《IT審計要求KPMG》word版

1、范圍所需資料、文件要求1公司層面控制IT 部門架構(gòu)圖、IT 人員職責(zé)說明IT 預(yù)算、策略和年度規(guī)劃 (2005-2007 年)IT 內(nèi)部、IT 與業(yè)務(wù)部門、IT 與管理層之會議記錄與第三方供貨商之服務(wù)協(xié)議 (若 IT 服務(wù)外判)IT 風(fēng)險評估制度和報告財務(wù)系統(tǒng)與其它系統(tǒng)間之?dāng)?shù)據(jù)流程圖IT 內(nèi)部審計報告和審計發(fā)現(xiàn)之跟進完整清晰的部門架構(gòu)以及職員職責(zé)說明；有完善的費用預(yù)算機制，有經(jīng)過授權(quán)并正式簽發(fā)的費用預(yù)算文件；有與公司戰(zhàn)略相匹配的IT策略及每年的年度規(guī)劃；內(nèi)部、與業(yè)務(wù)部門、與管理層之間的會議記錄；簽訂相關(guān)服務(wù)合同；完善的風(fēng)險評估機制，或引進專業(yè)風(fēng)險評估機構(gòu)；提供數(shù)據(jù)流程圖；應(yīng)建立內(nèi)審機制并定期內(nèi)

2、審，以輔助外審，建議引進專業(yè)機構(gòu)定期內(nèi)審。2信息安全信息安全制度、用戶信息安全意識信息技術(shù)安全規(guī)章制度令員工充份了解信息技術(shù)安全規(guī)章制度的措施信息安全培訓(xùn)記錄制定完善的安全規(guī)章制度，并采取廣泛的宣傳措施將該制度灌輸至每位公司職員。規(guī)章制度寫入員工手冊并印發(fā)，新員工入職便能了解公司要求，并做定期培訓(xùn)，做好培訓(xùn)記錄。物理安全機房物理安全規(guī)章保安設(shè)施 (如門禁系統(tǒng)、訪客記錄)1、物理要求：門禁系統(tǒng)、煙霧報警器（置于地板夾層或頂棚夾層）、監(jiān)控、UPS、空調(diào)（接UPS）、干粉滅火器、防火防水裝修材料；2、機房管理：專人管理鑰匙、有訪客記錄、機柜門應(yīng)上鎖；3、服務(wù)器管理：密碼變更設(shè)置（文檔/流程/頻率）、

3、密碼策略（windows/sql用戶密碼強制策略、windows帳號鎖定策略、密碼長度8位以上、歷史密碼6次）、windows界面自動鎖定、應(yīng)急管理/流程（備用鑰匙、密碼文件密封置于機房上鎖的柜子中或密封的信封里面）；4、機房顯眼處應(yīng)有機房管理制度；用戶權(quán)限設(shè)定用戶系統(tǒng)權(quán)限的列表用戶設(shè)置不同系統(tǒng)權(quán)限之制度和審批等步驟不同權(quán)限是否顯示在用戶申請表上(需抽樣申請表格 參見附注)用戶權(quán)限組有詳細的權(quán)限定義；完整的用戶帳號增加、修改、刪除審批流程；用戶帳號審批流程中應(yīng)體現(xiàn)具體的權(quán)限選擇；用戶設(shè)定制度增加、更改、刪除系統(tǒng)用戶的步驟用戶部門及 IT 部門審批程序, 申請表格之處理和保存 (需抽樣申請表格,

4、 可和上面的樣本相同)1、完整的用戶帳號增加、修改、刪除審批流程；2、有與人力資源中心提供的入職、離職名單相匹配的用戶帳號增加、刪除記錄；系統(tǒng)密碼設(shè)定系統(tǒng)密碼設(shè)定 (應(yīng)用系統(tǒng)層、操作系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)庫)密碼長度密碼最大更改日數(shù)密碼復(fù)雜性可重用舊密碼次數(shù)鎖定用戶前之容許錯誤登錄次數(shù)1、密碼長度應(yīng)大于8位、應(yīng)由字母和數(shù)字組成或者再區(qū)分大小寫、客戶端密碼變更的頻率應(yīng)有控制（如30天強制要求變更密碼）；2、錯誤密碼登陸次數(shù)應(yīng)不超過3次，且系統(tǒng)應(yīng)用提示信息；3、密碼修改時應(yīng)不允許與原密碼相同的密碼進行修改操作，應(yīng)有歷史密碼控制策略；4、對各種不同密碼的變更頻率及設(shè)置要求等應(yīng)有完整的密碼管理制度；用戶

5、權(quán)限審閱用戶系統(tǒng)權(quán)限之定時審閱和復(fù)核, 及有關(guān)記錄 (需抽樣各階段之文件及記錄 參見附注)1、對系統(tǒng)用戶帳號的申請及權(quán)限分配等，應(yīng)有定期進行復(fù)核的操作，并有相關(guān)文檔記錄，且文檔應(yīng)由相關(guān)領(lǐng)當(dāng)定期審閱；超級用戶應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫超級用戶的申請、管理、使用審核的步驟和記錄擁有超級用戶的人員名單1、對系統(tǒng)超級用戶的使用應(yīng)有審批授權(quán)制度，并有相匹配的流程； 2、對擁有超級用戶權(quán)限的人員應(yīng)嚴(yán)格控制；3系統(tǒng)變更系統(tǒng)變更管理系統(tǒng)變更管理規(guī)章制度系統(tǒng)變更審批、開發(fā)、測試 (用戶及 IT) 之步驟及記錄 (需抽樣各階段之文件及記錄 參見附注)1、要求有完整的系統(tǒng)變更流程，流程中包括緊急變更的處理流程； 2

6、、變更過程中應(yīng)有各種表單支持，如用戶申請、上級審批、開發(fā)需求、IT測試、用戶測試、實施記錄、用戶簽收等相關(guān)表單；3、測試環(huán)境與正式業(yè)務(wù)系統(tǒng)環(huán)境應(yīng)有嚴(yán)格區(qū)分，并有證據(jù)證明（可截圖說明）； 4、緊急變更中應(yīng)體現(xiàn)允許時候補走流程的內(nèi)容； 5、系統(tǒng)中應(yīng)有系統(tǒng)變更的日志記錄，以方便查詢歷史變更；系統(tǒng)變更上線系統(tǒng)變更上線審批之步驟及記錄 (需抽樣文件及記錄 參見附注)開發(fā)人員和上線人員之分工 (開發(fā)人員沒有生產(chǎn)環(huán)境之權(quán)限) 之證明開發(fā)環(huán)境和測試環(huán)境之邏輯或物理分開之證明參數(shù)變更應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)參數(shù)變更管理規(guī)章制度系統(tǒng)變更審批、測試 (用戶及 IT) 之步驟及記錄 (需抽樣各階段之文件及記錄

7、參見附注)緊急變更無法循正常變更流程的緊急變更管理規(guī)章制度、審批、測試 (用戶及 IT) 之步驟及記錄 (需抽樣各階段之文件及記錄 參見附注)4系統(tǒng)開發(fā)(如適用)系統(tǒng)開發(fā)方法論系統(tǒng)開發(fā)方法論系統(tǒng)開發(fā)流程系統(tǒng)開發(fā)流程 (審批、開發(fā)、測試、上線)數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)轉(zhuǎn)換制度 (審批、測試、方案制定)5信息技術(shù)運作批處理工作日常系統(tǒng)批處理工作監(jiān)察 (需抽樣批處理核對清單 參見附注)對于批量處理的事務(wù)應(yīng)有完整的流程相匹配，如需要對數(shù)據(jù)源的確認(rèn)、批處理完成后數(shù)據(jù)的校對。備份制度系統(tǒng)備份制度、核對 (需抽樣備份核對清單 參見附注)1、完整在備份制度，包括數(shù)據(jù)備份及系統(tǒng)備份； 2、每天的自動備份文件應(yīng)保留6天以上而

8、不能每天自動覆蓋；且要有每天的備份任務(wù)執(zhí)行情況的檢查記錄； 3、應(yīng)有多重的備份機制，如本地磁盤備份、磁帶備份、光碟備份、異地備份； 4、應(yīng)有完善的備用環(huán)境，如異地雙機熱備； 5、對備份介質(zhì)應(yīng)定期進行恢復(fù)測試，有相關(guān)業(yè)務(wù)部門進行確定數(shù)據(jù)的準(zhǔn)確性，并保留相關(guān)記錄，該記錄要求有用戶、信息部門、管理層簽字確認(rèn)；6、異地備份的物理環(huán)境應(yīng)同于實際業(yè)務(wù)環(huán)境，以確保實際環(huán)境發(fā)生意外時備用環(huán)境能立即切換啟用； 7、對于異地備份根據(jù)區(qū)域的不同可有不同的定義，不一定要求在5公里以上的間隔距離；備份定期恢復(fù)測試制度和記錄 (需抽樣備份恢復(fù)測試記錄 參見附注)異地備份制度異地備份之物理安全 (需抽樣異地備份轉(zhuǎn)移記錄)用戶問題管理用戶就系統(tǒng)有關(guān)問題之管理制度、問題處理、問題嚴(yán)重性分級、上報機制、問題匯總和審核制度 (需抽樣問題處理記錄 參見附注)1、對問題管理應(yīng)有完善的機制，包括問題收集、匯總，按嚴(yán)重性、緊急性分級，以及上報機制。 2、問題的處理應(yīng)有跟蹤反饋機制，確保問題被及時有效解決。6最終用戶應(yīng)用程序管理對與財務(wù)報告有關(guān)之重要最終用戶應(yīng)用程序之管理制度 (如用戶編制含 Mac