某省“金保工程”信息系统审计案例 信息系统案例介绍.pptVIP

某省“金保工程”信息系统审计案例 信息系统案例介绍.ppt

  1. 1、本文档共48页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
聚焦“金保工程” 2.信息系统基本情况 省级数据中心包括主中心和灾备中心,采用同城实时系统级备份和异地(某市)数据集异步备份方式备份数据,此外,省人社厅还以每日一次增量备份、每周一次全库备份的方式存储数据。 “金保工程”系统现已建成2M以上光纤和ADSL实时连接的全省县级以上(含县级)人力资源和社会保障行政部门和经办机构的骨干网络,以及新农保试点县的全部乡镇和其他农村部分乡镇,全省大部分街道社区、医疗保险定点医院和药店,部分国有企业通过SSLVPN连接的分支网络。 2.信息系统基本情况 6.审计过程和测试方法 (一)一般控制审计—IT管理政策审计 1.具体审计目标:检查被审计单位IT管理政策情况,是否制订了完善可行的IT管理政策,政策执行是否顺利。 2.审计测试过程 (1)要求被审计单位提供机房管理制度、人员管理制度等IT相关管理政策。查阅被审计单位提供的“机房管理制度”、“人员管理制度”、“软硬件管理使用制度”、“网络安全制度及保密制度”等,检查其管理政策是否完善合理、有效可行。 (2)走访了信息中心和业务部门的部分员工,询问他们对于上述政策制度的了解程度,现场观察员工的操作是否符合管理制度。 6.审计过程和测试方法 3.审计结果 截至2011年6月末,省人社厅及所属信息中心仅建立了关于“金保工程”资产管理和系统运行维护方面的相关制度7项,尚未对项目管理和资金使用制定相应的管理制度,“金保工程”建设监管存在“盲区”。 6.审计过程和测试方法 上述做法不符合原劳动保障部《关于进一步加快实施金保工程的意见》(劳社部函〔2004〕262号)关于各地要建立项目管理、资金使用、资产管理、系统运行维护等方面的规章制度,明确分工,落实责任,采用科学的管理方法和管理模式,切实加强对金保工程建设的管理、控制与监督的规定。 6.审计过程和测试方法 (二)一般控制审计—设备采购审计 1.具体审计目标:调查建设、改造“金保工程”系统时,采购过程是否符合相关法律法规要求。 2.审计测试过程 查看项目建设和设备采购资料,对“金保工程”系统设备的采购过程进行检查。 3.审计结果 某省“金保工程”系统部分项目的采购未形成书面方案,采购过程权责划分不明晰,招标采购经常出现单一厂商投标的现象。 6.审计过程和测试方法 (三)一般控制审计—信息系统开发维护控制审计 1.具体审计目标:检查被审计单位在系统建设中,各项要素是否齐备;系统开发过程中,对系统分析、系统设计和系统实施过程所进行的控制措施情况,能否保证信息系统的质量以及安全可靠性。 2.审计测试过程 (1)与被审单位的管理人员、业务人员、软件开发人员座谈进行询问,了解系统建设、开发和变更的流程控制情况和质量控制情况。 (2)要求被审计单位提供可行性研究报告、项目建设意见书、项目立项申请书、项目开发计划、软件需求规格说明书、数据需求规格说明书或数据表E-R关系图、概要设计说明书或程序设计说明书、详细设计说明书或模块设计说明书、测试计划、测试分析报告、开发进度月报、项目开发总结报告、维护修改日志或软件开发变更说明、操作手册或用户使用手册、系统运行维护协议等。 审计人员审阅所提交的系统文档。 6.审计过程和测试方法 3.审计结果 (1)“金保工程”系统至今尚未立项。 2002年至2003年,某省按照原劳动和社会保障部《关于做好“金保工程”一期建设项目可行性研究报告编制工作的通知》统一部署,依据统一范本,编撰了某省金保工程一期项目建议书,但至今未上报省发展改革委审批立项。 (2)系统运行维护服务外包,存在潜在泄密风险。 某省“金保工程”系统的运行维护服务由系统开发商某软件工程有限公司(以下简称工大软件)负责,内容包括业务软件升级、系统维护、质量保障、技术培训、工程实施以及业务数据的处理。省人社厅信息中心虽有专人负责,但由于管理人员有限,自身技术力量尚难满足全部运行维护工作的需要,目前运行维护全部依靠工大软件人员进行,存在潜在的泄密风险。 6.审计过程和测试方法 (四)一般控制审计—信息系统安全控制审计 1.具体审计目标:检查被审计单位的信息系统安全投入是否能够满足安全控制需要,安全控制措施是否健全有效,确定能否保证信息资产的安全。 2.审计测试过程 (1)对网络运行专管员进行访谈,了解网络系统运转情况的日常监督情况、网络设备实施、配置情况等。 (2)获取该单位“生产中心拓扑图”,通过对拓扑图进行分析,检查网络拓扑结构是否满足业务需求和工作流程的需要;审阅办公楼综合布线测试报告和综合布线验收意见;取得VLAN划分列表,对照该单位各部门的分布,分析VLAN划分的合理性有效性;现场观察是否配备了网络防火墙、入侵检测、安全审计、漏洞扫描、网络管理等。 6.审计过程和测试方法 3.审计结果 (1)信息系

文档评论(0)

peace0308 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档