| 范围 | 所需資料、文件 | 要求 | ||
| 1 | 公司层面控制 | ∙IT 部门架构图、IT 人员职责说明 ∙IT 预算、策略和年度规划 (2005—2007 年) ∙IT 内部、IT 与业务部门、IT 与管理层之会议记录 ∙与第三方供货商之服务协议 (若 IT 服务外判) ∙IT 风险评估制度和报告 ∙财务系统与其它系统间之数据流程图 ∙IT 内部审计报告和审计发现之跟进 | 1、完整清晰的部门架构以及职员职责说明; 2、有完善的费用预算机制,有经过授权并正式签发的费用预算文件;有与公司战略相匹配的IT策略及每年的年度规划; 3、内部、与业务部门、与管理层之间的会议记录; 4、签订相关服务合同; 5、完善的风险评估机制,或引进专业风险评估机构; 6、提供数据流程图; 7、应建立内审机制并定期内审,以辅助外审,建议引进专业机构定期内审。 | |
| 2 | 信息安全 | 信息安全制度、用户信息安全意识 | ∙信息技术安全规章制度 ∙令员工充份了解信息技术安全规章制度的措施 ∙信息安全培训记录 | 1、制定完善的安全规章制度,并采取广泛的宣传措施将该制度灌输至每位公司职员。 2、规章制度写入员工手册并印发,新员工入职便能了解公司要求,并做定期培训,做好培训记录. |
| 物理安全 | ∙机房物理安全规章 ∙保安设施 (如门禁系统、访客记录) | 1、物理要求:门禁系统、烟雾报警器(置于地板夹层或顶棚夹层)、监控、UPS、空调(接UPS)、干粉灭火器、防火防水装修材料; 2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁; 3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、密码长度8位以上、历史密码6次)、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面); 4、机房显眼处应有机房管理制度; | ||
| 用户权限设定 | ∙用户系统权限的列表 ∙用户设置不同系统权限之制度和审批等步骤 ∙不同权限是否显示在用户申请表上 (需抽样申请表格 – 参见附注) | 1、用户权限组有详细的权限定义; 2、完整的用户帐号增加、修改、删除审批流程; 3、用户帐号审批流程中应体现具体的权限选择; | ||
| 用户设定制度 | ∙增加、更改、删除系统用户的步骤 ∙用户部门及 IT 部门审批程序, 申请表格之处理和保存 (需抽样申请表格, 可和上面的样本相同) | 1、完整的用户帐号增加、修改、删除审批流程; 2、有与人力资源中心提供的入职、离职名单相匹配的用户帐号增加、删除记录; | ||
| 系统密码设定 | ∙系统密码设定 (应用系统层、操作系统层、网络层、数据库) ∙密码长度 ∙密码最大更改日数 ∙密码复杂性 ∙可重用旧密码次数 ∙锁定用户前之容许错误登录次数 | 1、密码长度应大于8位、应由字母和数字组成或者再区分大小写、客户端密码变更的频率应有控制(如30天强制要求变更密码); 2、错误密码登陆次数应不超过3次,且系统应用提示信息; 3、密码修改时应不允许与原密码相同的密码进行修改操作,应有历史密码控制策略; 4、对各种不同密码的变更频率及设置要求等应有完整的密码管理制度; | ||
| 用户权限审阅 | ∙用户系统权限之定时审阅和复核, 及有关记录 (需抽样各阶段之文件及记录– 参见附注) | 1、对系统用户帐号的申请及权限分配等,应有定期进行复核的操作,并有相关文档记录,且文档应由相关领当定期审阅; | ||
| 超级用户 | ∙应用系统、操作系统、数据库超级用户的申请、管理、使用审核的步骤和记录 ∙拥有超级用户的人员名单 | 1、对系统超级用户的使用应有审批授权制度,并有相匹配的流程; 2、对拥有超级用户权限的人员应严格控制; | ||
| 3 | 系统变更 | 系统变更管理 | ∙系统变更管理规章制度 ∙系统变更审批、开发、测试 (用户及 IT) 之步骤及记录 (需抽样各阶段之文件及记录– 参见附注) | 1、要求有完整的系统变更流程,流程中包括紧急变更的处理流程; 2、变更过程中应有各种表单支持,如用户申请、上级审批、开发需求、IT测试、用户测试、实施记录、用户签收等相关表单; 3、测试环境与正式业务系统环境应有严格区分,并有证据证明(可截图说明); 4、紧急变更中应体现允许时候补走流程的内容; 5、系统中应有系统变更的日志记录,以方便查询历史变更; |
| 系统变更上线 | ∙系统变更上线审批之步骤及记录 (需抽样文件及记录– 参见附注) ∙开发人员和上线人员之分工 (开发人员没有生产环境之权限) 之证明 ∙开发环境和测试环境之逻辑或物理分开之证明 | |||
| 参数变更 | ∙应用系统、操作系统、数据库系统参数变更管理规章制度 ∙系统变更审批、测试 (用户及 IT) 之步骤及记录 (需抽样各阶段之文件及记录– 参见附注) | |||
| 紧急变更 | ∙无法循正常变更流程的紧急变更管理规章制度、审批、测试 (用户及 IT) 之步骤及记录 (需抽样各阶段之文件及记录– 参见附注) | |||
| 4 | 系统开发 (如适用) | 系统开发方 | ∙系统开发方 | |
| 系统开发流程 | ∙系统开发流程 (审批、开发、测试、上线) | |||
| 数据转换 | ∙数据转换制度 (审批、测试、方案制定) | |||
| 5 | 信息技术运作 | 批处理工作 | ∙日常系统批处理工作监察 (需抽样批处理核对清单– 参见附注) | 对于批量处理的事务应有完整的流程相匹配,如需要对数据源的确认、批处理完成后数据的校对。 |
| 备份制度 | ∙系统备份制度、核对 (需抽样备份核对清单– 参见附注) | 1、完整在备份制度,包括数据备份及系统备份; 2、每天的自动备份文件应保留6天以上而不能每天自动覆盖;且要有每天的备份任务执行情况的检查记录; 3、应有多重的备份机制,如本地磁盘备份、磁带备份、光碟备份、异地备份; 4、应有完善的备用环境,如异地双机热备; 5、对备份介质应定期进行恢复测试,有相关业务部门进行确定数据的准确性,并保留相关记录,该记录要求有用户、信息部门、管理层签字确认; 6、异地备份的物理环境应同于实际业务环境,以确保实际环境发生意外时备用环境能立即切换启用; 7、对于异地备份根据区域的不同可有不同的定义,不一定要求在5公里以上的间隔距离; | ||
| ∙备份定期恢复测试制度和记录 (需抽样备份恢复测试记录– 参见附注) | ||||
| ∙异地备份制度 ∙异地备份之物理安全 (需抽样异地备份转移记录) | ||||
| 用户问题管理 | ∙用户就系统有关问题之管理制度、问题处理、问题严重性分级、上报机制、问题汇总和审核制度 (需抽样问题处理记录– 参见附注) | 1、对问题管理应有完善的机制,包括问题收集、汇总,按严重性、紧急性分级,以及上报机制。 2、问题的处理应有跟踪反馈机制,确保问题被及时有效解决。 | ||
| 6 | 最终用户应用程序管理 | ∙对与财务报告有关之重要最终用户应用程序之管理制度 (如用户编制含 Macro 等程序之 Excel, Access 等) (如适用) | 1、相关软件的使用权(即正版软件)的购买应在预算中体现,并有购买的凭证; 2、对禁止使用盗版软件应有严格规定并依此执行; | |
控制活动频率 样本抽取数量
∙每年 1
∙每季 1 + 1 (年末)
∙每月 2
∙每周 5
∙每天 15
∙多于每天 25
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
