(IT审计要求(KPMG).docVIP

范围 所需資料、文件 要求 1 公司层面控制 IT 部门架构图、IT 人员职责说明 IT 预算、策略和年度规划 (2005-2007 年) IT 内部、IT 与业务部门、IT 与管理层之会议记录 与第三方供货商之服务协议 (若 IT 服务外判) IT 风险评估制度和报告 财务系统与其它系统间之数据流程图 IT 内部审计报告和审计发现之跟进 完整清晰的部门架构以及职员职责说明； 有完善的费用预算机制，有经过授权并正式签发的费用预算文件；有与公司战略相匹配的IT策略及每年的年度规划； 内部、与业务部门、与管理层之间的会议记录； 签订相关服务合同； 完善的风险评估机制，或引进专业风险评估机构； 提供数据流程图； 应建立内审机制并定期内审，以辅助外审，建议引进专业机构定期内审。 2 信息安全 信息安全制度、用户信息安全意识 信息技术安全规章制度 令员工充份了解信息技术安全规章制度的措施 信息安全培训记录 制定完善的安全规章制度，并采取广泛的宣传措施将该制度灌输至每位公司职员。 规章制度写入员工手册并印发，新员工入职便能了解公司要求，并做定期培训，做好培训记录。 物理安全 机房物理安全规章 保安设施 (如门禁系统、访客记录) 1、物理要求：门禁系统、烟雾报警器（置于地板夹层或顶棚夹层）、监控、UPS、空调（接UPS）、干粉灭火器、防火防水装修材料； 2、机房管理：专人管理钥匙、有