IT审计业务方案表格文件下载.xls

1、信息资产清单使用部门2010/10/91010T0451检查信息资产的维修/维护是否合理？是否存在维修/维护申请？资产维修/护申请单信息部2010/10/91010T0561账号与权限管理询问SAP系统操作人员，确定是否存在多人使用一个账号的情况？是否借用其账号给别人使用的情况？SAP账号清单使用部门2010/10/91010T0671抽取部分具有SAP系统操作权限的人员账号，测试是否存在密码为空或密码过于简单（如：123456）的情况？SAP账号清单信息部2010/10/91010T0781根据SAP系统操作人员清单，核对是否存在账号与权限申请？审批手续是否完整？账号与权限申请单、SAP账号

2、清单信息部2010/10/91010T0891检查是否存在已离职人员的账号与权限仍然存在，是否仍然被使用？SAP账号清单信息部、人力资源部2010/10/91010T09106SAP专项评估SAP系统操作手册的完整性，确定是否存在未涵盖的业务流程或控制缺失或控制薄弱环节？SAP操作手册信息部2010/10/111010T10114检查SAP系统中主要业务模块，确定其数据处理是否完整、准确？信息部2010/10/121010T11122通过调查，确定SAP现有开发功能的完整性，是否存在未覆盖的业务模块或存在未满足相关需要的数据？信息部、使用部门2010/10/121010T12133检查SAP系

3、统后台配置维护的权限是否合理？SAP后台配置维护人员清单信息部2010/10/131010T13144SAP报表的开发程序是否完整？开发原理是否准确？程序开发与维护职能是否分离？SAP报表开发原理信息部2010/10/131010T14152灾难恢复计划检查是否制定信息数据的备份计划？确定备份计划（含备份内容、备份方式等）是否完整？数据备份计划信息部2010/10/141010T15161检查数据备份计划的执行情况？是否按计划规定时间进行对应数据的备份？数据备份计划、备份登记表信息部2010/10/141010T16171现场确认备份介质的保管是否合理？并确认备份数据的完整性？备份清单信息部2

4、010/10/141010T17181询问备份数据使用是否予以记录？如有，检查备份数据使用的合理性及审批权限的完整性？备份数据使用记录信息部2010/10/141010T18审审计计业业务务方方案案编编制制日日期期：序序号号时时间间安安排排项项目目内内容容审审计计程程序序查查核核资资料料配配合合部部门门计计划划时时间间底底稿稿索索引引Sch.Sch.Act.Act.191灾难恢复计划询问备份数据的清理程序，是否予以记录？如有，检查备份数据的清理是否合理，审批权限是否完整？备份数据清理记录信息部2010/10/141010T19201中心机房管理确定是否存在非机房管理员进出机房的登记记录？登记记

5、录内容是否完整？进出机房登记表信息部2010/10/131010T20211进出机房是否取得权限审批？与进出机房登记表核对是否一致？进入机房申请单信息部2010/10/131010T21221确定机房管理员是否定期对机房进行清理，是否存在灰尘等？机房清理日志信息部2010/10/151010T22232机房设备是否汇总登记？如有，根据登记设备清单，盘点机房设备的完整性？机房设备清单信息部2010/10/151010T23241检查机房内UPS不间断电源的运作情况，是否存在UPS不间断电源运行异常？信息部2010/10/151010T24251检查机房是否有恒温、恒湿的测量仪器？如有，检查测量仪

6、器的读数是否与规定的温湿一致？信息部2010/10/151010T25264信息安全管理抽查部分电脑设备，是否存在未经授权的应用程序？非经授权的应用程序，是否具有特殊的审批？授权应用程序清单信息部、使用部门2010/10/161010T26272确定应用程序中源代码的访问权限，具有哪些人员可访问应用程序的源代码？是否经授权？信息部2010/10/161010T27282源代码修改是否有明确规定？是否存在源代码的修改？如有，其修改是否经权限审批？审批层级是否完整？源代码修改程序信息部2010/10/161010T28审审计计业业务务方方案案编编制制日日期期：序序号号时时间间安安排排项项目目内内容

7、容审审计计程程序序查查核核资资料料配配合合部部门门计计划划时时间间底底稿稿索索引引Sch.Sch.Act.Act.291信息安全管理是否明确数据库、服务器等的访问权限规定？检查相关日志，确定是否存在非授权访问？信息部2010/10/181010T29302统计外部网络使用者清单，核对计算机应用权限申请，确定是否存在未授权使用网络的情况？外部网络使用者清单、计算机应用权限申请信息部2010/10/181010T30311检查重要（如财务部）公共文件夹的安全性，是否存在未经授权人员可访问相应数据？并确定是否有输入、输出权限？信息部2010/10/181010T31321检查各重要（如财务部）公共文

8、件夹内容是否设置读、写密码保护？是否存在未经授权人员写入权限？信息部2010/10/181010T32332检查防火墙或杀毒软件集中日志，是否存在异常事项？确定异常事项是否为非授权范围内操作引起？工作日志信息部2010/10/181010T33342检查服务器日志，是否存在未经授权的访问？并确定是什么原因导致此访问？服务器日志信息部2010/10/191010T34352统计具有公司可外发邮件的使用者，查看是否进行邮件监控？是否存在未经授权的邮件？邮件使用者清单信息部2010/10/191010T35362检查腾讯通内部收发文件的权限设置，是否存在未经授权的操作？信息部2010/10/1910

9、10T36376666审审计计业业务务方方案案编编制制日日期期：序序号号时时间间安安排排项项目目内内容容审审计计程程序序查查核核资资料料配配合合部部门门计计划划时时间间底底稿稿索索引引Sch.Sch.Act.Act.Remarks:Remarks:1 1、此此次次ITIT审审计计仅仅涉涉及及系系统统的的执执行行与与维维护护业业务务活活动动的的范范围围，不不涉涉及及业业务务规规划划、业业务务开开发发等等项项目目的的审审计计。编编制制/日日期期：复复核核/日日期期：序序号号时时间间安安排排项项目目内内容容审审计计程程序序查查核核资资料料配配合合部部门门计计划划时时间间底底稿稿索索引引Sch.Sch

10、.Act.Act.审审计计查查核核清清单单审计项目：IT审计编制日期：2010年9月1日序序号号资资料料名名称称所所属属部部门门提提供供日日期期注注释释1SAP账号与权限申请单信息部2010/10/82电脑账号与权限申请信息部2010/10/8电脑账号、上网及其他权限3信息资产清单信息部、财务部2010/10/8含电脑、周边设备及备件、服务器4邮件使用者清单信息部2010/10/8具有内部邮件的人员名单5SAP系统使用者清单信息部2010/10/8拥有SAP操作的人员名单6SAP系统使用者权限表信息部抽样提供每一个操作人员的权限汇总7信息资产报废申请单信息部2010/10/88信息资产处置申请

11、单信息部2010/10/8含变卖、赠予等9信息资产移交单/异动单信息部2010/10/810信息资产维修/护申请单信息部2010/10/8内、外部维修11SAP操作手册信息部2010/10/8所有业务模块12SAP后台配置维护人员清单信息部2010/10/813SAP系统报表开发原理信息部2010/10/8所有二次开发的报表14数据备份计划信息部2010/10/915备份登记表信息部2010/10/916备份清单信息部2010/10/9备份介质与内容统计17备份数据使用记录信息部2010/10/9备份数据借用或其他业务的登记18备份清理记录信息部2010/10/9从备份介质清理数据的记录19进出机房登记表信息部2010/10/920进入机房申请单信息部2010/10/921机房清理日志信息部2010/10/9机房管理员清扫、整理记录22机房设备清单信息部2010/10/823授权应用程序清单信息部2010/10/11所有可允许使用的应用程序24源代码修改规定信息部2010/10/11管理规定25外部网络使用者清单信息部2010/10/11拥有上网权限的人员名单26服务器工作日志信息部抽样提供27防火墙、杀毒软件工作日志信息部抽样提供备注：1、以上资料以截至审计之日的数据明细。