Chinaunix首页 | 论坛 | 博客
  • 博客访问: 266001
  • 博文数量: 110
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 115
  • 用 户 组: 普通用户
  • 注册时间: 2016-07-22 15:26
个人简介

10多年的信息工作,随时记录心得和资料,希望能结识更多的朋友

文章分类

全部博文(110)

文章存档

2017年(12)

2016年(12)

2015年(14)

2014年(12)

2009年(15)

2008年(45)

我的朋友

分类: 系统运维

2017-01-22 11:31:19

审计证据清单
  
   
信息化治理审计
  
A001
  
信息化规划报告与审批记录

   
A002
  
信息化规划的实施方案或阶段性报告

   
A003
  
董事会会议相关文件,如会议纪要、决议、决策等工作记录,有信息化重大决策事项,年度信息化工作报告审阅记录

   
A004
  
组织机构和相关职责说明,职责履行文件,如会议纪要、决议、决策等工作记录

   
A005
  
首席信息官的职责履行文件,如OA 文件、会议纪要

   
A006
  
组织架构及职责说明,相关职责履行文件

   
A007
  
信息应用系统清单

   
A008
  
信息化工作项目预算/费用报表

   
A009
  
信息化工作绩效考核报告

   
A010
  
技术研究报告、技术专利证书、国家/国际标准认证证书、行业技术标准制定参与记录等;

   
A011
  
信息化人力资源规划报告、人员招聘过程文档以及培训考核记录。

   
信息化风险管理审计
  
B001
  
信息化风险管理制度及修订记录;

   
B002
  
信息化工作委员会会议记录

   
B003
  
信息技术风险识别记录;

   
B004
  
新技术新产品准入记录;

   
B005
  
法律风险审查制度,法律审查记录,合同文本,内部违法案例等;

   
B006
  
与信息技术有关的客户投诉处理和调解的管理机制文档,与信息技术有关的声誉危机应对机制文档,投诉记录和处理、调解的记录等;

   
B007
  
软硬件产品的使用许可,信息化采购与外包合同中对自主知识产权的保护条款;

   
B008
  
风险提示及发布制度,风险提示及发布记录等;

   
B009
  
信息化风险管理策略执行情况检查制度、检查记录等;

   
B010
  
信息化风险评估记录;

   
B011
  
信息化风险评估报告,处置流程,处置记录等;

   
B012
  
信息风险管理相关沟通机制文档,沟通记录等;

   
B013
  
信息风险计量、监测的方法文档,风险监测指标,风险库。

   
信息安全审计
  
C001
  
重要信息系统定级清单及备案证明;

   
C002
  
等级保护测评报告、整改方案;

   
C003
  
据中心选址风险评估报告相关文档,机房建设验收报告;

   
C004
  
物理区域访问控制机制文档、访问控制记录,物理安全规章制度;

   
C005
  
网络拓扑结构图、网络安全域方案;

   
C006
  
网络安全设备、网络安全各类文档;

   
C007
  
网络审计日志记录;

   
C008
  
主机安全防护、访问控制、监控措施等文档;

   
C009
  
主机审计日志记录;

   
C010
  
重要应用系统安全设计方案;

   
C011
  
重要应用系统审计日志记录;

   
C012
  
数据安全管理制度与流程,数据分级分类管理规范;

   
C013
  
数据管理与使用流程,检查数据使用、审批记录;

   
C014
  
重要数据审计记录

   
C015
  
软件设计文档,密码设备产品相关资质认证记录

   
C016
  
外部重大安全风险事件排查记录和应对措施文档

   
C017
  
信息安全控制措施执行检查记录;

   
C018
  
人员信息化安全培训制度,培训记录。

   
信息系统开发与测试审计
  
D001
  
项目管理制度,执行记录;

   
D002
  
项目风险识别评估制度,风险评估记录等;

   
D003
  
项目风险控制措施,落实记录,文档管理、版本控制记录;

   
D004
  
项目群管理制度,执行流程,沟通机制;

   
D005
  
可行性报告,需求和技术架构评审报告等;

   
D006
  
项目质量控制标准,质量控制检查和监督的记录,保险机构获得的认证证书等;

   
D007
  
信息系统网络拓扑,开发数据来源记录;

   
D008
  
开发过程相关检查记录;

   
D009
  
测试记录、审核报告等;

   
D010
  
开发与测试团队人员清单等;

   
D011
  
功能测试记录,测试用例及报告,测试团队成员名单等;

   
D012
  
非功能测试记录、测试用例、测试团队成员名单等;安全测试记录;

   
D013
  
测试验收记录、测试质量的评估报告等;

   
D014
  
系统版本交付物完整性验收记录和相关文档等;

   
D015
  
试运行记录、投产报告、系统错误修正记录等;

   
D016
  
软件发布文档、审批记录等。

   
信息系统运行审计
  
E001
  
系统帐户管理规定,重要系统帐户清单,定期清查记录,超级管理员帐户审批记录、访问日志等;

   
E002
  
监控系统设计方案,系统性能监控参数清单与阈值,报警记录与分析报告;

   
E003
  
信息系统日志,定期分析记录等;

   
E004
  
信息系统运行报告,报告上报记录;

   
E005
  
配置管理制度和流程、配置流程记录等;

   
E006
  
变更管理制度,变更记录,应急回退计划等;

   
E007
  
服务台管理制度,服务台服务过程记录文档等;

   
E008
  
事件与问题管理文档,问题管理处理过程记录等;

   
E009
  
网络拓扑结构图,网络设备流量统计报告,性能监控统计报告及性能调优方案等;

   
E010
  
设备和介质管理措施,设备和介质的监控或检查记录等;

   
E011
  
备份恢复制度,备份恢复执行记录等;

   
E012
  
信息系统运行的风险排查记录;

   
E013
  
重要系统单点故障排查机制、排查记录、汇总报告及优化方案等;

   
E014
  
运行维护管理平台电子工单记录等。

   
灾难恢复管理审计
  
F001
  
风险分析报告、业务影响分析报告、业务连续性计划等;

   
F002
  
灾难恢复策略、灾难恢复范围、目标文件;

   
F003
  
重要数据备份要求和记录;

   
F004
  
服务水平协议、灾难恢复服务商服务水平验证报告;

   
F005
  
灾备中心备案材料;

   
F006
  
灾备中心建设验收报告;

   
F007
  
灾备中心建设验收报告清单、文档;

   
F008
  
灾难备份系统技术方案;

   
F009
  
灾备中心运维制度规范、操作流程、记录;

   
F010
  
灾备中心运维人员职责清单及资质证明;

   
F011
  
灾难恢复设施与备份系统检测维护记录;

   
F012
  
灾难备份中心监控记录;

   
F013
  
灾难恢复预案;

   
F014
  
灾难恢复预案测试记录、演练记录、评估报告等;

   
F015
  
应急预案、更新记录、审查和批准记录;

   
F016
  
应急指挥处置组织文档、处置规范流程、指挥和牵头及协调条款等;

   
F017
  
灾难损失评估报告、修复重建方案等;

   
F018
  
灾难恢复报告、预案修订记录等;

   
F019
  
第三方应急沟通机制和协议。

   
外包与采购审计
  
G001
  
外包申请及审批记录、外包报告书面材料;

   
G002
  
软硬件产品清单及生产厂商信息;

   
G003
  
外包管理制度、规范、报告;

   
G004
  
外包与采购管理制度,过程记录,违法行为记录等;

   
G005
  
投标文件,评估记录,外包风险评估报告,投标商成功案例,投标商盖章的证书文件等。;

   
G006
  
外包合同、服务水平协议、满意度调查表等;

   
G007
  
软件测试验收报告、记录文档;

   
G008
  
恶意代码检查报告、记录;

   
G009
  
软件设计相关文档及使用指南。

   
互联网保险审计
  
H001
  
互联网保险业务网络域名及IP地址等信息;

   
H002
  
互联网信息服务增值电信业务经营许可证或者网站备案证明;

   
H003
  
第三方平台技术资质条件材料;

   
H004
  
客户端软件安全配置信息;

   
H005
  
开发安全方案、交易认证配置信息;

   
H006
  
网络拓扑与安全设备部署配置信息;

   
H007
  
互联网保险系统风险评估报告;

   
H008
  
开发安全方案、交易支付记录;

   
H009
  
第三方安全保障协议;

   
H010
  
内容发布和变更审核等流程记录;

   
H011
  
互联网保险业务网站安全提示信息;

   
H012
  
假冒网站检查报告。



IT审计报告示例
IT审计报告示例


  
XXX保险公司
  
IT审计报告
  
  
目录
  
  
1. 审计报告概要
  
  
   
被审计对象
   
被审计单位
审计期间
审计时间
组长
主审
本次审计项目从XXX管控等要求出发,对XXX公司的XXX方面进行检视,项目过程中发现其在XXX方面还存在有待完善和提高之处。
   
在本报告第5部分列示主要审计发现及管理建议如下:
   
5.1 信息化治理治理  
   
5.1.1   
   
5.2 信息系统建设与运行维护
   
5.2.1
   
  
  
  
2. 审计目标和范围
  
  
3. 审计对象概述
  
  
4. 审计结
  
  
5.审计发现及管理建议
  
5.1 信息化治理
  
5.1.1建议完善/加强XXX的控制
  
6.现状描述:
  
7.影响分析:
  
8.管理建议:
  
9.管理层反馈:
  
10.整改方案:
  
11.计划完成时间:

参?考?文?献

【1】   国际内部审计专业人员协会.国际内部审计专业实务框架.2009年1月1日.
【2】   国际信息系统审计协会.IS审计和鉴证标准,.2014年.
【3】   中国内部审计协会.第2203号内部审计具体准则——信息系统审计,2013年8月28日.
【4】   财政部、证监会、审计署、银监会、保监会.关于印发企业内部控制配套指引的通知(财会〔2010〕11号).2010年4月15日.
【5】   保险公司内部审计指引(试行)(保监发〔2007〕26号)
【6】   银行业金融机构内部审计指引(银监发[2006]第51号)
中国保险监督管理委员会行业标准文件
《保险机构IT审计规范》编制说明


一、背景意义
保险机构IT审计是保险机构内部控制的重要组成部分,是对保险机构IT工作进行的一种独立、客观的监督、评价和咨询活动。IT审计工作保障保险机构信息科技和信息安全的风险控制在可接受水平,切实维护保险业信息安全,提升保险机构IT审计工作水平,促进IT工作规范化与标准化建设,提高信息化水平,改善保险机构IT服务和业务流程,增加信息化价值。
中国保险监督管理委员会为了能更好检查评价保险机构IT审计工作,提高监督有效性,保证国家有关保险法律法规、方针政策、监管部门规章的贯彻执行,2015年联合保标委启动《保险机构IT审计规范》标准制定工作。《保险机构IT审计规范》是《中国保险业标准化十二五规划》建立保险行业信息标准化体系框架的重要组成部分,是保险机构相对于《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,而开展IT审计工作的具体实施细则。
二、任务来源
2015年初,中国保险监督管理委员会为了能更好检查评价保险机构IT审计工作,提高监督有效性,保证国家有关保险法律法规、方针政策、监管部门规章的贯彻执行,制订保险机构IT审计制度体系。为确保此项工作的落实,保监会联合保标委启动《保险机构IT审计规范》标准制定工作,由中国平安保险(集团)股份有限公司负责标准的起草工作。
三、起草单位
参与本标准制定的单位包括:中国保险监督管理委员会、、中国平安保险(集团)股份有限公司
四、编制原则及技术依据
1.编制原则
本规范充分借鉴国内外保险相关行业的先进理论和最佳实践,根据我国保险业的发展需求,符合我国国情的IT审计管理办法,结合保险行业的实际情况和国内外先进的管理经验而制定。
(1)符合性原则:符合保监会对保险机构有关IT审计工作的规定,如:《保险公司内部审计指引》、《保险机构信息化监管规定》《保险公司信息化工作管理指引》等规定,遵从《保险业标准化工作指南》的要求。
(2)一致性原则:本标准与保险业IT审计工作的其他文件《保险机构信息化监管规定》、《保险机构信息化风险非现场监管报表及评价体系》全面配套,协调一致,构成完整的保险业IT审计体系。
(3)科学性原则:本标准根据《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,结合平安集团的实际情况,从IT审计工作的具体实施细则出发,制订本标准。标准应具有“科学性”、“系统性”、“前瞻性”和“适用性”。
2.技术依据
本标准在编写过程中参照保监会的法规文件《保险公司内部审计指引(试行)》(保监发〔2007〕26号)、《保险公司信息系统安全管理指引(试行)》(保监发〔2011〕68号)、《保险业信息系统灾难恢复管理指引》(保监发〔2008〕20号)、《保险公司信息化工作管理指引(试行)》(保监发〔2009〕133号)、《互联网保险业务监管暂行办法》(保监发〔2015〕69号)、《保险机构信息化监管规定(送审稿)》、《保险机构信息化风险监管报表及评价体系(征求意见稿)》。
本标准编写规则是按照GB/T 1.1-2009 《标准化工作导则  第一部分:标准的结构和编写》的要求进行。
四、标准制订过程
1.项目前期准备
2014年10月至11月,针对《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,中国保险监督管理委员会提出《保险机构IT审计规范》标准研制项目,指导保险机构IT审计工作的实施。由中国平安保险(集团)股份有限公司负责起草工作,平安集团参阅大量中华人民共和国保险法、审计法等文件,并开始前期研究工作,探讨本标准立项目的、工作任务和结构要点,为本标准的起草打下了很好的基础。
2.成立编写组
2015年1月,根据项目需要,在中国保险监督管理委员会的指导下,平安集团组建了标准编制组,并召开编写单位专家小组会议,明确标准名称、结构要点和工作任务。建立项目管理机制,制订项目工作计划。
3.完成标准初稿
2015年2月,按照标准制定原则,项目组在进行文献调研的基础上,学习项目团队的标准化方法、确定标准的编写方案、确定编写依据,收集资料,拟定标准的制定范围和标准框架,完成标准的初稿。
4.编制组召开讨论会,形成征求意见稿
2015年3月至8月,标准编制组召开多次讨论会,对标准草案逐条、逐字进行了讨论,几经修改,充分交换意见,标准草案得到进一步完善。其间项目团队到北京向保监会汇报,根据保监会和相关方意见修改,形成了《保险机构IT审计规范(征求意见稿)》。
五、本标准的主要说明
1.定位说明
本标准《中国保险业标准化十二五规划》建立保险行业信息标准化体系框架的重要组成部分,是保险机构IT审计体系的有效补充。《保险机构信息化监管规定》是保监会对保险机构的信息化工作的规定要求,切实维护保险机构信息安全,加强对保险机构信息化工作的监督管理,促进信息化工作规范化与标准化建设。《保险机构信息化风险非现场监管报表及评价体系》是保监会对保险机构信息化工作的评价标准,明确规定对保险机构IT工作的评价方法和标准,而《保险机构IT审计规范》则是保险机构相对评价体系中的八大评价内容而具体落实的工作细则,两者相辅相成,协调一致。
2.内容说明
本标准分为IT审计内容、审计机构、审计过程以及质量控制,最后以规范性附录的形式,详细规定IT审计项,其中包括保险机构信息化治理、信息化风险管理、信息管理安全、信息系统建设与运行维护、信息系统开发与测试、信息系统运行、灾难恢复管理、外包与采购、互联网保险管理要求等内容。
3.适用范围说明
本标准依据《保险机构信息化风险非现场监管报表及评价体系》的评价内容和评价标准,规定了保险机构开展IT审计工作的具体实施细则,主要包括信息化治理审计、信息化风险管理审计、信息安全管理审计、信息系统开发与测试审计、信息化系统运行审计、灾难恢复管理审计、外包与采购审计、互联网保险审计等细则。
本标准适用于保险机构信息科技审计活动。
4.定义
对保险机构涉及的IT审计、审计项、专业能力、第三方审计机构等进行定义解释。
5.基本原则
保险机构IT审计必须符合“在计划、实施及报告的审计全过程中,均应秉持职业怀疑态度,并遵循诚信、客观、保密及胜任的行为准则”的原则,推行遵守国家法律法规、行业监管规定以及职业要求,诚实、勤恳执行审计工作,同时不得参与可能损害或被认为会损害其客观性和公正性的活动,不得接受可能损害或被认为会损害其职业谨慎的任何物品,避免任何利益冲突。
6.审计内容
保险机构信息化治理、信息化风险管理、信息管理安全、信息系统建设与运行维护、信息系统开发与测试、信息系统运行、灾难恢复管理、外包与采购、互联网保险管理要求等内容;
7.审计机构
从实际工作出发,规范审计机构的基本要求,审计责任部门的设定要求,审计专业人员的资格资质和如何更好利用外部服务提供工作服务。
8.审计过程
保险机构,必须制订完整可行的审计计划,保证各种审计资源充分并得到合理有效配置,规定详细合理的审计实施方法,全程进行实施方法的监控。审计工作完成后,要做好审计报告向管理层进行工作汇报、归档以及后续的工作跟踪。
9.质量控制
审计责任部门应当严格而全面地对审计活动的效率效果进行质量控制,主要包括质量控制责任、质量控制程序、结果汇报等工作。
10.本标准的维护和管理
本标准编制完成后,由作为归口管理单位,负责统筹本标准的推广使用、扩充、修订等管理工作。管理内容包括标准的培训和宣导、标准的推行使用、标准复审、提出标准修订安排等。
11. 参考文献
本标准起草过程中,参阅了大量文档资料,主要资料包括如下:
(1)中华人民共和国保险法
(2)中华人民共和国标准化法
(3)中华人民共和国审计法
(4)中华人民共和国计算机信息系统安全保护条例
(5)保险公司内部审计指引(试行)(保监发〔2007〕26号)
(6)保险公司信息系统安全管理指引(试行)(保监发〔2011〕68号)
(7)保险业信息系统灾难恢复管理指引 (保监发〔2008〕20号)
(8)保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
(9)互联网保险业务监管暂行办法(保监发〔2015〕69号)
(10)保险机构信息化监管规定(送审稿)
(11)保险机构信息化风险监管报表及评价体系(征求意见稿)
(12)关于印发企业内部控制配套指引的通知(财会〔2010〕11号). 财政部、证监会、审计署、银监会、保监会. 2010.4.15
(13)信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)
(14)国际内部审计师协会.国际内部审计专业实务框架.2009.1.1
(15)国际信息系统审计协会.IS审计和鉴证标准.2014
(16)中国内部审计协会.第2203号内部审计具体准则——信息系统审计, 2013.8.28
  
阅读(934) | 评论(0) | 转发(0) |
0

上一篇:互联网保险审计指南

下一篇:没有了

给主人留下些什么吧!~~