IT审计计划及资料清单模版.docx

信息系统审计计划一、 审计范围内的信息系统 二、 工作范围以下提纲概括了我们在IT审计涉及的工作范围。希望贵公司相关部门配合审计人员进行信息系统审计，包括访谈、执行系统测试（穿行测试、控制测试），及相关审计文档的获取。1. 公司层面信息技术控制审计我们将与贵行信息科技部相关负责人了解贵公司在公司层面信息技术整体控制的情况，并审阅有关控制存在的支持性文档，审核范围包括： 控制环境（包括IT战略规划、组织架构、人员配备、制度建设等） 风险评估（包括IT风险的识别、评估和应对） 信息与沟通（包括业务与IT部门的沟通机制） 监控（包括IT部门及人员绩效考核）2. 信息技术一般性控制审计我们将通过访谈和审阅相关文档的方式了解和确认贵公司信息技术一般性控制层面的流程及内部控制情况。此外，我们还将通过抽样测试的方式检查相关控制执行的有效性。审核范围包括信息系统开发、信息系统变更、信息系统运行维护和信息安全等方面。涉及上述控制的IT流程包括： 系统开发和数据转换流程 程序变更流程 配置变更流程 IT基础架构变更流程 数据修改流程 用户账号及权限管理流程（包括用户账号的创建、权限的修改和删除、对超级用户的管理和监控、用户定期权限审阅、用户口令设置等） 机房物理安全管理流程 网络安全管理流程 远程访问管理流程 防病毒管理流程 备份和恢复流程 灾难恢复计划和业务可持续性计划流程 问题和突发事件的管理流程 批处理管理流程 第三方服务商管理三、 审计所需资料清单为协助我们的工作，请贵公司于审计前准备以下基本文档以便我们参考及审阅：序号文件资料清单状态信息技术一般性控制审计1.2016及2017年审计范围内系统程序变更清单，审计人员将在现场抽取样本并检查相关支持文档。包括：当前应用程序版本号截屏、变更申请表、测试报告、上线验收报告、用户手册及培训计划等，请提供经过审批签字的最终版本。如果没有发生程序变更，请提供相关证明文档（系统最后更新日期等信息）。2.2016及2017年审计范围内系统配置变更清单及相关支持文档。包括：申请、审批、测试、上线、验收等。由审计人员在现场抽取样本后提供即可。3.审计范围内系统的生产环境、开发环境和测试环境主机ip地址截图（用于确认公司对生产环境、开发环境和测试环境实现了隔离）4.审计年度内信息系统关键系统用户账号创建/权限变更/删除流程。5.2016及2017年公司的员工流动列表（包括入职、离职和岗位变动），由人力资源部提供6.审计范围内系统当前用户列表，包括用户名、使用人、创建日期、角色权限等内容（包括应用系统、操作系统和数据库层面）7.2016及2017年审计范围内系统用户账号创建/权限变更/删除申请表（包括应用系统、操作系统和数据库层面）-由审计人员在现场抽取样本后提供即可8.审计范围内系统用户口令及安全设置截屏（包括应用系统、操作系统和数据库层面）9.审计范围内系统超级用户/管理员清单（包括应用系统、操作系统和数据库层面）10.2016及2017年审计范围内系统超级用户/管理员操作日志定期审阅记录（包括应用系统、操作系统和数据库层面）11.2016及2017年审计范围内系统用户账号定期审阅记录（包括应用系统、操作系统和数据库层面）12.防病毒软件服务器及客户端相关设置截屏13.网络安全管理制度，以及相关网络拓扑图、防火墙安全策略设置截图14.远程访问用户权限清单，及2016、2017年远程访问账号创建申请及审批记录-由审计人员在现场抽取样本后提供即可15.信息安全保密制度，以及通过网络传输的涉密或关键数据清单16.2016及2017年新入职IT人员签署的保密协议，以及与第三方服务商、外包人员签署的保密协议17.机房、数据中心清单；机房门禁系统中具有进出机房权限的人员名单；外来人员访问机房记录18.审计范围内系统数据的备份策略设置截屏，2016及2017年备份结果检查记录、备份介质清单、备份介质取用记录、定期备份恢复测试记录，异地备份策略截图19.灾难恢复计划、业务可持续性计划以及2016、2017年定期演练报告20.2016及2017年IT