总体风险示范审计工作底稿-对数据和程序的访问.pdf

总体风险示范审计工作底稿_ 对数据和程序的访问 文档编号：ITDA_017 总体风险示范审计工作底稿_ 对数据和程序的访问 控制 控制编 控制领 控制缺陷、异常 控制目标 测试步骤 测试结果 方式/ 改进建议 审计证据 号 域 情况 类型 050100 信息安 0 全组织 和安全 管理 050100 根据信 对信息安 1．访谈相关管理部 1.通过 2006 年 8 月 22 日与安全部总经理刘建设的访谈，我 手动/ SH_ITGC_ATDP_01 1 息安全 全职能划 门，了解如何对信息 们了解到 预防 《组织结构图》 风险评 分和岗位 安全性进行风险评  数据中心（上海）自 2002 年正式成立，根据 7799 安全体 型 估结果 设计基于 估，如何根据评估结 系规范在数据中心安全体系规范在数据中心下设了 12 个 SH_ITGC_ATDP_02 对信息 对信息完 果，建立信息系统安 部门，包括总经理室、生产调度办公室、运行部、客户服 《各部门主要职责》 安全职 整性的风 全管理部门和相关岗 务部、技术管理部、系统部、网络部、应用部、开放平台 能方面 险评估。 位。对于重要岗位人 部、设备部、安全部、办公室，涵盖了信息管理、运行安 SH_ITGC_ATDP_03 进行职 员的录用，如何进行 全、数据安全、物理安全、网络安全管理等各个方面。我 《中国工商银行数据 能划分 背景调查。（提示： 们查阅了非现场审计期间（2006 年 8 月 14 －18 日）数据 中心（上海）风险评 和岗位 被审计单位管理部门 中心（上海）统一提供的《组织结构图》和《各部门主要 估报告》 设计。 针对上述问题所关注 职责》，确认与访谈结果一致。 的主要风险点有哪  数据中心（上海）在 2005 年度进行了针对信息安全的风险 SH_ITGC_ATDP_04 些？这些风险是通过 评估，综合评定了数据中心（上海）现有的资产的风险评 《不可接受风险处理 哪些控制手段和方法 分，并根据各部门拥有的资产识别出各部门面临的主要风 计划》 第1 页，共2 页 总体风险示范审计工作底稿_ 对数据和程序的访问