IT審計(jì)要求KPMG_第1頁
IT審計(jì)要求KPMG_第2頁
IT審計(jì)要求KPMG_第3頁
IT審計(jì)要求KPMG_第4頁
IT審計(jì)要求KPMG_第5頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、范圍所需資料、文件要求1 1公司層面控制?ITIT 部門架構(gòu)圖、ITIT 人員職責(zé)說明?ITIT 預(yù)算、策略和年度規(guī)劃(2005-20072005-2007 年)?ITIT 內(nèi)部、ITIT 與業(yè)務(wù)部門、ITIT 與管理層之 會議記錄?與第三方供貨商之服務(wù)協(xié)議(若 ITIT 服務(wù) 外判)?ITIT 風(fēng)險(xiǎn)評估制度和報(bào)告?財(cái)務(wù)系統(tǒng)與其它系統(tǒng)間之?dāng)?shù)據(jù)流程圖?ITIT 內(nèi)部審計(jì)報(bào)告和審計(jì)發(fā)現(xiàn)之跟進(jìn)1 1、 完整清晰的部門架構(gòu)以及職員職責(zé)說明;2 2、 有完善的費(fèi)用預(yù)算機(jī)制, 有經(jīng)過授權(quán)并正式簽發(fā)的 費(fèi)用預(yù)算文件;有與公司戰(zhàn)略相匹配的 ITIT 策略及每 年的年度規(guī)劃;3 3、 內(nèi)部、與業(yè)務(wù)部門、與管理層

2、之間的會議記錄;4 4、 簽訂相關(guān)服務(wù)合同;5 5、 完善的風(fēng)險(xiǎn)評估機(jī)制,或引進(jìn)專業(yè)風(fēng)險(xiǎn)評估機(jī)構(gòu);6 6、 提供數(shù)據(jù)流程圖;7 7、 應(yīng)建立內(nèi)審機(jī)制并定期內(nèi)審,以輔助外審,建議引 進(jìn)專業(yè)機(jī)構(gòu)定期內(nèi)審。2 2信息 安全信息安全制 度、用戶信 息安全意識?信息技術(shù)安全規(guī)章制度?令員工充份了解信息技術(shù)安全規(guī)章制度 的措施?信息安全培訓(xùn)記錄1 1、 制定完善的安全規(guī)章制度,并米取廣泛的宣傳措施 將該制度灌輸至每位公司職員。2 2、 規(guī)章制度寫入員工手冊并印發(fā),新員工入職便能了 解公司要求,并做定期培訓(xùn),做好培訓(xùn)記錄。范圍所需資料、文件要求物理安全用戶權(quán)限設(shè)定用戶設(shè)定制度?機(jī)房物理安全規(guī)章?保安設(shè)施(如

3、門禁系統(tǒng)、訪客記錄)?用戶系統(tǒng)權(quán)限的列表?用戶設(shè)置不同系統(tǒng)權(quán)限之制度和審批等 步驟?不同權(quán)限是否顯示在用戶申請表上(需抽樣申請表格-參見附注)?增加、更改、刪除系統(tǒng)用戶的步驟?用戶部門及 ITIT 部門審批程序,申請表格 之處理和保存(需抽樣申請表格, ,可和上 面的樣本相同)1 1、物理要求:門禁系統(tǒng)、煙霧報(bào)警器(置于地板夾層或 頂棚夾層)、監(jiān)控、UPSUPS 空調(diào)(接 UPSUPS)、干粉滅火 器、防火防水裝修材料;2 2、機(jī)房管理:專人管理鑰匙、有訪客記錄、機(jī)柜門應(yīng)上 鎖;3 3、 服務(wù)器管理:密碼變更設(shè)置(文檔/ /流程/ /頻率)、密 碼策略(windows/sqlwindows/s

4、ql 用戶密碼強(qiáng)制策略、windowswindows 帳號 鎖定策略、密碼長度 8 8 位以上、歷史密碼 6 6 次)、windowswindows 界面自動鎖定、應(yīng)急管理/ /流程(備用鑰匙、密 碼文件密封置于機(jī)房上鎖的柜子中或密封的信封里 面);4 4、機(jī)房顯眼處應(yīng)有機(jī)房管理制度;1 1、2 2、3 3、用戶權(quán)限組有詳細(xì)的權(quán)限定義; 完整的用戶帳號增加、修改、刪除審批流程;用戶帳號審批流程中應(yīng)體現(xiàn)具體的權(quán)限選擇;1 1、完整的用戶帳號增加、修改、刪除審批流程;2 2、有與人力資源中心提供的入職、離職名單相匹配的用 戶帳號增加、刪除記錄;3 3范圍所需資料、文件要求系統(tǒng)密碼設(shè) 定?系統(tǒng)密碼設(shè)

5、定(應(yīng)用系統(tǒng)層、操作系統(tǒng) 層、網(wǎng)絡(luò)層、數(shù)據(jù)庫)?密碼長度?密碼最大更改日數(shù)?密碼復(fù)雜性?可重用舊密碼次數(shù)?鎖定用戶前之容許錯(cuò)誤登錄次數(shù)1 1 密碼長度應(yīng)大于 8 8 位、 應(yīng)由字母和數(shù)字組成或者再區(qū) 分大小寫、客戶端密碼變更的頻率應(yīng)有控制(如3030 天強(qiáng)制要求變更密碼);2 2、錯(cuò)誤密碼登陸次數(shù)應(yīng)不超過 3 3 次,且系統(tǒng)應(yīng)用提示信 息;3 3、密碼修改時(shí)應(yīng)不允許與原密碼相同的密碼進(jìn)行修改操 作,應(yīng)有歷史密碼控制策略;4 4、對各種不同密碼的變更頻率及設(shè)置要求等應(yīng)有完整的 密碼管理制度;用戶權(quán)限審 閱?用戶系統(tǒng)權(quán)限之定時(shí)審閱和復(fù)核, 及有關(guān) 記錄 (需抽樣各階段之文件及記錄-參 見附注)1

6、1 對系統(tǒng)用戶帳號的申請及權(quán)限分配等,應(yīng)有定期進(jìn)行 復(fù)核的操作,并有相關(guān)文檔記錄,且文檔應(yīng)由相關(guān)領(lǐng)當(dāng) 定期審閱;超級用戶?應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫超級用戶 的申請、管理、使用審核的步驟和記錄?擁有超級用戶的人員名單1 1 對系統(tǒng)超級用戶的使用應(yīng)有審批授權(quán)制度, 并有相匹 配的流程;2 2、對擁有超級用戶權(quán)限的人員應(yīng)嚴(yán)格控制;系統(tǒng)變更管 理?系統(tǒng)變更管理規(guī)章制度?系統(tǒng)變更審批、開發(fā)、測試(用戶及 ITIT) 之步驟及記錄(需抽樣各階段之文件及記 錄-參見附注)1 1 要求有完整的系統(tǒng)變更流程, 流程中包括緊急變更的 處理流程;2 2、變更過程中應(yīng)有各種表單支持,如用戶申請、上級審 批、開發(fā)需求

7、、ITIT 測試、用戶測試、實(shí)施記錄、用戶簽系統(tǒng)變更3 3范圍所需資料、文件要求系統(tǒng)變更上 線?系統(tǒng)變更上線審批之步驟及記錄(需抽樣 文件及記錄-參見附注)?開發(fā)人員和上線人員之分工(開發(fā)人員沒 有生產(chǎn)環(huán)境之權(quán)限)之證明?開發(fā)環(huán)境和測試環(huán)境之邏輯或物理分開 之證明收等相關(guān)表單;3 3、測試環(huán)境與正式業(yè)務(wù)系統(tǒng)環(huán)境應(yīng)有嚴(yán)格區(qū)分,并有證 據(jù)證明(可截圖說明);4 4、緊急變更中應(yīng)體現(xiàn)允許時(shí)候補(bǔ)走流程的內(nèi)容;5 5、系統(tǒng)中應(yīng)有系統(tǒng)變更的日志記錄,以方便查詢歷史變 更;參數(shù)變更?應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)參數(shù) 變更管理規(guī)章制度?系統(tǒng)變更審批、測試(用戶及 ITIT)之步驟 及記錄(需抽樣各階段之文件

8、及記錄- 參見附注)緊急變更?無法循正常變更流程的緊急變更管理規(guī) 章制度、審批、測試(用戶及 ITIT)之步驟 及記錄(需抽樣各階段之文件及記錄- 參見附注)4 4系統(tǒng) 開發(fā)(如適用)系統(tǒng)開發(fā)方 法論?系統(tǒng)開發(fā)方法論系統(tǒng)開發(fā)流 程?系統(tǒng)開發(fā)流程(審批、開發(fā)、測試、上 線)數(shù)據(jù)轉(zhuǎn)換?數(shù)據(jù)轉(zhuǎn)換制度(審批、測試、方案制定)5 5信息 技術(shù)批處理工作?日常系統(tǒng)批處理工作監(jiān)察(需抽樣批處理 核對清單-參見附注)對于批量處理的事務(wù)應(yīng)有完整的流程相匹配,如需要對 數(shù)據(jù)源的確認(rèn)、批處理完成后數(shù)據(jù)的校對。運(yùn)作范圍備份制度用戶問題管理最終用戶應(yīng)用程序管理附注控制活動頻率所需資料、文件要求?系統(tǒng)備份制度、核對(需抽

9、樣備份核對清 單-參見附注)?備份定期恢復(fù)測試制度和記錄(需抽樣備 份恢復(fù)測試記錄-參見附注)?異地備份制度?異地備份之物理安全(需抽樣異地備份轉(zhuǎn) 移記錄)?用戶就系統(tǒng)有關(guān)問題之管理制度、問題 處理、問題嚴(yán)重性分級、上報(bào)機(jī)制、問 題匯總和審核制度(需抽樣問題處理記錄 -參見附注)?對與財(cái)務(wù)報(bào)告有關(guān)之重要最終用戶應(yīng)用 程序之管理制度(如用戶編制含 MacroMacro 等程序之 Excel,Excel, AccessAccess)()(如適用)樣本抽取數(shù)量1 1 完整在備份制度,包括數(shù)據(jù)備份及系統(tǒng)備份;2 2、每天的自動備份文件應(yīng)保留 6 6天以上而不能每天自動 覆蓋;且要有每天的備份任務(wù)執(zhí)行情況的檢查記錄;3 3、應(yīng)有多重的備份機(jī)制,如本地磁盤備份、磁帶備份、 光碟備份、異地備份;4 4、應(yīng)有完善的備用環(huán)境,如異地雙機(jī)熱備;5 5、對備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測試,有相關(guān)業(yè)務(wù)部門進(jìn) 行確定數(shù)據(jù)的準(zhǔn)確性,并保留相關(guān)記錄,該記錄要求有 用戶、信息部門、管理層簽字確認(rèn);6 6、異地備份的物理環(huán)境應(yīng)同于實(shí)際業(yè)務(wù)環(huán)境,以確保實(shí) 際環(huán)境發(fā)生意外時(shí)備用環(huán)境能立即切換啟用;7 7、對于異地備份根據(jù)區(qū)域的不同可有不同的定義,不一 定要求在 5 5 公里以上的間隔距離;1 1 對問題管理應(yīng)有完善的機(jī)制,包括問題收

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論