信息系統(tǒng)審計的事例表

《信息系統(tǒng)審計的事例表》由會員分享，可在線閱讀，更多相關《信息系統(tǒng)審計的事例表（6頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、審審計計業(yè)業(yè)務務方方案案編編制制日日期期：審審計計項項目目IT審計審審計計期期間間被被審審計計單單位位信息部審審計計目目標標確保信息系統(tǒng)的可靠性、穩(wěn)定性、安全性，及數(shù)據(jù)處理的完整性、準確性審審計計范范圍圍信息資產(chǎn)的管理、賬號與權限管理、災難恢復計劃、信息安全、中心機房管理、SAP項目管理審審計計具具體體內(nèi)內(nèi)容容：序序號號時時間間安安排排項項目目內(nèi)內(nèi)容容審審計計程程序序Sch.Sch.Act.Act.14信息資產(chǎn)的管理根據(jù)歷史采購及信息部統(tǒng)計清單，盤點現(xiàn)有信息資產(chǎn)的完整性21檢查信息資產(chǎn)的報廢、處置手續(xù)是否完整？審批權限是否完整？31檢查信息資產(chǎn)的異動、使用、保管手續(xù)是否完整？審批權限是否完整？

2、42檢查信息資產(chǎn)的分布合理性，確定其同比人員與信息資產(chǎn)比率的一致性？51檢查信息資產(chǎn)的維修/維護是否合理？是否存在維修/維護申請？61賬號與權限管理詢問SAP系統(tǒng)操作人員，確定是否存在多人使用一個賬號的情況？是否借用其賬號給別人使用的情況？71抽取部分具有SAP系統(tǒng)操作權限的人員賬號，測試是否存在密碼為空或密碼過于簡單（如：123456）的情況？81根據(jù)SAP系統(tǒng)操作人員清單，核對是否存在賬號與權限申請？審批手續(xù)是否完整？91檢查是否存在已離職人員的賬號與權限仍然存在，是否仍然被使用？106SAP專項評估SAP系統(tǒng)操作手冊的完整性，確定是否存在未涵蓋的業(yè)務流程或控制缺失或控制薄弱環(huán)節(jié)？114檢

3、查SAP系統(tǒng)中主要業(yè)務模塊，確定其數(shù)據(jù)處理是否完整、準確？122通過調(diào)查，確定SAP現(xiàn)有開發(fā)功能的完整性，是否存在未覆蓋的業(yè)務模塊或存在未滿足相關需要的數(shù)據(jù)？133檢查SAP系統(tǒng)后臺配置維護的權限是否合理？144SAP報表的開發(fā)程序是否完整？開發(fā)原理是否準確？程序開發(fā)與維護職能是否分離？152災難恢復計劃檢查是否制定信息數(shù)據(jù)的備份計劃？確定備份計劃（含備份內(nèi)容、備份方式等）是否完整？161檢查數(shù)據(jù)備份計劃的執(zhí)行情況？是否按計劃規(guī)定時間進行對應數(shù)據(jù)的備份？171現(xiàn)場確認備份介質(zhì)的保管是否合理？并確認備份數(shù)據(jù)的完整性？181詢問備份數(shù)據(jù)使用是否予以記錄？如有，檢查備份數(shù)據(jù)使用的合理性及審批權限的完

4、整性？191災難恢復計劃詢問備份數(shù)據(jù)的清理程序，是否予以記錄？如有，檢查備份數(shù)據(jù)的清理是否合理，審批權限是否完整？201中心機房管理確定是否存在非機房管理員進出機房的登記記錄？登記記錄內(nèi)容是否完整？211進出機房是否取得權限審批？與進出機房登記表核對是否一致？221確定機房管理員是否定期對機房進行清理，是否存在灰塵等？232機房設備是否匯總登記？如有，根據(jù)登記設備清單，盤點機房設備的完整性？241檢查機房內(nèi)UPS不間斷電源的運作情況，是否存在UPS不間斷電源運行異常？251檢查機房是否有恒溫、恒濕的測量儀器？如有，檢查測量儀器的讀數(shù)是否與規(guī)定的溫濕一致？264信息安全管理抽查部分電腦設備，是否

5、存在未經(jīng)授權的應用程序？非經(jīng)授權的應用程序，是否具有特殊的審批？272確定應用程序中源代碼的訪問權限，具有哪些人員可訪問應用程序的源代碼？是否經(jīng)授權？282源代碼修改是否有明確規(guī)定？是否存在源代碼的修改？如有，其修改是否經(jīng)權限審批？審批層級是否完整？291信息安全管理是否明確數(shù)據(jù)庫、服務器等的訪問權限規(guī)定？檢查相關日志，確定是否存在非授權訪問？302統(tǒng)計外部網(wǎng)絡使用者清單，核對計算機應用權限申請，確定是否存在未授權使用網(wǎng)絡的情況？311檢查重要（如財務部）公共文件夾的安全性，是否存在未經(jīng)授權人員可訪問相應數(shù)據(jù)？并確定是否有輸入、輸出權限？321檢查各重要（如財務部）公共文件夾內(nèi)容是否設置讀、寫

6、密碼保護？是否存在未經(jīng)授權人員寫入權限？332檢查防火墻或殺毒軟件集中日志，是否存在異常事項？確定異常事項是否為非授權范圍內(nèi)操作引起？342檢查服務器日志，是否存在未經(jīng)授權的訪問？并確定是什么原因導致此訪問？352統(tǒng)計具有公司可外發(fā)郵件的使用者，查看是否進行郵件監(jiān)控？是否存在未經(jīng)授權的郵件？362檢查騰訊通內(nèi)部收發(fā)文件的權限設置，是否存在未經(jīng)授權的操作？376666Remarks:Remarks:1 1、此此次次ITIT審審計計僅僅涉涉及及系系統(tǒng)統(tǒng)的的執(zhí)執(zhí)行行與與維維護護業(yè)業(yè)務務活活動動的的范范圍圍，不不涉涉及及業(yè)業(yè)務務規(guī)規(guī)劃劃、業(yè)業(yè)務務開開發(fā)發(fā)等等項項目目的的審審計計。編編制制/日日期期：索

7、索引引號號：審審計計類類型型定期審計審審計計人人員員審審計計依依據(jù)據(jù)內(nèi)部控制制度、行業(yè)慣例查查核核資資料料配配合合部部門門計計劃劃時時間間底底稿稿索索引引信息資產(chǎn)清單采購部、信息部、財務部2010/10/81010T01資產(chǎn)報廢申請單/報告信息部、財務部2010/10/81010T02資產(chǎn)異動單/信息資產(chǎn)保管清單信息部2010/10/81010T03信息資產(chǎn)清單使用部門2010/10/91010T04資產(chǎn)維修/護申請單信息部2010/10/91010T05SAP賬號清單使用部門2010/10/91010T06SAP賬號清單信息部2010/10/91010T07賬號與權限申請單、SAP賬號清單信

8、息部2010/10/91010T08SAP賬號清單信息部、人力資源部2010/10/91010T09SAP操作手冊信息部2010/10/111010T10信息部2010/10/121010T11信息部、使用部門2010/10/121010T12SAP后臺配置維護人員清單信息部2010/10/131010T13SAP報表開發(fā)原理信息部2010/10/131010T14審審計計業(yè)業(yè)務務方方案案信息資產(chǎn)的管理、賬號與權限管理、災難恢復計劃、信息安全、中心機房管理、SAP項目管理數(shù)據(jù)備份計劃信息部2010/10/141010T15數(shù)據(jù)備份計劃、備份登記表信息部2010/10/141010T16備份清單

9、信息部2010/10/141010T17備份數(shù)據(jù)使用記錄信息部2010/10/141010T18備份數(shù)據(jù)清理記錄信息部2010/10/141010T19進出機房登記表信息部2010/10/131010T20進入機房申請單信息部2010/10/131010T21機房清理日志信息部2010/10/151010T22機房設備清單信息部2010/10/151010T23信息部2010/10/151010T24信息部2010/10/151010T25授權應用程序清單信息部、使用部門2010/10/161010T26信息部2010/10/161010T27源代碼修改程序信息部2010/10/161010T

10、28信息部2010/10/181010T29外部網(wǎng)絡使用者清單、計算機應用權限申請信息部2010/10/181010T30信息部2010/10/181010T31信息部2010/10/181010T32工作日志信息部2010/10/181010T33服務器日志信息部2010/10/191010T34郵件使用者清單信息部2010/10/191010T35信息部2010/10/191010T36復復核核/日日期期：Remarks:Remarks:1 1、此此次次ITIT審審計計僅僅涉涉及及系系統(tǒng)統(tǒng)的的執(zhí)執(zhí)行行與與維維護護業(yè)業(yè)務務活活動動的的范范圍圍，不不涉涉及及業(yè)業(yè)務務規(guī)規(guī)劃劃、業(yè)業(yè)務務開開發(fā)發(fā)等等項項目目的的審審計計。