企业信息化审计管理办法.docxVIP

企业信息化审计管理办法

第一章总则

1.1目的

为统一集团及所属分子公司信息化审计口径，降低IT风险敞口，确保业务连续性、数据完整性与合规性，特制定本办法。

1.2适用范围

本办法覆盖集团总部、境内外全资及控股子公司、代管单位、联营公司所有自建、共建、托管、云化的信息系统，以及支撑上述系统的网络、终端、物联网设备、算法模型与数据资产。

1.3审计原则

（1）独立性：审计部门直接向董事会审计委员会汇报，经费单列，人事任免不受IT部门与财务部门干预。

（2）全面性：覆盖系统建设、运维、下线全生命周期；覆盖战略层、战术层、操作层。

（3）风险导向：以年度风险热力图为基础，动态调整审计频次与深度。

（4）数据驱动：审计证据须90%以上来自系统日志、配置库、流量镜像、代码仓库、工单平台等机器可读数据，禁止仅以访谈记录作为关键证据。

（5）闭环整改：发现问题须在JIRA建立“ITAUD”单，整改完成率纳入年度绩效考核，占比不低于15%。

1.4法规依据

《中华人民共和国审计法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《企业内部控制基本规范》及配套指引、ISO27001、COBIT2019、NISTSP800-53、集团《合规义务清单（2024版）》。

第二章组织与职责

2.1信息化审计中心（IAC）

编制8人，设首席审计官（CAE）1