信息系統(tǒng)審計(jì)方案

大華思遠(yuǎn)內(nèi)部文檔 大華思遠(yuǎn)內(nèi)部文檔 3IS一、IT隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的快速進(jìn)展，信息系統(tǒng)的應(yīng)用已逐步走向成熟，以ERP為代表的企業(yè)信息系統(tǒng)的高度集成漸漸興起。企業(yè)信息系統(tǒng)往往不再是一個(gè)個(gè)孤立的系統(tǒng)，而是集財(cái)務(wù)、人事、供銷(xiāo)、生產(chǎn)為一體的綜合性的信息系統(tǒng)。在這種狀況下，審計(jì)行業(yè)則不行避開(kāi)地受到信息技術(shù)飛速進(jìn)展所帶來(lái)的沖擊與挑戰(zhàn)，審計(jì)人員只有對(duì)整個(gè)系統(tǒng)進(jìn)展全面了解，才能把握審計(jì)對(duì)象的總體狀況，避開(kāi)審計(jì)風(fēng)險(xiǎn)。這迫使我們必需加快信息系統(tǒng)審計(jì)的步伐。我們信任，正如對(duì)財(cái)務(wù)信息的牢靠性的要求造就了注冊(cè)會(huì)計(jì)師行業(yè)一樣，信息社會(huì)的到來(lái)為信息系統(tǒng)審計(jì)供給了格外寬闊的進(jìn)展空間，也代表了審計(jì)將來(lái)進(jìn)展的一個(gè)重要方向。預(yù)見(jiàn)這一進(jìn)展方向，并著手預(yù)備，樂(lè)觀應(yīng)對(duì)，就確定會(huì)把握住這個(gè)機(jī)遇，使我公司的審計(jì)事業(yè)煥發(fā)出更加旺盛的生命力。二、IT中國(guó)目前尚沒(méi)有明確的針對(duì)IT審計(jì)的國(guó)家標(biāo)準(zhǔn)。國(guó)家有關(guān)IT審計(jì)的規(guī)定最初見(jiàn)于《審計(jì)法實(shí)施條例》第30條，另一項(xiàng)重要依據(jù)是《國(guó)務(wù)院辦公廳利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知》〔國(guó)辦發(fā)[2023]88〕。但以上文件對(duì)ITITIT內(nèi)容、形式等都沒(méi)有涉及。在遵循以上政策的前提下，我們可遵循的審計(jì)標(biāo)準(zhǔn)有：在遵循以上政策的前提下，我們可遵循的審計(jì)標(biāo)準(zhǔn)有：企業(yè)內(nèi)控框架－COSO企業(yè)內(nèi)控框架－COSOITIT治理－COBIT、ISO38500ITIT應(yīng)用系統(tǒng)開(kāi)發(fā)與運(yùn)維－軟件開(kāi)發(fā)標(biāo)準(zhǔn)、ISO9126ITIT效勞治理－ISO20230信息安全治理－ISO27001信息安全治理－ISO27001、ISO27002法律法規(guī)與行業(yè)監(jiān)管要求如：法律法規(guī)與行業(yè)監(jiān)管要求如：公安部《信息系統(tǒng)等級(jí)保護(hù)實(shí)施標(biāo)準(zhǔn)》公安部《信息系統(tǒng)等級(jí)保護(hù)實(shí)施標(biāo)準(zhǔn)》國(guó)家《計(jì)算機(jī)信息系統(tǒng)保密治理暫行規(guī)定》國(guó)家《計(jì)算機(jī)信息系統(tǒng)保密治理暫行規(guī)定》工信部《信息安全風(fēng)險(xiǎn)評(píng)估指南工信部《信息安全風(fēng)險(xiǎn)評(píng)估指南財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合公布的《企業(yè)內(nèi)部把握根本標(biāo)準(zhǔn)》國(guó)資委[2023]8國(guó)資委[2023]8號(hào)文《對(duì)中心企業(yè)加強(qiáng)信息化工作的相關(guān)要求》國(guó)資委[2023]102號(hào)文《對(duì)中心企業(yè)開(kāi)展信息化水平評(píng)價(jià)，制訂信息化進(jìn)展“登高打算”的相關(guān)要求》關(guān)要求》國(guó)資委[2023]41國(guó)資委[2023]41<中心企業(yè)商業(yè)隱秘保護(hù)暫行規(guī)定>的相關(guān)要求》中國(guó)銀行業(yè)監(jiān)視治理委員會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)治理指引》中國(guó)證券業(yè)協(xié)會(huì)、中國(guó)期貨業(yè)協(xié)會(huì)《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引》深圳證監(jiān)局《深圳轄區(qū)信息技術(shù)治理工作指引》深圳證監(jiān)局《深圳轄區(qū)信息技術(shù)治理工作指引》監(jiān)管機(jī)構(gòu)有關(guān)信息化規(guī)劃、信息安全治理、IT監(jiān)管機(jī)構(gòu)有關(guān)信息化規(guī)劃、信息安全治理、IT風(fēng)險(xiǎn)把握的相關(guān)要求。企業(yè)內(nèi)部有關(guān)IT企業(yè)內(nèi)部有關(guān)IT治理、治理及操作方面的相關(guān)制度與標(biāo)準(zhǔn)等。中國(guó)證監(jiān)會(huì)《證券期貨業(yè)信息系統(tǒng)運(yùn)維治理標(biāo)準(zhǔn)》銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)治理指引銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)治理指引〔至少3年一次〕三、ITIS審計(jì)：搜集與評(píng)價(jià)證據(jù)，以確定信息系統(tǒng)及相關(guān)資源是否能充分保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)和系統(tǒng)完整性、供給相關(guān)和牢靠信息、有效實(shí)現(xiàn)組織目標(biāo)、有效使用資源，并且存在有效的內(nèi)部把握為滿足業(yè)務(wù)、運(yùn)營(yíng)和把握目標(biāo)的要求供給合理保證，準(zhǔn)時(shí)預(yù)防、檢測(cè)和訂正非預(yù)期大事。專(zhuān)項(xiàng)審計(jì)：報(bào)告某機(jī)構(gòu)或部門(mén)的業(yè)務(wù)處理水平為目的，如檢查第三方效勞水平，或針對(duì)被審計(jì)機(jī)構(gòu)內(nèi)部把握活動(dòng)〔一般包括信息技術(shù)及相關(guān)流程的把握〕所開(kāi)展的審計(jì)活動(dòng)。司法取證審計(jì)〔我公司尚未開(kāi)發(fā)的業(yè)務(wù)類(lèi)型〕：針對(duì)舞弊和犯罪進(jìn)展調(diào)查、揭露和跟蹤的專(zhuān)項(xiàng)審計(jì)。主要目的是為執(zhí)法機(jī)構(gòu)及司法機(jī)構(gòu)供給有效證據(jù)。司法取證調(diào)查包括對(duì)電子設(shè)備的分析，如計(jì)算機(jī)、PDA、磁盤(pán)、路由器、及其他電子設(shè)備等。四、IT審計(jì)階段審計(jì)階段描述確定審計(jì)對(duì)象確定被審計(jì)領(lǐng)域。確定審計(jì)目標(biāo)明確審計(jì)目的。確定審計(jì)范圍確定組織重要檢查的具體系統(tǒng)、職能或單元。初步審計(jì)打算搜集數(shù)據(jù)的審計(jì)程序和步驟確定鎖具的技術(shù)技能和資源確定測(cè)試或監(jiān)察的信息來(lái)源。選擇并確定對(duì)把握進(jìn)展測(cè)試和驗(yàn)證的審計(jì)方法確定訪談對(duì)象名單搜集并確定檢查的部門(mén)政策、標(biāo)準(zhǔn)和指南開(kāi)發(fā)對(duì)把握進(jìn)展測(cè)試和驗(yàn)證的審計(jì)工具和方法評(píng)估測(cè)試和檢查依據(jù)狀況而定結(jié)果的程序與治理人員溝通依據(jù)狀況而定的程序預(yù)備審計(jì)報(bào)告監(jiān)察和評(píng)價(jià)測(cè)試文檔、政策和規(guī)程的合理性出具審計(jì)報(bào)告五、ITIT審計(jì)涉及整個(gè)信息系統(tǒng)的生命周期，IT審計(jì)不是單純強(qiáng)調(diào)對(duì)軟硬件的審計(jì)。它的審計(jì)對(duì)象涵蓋整個(gè)信息系統(tǒng)全部活動(dòng)和中間產(chǎn)物，并包括信息系統(tǒng)實(shí)施相關(guān)的外部環(huán)境。分為公司層面、一般層面及應(yīng)用層面。(一)公司層面及一般層面把握范圍 所需資料、文件 要求公司層面把握 IT部門(mén)架構(gòu)圖IT人員職責(zé)說(shuō)1、完整清楚的部門(mén)架構(gòu)以及職員職責(zé)說(shuō)明；明 2、有完善的費(fèi)用預(yù)算機(jī)制有經(jīng)過(guò)授權(quán)并正信息信息安全安全制度、用戶信息安全意識(shí)

IT預(yù)算、策略和年度規(guī)劃ITITIT與治理層之會(huì)議記錄與第三方供貨商之效勞協(xié)議(假設(shè)IT效勞外判)IT風(fēng)險(xiǎn)評(píng)估制度和報(bào)告財(cái)務(wù)系統(tǒng)與其它系統(tǒng)間之?dāng)?shù)據(jù)流程圖IT內(nèi)部審計(jì)報(bào)告和審計(jì)覺(jué)察之跟進(jìn)信息技術(shù)安全規(guī)章制度令員工充份了解信息技術(shù)安全規(guī)章制度的措施信息安全培訓(xùn)記錄

式簽發(fā)的費(fèi)用預(yù)算文件；有與公司戰(zhàn)略相匹配的IT3記錄；4、簽訂相關(guān)效勞合同；5估機(jī)構(gòu)；6、供給數(shù)據(jù)流程圖；7、應(yīng)建立內(nèi)審機(jī)制并定期內(nèi)審，以關(guān)心外審，建議引進(jìn)專(zhuān)業(yè)機(jī)構(gòu)定期內(nèi)審。1、制定完善的安全規(guī)章制度，并實(shí)行廣泛的宣傳措施將該制度灌輸至每位公司職員。2、規(guī)章制度寫(xiě)入員工手冊(cè)并印發(fā)，員工入好培訓(xùn)記錄。物理安全 機(jī)房物理安全規(guī)章錄)

1、物理要求：門(mén)禁系統(tǒng)、煙霧報(bào)警器監(jiān)控、UPS、空調(diào)〔接UPS、干粉滅火器、防火防水裝修材料；2、機(jī)房治理：專(zhuān)人治理鑰匙、有訪客記錄、機(jī)柜門(mén)應(yīng)上鎖；3、效勞器治理：密碼變更設(shè)置〔文檔/流程/頻率、密碼策略〔windows/sql強(qiáng)制策略、windowswindows/流程〔備用鑰匙、密碼文件密封置于機(jī)房上鎖的柜子中或密封的信封里面；4范圍 所需資料、文件 要求用戶權(quán)限設(shè)定

用戶系統(tǒng)權(quán)限的列表用戶設(shè)置不同系統(tǒng)權(quán)限之制度和審批等步驟不同權(quán)限是否顯示在用戶申請(qǐng)表上

1、用戶權(quán)限組有具體的權(quán)限定義；2、完整的用戶帳號(hào)增加、修改、刪除審批流程；3、用戶帳號(hào)審批流程中應(yīng)表達(dá)具體的權(quán)限選擇；用戶設(shè)定制度系統(tǒng)密碼設(shè)定

增加、更改、刪除系統(tǒng)用戶的步1、完整的用戶帳號(hào)增加、修改、刪除審批流驟 程；用戶部門(mén)及IT部門(mén)審批程序, 2、有與人力資源中心供給的入職、離職名單申請(qǐng)表格之處理和保存 相匹配的用戶帳號(hào)增加、刪除記錄；系統(tǒng)密碼設(shè)定(應(yīng)用系統(tǒng)層、操1、密碼長(zhǎng)度、應(yīng)由字母和數(shù)字組成或者再區(qū)作系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)庫(kù)) 分大小寫(xiě)、客戶端密碼變更的頻率應(yīng)有控用戶權(quán)限批閱

密碼長(zhǎng)度密碼最大更改日數(shù)密碼簡(jiǎn)潔性可重用舊密碼次數(shù)鎖定用戶前之容許錯(cuò)誤登錄次數(shù)用戶系統(tǒng)權(quán)限之定時(shí)批閱和復(fù)核,及有關(guān)記錄

制〔如30天強(qiáng)制要求變更密碼；2、錯(cuò)誤密碼登陸次數(shù)應(yīng)不超過(guò)3次，且系統(tǒng)應(yīng)用提示信息；3、密碼修改時(shí)應(yīng)不允許與原密碼一樣的密碼進(jìn)展修改操作，應(yīng)有歷史密碼把握策略；4、對(duì)各種不同密碼的變更頻率及設(shè)置要求等應(yīng)有完整的密碼治理制度；1、對(duì)系統(tǒng)用戶帳號(hào)的申請(qǐng)及權(quán)限安排等，應(yīng)有定期進(jìn)展復(fù)核的操作，并有相關(guān)文檔記錄，且文檔應(yīng)由相關(guān)領(lǐng)當(dāng)定期批閱；超級(jí)用戶 應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)超級(jí)用戶的申請(qǐng)、治理、使用審核的步驟和記錄擁有超級(jí)用戶的人員名單

1、對(duì)系統(tǒng)超級(jí)用戶的使用應(yīng)有審批授權(quán)制度，并有相匹配的流程；2、對(duì)擁有超級(jí)用戶權(quán)限的人員應(yīng)嚴(yán)格把握；系統(tǒng)系統(tǒng)變更變更治理

系統(tǒng)變更治理規(guī)章制度系統(tǒng)變更審批、開(kāi)發(fā)、測(cè)試之步

1、要求有完整的系統(tǒng)變更流程，流程中包括緊急變更的處理流程；驟及記錄 2、變更過(guò)程中應(yīng)有各種表單支持，如用戶申系統(tǒng)變更 系統(tǒng)變更上線審批之步驟及記上線 錄開(kāi)發(fā)人員和上線人員之分工(開(kāi)發(fā)人員沒(méi)有生產(chǎn)環(huán)境之權(quán)限)之證明開(kāi)發(fā)環(huán)境和測(cè)試環(huán)境之規(guī)律或物理分開(kāi)之證明

IT測(cè)試、用戶測(cè)試、實(shí)施記錄、用戶簽收等相關(guān)表單；3、測(cè)試環(huán)境與正式業(yè)務(wù)系統(tǒng)環(huán)境應(yīng)有嚴(yán)格區(qū)分，并有證據(jù)證明〔可截圖說(shuō)明；4、緊急變更中應(yīng)表達(dá)允許時(shí)候補(bǔ)走流程的內(nèi)容；5、系統(tǒng)中應(yīng)有系統(tǒng)變更的日志記錄，以便利范圍所需資料、文件要求參數(shù)變更應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)參數(shù)變更治理規(guī)章制度查詢歷史變更；系統(tǒng)變更審批、測(cè)試之步驟及記錄緊急變更無(wú)法循正常變更流程的緊急變更治理規(guī)章制度、審批、測(cè)試之步驟及記錄4系統(tǒng)開(kāi)發(fā)系統(tǒng)開(kāi)發(fā)方法系統(tǒng)開(kāi)發(fā)方法依據(jù)實(shí)際狀況而定系統(tǒng)開(kāi)發(fā)流程系統(tǒng)開(kāi)發(fā)流程(審批、開(kāi)發(fā)、測(cè)試、上線)依據(jù)實(shí)際狀況而定數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換、轉(zhuǎn)移制度(審批、測(cè)試、方案制定)依據(jù)實(shí)際狀況而定5信息技術(shù)數(shù)據(jù)處理工作系統(tǒng)數(shù)據(jù)處理工作監(jiān)察對(duì)于批量處理的事務(wù)應(yīng)有完整的流程相匹配，運(yùn)作校對(duì)。備份制度系統(tǒng)備份制度、核對(duì)1、完整在備份制度，包括數(shù)據(jù)備份及系統(tǒng)備備份定期恢復(fù)測(cè)試制度和記錄異地備份制度異地備份之物理安全

份；2、每天的自動(dòng)備份文件應(yīng)保存6天以上而不能每天自動(dòng)掩蓋；且要有每天的備份任務(wù)執(zhí)行狀況的檢查記錄；3、應(yīng)有多重的備份機(jī)制，如本地磁盤(pán)備份、磁帶備份、光碟備份、異地備份；4、應(yīng)有完善的備用環(huán)境，如異地雙機(jī)熱備；5、對(duì)備份介質(zhì)應(yīng)定期進(jìn)展恢復(fù)測(cè)試，有相關(guān)業(yè)務(wù)部門(mén)進(jìn)展確定數(shù)據(jù)的準(zhǔn)確性，并保存治理層簽字確認(rèn)；6、異地備份的物理環(huán)境應(yīng)同于實(shí)際業(yè)務(wù)環(huán)境，以確保實(shí)際環(huán)境發(fā)生意外時(shí)備用環(huán)境能馬上切換啟用；7、對(duì)于異地備份依據(jù)區(qū)域的不同可有不同的5離；范圍范圍所需資料、文件要求用戶問(wèn)題治理用戶就系統(tǒng)有關(guān)問(wèn)題之治理制 1、對(duì)問(wèn)題治理應(yīng)有完善的機(jī)制，包括問(wèn)題收度問(wèn)題處理問(wèn)題嚴(yán)峻性分級(jí)、 集、匯總，按嚴(yán)峻性、緊急性分級(jí)，以及上報(bào)機(jī)制、問(wèn)題匯總和審核制度 上報(bào)機(jī)制。2、問(wèn)題的處理應(yīng)有跟蹤反響機(jī)制，確保問(wèn)題被準(zhǔn)時(shí)有效解決。(二)應(yīng)用層面把握依據(jù)客戶所使用信息系統(tǒng)的不同，有針對(duì)性的設(shè)計(jì)測(cè)試方案，對(duì)客戶各應(yīng)用系統(tǒng)的使用狀況進(jìn)展測(cè)試。其重點(diǎn)關(guān)注事項(xiàng)包括且不限于以下內(nèi)容：系統(tǒng)資源的存取。包括規(guī)律資源，如軟件、系統(tǒng)文件和表、數(shù)據(jù)等。(2)系統(tǒng)資源的使用。用戶應(yīng)當(dāng)只能對(duì)授權(quán)給他們的那些資源進(jìn)展操作。是否建立按用戶職能安排資源的模式。把重要的任務(wù)功能按用戶或用戶組進(jìn)展分別，以削減無(wú)意的誤操作、濫用系統(tǒng)資源和對(duì)數(shù)據(jù)的非授權(quán)修改。記錄系統(tǒng)的使用狀況。按時(shí)間挨次建立一個(gè)使用記錄，記錄內(nèi)容應(yīng)包括例外事例和與安全有關(guān)的大事是由誰(shuí)觸發(fā)的，財(cái)務(wù)信息的創(chuàng)立、修改和刪除是由誰(shuí)完成的。確認(rèn)處理過(guò)程的準(zhǔn)確性。確認(rèn)處理過(guò)程的準(zhǔn)確完成。治理人員對(duì)財(cái)務(wù)信息的修改。應(yīng)當(dāng)保證財(cái)務(wù)信息系統(tǒng)的全部修改都是經(jīng)過(guò)授權(quán)、有文檔記錄、經(jīng)過(guò)徹底(獨(dú)立地)測(cè)試的，確認(rèn)以有把握的方式投入使用。數(shù)據(jù)轉(zhuǎn)移的安全性、準(zhǔn)確性、有效性。當(dāng)數(shù)據(jù)在系統(tǒng)內(nèi)或