IT審計(jì)要求KPMG講解學(xué)習(xí)

1、Good is good, but better carries it.精益求精，善益求善。IT審計(jì)要求KPMG-范圍所需資料、文件要求1公司層面控制IT部門架構(gòu)圖、IT人員職責(zé)說明IT預(yù)算、策略和年度規(guī)劃(2005-2007年)IT內(nèi)部、IT與業(yè)務(wù)部門、IT與管理層之會(huì)議記錄與第三方供貨商之服務(wù)協(xié)議(若IT服務(wù)外判)IT風(fēng)險(xiǎn)評(píng)估制度和報(bào)告財(cái)務(wù)系統(tǒng)與其它系統(tǒng)間之?dāng)?shù)據(jù)流程圖IT內(nèi)部審計(jì)報(bào)告和審計(jì)發(fā)現(xiàn)之跟進(jìn)完整清晰的部門架構(gòu)以及職員職責(zé)說明；有完善的費(fèi)用預(yù)算機(jī)制，有經(jīng)過授權(quán)并正式簽發(fā)的費(fèi)用預(yù)算文件；有與公司戰(zhàn)略相匹配的IT策略及每年的年度規(guī)劃；內(nèi)部、與業(yè)務(wù)部門、與管理層之間的會(huì)議記錄；簽訂相關(guān)服務(wù)

2、合同；完善的風(fēng)險(xiǎn)評(píng)估機(jī)制，或引進(jìn)專業(yè)風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)；提供數(shù)據(jù)流程圖；應(yīng)建立內(nèi)審機(jī)制并定期內(nèi)審，以輔助外審，建議引進(jìn)專業(yè)機(jī)構(gòu)定期內(nèi)審。2信息安全信息安全制度、用戶信息安全意識(shí)信息技術(shù)安全規(guī)章制度令員工充份了解信息技術(shù)安全規(guī)章制度的措施信息安全培訓(xùn)記錄制定完善的安全規(guī)章制度，并采取廣泛的宣傳措施將該制度灌輸至每位公司職員。規(guī)章制度寫入員工手冊(cè)并印發(fā)，新員工入職便能了解公司要求，并做定期培訓(xùn)，做好培訓(xùn)記錄。物理安全機(jī)房物理安全規(guī)章保安設(shè)施(如門禁系統(tǒng)、訪客記錄)1、物理要求：門禁系統(tǒng)、煙霧報(bào)警器（置于地板夾層或頂棚夾層）、監(jiān)控、UPS、空調(diào)（接UPS）、干粉滅火器、防火防水裝修材料；2、機(jī)房管理：專人

3、管理鑰匙、有訪客記錄、機(jī)柜門應(yīng)上鎖；3、服務(wù)器管理：密碼變更設(shè)置（文檔/流程/頻率）、密碼策略（windows/sql用戶密碼強(qiáng)制策略、windows帳號(hào)鎖定策略、密碼長度8位以上、歷史密碼6次）、windows界面自動(dòng)鎖定、應(yīng)急管理/流程（備用鑰匙、密碼文件密封置于機(jī)房上鎖的柜子中或密封的信封里面）；4、機(jī)房顯眼處應(yīng)有機(jī)房管理制度；用戶權(quán)限設(shè)定用戶系統(tǒng)權(quán)限的列表用戶設(shè)置不同系統(tǒng)權(quán)限之制度和審批等步驟不同權(quán)限是否顯示在用戶申請(qǐng)表上(需抽樣申請(qǐng)表格參見附注)用戶權(quán)限組有詳細(xì)的權(quán)限定義；完整的用戶帳號(hào)增加、修改、刪除審批流程；用戶帳號(hào)審批流程中應(yīng)體現(xiàn)具體的權(quán)限選擇；用戶設(shè)定制度增加、更改、刪除系統(tǒng)

4、用戶的步驟用戶部門及IT部門審批程序,申請(qǐng)表格之處理和保存(需抽樣申請(qǐng)表格,可和上面的樣本相同)1、完整的用戶帳號(hào)增加、修改、刪除審批流程；2、有與人力資源中心提供的入職、離職名單相匹配的用戶帳號(hào)增加、刪除記錄；系統(tǒng)密碼設(shè)定系統(tǒng)密碼設(shè)定(應(yīng)用系統(tǒng)層、操作系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)庫)密碼長度密碼最大更改日數(shù)密碼復(fù)雜性可重用舊密碼次數(shù)鎖定用戶前之容許錯(cuò)誤登錄次數(shù)1、密碼長度應(yīng)大于8位、應(yīng)由字母和數(shù)字組成或者再區(qū)分大小寫、客戶端密碼變更的頻率應(yīng)有控制（如30天強(qiáng)制要求變更密碼）；2、錯(cuò)誤密碼登陸次數(shù)應(yīng)不超過3次，且系統(tǒng)應(yīng)用提示信息；3、密碼修改時(shí)應(yīng)不允許與原密碼相同的密碼進(jìn)行修改操作，應(yīng)有歷史密碼控制策

5、略；4、對(duì)各種不同密碼的變更頻率及設(shè)置要求等應(yīng)有完整的密碼管理制度；用戶權(quán)限審閱用戶系統(tǒng)權(quán)限之定時(shí)審閱和復(fù)核,及有關(guān)記錄(需抽樣各階段之文件及記錄參見附注)1、對(duì)系統(tǒng)用戶帳號(hào)的申請(qǐng)及權(quán)限分配等，應(yīng)有定期進(jìn)行復(fù)核的操作，并有相關(guān)文檔記錄，且文檔應(yīng)由相關(guān)領(lǐng)當(dāng)定期審閱；超級(jí)用戶應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫超級(jí)用戶的申請(qǐng)、管理、使用審核的步驟和記錄擁有超級(jí)用戶的人員名單1、對(duì)系統(tǒng)超級(jí)用戶的使用應(yīng)有審批授權(quán)制度，并有相匹配的流程；2、對(duì)擁有超級(jí)用戶權(quán)限的人員應(yīng)嚴(yán)格控制；3系統(tǒng)變更系統(tǒng)變更管理系統(tǒng)變更管理規(guī)章制度系統(tǒng)變更審批、開發(fā)、測(cè)試(用戶及IT)之步驟及記錄(需抽樣各階段之文件及記錄參見附注)1、要求有

6、完整的系統(tǒng)變更流程，流程中包括緊急變更的處理流程；2、變更過程中應(yīng)有各種表單支持，如用戶申請(qǐng)、上級(jí)審批、開發(fā)需求、IT測(cè)試、用戶測(cè)試、實(shí)施記錄、用戶簽收等相關(guān)表單；3、測(cè)試環(huán)境與正式業(yè)務(wù)系統(tǒng)環(huán)境應(yīng)有嚴(yán)格區(qū)分，并有證據(jù)證明（可截圖說明）；4、緊急變更中應(yīng)體現(xiàn)允許時(shí)候補(bǔ)走流程的內(nèi)容；5、系統(tǒng)中應(yīng)有系統(tǒng)變更的日志記錄，以方便查詢歷史變更；系統(tǒng)變更上線系統(tǒng)變更上線審批之步驟及記錄(需抽樣文件及記錄參見附注)開發(fā)人員和上線人員之分工(開發(fā)人員沒有生產(chǎn)環(huán)境之權(quán)限)之證明開發(fā)環(huán)境和測(cè)試環(huán)境之邏輯或物理分開之證明參數(shù)變更應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)參數(shù)變更管理規(guī)章制度系統(tǒng)變更審批、測(cè)試(用戶及IT)之步驟及

7、記錄(需抽樣各階段之文件及記錄參見附注)緊急變更無法循正常變更流程的緊急變更管理規(guī)章制度、審批、測(cè)試(用戶及IT)之步驟及記錄(需抽樣各階段之文件及記錄參見附注)4系統(tǒng)開發(fā)(如適用)系統(tǒng)開發(fā)方法論系統(tǒng)開發(fā)方法論系統(tǒng)開發(fā)流程系統(tǒng)開發(fā)流程(審批、開發(fā)、測(cè)試、上線)數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換制度(審批、測(cè)試、方案制定)5信息技術(shù)運(yùn)作批處理工作日常系統(tǒng)批處理工作監(jiān)察(需抽樣批處理核對(duì)清單參見附注)對(duì)于批量處理的事務(wù)應(yīng)有完整的流程相匹配，如需要對(duì)數(shù)據(jù)源的確認(rèn)、批處理完成后數(shù)據(jù)的校對(duì)。備份制度系統(tǒng)備份制度、核對(duì)(需抽樣備份核對(duì)清單參見附注)1、完整在備份制度，包括數(shù)據(jù)備份及系統(tǒng)備份；2、每天的自動(dòng)備份文件應(yīng)保留6天

8、以上而不能每天自動(dòng)覆蓋；且要有每天的備份任務(wù)執(zhí)行情況的檢查記錄；3、應(yīng)有多重的備份機(jī)制，如本地磁盤備份、磁帶備份、光碟備份、異地備份；4、應(yīng)有完善的備用環(huán)境，如異地雙機(jī)熱備；5、對(duì)備份介質(zhì)應(yīng)定期進(jìn)行恢復(fù)測(cè)試，有相關(guān)業(yè)務(wù)部門進(jìn)行確定數(shù)據(jù)的準(zhǔn)確性，并保留相關(guān)記錄，該記錄要求有用戶、信息部門、管理層簽字確認(rèn)；6、異地備份的物理環(huán)境應(yīng)同于實(shí)際業(yè)務(wù)環(huán)境，以確保實(shí)際環(huán)境發(fā)生意外時(shí)備用環(huán)境能立即切換啟用；7、對(duì)于異地備份根據(jù)區(qū)域的不同可有不同的定義，不一定要求在5公里以上的間隔距離；備份定期恢復(fù)測(cè)試制度和記錄(需抽樣備份恢復(fù)測(cè)試記錄參見附注)異地備份制度異地備份之物理安全(需抽樣異地備份轉(zhuǎn)移記錄)用戶問題管理用戶就系統(tǒng)有關(guān)問題之管理制度、問題處理、問題嚴(yán)重性分級(jí)、上報(bào)機(jī)制、問題匯總和審核制度(需抽樣問題處理記錄參見附注)1、對(duì)問題管理應(yīng)有完善的機(jī)制，包括問題收集、匯總，按嚴(yán)重性、緊急性分級(jí)，以及上報(bào)機(jī)制。2、問題的處理應(yīng)有跟蹤反饋機(jī)制，確保問題被及時(shí)有效解決。6最終用戶應(yīng)用程序管理對(duì)與財(cái)務(wù)報(bào)告有關(guān)之重要最終用戶應(yīng)用程序之管理制度(