内控管理-信息系统培训讲义(简化版)课件.ppt

1、0信息系统控制培训讲义信息系统控制培训讲义1目录目录n第一章-背景知识n第二章-信息系统总体控制（简称GCC)n第三章-信息系统应用控制（简称AC）n第四章电子表格控制 n第五章信息系统内控关注要点2背景知识背景知识n萨班尼斯奥克斯莱法案(Sarbanes-Oxley，简称SOx法案)n美国安然与世通事件引发保护投资者利益的广泛讨论，上市公司财务信息披露情况的法律遵循性备受关注，2002年美国国会出台了萨班斯-奥克斯利法案（Sarbanes-Oxley法案，简称SOx法案），法案中404条款对上市公司建立与财务报告相关的内部控制并维持其有效性提出了明确要求，管理层每年需对内控体系的运行效果进行

2、评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。3背景知识背景知识n内控体系建设要求企业除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系。n由于目前公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，对信息系统控制的一致性和有效性方面的薄弱，将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。n因此信息系统控制体系建设是公司内控体系建设的重要内容。4信息系统与财务报告之间的关系信息系统与财务报告之间的关系 n 5n公司层面控制公司层面控制q企业道德规范企业道德规范q公司行为方式公司行为方式q公司

3、组织架构公司组织架构q沟通流程沟通流程n业务活动控制业务活动控制q业务活动控制业务活动控制 q财务相关应用系统控制财务相关应用系统控制n信息系统总体控制信息系统总体控制qIT 基础设施基础设施q数据库数据库q操作系统操作系统公司层面控制公司层面控制业务活动控制业务活动控制信息系统总体控制信息系统总体控制内控项目组内控项目组 信息系统信息系统应用控制应用控制 信息系统信息系统总体控制总体控制(GCC)中国石油的中国石油的SOx项目分为公司层面控制，业务活动控制、项目分为公司层面控制，业务活动控制、信信息系统控制三个层面的内容息系统控制三个层面的内容SOx内控体系包括三个层面的内容，内控体系包括三

4、个层面的内容，目前中国石油分为三个项目组来完目前中国石油分为三个项目组来完成相关内控体系的建设，成相关内控体系的建设，GCC项目项目组是其中的重要组成部分组是其中的重要组成部分6目录目录n第一章-背景知识n第二章-信息系统总体控制（简称GCC)n第三章-信息系统应用控制（简称AC）n第四章电子表格控制 n第五章信息系统内控关注要点7信息系统控制信息系统控制n信息系统控制包含的主要内容 n信息系统总体控制（General Computer Control，简称GCC）n信息系统应用控制（Application Control，简称AC）n电子表格控制 8信息系统总体控制信息系统总体控制n信息系统

5、总体控制(简称GCC),GCC所指的是内部控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。GCC涵盖了IT管理和运营所涉及的各个方面 n信息系统总体控制是内控体系建设一项基础性工作，信息系统总体控制为企业信息系统管理提出了新标准9GCC涵盖了涵盖了IT管理和运营所涉及的各个方面管理和运营所涉及的各个方面n系统控制环境：总体环境、信息与沟通、风险评估、监控等n项目建设管理：开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统符合性检查、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等n变更管理：应用系

6、统日常变更、系统环境日常变更、紧急变更管理等n系统日常运作：机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等n信息安全：信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等 信息系统总体控制信息系统总体控制信息系统控制环境信息系统控制环境信信息息安安全全信信息息系系统统日日常常运运作作变变更更管管理理项项目目建建设设管管理理最最终终用用户户操操作作n最终用户操作：最终用户计算机操作安全制度、电子表格管理等10GCC规定是规定是GCC体系的纲领性文件体系的纲领性文件nGCC规定是中国石油信息系统总体控制体系的重要组成

7、部分，是GCC体系的纲要性文件，制定了与中国石油信息系统总体控制相关的政策和制度n描述了中国石油GCC总体政策、适应范围及制定、审批、发布、维护、更新流程n明确了中国石油在总体控制环境、信息安全、项目建设管理、系统变更、信息系统日常运作、最终用户操作等方面的总体规定和要求中国石油天然气股份有限公司中国石油天然气股份有限公司信息系统总体控制规定信息系统总体控制规定2005年年9月月11中国石油已经建立起符合内部控制及未来外审需要的信息系中国石油已经建立起符合内部控制及未来外审需要的信息系统总体控制体系统总体控制体系nGCC控制矩阵：是针对每个控制目标确定一个或多个控制点，对每个控制点的控制频率、

8、控制类型等控制属性进行定义，并尽量明确其现行的制度文档GCC实施要求实施要求 GCC控制控制矩阵矩阵测试计划测试计划与测试方案与测试方案相关表相关表单单122006年中国石油下发年中国石油下发信息系统总体控制实施要求信息系统总体控制实施要求，GCC实施要实施要求是对求是对GCC规定的细化，用于指导日常的信息技术管理和运营维护规定的细化，用于指导日常的信息技术管理和运营维护GCC实施实施要求要求GCC控制控制矩阵矩阵测试计划测试计划与测试方案与测试方案相关表单相关表单n实施要求实施要求 涵盖了涵盖了IT管理和运营所涉及的各个方面管理和运营所涉及的各个方面n控制环境控制环境q信息技术组织q人力资源

9、管理q信息沟通q风险评估q监控n信息安全信息安全q信息安全组织q逻辑安全q物理安全q网络安全q病毒防护q第三方管理q安全事件响应n项目建设管理项目建设管理q项目立项项目立项审批商业软件及硬件的外购q项目建设方法论项目启动需求分析项目设计系统开发实施系统测试数据移植系统上线项目验收和上线后审阅q项目管理项目培训管理项目文档管理项目问题管理项目变更管理n系统变更系统变更q日常变更q紧急变更n信息系统日常运作信息系统日常运作q机房环境控制q日常监控q批处理作业管理q备份与恢复q问题管理n最终用户操作最终用户操作q最终用户操作安全制度q电子表格管理13为确保为确保GCC体系实施的统一性和高效率，体系实

10、施的统一性和高效率，实施要求规定实施要求规定了了GCC表单表单GCC实施实施要求要求GCC控制控制矩阵矩阵测试计划测试计划与测试方案与测试方案相关相关表单表单GCC领域领域表单数量表单数量总体管理1控制环境1信息安全19项目建设管理1系统变更4信息系统日常运作14最终用户操作343合计合计14并根据控制矩阵和实施要求的相关要求，制定了测试计并根据控制矩阵和实施要求的相关要求，制定了测试计划和测试方案划和测试方案GCC实施要求实施要求GCC控制矩阵控制矩阵测试计划测试计划与测试方案与测试方案相关表单相关表单15任务单任务单是依据实施要求中对各是依据实施要求中对各级部门和岗位需要完成的级部门和岗位

11、需要完成的GCC相关相关工作的要求而编制工作的要求而编制任务单任务单明确了这些明确了这些岗位应完成哪些岗位应完成哪些GCCGCC任务，并说明了任务，并说明了该任务的执行频率及需留下的证据该任务的执行频率及需留下的证据n公司层面涉及：公司层面涉及：q信息管理部门、财务部门、规划计划部信息管理部门、财务部门、规划计划部门、法律部门、人事部门、销售部门、门、法律部门、人事部门、销售部门、物资部门等重要岗位的物资部门等重要岗位的GCC任务单任务单GCC_信息系统总体控制实施要求信息系统总体控制实施要求_按岗位按岗位同时，为便于各单位的执行，同时，为便于各单位的执行，为促进为促进GCC体系的实施，为涉及

12、到的体系的实施，为涉及到的每个岗位制定了一整套每个岗位制定了一整套GCC任务单，任务单，明确了这些岗位应完成哪些明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据任务，并说明了该任务的执行频率及需留下的证据16公司层面，共确定了公司层面，共确定了24个岗位的个岗位的209项项GCC任务任务n需要说明的是，这里列出的岗位与实际的需要说明的是，这里列出的岗位与实际的组织机构岗位和人员并不一一对应，存在组织机构岗位和人员并不一一对应，存在一人多岗和一岗多人的情况一人多岗和一岗多人的情况nGCC_信息系统总体控制实施要求信息系统总体控制实施要求_按岗位按岗位小计：227岗位岗位

13、需完成的需完成的GCC任务数任务数信息技术部门负责人23财务部门信息管理负责人16规划计划部负责人1人事部负责人1业务部门主管领导24信息安全管理负责人8应用系统负责人23应用系统管理员12操作系统管理员3数据库管理员2机房负责人7网络管理负责人10网络管理员9帮助热线支持人员4项目指导委员会4项目管理办公室3项目经理19项目开发人员1系统上线操作人员1程序保管人员3变更实施人员8电子表格负责人7电子表格开发人员2一般员工18小计：20917GCC各相关岗位和人员应根据以下的步骤和方法来执行各相关岗位和人员应根据以下的步骤和方法来执行具体的具体的GCC任务任务1 1从“岗位人员对照表”中明确自

14、己的岗位角色2 2在“GCC任务单”中查看本岗位需要完成哪些任务3 3对具体某些任务，到“实施要求”对应章节中查看其详细内容和要求4 4执行“实施要求”要求，根据需要填写表单，并注意表单填写的注意事项5 5每月将其相关的GCC证据提交给本部门文档管理人员，由文档管理人员统一归档“岗位人员对照表”GCC任务单”“GCC实施要求”“GCC相关表单”“归档文件清单”所需的相关文档18以以“信息安全管理负责人信息安全管理负责人”为例为例1 1从“岗位人员对照表”中明确自己的岗位角色2 2在GCC任务单中查看本岗位需要完成哪些任务3 3对具体某些任务，到“实施要求”对应章节中查看其详细内容和要求4 4执

15、行“实施要求”要求，根据需要填写表单，并注意表单填写的注意事项5 5每月将其相关的GCC证据提交给本部门文档管理人员，由文档管理人员统一归档19信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域20 信息安全子领域信息安全子领域注：黄色表示注：黄色表示风险级别：高，我将在后面详细，我将在后面详细解释。解释。21控制措施描述：控制措施描述：信息安全管理负责人定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，填写职责分离检查表，将不符情况报相关负责人。控制措施：制度和流程AQ1信息安全子领域

16、信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：根据GCC实施要求的要求，确定1、特权用户需填写特权用户备案登记表。2、了解职责分离的情况。3、该控制点与GCC其他控制点均有关联，因此，该控制点要求对其他所有的控制点的职责分离情况进行归纳和总结。22控制措施：制度和流程AQ1信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：职责不分离会引发一人兼任多职的舞弊行为，造成无法对其活动进行有效的监控和稽核。风险级别：高主要例外情况：主要例外情况：1、职责分离检查表中各项内容的填写未发现不符合控制要求的情况，但实际上却存在职责不分离，即一人兼多职

17、的问题。2、应用系统管理员具备对操作系统和数据库的特权访问的情况。23控制措施描述：控制措施描述：应用系统、数据库、操作系统（含网络操作系统）及网络设备的帐号及权限的申请、变更及撤销需要经过有效的审批或授权，审批时应对照职责分离矩阵进行检查，确保用户权限申请和变更符合职责分离要求。控制措施：逻辑安全AQ2信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：通过现有应用系统来检查表单：对通用角色与系统终端用户对照表中的任何变更严格按照申请、变更和撤销的流程执行。明确应用系统相关的临时权限及其对应的角色，对临时权限管理应遵循用户帐号及权限管理的规定。是否填写了用户帐

18、号及权限管理表及主数据变更申请表。通过表单来检查现有应用系统：对照用户帐号及权限管理表检查应用系统中的实际情况，检查系统实际情况是否与表单一致。检查职责分离情况：对照职责分离矩阵检查现有应用系统和表单中是否存在职责不分离的情况。24控制措施：逻辑安全AQ2主要例外情况：主要例外情况：1、账户新增与撤销、岗位与角色变动没有填写相应的用户帐号及权限管理表。2、用户帐号及权限管理表的申请、审批和授权存在问题。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：应用系统终端用户权限申请审批控制是权限正确分配的基本控制之一，未执行该控制或者控制执行不到位，将有可能导致应用

19、系统实际权限分配不符合控制要求，如果审计同时发现系统实际的权限存在问题，则将加大产生实质性漏洞的风险。风险级别：高25控制措施描述：控制措施描述：应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。控制措施：逻辑安全AQ4信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：应用系统权限检查结果应与应用系统权限检查表的内容保持一致。对已撤销权限的用户帐号应加强管理，提供相应的表单作为支持证据。26控制措施：逻辑安全AQ4主要例外情况：主要例外情况：1、应用系统权限检查表的检查结果与系统中实际的检查结果不一致。体现在临时授权、多余权限没有填写用户帐号及权限检

20、查表。2、系统中已经被撤销的用户帐号没有填写对应的用户帐号及权限检查表。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：临时权限、多余权限和多余账号具备对所有会计科目产生重大影响的风险，因此，多余权限和账号的管理要遵循信息系统总体控制的要求。如果审计同时发现系统实际的权限存在问题，则将加大产生实质性漏洞的风险。风险级别：高27控制措施描述：控制措施描述：应用系统负责人每三个月审核数据库管理员和操作系统管理员的账号及权限设置。控制措施：逻辑安全AQ5信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：登录到操作系统，检查所有的操

21、作系统用户及其权限。登录到数据库系统，检查各个库的用户及其权限。获取相关管理员和负责人对操作系统数据库的账号及权限理解和认识，关注其风险意识。28控制措施：逻辑安全AQ5主要例外情况：主要例外情况：1、操作系统及数据库权限检查表与系统不一致，对于操作系统及数据库中的账号没有进行登记和管理。2、不熟悉操作系统及数据库中的特权账号和特权组。对某些具有特权权限的账户没有进行管理，没有填写相应的特权用户备案登记表。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：账号通常是高风险的，也是最容易遭受攻击或被忽略的控制点。授权则会对该风险点可能造成的危害程度产生直接影响。

22、对操作系统和数据库的账号和权限的控制是应用系统和业务流程控制过程的基础。账号和权限问题会导致实质性缺陷。风险级别：中29控制措施描述：控制措施描述：信息安全管理负责人在操作系统管理员协助下，每年审核服务器操作系统设置是否符合标准配置方案。控制措施：逻辑安全AQ7、AQ8、AQ9信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：严格按照服务器安全配置检查表对操作系统进行配置检查。例如，应删除或关闭不用的用户帐号和组账号。获取相关管理员和负责人对操作系统安全配置的了解程度，关注其风险意识。30控制措施：逻辑安全AQ7、AQ8、AQ9主要例外情况：主要例外情况：服务

23、器安全配置检查表的填写与系统中实际情况不符。没有按照服务器安全配置检查表逐项对操作系统进行安全配置和安全检查。例如，没有删除多余用户帐号和组账号，没有关闭不必要的服务，没有对操作系统中的账号和权限进行分析和检查，使用特权账号执行终端登录等。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：该项控制是信息系统安全控制中最基本、重要的监督性控制之一，如果配置不符合要求，则意味着检查控制也失效，个别系统管理人员不知道如何检查或者对标准理解模糊，可能会对系统的安全性产生重大的隐患。风险级别：高31控制措施描述：控制措施描述：用户需要直接访问系统中的数据时，应提出申请，

24、由用户主管领导和应用系统负责人进行审批后执行。控制措施：逻辑安全AQ11信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：对所有涉及数据直接访问的申请严格按照GCC关于数据直接访问的要求加以执行。获取相关管理员和负责人对操作系统安全配置的了解程度，着重考察其风险意识。32控制措施：逻辑安全AQ11主要例外情况：主要例外情况：对于数据库直接访问没有填写对应的数据直接访问申请表。没有建立数据直接访问的风险意识。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：数据直接访问需要通过有效的方式加以检查和控制，检查的目的是控制敏感数据被

25、恶意访问、篡改和伪造。控制的目的是提供有效的监督和管理手段。数据直接访问的随意性管理会导致实质性漏洞。风险级别：高33控制措施描述：控制措施描述：机房负责人授权需要经常进出机房的人员，并记录在授权人员名单中。控制措施：物理安全AQ12信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：对于机房长期授权人员的任何变动应进行及时的更新和归档。对机房的物理访问应加以控制和记录，例如门禁系统、授权管理、陪同机制、登记机制等。34控制措施：物理安全AQ12主要例外情况：主要例外情况：对进出机房的长期授权人员的管理控制措施不足，在长期授权人员发生变动后，没有及时更新机房授权

26、人员名单。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：机房授权访问属于物理层面的接触，物理访问很容易得到验证，但却很难被管理。容易产生无人管理，或授权混乱的情况。风险级别：中35控制措施描述：控制措施描述：用户申请远程登录帐号时，填写远程登录帐号申请表并提交给用户主管领导和网络管理负责人审批后方可实施。控制措施：网络安全AQ15信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：对所有跨边界网络访问生产网的情况进行一次集中的检查。检查是否使用物理隔离技术。获取相关管理员和负责人对网络风险的认知程度。36控制措施：网络安全A

27、Q15主要例外情况：主要例外情况：1、没有对远程接入访问的情况进行有效的管理。没有对远程访问进行审批和授权。2、不了解远程访问，无法对远程访问进行有效的管理。信息安全子领域信息安全子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：远程访问通常属于授权却未登记，并未进行有效的管理。远程访问通常不容易被查证，但却很容易对系统产生严重的危害，原因是远程访问通常具有较高的权限。风险级别：中37控制措施描述：控制措施描述：安装Windows操作系统的服务器和个人计算机，应安装统一的防病毒软件。及时更新防病毒软件商发布的最新病毒库。定期（至少每月）进行病毒扫描。控制措施：病毒防范AQ18信息安

28、全子领域信息安全子领域控制要求及关注要点控制要求及关注要点控制要求：控制要求：使用统一的防病毒软件，采用集中管理的模式。管理员应定期更新和升级病毒管理服务器的病毒库、引擎版本。管理员应对客户端扫描制定策略，并跟踪可能对系统产生严重影响的病毒。38控制措施描述：控制措施描述：第三方需要访问中国石油应用系统生产环境时，应填写用户帐号及权限管理表，说明帐号使用的时间和期限，并得到相关业务部门主管领导的批准。访问结束或访问期限到期，应用系统管理员应及时收回相应的访问权限。控制措施：供应商管理（外包服务）AQ17控制要求：涉及到任何第三方的访问(包括外包服务)应严格按照GCC的实施要求的要求进行控制。严

29、格审查外包服务合同，确定服务等级协议(SLA)。SLA通常作为一种控制手段。加强对外包服务商实施工作的可控性和可监管，加强对对应管理员的培训。信息系统安全子领域控制要求及关注要点信息系统安全子领域控制要求及关注要点主要例外情况：主要例外情况：1、发现名实不符，具体实施工作通常是由外包服务商提供，而不是通过相应的管理员进行操作。2、相关管理员和负责人对其所负责的工作不熟悉，不能对外包商的工作进行有效的控制。3、没有合理的监控机制，相关负责人和主管领导对外包服务不甚了解，不清楚外包商何时、何地对应用系统进行了何种变更。39控制措施：病毒防范AQ18信息安全子领域信息安全子领域控制要求及关注要点控制

30、要求及关注要点风险描述：风险描述：病毒会导致以下情况的发生：关键系统的可用性降低，敏感数据被窃取、篡改或伪造，应用系统可靠性降低等。风险级别：高主要例外情况：主要例外情况：1、未使用统一的防病毒软件。2、所使用的防病毒软件的病毒库未进行及时的更新。3、防病毒软件未进行定期扫描40信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域41信息系统日常运作子领域主要控制措施控制要求及关注要点信息系统日常运作子领域主要控制措施控制要求及关注要点注：黄色表示出现例外注：黄色表示出现例外情况的风险级别情况的风险级

31、别-高高.我我将在后面详细解释。将在后面详细解释。控制子领域控制子领域控制点编号控制点编号出现例外控制点出现例外控制点信息系统日信息系统日常运作常运作GCC-YW-1GCC-YW-1 GCC-YW-2GCC-YW-2 GCC-YW-3GCC-YW-3 GCC-YW-4GCC-YW-4 GCC-YW-5GCC-YW-5 GCC-YW-6GCC-YW-6 GCC-YW-7GCC-YW-7 GCC-YW-8GCC-YW-8 GCC-YW-9GCC-YW-9 42控制措施描述：控制措施描述：机房负责人指定人员每天对设备运行状况进行巡检，检查人员对检查结果签字确认。控制措施：系统日常运作监控YW1控制要

32、求：测试相关人员是否每天对机房进行巡检，如何检查，以及是否在设备巡检记录表进行记录。主要例外情况：主要例外情况：1、检查人没有签字确认2、设备巡检记录表中显示某天某巡检人员进行了巡检，但是检查AQ13的机房出入记录发现，该巡检人员当天并没有进入机房。信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点43控制措施：系统日常运作监控YW1信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：对机房关键通讯及计算机设备进行巡检，是保证信息系统正常运行并防范来自外界环境损害的基本控制之一，为执行该控制或者控制执行不到位，将有可

33、能导致通讯和信息系统遭到外界环境因素的损害，给整个信息系统带来风险。机房巡检记录表是机房巡检的关键证据，如果记录表没有检查人签字确认，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：高44控制措施描述：控制措施描述：应用系统管理员应每周检查应用系统日志，审查是否有错误信息或异常登录信息。控制措施：系统日常运作监控YW2控制要求：通过日志审查确立应用系统的运行状况。检查应用系统的日志是否存在漏洞。主要例外情况：主要例外情况：1、应用系统日志保存不完整2、某些系统没有日志功能，如FA5.0以及部分财务关联复杂系统。信息信息系统日常运作系统日常运作子领域子领域

34、控制要求及关注要点控制要求及关注要点45控制措施：系统日常运作监控YW2信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：日志是应用系统检查的一项基本证据，是供审计师进行测试的主要依据，如果日志记录不完整、不完善，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性；再者，日志检查表是对每周检查结果的记录，采取一次性打印的方式很大程度上说明没有有效执行控制。风险级别：高46控制措施描述：控制措施描述：网络管理员每周检查防火墙日志，对检查结果签字确认。控制措施：系统日常运作监控YW3控制要求：查看防火墙日志的报警级别的配置

35、查看防火墙的日志记录。主要例外情况：主要例外情况：1、防火墙日志保存不完整2、发现防火墙日志中的异常情况报警之后，没有填写问题记录日志表信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点47控制措施：系统日常运作监控YW3信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：防火墙日志通常会如实记录所有对外部网络的连接和访问情况，通过日志可以很快地查看本地网络是否遭受探测、渗透和入侵。日志证据是审计师进行测试的主要依据，如果日志记录不完整、不完善，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有

36、效性。风险级别：高48控制措施描述：控制措施描述：应用系统负责人指定人员根据应用系统的重要程度，制订备份和恢复策略，填写备份作业清单及备份作业详细说明书，并经过应用系统负责人审批。控制措施：备份与恢复YW6控制要求：审查应用系统备份方案或策略。查看备份相关表单的填制是否规范、合理和完整。主要例外情况：主要例外情况：1、备份作业清单中的备份作业在备份作业详细说明书中没有体现。2、备份作业清单中的备份频率与备份作业详细说明书中的备份频率不一致。3、备份作业清单中的备份作业编号与备份作业详细说明书中的编号不一致。4、备份作业详细说明书中的“异常情况通告”填写为“无异常情况”，实际上应该填写为出现异常

37、情况的处理方式，如“通知应用系统负责人”。信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点49控制措施：备份与恢复YW6信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：备份和恢复策略的管理是保证业务数据完整、有效的重要措施，备份作业清单及备份作业详细说明书是备份和恢复策略管理的基本证据，是供审计师进行测试的主要依据，如果填写不完整或不能体现实际的备份情况，将导致备份管理混乱，并对审计师的判断产生重大影响。风险级别：中50控制措施描述：控制措施描述：应用系统负责人指定人员依据备份策略，执行备份操作，并对执行结果进

38、行检查。控制措施：备份与恢复YW7控制要求：检查数据库及生产系统的备份频率、方式、介质等。检查备份操作是否保留有证据。主要例外情况：主要例外情况：1、检查备份日志，发现备份日志与备份作业记录表记录的情况不一致。如备份日志中显示没有进行备份，但是备份作业记录表中记录为“正常”。2、备份日志保存不完整，导致无法检查备份作业记录表与系统实际是否一致。信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点51控制措施：备份与恢复YW7信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：只有按照已经制定备份和恢复策略进行业务数据备

39、份和恢复工作并进行备份作业记录表和记录备份、恢复日志才能保证业务数据完整、有效，备份作业记录表和备份、恢复日志是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：高52控制措施描述：控制措施描述：应用系统负责人指定人员每年，或备份方法、步骤或环境发生重大变化时，进行恢复性测试，应用系统负责人对测试结果签字确认。控制措施：备份与恢复YW8控制要求：针对备份策略的变化，及环境发生变化，检查是否执行了备份恢复测试。获取相关管理员和负责任对备份恢复测试的理解程度。主要例外情况：主要例外情况：系统发生重大变更时，没有

40、进行备份恢复性测试。如FMIS安装清欠模块，没有进行备份恢复性测试。信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点53控制措施：备份与恢复YW8信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点风险描述：风险描述：对备份数据进行恢复性测试是保证备份有效性的主要措施，备份恢复测记录表是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：低54控制措施描述：控制措施描述：帮助热线支持人员定期分类汇总当月发生的问题，形成书面分析报告，向本部门主管领导汇

41、报。控制措施：问题管理YW9控制要求：确认各应用系统的热线帮助人员。确认问题管理是否系统化，热线帮助人员是否具有主动、积极的态度。主要例外情况：主要例外情况：1、有问题发生，但是没有填写问题记录日志表，如发现备份不成功，在备份作业记录表中选择了“转问题处理”这一选项，但是实际没有填写问题记录日志表2、问题分类汇总月报表中的问题数量与当月问题记录日志表中的问题总数不一致3、负责人没有在问题分类汇总月报表上签字。信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点55控制措施：问题管理YW9信息信息系统日常运作系统日常运作子领域子领域控制要求及关注要点控制要求及关注要点

42、风险描述：风险描述：有效的问题管理流程将保证公司信息系统和业务流程有效的运转，问题记录日志表是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：中56信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域57变更管理子领域变更管理子领域注：黄色表示出现例外注：黄色表示出现例外情况的风险级别情况的风险级别-高高.我我将在后面详细解释。将在后面详细解释。58控制措施描述：控制措施描述：用户申请变更时应提交变更申请，由主管

43、领导和应用系统负责人（或信息技术部门负责人）进行审批后实施。控制措施：变更申请BG1变更管理变更管理子领域子领域控制要求和关注要点控制要求和关注要点控制要求：控制要求：表单的规范填写和审批。系统中实际发生的变更活动的管理，例如，通过日志检查、应用系统模块查看、访问和使用方式等。59控制措施：变更申请BG1主要例外情况：主要例外情况：变更申请表与变更统计表不一致；变更申请表填写不规范，例如，缺少“变更预期时间”，未选择“变更受理”等内容。变更管理变更管理子领域子领域控制要求和关注要点控制要求和关注要点风险描述：风险描述：对于系统变更活动如果没有有效的申请、审批流程等控制，将导致审计师无法有效地对

44、该等控制点实施测试，也将影响到管理层实施检查的有效性。另外，也无法对变更实施统一的、有效的管理。风险级别：中 60控制措施描述：控制措施描述：负责变更实施及测试的信息技术人员建立与生产环境相隔离的开发/测试环境，并在其中进行变更的开发及测试。控制措施：变更实施BG3变更管理变更管理子领域子领域控制要求和关注要点控制要求和关注要点控制要求：控制要求：物理上接触测试环境和生产环境。逻辑上访问测试环境和生产环境。61控制措施：变更实施BG3主要例外情况：主要例外情况：变更过程中开发和测试环境与生产环境之间未进行有效的隔离。变更管理变更管理子领域子领域控制要求和关注要点控制要求和关注要点风险描述：风险

45、描述：开发、测试与生产环境未进行有效的隔离可能会导致：开发人员在应用系统中安装后门程序，导致应用系统自身的安全控制失效；开发与生产环境未分离会导致开发环境的不确定性进而影响到生产系统的可靠性、稳定性和安全性。风险级别：高62控制措施描述：控制措施描述：变更申请人的主管领导、应用系统负责人（或信息技术部门负责人）共同审核程序版本的准确性，确定是否可以上线。控制措施：变更上线BG4变更管理变更管理子领域子领域控制要求和关注要点控制要求和关注要点控制要求：控制要求：检查上线申请与审批的流程及证据。检查上线测试的流程和状况。63控制措施：变更上线BG4主要例外情况：主要例外情况：1、变更上线未经过充分

46、的测试。2、变更上线未经过审批，或未留下证据。变更管理变更管理子领域子领域控制要求和关注要点控制要求和关注要点风险描述：风险描述：变更上线若未经过充分的测试，将会对生产系统产生无法预料的影响。轻则影响应用系统的功能和性能，严重的可能导致整个应用系统崩溃。未经充分测试和审批的变更上线属于实质性漏洞。风险级别：高64信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域65项目建设管理子领域项目建设管理子领域注：黄色表示出现例外注：黄色表示出现例外情况的风险级别情况的风险级别-高高.我我将在后面详细解释。将

47、在后面详细解释。66风险分析：风险分析：项目建设属于高风险的领域，其中所涉及的KF1至KF9共9个点理论上均属于高风险控制点。在实际测试中，我们发现用户对项目建设管理的整个生命周期和关键控制点未做到有效的控制，体现在某些控制没有实施，控制证据不足。同时，未理解项目建设中可能存在重大隐患的控制点。以上所列问题会影响到对整体项目及应用系统的控制，或是对整体项目是否成功产生实质性的影响。同时，会影响到外审对该控制领域的判断。也会对财务报告产生重大影响。在项目建设中，应重点关注项目计划、上线测试、项目变更、环境分离等控制点。项目建设管理子领域风险分析项目建设管理子领域风险分析67控制措施描述：控制措施

48、描述：项目经理应组织制订项目的总体计划，应包括项目范围、进度管理、人员需求、沟通管理等基本内容。控制措施：方法论及项目审批KF1控制要求：分析项目的总体计划、成本控制、质量控制、人员组织等信息。考察项目经理的背景以及是否经过相关培训。了解项目管理的目标、方法和流程。主要例外情况：主要例外情况：1、资产系统5.0升级到资产系统6.0项目没有制定专门的项目总体计划，而是把其他文档（如资产信息集中管理项目的工作计划表）作为替代，2、项目总体计划中缺少项目范围、人员需求、沟通管理等基本内容，或者缺少项目经理的签名和审批意见。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点68控

49、制措施描述：控制措施描述：项目立项由项目建设单位根据自身业务需求提出申请，本单位信息技术部门和规划计划部门负责审批。控制措施：方法论及项目审批KF2控制要求：分析业务目标和预期收益。主要例外情况：主要例外情况：可行性研究报告中缺少：项目目标与范围、现状与需求分析、技术方案、系统设计、组织机构与定员、实施计划、实施投资估算、实施风险与效益分析中的一项或几项。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点69控制措施描述：控制措施描述：需求分析报告完成后，项目经理组织项目组与各相关方共同讨论该报告，各方确认报告内容后，在报告上签字。控制措施：系统开发KF3控制要求：分析业

50、务需求、概要设计和详细设计等内容。报告是否执行了有效的、全面的审批。主要例外情况：主要例外情况：需求分析报告缺少业务部门负责人或者项目经理的签字项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点70控制措施描述：控制措施描述：系统应经过用户接受测试，用户要对测试结果进行签字确认。控制措施：测试KF5控制要求：用户对应用系统功能的熟悉程度，对性能的接受度。检查测试实施证据是否完整。主要例外情况：主要例外情况：1、没有进行用户接受测试2、用户对测试结果没有签字项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点71控制措施描述：控制措施描述：数据移植应进行