信息系统审计报告模板.docx

1、信息系统审计报告模板信息系统审计报告模板 信息系统审计 审计 信息 安全 管理 信息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险。随着数据大集中的推进，信息系统的安全、可靠、稳定、有效、可信显得更加重要。而这些风险 特别是人为因素造成的风险 存在于信息技术流程管理、技术安全管理、项目管理和生产系统运行管理过程中，因此，迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证，通过对信息系统的审计，保证信息系统的可信度，以促进保险公司内控体系的建设，并对信息化建设提供必要的安全控制咨询。 一、信息系统审计的内容 管理流程审

2、计 信息技术管理流程审计主要评估与公司发展战略目标相一致的信息技术规划，评估信息技术工作条例或工作程序，评估信息技术部门的工作职责与工作分工，评估信息系统取得 开发、购置、引进 的制度和流程，评估生产系统的运行维护的制度和流程，评估项目管理、项目监理的制度和流程，评估信息系统的安全管理制度，评估开发、测试、生产系统分岗制衡管理制度等。 技术平台审计 信息技术平台审计主要评估信息技术基础平台的运行与安全管理，包括网络运行与安全管理 如路由器、网络设备、防火墙、通信线路等 、硬件运行与安全管理 如小型机、服务器、前置机、打印机、扫描仪、存储设备、终端等 、操作系统及数据库等运行平台的运行与安全管理

3、 如、数据库、中间件、应用开发工具、应用发布工具、版本管理工具、项目管理工具、防/杀毒工具等 。 信息系统项目审计 信息系统项目审计主要评估信息系统项目管理与项目监理的有效性。 项目管理审计主要评估项目启动、立项、需求分析、系统设计、开发、测试、试点、验收、推广过程的有效性，评价系统开发生命周期中的每一个程序是否均被严格执行，评价系统迁移的方案与效果，评价各类项目文档是否齐全。其目的是控制项目进展过程中的风险。项目监理审计主要评估项目监理在信息系统建设过程中发挥的作用，评估项目监理是否有效保证了信息系统建设的质量、进度和成本符合项目立项时的要求。 评估项目管理与项目监理间的责职是否清晰，分工是

4、否明确。 生产系统审计 信息系统的上线与投产，仅仅是信息化的开始，大量的风险与问题将出现在信息系统的生产运行与维护阶段。保险公司内部一般均建立了核心业务系统、人员 营销员等 管理系统、财务系统、精算系统、再保系统等生产系统，公司的生产经营活动大多要通过生产系统进行，生产系统审计便显得更为重要。 生产系统的审计首先是信息系统与业务流程吻合审计，主要评估实际业务操作流程与信息系统操作流程的吻合情况，评估信息系统对需求的满足度及信息系统操作流程与业务操作流程的吻合度。以退保操作流程为例，退保的典型处理方式是在信息系统中产生应付信息，而财务支付退保款后不再在系统中确认已付款，这就导致系统信息与实际情况

5、不一致，致使流程与数据均不完整，流程被短路、数据被割裂，最终导致数据可用性差，并留下安全隐患。其次是评估与信息系统相关的风险。评估数据访问授权、系统功能授权、业务操作授权、业务 审批 决定授权是否有效，是否拥有防止非法进行数据修改的措施。评估或测试信息系统中的关键控制点是否得到有效控制，如核赔中结案环节控制，需评估结案前的赔案信息状况，如资料是否完整，计算是否正确，会签、审批是否完成。同时需评估结案后的流程执行是否完整，如数据流是否与业务单证流一致。也可评估结案后对保单承保 如结案后要求限制承保 、保全 如结案后要求扣还保单质押借款 、生存给付 如结案后要求中止生存给付或确保再给付几年等 的影

6、响，测试该关键点对保单生命周期各环节的影响是否合理与正确。 二、信息系统审计流程 信息系统审计的工作流程主要包括确定审计范围、做好审计准备、进行审计评估、出具审计报告、提供管理咨询等过程。 可根据审计目标，确定审计范围。例如，是进行全面审计还是专项审计；是进行全公司审计还是部分分公司审计。在此基础上制定审计预案，审计预案中要确定审计依据、人员分工、审计工作程序、方法技巧、审计工作文档模板与案例、审计时间表，并注明需重点关注的地方，也可以将审计预案制作成审计工作手册，让每一个审计人员得到同样的信息。进行审计评估时，应对照审计依据，了解被审计单位的信息技术管理流程、技术基础平台、生产系统运行环境与

7、管理制度，通过关键点测试等方式做出公正、合理的评估。完成后还需出具详细的审计报告，对被审计信息系统或专项被审计对象进行鉴证，并提出必要的管理建议书，也可主动为被审计单位提供管理咨询，促进或帮助被审计单位提高信息系统管理水平。对于公司内部审计，还有一个通过提供管理咨询帮助其提高管理水平的过程，如总公司对分公司的审计，或公司内部对信息系统的审计，更多的责任或义务是通过内部审计发现信息技术管理中的不足，提出改进建议，并督促或辅导职能部门改进、完善。 三、信息系统审计方法 信息系统审计机构 保险公司应有专门的机构负责信息系统审计工作，制定信息系统审计管理制度和工作程序、设计审计方案、制作审计计划、开发

8、审计评估、出具审计报告、提出改进建议、提供管理咨询。 常规审计与专项审计 信息系统审计也可分为常规审计和专项审计。常规审计为例行的全面审计，如每年一次对信息系统进行全面的审计，包括管理流程、技术平台、项目开发和生产系统审计，对信息系统做出全面的评估、鉴证，提出管理建议。专项审计可以针对信息系统管理的某一方面进行专门的审计，可以视实际情况选择进行。如信息系统运行安全的专项审计，可以对公司在信息系统方面的安全管理措施、技术措施的实际应用情况进行审计评估、鉴证，提出管理建 议。专项审计针对公司重点关心的专项问题，针对性强。专项审计也可用于高级信息技术管理人员的离任审计。 现场审计与非现场审计 信息系

9、统审计可在现场进行，也可在非现场进行。现场审计适用于需在现场访谈、观察、测试、调查的情况。如对信息系统操作流程与实际业务操作流程吻合度的审计，需在现场观察数据流与实物流的流转情况。非现场审计主要借助非现场审计系统进行，通过计算机系统进行审计。如对万能险账户积数与账户余额的监控，可以通过计算机系统进行远程随机实时审计，也可要求被审计单位打印指定账户积数与余额后传真至审计机构进行审计。现场审计与非现场审计可以发挥定期审计与随机实时审计相结合的优势，使信息系统审计制度化。外部审计、内部审计与自查审计 外部审计是指由公司外部独立的专业审计机构进行的审计，可对信息系统做出合理、公正的评价，可参照财务审计

10、，每年进行一次。内部审计主要由保险公司内部的审计机构对信息系统进行审计，其目的在于帮助信息管理部门找差距，并督促和辅导信息管理部门提高信息系统管理水平。自查审计主要由各级信息技术管理部门对照信息技术管理标准自查、自纠，进行自我管理与自我完善。 通过审计系统进行审计 信息系统审计的常用方法有访谈、观察、现场测试、调阅文档、调查信息系统相关角色等，也可以开发审计系统对生产系统进行审计。 要实现通过审计系统对生产系统进行审计，必须加强对生产系统建设的事前和事中审计，在生产系统立项、建设时，应明确审计要求，审计人员应参与生产系统的立项、需求分析、设计、验收等工作。在生产系统中，应设置审计接口，记录审计

11、轨迹，由计算机自动记录审计线索，对于修改与删除的操作，应参照会计的红字更正法，在生产系统中留下可追溯的记录。在对生产系统进行验收的过程中，除评价系统是否达到了设计目标、是否满足需求外，还需强调生产系统的可审计性。在开发生产系统的同时，也要开发相应的审计系统，使生产系统投产后就有相应的审计系统投产运行。 开发相应的审计系统，应借鉴国际通用的审计软件，形成一套有保险公司自身特色的通用审计系统，通过对数据的采集、比对、分析，对关键审计点的跟踪、监控、反馈，保障生产系统健康、安全地运行。通过审计系统的应用，汇集大量的审计案例，分析其中的规律，强化已有的控制点，发现或部署新的控制点。这样，一方面进一步改

12、进生产系统的运行状况；另一方面进一步完善审计系统自身功能，使生产系统与审计系统的应用水平共同提高。 四、信息系统审计的目标与任务 信息系统审计的根本目标是促进信息系统安全、稳定、有效、持续运行。通过对信息系统的安全性、稳定性和有效性进行审计、咨询，降低保险公司面临的信息系统风险，促使保险公司信息技术发展目标与其总体经营目标、战略相一致。其任务是完成对信息系统的鉴证、促进和咨询。 鉴证 信息系统审计的鉴证是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与有效性，政策遵循的一贯性。在市场经济下，保险公司的信息资料对其生存、发展非常重要，是其重要的信息资产；同时对利益相

13、关者如监管者、投资者、代理人或机构、团体客户、个人客户等也非常重要。信息系统审计以其独立的身份，对保险公司的信息系统进行审计，查出其中的各种错误、舞弊、风险、不足，有效地保证了被审计信息系统及其处理、产生信息的真实性、完整性、有效性，是维护保险公司正常生产经营不可或缺的重要手段。 促进 信息系统审计完成后需出具审计报告，以鉴证被审计信息系统的真实、完整、有效。这可增强人们对保险公司信息系统的信任度。诚信即价值，经鉴证后的信息系统对信息的使用者是有价值的，高可信的信息系统可以吸引更多的投资者，这对积极争取上市的保险公司具有重要意义。信息系统审计还可出具管理建议书，对信息系统中存在的错误、舞弊、风

14、险、不足提出控制或改进建议，以促进被审计单位对信息系统进行全面审视，并针对上述问题设计解决方案并努力完善。 审计报告格式 一、引言 随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审

15、计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如

16、同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。 近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，

17、就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计，就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术，实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理，在必要时通过多种途径向管理员发 出警告或自动采取排错措施，并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面： 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提

18、供系统的统计日志，使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 中华人民共和国计算机信息系统安全保护条例中定义的计算机信息系统，是指由计算机及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统在计算机信息系统保密管理暂行规定中定义为：采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该针对涉密信息系统的每一个方面，应该对计算机及其相关的和配套的设备、设施，以及对信息的采集、加工、存储、传输和检索等方面进行审计。 具

19、体来说，应该对一个涉密信息系统中的以下内容进行安全审计： 被审计资源安全审计内容 网络通信系统网络流量中典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享等的检测，流量监测以及对异常流量的识别和报警、网络设备运行的监测等。 重要服务器主机操作系统系统启动、运行情况，管理员登录、操作情况，系统配置更改以及病毒或蠕虫感染、资源消耗情况的审计，硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。 重要服务器主机应用平台软件重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange

20、Server、中间件系统、健康状况等。 重要数据库操作数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。 重要应用系统办公自动化系统、公文流转和操作、网页完整性、相关业务系统等。 重要网络区域的客户机病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过Modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计 四、安全审计系统使用的关键技术 根据在涉密信息系统中要进行安全审计的内容，我们可以从技术上分为以下几个模块： 1.网络审计模块：主要负责网络通信系统的审计; 2

21、.操作系统审计模块：主要负责对重要服务器主机操作系统的审计; 3.数据库审计模块：主要负责对重要数据库操作的审计; 4.主机审计模块：主要负责对网络重要区域的客户机进行审计; 5.应用审计模块：主要负责重要服务器主机的应用平台软件，以及重要应用系统进行审计。 还需要配备一个数据库系统，负责以上审计模块生成的审计数据的存储、检索、数据分析等操作，另外，还需要设计一个统一管理平台模块，负责接收各审计模块发送的审计数据，存入数据库，以及向审计模块发布审计规则。如下图所示： 安全审计系统中应解决如下的关键技术： 1.网络监听： 是安全审计的基础技术之一。它应用于网络审计模块，安装在网络通信系统的数据汇

22、聚点，通过抓取网络数据包进行典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享等的检测，流量监测以及对异常流量的识别和报警、网络设备运行的监测等，另外也可以进行数据库网络操作的审计。 2.内核驱动技术： 是主机审计模块、操作系统审计模块的核心技术，它可以做到和操作系统的无缝连接，可以方便的对硬盘、CPU、内存、网络负载、进程、文件拷贝/打印操作、通过Modem擅自连接外网的情况、非业务异常软件的安装和运行等进行审计。 3.应用系统审计数据读取技术： 大多数的多用户操作系统、正规的大型软件、多数安全设备都有自己的审计功能，日志通常用于检查用户的登录、分

23、析故障、进行收费管理、统计流量、检查软件运行情况和调试软件，系统或设备的审计日志通常可以用作二次开发的基础，所以如何读取多种系统和设备的审计日志将是解决操作系统审计模块、数据库审计模块、应用审计模块的关键所在。 4.完善的审计数据分析技术： 审计数据的分析是一个安全审计系统成败的关键，分析技术应该能够根据安全策略对审计数据具备评判异常和违规的能力，分为实时分析和事后分析： 实时分析：提供或获取审计数据的设备和软件应该具备预分析能力，并能够进行第一道筛选; 事后分析：统一管理平台模块对记录在数据库中的审计记录进行事后分析，包括统计分析和数据挖掘。 五、安全审计系统应该注意的问题 安全审计系统的设

24、计应该注意以下几个问题： 1.审计数据的安全： 在审计数据的获取、传输、存储过程中都应该注意安全问题，同样要保证审计信息的“五性”。在审计数据获取过程中应该防止审计数据的丢失，应该在获取后尽快传输到统一管理平台模块，经过滤后存入数据库，如果没有连接到管理平台模块，则应该在本地进行存储，待连接后再发送至管理平台模块，并且应该采取措施防止审计功能被绕过;在传输过程中应该防止审计数据被截获、篡改、丢失等，可以采用加密算法以及数字签名方式进行控制;在审计数据存储时应注意数据库的加密，防止数据库溢出，当数据库发生异常时，有相应的应急措施，而且应该在进行审计数据读取时加入身份鉴别机制，防止非授权的访问。

25、2.审计数据的获取 首先要把握和控制好数据的来源，比如来自网络的数据截取;来自系统、网络、防火墙、中间件等系统的日志;通过嵌入模块主动收集的系统内部信息;通过网络主动访问获取的信息;来自应用系统或安全系统的审计数据等。有数据源的要积极获取;没有数据源的要设法生成数据。对收集的审计数据性质也要分清哪些是已经经过分析和判断的数据，哪些是没有分析的原始数据，要做出不同的处理。 另外，应该设计公开统一的日志读取API，使应用系统或安全设备开发时，就可以将审计日志按照日志读取API的模式进行设计，方便日后的审计数据获取。 3.管理平台分级控制 由于涉密信息系统的迅速发展，系统规模也在不断扩大，所以在安全

26、审计设计的初期就应该考虑分布式、跨网段，能够进行分级控制的问题。也就是说一个涉密信息系统中可能存在多个统一管理平台，各自管理一部分审计模块，管理平台之间是平行关系或上下级关系，平级之间不能互相管理，上级可以向下级发布审计规则，下级根据审计规则向上级汇报审计数据。这样能够根据网络规模及安全域的划分灵活的进行扩充和改变，也有利于整个安全审计系统的管理，减轻网络的通信负担。 4.易于升级维护 安全审计系统应该采用模块设计，这样有利于审计系统的升级和维护。 专家预测，安全审计系统在xx年是最热门的信息安全技术之一。国内很多信息安全厂家都在进行相关技术的研究，有的已经推出了成型的产品，另一方面，相关的安

27、全审计标准也在紧锣密鼓的制定当中，看来一个安全审计的春天已经离我们越来越近了。 但是信息系统的安全从来都是一个相对的概念，只有相对的安全，而没有绝对的安全。安全也是一个动态发展的过程，随着网络技术的发展，安全审计还有很多值得关注的问题，如： 1. 网络带宽由现在的100兆会增加到1G，安全审计如何对千兆网络进行审计就是值得关注的问题; 2. 当前还没有一套为各信息安全厂商承认的安全审计接口标准，标准的制定与应用将会使安全审计跨上一个新的台阶; 一、审计及审计软件的简介 审计是一项具有独立性的经济监督活动，独立性是审计区别于其他经济监督的特征；审计的基本职能不仅是监督，而且是经济监督，是以第三者

28、身份所实施的监督。审计的主体是从事审计工作的专职机构或专职的人员，是独立的第三者，如国家审计机关、会计师事务所及其人员。审计的对象是被审计单位的财政、财务收支及其他经济活动，这就是说审计对象不仅包括会计信息及其所反映的财政、财务收支活动，还包括其他经济信息及其所反映的其他经济活动。审计的基本工作方式是审查和评价，也即是搜集证据，查明事实，对照标准，做出好坏优劣的判断。审计的主要目标，不仅要审查评价会计资料及其反映的财政、财务收支的真实性和合法性，而且还要审查评价有关经济活动的效益性。 审计的重要性不言而喻，首先，审计具有强有力的制约作用。审计通过揭露和制止、处罚等手段，来制约经济活动中各种消极

29、因素,有助于各种经济责任的正确履行和社会经济的健康发展。其次，审计还具有促进作用，审计通过调查、评价、提出建议等手段,来促进、服务宏观经济调控,促进微观经济管理，以助于国民经济管理水平和绩效的提高。 然而随着社会经济与科技的不断进步，审计的主体和客体的不断扩充，纯手工审计的方式尽管具有灵活运用的特点，但是因其效率低、错误率高而逐渐不能满足人们的需要，这时审计软件应运而生。审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指用于帮助完成审计工作的各种软件工具。审计软件可分为四种类型：第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管

30、理软件。 在我们专业实习之前，我们参与过鼎信诺审计软件的培训，比较可惜的是，在正式参与审计时，我们并没有利用专业审计软件进行审计和数据处理，仅利用EXCEL便完成了所有审计工作，但我也通过查阅资料书籍和询问事务所人员初步了解了中瑞岳华审计软件鼎信诺的基本功能和操作，同时我也将在下文中大致描述EXCEL在审计中的运用。 二、XX会计师事务所审计软件鼎信诺 简介 鼎信诺审计系统作为XX会计师事务所的主要审计软件，有如下11个主要功能： 1、前端数据采集 审计前端能够从金蝶K3、金蝶KIS、用友7系列、用友8系列、用友通系列、速达3000、速达5000、新中大、久其、安易、博科、浪潮、远光、远方、小

31、蜜蜂等常见财务软件中取出数据；并且不需要安装可直接运行；前端是完全免费，可以直接从公司网站上下载；对于定制的或者不常见的财务软件，可通过粘贴数据到EXCEL取数模板的方式采集数据。 2、审计抽样 审计人员凭经验和职业判断手工抽取样本；也可以依据审计人员选择的抽样方法，如随机、由大到小 或由小到大和条件，由计算机计算出各种统计数据；同时保留审计轨迹，并与抽样结果一起反映到检查表中。对于已抽出的凭证还可以生成凭证并打印出来。 3、自动生成实质性工作底稿 所有的实质性工作底稿都是自动生成的，实质性工作底稿包括：审计程序、审定表、明细表、检查表等等。对于往来款中有核算项目的，也可自动在明细表中列示。工

32、作底稿 4、往来款账龄计算 往来款的实质性工作底稿中，系统可以依据多年的账套数据计算出账龄。 5、生成银行函证和往来单位函证 在实质性工作底稿中选择要发送函证的银行或往来单位，修改系统提供的函证模板后，系统自动生成一页一页WORD格式的函证。 6、合并会计报表 系统根据母子公司间投资关系等信息自动产生权益抵消、收益抵消，内部往来抵消和内部购销抵消四种抵消分录，用户还可以手工输入抵消分录。系统根据母子公司间投资关系自动产生包括全部母子公司的过渡表和集团合并会计报表。系统自动合成集团公司下属全部单体公司的报表附注，合并报表附注同样可以刷新到WORD中。 7、存货和固定资产的测试 存货或固定资产的实质性工作底稿中，系统可以自动提取前端已采集的相关数据，依据用户选择的不同方法进行测试。 8、数据分析 数据分析有报表分析、图表分析和指标分析三种，从不同的角度分析审计风险。数据 9、审计调整 输入一次审计调整后，该调整分录涉及