信息安全的认识是要保证计算机信 息系統中信息的机密性、完整性、可控性、可用性和不可否 认性(抗抵赖),筒称“五性”。安全审计是这“五性”的重 要保障之一,它对计算机信息系统中的所有网络资源(包括 数据库、主机、操作系統、安全设备等)进行安全审计,记 录所有发生的事件,提供给系统管理员作为系統维护以及安 全防范的依据。安全审计如同银行的监控系統,不论是什么 人进出银行,都进行如实登记,并且每个人在银行中的行动, 乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以 快速的查阅进出记录和行为记录,确定问题所在,以便采取 相应的处理措施。近几年,涉密系统规模不断扩大,系統中使用的设备也 逐渐增多,每种设备都带有自己的审计模块,另外还有专门 针对某一种网络应用设计的审计系统,如:操作系統的审计、数据库审计系統、网络安全审计系統、应用程序审计系統等, 但是都无法做到对计算机信息系統全面的安全审计,另外审 计数
