信息系统审计的事例表.xls

审审计计业业务务方方案案 编编制制日日期期 审审计计项项目目IT审计 审审计计期期间间 被被审审计计单单位位信息部 审审计计目目标标确保信息系统的可靠性 稳定性 安全性 及数据处理的完整性 准确性 审审计计范范围围信息资产的管理 账号与权限管理 灾难恢复计划 信息安全 中心机房管理 SAP项目管理 审审计计具具体体内内容容 序序号号 时时间间安安排排 项项目目内内容容审审计计程程序序 Sch Sch Act Act 14 信息资产的管理 根据历史采购及信息部统计清单 盘点现有信息资产的完整 性 21 检查信息资产的报废 处置手续是否完整 审批权限是否完 整 31 检查信息资产的异动 使用 保管手续是否完整 审批权限 是否完整 42 检查信息资产的分布合理性 确定其同比人员与信息资产比 率的一致性 51 检查信息资产的维修 维护是否合理 是否存在维修 维护申 请 61 账号与权限管理 询问SAP系统操作人员 确定是否存在多人使用一个账号的 情况 是否借用其账号给别人使用的情况 71 抽取部分具有SAP系统操作权限的人员账号 测试是否存在 密码为空或密码过于简单 如 123456 的情况 81 根据SAP系统操作人员清单 核对是否存在 账号与权限申 请 审批手续是否完整 91 检查是否存在已离职人员的账号与权限仍然存在 是否仍然 被使用 106 SAP专项 评估SAP系统操作手册的完整性 确定是否存在未涵盖的业 务流程或控制缺失或控制薄弱环节 114 检查SAP系统中主要业务模块 确定其数据处理是否完整 准确 122 通过调查 确定SAP现有开发功能的完整性 是否存在未覆 盖的业务模块或存在未满足相关需要的数据 133检查SAP系统后台配置维护的权限是否合理 144 SAP报表的开发程序是否完整 开发原理是否准确 程序开 发与维护职能是否分离 152 灾难恢复计划 检查是否制定信息数据的备份计划 确定备份计划 含备份 内容 备份方式等 是否完整 161 检查 数据备份计划 的执行情况 是否按计划规定时间进 行对应数据的备份 171 现场确认备份介质的保管是否合理 并确认备份数据的完整 性 181 询问备份数据使用是否予以记录 如有 检查备份数据使用 的合理性及审批权限的完整性 191灾难恢复计划 询问备份数据的清理程序 是否予以记录 如有 检查备份 数据的清理是否合理 审批权限是否完整 201 中心机房管理 确定是否存在非机房管理员进出机房的登记记录 登记记录 内容是否完整 211 进出机房是否取得权限审批 与进出机房登记表核对是否一 致 221 确定机房管理员是否定期对机房进行清理 是否存在灰尘等 232 机房设备是否汇总登记 如有 根据登记设备清单 盘点机 房设备的完整性 241 检查机房内UPS不间断电源的运作情况 是否存在UPS不间断 电源运行异常 251 检查机房是否有恒温 恒湿的测量仪器 如有 检查测量仪 器的读数是否与规定的温湿一致 264 信息安全管理 抽查部分电脑设备 是否存在未经授权的应用程序 非经授 权的应用程序 是否具有特殊的审批 272 确定应用程序中源代码的访问权限 具有哪些人员可访问应 用程序的源代码 是否经授权 282 源代码修改是否有明确规定 是否存在源代码的修改 如有 其修改是否经权限审批 审批层级是否完整 291 信息安全管理 是否明确数据库 服务器等的访问权限规定 检查相关日志 确定是否存在非授权访问 302 统计外部网络使用者清单 核对计算机应用权限申请 确定 是否存在未授权使用网络的情况 311 检查重要 如财务部 公共文件夹的安全性 是否存在未经 授权人员可访问相应数据 并确定是否有输入 输出权限 321 检查各重要 如财务部 公共文件夹内容是否设置读 写密 码保护 是否存在未经授权人员写入权限 332 检查防火墙或杀毒软件集中日志 是否存在异常事项 确定 异常事项是否为非授权范围内操作引起 342 检查服务器日志 是否存在未经授权的访问 并确定是什么 原因导致此访问 352 统计具有公司可外发邮件的使用者 查看是否进行邮件监控 是否存在未经授权的邮件 362 检查腾讯通内部收发文件的权限设置 是否存在未经授权的 操作 37 6 66 6 Remarks Remarks 1 1 此此次次ITIT审审计计仅仅涉涉及及系系统统的的执执行行与与维维护护业业务务活活动动的的范范围围 不不涉涉及及业业务务规规划划 业业务务开开发发等等项项目目的的审审计计 编编制制 日日期期 信息安全管理 索索引引号号 审审计计类类型型定期审计 审审计计人人员员 审审计计依依据据内部控制制度 行业惯例 查查核核资资料料配配合合部部门门计计划划时时间间底底稿稿索索引引 信息资产清单 采购部 信息部 财务部 2010 10 81010T01 资产报废申请单 报告信息部 财务部2010 10 81010T02 资产异动单 信息资产保管 清单 信息部2010 10 81010T03 信息资产清单使用部门2010 10 91010T04 资产维修 护申请单信息部2010 10 91010T05 SAP账号清单使用部门2010 10 91010T06 SAP账号清单信息部2010 10 91010T07 账号与权限申请单 SAP账 号清单 信息部2010 10 91010T08 SAP账号清单 信息部 人力资源 部 2010 10 91010T09 SAP操作手册信息部2010 10 111010T10 信息部2010 10 121010T11 信息部 使用部门2010 10 121010T12 SAP后台配置维护人员清单信息部2010 10 131010T13 SAP报表开发原理信息部2010 10 131010T14 审审计计业业务务方方案案 确保信息系统的可靠性 稳定性 安全性 及数据处理的完整性 准确性 信息资产的管理 账号与权限管理 灾难恢复计划 信息安全 中心机房管理 SAP项目管理 数据备份计划信息部2010 10 141010T15 数据备份计划 备份登记 表 信息部2010 10 141010T16 备份清单信息部2010 10 141010T17 备份数据使用记录信息部2010 10 141010T18 备份数据清理记录信息部2010 10 141010T19 进出机房登记表信息部2010 10 131010T20 进入机房申请单信息部2010 10 131010T21 机房清理日志信息部2010 10 151010T22 机房设备清单信息部2010 10 151010T23 信息部2010 10 151010T24 信息部2010 10 151010T25 授权应用程序清单信息部 使用部门2010 10 161010T26 信息部2010 10 161010T27 源代码修改程序信息部2010 10 161010T28 信息部2010 10 181010T29 外部网络使用者清单 计 算机应用权限申请 信息部2010 10 181010T30 信息部2010 10 181010T31 信息部2010 10 181010T32 工作日志信息部2010 10 181010T33 服务器日志信息部2010 10 191010T34 邮件使用