《基金管理有限公司信息化与信息安全内部审计办法.doc》由会员分享,可在线阅读,更多相关《基金管理有限公司信息化与信息安全内部审计办法.doc(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、X基金管理有限公司信息化及信息安全内部审计办法第一章 总 则第一条 为加强信息技术监管,维护公司信息系统安全,提升公司信息技术管理水平,根据X基金管理有限公司信息技术管理制度X基金管理有限公司监察稽核制度等相关制度规定,制定本办法。第二条 信息化与信息安全内部审计内容包括部门审计、设备审计、软件审计、网络审计、信息系统建设项目审计、特定信息系统审计等。其中部门审计、设备审计、软件审计、网络审计为周期性审计。信息系统建设项目审计、特定信息系统审计为非周期性的临时审计。第二章 周期性审计第三条 公司每年对技术管理部和信息技术系统进行一次稽核审计。第四条 周期性审计包括信息系统相关决策程序、信息资产
2、的管理、账号与权限管理、灾难恢复计划、信息安全、机房管理、核心应用系统管理等管理内容审计。第五条 内部审计小组由公司督察长为组长,分管信息技术领导、技术管理部、财务管理部、综合管理部、监察稽核部成员组成。必要时,可聘请外部专家参与内部审计。第六条 审计项目、审计程序、核查资料及配合部门如下表:项目内容审计程序核查资料配合部门信息资产的管理根据历史采购及技术管理部统计清单,盘点现有信息资产的完整性信息资产清单综合管理部财务管理部技术管理部检查信息资产的报废、处置手续是否完整,审批权限是否完整资产报废申请单/报告综合管理部财务管理部技术管理部检查信息资产的申请、使用、保管手续是否完整,审批权限是否
3、完整资产申请单/信息资产保管清单财务管理部技术管理部检查信息资产的分布合理性,确定其同比人员与信息资产比率的一致性信息资产清单各使用部门检查信息资产的维修/维护是否合理,是否存在维修/维护申请资产维修/维护申请单技术管理部账号与权限管理询问应用系统操作人员,确定是否存在多人使用一个账号的情况;是否存在借用其账号给别人使用的情况应用账号清单各使用部门抽取部分具有应用系统操作权限的人员账号,测试是否存在密码为空或密码过于简单应用账号清单技术管理部根据应用系统操作人员清单,核对是否存在账号与权限申请表,审批手续是否完整账号与权限申请单应用账号清单技术管理部检查是否存在已离职人员的账号与权限仍然存在,
4、仍然被使用的情况应用账号清单技术管理部综合管理部应用专项评估应用系统操作手册的完整性,是否存在未涵盖的业务流程或控制缺失或控制薄弱环节应用操作手册技术管理部检查应用系统中主要业务模块,确定其数据处理是否完整、准确技术管理部确定应用系统现有开发功能的完整性,是否存在未覆盖的业务模块或存在未满足相关需要的数据技术管理部各使用部门检查应用系统后台配置维护的权限是否合理应用后台配置维护人员清单技术管理部检查应用报表的开发程序是否完整;开发原理是否准确;程序开发与维护职能是否分离应用报表开发原理技术管理部灾难恢复计划检查是否制定信息数据的备份计划;备份计划(含备份内容、备份方式等)是否完整数据备份计划技
5、术管理部检查信息数据备份计划的执行情况,是否按计划规定时间进行对应数据的备份数据备份计划备份登记表技术管理部现场确认备份介质的保管是否合理;备份数据是否完整备份清单技术管理部询问备份数据使用是否留有记录;如有,检查备份数据使用的合理性及审批权限的完整性备份数据使用记录技术管理部询问备份数据的清理程序,是否予以记录;如有,检查备份数据的清理是否合理,审批权限是否完整备份数据清理记录技术管理部中心机房管理确定是否存在非机房管理员进出机房的登记记录;登记记录内容是否完整进出机房登记表技术管理部检查进出机房人员是否取得权限审批;与进出机房登记表核对是否一致进入机房申请单技术管理部确定机房管理员是否定期
6、对机房进行清理,是否存在灰尘机房清理日志技术管理部机房设备是否汇总登记;如有,根据登记设备清单,盘点机房设备的完整性机房设备清单技术管理部检查机房内UPS不间断电源的运作情况,是否存在UPS不间断电源运行异常技术管理部检查机房是否有恒温、恒湿的测量仪器;如有,检查测量仪器的读数是否与规定的温湿一致技术管理部信息安全管理抽查部分电脑设备,是否存在未经授权的应用程序;如有,是否履行了特殊审批程序授权应用程序清单技术管理部各使用部门确定应用程序中源代码的访问权限,检查访问人员是否经必要授权技术管理部源代码修改是否有明确规定;是否存在源代码的修改;如有,其修改是否经权限审批;审批层级是否完整源代码修改
7、程序技术管理部是否明确数据库、服务器等的访问权限规定;检查相关日志,确定是否存在非授权访问技术管理部统计外部网络使用者清单,核对计算机应用权限申请,是否存在未授权使用网络的情况外部网络使用者清单、计算机应用权限申请技术管理部检查重要(如财务、人事等)公共文件夹的安全性,是否存在未经授权人员访问相应数据;并确定是否有输入、输出权限技术管理部检查各重要(如财务、人事等)公共文件夹内容是否设置读、写密码保护;是否存在未经授权人员写入权限技术管理部检查防火墙或杀毒软件集中日志,是否存在异常事项;确定异常事项是否为非授权范围内操作引起工作日志技术管理部检查服务器日志,是否存在未经授权的访问;确定是什么原
8、因导致此访问服务器日志技术管理部统计具有公司可外发邮件的使用者,查看是否进行邮件监控;是否存在未经授权的邮件邮件使用者清单技术管理部检查公司内部收发文件的权限设置,是否存在未经授权的操作技术管理部第三章 非周期性审计第七条 信息系统建设项目审计、特定信息系统审计为非周期性审计。第八条 监察稽核部每月与技术管理部负责人沟通信息技术方面的工作及正在开展或准备开展的项目。通过讨论和审查信息技术项目的实施计划,确定拟进行审计的高风险项目/系统。第九条 信息系统建设项目管理审计包括对项目的组织与管理、用户参与程度、技术和用户培训、项目计划、控制和管理、品质和预算控制、设计步骤、方法和技术、实施步骤和迁移
9、计划等方面进行评估。第十条 信息系统建设项目管理审计采用查阅项目文档的方法,通过评估文档完备程度、计划与实际工作记录的对应程度来检查评估项目管理情况。第十一条 特定信息系统运行过程审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。(一)输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施,防错、保护措施是否有效等。 (二)通信系统实施的是实际数据的传输,通信系统中
10、,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。 (三)处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,处理过程的审计主要针对数据输入系统后是否被正确处理。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。 (四)数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性等)。关键控制点有:对数据的存取控制及监视
11、是否有效,是否记录数据利用状况并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。 (五)输出审计是在实际数据的基础上进行的审计。输出审计可以对系统输出进行再控制,结合用户需求进行评价。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。 (六)运行管理审计是对人机系统中人的行为的审计。关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与
12、教育等。 第十二条 信息系统维护过程审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动进行的审计。第十三条 维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题进行修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。第四章 审计报告第十四条 完成阶段是实质性的整个信息系统审计工作的结束。主要工作有: 整理、评价执行审计业务过程中收集到的证据;复核审计底稿,审计结果初步通告技术管理部,并与技术管理部再次沟通;形成结论,汇报公司领导。第五章 附 则第十五条 本办法由总裁办公会负责解释。第十六条 本办法自发布之日起施行。7