示例：某市工伤和生育保险计算机审计报告.docVIP

. . 《某市工伤和生育保险计算机审计报告》 根据《中华人民共和国审计法》第二十三、第三十二条规定和该市XXXX年度审计项目计划，该市审计局派出审计组，自XXXX年X月X日至X月X日，对XXXX单位工伤、生育保险信息系统进行了审计，现出具如下审计报告。 一、被审计单位信息系统基本情况 XXXX单位是主管劳动和社会保障工作的行政部门，为达到国家金保工程统一平台、统一软件的目标要求，投资XXXX万元建设市劳动保障信息系统，XXXX年X月起该系统正式上线运行。建立了中心生产机房和异地容灾两个机房，配备X台IBM小型机、X台EMC存储设备，X台核心网络路由交换设备，铺设有X多条各类通讯线路，其中光纤线路X多条，分别连接市、区（县）、街道、社区四级网络。目前拥有社保核心业务、就业核心业务、劳动保障门户网站等X套业务软件系统和网站，包含X多个业务功能模块，均由局内信息技术人员负责系统的运行维护和业务需求研发。核心业务系统前台应用软件采用PowerBuilder 开发，后台为Oracle 9i数据库，系统数据记录总数达22亿多条，数据量超过2TB。 二、审计实施情况 本次重点审计了工伤、生育保险信息系统（包括公共业务系统、工伤待遇支付系统、生育待遇支付系统三个子系统）的安全性、可靠性和有效性。针对计算机审计特点，采用了必要的程序与方法：对一般控制审计采用访谈、资料审阅及工具扫描等方法，对应用控制审计采用代码检查、平行模拟、综合测试等方法，同时对使用该系统的经办机构进行了审计，延伸核查各社保经办机构业务办理的合法合规性。 审计涉及的各有关单位对所提供的会计资料、系统说明文档、业务数据及其他证明材料的真实性、完整性负责，XXXX市审计局的责任是对此进行审计并出具审计报告。 三、审计发现的问题及处理意见 （一）系统一般控制情况 1、信息技术岗位职责未按规定进行分离。公共业务、医疗保险、工伤生育等每一项业务的软件系统建设从数据表管理、软件开发、软件实施，到软件维护的全部工作，均由一个技术人员实现，岗位职责不分离。 上述做法，不符合《信息安全技术信息系统安全管理要求》（GB/T20269-2006）第5.2.3.2条“……权限分散，不得交叉覆盖……关键事务应由多人共管”的规定。依据上述规定，应进行信息技术岗位职责分离或增加独立性审核等补偿控制措施。 2、机房环境存在安全隐患。机房未安装温湿度环境传感器，且专用空调设备老化，功率较低；未安装自动报警系统，出现火灾、断电等现象时不能实现自动报警；部分电源线和通讯电缆未隔离铺设，无法有效避免强弱电互相干扰问题；UPS没有实行冗余运行、处于高负载状态，并且其电池组供电时间过短。 上述做法，不符合《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）第7.1.1.8条“机房应设置温、湿度自动调节设施”和第7.1.1.10条“……电源线和通信线缆应隔离铺设，避免互相干扰”、不符合《电子信息系统机房设计规范》（GB 50174-2008）第7.4.11条“电子信息系统机房空气调节控制装置应满足电子信息系统机房对温度、湿度及防尘对正压的要求”、第8.1.7条“……选择UPS容量时应留有裕度，以保证UPS的正常工作”和第11.1.3条“……系统应易于扩展和维护，具备显示、记录、控制、报警、趋势分析和提示功能”的规定。依据上述规定，应完善机房设施，消除机房安全隐患。 3、系统开发文档资料不齐全，缺少业务系统建设的测试计划、测试分析报告、数据表E-R关系图、数据流图等资料文档。 上述做法，不符合《计算机软件产品开发文件编制指南》（GB8569-88）第2条关于软件开发文档范围的规定。依据上述规定，在应用系统开发、测试、维护的各个阶段，应建立齐全的文档资料。 4、网络系统没有建立全面、有效的基础安全防护体系，缺少入侵检测、漏洞扫描、安全审计等网络安全措施。 上述做法，不符合《劳动和社会保障部关于进一步加快实施金保工程的意见》（劳社部函[2004]262号）第六条第三款“各地在业务专网建设的同时，要进行业务专网基础安全防护系统的建设，包括网络的访问控制、病毒防范、入侵检测等，定期进行风险分析、安全审计并及时调整安全策略”的规定。依据上述规定，应尽快建设网络基础安全防护系统，采取必要的网络安全措施，提高系统的安全性。 5、生产系统ORACLE数据库默认账号“dbsnmp”和“rman”未做密码变更处理，且未设置账号密码生存期，非授权人员可利用默认账号进入数据库操控数据。 上述做法，不符合《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）第7.1.3.2条“……应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令”的规定。依据上述规定，应及时进行以上账号的密码变