信息系统审计方案

大华思远内部文档 大华思远内部文档 3IS一、IT随着计算机及网络技术的快速进展，信息系统的应用已逐步走向成熟，以ERP为代表的企业信息系统的高度集成渐渐兴起。企业信息系统往往不再是一个个孤立的系统，而是集财务、人事、供销、生产为一体的综合性的信息系统。在这种状况下，审计行业则不行避开地受到信息技术飞速进展所带来的冲击与挑战，审计人员只有对整个系统进展全面了解，才能把握审计对象的总体状况，避开审计风险。这迫使我们必需加快信息系统审计的步伐。我们信任，正如对财务信息的牢靠性的要求造就了注册会计师行业一样，信息社会的到来为信息系统审计供给了格外宽阔的进展空间，也代表了审计将来进展的一个重要方向。预见这一进展方向，并着手预备，乐观应对，就确定会把握住这个机遇，使我公司的审计事业焕发出更加旺盛的生命力。二、IT中国目前尚没有明确的针对IT审计的国家标准。国家有关IT审计的规定最初见于《审计法实施条例》第30条，另一项重要依据是《国务院办公厅利用计算机信息系统开展审计工作有关问题的通知》〔国办发[2023]88〕。但以上文件对ITITIT内容、形式等都没有涉及。在遵循以上政策的前提下，我们可遵循的审计标准有：在遵循以上政策的前提下，我们可遵循的审计标准有：企业内控框架－COSO企业内控框架－COSOITIT治理－COBIT、ISO38500ITIT应用系统开发与运维－软件开发标准、ISO9126ITIT效劳治理－ISO20230信息安全治理－ISO27001信息安全治理－ISO27001、ISO27002法律法规与行业监管要求如：法律法规与行业监管要求如：公安部《信息系统等级保护实施标准》公安部《信息系统等级保护实施标准》国家《计算机信息系统保密治理暂行规定》国家《计算机信息系统保密治理暂行规定》工信部《信息安全风险评估指南工信部《信息安全风险评估指南财政部、证监会、审计署、银监会、保监会联合公布的《企业内部把握根本标准》国资委[2023]8国资委[2023]8号文《对中心企业加强信息化工作的相关要求》国资委[2023]102号文《对中心企业开展信息化水平评价，制订信息化进展“登高打算”的相关要求》关要求》国资委[2023]41国资委[2023]41<中心企业商业隐秘保护暂行规定>的相关要求》中国银行业监视治理委员会《商业银行信息科技风险治理指引》中国证券业协会、中国期货业协会《证券期货经营机构信息技术治理工作指引》深圳证监局《深圳辖区信息技术治理工作指引》深圳证监局《深圳辖区信息技术治理工作指引》监管机构有关信息化规划、信息安全治理、IT监管机构有关信息化规划、信息安全治理、IT风险把握的相关要求。企业内部有关IT企业内部有关IT治理、治理及操作方面的相关制度与标准等。中国证监会《证券期货业信息系统运维治理标准》银监会《银行业金融机构信息系统风险治理指引银监会《银行业金融机构信息系统风险治理指引〔至少3年一次〕三、ITIS审计：搜集与评价证据，以确定信息系统及相关资源是否能充分保护资产、维护数据和系统完整性、供给相关和牢靠信息、有效实现组织目标、有效使用资源，并且存在有效的内部把握为满足业务、运营和把握目标的要求供给合理保证，准时预防、检测和订正非预期大事。专项审计：报告某机构或部门的业务处理水平为目的，如检查第三方效劳水平，或针对被审计机构内部把握活动〔一般包括信息技术及相关流程的把握〕所开展的审计活动。司法取证审计〔我公司尚未开发的业务类型〕：针对舞弊和犯罪进展调查、揭露和跟踪的专项审计。主要目的是为执法机构及司法机构供给有效证据。司法取证调查包括对电子设备的分析，如计算机、PDA、磁盘、路由器、及其他电子设备等。四、IT审计阶段审计阶段描述确定审计对象确定被审计领域。确定审计目标明确审计目的。确定审计范围确定组织重要检查的具体系统、职能或单元。初步审计打算搜集数据的审计程序和步骤确定锁具的技术技能和资源确定测试或监察的信息来源。选择并确定对把握进展测试和验证的审计方法确定访谈对象名单搜集并确定检查的部门政策、标准和指南开发对把握进展测试和验证的审计工具和方法评估测试和检查依据状况而定结果的程序与治理人员沟通依据状况而定的程序预备审计报告监察和评价测试文档、政策和规程的合理性出具审计报告五、ITIT审计涉及整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统全部活动和中间产物，并包括信息系统实施相关的外部环境。分为公司层面、一般层面及应用层面。(一)公司层面及一般层面把握范围 所需資料、文件 要求公司层面把握 IT部门架构图IT人员职责说1、完整清楚的部门架构以及职员职责说明；明 2、有完善的费用预算机制有经过授权并正信息信息安全安全制度、用户信息安全意识

IT预算、策略和年度规划ITITIT与治理层之会议记录与第三方供货商之效劳协议(假设IT效劳外判)IT风险评估制度和报告财务系统与其它系统间之数据流程图IT内部审计报告和审计觉察之跟进信息技术安全规章制度令员工充份了解信息技术安全规章制度的措施信息安全培训记录

式签发的费用预算文件；有与公司战略相匹配的IT3记录；4、签订相关效劳合同；5估机构；6、供给数据流程图；7、应建立内审机制并定期内审，以关心外审，建议引进专业机构定期内审。1、制定完善的安全规章制度，并实行广泛的宣传措施将该制度灌输至每位公司职员。2、规章制度写入员工手册并印发，员工入好培训记录。物理安全 机房物理安全规章录)

1、物理要求：门禁系统、烟雾报警器监控、UPS、空调〔接UPS、干粉灭火器、防火防水装修材料；2、机房治理：专人治理钥匙、有访客记录、机柜门应上锁；3、效劳器治理：密码变更设置〔文档/流程/频率、密码策略〔windows/sql强制策略、windowswindows/流程〔备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面；4范围 所需資料、文件 要求用户权限设定

用户系统权限的列表用户设置不同系统权限之制度和审批等步骤不同权限是否显示在用户申请表上

1、用户权限组有具体的权限定义；2、完整的用户帐号增加、修改、删除审批流程；3、用户帐号审批流程中应表达具体的权限选择；用户设定制度系统密码设定

增加、更改、删除系统用户的步1、完整的用户帐号增加、修改、删除审批流骤 程；用户部门及IT部门审批程序, 2、有与人力资源中心供给的入职、离职名单申请表格之处理和保存 相匹配的用户帐号增加、删除记录；系统密码设定(应用系统层、操1、密码长度、应由字母和数字组成或者再区作系统层、网络层、数据库) 分大小写、客户端密码变更的频率应有控用户权限批阅

密码长度密码最大更改日数密码简洁性可重用旧密码次数锁定用户前之容许错误登录次数用户系统权限之定时批阅和复核,及有关记录

制〔如30天强制要求变更密码；2、错误密码登陆次数应不超过3次，且系统应用提示信息；3、密码修改时应不允许与原密码一样的密码进展修改操作，应有历史密码把握策略；4、对各种不同密码的变更频率及设置要求等应有完整的密码治理制度；1、对系统用户帐号的申请及权限安排等，应有定期进展复核的操作，并有相关文档记录，且文档应由相关领当定期批阅；超级用户 应用系统、操作系统、数据库超级用户的申请、治理、使用审核的步骤和记录拥有超级用户的人员名单

1、对系统超级用户的使用应有审批授权制度，并有相匹配的流程；2、对拥有超级用户权限的人员应严格把握；系统系统变更变更治理

系统变更治理规章制度系统变更审批、开发、测试之步

1、要求有完整的系统变更流程，流程中包括紧急变更的处理流程；骤及记录 2、变更过程中应有各种表单支持，如用户申系统变更 系统变更上线审批之步骤及记上线 录开发人员和上线人员之分工(开发人员没有生产环境之权限)之证明开发环境和测试环境之规律或物理分开之证明

IT测试、用户测试、实施记录、用户签收等相关表单；3、测试环境与正式业务系统环境应有严格区分，并有证据证明〔可截图说明；4、紧急变更中应表达允许时候补走流程的内容；5、系统中应有系统变更的日志记录，以便利范围所需資料、文件要求参数变更应用系统、操作系统、数据库系统参数变更治理规章制度查询历史变更；系统变更审批、测试之步骤及记录紧急变更无法循正常变更流程的紧急变更治理规章制度、审批、测试之步骤及记录4系统开发系统开发方法系统开发方法依据实际状况而定系统开发流程系统开发流程(审批、开发、测试、上线)依据实际状况而定数据转换数据转换、转移制度(审批、测试、方案制定)依据实际状况而定5信息技术数据处理工作系统数据处理工作监察对于批量处理的事务应有完整的流程相匹配，运作校对。备份制度系统备份制度、核对1、完整在备份制度，包括数据备份及系统备备份定期恢复测试制度和记录异地备份制度异地备份之物理安全

份；2、每天的自动备份文件应保存6天以上而不能每天自动掩盖；且要有每天的备份任务执行状况的检查记录；3、应有多重的备份机制，如本地磁盘备份、磁带备份、光碟备份、异地备份；4、应有完善的备用环境，如异地双机热备；5、对备份介质应定期进展恢复测试，有相关业务部门进展确定数据的准确性，并保存治理层签字确认；6、异地备份的物理环境应同于实际业务环境，以确保实际环境发生意外时备用环境能马上切换启用；7、对于异地备份依据区域的不同可有不同的5离；范围范围所需資料、文件要求用户问题治理用户就系统有关问题之治理制 1、对问题治理应有完善的机制，包括问题收度问题处理问题严峻性分级、 集、汇总，按严峻性、紧急性分级，以及上报机制、问题汇总和审核制度 上报机制。2、问题的处理应有跟踪反响机制，确保问题被准时有效解决。(二)应用层面把握依据客户所使用信息系统的不同，有针对性的设计测试方案，对客户各应用系统的使用状况进展测试。其重点关注事项包括且不限于以下内容：系统资源的存取。包括规律资源，如软件、系统文件和表、数据等。(2)系统资源的使用。用户应当只能对授权给他们的那些资源进展操作。是否建立按用户职能安排资源的模式。把重要的任务功能按用户或用户组进展分别，以削减无意的误操作、滥用系统资源和对数据的非授权修改。记录系统的使用状况。按时间挨次建立一个使用记录，记录内容应包括例外事例和与安全有关的大事是由谁触发的，财务信息的创立、修改和删除是由谁完成的。确认处理过程的准确性。确认处理过程的准确完成。治理人员对财务信息的修改。应当保证财务信息系统的全部修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认以有把握的方式投入使用。数据转移的安全性、准确性、有效性。当数据在系统内或