IT审计要求(KPMG)修订版本.docxVIP

范围 1 公司层面控制 2 信息 安全 信息安全 制度、用 户信息安 全意识 所需資料、文件 ? IT 部门架构图、 IT 人员职责说明 ? IT 预算、策略和年度 规划 (2005-2007 年) ? IT 内部、 IT 与业务 部门、 IT 与管理层之会 议记录 ? 与第三方供货商之服 务协议 (若 IT 服务外 判) ? IT 风险评估制度和报 告 ? 财务系统与其它系统 间之数据流程图 ? IT 内部审计报告和审 计发现之跟进 ? 信息技术安全规章制 度 ? 令员工充份了解信息 技术安全规章制度的措 施 ? 信息安全培训记录 要求 1、 完整清晰的部门架构以及职 员职责说明； 2、 有完善的费用预算机制，有 经过授权并正式签发的费用预算 文件；有与公司战略相匹配的 IT 策略及每年的年度规划； 3、 内部、与业务部门、与管理 层之间的会议记录； 4、 签订相关服务合同； 5、 完善的风险评估机制，或引 进专业风险评估机构； 6、 提供数据流程图； 7、 应建立内审机制并定期内 审，以辅助外审，建议引进专业 机构定期内审。 1、 制定完善的安全规章制 度，并采取广泛的宣传措施将 该制度灌输至每位公司职员。 2、 规章制度写入员工手册并 印发，新员工入职便能了解公 司要求，并做定期培训，做好 培训记录。 物理安全 ? 机房物理安全规章 ? 保安设施 (如门禁系 统、访客记录) 用户权限 设定? 用户系统权限的列表 ? 用户设置不同系统权 限之制度和审批等步骤 ? 不同权限是否显示在 用户权限 设定 (需抽样申请表格 – 参见 附注) 用户设定 制度? 增加、更改、删除系 用户设定 制度 ? 用户部门及 IT 部门 审批程序, 申请表格之 处理和保存 (需抽样申 请表格, 可和上面的样 本相同) 1、物理要求：门禁系统、烟雾报警 器(置于地板夹层或顶棚夹层)、 监控、 UPS、空调(接 UPS)、干粉 灭火器、防火防水装修材料； 2、机房管理：专人管理钥匙、有访 客记录、机柜门应上锁； 3、服务器管理：密码变更设置(文 档/流程/频率)、密码策略 (windows/sql 用户密码强制策 略、 windows 帐号锁定策略、密码 长度 8 位以上、历史密码 6 次)、 windows 界面自动锁定、应急管理/ 流程(备用钥匙、密码文件密封置 于机房上锁的柜子中或密封的信封 里面)； 4、机房显眼处应有机房管理制度； 1、 用户权限组有详细的权 限定义； 2、 完整的用户帐号增加、 修改、删除审批流程； 3、 用户帐号审批流程中应 体现具体的权限选择； 1、完整的用户帐号增加、修改、删 除审批流程； 2、有与人力资源中心提供的入职、 离职名单相匹配的用户帐号增加、 删除记录； 系统密码 设定 用户权限 审阅 超级用户 3 系统 系统变更 变更 管理 系统变更 上线 ? 系统密码设定 (应用 系统层、操作系统层、 网络层、数据库) ? 密码长度 ? 密码最大更改日数 ? 密码复杂性 ? 可重用旧密码次数 ? 锁定用户前之容许 错误登录次数 ? 用户系统权限之定时 审阅和复核, 及有关记 录 (需抽样各阶段之文 件及记录 – 参见附注) ? 应用系统、操作系 统、数据库超级用户的 申请、管理、使用审核 的步骤和记录 ? 拥有超级用户的人员 名单 ? 系统变更管理规章制 度 ? 系统变更审批、开 发、测试 (用户及 IT) 之步骤及记录 (需抽样 各阶段之文件及记录 – 参见附注) ? 系统变更上线审批之 步骤及记录 (需抽样文 件及记录 – 参见附注) ? 开发人员和上线人员 之分工 (开发人员没有 生产环境之权限) 之证 明 ? 开发环境和测试环境 之逻辑或物理分开之证 明 1、密码长度应大于 8 位、应由字母 和数字组成或者再区分大小写、客 户端密码变更的频率应有控制(如 30 天强制要求变更密码)； 2、错误密码登陆次数应不超过 3 次，且系统应用提示信息； 3、密码修改时应不允许与原密码相 同的密码进行修改操作，应有历史 密码控制策略； 4、对各种不同密码的变更频率及设 置要求等应有完整的密码管理制 度； 1、对系统用户帐号的申请及权限分 配等，应有定期进行复核的操作， 并有相关文档记录，且文档应由相 关领当定期审阅； 1、对系统超级用户的使用应有审批 授权制度，并有相匹配的流程； 2、对拥有超级用户权限的人员应严 格控制； 1、要求有完整的系统变更流程，流 程中包括紧急变更的处理流程； 2、变更过程中应有各种表单