某省《金保工程》信息系统审计案例信息系统案例介绍.pptVIP

聚焦“金保工程” 2.信息系统基本情况 省级数据中心包括主中心和灾备中心，采用同城实时系统级备份和异地（某市）数据集异步备份方式备份数据，此外，省人社厅还以每日一次增量备份、每周一次全库备份的方式存储数据。 “金保工程”系统现已建成2M以上光纤和ADSL实时连接的全省县级以上（含县级）人力资源和社会保障行政部门和经办机构的骨干网络，以及新农保试点县的全部乡镇和其他农村部分乡镇，全省大部分街道社区、医疗保险定点医院和药店，部分国有企业通过SSLVPN连接的分支网络。 2.信息系统基本情况 6.审计过程和测试方法 （一）一般控制审计—IT管理政策审计 1.具体审计目标：检查被审计单位IT管理政策情况，是否制订了完善可行的IT管理政策，政策执行是否顺利。 2.审计测试过程 （1）要求被审计单位提供机房管理制度、人员管理制度等IT相关管理政策。查阅被审计单位提供的“机房管理制度”、“人员管理制度”、“软硬件管理使用制度”、“网络安全制度及必威体育官网网址制度”等，检查其管理政策是否完善合理、有效可行。 （2）走访了信息中心和业务部门的部分员工，询问他们对于上述政策制度的了解程度，现场观察员工的操作是否符合管理制度。 6.审计过程和测试方法 3.审计结果 截至2011年6月末，省人社厅及所属信息中心仅建立了关于“金保工程”资产管理和系统运行维护方面的相关制度7项，尚未对项目管理和资金使用制定相应的管理制度，“金保工程”建设监管存在“盲区”。 6.审计过程和测试方法 上述做法不符合原劳动保障部《关于进一步加快实施金保工程的意见》（劳社部函〔2004〕262号）关于各地要建立项目管理、资金使用、资产管理、系统运行维护等方面的规章制度，明确分工，落实责任，采用科学的管理方法和管理模式，切实加强对金保工程建设的管理、控制与监督的规定。 6.审计过程和测试方法 （二）一般控制审计—设备采购审计 1.具体审计目标：调查建设、改造“金保工程”系统时，采购过程是否符合相关法律法规要求。 2.审计测试过程 查看项目建设和设备采购资料，对“金保工程”系统设备的采购过程进行检查。 3.审计结果 某省“金保工程”系统部分项目的采购未形成书面方案，采购过程权责划分不明晰，招标采购经常出现单一厂商投标的现象。 6.审计过程和测试方法 （三）一般控制审计—信息系统开发维护控制审计 1.具体审计目标：检查被审计单位在系统建设中，各项要素是否齐备；系统开发过程中，对系统分析、系统设计和系统实施过程所进行的控制措施情况，能否保证信息系统的质量以及安全可靠性。 2.审计测试过程 （1）与被审单位的管理人员、业务人员、软件开发人员座谈进行询问，了解系统建设、开发和变更的流程控制情况和质量控制情况。 （2）要求被审计单位提供可行性研究报告、项目建设意见书、项目立项申请书、项目开发计划、软件需求规格说明书、数据需求规格说明书或数据表E-R关系图、概要设计说明书或程序设计说明书、详细设计说明书或模块设计说明书、测试计划、测试分析报告、开发进度月报、项目开发总结报告、维护修改日志或软件开发变更说明、操作手册或用户使用手册、系统运行维护协议等。 审计人员审阅所提交的系统文档。 6.审计过程和测试方法 3.审计结果 （1）“金保工程”系统至今尚未立项。 2002年至2003年，某省按照原劳动和社会保障部《关于做好“金保工程”一期建设项目可行性研究报告编制工作的通知》统一部署，依据统一范本，编撰了某省金保工程一期项目建议书，但至今未上报省发展改革委审批立项。 （2）系统运行维护服务外包，存在潜在泄密风险。 某省“金保工程”系统的运行维护服务由系统开发商某软件工程有限公司（以下简称工大软件）负责，内容包括业务软件升级、系统维护、质量保障、技术培训、工程实施以及业务数据的处理。省人社厅信息中心虽有专人负责，但由于管理人员有限，自身技术力量尚难满足全部运行维护工作的需要，目前运行维护全部依靠工大软件人员进行，存在潜在的泄密风险。 6.审计过程和测试方法 （四）一般控制审计—信息系统安全控制审计 1.具体审计目标：检查被审计单位的信息系统安全投入是否能够满足安全控制需要，安全控制措施是否健全有效，确定能否保证信息资产的安全。 2.审计测试过程 （1）对网络运行专管员进行访谈，了解网络系统运转情况的日常监督情况、网络设备实施、配置情况等。 （2）获取该单位“生产中心拓扑图”，通过对拓扑图进行分析，检查网络拓扑结构是否满足业务需求和工作流程的需要；审阅办公楼综合布线测试报告和综合布线验收意见；取得VLAN划分列表，对照该单位各部门的分布，分析VLAN划分的合理性有效性；现场观察是否配备了网络防火墙、入侵检测、安全审计、漏洞扫描、网络管理等。 6.审计过程和测试方法 3.审计结果 （1）信息系