IT审计--业务方案设计

编制日期：索引号：审计人员审计依据审计具体内容：Sch.Act.14信息资产清单采购部、信息部、财务部1010T0121资产报废申请单/报告信息部、财务部1010T0231资产异动单/信息资产保管清单信息部1010T0342信息资产清单使用部门1010T0451资产维修/护申请单信息部1010T0561SAP账号清单使用部门1010T0671SAP账号清单信息部1010T0781账号与权限申请单、SAP账号清单信息部1010T0891SAP账号清单信息部、人力资源部1010T09IT审计--业务方案设计审计项目IT审计审计期间审计类型定期审计被审计单位信息部审计目标确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性审计范围信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、SAP项目管理内部控制制度、行业惯例计划时间底稿索引序号时间安排项目内容审计程序根据历史采购及信息部统计清单，盘点现有信息资产的完整性检查信息资产的报废、处置手续是否完整？审批权限是否完整？检查信息资产的异动、使用、保管手续是否完整？审批权限是否完整？检查信息资产的维修/维护是否合理？是否存在维修/维护申请？查核资料配合部门询问SAP系统操作人员，确定是否存在多人使用一个账号的情况？是否借用其账号给别人使用的情况？抽取部分具有SAP系统操作权限的人员账号，测试是否存在密码为空或密码过于简单（如：123456）的情况？根据SAP系统操作人员清单，核对是否存在《账号与权限申请》？审批手续是否完整？检查是否存在已离职人员的账号与权限仍然存在，是否仍然被使用？信息资产的管理账号与权限管理检查信息资产的分布合理性，确定其同比人员与信息资产比率的一致性？编制日期：索引号：审计人员审计依据审计具体内容：Sch.Act.IT审计--业务方案设计审计项目IT审计审计期间审计类型定期审计被审计单位信息部审计目标确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性审计范围信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、SAP项目管理内部控制制度、行业惯例计划时间底稿索引序号时间安排项目内容审计程序查核资料配合部门106SAP操作手册信息部1010T10114信息部1010T11122信息部、使用部门1010T12133SAP后台配置维护人员清单信息部1010T13144SAP报表开发原理信息部1010T14152数据备份计划信息部1010T15161数据备份计划、备份登记表信息部1010T16171备份清单信息部1010T17181备份数据使用记录信息部1010T18评估SAP系统操作手册的完整性，确定是否存在未涵盖的业务流程或控制缺失或控制薄弱环节？检查SAP系统中主要业务模块，确定其数据处理是否完整、准确？通过调查，确定SAP现有开发功能的完整性，是否存在未覆盖的业务模块或存在未满足相关需要的数据？SAP报表的开发程序是否完整？开发原理是否准确？程序开发与维护职能是否分离？检查是否制定信息数据的备份计划？确定备份计划（含备份内容、备份方式等）是否完整？检查《数据备份计划》的执行情况？是否按计划规定时间进行对应数据的备份？现场确认备份介质的保管是否合理？并确认备份数据的完整性？询问备份数据使用是否予以记录？如有，检查备份数据使用的合理性及审批权限的完整性？SAP专项检查SAP系统后台配置维护的权限是否合理？灾难恢复计划编制日期：索引号：审计人员审计依据审计具体内容：Sch.Act.IT审计--业务方案设计审计项目IT审计审计期间审计类型定期审计被审计单位信息部审计目标确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性审计范围信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、SAP项目管理内部控制制度、行业惯例计划时间底稿索引序号时间安排项目内容审计程序查核资料配合部门191灾难恢复计划备份数据清理记录信息部1010T19201进出机房登记表信息部1010T20211进入机房申请单信息部1010T21221机房清理日志信息部1010T22232机房设备清单信息部1010T23241信息部1010T24251信息部1010T25264授权应用程序清单信息部、使用部门1010T26272信息部1010T27282源代码修改程序信息部1010T28询问备份数据的清理程序，是否予以记录？如有，检查备份数据的清理是否合理，审批权限是否完整？确定是否存在非机房管理员进出机房的登记记录？登记记录内容是否完整？进出机房是否取得权限审批？与进出机房登记表核对是否一致？确定机房管理员是否定期对机房进行清理，是否存在灰尘等？机房设备是否汇总登记？如有，根据登记设备清单，盘点机房设备的完整性？检查机房是否有恒温、恒湿的测量仪器？如有，检查测量仪器的读数是否与规定的温湿一致？抽查部分电脑设备，是否存在未经授权的应用程序？非经授权的应用程序，是否具有特殊的审批？确定应用程序中源代码的访问权限，具有哪些人员可访问应用程序的源代码？是否经授权？中心机房管理检查机房内UPS不间断电源的运作情况，是否存在UPS不间断电源运行异常？信息安全管理源代码修改是否有明确规定？是否存在源代码的修改？如有，其修改是否经权限审批？审批层级是否完整？编制日期：索引号：审计人员审计依据审计具体内容：Sch.Act.IT审计--业务方案设计审计项目IT审计审计期间审计类型定期审计被审计单位信息部审计目标确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性审计范围信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、SAP项目管理内部控制制度、行业惯例计划时间底稿索引序号时间安排项目内容审计程序查核资料配合部门291信息部1010T29302外部网络使用者清单、计算机应用权限申请信息部1010T30311信息部1010T31321信息部1010T32332工作日志信息部1010T33342服务器日志信息部1010T34352邮件使用者清单信息部1010T35362信息部1010T363766统计外部网络使用者清单，核对计算机应用权限申请，确定是否存在未授权使用网络的情况？检查重要（如财务部）公共文件夹的安全性，是否存在未经授权人员可访问相应数据？并确定是否有输入、输出权限？检查各重要（如财务部）公共文件夹内容是否设置读、写密码保护？是否存在未经授权人员写入权限？检查防火墙或杀毒软件集中日志，是否存在异常事项？确定异常事项是否为非授权范围内操作引起？信息安全管理检查服务器日志，是否存在未经授权的访问？并确定是什么原因导致此访问？统计具有公司可外发邮件的使用者，查看是否进行邮件监控？是否存在未经授权的邮件？检查腾讯通内部收发文件的权限设置，是否存在未经授权的操作？是否明确数据库、服务器等的访问权限规定？检查相关日志，确定是否存在非授权访问？编制日期：索引号：审计人员审计依据审计具体内容：Sch.Act.IT审计--业务方案设计审计项目IT审计审计期间审计类型定期审计被审计单位信息部审计目标确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性审计范围信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、SAP项目管理内部控制制度、行业惯例计划时间底稿索引序号时间安排项目内容审计程序查核资料配合部门编制/日期：复核/日期：Remarks:1、此次IT审计仅涉及系统的执行与维护业务活动的范围，不涉及业务规划、业务开发等项目的审计。审计项目：IT审计编制日期：序号资料名称所属部门提供日期注释1SAP账号与权限申请单信息部2010/10/82电脑账号与权限申请信息部2010/10/8电脑账号、上网及其他权限3信息资产清单信息部、财务部2010/10/8含电脑、周边设备及备件、服务器4邮件使用者清单信息部2010/10/8具有内部邮件的人员名单5SAP系统使用者清单信息部2010/10/8拥有SAP操作的人员名单6SAP系统使用者权限表信息部抽样提供每一个操作人员的权限汇总7信息资产报废申请单信息部2010/10/88信息资产处置申请单信息部2010/10/8含变卖、赠予等9信息资产移交单/异动单信息部2010/10/810信息资产维修/护申请单信息部2010/10/8内、外部维修11SAP操作手册信息部2010/10/8所有业务模块12SAP后台配置维护人员清单信息部2010/10/813SAP系统报表开发原理信息部2010/10/8所有二次开发的报表14数据备份计划信息部2010/10/915备份登记表信息部2010/10/916备份清单信息部2010/10/9备份介质与内容统计17备份数据使用记录信息部2010/10/9备份数据借用或其他业务的登记18备份清理记录信息部2010/10/9从备份介质清理数据的记录19进出机房登记表信息部2010/10/920进入机房申请单信息部2010/10/921机房清理日志信息部2010/10/9机房管理员清扫、整理记录22机房设备清单信息部2010/10/823授权应用程序清单信息部2010/10/11所有可允许使用的应用程序24源代码修改规定信息部2010/10/11管理规定25外部网络使用者清单信息部2010/10/11拥有上网权限的人员名单26服务器工作日志信息部抽样提供27防火墙、杀毒软件工作日志信息部抽样提供备注：1、以上资料以截至审计之日的数据明细。审计查核清单