IT审计要求KPMG.doc

范围
所需資料、文件
要求
1
公司层面控制
IT 部门架构图、IT 人员职责说明
IT 预算、策略和年度规划(2005-2007 年)
IT 内部、IT 与业务部门、IT 与管理层之会议记录
与第三方供货商之服务协议(若 IT 服务外判)
IT 风险评估制度和报告
财务系统与其它系统间之数据流程图
IT 内部审计报告和审计发现之跟进
完整清晰的部门架构以及职员职责说明;
有完善的费用预算机制,有经过授权并正式签发的费用预算文件;有与公司战略相匹配的IT策略及每年的年度规划;
内部、与业务部门、与管理层之间的会议记录;
签订相关服务合同;
完善的风险评估机制,或引进专业风险评估机构;
提供数据流程图;
应建立内审机制并定期内审,以辅助外审,建议引进专业机构定期内审。
2
信息安全
信息安全制度、用户信息安全意识
信息技术安全规章制度
令员工充份了解信息技术安全规章制度的措施
信息安全培训记录
制定完善的安全规章制度,并采取广泛的宣传措施将该制度灌输至每位公司职员。
规章制度写入员工手册并印发,新员工入职便能了解公司要求,并做定期培训,做好培训记录。
范围
所需資料、文件
要求
物理安全
机房物理安全规章
保安设施(如门禁系统、访客记录)
1、物理要求:门禁系统、烟雾报警器(置于地板夹层或顶棚夹层)、监控、UPS、空调(接UPS)、干粉灭火器、防火防水装修材料;
2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁;
3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、密码长度8位以上、历史密码6次)、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面);
4、机房显眼处应有机房管理制度;
用户权限设定
用户系统权限的列表
用户设置不同系统权限之制度和审批等步骤
不同权限是否显示在用户申请表上
(需抽样申请表格–参见附注)
用户权限组有详细的权限定义;
完整的用户帐号增加、修改、删除审批流程;
用户帐号审批流程中应体现具体的权限选择;
范围
所需資料、文件
要求
用户设定制度
增加、更改、删除系统用户的步骤
用户部门及 IT 部门审批程序, 申请表格之处理和保存(需抽样申请表格, 可和上面的样本相同)
1、完整的用户帐号增加、修改、删除审批流程;
2、有与人力资源中心提供的入职、离职名单相匹配的用户帐号增加、删除记录;
系统密码设定
系统密码设定(应用系统层、操作系统层、网络层、数据库)
密码长度
密码最大更改日数
密码复杂性
可重用旧密码次数
锁定用户前之容许错误登录次数
1、密码长度应大于8位、应由字母和数字组成或者再区分大小写、客户端密码变更的频率应有控制(如30天强制要求变更密码);
2、错误密码登陆次数应不超过3次,且系统应用提示信息;
3、密码修改时应不允许与原密码相同的密码进行修改操作,应有历史密码控制策略;
4、对各种不同密码的变更频率及设置要求等应有完整的密码管理制度;
用户权限审阅
用户系统权限之定时审阅和复核, 及有关记录(需抽样各阶段之文件及记录–参见附注)
1、对系统用户