信息系统审计的事例表

编制/日期： 编制/日期：
计业务方案
索引号： 索引号： 审计类型 审计人员 、SAP项目管理 审计依据 内部控制制度、行业惯例 定期审计
查核资料 信息资产清单 资产报废申请单/报告 资产异动单/信息资产保 管清单 信息资产清单 资产维修/护申请单 SAP账号清单
配合部门 采购部、信息部 、财务部 信息部、财务部 信息部 使用部门 信息部 使用部门
信息部
信息部
2010-10-18
1010T31
信息部 工作日志 信息部
2010-10-18 2010-10-18
1010T32 1010T33
服务器日志 邮件使用者清单
信息部 信息部 信息部
2010-10-19 2010-10-19 2010-10-19
1010T34 1010T35 1010T36
确保信息系统的可靠性、稳定性、安全性，及数据处理的完整性、准确性 信息资产的管理、账号与权限管理、灾难恢复计划、信息安全、中心机房管理、
7
1
9
1
10
6
11
4
12
2
SAP专项
13
3
检查SAP系统后台配置维护的权限是否合理？ SAP报表的开发程序是否完整？开发原理是否准确？程序 开发与维护职能是否分离？
审计业务方案
编制日期： 编制日期： 审计项目 被审计单位 审计目标 审计范围 审计具体内容： 审计具体内容： 序号 1 2 3 4 5 6 时间安排 Sch. Act. 4 1 1 2 1 1 项目内容 审计程序 根据历史采购及信息部统计清单，盘点现有信息资产的完 整性 检查信息资产的报废、处置手续是否完整？审批权限是否 完整？ 信息资产的管理 检查信息资产的异动、使用、保管手续是否完整？审批权 限是否完整？ 检查信息资产的分布合理性，确定其同比人员与信息资产 比率的一致性？ 检查信息资产的维修/维护是否合理？是否存在维修/维护 申请？ 询问SAP系统操作人员，确定是否存在多人使用一个账号 的情况？是否借用其账号给别人使用的情况？ 抽取部分具有SAP系统操作权限的人员账号，测试是否存 在密码为空或密码过于简单（如：123456）的情况？ 账号与权限管理 8 1 根据SAP系统操作人员清单，核对是否存在《账号与权限 申请》？审批手续是否完整？ 检查是否存在已离职人员的账号与权限仍然存在，是否仍 然被使用？ 评估SAP系统操作手册的完整性，确定是否存在未涵盖的 业务流程或控制缺失或控制薄弱环节？ 检查SAP系统中主要业务模块，确定其数据处理是否完整 、准确？ 通过调查，确定SAP现有开发功能的完整性，是否存在未 覆盖的业务模块或存在未满足相关需要的数据？ IT审计 信息部 审计期间
1010T12
信息部
2010-10-13
1010T13
信息部
2010-10-13
1010T14
数据备份计划 数据备份计划、备份登记 表 备份清单 备份数据使用记录 备份数据清理记录 进出机房登记表 进入机房申请单 机房清理日志 机房设备清单
信息部
2010-10-14
1010T15
信息部
2010-10-14
1010T16
信息部 信息部 信息部 信息部 信息部 信息部 信息部 信息部 信息部
2010-10-14 2010-10-14 2010-10-14 2010-10-13 2010-10-13 2010-10-15 2010-10-15 2010-10-15 2010-10-15 2010-10-16 2010-10-16 2010-10-16 2010-10-18 2010-10-18
14
4
ห้องสมุดไป่ตู้ 15
2
检查是否制定信息数据的备份计划？确定备份计划（含备 份内容、备份方式等）是否完整？ 检查《数据备份计划》的执行情况？是否按计划规定时间 进行对应数据的备份？ 现场确认备份介质的保管是否合理？并确认备份数据的完 整性？ 询问备份数据使用是否予以记录？如有，检查备份数据使 用的合理性及审批权限的完整性？
16
1
灾难恢复计划
17 18 19 20 21 22 23 24 25 26 27 28 29 30 1 1 1 1 1 1 中心机房管理 2 1 1 4 2 2 1 2 信息安全管理
灾难恢复计划
询问备份数据的清理程序，是否予以记录？如有，检查备 份数据的清理是否合理，审批权限是否完整？ 确定是否存在非机房管理员进出机房的登记记录？登记记 录内容是否完整？ 进出机房是否取得权限审批？与进出机房登记表核对是否 一致？ 确定机房管理员是否定期对机房进行清理，是否存在灰尘 等？ 机房设备是否汇总登记？如有，根据登记设备清单，盘点 机房设备的完整性？ 检查机房内UPS不间断电源的运作情况，是否存在UPS不间 断电源运行异常？ 检查机房是否有恒温、恒湿的测量仪器？如有，检查测量 仪器的读数是否与规定的温湿一致？ 抽查部分电脑设备，是否存在未经授权的应用程序？非经 授权的应用程序，是否具有特殊的审批？ 确定应用程序中源代码的访问权限，具有哪些人员可访问 应用程序的源代码？是否经授权？ 源代码修改是否有明确规定？是否存在源代码的修改？如 有，其修改是否经权限审批？审批层级是否完整？ 是否明确数据库、服务器等的访问权限规定？检查相关日 志，确定是否存在非授权访问？ 统计外部网络使用者清单，核对计算机应用权限申请，确 定是否存在未授权使用网络的情况？ 检查重要（如财务部）公共文件夹的安全性，是否存在未 经授权人员可访问相应数据？并确定是否有输入、输出权 限？ 检查各重要（如财务部）公共文件夹内容是否设置读、写 密码保护？是否存在未经授权人员写入权限？ 检查防火墙或杀毒软件集中日志，是否存在异常事项？确 定异常事项是否为非授权范围内操作引起？
2010-10-9
1010T07
信息部 信息部、人力资 源部 信息部
2010-10-9
1010T08
2010-10-9
1010T09
SAP操作手册
2010-10-11
1010T10
信息部
2010-10-12
1010T11
信息部、使用部 门 SAP后台配置维护人员清 单 SAP报表开发原理
2010-10-12
31
1
32 33
1 2
信息安全管理
34 35 36 37
2 2 2
检查服务器日志，是否存在未经授权的访问？并确定是什 么原因导致此访问？ 统计具有公司可外发邮件的使用者，查看是否进行邮件监 控？是否存在未经授权的邮件？ 检查腾讯通内部收发文件的权限设置，是否存在未经授权 的操作？
66 Remarks: 此次IT审计仅涉及系统的执行与维护业务活动的范围，不涉及业务规划、 IT审计仅涉及系统的执行与维护业务活动的范围 1、此次IT审计仅涉及系统的执行与维护业务活动的范围，不涉及业务规划、业务开发等项目的审计
1010T17 1010T18 1010T19 1010T20 1010T21 1010T22 1010T23 1010T24 1010T25 1010T26 1010T27 1010T28 1010T29 1010T30
授权应用程序清单
信息部、使用部 门 信息部
源代码修改程序
信息部 信息部
外部网络使用者清单、计 算机应用权限申请
开发等项目的审计。 开发等项目的审计。
复核/日期： 复核/日期：
计划时间 2010-10-8 2010-10-8 2010-10-8 2010-10-9 2010-10-9 2010-10-9
底稿索引 1010T01 1010T02 1010T03 1010T04 1010T05 1010T06
SAP账号清单 账号与权限申请单、SAP 账号清单 SAP账号清单
信息部