企业内部IT审计标准.pdfVIP

范围 所需資料、文件 要求 1 公司层面控制  IT 部门架构图、IT 人员职责说明 1、 完整清晰的部门架构以及职员职责说明；  IT 预算、策略和年度规划(2005-2007 年) 2、 有完善的费用预算机制，有经过授权并正式签发的 费用预算文件；有与公司战略相匹配的IT 策略及每  IT 内部、IT 与业务部门、IT 与管理层之 会议记录 年的年度规划； 3、 内部、与业务部门、与管理层之间的会议记录；  与第三方供货商之服务协议(若IT 服务 外判) 4、 签订相关服务合同；  IT 风险评估制度和报告 5、 完善的风险评估机制，或引进专业风险评估机构；  财务系统与其它系统间之数据流程图 6、 提供数据流程图；  IT 内部审计报告和审计发现之跟进 7、 应建立内审机制并定期内审，以辅助外审，建议引 进专业机构定期内审。 2 信息 信息安全制  信息技术安全规章制度 1、 制定完善的安全规章制度，并采取广泛的宣传措施 安全 度、用户信 将该制度灌输至每位公司职员。  令员工充份了解信息技术安全规章制度 息安全意识 的措施 2、 规章制度写入员工手册并印发，新员工入职便能了  信息安全培训记录 解公司要求，并做定期培训，做好培训记录。 1 范围 所需資料、文件 要求 物理安全  机房物理安全规章 1、物理要求：门禁系统、烟雾报警器 （置于地板夹层或 顶棚夹层）、监控、UPS 、空调（接UPS）、干粉灭火  保安设施(如门禁系统、访客记录) 器、防火防水装修材料； 2、机房管理：专人管理钥匙、有访客记录、机柜门应上 锁； 3、服务器管理：密码变更设置（文档/流程/频率）、密 码策略（windows/sql 用户密码强制策略、windows 帐号 锁定策略、密码长度8 位以上、历史密码6 次）、 windows 界面自动锁定、应急管理/流程 （备用钥匙、密 码文件密封置于机房上锁的柜子中或密封的信封里 面）；