上海裕强物流有限公司ERP审计报告V1.0.docVIP

上海裕强物流有限公司 ISO27001信息安全管理体系咨询项目 ERP系统信息安全审计报告 文档信息 项目名称: 上海裕强物流有限公司ISO27001信息安全管理体系咨询项目 项目经理: 陈振波 文档版本号: V1.0 项目阶段: 信息系统审计 文档版本日期: 2012年11月28日 质量复审方法: Management Review 起草人: 陈振波 起草日期: 2012年11月28日 复审人: 复审日期: 分发列表 自 日期 电话/传真 陈振波 2012-11-28 到 行动* 截止日期 电话/传真 徐燕 复审 2012年12月9日 *行动类别: 批准、复审、通知、存档、需要采取行动、参加会议、其他（请指明） 版本历史 版本号 版本日期 修改人 说明 V1.0 2012-11-28 陈振波 初稿 目录 1. 文档说明 4 1.1. 文档目的 4 1.2. 适用范围 4 2. 审计范围 5 3. 审计目的 5 4. 审计人员 5 5. 审计实施的时间 5 6. 具体审计事项类别及名称 5 7. 采用的审计技术和方法 5 8. 被审计单位信息系统基本情况 6 9. 审计重点内容及审计事项 6 文档说明 文档目的 上海裕强物流有限公司业务建立在系统的基础之上，系统基本取代了人工的纸质操作，极大的提高了工作效率和准确性。但是业务对系统的可靠性和安全性提取了很高的要求，项目组通过一段时间的审计，发现系统目前存在的一些安全问题，本报告总结了这次审计发现的问题点及对以后改进的建议。 适用范围 本文档适用于上海裕强物流有限公司。 审计范围 上海裕强物流有限公司ERP系统（总部和北郊分公司）。 审计目的 发现系统目前存在的一些信息安全问题并提出改进的建议。 审计人员审计实施的时间2012年月日至201年月日。具体审计事项类别及名称1．一般控制审计—信息安全控制审计：逻辑访问控制审计网络安全控制审计操作系统安全控制审计数据库系统安全控制审计最终用户控制审计．应用控制审计（1）业务流程控制审计业务授权与审批控制审计数据输入控制审计数据输出控制审计（2）数据控制审计对主数据的审计对业务参数的审计对重要信息的审计采用的审计技术和方法本次审计，信息系统被审计单位信息系统基本情况被审计单位信息系统建设和管理情况信息管理系统（）是软件开发公司年开发的，系统于20年进行测试，20年月正式运行使用。系统采用进行开发，后台数据库为SQL200。采用了/S结构模式，服务器端操作系统为windows200，客户端操作系统为windows XP。目前共有服务器台、计算机台、交换机台、硬件防火墙台。机房放置了温度、湿度，同时配备了UPS不间断电源和灭火系统，为系统正常运行提供了保障。被审计单位对信息系统业务依赖程度根据功能的要求，分为子模块基本包括了的主要业务和管理需求。被审计单位信息系统组织管理情况设置了，专职进行软件开发、系统维护和设备维修等。被审计单位信息系统运行情况从维护日志来看，该信息管理系统在不断地进行系统升级和功能完善，数据库出现异常的情况越来越少。在审计组现场审计期间，该信息系统运行正常，未发现服务器宕机等异常现象。被审计单位信息系统总体业务数据流程情况该系统业务流程主要分为，等方面。被审计单位信息系统电子数据情况本次审计我们取得了截止到201年月日的数据库备份数据。系统全库业务数据总量约G，其中：20年约有万条记录，数据大小为G。审计重点内容及审计事项基础设施控制审计信息安全控制审计通过实地查看、资料查阅等方法，审计发现，进行了IP地址管理和用户权限分配，用户端安装了杀毒软件，部分用户操作系统漏洞安装了补丁。通过上机查看、模拟操作，发现问题和建议：内、外网未完全物理隔离，局域网内部分电脑可以访问因特网，可以下载资料到电脑中，内、外网连接也未通过任何设备或程序加以控制。可登陆用户位。“系统管理员”权限的用户有位，存在数据安全隐患。信息系统运营维护控制审计通过现场观察的方法，查阅系统日志、运行维护记录等资料，对系统操作管理控制和系统灾难恢复控制制度进行审计。建立了《》，能够将数据库数据备份完整。发现问题和建议：业务数据都通过服务器磁盘进行存储、备份，磁盘数据容易被删除、修改，存在数据丢失的风险。流程控制审计具体审计目标通过对信息系统业务流程的分析，查出系统在安全性和可靠性等方面存在的薄弱环节。审计测试过程：审计发现在上，存在漏洞。发现问题和建议：编制、审核为同一人。，使得管理环节上存在漏洞信息系统生命周期控制审计具体审计目标查看信息系统开发是否规范，系统变更是否在可控范围内。审计测试过程