中國(guó)石油信息系統(tǒng)總體控制符合性檢查培訓(xùn)

中國(guó)石油信息系統(tǒng)總體控制符合性檢查培訓(xùn)目錄第一章--背景及基礎(chǔ)知識(shí)第二章--符合性檢查工作程序第三章--如何進(jìn)行表單檢查第四章--如何編制工作底稿第五章—普遍性問(wèn)題的檢查方法公司層面控制企業(yè)道德規(guī)范公司行為方式公司組織架構(gòu)溝通流程業(yè)務(wù)活動(dòng)控制業(yè)務(wù)活動(dòng)控制財(cái)務(wù)相關(guān)應(yīng)用系統(tǒng)控制信息系統(tǒng)總體控制IT基礎(chǔ)設(shè)施數(shù)據(jù)庫(kù)操作系統(tǒng)公司層面控制業(yè)務(wù)活動(dòng)控制信息系統(tǒng)總體控制內(nèi)控項(xiàng)目組(PWC)信息系統(tǒng)應(yīng)用控制項(xiàng)目組(Deloitte)信息系統(tǒng)總體控制(GCC)項(xiàng)目組(BearingPoint)中國(guó)石油的SOx項(xiàng)目分為業(yè)務(wù)控制、應(yīng)用系統(tǒng)控制和信息系統(tǒng)總體控制三個(gè)層面的內(nèi)容SOx內(nèi)控體系包括三個(gè)層面的內(nèi)容，

目前中國(guó)石油分為三個(gè)項(xiàng)目組來(lái)完

成相關(guān)內(nèi)控體系的建設(shè)，GCC項(xiàng)目

組是其中的重要組成部分其中，GCC是內(nèi)部控制中對(duì)信息系統(tǒng)相關(guān)的總體控制系統(tǒng)控制環(huán)境：總體環(huán)境、信息與溝通、風(fēng)險(xiǎn)評(píng)估、監(jiān)控等項(xiàng)目建設(shè)管理：開(kāi)發(fā)方法論、項(xiàng)目立項(xiàng)審批、項(xiàng)目啟動(dòng)階段、項(xiàng)目需求分析、項(xiàng)目設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)實(shí)施、系統(tǒng)符合性檢查、數(shù)據(jù)移植、系統(tǒng)上線、項(xiàng)目驗(yàn)收、上線后審閱、用戶培訓(xùn)、項(xiàng)目文檔管理等變更管理：應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等系統(tǒng)日常運(yùn)作：機(jī)房環(huán)境控制、系統(tǒng)日常運(yùn)作監(jiān)控、批處理作業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問(wèn)題管理等信息安全：信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防護(hù)、外部第三方信息安全管理、信息安全事件響應(yīng)等信息系統(tǒng)總體控制信息系統(tǒng)控制環(huán)境信息安全信息系統(tǒng)日常運(yùn)作變更管理項(xiàng)目建設(shè)管理最終用戶操作最終用戶操作：最終用戶計(jì)算機(jī)操作安全制度、電子表格管理等經(jīng)過(guò)與外審及各地區(qū)公司的反復(fù)溝通，目前，已經(jīng)建立起符合內(nèi)部控制及未來(lái)外審需要的信息系統(tǒng)總體控制體系GCC控制矩陣：是針對(duì)每個(gè)控制目標(biāo)確定一個(gè)或多個(gè)控制點(diǎn)，對(duì)每個(gè)控制點(diǎn)的控制頻率、控制類(lèi)型等控制屬性進(jìn)行定義，并盡量明確其現(xiàn)行的制度文檔GCC實(shí)施辦法GCC控制矩陣測(cè)試計(jì)劃與測(cè)試方案相關(guān)表單GCC實(shí)施辦法是用于指導(dǎo)日常信息技術(shù)管理和運(yùn)營(yíng)的管理流程和具體要求GCC實(shí)施辦法GCC控制矩陣測(cè)試計(jì)劃與測(cè)試方案相關(guān)表單《實(shí)施辦法》涵蓋了IT管理和運(yùn)營(yíng)所涉及的各個(gè)方面控制環(huán)境信息技術(shù)組織人力資源管理信息溝通風(fēng)險(xiǎn)評(píng)估監(jiān)控信息安全信息安全組織邏輯安全物理安全網(wǎng)絡(luò)安全病毒防護(hù)第三方管理安全事件響應(yīng)項(xiàng)目建設(shè)管理項(xiàng)目立項(xiàng)項(xiàng)目立項(xiàng)審批商業(yè)軟件及硬件的外購(gòu)項(xiàng)目建設(shè)方法論項(xiàng)目啟動(dòng)需求分析項(xiàng)目設(shè)計(jì)系統(tǒng)開(kāi)發(fā)實(shí)施系統(tǒng)測(cè)試數(shù)據(jù)移植系統(tǒng)上線項(xiàng)目驗(yàn)收和上線后審閱項(xiàng)目管理項(xiàng)目培訓(xùn)管理項(xiàng)目文檔管理項(xiàng)目問(wèn)題管理項(xiàng)目變更管理系統(tǒng)變更日常變更緊急變更信息系統(tǒng)日常運(yùn)作機(jī)房環(huán)境控制日常監(jiān)控批處理作業(yè)管理備份與恢復(fù)問(wèn)題管理最終用戶操作最終用戶操作安全制度電子表格管理為確保GCC體系實(shí)施的統(tǒng)一性和高效率，項(xiàng)目組編制了GCC表單GCC實(shí)施辦法GCC控制矩陣測(cè)試計(jì)劃與測(cè)試方案相關(guān)表單GCC領(lǐng)域表單數(shù)量總體管理1控制環(huán)境1信息安全19項(xiàng)目建設(shè)管理1系統(tǒng)變更4信息系統(tǒng)日常運(yùn)作14最終用戶操作343合計(jì)并根據(jù)控制矩陣和實(shí)施辦法的相關(guān)要求，制定了測(cè)試計(jì)劃和測(cè)試方案GCC實(shí)施辦法GCC控制矩陣測(cè)試計(jì)劃與測(cè)試方案相關(guān)表單任務(wù)單是依據(jù)《實(shí)施辦法》中對(duì)各級(jí)部門(mén)和崗位需要完成的GCC相關(guān)工作的要求而編制任務(wù)單明確了這些崗位應(yīng)完成哪些GCC任務(wù)，并說(shuō)明了該任務(wù)的執(zhí)行頻率及需留下的證據(jù)……股份公司層面涉及：信息管理部、財(cái)務(wù)部、規(guī)劃計(jì)劃部、法律部、人事部等其它與股份公司層面類(lèi)似，編制了地區(qū)公司部門(mén)/重要崗位的GCC任務(wù)單同時(shí)，為便于各地區(qū)公司的執(zhí)行，還編制了GCC任務(wù)單，明確了各個(gè)崗位應(yīng)完成相關(guān)工作第一次測(cè)試中，項(xiàng)目組通過(guò)訪談、檢查、觀察等方式，發(fā)現(xiàn)了各地區(qū)公司目前存在的主要問(wèn)題訪談編制訪談紀(jì)要檢查文本證據(jù)系統(tǒng)實(shí)際檢查編制測(cè)試底稿補(bǔ)填表單實(shí)地觀察表單、會(huì)議紀(jì)要、相關(guān)材料等訪談紀(jì)要測(cè)試報(bào)告在測(cè)試報(bào)告中所提及的各地區(qū)公司所存在的較嚴(yán)重問(wèn)題和潛在風(fēng)險(xiǎn)也應(yīng)成為本次符合性檢查關(guān)注的重點(diǎn)下圖是對(duì)本次測(cè)試涉及的60家單位，共2580個(gè)控制點(diǎn)的測(cè)試情況匯總圖 測(cè)試結(jié)束時(shí)，該控制點(diǎn)的執(zhí)行情況達(dá)到實(shí)施辦法的要求在測(cè)試中，發(fā)現(xiàn)該控制點(diǎn)存在潛在風(fēng)險(xiǎn)在測(cè)試中發(fā)現(xiàn)該控制點(diǎn)存在較嚴(yán)重的問(wèn)題安全變更開(kāi)發(fā)運(yùn)維最終用戶操作地區(qū)公司目錄第一章--背景及基礎(chǔ)知識(shí)第二章--符合性檢查工作程序第三章--如何進(jìn)行表單檢查第四章--如何編制工作底稿第五章—普遍性問(wèn)題的檢查方法符合性檢查是對(duì)目前內(nèi)控體系執(zhí)行情況的符合性檢查，是管理層測(cè)試的基礎(chǔ)已經(jīng)完成的第一次測(cè)試的目的更偏重于推動(dòng)GCC規(guī)定的實(shí)施這次符合性檢查應(yīng)該嚴(yán)格地按外審的風(fēng)格進(jìn)行，一切以證據(jù)為準(zhǔn)，給出一份最真實(shí)的，能體現(xiàn)中國(guó)石油GCC現(xiàn)狀的報(bào)告，并發(fā)現(xiàn)一些存在的問(wèn)題，找出例外和漏洞，讓各公司盡早進(jìn)行整改其目的在于讓中國(guó)石油為通過(guò)外審，在最后的一段時(shí)間內(nèi)進(jìn)行有針對(duì)性的調(diào)整符合性檢查工作的程序到點(diǎn)前學(xué)習(xí)項(xiàng)目?jī)?nèi)容與符合性檢查方法與各公司聯(lián)系人進(jìn)行溝通明確時(shí)間和工作安排到點(diǎn)后按每個(gè)公司的具體情況對(duì)具體符合性檢查工作的執(zhí)行時(shí)間進(jìn)行小范圍調(diào)整開(kāi)始進(jìn)行符合性檢查并同時(shí)編寫(xiě)各自的工作底稿以及其他資料前往下一個(gè)符合性檢查單位繼續(xù)上述步驟結(jié)束符合性檢查回項(xiàng)目組

匯總回項(xiàng)目組統(tǒng)一進(jìn)行匯總和分析工作給出符合性檢查結(jié)論并提出整改建議編寫(xiě)符合性檢查報(bào)告到點(diǎn)前的準(zhǔn)備工作與各公司的聯(lián)系人進(jìn)行溝通讓對(duì)方了解何時(shí)開(kāi)始符合性檢查讓對(duì)方明確符合性檢查前要做哪些準(zhǔn)備工作讓對(duì)方知道本次符合性檢查的時(shí)間持續(xù)多久讓對(duì)方知道哪些人員在符合性檢查時(shí)需要在場(chǎng)與項(xiàng)目組的成員溝通統(tǒng)一符合性檢查的方法下點(diǎn)時(shí)所帶文檔資料準(zhǔn)備,包括：應(yīng)用系統(tǒng)范圍清單，范圍內(nèi)信息系統(tǒng)所在機(jī)房信息，測(cè)試文檔等其他明確需要統(tǒng)一口徑的問(wèn)題到點(diǎn)后的工作收集地區(qū)公司相關(guān)信息例如：地區(qū)公司基本信息，應(yīng)用系統(tǒng)信息，機(jī)房信息，防火墻信息，人員對(duì)照表進(jìn)行正式符合性檢查通過(guò)訪談，檢查文本證據(jù)，系統(tǒng)實(shí)際檢查，實(shí)地觀察等方法進(jìn)行實(shí)際檢查編寫(xiě)工作底稿將填寫(xiě)的測(cè)試計(jì)劃表、測(cè)試表、抽樣測(cè)試表以及相關(guān)表單和證據(jù)，及其他資料進(jìn)行收集，按要求編寫(xiě)裝訂成冊(cè)到點(diǎn)后具體符合性檢查的工作方案和操作步驟0執(zhí)行“實(shí)施辦法”的規(guī)定和要求，填寫(xiě)相關(guān)表單并將證據(jù)提交給本部門(mén)文檔管理人員統(tǒng)一歸檔123“GCC實(shí)施辦法”“GCC相關(guān)表單”所需的相關(guān)文檔測(cè)試計(jì)劃表測(cè)試表測(cè)試表抽樣測(cè)試表4根據(jù)系統(tǒng)實(shí)際情況明確樣本總體、確定樣本數(shù)量，編制測(cè)試計(jì)劃根據(jù)測(cè)試計(jì)劃表，結(jié)合地區(qū)公司實(shí)際情況，完善測(cè)試表中的“測(cè)試具體步驟”將符合性檢查結(jié)果與“不符合控制要求條件”進(jìn)行比對(duì)，分析是否存在例外情況，填寫(xiě)符合性檢查結(jié)論，更新測(cè)試計(jì)劃表執(zhí)行具體符合性檢查步驟，開(kāi)展訪談、獲得符合性檢查證據(jù)文檔，對(duì)符合性檢查證據(jù)進(jìn)行抽樣符合性檢查，檢查符合性檢查證據(jù)是否全面、完整，是否與實(shí)際一致測(cè)試表測(cè)試計(jì)劃表符合性檢查說(shuō)明樣例-步驟一1根據(jù)系統(tǒng)實(shí)際情況明確樣本總體、確定樣本數(shù)量，編制測(cè)試計(jì)劃符合性檢查說(shuō)明樣例-步驟二2根據(jù)測(cè)試計(jì)劃表，結(jié)合地區(qū)公司實(shí)際情況，完善測(cè)試表中的“測(cè)試具體步驟”符合性檢查說(shuō)明樣例-步驟三3執(zhí)行具體符合性檢查步驟，開(kāi)展訪談、獲得符合性檢查證據(jù)文檔，對(duì)符合性檢查證據(jù)進(jìn)行抽樣符合性檢查，檢查符合性檢查證據(jù)是否全面、完整，是否與實(shí)際一致符合性檢查說(shuō)明樣例-步驟四4將符合性檢查結(jié)果與“不符合控制要求條件”進(jìn)行比對(duì)，分析是否存在例外情況，填寫(xiě)符合性檢查結(jié)論，更新測(cè)試計(jì)劃表編寫(xiě)符合性檢查的工作底稿將填寫(xiě)的測(cè)試計(jì)劃表，測(cè)試表和抽樣測(cè)試表以及相關(guān)表單與證據(jù)及其他資料進(jìn)行收集，按要求編寫(xiě)裝訂成冊(cè)表單、會(huì)議紀(jì)要、相關(guān)材料等工作底稿符合性檢查的匯總工作對(duì)各單位的符合性檢查情況進(jìn)行匯總并分析匯總所有地區(qū)公司的符合性情況包括各地區(qū)公司在檢查中被發(fā)現(xiàn)的問(wèn)題等按統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行分析針對(duì)分析報(bào)告給出進(jìn)一步的整改建議編寫(xiě)相應(yīng)的整改建議寫(xiě)出符合性檢查報(bào)告根據(jù)匯總的情況、問(wèn)題以及編寫(xiě)的整改建議，編寫(xiě)符合性檢查報(bào)告目錄第一章--背景及基礎(chǔ)知識(shí)第二章--符合性檢查工作程序第三章--如何進(jìn)行表單檢查第四章--如何編制工作底稿第五章—普遍性問(wèn)題的檢查方法如何檢查表單的填寫(xiě)正確性注意表單填寫(xiě)的內(nèi)容是否完整表單的編號(hào)是否完整是否有空格是否有簽字注意表單填寫(xiě)的表單號(hào)是否符合要求填表日期的確定：如果發(fā)生一張表的空格足夠填多條記錄，而造成無(wú)法確定日期的情況，按表單的第一條記錄時(shí)間填寫(xiě)日期。序號(hào)的確定：按日期來(lái)排序，日期發(fā)生變更后，序號(hào)從頭開(kāi)始重新排列表單編號(hào)要保持唯一性，一個(gè)編號(hào)對(duì)一張表單注意簽字的筆跡以及填寫(xiě)人是否正確簽字人是否符合要求簽字的筆跡是否有前后矛盾如何檢查表單的填寫(xiě)正確性注意需要手工填寫(xiě)的內(nèi)容簽名肯定需要手工填寫(xiě)許多日志檢查等內(nèi)容都以手工填寫(xiě)為好注意表單的填寫(xiě)內(nèi)容是否符合邏輯表單敘述的內(nèi)容不符合邏輯有些表單需要填寫(xiě)多條日期，各個(gè)日期的聯(lián)系不符合邏輯注意表單填寫(xiě)的內(nèi)容與實(shí)際情況是否一致訪談了解情況檢查相關(guān)文本證據(jù)進(jìn)入系統(tǒng)實(shí)際檢查實(shí)地檢查如何檢查有相互關(guān)聯(lián)的表單特權(quán)用戶登記備案表和所有的相關(guān)要求特權(quán)用戶簽名的表格特權(quán)用戶登記備案表和眾多表格有相互關(guān)聯(lián)，因?yàn)樵S多表格的實(shí)施人，檢查人等都是特權(quán)用戶所以各大類(lèi)中眾多表單的簽字這一欄的姓名與特權(quán)用戶登記備案表應(yīng)不存在任何矛盾設(shè)備巡檢記錄表與機(jī)房出入登記表設(shè)備巡檢工作是需要進(jìn)出機(jī)房的，所以巡檢記錄表上的時(shí)間以及檢查人必須能在機(jī)房出入登記表中得到體現(xiàn)機(jī)房出入登記表和進(jìn)入機(jī)房授權(quán)人員名單的匹配機(jī)房出入登記表中授權(quán)人員進(jìn)出機(jī)房是自己簽名授權(quán)的，需要察看登記表中自己簽名授權(quán)的人員是否都在進(jìn)入機(jī)房授權(quán)人員名單中有體現(xiàn)遠(yuǎn)程登陸賬號(hào)申請(qǐng)表與遠(yuǎn)程登陸權(quán)限檢查表遠(yuǎn)程登陸權(quán)限檢查表的內(nèi)容是從系統(tǒng)實(shí)際情況出發(fā)的，需要在遠(yuǎn)程登陸賬號(hào)申請(qǐng)表中有所體現(xiàn)如何檢查有相互關(guān)聯(lián)的表單批處理作業(yè)清單，批處理作業(yè)詳細(xì)說(shuō)明書(shū)，批處理作業(yè)記錄表批處理作業(yè)清單，批處理作業(yè)詳細(xì)說(shuō)明書(shū)，批處理作業(yè)記錄表中的作業(yè)號(hào)，使用計(jì)算機(jī)以及狀態(tài)等內(nèi)容要對(duì)應(yīng)備份作業(yè)清單，備份作業(yè)詳細(xì)說(shuō)明書(shū)，備份記錄表備份作業(yè)清單，備份作業(yè)詳細(xì)說(shuō)明書(shū)，備份記錄表中的作業(yè)編號(hào)，狀態(tài)等要對(duì)應(yīng)備份恢復(fù)符合性檢查記錄表，備份恢復(fù)管理表由于兩表分別針對(duì)符合性檢查環(huán)境和生產(chǎn)環(huán)境。兩張表中步驟應(yīng)該比較相似，但是應(yīng)該有所區(qū)別信息系統(tǒng)故障處理幫助熱線支持人員聯(lián)系表，問(wèn)題記錄日志表，問(wèn)題分類(lèi)匯總月報(bào)表問(wèn)題記錄日志表中的記錄人，簽名以及問(wèn)題分類(lèi)匯總月報(bào)表中的提交人應(yīng)該都在信息系統(tǒng)故障處理幫助熱線支持人員中有所對(duì)應(yīng)。問(wèn)題記錄日志表與問(wèn)題分類(lèi)匯總月報(bào)表中的問(wèn)題數(shù)量以及解決情況應(yīng)該完全對(duì)應(yīng)。日常巡檢以及日志檢查中發(fā)現(xiàn)的問(wèn)題選擇轉(zhuǎn)問(wèn)題處理的也需要填寫(xiě)問(wèn)題記錄并匯總到月報(bào)表中如何檢查有相互關(guān)聯(lián)的表單變更統(tǒng)計(jì)表，變更申請(qǐng)表，變更實(shí)施表變更統(tǒng)計(jì)表與變更申請(qǐng)表中的變更名稱要對(duì)應(yīng)。3張表內(nèi)以及表間的填寫(xiě)日期要符合邏輯先后順序。電子表格登記表，電子表格變更申請(qǐng)表，電子表格開(kāi)發(fā)申請(qǐng)表電子表格登記表的內(nèi)容要與電子表格變更申請(qǐng)表和電子表格開(kāi)發(fā)申請(qǐng)表對(duì)應(yīng)。信息資產(chǎn)清單與機(jī)房設(shè)備清單雖然作為機(jī)房巡檢附件的機(jī)房設(shè)備清單不是統(tǒng)一表單，但是其中的內(nèi)容一定要與信息資產(chǎn)清單里的內(nèi)容相符合。目錄第一章--背景及基礎(chǔ)知識(shí)第二章--符合性檢查工作程序第三章--如何進(jìn)行表單檢查第四章--如何編制工作底稿第五章—普遍性問(wèn)題的檢查方法編制工作底稿分為收集、打印、裝訂收集資料按符合性檢查程序，通過(guò)訪談、收集書(shū)面證據(jù)、實(shí)地檢查和上機(jī)實(shí)際檢查的方法進(jìn)行符合性檢查。通過(guò)測(cè)試計(jì)劃表明確需填寫(xiě)的測(cè)試表以及需察看抽樣測(cè)試表，并獲得相關(guān)的表單以及支持表單真實(shí)性或者關(guān)鍵控制點(diǎn)的證據(jù)。通過(guò)證據(jù)驗(yàn)證表單的真實(shí)性和個(gè)別控制點(diǎn)的控制合理性，再由收集上來(lái)的表單情況填寫(xiě)抽樣測(cè)試表，匯總到測(cè)試表和測(cè)試計(jì)劃表打印打印上述所有的資料和表單，證據(jù)，并編制索引和封面等裝訂按封面，索引，資料，6大分類(lèi)分別以測(cè)試計(jì)劃表，測(cè)試表，抽樣測(cè)試表，表單，證據(jù)的順序加以裝訂（各個(gè)分類(lèi)間加一頁(yè)分割頁(yè)，每頁(yè)需要有Reference的地方標(biāo)上Reference）工作底稿由5大部分組成：工作底稿索引封面分隔頁(yè)主要內(nèi)容Reference資料：公司簡(jiǎn)介，崗位角色列表，通訊錄，符合性檢查情況分析，問(wèn)題記錄，訪談?dòng)涗洠瑫?huì)議記錄測(cè)試表，抽樣測(cè)試表，表單，其他檢查證據(jù)編制工作底稿的三個(gè)注意點(diǎn)注意一一對(duì)應(yīng)注意簽名注意Reference第一，注意要一一對(duì)應(yīng)在工作底稿中要體現(xiàn)出一套完整的從符合性檢查計(jì)劃到最后具體證據(jù)的表單證據(jù)鏈。從測(cè)試計(jì)劃表出發(fā)，通過(guò)訪談，實(shí)地檢查等方法完成測(cè)試表并收集表單和證據(jù)。測(cè)試計(jì)劃表測(cè)試表抽樣測(cè)試表表單證據(jù)需求和獲得反饋和驗(yàn)證第二，注意所有的簽名簽名的檢查方法可以用分為三步：檢查是否有簽名檢查簽名是否全比如測(cè)試表需要4人以上的簽名：被訪談人，符合性檢查人，審核人，GCC負(fù)責(zé)人檢查簽名是否正確，比如檢查筆跡是否一致和對(duì)應(yīng)的簽名人是否正確第三，注意Reference的寫(xiě)法編碼規(guī)則：測(cè)試表和抽樣測(cè)試表為一類(lèi)按[相關(guān)關(guān)鍵控制點(diǎn)編號(hào)加后綴（1）……（99）]的規(guī)則來(lái)編寫(xiě)，先編測(cè)試表的編號(hào)，后編抽樣測(cè)試表的編號(hào)，第二張開(kāi)始只需要填寫(xiě)后綴部分比如關(guān)鍵控制點(diǎn)編號(hào)為GCC-AQ-7的測(cè)試表Reference編號(hào)為GCC-AQ-7（1），（2）抽樣測(cè)試表Reference編號(hào)為（3）表單以及相關(guān)支持書(shū)面證據(jù)按[相關(guān)關(guān)鍵控制點(diǎn)編號(hào)加-0……99+后綴（1）……(99)]的規(guī)則來(lái)編寫(xiě)，順序按表單1，表單1相關(guān)證據(jù)，表單2，表單2相關(guān)證據(jù)……，每個(gè)表單以及相關(guān)證據(jù)如果超過(guò)1張，第二張開(kāi)始只需要填寫(xiě)后綴部分比如關(guān)鍵控制點(diǎn)編號(hào)為GCC-AQ-8的表單一共有3張那他們的Reference編號(hào)就分別為GCC-AQ8-01，GCC-AQ8-02，GCC-AQ8-03。如果表單以及相關(guān)的書(shū)面證據(jù)超過(guò)一張的時(shí)候就在后面加后綴（1），（2）……(99)

顏色：統(tǒng)一用紅色進(jìn)行編寫(xiě)位置：有兩種情況需要提醒可參見(jiàn)其他資料時(shí)的Reference位置在需要提醒的地方編寫(xiě)供被調(diào)用時(shí)的自身Reference編碼的位置：縱向打印的紙張：右上方橫向打印的紙張：折疊后的右上方寫(xiě)Reference的注意點(diǎn)打印工作底稿需要注意以下打印要求打印的要求所有的格子需要居中注意頁(yè)眉頁(yè)腳，在頁(yè)腳。在頁(yè)腳處加上打印時(shí)間如果是分多頁(yè)打印的表格，比如測(cè)試計(jì)劃表，那么標(biāo)題需要重復(fù)打印注意打印時(shí)的方向問(wèn)題，要分橫向，縱向進(jìn)行打印在頁(yè)腳中加時(shí)間FilePageSetup在PageSetup對(duì)話框里選Header/Footer選項(xiàng)卡點(diǎn)擊CustomFooterCustomFooter…在頁(yè)腳中加時(shí)間按下面的圖示將按鈕放到空白框內(nèi)，并做相應(yīng)的設(shè)置，使頁(yè)腳符合要求保留標(biāo)題打印FilePageSetup在PageSetup對(duì)話框里選Sheet選項(xiàng)卡按實(shí)際情況進(jìn)行配置（例子中RowstoRepeatattheTop中$1:$1是指反復(fù)在頂部打印第一行，ColumnstoRepeatattheLeft中$A:$B是指反復(fù)在左邊打印第A列和第B列）按要求進(jìn)行工作底稿的裝訂裝訂的要求：縱向裝訂注意：要求工作底稿要求縱向裝訂。所有橫向打印的資料，要求左上角對(duì)齊后，將寬出的部分逆時(shí)針折疊，與縱向的材料寬度一致。如圖所示：目錄第一章--背景及基礎(chǔ)知識(shí)第二章--符合性檢查工作程序第三章--如何進(jìn)行表單檢查第四章--如何編制工作底稿第五章—普遍性問(wèn)題的檢查方法問(wèn)題一：GIT-4.2職責(zé)分離檢查內(nèi)容檢查方法檢查該單位信息安全管理負(fù)責(zé)人是否定期（每六個(gè)月）審核本單位信息系統(tǒng)總體控制活動(dòng)的職責(zé)分離狀況，并填寫(xiě)《職責(zé)分離檢查表》，是否將不符情況報(bào)相關(guān)負(fù)責(zé)人。包括：應(yīng)用系統(tǒng)管理員與操作系統(tǒng)管理員是否分離；應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫(kù)系統(tǒng)管理員是否分離；業(yè)務(wù)系統(tǒng)使用人員與系統(tǒng)管理人員是否分離；信息系統(tǒng)管理活動(dòng)的操作者與授權(quán)者是否分離；系統(tǒng)程序開(kāi)發(fā)人員與系統(tǒng)使用人員是否分離；系統(tǒng)程序開(kāi)發(fā)人員與系統(tǒng)管理人員是否分離訪談信息安全管理負(fù)責(zé)人，了解該單位信息系統(tǒng)總體控制的職責(zé)分離管理情況；獲得全部《職責(zé)分離檢查表》，抽樣檢查表單是否經(jīng)過(guò)了信息安全管理負(fù)責(zé)人的審核簽字，是否記錄了例外情況；檢查納入范圍的系統(tǒng)中是否實(shí)現(xiàn)了角色分離；填寫(xiě)相關(guān)測(cè)試表單。問(wèn)題二：GIT-31電子表格檢查內(nèi)容檢查方法檢查電子表格是否存放在文件服務(wù)器受到保護(hù)的路徑目錄下，并對(duì)電子表格存放目錄權(quán)限進(jìn)行控制。訪談電子表格負(fù)責(zé)人，了解電子表格的管理情況，確定電子表格存儲(chǔ)管理的相關(guān)人員，并獲得《電子表格匯總表》；訪談這些人員，了解電子表格存儲(chǔ)管理的工作方法和流程；確定樣本數(shù)量：根據(jù)抽樣原則從《電子表格匯總表》中隨機(jī)抽取樣本；登陸文件服務(wù)器，檢查抽取的樣本表格存放的目錄屬性及是否設(shè)置了權(quán)限控制。電子表格范圍及負(fù)責(zé)人尚未確定，電子表格控制還有大量的工作未完成問(wèn)題二：GIT-31電子表格（續(xù)）檢查內(nèi)容檢查方法檢查重要和一般電子表格的變更是否嚴(yán)格遵循申請(qǐng)、授權(quán)、測(cè)試和批準(zhǔn)的完整過(guò)程。訪談電子表格負(fù)責(zé)人，了解電子表格變更管理情況，確定電子表格變更管理中涉及的相關(guān)人員，獲得《電子表格匯總表》；訪談這些人員，了解電子表格變更完整過(guò)程；確定樣本總體：統(tǒng)計(jì)所有《電子表格匯總表》包含的電子表格全年共發(fā)生了多少次變更活動(dòng)，作為樣本總體；確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本，獲得《電子表格變更申請(qǐng)表》、《電子表格登記表》及相關(guān)的過(guò)程文檔；檢查申請(qǐng)表內(nèi)容的填寫(xiě)是否符合要求，是否有電子表格負(fù)責(zé)人的審批簽字；檢查變更測(cè)試文檔是否經(jīng)過(guò)用戶簽字確認(rèn)檢查登記表是否及時(shí)進(jìn)行了更新，是否能夠?qū)?yīng)到相應(yīng)的申請(qǐng)表。問(wèn)題二：GIT-31電子表格（續(xù)）檢查內(nèi)容檢查方法檢查重要電子表格是否定期備份，模板的備份存放在文件服務(wù)器指定的文件夾中，數(shù)據(jù)備份由用戶各自進(jìn)行，根據(jù)使用的頻率決定備份的周期。每年對(duì)重要電子表格進(jìn)行存檔，將其存入獨(dú)立的存儲(chǔ)介質(zhì)，并設(shè)置為只讀模式。訪談電子表格負(fù)責(zé)人，了解電子表格的備份管理情況，確定電子表格備份工作涉及的相關(guān)人員，并獲得《電子表格匯總表；訪談這