《信息系统审计方案框架内容.docx》由会员分享,可在线阅读,更多相关《信息系统审计方案框架内容.docx(8页珍藏版)》请在优知文库上搜索。
1、审计项目审计内容和范围一、信息系统管理制度(机房管理、数据备份与灾难恢复、权限设定、数据库管理、系统开发变更、软硬件维护、网络安全管理IT部门权限指引表二、可行分析报告、项目开发计划、软件需求说明书、数据需求说明书、概要设计说明书、详细设计说明书、用户手册、操作手册、测试计划、测试分析报告、开发进度月报、项目开发总结报告、维修修改日志三、系统(包含ERP系统、监控工程、系统加密工程)询价记录、委托合同、款项支付凭证四、软件硬件购置记录、软件硬件维护计划及记录、硬件报废处理记录、权限设定记录、数据备份记录、五、机房出入库记录、机房清洁记录六、系统使用培训记录关键控制节点:一、信息系统开发:信息系
2、统开发的可行性、需求分析是否彻底、系统数据迁移是否合适;二、系统委外:招投标或者比议价的真实性、款项支付的合理性、开发进度合理性;三、应用安全:系统输入、处理、输入的合理性;四、软硬件管理:五、一般安全:机房出入、账户权限设置、数据备份审计实施步骤一、项目准备与方案拟定阶段1 .拟定实施方案,设计基础资料表格。2 .被审单位完成进入现场前应提供的资料。3 .下发审计通知。二、现场审计阶段(一)掌握基础依据,完成基本信息资料L信息系统开发:(1)系统规划:检查整体的系统规划是否得到审批;检查系统规划的内容是否齐全,如信息化的效果、推进体制、费用、开发优先级等,是否跳过某些必要的关键步骤;(2)需
3、求分析:检查用户需求调查是否明确对象范围及方法,是否由精通业务的用户参与现状分析;向部门人员了解新系统的实施是否涉及改变组织结构以及业务流程的重组这些改变对人员的影响如何;检查开发计划及用户需求是否考虑了软件硬件和网络等需求;重新计算开发及运行费用,确定其计算是否正确;(3)系统设计:检查数据库的内容范围选择是否合适,是否按业务内容而设计;通过实地的系统输入,重点关注输入屏幕是否组织有序、标题设计是否考虑字体大小架构、输入框是否有特定提示、颜色是否显著是否会引起视觉疲劳、系统响应时间是否及时、提示和帮助是否合适,防止数据差错设计的校验码是否合适;输入输出报表及界面设计是否便于用户使用;(4)系
4、统编码:与开发者面谈询问关于编程的问题,观察编程者的工作以及检查程序文档和查看代码;检查是否按照系统设计报告进行程序设计;重要的程序是否由程序作者以外的人员进行了测试;(5)系统测试:检查测试数据的选取及系统测试是否按测试计划进行;系统测试是否由用户参加是否按照用户手册进行;是否对系统测试的结果进行记录与保管的认可;(6)系统试运行:检查试运行顺序的制定是否考虑到试运行的条件;检查是否对修改前的程序及数据做好了备份;检查新旧系统是否并行,对于新旧系统基础数据的迁移是否完整,数据的起始节点是否合理;(7)旧系统废除:检查旧信息系统的废除是否是在得到运行及用户负责人的认可;检查旧信息系统的废除方法
5、及废除时间是否适当;(8)系统维护:检查系统的维护费用是否超过开发新系统的费用;检查制定的维护计划是否得到维护方与使用部门负责人的认可,维护的测试计划是否有明确的目的范围方法和安排等;检查是否按维护计划进行修改,是否得到维护及被用户负责人认可,是否按照修改后的程序设计说明书对程序进行修改;修改的程序是否进行了与新开发的程序同等程度的测试,修改的程序的测试结果是否记录下来并进行保管;(9)文档管理:检查文档是否制定和遵守文档管理规则,文档的版本是否有控制;文档更新是否得到信息系统部门及用户负责人的认可;在系统需求更新时文档内容是否进行更新并留下更新记录;检查文档的拷贝及废除是否有控制。2 .信息
6、系统委外:(1)供应商选择:检查委外商选择的标准,该标准是否明确;根据项目的具体情况和资质条件来分析选择的供应商是否具备相应的能力;检查是否存在假借上一次合作或者为上次项目的后续项目的名义未采用三家比价;(2)合同管理:检查合同条款,重点关注不正当行为的防止与机密保护对策、知识产权、失职行为的索赔、特别条款及变更条款是否明确;检查开发、培训、系统后续打补丁的费用收取是否合理;(3)进度管理:检查委托业务实施内容是否与合同内容一致,是否存在开发进度状况有否延迟的情况;(4)款项支付:检查是否按照合同规定进行付款;对于合同外的款项是否得到审批;3 .应用安全审计:(1)输入安全:检查系统单个模块的
7、数据输入是否有输入规则;系统对输入数据的生成顺序、防止差错是否有控制,重点关注输入界面、数据编码控制、校验码和数据有效性的控制(输入最大、最小值,本来是文本的输入数字或者根本不输入内容);输入数据的保管及废除是否按输入管理规则进行;(2)模块检查:通过穿行测试,检查系统各模块与公司的制度以及会计准则是否相符,是否存在线下操作的情况;举例,比如采购模块,检查是否按照订单收货,三单匹配,发票真实性以及价格容差,供应商、物料、价格主数据的维护准确性,价格结算是否正确有控制等等;(3)输出安全:检查输出信息的形式和格式是否便于用户理解和接受;检查输出信息的出错状况并进行分析;检蛰打印错误的文件是否被及
8、时销毁;4 .软硬件管理:(1)软硬件购置:检查软硬件购置是否经过适当审批;检查软硬件的购置凭证,对软硬件进行市场询价,确定购买价格与市场价格是否存在差异;与使用部门了解软硬件的使用质量,确定软硬件的购置是否必须、效果是否达到预期;了解是否存在盗版(微软)诉讼事件,了解诉讼机构的资质;检查软件的安装盘使用说明书是否存在丢失的情况;(2)软硬件日常管理:对软硬件资产进行全面清点,了解硬件闲置以及软件许可的情况;对电脑进行重启,在BIOS自检页面了解软、硬件报错的情况,比如风扇停转、内存报错、磁盘碎片过多等;检查软硬件维护记录,是否经过适当审批;了解对于送外维修的硬件的数据是否做了格式化处理;(3
9、)硬件报废处置:检查硬件报废记录,对于硬盘是否做了物理的破坏处理;询问IT人员硬件处置的流程,检查报废硬件出售的款项是否被挪用。5 .一般安全管理:(1)机房安全:检查机房出入库记录;观察机房环境,是否对温度、干湿度进行了控制;观察服务器是否使用UPS不间断电源;(2)账户权限安全:核对ERP使用者的权限,是否存在初始设定权限存在不兼容的情况或因岗位调动但是未调整相应权限;从人力资源部门获取离职人员清单将其与系统有效账户清单进行核对,是否存在未及时注销的情况;了解是否存在账户借用的情况;抽取部分人员的账户密码,检查是否存在设置过于简单的情况;(3)数据备份:检查数据备份计划是否执行;检查备份的
10、数据是否存放于服务器还是其他介质;检查服务器日志,是否存在未经授权的访问,并确定是什么原因导致此访问;询问IT灾难恢复计划是冷系统还是热系统;(4)邮件系统安全:询问部门负责人对离职人员的邮件处理,是否要求对重要邮件进行导出备份,是否要求离职人员的邮件帐号保留数月的要求;(5)门禁安全:从人力资源部门获取离职人员清单将其与系统有效账户清单进行核对,是否存在未及时注销的情况;(6)考勤安全:现场观察考勤机使用情况,是否存在代打卡行为;了解指纹考勤机无法考勤的替代办法,分析其是否可行;(7)网络安全:对重要部门比如财务、研发部门的网络进行了控制,比如禁止上网、禁止下载文件;检查电脑内是否安装防火墙
11、、杀毒软件,更新是否及时;检查防火墙或杀毒软件集中日志,是否存在异常事项,确定异常事项是否为非授权范围内操作引起;统计统计外部网络使用者清单,核对计算机应用权限申请,确定是否存在未授权使用网络的情况;(8)电脑使用安全:检查电脑是否禁止了admin权限来禁止安装相关软件;检查电脑上是否安装了未授权使用的软件;检查在操作人员离开电脑后,系统是否自动锁屏;关键部门的电脑是否使用了加密软件,对于数据的外传、USB端口、串行端口进行了控制;(9)公共盘安全:检查重要(如财务部)公共文件夹的安全性,是否存在未经授权人员可访问相应数据,确定是否有输入、输出权限;检查各重要(如财务部)公共文件夹内容是否设置读、写密码保护,是否存在未经授权人员写入权限;(10)系统培训:检蛰培训记录,了解系统的培训情况;向公司内人员询问对信息系统使用的盲点,将盲点与培训课程进行核对,确定培训课程设置是否合理。(二)审计事项确认1.项目组讨论、修改、确认。2.与公司管理层沟通确认。三、审计报告1 .报告撰写2 .项目组报告确认
免费区 