信息系统审计方案.xlsVIP

审计查核清单 业务方案 审计业务方案 索引号： 审计项目 审计期间 审计类型 被审计单位 审计目标 审计人员 审计范围 审计依据 审计具体内容： 序号 时间安排 项目内容 审计程序 查核资料 配合部门 计划时间 底稿索引 Sch. Act. 使用部门 编制/日期： 复核/日期： IT审计 信息部 确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性 定期审计 编制日期：2010年9月1日 信息资产的管理 账号与权限管理 询问SAP系统操作人员，确定是否存在多人使用一个账号的情况？是否借用其账号给别人使用的情况？ 抽取部分具有SAP系统操作权限的人员账号，测试是否存在密码为空或密码过于简单（如：123456）的情况？ 信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、SAP项目管理 SAP账号清单 根据历史采购及信息部统计清单，盘点现有信息资产的完整性 检查信息资产的报废、处置手续是否完整？审批权限是否完整？ 资产报废申请单/报告 信息资产清单 检查信息资产的异动、使用、保管手续是否完整？审批权限是否完整？ 检查信息资产的维修/维护是否合理？是否存在维修/维护申请？ 资产维修/护申请单 资产异动单/信息资产保管清单 根据SAP系统操作人员清单，核对是否存在《账号与权限申请》？审批手续是否完整？ 检查是否存在已离职人员的账号与权限仍然存在，是否仍然被使用？ 账号与权限申请单、SAP账号清单 SAP专项 评估SAP系统操作手册的完整性，确定是否存在未涵盖的业务流程或控制缺失或控制薄弱环节？ SAP操作手册 检查SAP系统中主要业务模块，确定其数据处理是否完整、准确？ 通过调查，确定SAP现有开发功能的完整性，是否存在未覆盖的业务模块或存在未满足相关需要的数据？ SAP报表的开发程序是否完整？开发原理是否准确？程序开发与维护职能是否分离？ SAP报表开发原理 灾难恢复计划 数据备份计划 检查《数据备份计划》的执行情况？是否按计划规定时间进行对应数据的备份？ 数据备份计划、备份登记表 备份清单 现场确认备份介质的保管是否合理？并确认备份数据的完整性？ 检查是否制定信息数据的备份计划？确定备份计划（含备份内容、备份方式等）是否完整？ 检查SAP系统后台配置维护的权限是否合理？ SAP后台配置维护人员清单 询问备份数据使用是否予以记录？如有，检查备份数据使用的合理性及审批权限的完整性？ 备份数据使用记录 询问备份数据的清理程序，是否予以记录？如有，检查备份数据的清理是否合理，审批权限是否完整？ 备份数据清理记录 采购部、信息部、财务部 信息部、财务部 中心机房管理 确定是否存在非机房管理员进出机房的登记记录？登记记录内容是否完整？ 进出机房登记表 进出机房是否取得权限审批？与进出机房登记表核对是否一致？ 进入机房申请单 确定机房管理员是否定期对机房进行清理，是否存在灰尘等？ 机房清理日志 机房设备是否汇总登记？如有，根据登记设备清单，盘点机房设备的完整性？ 机房设备清单 检查机房是否有恒温、恒湿的测量仪器？如有，检查测量仪器的读数是否与规定的温湿一致？ 信息安全管理 授权应用程序清单 抽查部分电脑设备，是否存在未经授权的应用程序？非经授权的应用程序，是否具有特殊的审批？ 确定应用程序中源代码的访问权限，具有哪些人员可访问应用程序的源代码？是否经授权？ 源代码修改是否有明确规定？是否存在源代码的修改？如有，其修改是否经权限审批？审批层级是否完整？ 源代码修改程序 是否明确数据库、服务器等的访问权限规定？检查相关日志，确定是否存在非授权访问？ 统计外部网络使用者清单，核对计算机应用权限申请，确定是否存在未授权使用网络的情况？ 外部网络使用者清单、计算机应用权限申请 检查重要（如财务部）公共文件夹的安全性，是否存在未经授权人员可访问相应数据？并确定是否有输入、输出权限？ 检查各重要（如财务部）公共文件夹内容是否设置读、写密码保护？是否存在未经授权人员写入权限？ 检查防火墙或杀毒软件集中日志，是否存在异常事项？确定异常事项是否为非授权范围内操作引起？ 工作日志 检查服务器日志，是否存在未经授权的访问？并确定是什么原因导致此访问？ 服务器日志 统计具有公司可外发邮件的使用者，查看是否进行邮件监控？是否存在未经授权的邮件？ 邮件使用者清单 检查信息资产的分布合理性，确定其同比人员与信息资产比率的一致性？ 信息资产清单 检查机房内UPS不间断电源的运作情况，是否存在UPS不间断电源运行异常？ 信息部 信息部、人力资源部 信息部、使用部门 1010T01 1010T02 1010T03 1010T04 1010T05 1010T06 1010T07 1010T08 1010T09 1010T10 1010T11 1010T1