X基金管理有限公司信息化及信息安全內(nèi)部審計(jì)辦法第一章總則第一條為加強(qiáng)信息技術(shù)監(jiān)管，維護(hù)公司信息系統(tǒng)安全，提升公司信息技術(shù)管理水平，根據(jù)《X基金管理有限公司信息技術(shù)管理制度》《X基金管理有限公司監(jiān)察稽核制度》等相關(guān)制度規(guī)定，制定本辦法。第二條信息化與信息安全內(nèi)部審計(jì)內(nèi)容包括部門審計(jì)、設(shè)備審計(jì)、軟件審計(jì)、網(wǎng)絡(luò)審計(jì)、信息系統(tǒng)建設(shè)項(xiàng)目審計(jì)、特定信息系統(tǒng)審計(jì)等。其中部門審計(jì)、設(shè)備審計(jì)、軟件審計(jì)、網(wǎng)絡(luò)審計(jì)為周期性審計(jì)。信息系統(tǒng)建設(shè)項(xiàng)目審計(jì)、特定信息系統(tǒng)審計(jì)為非周期性的臨時(shí)審計(jì)。第二章周期性審計(jì)第三條公司每年對(duì)技術(shù)管理部和信息技術(shù)系統(tǒng)進(jìn)行一次稽核審計(jì)。第四條周期性審計(jì)包括信息系統(tǒng)相關(guān)決策程序、信息資產(chǎn)的管理、賬號(hào)與權(quán)限管理、災(zāi)難恢復(fù)計(jì)劃、信息安全、機(jī)房管理、核心應(yīng)用系統(tǒng)管理等管理內(nèi)容審計(jì)。第五條內(nèi)部審計(jì)小組由公司督察長(zhǎng)為組長(zhǎng)，分管信息技術(shù)領(lǐng)導(dǎo)、技術(shù)管理部、財(cái)務(wù)管理部、綜合管理部、監(jiān)察稽核部成員組成。必要時(shí)，可聘請(qǐng)外部專家參與內(nèi)部審計(jì)。第六條審計(jì)項(xiàng)目、審計(jì)程序、核查資料及配合部門如下表：項(xiàng)目?jī)?nèi)容審計(jì)程序核查資料配合部門信息資產(chǎn)的管理根據(jù)歷史采購(gòu)及技術(shù)管理部統(tǒng)計(jì)清單，盤點(diǎn)現(xiàn)有信息資產(chǎn)的完整性信息資產(chǎn)清單綜合管理部財(cái)務(wù)管理部技術(shù)管理部檢查信息資產(chǎn)的報(bào)廢、處置手續(xù)是否完整，審批權(quán)限是否完整資產(chǎn)報(bào)廢申請(qǐng)單/報(bào)告綜合管理部財(cái)務(wù)管理部技術(shù)管理部檢查信息資產(chǎn)的申請(qǐng)、使用、保管手續(xù)是否完整，審批權(quán)限是否完整資產(chǎn)申請(qǐng)單/信息資產(chǎn)保管清單財(cái)務(wù)管理部技術(shù)管理部檢查信息資產(chǎn)的分布合理性，確定其同比人員與信息資產(chǎn)比率的一致性信息資產(chǎn)清單各使用部門檢查信息資產(chǎn)的維修/維護(hù)是否合理，是否存在維修/維護(hù)申請(qǐng)資產(chǎn)維修/維護(hù)申請(qǐng)單技術(shù)管理部賬號(hào)與權(quán)限管理詢問應(yīng)用系統(tǒng)操作人員，確定是否存在多人使用一個(gè)賬號(hào)的情況；是否存在借用其賬號(hào)給別人使用的情況應(yīng)用賬號(hào)清單各使用部門抽取部分具有應(yīng)用系統(tǒng)操作權(quán)限的人員賬號(hào)，測(cè)試是否存在密碼為空或密碼過于簡(jiǎn)單應(yīng)用賬號(hào)清單技術(shù)管理部根據(jù)應(yīng)用系統(tǒng)操作人員清單，核對(duì)是否存在《賬號(hào)與權(quán)限申請(qǐng)表》，審批手續(xù)是否完整賬號(hào)與權(quán)限申請(qǐng)單應(yīng)用賬號(hào)清單技術(shù)管理部檢查是否存在已離職人員的賬號(hào)與權(quán)限仍然存在，仍然被使用的情況應(yīng)用賬號(hào)清單技術(shù)管理部綜合管理部應(yīng)用專項(xiàng)評(píng)估應(yīng)用系統(tǒng)操作手冊(cè)的完整性，是否存在未涵蓋的業(yè)務(wù)流程或控制缺失或控制薄弱環(huán)節(jié)應(yīng)用操作手冊(cè)技術(shù)管理部檢查應(yīng)用系統(tǒng)中主要業(yè)務(wù)模塊，確定其數(shù)據(jù)處理是否完整、準(zhǔn)確技術(shù)管理部確定應(yīng)用系統(tǒng)現(xiàn)有開發(fā)功能的完整性，是否存在未覆蓋的業(yè)務(wù)模塊或存在未滿足相關(guān)需要的數(shù)據(jù)技術(shù)管理部各使用部門檢查應(yīng)用系統(tǒng)后臺(tái)配置維護(hù)的權(quán)限是否合理應(yīng)用后臺(tái)配置維護(hù)人員清單技術(shù)管理部檢查應(yīng)用報(bào)表的開發(fā)程序是否完整；開發(fā)原理是否準(zhǔn)確；程序開發(fā)與維護(hù)職能是否分離應(yīng)用報(bào)表開發(fā)原理技術(shù)管理部災(zāi)難恢復(fù)計(jì)劃?rùn)z查是否制定信息數(shù)據(jù)的備份計(jì)劃；備份計(jì)劃（含備份內(nèi)容、備份方式等）是否完整數(shù)據(jù)備份計(jì)劃技術(shù)管理部檢查信息數(shù)據(jù)備份計(jì)劃的執(zhí)行情況，是否按計(jì)劃規(guī)定時(shí)間進(jìn)行對(duì)應(yīng)數(shù)據(jù)的備份數(shù)據(jù)備份計(jì)劃備份登記表技術(shù)管理部現(xiàn)場(chǎng)確認(rèn)備份介質(zhì)的保管是否合理；備份數(shù)據(jù)是否完整備份清單技術(shù)管理部詢問備份數(shù)據(jù)使用是否留有記錄；如有，檢查備份數(shù)據(jù)使用的合理性及審批權(quán)限的完整性備份數(shù)據(jù)使用記錄技術(shù)管理部詢問備份數(shù)據(jù)的清理程序，是否予以記錄；如有，檢查備份數(shù)據(jù)的清理是否合理，審批權(quán)限是否完整備份數(shù)據(jù)清理記錄技術(shù)管理部中心機(jī)房管理確定是否存在非機(jī)房管理員進(jìn)出機(jī)房的登記記錄；登記記錄內(nèi)容是否完整進(jìn)出機(jī)房登記表技術(shù)管理部檢查進(jìn)出機(jī)房人員是否取得權(quán)限審批；與進(jìn)出機(jī)房登記表核對(duì)是否一致進(jìn)入機(jī)房申請(qǐng)單技術(shù)管理部確定機(jī)房管理員是否定期對(duì)機(jī)房進(jìn)行清理，是否存在灰塵機(jī)房清理日志技術(shù)管理部機(jī)房設(shè)備是否匯總登記；如有，根據(jù)登記設(shè)備清單，盤點(diǎn)機(jī)房設(shè)備的完整性機(jī)房設(shè)備清單技術(shù)管理部檢查機(jī)房?jī)?nèi)UPS不間斷電源的運(yùn)作情況，是否存在UPS不間斷電源運(yùn)行異常技術(shù)管理部檢查機(jī)房是否有恒溫、恒濕的測(cè)量?jī)x器；如有，檢查測(cè)量?jī)x器的讀數(shù)是否與規(guī)定的溫濕一致技術(shù)管理部信息安全管理抽查部分電腦設(shè)備，是否存在未經(jīng)授權(quán)的應(yīng)用程序；如有，是否履行了特殊審批程序授權(quán)應(yīng)用程序清單技術(shù)管理部各使用部門確定應(yīng)用程序中源代碼的訪問權(quán)限，檢查訪問人員是否經(jīng)必要授權(quán)技術(shù)管理部源代碼修改是否有明確規(guī)定；是否存在源代碼的修改；如有，其修改是否經(jīng)權(quán)限審批；審批層級(jí)是否完整源代碼修改程序技術(shù)管理部是否明確數(shù)據(jù)庫(kù)、服務(wù)器等的訪問權(quán)限規(guī)定；檢查相關(guān)日志，確定是否存在非授權(quán)訪問技術(shù)管理部統(tǒng)計(jì)外部網(wǎng)絡(luò)使用者清單，核對(duì)計(jì)算機(jī)應(yīng)用權(quán)限申請(qǐng)，是否存在未授權(quán)使用網(wǎng)絡(luò)的情況外部網(wǎng)絡(luò)使用者清單、計(jì)算機(jī)應(yīng)用權(quán)限申請(qǐng)技術(shù)管理部檢查重要（如財(cái)務(wù)、人事等）公共文件夾的安全性，是否存在未經(jīng)授權(quán)人員訪問相應(yīng)數(shù)據(jù)；并確定是否有輸入、輸出權(quán)限技術(shù)管理部檢查各重要（如財(cái)務(wù)、人事等）公共文件夾內(nèi)容是否設(shè)置讀、寫密碼保護(hù)；是否存在未經(jīng)授權(quán)人員寫入權(quán)限技術(shù)管理部檢查防火墻或殺毒軟件集中日志，是否存在異常事項(xiàng)；確定異常事項(xiàng)是否為非授權(quán)范圍內(nèi)操作引起工作日志技術(shù)管理部檢查服務(wù)器日志，是否存在未經(jīng)授權(quán)的訪問；確定是什么原因?qū)е麓嗽L問服務(wù)器日志技術(shù)管理部統(tǒng)計(jì)具有公司可外發(fā)郵件的使用者，查看是否進(jìn)行郵件監(jiān)控；是否存在未經(jīng)授權(quán)的郵件郵件使用者清單技術(shù)管理部檢查公司內(nèi)部收發(fā)文件的權(quán)限設(shè)置，是否存在未經(jīng)授權(quán)的操作技術(shù)管理部第三章非周期性審計(jì)第七條信息系統(tǒng)建設(shè)項(xiàng)目審計(jì)、特定信息系統(tǒng)審計(jì)為非周期性審計(jì)。第八條監(jiān)察稽核部每月與技術(shù)管理部負(fù)責(zé)人溝通信息技術(shù)方面的工作及正在開展或準(zhǔn)備開展的項(xiàng)目。通過討論和審查信息技術(shù)項(xiàng)目的實(shí)施計(jì)劃，確定擬進(jìn)行審計(jì)的高風(fēng)險(xiǎn)項(xiàng)目/系統(tǒng)。第九條信息系統(tǒng)建設(shè)項(xiàng)目管理審計(jì)包括對(duì)項(xiàng)目的組織與管理、用戶參與程度、技術(shù)和用戶培訓(xùn)、項(xiàng)目計(jì)劃、控制和管理、品質(zhì)和預(yù)算控制、設(shè)計(jì)步驟、方法和技術(shù)、實(shí)施步驟和遷移計(jì)劃等方面進(jìn)行評(píng)估。第十條信息系統(tǒng)建設(shè)項(xiàng)目管理審計(jì)采用查閱項(xiàng)目文檔的方法，通過評(píng)估文檔完備程度、計(jì)劃與實(shí)際工作記錄的對(duì)應(yīng)程度來檢查評(píng)估項(xiàng)目管理情況。第十一條特定信息系統(tǒng)運(yùn)行過程審計(jì)是在信息系統(tǒng)正式運(yùn)行階段，針對(duì)信息系統(tǒng)是否被正確操作和是否有效地運(yùn)行，實(shí)現(xiàn)信息系統(tǒng)的開發(fā)目標(biāo)、滿足用戶需求而進(jìn)行的審計(jì)。對(duì)信息系統(tǒng)運(yùn)行過程的審計(jì)分為系統(tǒng)輸入審計(jì)、通信系統(tǒng)審計(jì)、處理過程審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、系統(tǒng)輸出審計(jì)和運(yùn)行管理審計(jì)六大部分。（一）輸入審計(jì)的關(guān)鍵控制點(diǎn)有：是否制定并遵守輸入管理規(guī)則，是否有數(shù)據(jù)生成順序、處理等的防錯(cuò)、保護(hù)措施，防錯(cuò)、保護(hù)措施是否有效等。（二）通信系統(tǒng)實(shí)施的是實(shí)際數(shù)據(jù)的傳輸，通信系統(tǒng)中，審計(jì)軌跡應(yīng)記錄輸入的數(shù)據(jù)、傳送的數(shù)據(jù)和工作的通信系統(tǒng)。通信系統(tǒng)審計(jì)的關(guān)鍵控制點(diǎn)有：是否制定并遵守通信規(guī)則，對(duì)網(wǎng)絡(luò)存取控制及監(jiān)控是否有效等。（三）處理過程指處理器在接收到輸入的數(shù)據(jù)后對(duì)數(shù)據(jù)進(jìn)行加工處理的過程，處理過程的審計(jì)主要針對(duì)數(shù)據(jù)輸入系統(tǒng)后是否被正確處理。關(guān)鍵控制點(diǎn)有：被處理的數(shù)據(jù)，數(shù)據(jù)處理器，數(shù)據(jù)處理時(shí)間，數(shù)據(jù)處理后的結(jié)果，數(shù)據(jù)處理實(shí)現(xiàn)的目的，系統(tǒng)處理的差錯(cuò)率，平均無(wú)故障時(shí)間，可恢復(fù)性和平均恢復(fù)時(shí)間等。（四）數(shù)據(jù)庫(kù)審計(jì)是保障數(shù)據(jù)庫(kù)正確行使了其職能，如對(duì)數(shù)據(jù)操作的有效性和發(fā)生異常操作時(shí)對(duì)數(shù)據(jù)的保護(hù)功能(正確數(shù)據(jù)不丟失，數(shù)據(jù)回滾以保證數(shù)據(jù)的一致性等)。關(guān)鍵控制點(diǎn)有：對(duì)數(shù)據(jù)的存取控制及監(jiān)視是否有效，是否記錄數(shù)據(jù)利用狀況并定期分析，是否考慮數(shù)據(jù)的保護(hù)功能，是否有防錯(cuò)、保密功能，防錯(cuò)、保密功能是否有效等。（五）輸出審計(jì)是在實(shí)際數(shù)據(jù)的基礎(chǔ)上進(jìn)行的審計(jì)。輸出審計(jì)可以對(duì)系統(tǒng)輸出進(jìn)行再控制，結(jié)合用戶需求進(jìn)行評(píng)價(jià)。關(guān)鍵控制點(diǎn)有：輸出信息的獲取及處理時(shí)是否有防止不正當(dāng)行為和機(jī)密保護(hù)措施，輸出信息是否準(zhǔn)確、及時(shí)，輸出信息的形式是否被客戶所接受，是否記錄輸出出錯(cuò)情況并定期分析等。（六）運(yùn)行管理審計(jì)是對(duì)人機(jī)系統(tǒng)中人的行為的審計(jì)。關(guān)鍵控制點(diǎn)有：操作順序是否標(biāo)準(zhǔn)化，作業(yè)進(jìn)度是否有優(yōu)先級(jí)，操作是否按標(biāo)準(zhǔn)進(jìn)行，人員交替是否規(guī)范，能否對(duì)預(yù)計(jì)于實(shí)際運(yùn)行的差異進(jìn)行分析，遇問題時(shí)能否相互溝通，是否有經(jīng)常性培訓(xùn)與教育等。第十二條信息系統(tǒng)維護(hù)過程審計(jì)包括對(duì)維護(hù)計(jì)劃、維護(hù)實(shí)施、改良系統(tǒng)的試運(yùn)行和舊系統(tǒng)的廢除等維護(hù)活動(dòng)進(jìn)行的審計(jì)。第十三條維護(hù)過程的關(guān)鍵控制點(diǎn)有：維護(hù)組織的規(guī)模是否適應(yīng)需要，人員分工是否明確，是否有一套管理機(jī)制和協(xié)調(diào)機(jī)制，維護(hù)過程發(fā)現(xiàn)的可改進(jìn)點(diǎn)，維護(hù)是否得到維護(hù)負(fù)責(zé)人同意，是否對(duì)發(fā)現(xiàn)問題進(jìn)行修正，維護(hù)記錄是否有