Chinaunix首页 | 论坛 | 博客

欢迎光临我的空间

首页 |  博文目录 |  关于我

海峡

  • 博客访问: 250398
  • 博文数量: 110
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 115
  • 用 户 组: 普通用户
  • 注册时间: 2016-07-22 15:26
个人简介

10多年的信息工作,随时记录心得和资料,希望能结识更多的朋友

文章分类

全部博文(110)

文章存档

2017年(12)

2016年(12)

2015年(14)

2014年(12)

2009年(15)

2008年(45)

我的朋友
最近访客
推荐博文
相关博文
外包与采购审计指南

分类: 系统运维

2017-01-22 11:28:39

审计目录
  
审计项
审计依据
《保险机构信息化监管规定》
  
- 第五章外包管理
  
- 第六章  信息安全管理
  
《保险机构信息化风险非现场监管报表及评价体系》
  
- 外包与采购(WBCG)
审计证据
审计过程中作为审计证据涉及的资料包括但不限于如下:
  
?  G001.外包申请及审批记录、外包报告书面材料;
  
?  G002.软硬件产品清单及生产厂商信息;
  
?  G003.外包管理制度、规范、报告;
  
?  G004.外包与采购管理制度,过程记录,违法行为记录等;
  
?  G005.投标文件,评估记录,外包风险评估报告,投标商成功案例,投标商盖章的证书文件等。;
  
?  G006.外包合同、服务水平协议、满意度调查表等;
  
?  G007.软件测试验收报告、记录文档;
  
?  G008.恶意代码检查报告、记录;
  
?  G009.软件设计相关文档及使用指南。
审计指南
G1信息技术自主可控能力
G1.1信息技术外包事项
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,查阅外包管理制度相关文档,评估保险机构的信息技术外包管理情况,包括:
  
a)    查阅外包管理制度、各类外包协议,确认是否明确界定了保险机构允许外包的内容和范围,其中信息系统安全管理责任是否被排除于外包内容之列;
  
b)    查阅董事会相关会议记录,审批记录,确认保险机构对于涉及商业秘密及客户隐私等敏感内容的信息系统的外包,是否按照国家和保监会有关规范要求进行,是否经过董事会的严格评审和批准;
  
c)    查阅相关外包报告材料,确认保险机构如果对于数据中心、信息技术基础设施准备实施外包时是否正式书面报告保监会。
G1.2信息产品国产化程度
IT审计专业人员应访谈保险机构信息资产管理负责人员,查阅保险机构现有的软硬件产品清单及相应生产厂商信息,了解并评估保险机构的信息产品采购流程和重要信息系统相关软硬件产品的国产化比例情况,确认保险机构是否建立完善的信息产品采购机制,对于安全可控的同等国产设备和产品是否优先选择采购。
G2外包与采购服务
G2.1外包与采购管理制度
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,查阅外包管理制度相关文档,了解并评估保险机构的信息化工作外包流程及执行情况,包括:
  
a)    查阅外包与采购管理相关制度文档,确认保险机构是否建立完善的外包服务管理与采购管理制度,对服务商支持运维服务的相关活动进行统一管理;
  
b)    确认保险机构是否对外包服务建立完善的风险评估机制,按照国家及保监会相关规定选择信誉良好且具备服务资质的服务商,是否组织相关人员对服务合同范本及服务合同进行审定,参与审定的人员是否涵盖所有相关的部门;
  
c)    确认是否在与服务商签订的合同中明确安全要求,约定相关责任,明晰服务内容和质量要求;
  
d)    确认是否与服务商签署保密协议,不得泄露所服务机构的敏感信息,是否要求服务商签署承诺书,承诺所提供的产品不存在恶意代码或未授权的功能,不提供违反国家法律法规的功能模块,并符合保险行业有关技术规范和技术指引;
  
e)    查阅相关外包报告材料,确认保险机构对于信息技术基础设施、关键业务应用系统等重要设施实施外包时是否正式书面报告保监会。
G2.2外包与采购过程
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,查阅外包管理制度相关文档,了解并评估保险机构的信息化工作外包流程及管理情况,包括:
  
a)    确认保险机构在外包与采购过程是否提供服务商所需的信息(如产品规范、服务规范、过程程序、人员技能需求、产品确认及验收标准、作业指导和其他规定),并要求服务商按规定严格实施;
  
b)    查阅外包与采购过程相关记录,确认保险机构是否组织对外包与采购过程进行监控评估,对服务商进行审核和实施监督审查,是否将外包过程中对服务商能力的综合评价作为后续外包与采购服务的考核评估输人信息;  
  
c)    确认保险机构是否要求服务商在问题出现过程及时采取纠正及预防措施,以确保外包与采购过程的持续有效。
G2.3外包服务商考核评估
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,查阅外包管理制度相关文档,了解并评估保险机构对外包服务商的考核评估机制及执行管理情况,包括:
  
a)    确认保险机构是否针对外包服务商建立了完善的考核评估制度,是否充分审查、评估外包服务商的财务稳定性、专业经验和诚信记录;
  
b)    查阅相关外包风险评估报告、对服务商的评估记录、服务商投标文件等文档,确认保险机构是否对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任,是否进行对外包商资质等相关文件的审查,是否定期对外包商的服务质量进行考核评估,并作为选择外包服务商的依据。
G2.4外包服务商管理
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,查阅外包管理制度相关文档,了解并评估保险机构对外包服务商管理机制及执行情况,包括:
  
a)    确认保险机构是否按照国家及保监会相关规定及内部考核评估要求选择具备良好服务资质的外包服务商;
  
b)    确认保险机构是否与外包服务商签订外包合同与保密协议,明确双方责任、保密事项、知识产权归属、行为约束等内容,及确保信息系统安全运行、风险可控;
  
c)    确认保险机构是否定期收集、更新供应商信息,组织对外包服务商的服务质量、合同履行情况、人员工作情况等内容进行评价,形成评估报告,并跟踪和记录外包服务商改进情况;
  
d)    查阅外包服务商提供的服务水平报告、定期自我评估、保险机构内部或外部独立审计报告等,确认外包服务商的服务质量是否得到监督控制;
  
e)    确认保险机构是否要求服务商控制服务人员流动,保证人员的一致性。对于必要人员流动,是否要求服务商提供相应的安全措施,并对可能产生的安全事件负责;
  
f)    确认保险机构是否建立合适的应急措施,以应对外包服务商在服务中可能出现的重大损失。
G3外包软件开发
G3.1软件质量检测
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,了解并评估保险机构对外包软件的质量检测管理情况,包括:
  
a)    查阅保险机构的软件质量控制标准、代码编写规范等文档,确认保险机构是否建立完善的软件质量检测机制,根据开发需求对外包开发的软件进行开发质量监督及检测。
  
b)    查阅测试验收记录和质量评估报告,确认保险机构是否对测试过程和有关测试有效性进行了审查并对测试质量进行了评估。
G3.2源代码审查
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,了解并评估保险机构对外包软件的源代码审查机制的充分性及有效性,并查阅相关源代码审查报告,确认保险机构对于外包开发的软件是否要求外包服务商提供软件源代码并对软件源代码进行详细注释,是否在软件测试验收过程中检测软件包中可能存在的恶意代码。
G3.3开发文档管理
IT审计专业人员应访谈保险机构信息系统开发管理负责人员,查阅相关服务合同/协议及验收记录等文档,了解并评估保险机构对外包软件的开发文档管理情况,包括:
  
a)    确认保险机构是否在与外包开发服务商签订的合同及服务协议中明确要求服务商应提供软件设计的相关软件设计文档和使用指南,例如系统需求分析、软件设计说明书、系统功能说明及系统维护手册等开发文档;
  
b)    查阅外包开发软件相关的交付及验收记录,确认其是否包括开发文档验收,验收清单是否完整。
备注:保险机构至少应每三年进行一次外包与采购审计。
A
阅读(1271) | 评论(0) | 转发(0) |
0

上一篇:保险机构IT审计规范(征求意见稿)

下一篇:互联网保险审计指南

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6