信息系統(tǒng)審計方案

大華思遠內(nèi)部文檔 大華思遠內(nèi)部文檔 3IS一、IT隨著計算機及網(wǎng)絡技術的快速進展，信息系統(tǒng)的應用已逐步走向成熟，以ERP為代表的企業(yè)信息系統(tǒng)的高度集成漸漸興起。企業(yè)信息系統(tǒng)往往不再是一個個孤立的系統(tǒng)，而是集財務、人事、供銷、生產(chǎn)為一體的綜合性的信息系統(tǒng)。在這種狀況下，審計行業(yè)則不行避開地受到信息技術飛速進展所帶來的沖擊與挑戰(zhàn)，審計人員只有對整個系統(tǒng)進展全面了解，才能把握審計對象的總體狀況，避開審計風險。這迫使我們必需加快信息系統(tǒng)審計的步伐。我們信任，正如對財務信息的牢靠性的要求造就了注冊會計師行業(yè)一樣，信息社會的到來為信息系統(tǒng)審計供給了格外寬闊的進展空間，也代表了審計將來進展的一個重要方向。預見這一進展方向，并著手預備，樂觀應對，就確定會把握住這個機遇，使我公司的審計事業(yè)煥發(fā)出更加旺盛的生命力。二、IT中國目前尚沒有明確的針對IT審計的國家標準。國家有關IT審計的規(guī)定最初見于《審計法實施條例》第30條，另一項重要依據(jù)是《國務院辦公廳利用計算機信息系統(tǒng)開展審計工作有關問題的通知》〔國辦發(fā)[2023]88〕。但以上文件對ITITIT內(nèi)容、形式等都沒有涉及。在遵循以上政策的前提下，我們可遵循的審計標準有：在遵循以上政策的前提下，我們可遵循的審計標準有：企業(yè)內(nèi)控框架－COSO企業(yè)內(nèi)控框架－COSOITIT治理－COBIT、ISO38500ITIT應用系統(tǒng)開發(fā)與運維－軟件開發(fā)標準、ISO9126ITIT效勞治理－ISO20230信息安全治理－ISO27001信息安全治理－ISO27001、ISO27002法律法規(guī)與行業(yè)監(jiān)管要求如：法律法規(guī)與行業(yè)監(jiān)管要求如：公安部《信息系統(tǒng)等級保護實施標準》公安部《信息系統(tǒng)等級保護實施標準》國家《計算機信息系統(tǒng)保密治理暫行規(guī)定》國家《計算機信息系統(tǒng)保密治理暫行規(guī)定》工信部《信息安全風險評估指南工信部《信息安全風險評估指南財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合公布的《企業(yè)內(nèi)部把握根本標準》國資委[2023]8國資委[2023]8號文《對中心企業(yè)加強信息化工作的相關要求》國資委[2023]102號文《對中心企業(yè)開展信息化水平評價，制訂信息化進展“登高打算”的相關要求》關要求》國資委[2023]41國資委[2023]41<中心企業(yè)商業(yè)隱秘保護暫行規(guī)定>的相關要求》中國銀行業(yè)監(jiān)視治理委員會《商業(yè)銀行信息科技風險治理指引》中國證券業(yè)協(xié)會、中國期貨業(yè)協(xié)會《證券期貨經(jīng)營機構信息技術治理工作指引》深圳證監(jiān)局《深圳轄區(qū)信息技術治理工作指引》深圳證監(jiān)局《深圳轄區(qū)信息技術治理工作指引》監(jiān)管機構有關信息化規(guī)劃、信息安全治理、IT監(jiān)管機構有關信息化規(guī)劃、信息安全治理、IT風險把握的相關要求。企業(yè)內(nèi)部有關IT企業(yè)內(nèi)部有關IT治理、治理及操作方面的相關制度與標準等。中國證監(jiān)會《證券期貨業(yè)信息系統(tǒng)運維治理標準》銀監(jiān)會《銀行業(yè)金融機構信息系統(tǒng)風險治理指引銀監(jiān)會《銀行業(yè)金融機構信息系統(tǒng)風險治理指引〔至少3年一次〕三、ITIS審計：搜集與評價證據(jù)，以確定信息系統(tǒng)及相關資源是否能充分保護資產(chǎn)、維護數(shù)據(jù)和系統(tǒng)完整性、供給相關和牢靠信息、有效實現(xiàn)組織目標、有效使用資源，并且存在有效的內(nèi)部把握為滿足業(yè)務、運營和把握目標的要求供給合理保證，準時預防、檢測和訂正非預期大事。專項審計：報告某機構或部門的業(yè)務處理水平為目的，如檢查第三方效勞水平，或針對被審計機構內(nèi)部把握活動〔一般包括信息技術及相關流程的把握〕所開展的審計活動。司法取證審計〔我公司尚未開發(fā)的業(yè)務類型〕：針對舞弊和犯罪進展調(diào)查、揭露和跟蹤的專項審計。主要目的是為執(zhí)法機構及司法機構供給有效證據(jù)。司法取證調(diào)查包括對電子設備的分析，如計算機、PDA、磁盤、路由器、及其他電子設備等。四、IT審計階段審計階段描述確定審計對象確定被審計領域。確定審計目標明確審計目的。確定審計范圍確定組織重要檢查的具體系統(tǒng)、職能或單元。初步審計打算搜集數(shù)據(jù)的審計程序和步驟確定鎖具的技術技能和資源確定測試或監(jiān)察的信息來源。選擇并確定對把握進展測試和驗證的審計方法確定訪談對象名單搜集并確定檢查的部門政策、標準和指南開發(fā)對把握進展測試和驗證的審計工具和方法評估測試和檢查依據(jù)狀況而定結果的程序與治理人員溝通依據(jù)狀況而定的程序預備審計報告監(jiān)察和評價測試文檔、政策和規(guī)程的合理性出具審計報告五、ITIT審計涉及整個信息系統(tǒng)的生命周期，IT審計不是單純強調(diào)對軟硬件的審計。它的審計對象涵蓋整個信息系統(tǒng)全部活動和中間產(chǎn)物，并包括信息系統(tǒng)實施相關的外部環(huán)境。分為公司層面、一般層面及應用層面。(一)公司層面及一般層面把握范圍 所需資料、文件 要求公司層面把握 IT部門架構圖IT人員職責說1、完整清楚的部門架構以及職員職責說明；明 2、有完善的費用預算機制有經(jīng)過授權并正信息信息安全安全制度、用戶信息安全意識

IT預算、策略和年度規(guī)劃ITITIT與治理層之會議記錄與第三方供貨商之效勞協(xié)議(假設IT效勞外判)IT風險評估制度和報告財務系統(tǒng)與其它系統(tǒng)間之數(shù)據(jù)流程圖IT內(nèi)部審計報告和審計覺察之跟進信息技術安全規(guī)章制度令員工充份了解信息技術安全規(guī)章制度的措施信息安全培訓記錄

式簽發(fā)的費用預算文件；有與公司戰(zhàn)略相匹配的IT3記錄；4、簽訂相關效勞合同；5估機構；6、供給數(shù)據(jù)流程圖；7、應建立內(nèi)審機制并定期內(nèi)審，以關心外審，建議引進專業(yè)機構定期內(nèi)審。1、制定完善的安全規(guī)章制度，并實行廣泛的宣傳措施將該制度灌輸至每位公司職員。2、規(guī)章制度寫入員工手冊并印發(fā)，員工入好培訓記錄。物理安全 機房物理安全規(guī)章錄)

1、物理要求：門禁系統(tǒng)、煙霧報警器監(jiān)控、UPS、空調(diào)〔接UPS、干粉滅火器、防火防水裝修材料；2、機房治理：專人治理鑰匙、有訪客記錄、機柜門應上鎖；3、效勞器治理：密碼變更設置〔文檔/流程/頻率、密碼策略〔windows/sql強制策略、windowswindows/流程〔備用鑰匙、密碼文件密封置于機房上鎖的柜子中或密封的信封里面；4范圍 所需資料、文件 要求用戶權限設定

用戶系統(tǒng)權限的列表用戶設置不同系統(tǒng)權限之制度和審批等步驟不同權限是否顯示在用戶申請表上

1、用戶權限組有具體的權限定義；2、完整的用戶帳號增加、修改、刪除審批流程；3、用戶帳號審批流程中應表達具體的權限選擇；用戶設定制度系統(tǒng)密碼設定

增加、更改、刪除系統(tǒng)用戶的步1、完整的用戶帳號增加、修改、刪除審批流驟 程；用戶部門及IT部門審批程序, 2、有與人力資源中心供給的入職、離職名單申請表格之處理和保存 相匹配的用戶帳號增加、刪除記錄；系統(tǒng)密碼設定(應用系統(tǒng)層、操1、密碼長度、應由字母和數(shù)字組成或者再區(qū)作系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)庫) 分大小寫、客戶端密碼變更的頻率應有控用戶權限批閱

密碼長度密碼最大更改日數(shù)密碼簡潔性可重用舊密碼次數(shù)鎖定用戶前之容許錯誤登錄次數(shù)用戶系統(tǒng)權限之定時批閱和復核,及有關記錄

制〔如30天強制要求變更密碼；2、錯誤密碼登陸次數(shù)應不超過3次，且系統(tǒng)應用提示信息；3、密碼修改時應不允許與原密碼一樣的密碼進展修改操作，應有歷史密碼把握策略；4、對各種不同密碼的變更頻率及設置要求等應有完整的密碼治理制度；1、對系統(tǒng)用戶帳號的申請及權限安排等，應有定期進展復核的操作，并有相關文檔記錄，且文檔應由相關領當定期批閱；超級用戶 應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫超級用戶的申請、治理、使用審核的步驟和記錄擁有超級用戶的人員名單

1、對系統(tǒng)超級用戶的使用應有審批授權制度，并有相匹配的流程；2、對擁有超級用戶權限的人員應嚴格把握；系統(tǒng)系統(tǒng)變更變更治理

系統(tǒng)變更治理規(guī)章制度系統(tǒng)變更審批、開發(fā)、測試之步

1、要求有完整的系統(tǒng)變更流程，流程中包括緊急變更的處理流程；驟及記錄 2、變更過程中應有各種表單支持，如用戶申系統(tǒng)變更 系統(tǒng)變更上線審批之步驟及記上線 錄開發(fā)人員和上線人員之分工(開發(fā)人員沒有生產(chǎn)環(huán)境之權限)之證明開發(fā)環(huán)境和測試環(huán)境之規(guī)律或物理分開之證明

IT測試、用戶測試、實施記錄、用戶簽收等相關表單；3、測試環(huán)境與正式業(yè)務系統(tǒng)環(huán)境應有嚴格區(qū)分，并有證據(jù)證明〔可截圖說明；4、緊急變更中應表達允許時候補走流程的內(nèi)容；5、系統(tǒng)中應有系統(tǒng)變更的日志記錄，以便利范圍所需資料、文件要求參數(shù)變更應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)參數(shù)變更治理規(guī)章制度查詢歷史變更；系統(tǒng)變更審批、測試之步驟及記錄緊急變更無法循正常變更流程的緊急變更治理規(guī)章制度、審批、測試之步驟及記錄4系統(tǒng)開發(fā)系統(tǒng)開發(fā)方法系統(tǒng)開發(fā)方法依據(jù)實際狀況而定系統(tǒng)開發(fā)流程系統(tǒng)開發(fā)流程(審批、開發(fā)、測試、上線)依據(jù)實際狀況而定數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換、轉(zhuǎn)移制度(審批、測試、方案制定)依據(jù)實際狀況而定5信息技術數(shù)據(jù)處理工作系統(tǒng)數(shù)據(jù)處理工作監(jiān)察對于批量處理的事務應有完整的流程相匹配，運作校對。備份制度系統(tǒng)備份制度、核對1、完整在備份制度，包括數(shù)據(jù)備份及系統(tǒng)備備份定期恢復測試制度和記錄異地備份制度異地備份之物理安全

份；2、每天的自動備份文件應保存6天以上而不能每天自動掩蓋；且要有每天的備份任務執(zhí)行狀況的檢查記錄；3、應有多重的備份機制，如本地磁盤備份、磁帶備份、光碟備份、異地備份；4、應有完善的備用環(huán)境，如異地雙機熱備；5、對備份介質(zhì)應定期進展恢復測試，有相關業(yè)務部門進展確定數(shù)據(jù)的準確性，并保存治理層簽字確認；6、異地備份的物理環(huán)境應同于實際業(yè)務環(huán)境，以確保實際環(huán)境發(fā)生意外時備用環(huán)境能馬上切換啟用；7、對于異地備份依據(jù)區(qū)域的不同可有不同的5離；范圍范圍所需資料、文件要求用戶問題治理用戶就系統(tǒng)有關問題之治理制 1、對問題治理應有完善的機制，包括問題收度問題處理問題嚴峻性分級、 集、匯總，按嚴峻性、緊急性分級，以及上報機制、問題匯總和審核制度 上報機制。2、問題的處理應有跟蹤反響機制，確保問題被準時有效解決。(二)應用層面把握依據(jù)客戶所使用信息系統(tǒng)的不同，有針對性的設計測試方案，對客戶各應用系統(tǒng)的使用狀況進展測試。其重點關注事項包括且不限于以下內(nèi)容：系統(tǒng)資源的存取。包括規(guī)律資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。(2)系統(tǒng)資源的使用。用戶應當只能對授權給他們的那些資源進展操作。是否建立按用戶職能安排資源的模式。把重要的任務功能按用戶或用戶組進展分別，以削減無意的誤操作、濫用系統(tǒng)資源和對數(shù)據(jù)的非授權修改。記錄系統(tǒng)的使用狀況。按時間挨次建立一個使用記錄，記錄內(nèi)容應包括例外事例和與安全有關的大事是由誰觸發(fā)的，財務信息的創(chuàng)立、修改和刪除是由誰完成的。確認處理過程的準確性。確認處理過程的準確完成。治理人員對財務信息的修改。應當保證財務信息系統(tǒng)的全部修改都是經(jīng)過授權、有文檔記錄、經(jīng)過徹底(獨立地)測試的，確認以有把握的方式投入使用。數(shù)據(jù)轉(zhuǎn)移的安全性、準確性、有效性。當數(shù)據(jù)在系統(tǒng)內(nèi)或