上海裕强物流有限公司ERP审计报告V1.0.doc

上海裕强物流有限公司ISO27001信息安全管理体系咨询项目ERP系统信息安全审计报告文档信息项目名称:上海裕强物流有限公司ISO27001信息安全管理体系咨询项目项目经理:陈振波文档版本号:V1.0项目阶段:信息系统审计文档版本日期:2012年11月28日质量复审方法:Management Review 起草人:陈振波起草日期:2012年11月28日复审人:复审日期:分发列表自日期电话/传真陈振波2012-11-28到行动*截止日期电话/传真徐燕复审2012年12月9日*行动类别: 批准、复审、通知、存档、需要采取行动、参加会议、其他（请指明）版本历史版本号版本日期修改人说明V1.02012-11-28陈振波初稿 目录1. 文档说明41.1. 文档目的41.2. 适用范围42. 审计范围53. 审计目的54. 审计人员55. 审计实施的时间56. 具体审计事项类别及名称57. 采用的审计技术和方法58. 被审计单位信息系统基本情况69. 审计重点内容及审计事项61. 文档说明1.1. 文档目的 上海裕强物流有限公司业务建立在系统的基础之上，系统基本取代了人工的纸质操作，极大的提高了工作效率和准确性。但是业务对系统的可靠性和安全性提取了很高的要求，项目组通过一段时间的审计，发现系统目前存在的一些安全问题，本报告总结了这次审计发现的问题点及对以后改进的建议。1.2. 适用范围本文档适用于上海裕强物流有限公司。2. 审计范围上海裕强物流有限公司ERP系统（总部和北郊分公司）。3. 审计目的发现系统目前存在的一些信息安全问题并提出改进的建议。4. 审计人员徐燕魏翔陈振波（迈德斯咨询顾问）5. 审计实施的时间2012年11月5日至2011年11月23日。6. 具体审计事项类别及名称1一般控制审计信息安全控制审计：(1) 逻辑访问控制审计(2) 网络安全控制审计(3) 操作系统安全控制审计(4) 数据库系统安全控制审计(5) 最终用户控制审计2应用控制审计（1）业务流程控制审计业务授权与审批控制审计数据输入控制审计数据输出控制审计（2）数据控制审计对主数据的审计对业务参数的审计对重要信息的审计7. 采用的审计技术和方法本次审计，主要采取的方法是现场访谈信息系统使用情况及信息安全管理方面，并未采取任何技术手段评估系统的安全性。8. 被审计单位信息系统基本情况8.1被审计单位信息系统建设和管理情况 上海裕强物流有限公司所使用的信息管理系统（ERP）是博科软件开发公司2010年开发的，系统于20年 进行测试，2012年9月正式运行使用。系统采用JAVA进行开发，后台数据库为SQL2008。 该ERP系统采用了B/S结构模式，服务器端操作系统为windows2008，客户端操作系统为windows XP/7。目前共有服务器2台、计算机30台、交换机1台、硬件防火墙1台。机房放置了温度、湿度表，同时配备了UPS不间断电源和灭火系统，为系统正常运行提供了保障。8.2被审计单位对信息系统业务依赖程度 ERP系统根据功能的要求，分为9个大模块，16个子模块。9大模块分别是：基本资料、订单管理、入库管理、出库管理、库存管理、仓库平面图、计费管理、结算管理、报表查询。基本包括了裕强物流的主要业务和管理需求。8.3被审计单位信息系统组织管理情况 裕强物流设置了综合管理部，专职进行软件开发管理、系统维护和设备维修等。8.4被审计单位信息系统运行情况 从维护日志来看，该ERP信息管理系统在不断地进行系统升级和功能完善，数据库出现异常的情况越来越少。在审计组现场审计期间，该信息系统运行正常，未发现服务器宕机等异常现象。8.5被审计单位信息系统总体业务数据流程情况 该系统业务流程主要分为，物品入库、出库、库存、订单管理等方面。8.6被审计单位信息系统电子数据情况 本次审计我们取得了截止到2012年11月30日的数据库备份数据。ERP系统全库业务数据总量约12.2 G，其中：2012年约有 400 万条记录，数据大小为12.2 G。9. 审计重点内容及审计事项9.1基础设施控制审计查看公司机房，发现机房温湿度环境符合要求，配备了UPS、防静电地板、专用机柜，整体情况基本符合要求。 9.2信息安全控制审计9.2.1通过实地查看、资料查阅等方法，审计发现，裕强物理进行了IP地址管理和用户权限分配，用户端安装了 杀毒软件，部分用户操作系统漏洞安装了补丁。9.2.2通过上机查看、模拟操作，发现问题和建议：1) 裕强物流内、外网未完全物理隔离，局域网内部分电脑可以访问因特网，可以下载资料到电脑中，内、外网连接也未通过任何设备或程序加以控制。建议要对网络进行控制，开放必要的业务功能，其他不需要的一律禁止。USB封闭使用。2) 可登陆用户47位。建议定期检查用的口令，对不符合要求的用户责令整改，屡教不改的按照公司相关惩戒制度执行。系统管理员无法看到用户口令设置情况，建议增加该功能，至少能看到用户是否设置及口令长度。3) “系统管理员”权限的用户有10位，博科6位，裕强3位，系统一个。存在数据安全隐患。建议最小化原则，取消博科开发人员的系统管理员角色。4) 系统设置了多个角色，对不同的角色分别设置了不同的权限，再给用户分配角色。但系统无法输出整个权限列表，这给以后做权限评审带来一定的难度，手工做容易出错。建议系统增加该功能。基于该权限列表由IT和相关业务部门建立岗位、用户、权限的对应表格，并得到总经理的批准授权，以后定期评审、核对权限设置情况。5) 同一部门的用户权限都一样，未根据职责进行权限分割设置。建议最小化原则，根据业务的情况，一般部门的最高级别权限不得超过2人。6) 北郊分公司操作网络延时较长，影响工作效率。建议使用统一的网络服务，必要时增加带宽。9.3信息系统运营维护控制审计通过现场观察的方法，查阅系统日志、运行维护记录等资料，对系统操作管理控制和系统灾难恢复控制制度进行审计。裕强物流已建立了IT管理制度，能够将数据库数据备份完整。发现问题和建议：业务数据都通过服务器磁盘进行存储、备份，磁盘数据容易被删除、修改，存在数据丢失的风险。建议异地备份，周期为每周。9.4流程控制审计1) 具体审计目标：通过对信息系统业务流程的分析，查出系统在安全性和可靠性等方面存在的薄弱环节。2) 审计测试过程：通过现场访谈，审计发现在合同费率设置及物品出库上，存在漏洞。3) 发现问题和建议：编制、审核为同一人。ERP系统审核功能未起到作用，审核功能弱化操作，重要环节未设置审核岗位，使得合同费率设置及物品出库管理环节上存在漏洞。4) 建议在系统业务操作流程上设置审核流程，输入数据必须要经过审核才能往下走。公司配置审核岗位及人员并保持该人员的独立性。9.5信息系统生命周期控制审计1) 具体审计目标：查看信息系统开发是否规范，系统变更是否在可控范围内。2) 审计测试过程：通过资料查阅法，查看了软件开发需求说明书。审计发现，管理系统为外包设计、开发，开发资料不