IT一般控制检查点

IT一般控制检查点

1. 公司的组织结构

a. IT部门的组织机构图（请注明人数及主管姓名）、各主要岗位的职责描述

b. 网络拓扑图

c. IT规划

d. IT计划

e. IT预算

f. IT可用性和容量监督

2. 公司的IT系统

a. 各系统的名称和版本

b. 各系统的功能

c. 各系统的管理员或者负责人

d. 各系统的来源，自主开发还是外购

e. 各系统所用的操作系统和数据库

f. 各系统所用的服务器类型

g. 使用各系统的部门

3. 公司的IT政策制度

a. 网络安全管理制度

b. 个人计算机安全管理制度

c. 网络接入权限管理（如Internet，域，VPN等）

d. 应用系统权限管理制度

e. 应用程序的安全设置，如密码策略等

f. 应用系统开发管理制度

g. 机房管理制度

h. 病毒防治

i. 备份策略

j. 灾难恢复计划（DRP）和业务持续性计划（BCP）

k. IT系统运行监控

l. 紧急情况处理流程

m. 软硬件采购流程

n. 系统内部审计制度

4. 公司的IT记录表单

a. 网络接入权限申请单

b. 各应用系统的权限申请单

c. 应用程序开发需求申请单

d. 机房出入登记

e. 系统监控报告

5. 公司内部的IT管理

a. IT培训

b. IT日常支持

c. IT日常巡检（如硬件巡检，系统巡检，网络巡检）

d. IT日常监控（如硬件监控，系统监控，网络监控，病毒监控）

e. IT异常情况处理和报告

f. 公司内部的IT服务SLA

6. 批处理作业管理

a. 批处理作业的名称、频率、作用和上次修改日期

b. 批处理作业运行日志

c. 批处理作业运行的日常监督

d. 批处理作业的修改权限设置

e. 修改批处理作业的审批记录

7. 备份管理

a. 备份策略，即备份工具、频率、内容、介质等内容

b. 备份日志

c. 备份结果的定期检查

d. 备份的恢复性测试

e. 备份介质管理，比如标签等

f. 异地备份

8. 机房管理

a. 机房防潮、防静电、防火、防断电、防高温等安全设施配置

b. 机房出入权限

c. 机房出入记录

9. 系统安全

a. 系统用户清单，包括ID、使用者、使用者职务、上次登录时间、上次密码修改时间

b. 用户权限申请流程和文档

c. 用户离职清单、离职账号回收流程

d. 用户账号和权限定期审阅流程

e. 系统管理员和超级用户的设置

f. 系统中能够分配权限的用户设置

g. 系统共享账号设置

h. 系统中测试账号或临时账号设置

i. 系统的默认账号和默认密码

j. 系统的密码策略

k. 用户的初始密码设置和强制修改初始密码功能

l. 系统的日志功能

m. 系统日志的定期复核

10. 域和网络管理

a. Windows域设置

b. 域管理员用户清单

c. 域密码策略设置

d. 域审核策略设置

e. 域信任策略设置

f. VPN用户清单

g. VPN用户账号申请文档

h. 防火墙账号权限清单及其使用者

i. 网段设置

11. 防病毒管理

a. 杀毒软件的名称

b. 杀毒软件的病毒定义版本

c. 杀毒软件的查杀毒设置

d. 杀毒软件的强制安装和卸载限制

12. 公司的软件内部开发

a. 内部开发流程，包括需求申请、系统开发、更改、调试、用户验收测试、更新包的安装等等，以及开发过程中的管理规定、工作要求和相关的文档资料

b. 发布流程

c. 系统开发环境、测试环境和生产环境设置

d. 系统开发环境、测试环境的访问权限

e. 开发人员对于生产环境的访问权限

f. 系统版本及源代码控制管理

g. 系统开发变更日志

h. 批处理程序的开发、管理和维护

i. 系统接口的开发、管理和维护

13. 公司的软件外部开发

a. 软件外部开发供应商名称

b. 软件外部开发流程

c. 软件外部开发评估，测试和实施

d. 发布流程

14. 公司的第三方外包服务

a. 应用系统的外包服务商名称和其服务内容

b. 服务器的外包服务商名称和其服务内容

c. 网络的外包服务商名称和其服务内容

d. 个人电脑的外包服务商名称和其服务内容

15. SQL Server 2000

a. 身份验证模式

b. 审计功能

c. SELECT * FROM sysxlogins

d. sp_helpuser

e. sp_helpsrvrolemember

f. sp_helprolemember

g. sp_helprole

h. sp_configure

i. public角色的权限的使用

j. 存储过程的执行权限

k. 补丁管理

l. SELECT SERVERPROPERTY('productversion'), SERVERPROPERTY ('productlevel'), SERVERPROPERTY ('edition')

16. MySQL

a. 所安装的服务器型号，MySQL版本号

b. 数据表user

c. 数据表db

d. 数据表host

e. 数据表tables_priv

f. 数据表columns_priv

17. ORACLE 9

a. 数据库所安装的服务器型号

b. SELECT * FROM DBA_JOBS;

c. SELECT * FROM DBA_USERS;

d. 各活动账号的使用人和职责

e. 活动账号的定期审阅流程

f. SELECT * FROM v$parameter2;

g. SELECT * FROM DBA_PROFILES;

h. SELECT * FROM DBA_ROLE_PRIVS;

i. SELECT * FROM DBA_SYS_PRIVS;

j. SELECT * FROM DBA_TAB_PRIVS;

k. SELECT * FROM V$PWFILE_USERS;

l. SELECT * FROM DBA_STMT_AUDIT_OPTS;

m. SELECT * FROM PRODUCT_COMPONENT_VERSION;

18. WINDOWS

a. 组列表

b. 用户列表

c. Administrator组用户

d. 密码策略

e. 账户锁定策略

f. 审计策略

g. 计划任务列表，以及计划执行日志

h. 域的使用

i. 远程桌面连接设置

j. 开启的服务清单

k. 域管理员清单（如果存在域）