信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
编号:DCB2014- XXXXXX信息系统基本情况调查表 四川省软件和信息系统工程测评中心 2016年月日 共29 页第 1 页
说明 1、请提供信息系统的最新网络结构图(拓扑图)。 A、应该标识出网络设备、服务器设备和主要终端设备及其名称。 B、应该标识出服务器设备的IP地址。 C、应该标识网络区域划分等情况。 D、应该标识网络与外部的连接等情况。 E、应该能够对照网络结构图说明所有业务流程和系统组成。 (如果一张图无法表示,可以将核心部分和接入部分分别画出,或以多张图表示。) 2、请根据信息系统的网络结构图填写各类调查表。 共29 页第 2 页
XXXXXX信息系统工程网络结构图(拓扑图): 共29 页第 3 页
调查表清单 表1-1 单位基本情况 表1-2 参与人员名单 表1-3 物理环境情况 表1-4 信息系统基本情况 表1-5 承载业务(服务)情况调查 表1-6 信息系统网络结构(环境)情况调查 表1-7 外联线路及设备端口(网络边界)情况调查 表1-8 网络设备情况调查 表1-9 安全设备情况调查 表1-10 服务器设备情况调查 表1-11 终端设备情况调查 表1-12 系统软件情况调查 表1-13 应用系统软件情况调查 表1-14 业务数据情况调查 表1-15 数据备份情况调查 表1-16 应用系统软件处理流程调查 表1-17 业务数据流程调查 表1-18 管理文档情况调查 表1-19 安全威胁情况调查 共29 页第 4 页
表1-1 单位基本情况 共29 页第 5 页
表1-2 参与人员名单 共29 页第 6 页
XXXX公司内部审计管理实施细则 第一章总则 第一条为了加强和规范公司内部审计工作,明确内部审计职责,建立健全有效的内部监督体系,提高企业抗风险能力,根据《集团公司内部审计管理暂行规定》,结合公司实际,制定本细则。 第二条本细则是公司开展内部审计工作应遵循的基本规范。 第三条本细则所称内部审计,是指公司内部审计机构依照国家有关法律、法规、政策以及企业内部规章制度,运用系统化和规范化的方法,对企业经营活动进行确认和咨询工作,以独立、客观的评价和改善企业风险管理、内部控制以及治理程序和效果,增加企业价值,促进企业经营目标的实现。 第二章内部审计机构和内部审计人员 第四条公司根据企业的规模、内部治理结构的需要及国家的有关规定,设置法律审计监察部,下设审计科,设审计科长1名,内部审计员2名,造价审计员2名。 第五条法律审计监察部依据国家有关规定及企业内部规章制度开展内部审计工作,行使内部审计职能,直接对董事会(或主要负责人)负责,向董事会报告工作,并接受集团公司审计部门对内部审计工作的指导和监督。 第六条内部审计人员应具备的条件
一、熟悉相关的法律、法规、政策和公司制定的内部控制制度; 二、熟悉公司生产经营活动和有关生产、经营方面的工作程序; 三、掌握企业会计、内部审计、经营管理、工程造价、法律及其他相关专业知识,并有一定的工作经验,能熟练运用内部审计标准、工作程序和技术方法; 四、具有较强的组织协调、调查研究、综合分析、专业判断、计算机操作及文字表达能力; 五、内部审计负责人应具备上述条件外,还应具备大学本科以上文化程度或中级专业技术任职资格,具有从事内部审计、企业会计、工程技术、法律、经营管理等工作5年以上经历,并具备一定的领导能力和管理能力。 第三章内部审计的主要职责 第七条法律审计监察部根据国家有关规定和公司内部管理需要,履行以下主要职责: 一、参与研究、审阅公司有关规章制度和工作流程;制定和修订内部审计工作制度,编制内部审计工作计划,检查内部审计工作质量,总结内部审计工作情况。 二、参与组织公司内部控制体系建设工作,对公司内部控制体系的健全性、合理性和有效性进行检查,对公司有关业务的经营风险进行评估。 三、参与公司对主要存货的定期盘点和工程项目、设备安装关键
信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南: 信息系统审计指南G5,审计章程 COBIT 框架,监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。 信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: –根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及 实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
信息系统调查表 填报单位:分管领导:联系人:联系人电话:
自建系统调查表填报单位:
网络情况调查表填报单位:
填表规则 1、信息系统调查表 使用功能是指本部门使用该系统中的主要功能有哪些。 使用部门及使用该系统的电脑数量精确统计到本二级单位及其所有下属单位科室。 2、自建系统调查表 运行/升级时间涵盖了系统首次运行时间及后续的升级改造时间。行数不够请自行增加行数。 版本号规则请参照附件:武汉市自来水有限公司信息系统版本号规范标准. 3、网络情况调查表 部门精确到三、四级单位。 联网方式中内网指集团公司内网,外网指宽带互联网。 用途是指用于公司内部信息系统还是办公用途。 运营商有武汉有线、移动、电信等。 4、如备注文字较多,可另附页进行说明。
附件: 武汉市自来水有限公司信息系统版本号规范标准(建议) 为加强武汉市自来水有限公司信息标准化管理,规范信息系统开发升级流程,实现对各信息系统统一版本控制,特制定武汉市自来水有限公司信息系统版本号规范标准。 软件版本号命名规范 软件版本号按如下格式命名,<主版本号>.<次版本号>.[修正版本号] 软件版本号由三部分组成,均由数字型字符构成,各部分所代表含义如下。 主版本号:该版本号最初从1开始命名。当该信息系统框架结构发生重大变化时,需对该版本号进行修改,一般将该版本号加1。 次版本号:该版本号最初从0开始命名。当该信息系统功能模块有增加一个重大变化时(一般涉及到开发合同的签订和软件的开发测试验收等),需对该版本号进行修改,一般将该版本号加1。 修正版本号:仅在各个系统中显示,该版本号由软件修改日期及顺序号构成,其中软件修改日期为8位数字,顺序号为2位数字。当日常对软件小漏洞进行修复或是软件上进行小的变动时,需对该版本号进行修改。
企业审计工作制度 □总则 第一条为了充分发挥审计工作,提高企业管理水平,根据国务院审计署(1985)审研字217号文《关于内部审计工作的若干规定》,结合我厂的具体情况,特制定本规定,作为审计工作的依据。 第二条根据国家的方针政策、财政法规和我厂的方针目标、规章制度、对全厂的财务收支及其经济活动的真实性、合理性和效益性,进行系统地审计监督,以达到堵塞漏洞、完善制度、改进管理、提高经济效益的目的。 □任务和范围 第三条审计工作的任务是:确保国家有关财经政策、法令制度以及财经纪律在工厂的正确贯彻执行,保护国家财产,强化企业管理,为提高经济效益服务. 第四条审计工作的范围: (一)厂部及各单位的方针目标的可行性; (二)基建扩改工程、产品设计和工艺改革方案的可行性及效益性; (三)专项工程和大、中修项目的计划,概算、预算和决算的合理性,合法性; (四)财务收支、专项贷款等计划的编制及执行情况; (五)固定资产报废的合理性; (六)材料采购和产品销售以外的合同是否合理合法; (七)厂部及单位的财务收支、经济往来、会计报表的真实性和合法性(八)确定离任或改任的经济责任情况;
(九)制定或参与研究制定工厂有关规章制度及检查其执行情况; (十)办理审计委员会和上级审计机关交办的其他事项,配合上级审计机关对本单位进行审计。 □机构 第五条成立厂审计委员会,并逐步完善专业审计为主、兼职审计为辅的内部审计体系。审计委员会由厂长、总会计师、总工程师、总经济师、纪委书记等人组成.厂长任主任,总会计师任副主任.其主要任务是加强对审计工作的行政领导和业务指导,对涉及到财务、基建、工程技术等方面比较复杂的审计项目进行研究处理. 第六条审计室是在审计委员会直接领导下的日常办事机构.它依照本规定运用法律、强制手段,对全厂各单位的财务收支和各项经济活动进行审计监督,对审计委员会负责并报告工作. 第七条根据审计工作的特点和我厂的情况,聘请若干名有财务、工程技术、设备管理等方面特长的基层职工为兼职审计员。其主要任务是为审计室提供生产经营管理等方面的信息,协助审计室对本单位的审计和交流审计工作经验。 第八条根据审计工作的需要,经过厂长或厂长授权人批准,可聘请临时审计员,参与某项审计工作. 第九条审计室在业务上受上级审计机关的指导,并向其报告工作。 □职权 第十条审计工作的主要职权: (一)有权调审或就地审查各经济单位的会计凭证、帐簿、决算及分配方案,查
第一章总则 第一条为避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息系统信息安全管理符合互联网借贷信息安全管理要求,特制订本制度。 第二条本规定适用于()部。 第二章xx 第三条安全检查包括技术部的自查和信息安全工作小组定期执行的安全检查。 第四条技术部的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况。自查应至少一个季度组织一次。 第五条技术部执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和各部门自查结果抽查等。安全检查应至少一年组织一次。 第六条自查和安全检查均应在检查之前形成检查表。 第七条应严格按照检查表实施检查,检查完毕,记录下所有检查结果。 第八条应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。 第九条系统建设和运维人员应阅读并理解安全检查报告,在信息安全工作小组的指导下对出现的问题进行整改。 第十条信息安全工作小组应对整改过程进行监督,并将整改结果报送信息安全领导小组。 第三章安全审计
第十一条安全审计作为整体审计工作的一个部份,依据审计工作相关管理办法开展安全审计工作。 第十二条安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以审计小组培养自身独立的安全审计人员为主,其他手段为辅: 1、由()部审计小组独立完成,应使用具备相应技能的人员完成审计工作; 2、由()部完成,()部应指派熟悉技术的人员配合安全部完成审计工作。 3、聘请外部专业安全审计单位完成审计工作。 第十三条安全审计的内容主要包括: 1、相关法律法规的符合情况; 2、管理部门的相关管理要求的符合情况; 3、现有安全技术措施的有效性; 4、安全配置与安全策略的一致性; 5、安全管理制度的执行情况; 6、安全检查和自查的检查结果及检查报告; 7、xx信息是否完整记录; 8、各类重要记录是否免受损失、破坏或伪造篡改; 9、检查系统是否存在漏洞; 10、检查数据是否具备安全保障措施。 第十四条安全审计工作应具有独立性,避免有舞弊的情况发生。 第十五条安全审计的方式分为:
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
一、企业审计工作制度 □ 总则 第一条为了充分发挥审计工作,提高企业管理水平,根据国务院审计署(1985)审研字217号文《关于内部审计工作的若干规定》,结合我厂的具体情况,特制定本规定,作为审计工作的依据。 第二条根据国家的方针政策、财政法规和我厂的方针目标、规章制度、对全厂的财务收支及其经济活动的真实性、合理性和效益性,进行系统地审计监督,以达到堵塞漏洞、完善制度、改进管理、提高经济效益的目的。 □ 任务和范围 第三条审计工作的任务是:确保国家有关财经政策、法令制度以及财经纪律在工厂的正确贯彻执行,保护国家财产,强化企业管理,为提高经济效益服务。 第四条审计工作的范围: (一)厂部及各单位的方针目标的可行性; (二)基建扩改工程、产品设计和工艺改革方案的可行性及效益性; (三)专项工程和大、中修项目的计划,概算、预算和决算的合理性,合法性; (四)财务收支、专项贷款等计划的编制及执行情况; (五)固定资产报废的合理性; (六)材料采购和产品销售以外的合同是否合理合法; (七)厂部及单位的财务收支、经济往来、会计报表的真实性和合法性; (八)确定离任或改任的经济责任情况; (九)制定或参与研究制定工厂有关规章制度及检查其执行情况; (十)办理审计委员会和上级审计机关交办的其他事项,配合上级审计机关对本单位进行审计。
□ 机构 第五条成立厂审计委员会,并逐步完善专业审计为主、兼职审计为辅的内部审计体系。审计委员会由厂长、总会计师、总工程师、总经济师、纪委书记等人组成。厂长任主任,总会计师任副主任。其主要任务是加强对审计工作的行政领导和业务指导,对涉及到财务、基建、工程技术等方面比较复杂的审计项目进行研究处理。 第六条审计室是在审计委员会直接领导下的日常办事机构。它依照本规定运用法律、强制手段,对全厂各单位的财务收支和各项经济活动进行审计监督,对审计委员会负责并报告工作。 第七条根据审计工作的特点和我厂的情况,聘请若干名有财务、工程技术、设备管理等方面特长的基层职工为兼职审计员。其主要任务是为审计室提供生产经营管理等方面的信息,协助审计室对本单位的审计和交流审计工作经验。 第八条根据审计工作的需要,经过厂长或厂长授权人批准,可聘请临时审计员,参与某项审计工作。 第九条审计室在业务上受上级审计机关的指导,并向其报告工作。 □ 职权 第十条审计工作的主要职权: (一)有权调审或就地审查各经济单位的会计凭证、帐簿、决算及分配方案,查询有关的文件、工艺设计图纸和资料; (二)有权参加有关的会计; (三)有权向有关单位和人员进行调查,并索取证明材料; (四)有权提出制止、纠正和处理违反财经法纪和严重失职等事项的意见; (五)对阻挠、拒绝和破坏审计工作的,经厂长批准,有权采取封存其帐册和冻结资金等临时措施,必要时,提出追究有关人员责任的建议;
装饰公司客户调查表 尊敬的客户,您好! 为了准确把握您需要的设计风格,满足您的家居功能要求,为您提供尽量完善的服务,我们的设计师应当对您家庭的基本资料、您的喜好、您的生活习惯等有所了解。我们会充分尊重您的隐私。充分了解您,才能满足您的要求,请您理解。非常感谢您的密切配合!我们会精心测量房间的每一部分尺寸,同时记录您的意见与要求,为完整家居设计方案提供准确的依据。 一、基础信息篇: 客户姓名:联系电话:E---MAIL: 测量地址: 实际量房时间:年月日时分至时分 预计装修时间:年月日 预计装修总费用:元 居室面积(建筑面积):平方 居室种类:□平层□错层□跃层□复式□别墅□其他 二、个性记录篇: 1、您的年龄: □20—25 □25—35 □35—45 □45岁以上 2、您的学历: □本科以下□本科以上 3、您的职业: □经商□公务员□高层管理□医生 □教师□艺术家□其他 4、您从事的行业: □IT □电讯□贸易□服装 □鞋业□房地产□媒体□其他 5、您的居室成员: □父母□夫妻□女儿□儿子 □孙子□孙女□其他 6、您的孩子年龄: □1—3岁□4—6岁□7—9岁□10—13岁 □14—18岁□18岁以上 7、您认为最重要的日子: □您的生日□孩子的生日□结婚纪念日□其他 8、您喜欢的家居风格: □中国古典风格□欧式古典风格□现代中式风格□现代简约风格 □欧式简约风格□美式风格□田园风格□其他 9、您喜欢的的生日陈设品: 摆设类:□雕塑□玩具□酒杯□花瓶□其他 壁饰类:□工艺美术品□各类书画作品□图片摄影□其他 10、您喜欢: □陶器□玉器□木制品□玻璃制品□瓷器□其他 11、您喜欢哪类画
信息系统审计工作 今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。 因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面: 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性; 2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3) 3.它的内容是搜集和评估审计证据; 4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时,需要考虑如下因素: ?系统的复杂性; ?业务的本质; ?财务审计团队的技能和知识; ?系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计
内蒙古蒙西高新技术集团有限公司文件 INNER MONGOLIA MENGXI HIGH-TECH GROUP C O., LTD. 蒙西集司发[2002]96号签发人:孙建国 关于印发蒙西高新技术集团公司 审计管理有关制度的通知 集团各成员企业、工业园管理办、公司各职能部门: 现将蒙西高新技术集团公司审计管理有关制度印发给你们,请遵照执行。 特此通知 内蒙古蒙西高新技术集团有限公司主题词:制度建设审计管理通知 发送:总裁、副总裁、总裁助理,党委书记、副书记、党委委员,监事会主席、工会主席 集团公司党政工作部 2002年8月28日发送 共发34份 蒙西高新技术集团 公司内部审计条例 第一条为了加强集团公司内部审计监督,保证内部审计人员充分行使权利,使审计工作制度化、规范化,发挥内部审计在加强企业管理、提高经济效益中的作用,依据《中华人民共和国
审计法》和有关法律、法规,结合集团公司实际,制定本条例。 第二条集团公司设立审计部负责集团公司本部及集团公司控股和相对控股子公司的内部审计工作。 审计部受集团公司总裁领导,日常工作由集团公司常务副总裁分管。审计部独立行使职权,不受其他部门和个人的干涉。 第三条审计部依法对集团公司本部及集团公司控股和相对控股子公司的财务收支及经营管理活动进行检查和评价。 第四条审计部接受上级政府审计机构中内部审计师协会的管理、指导和监督。 第五条审计部设审计部部长、副部长、经营主审、工程主审、经营一审、工程一审、助审等岗位。 第六条审计部的审计人员应具有大专以上学历,具有中级以上的专业技术职称,具有在财会、经济、工程技术等某一方面专业特长和上述岗位三年以上实践经验。 审计部负责人应具有审计师以上专业技术资格,或者从事内部审计工作或相关的经济工作五年以上经历。 第七条审计部对集团公司本部及集团公司控股和相对控股子公司的下列事项进行审计: (一)财务收支情况; (二)经济效益; (三)内部控制制度; (四)经济责任; (五)建设项目预(概)算、决算;
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
信息系统基本情况调查表 XXXX 25
安全需求调查表 被检测信息系统名称: 填表人/部门: 填表日期: 1、被检测信息系统的安全利益主体属以下哪种系统类型? A、党政机关 B、国家重要行业和重要基础设施的企事业单位 C、一般企事业单位 D、其它系统类型,______________________ 2、被检测信息系统内处理的主要信息属于以下哪种信息类别? A、国家秘密信息 B、非密敏感信息(法人和其他组织及公民的专有信息) C、公开信息 D、其它信息类型,_______________________ 3、被检测信息系统被破坏后将可能对以下哪种范畴造成较大安全影响? A、国家安全利益范畴 25
B、国家经济建设、社会秩序或公共利益范畴 C、单位自身利益 D、其它范畴,__________________________ 4、被检测信息系统的主要服务范围、业务范围与下列哪种选择最接近? A、对外服务,且服务覆盖全国范围 B、对外服务,且服务覆盖省级范围 C、对内服务,或对外服务覆盖市、县级以下范围 D、其他范围,_______________________ 5、对于系统内的主要业务处理过程,被检测信息系统实现的自动化程度与下列哪种选择最接近? A、业务处理流程完全依赖信息系统,手工方式无法完成 B、业务处理流程的部分环节可以通过手工方式或其他方式替代完成 C、整个业务处理流程可以通过手工方式或其他方式完成 6、如果被检测系统内的数据被非授权泄漏或修改,会对被检测系统造成何种损失? A、很严重损失 B、严重损失 C、部分损失 25
D、轻微损失 7、正常业务处理过程的未预期中断时间达到下列哪种情况时,会受到单位管理层的关注? A、中断3小时以下 B、中断8小时 C、中断24小时 D、中断3天 E、中断7天 F、中断10天以上 G、其它,_______________ 8、请选择被检测系统的指定恢复时间目标(RTO)。RTO定义为从业务处理过程的未预期中断到业务恢复到某个低服务等级的时间间隔。 A、2小时 B、8小时 C、24小时 D、3天 E、7天 F、10天以上 G、其它,_______________ 25
某某企业股份公司定期审计制度 1. 目的 为完善内部审计制度体系,规范定期审计工作。 2. 职责 2.1 审计人员根据本制度规定开展定期审计工作。 2.2 审计室负责本制度的解释、修订和发布。 3. 范围 本制度适用于 xx 企业股份有限公司及所属各分公司。 4. 方法和过程控制 4.1 定期审计是指根据《xx企业股份有限公司内部审计条例》(VKSJ08-01)和本制度的要求, 审计室对集团所属公司或项目进行审计的最低频度。 4.2 定期审计的主要类型有:内部控制审计、年度财务决算审计、绩效审计、房地产项目决 算审计等。 4.3 定期审计周期一般为: A. 内部控制审计、绩效审计、年度财务决算审计每两年应进行一次; B. 房地产项目决算审计在项目决算完成后应及时进行; C. 二级公司第一负责人离任时必须进行离任审计。 4.4 对审计室的要求: 4.4.1 审计计划。审计室根据本制度规定和公司实际情况编制年度审计计划,年度审计计划报 集团主管领导审批后实施。 4.4.2 审计程序。在分析性审核工作的基础上,主审负责编制项目的具体审计工作程序,以保 证审计工作的顺利完成。 4.4.3 审计报告。审计报告力求事实清楚、内容完整、结论正确、建议得当。 4.4.4 后续审计。对已审计项目应进行跟踪分析,检查被审计单位是否按审计报告的要求进行 了必要的整改,并分析评价其整改结果。 4.5 对被审计单位的要求: 各公司应遵照《 xx 企业股份有限公司内部审计条例》的规定和《审计联络员制度》(VKSJ08-04)的要求,指定审计联络员,并做好必要的配合及协调工作,以保证审计工作的顺利进行。
2009年度审计制度 目录 审计部管理结构 审计制度 第一章总则 第一条审计目的 充分发挥审计监督职能,维护公司正常经营秩序,保护公司财产的安全和完整,保障公司健康发展,提高公司的经济效益。 第二条审计原则 (一)针对性原则:针对审计目标确定审计对象和范围,针对不同对象和范围采用适当的程序和方法进行审查的原则。(二)独立性原则:在行使审计监督时不受其它任何干涉、干扰和侵犯,坚持客观、公正,不得徇私、舞弊,保持独立行使审计监督职能的原则。 (三)客观公正性原则:根据查证的经济事实做出符合客观实际和公正的结论的原则。 (四)一致性原则:审计工作应用的资料、数据、标准和原则前后一致的原则。 (五)稳健性原则:在审计过程中对审计结果做出评价时,必须采取稳健的原则,充分考虑审计证据是否真实和完整,是否有利于公司的发展及公司利益最大化。 (六)保密性原则:审计资料是公司的重要经济情报资料,涉及公司的安全、生存和发展,审计人员必须严格遵守审计纪律,不得随意泄漏,注重审计资料的保密。 第三条审计职责 (一)负责督促和协助集团各职能部门及子公司建立健全相关的内部管理制度并监督其执行。 (二)负责对集团内部及子公司的经营活动全过程进行监督。 (三)负责对被审计单位或审计项目做出公允、合理的评价和结论,向集团董事长报告审计结果,为集团的经营决策提供资料。 第四条审计权限 (一)在集团董事长的领导下,独立行使对全集团内部经营管理工作的监督权,不受其他部门和个人的干预。 (二)依据公司管理制度的规定,对损害公司利益和违反公司规章制度的行为,行使处罚建议权。 第五条审计组织机构设置及人员配备 (一)组织机构设置 1、集团总部设置审计中心,子公司不另设审计部门,但大中型建设项目实行委派工程审计专员。 2、全集团审计工作由审计中心实行垂直管理。 (二)人员配备
第1页(共2页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序是否科学合理,是否受到恰当的控制;
第2页(共2页) 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模块结构图中,用带实心圆点的箭头表示控制信息。