IT審計計劃及資料清單模版

1、信息系統(tǒng)審計計劃、審計范圍內(nèi)的信息系統(tǒng)二、工作范圍以下提綱概括了我們在IT審計涉及的工作范圍。希望貴公司相關(guān)部門配合審計人員進(jìn)行信息系統(tǒng)審計，包括訪談、執(zhí)行系統(tǒng)測試（穿行測試、控制測試），及相關(guān)審計文檔的獲取。公司層面信息技術(shù)控制審計我們將與貴行信息科技部相關(guān)負(fù)責(zé)人了解貴公司在公司層面信息技術(shù)整體控制的情況，并審閱有關(guān)控制存在的支持性文檔，審核范圍包括：控制環(huán)境（包括IT戰(zhàn)略規(guī)劃、組織架構(gòu)、人員配備、制度建設(shè)等）風(fēng)險評估（包括IT風(fēng)險的識別、評估和應(yīng)對）信息與溝通（包括業(yè)務(wù)與IT部門的溝通機(jī)制）監(jiān)控（包括IT部門及人員績效考核）信息技術(shù)一般性控制審計我們將通過訪談和審閱相關(guān)文檔的方式了解和確認(rèn)

2、貴公司信息技術(shù)一般性控制層面的流程及內(nèi)部控制情況。此外，我們還將通過抽樣測試的方式檢查相關(guān)控制執(zhí)行的有效性。審核范圍包括信息系統(tǒng)開發(fā)、信息系統(tǒng)變更、信息系統(tǒng)運(yùn)行維護(hù)和信息安全等方面。涉及上述控制的IT流程包括：系統(tǒng)開發(fā)和數(shù)據(jù)轉(zhuǎn)換流程程序變更流程配置變更流程IT基礎(chǔ)架構(gòu)變更流程數(shù)據(jù)修改流程用戶賬號及權(quán)限管理流程（包括用戶賬號的創(chuàng)建、權(quán)限的修改和刪除、對超級用戶的管理和監(jiān)控、用戶定期權(quán)限審閱、用戶口令設(shè)置等）機(jī)房物理安全管理流程網(wǎng)絡(luò)安全管理流程遠(yuǎn)程訪問管理流程防病毒管理流程備份和恢復(fù)流程災(zāi)難恢復(fù)計劃和業(yè)務(wù)可持續(xù)性計劃流程問題和突發(fā)事件的管理流程批處理管理流程第三方服務(wù)商管理三、審計所需資料清單為協(xié)

3、助我們的工作，請貴公司于審計前準(zhǔn)備以下基本文檔以便我們參考及審閱：序號文件資料清單狀態(tài)信息技術(shù)一般性控制審計1.2016及2017年審計范圍內(nèi)系統(tǒng)程序變更清單，審計人員將在現(xiàn)場抽取樣本并檢查相關(guān)支持文檔。包括：當(dāng)前應(yīng)用程序版本號截屏、變更申請表、測試報告、上線驗收報告、用戶手冊及培訓(xùn)計劃等，請?zhí)峁┙?jīng)過審批簽字的最終版本。如果沒有發(fā)生程序變更，請?zhí)峁┫嚓P(guān)證明文檔（系統(tǒng)最后更新日期等信息）。2.2016及2017年審計范圍內(nèi)系統(tǒng)配置變更清單及相關(guān)支持文檔。包括：申請、審批、測試、上線、驗收等。由審計人員在現(xiàn)場抽取樣本后提供即可。3.審計范圍內(nèi)系統(tǒng)的生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境主機(jī)ip地址截圖（用于

4、確認(rèn)公司對生產(chǎn)環(huán)境、開發(fā)環(huán)境和測試環(huán)境實現(xiàn)了隔離）4.審計年度內(nèi)信息系統(tǒng)關(guān)鍵系統(tǒng)用戶賬號創(chuàng)建/權(quán)限變更/刪除流程。5.2016及2017年公司的員工流動列表（包括入職、離職和崗位變動）,由人力資源部提供6.審計范圍內(nèi)系統(tǒng)當(dāng)前用戶列表，包括用戶名、使用人、創(chuàng)建日期、角色權(quán)限等內(nèi)容（包括應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫層面）7.2016及2017年審計范圍內(nèi)系統(tǒng)用戶賬號創(chuàng)建/權(quán)限變更/刪除申請表（包括應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫層面）-由審計人員在現(xiàn)場抽取樣本后提供即可8.審計范圍內(nèi)系統(tǒng)用戶口令及安全設(shè)置截屏（包括應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫層面）9.審計范圍內(nèi)系統(tǒng)超級用戶/管理員清單（包括應(yīng)用系統(tǒng)、操作系

5、統(tǒng)和數(shù)據(jù)庫層面）10.2016及2017年審計范圍內(nèi)系統(tǒng)超級用戶/管理員操作日志定期審閱記錄（包括應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫層面）11.2016及2017年審計范圍內(nèi)系統(tǒng)用戶賬號定期審閱記錄（包括應(yīng)用系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫層面）12.防病毒軟件服務(wù)器及客戶端相關(guān)設(shè)置截屏13.網(wǎng)絡(luò)安全管理制度，以及相關(guān)網(wǎng)絡(luò)拓?fù)鋱D、防火墻安全策略設(shè)置截圖14.遠(yuǎn)程訪問用戶權(quán)限清單，及2016、2017年遠(yuǎn)程訪問賬號創(chuàng)建申請及審批記錄-由審計人員在現(xiàn)場抽取樣本后提供即可15.信息安全保密制度，以及通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)清單16.2016及2017年新入職IT人員簽署的保密協(xié)議，以及與第三方服務(wù)商、外包人員簽署的保密協(xié)議17.機(jī)房、數(shù)據(jù)中心清單；機(jī)房門禁系統(tǒng)中具有進(jìn)出機(jī)房權(quán)限的人員名單；外來人員訪問機(jī)房記錄18.審計范圍內(nèi)系統(tǒng)數(shù)據(jù)的備份策略設(shè)置截屏，2016及2017年備份結(jié)果檢查記錄、備份介質(zhì)清單、備份介質(zhì)取用記錄、定期備份恢復(fù)測試記錄，異地備份策略截圖序號文件資料清單狀態(tài)19.災(zāi)難恢復(fù)計劃、業(yè)務(wù)可持續(xù)性計劃以及2016、2017年定期演練報告20.2016及2017年IT問