信息系统审计 审计 信息 安全 管理 信息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险。随着数据大集中的推进,信息系统的安全、可靠、稳定、有效、可信显得更加重要。而这些风险特别是人为因素造成的风险存在于信息技术流程管理、技术安全管理、项目管理和生产系统运行管理过程中,因此,迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证,通过对信息系统的审计,保证信息系统的可信度,以促进保险公司内控体系的建设,并对信息化建设提供必要的安全控制咨询。 一、信息系统审计的内容 1.管理流程审计 信息技术管理流程审计主要评估与公司发展战略目标相一致的信息技术规划,评估信息技术工作条例或工作程序,评估信息技术部门的工作职责与工作分工,评估信息系统取得开发、购置、引进的制度和流程,评估生产系统的运行维护的制度和流程,评估项目管理、项目监理的制度和流程,评估信息系统的安全管理制度,评估开发、测试、生产系统分岗制衡管理制度等。 2.技术平台审计 信息技术平台审计主要评估信息技术基础平台的运行与安全管理,包括网络运行与安全管理如路由器、网络设备、防火墙、通信线路等、硬件运行与安全管理如小型机、服务器、前置机、打印机、扫描仪、存储设备、PC、终端等、操作系统及数据库等运行平台的运行与安全管理如Unix、Windows、数据库、中间件、应用开发工具、应用发布工具、版本管理工具、项目管理工具、防/杀毒工具等。 3.信息系统项目审计 信息系统项目审计主要评估信息系统项目管理与项目监理的有效性。 项目管理审计主要评估项目启动、立项、需求分析、系统设计、开发、测试、试点、验收、推广过程的有效性,评价系统开发生命周期中的每一个程序是否均被严格执行,评价系统迁移的方案与效果,评价各类项目文档是否齐全。其目的是控制项目进展过程中的风险。 项目监理审计主要评估项目监理在信息系统建设过程中发挥的作用,评估项目监理是否有效保证了信息系统建设的质量、进度和成本符合项目立项时的要求。 评估项目管理与项目监理间的责职是否清晰,分工是否明确。 4.生产系统审计 信息系统的上线与投产,仅仅是信息化的开始,大量的风险与问题将出现在信息系统的生产运行与维护阶段。保险公司内部一般均建立了核心业务系统、人员营销员等管理系统、财务系统...
