搜索
某省“金保工程”信息系统审计审计署哈尔滨特派办2011年12月信息系统案例介绍内容简介一、项目摘要二、信息系统基本情况七、初步审计成果八、项目的局限性四、信息系统审计总体目标三、信息系统控制情况五、信息系统审计内容和事项六、信息系统审计过程和测试方法聚焦“金保工程”金保工程1一个工程2两大系统3三级结构4四项功能“金保工程”是利用先进的信息技术,以中央、省、市三级网络为依托,涵盖县、乡等基层机构,支持劳动和社会保障业务经办、公共服务、基金监管和宏观决策等核心应用,覆盖全国的统一的劳动和社会保障电子政务工程。1.项目摘要项目信息名称:某省“金保工程”信息系统审计;时间:2011年7-9月审计重点“金保工程”信息系统一般控制及社会保险子系统应用控制发现问题1.尚未建立健全信息系统制度建设,设备采购管理亟待规范,信息系统安全投入不足,系统运维外包存在潜在风险。2.数据备份、恢复及操作等方面管理机制不完善;机房缺少必要的安全设施,存在安全隐患。3.系统功能设置不完善,系统应用缺乏有效控制,数据的完整性、准确性和一致性等发面缺乏有效地校验机制控制。2.信息系统基本情况某省“金保工程”系统平台以省级大集中数据库和统一应用平台为基础。负责管理和维护的信息系统共有99个。2.信息系统基本情况•省级数据中心包括主中心和灾备中心,采用同城实时系统级备份和异地(某市)数据集异步备份方式备份数据,此外,省人社厅还以每日一次增量备份、每周一次全库备份的方式存储数据。•“金保工程”系统现已建成2M以上光纤和ADSL实时连接的全省县级以上(含县级)人力资源和社会保障行政部门和经办机构的骨干网络,以及新农保试点县的全部乡镇和其他农村部分乡镇,全省大部分街道社区、医疗保险定点医院和药店,部分国有企业通过SSLVPN连接的分支网络。2.信息系统基本情况HGB_DB1HGB_DB4HGB_DB5黑龙江省参保人员1142655人数据量15GHGB_DB3伊春市大庆市鸡西市鹤岗市双鸭山市黑河市大兴安岭齐齐哈尔牡丹江市佳木斯市七台河市绥化市哈尔滨市省直属参保人员2357971人数据量21G参保人员1774591人数据量19G参保人员1971590人数据量21G养老保险数据逻辑结构针对数据物理集中、业务处理实现高度信息化的特点,审计人员对某省“金保工程”信息系统的部署及应用进行了调查,发现其在网络部署及安全保护措施、业务流程控制、数据控制等方面存在一定风险。3.信息系统控制情况审计子类审计情况初步调查结论风险水平网络部署及安全保护措施某省“金保工程”系统建立了专用网络,通过专线与数据中心以及各分支机构连接。绘制了网络拓扑结构图,安装了入侵检测、漏洞扫描工具、防火墙以及熊猫网络版杀毒软件。制定了权限管理、用户管理、安全管理等制度。中业务流程控制业务授权与审批较规范,数据处理逻辑基本合理,部分业务流程与有关规定不符。中数据控制主数据、业务参数和重要信息基本能够满足有效性、完整性和真实性的要求,部分数据校验机制存在不足。中4.信息系统审计总计目标•围绕“找出隐患、规范管理、促进完善”的总体思路,对某省“金保工程”系统的可靠性、有效性、效率性和安全性等进行检查,了解社会养老保险子系统的运行状况,发现该系统在使用和管理过程中存在的问题,确定该信息系统是否存在漏洞和缺陷,揭示使用系统办理基金业务时存在的控制风险,揭露基金筹集、管理、使用中存在的突出问题,从而对系统进行客观公正的评价,为促进被审计单位加强管理,完善风险监督机制,防范利用计算机系统进行欺诈与舞弊,保证基金的安全与完整,维护人民群众的切身利益,提出切实可行的审计建议。5.审计重点内容及审计事项某省人力资源社会保障信息化工作开展较早,并率先在全国实现了全省养老保险数据大集中。根据某省“金保工程”系统的建设和使用情况,此次信息系统审计重点关注了“金保工程”系统的一般控制及其社会保险子系统的应用控制两部分内容,共完成了13个审计事项。序号审计内容审计事项审计事项类别1信息系统组织控制情况制度建设一般控制2设备采购管理一般控制3信息系统开发维护控制情况项目立项一般控制4系统运行维护管理一般控制5信息系统安全控制情况情况系统安全投入一般控制6系统安全定级一般控制7系统操作管理控制情况数据资源管理一般控制8机房物理环境控制情况机房物理环境管理一般控制9信息系统效益情况系统应用效益一般控制10信息系统流程和功能控制情况系统流程控制应用控制11系统功能控制应用控制12数据输入控制情况主数据库数据输入控制应用控制13数据处理控制情况主数据库数据处理控制应用控制6.审计过程和测试方法•(一)一般控制审计—IT管理政策审计•1.具体审计目标:检查被审计单位IT管理政策情况,是否制订了完善可行的IT管理政策,政策执行是否顺利。•2.审计测试过程•(1)要求被审计单位提供机房管理制度、人员管理制度等IT相关管理政策。查阅被审计单位提供的“机房管理制度”、“人员管理制度”、“软硬件管理使用制度”、“网络安全制度及保密制度”等,检查其管理政策是否完善合理、有效可行。•(2)走访了信息中心和业务部门的部分员工,询问他们对于上述政策制度的了解程度,现场观察员工的操作是否符合管理制度。6.审计过程和测试方法•3.审计结果•截至2011年6月末,省人社厅及所属信息中心仅建立了关于“金保工程”资产管理和系统运行维护方面的相关制度7项,尚未对项目管理和资金使用制定相应的管理制度,“金保工程”建设监管存在“盲区”。6.审计过程和测试方法•上述做法不符合原劳动保障部《关于进一步加快实施金保工程的意见》(劳社部函〔2004〕262号)关于各地要建立项目管理、资金使用、资产管理、系统运行维护等方面的规章制度,明确分工,落实责任,采用科学的管理方法和管理模式,切实加强对金保工程建设的管理、控制与监督的规定。6.审计过程和测试方法•(二)一般控制审计—设备采购审计•1.具体审计目标:调查建设、改造“金保工程”系统时,采购过程是否符合相关法律法规要求。•2.审计测试过程•查看项目建设和设备采购资料,对“金保工程”系统设备的采购过程进行检查。•3.审计结果•某省“金保工程”系统部分项目的采购未形成书面方案,采购过程权责划分不明晰,招标采购经常出现单一厂商投标的现象。6.审计过程和测试方法•(三)一般控制审计—信息系统开发维护控制审计•1.具体审计目标:检查被审计单位在系统建设中,各项要素是否齐备;系统开发过程中,对系统分析、系统设计和系统实施过程所进行的控制措施情况,能否保证信息系统的质量以及安全可靠性。•2.审计测试过程•(1)与被审单位的管理人员、业务人员、软件开发人员座谈进行询问,了解系统建设、开发和变更的流程控制情况和质量控制情况。•(2)要求被审计单位提供可行性研究报告、项目建设意见书、项目立项申请书、项目开发计划、软件需求规格说明书、数据需求规格说明书或数据表E-R关系图、概要设计说明书或程序设计说明书、详细设计说明书或模块设计说明书、测试计划、测试分析报告、开发进度月报、项目开发总结报告、维护修改日志或软件开发变更说明、操作手册或用户使用手册、系统运行维护协议等。•审计人员审阅所提交的系统文档。6.审计过程和测试方法•3.审计结果•(1)“金保工程”系统至今尚未立项。•2002年至2003年,某省按照原劳动和社会保障部《关于做好“金保工程”一期建设项目可行性研究报告编制工作的通知》统一部署,依据统一范本,编撰了某省金保工程一期项目建议书,但至今未上报省发展改革委审批立项。•(2)系统运行维护服务外包,存在潜在泄密风险。•某省“金保工程”系统的运行维护服务由系统开发商某软件工程有限公司(以下简称工大软件)负责,内容包括业务软件升级、系统维护、质量保障、技术培训、工程实施以及业务数据的处理。省人社厅信息中心虽有专人负责,但由于管理人员有限,自身技术力量尚难满足全部运行维护工作的需要,目前运行维护全部依靠工大软件人员进行,存在潜在的泄密风险。6.审计过程和测试方法•(四)一般控制审计—信息系统安全控制审计•1.具体审计目标:检查被审计单位的信息系统安全投入是否能够满足安全控制需要,安全控制措施是否健全有效,确定能否保证信息资产的安全。•2.审计测试过程•(1)对网络运行专管员进行访谈,了解网络系统运转情况的日常监督情况、网络设备实施、配置情况等。•(2)获取该单位“生产中心拓扑图”,通过对拓扑图进行分析,检查网络拓扑结构是否满足业务需求和工作流程的需要;审阅办公楼综合布线测试报告和综合布线验收意见;取得VLAN划分列表,对照该单位各部门的分布,分析VLAN划分的合理性有效性;现场观察是否配备了网络防火墙、入侵检测、安全审计、漏洞扫描、网络管理等。6.审计过程和测试方法•3.审计结果•(1)信息系统安全投入不足,存在隐患。•截至2011年6月末,黑龙江省“金保工程”系统项目设备采购金额累计为2666.24万元,其中购买安全相关设备金额为164.09万元,占6.15%。审计发现,由于黑龙江省“金保工程”系统安全设备投入不足,入侵检测、漏洞扫描工具及防火墙等信息安全设备均未达到相关标准的要求,信息系统安全存在隐患。•上述做法不符合原劳动保障部《关于进一步加快实施金保工程的意见》关于各地在业务专网建设的同时,要进行业务专网基础安全防护系统的建设,包括网络的访问控制、病毒防范、入侵检测等,定期进行风险分析、安全审计并及时调整安全策略的规定。6.审计过程和测试方法•(2)未开展信息系统安全定级工作。•黑龙江省“金保工程”系统于2003年全线开通。截至审计日,省人社厅仍未对黑龙江省“金保工程”系统开展信息系统安全定级工作。•上述做法不符合公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)关于公安、人事劳动和社会保障、财政等重要信息系统要开展重要信息系统安全等级保护定级工作的规定。6.审计过程和测试方法•(五)一般控制审计—系统操作管理情况控制审计•1.审计具体目标:检查被审计单位是否建立了一套完善可行的信息系统操作管理制度,确认信息系统的各类操作人员是否严格按照系统操作管理制度进行系统的使用和操作。•2.审计测试过程•(1)要求被审计单位提供信息系统操作管理制度和操作手册。审阅信息系统操作管理制度,分析其是否完善可行;审阅各种操作手册;要求被审单位相关人员填写数据资源管理控制调查表。•(2)检查操作日志,并就出现的事件和采取的行动询问有关操作人员。•(3)实地观察信息中心的活动,包括日常备份等;观察业务人员实际使用系统进行业务办理的情况,是否符合操作制度。6.审计过程和测试方法•3.审计结果•省人社厅未对“金保工程”系统的数据备份和恢复工作建立完整的管理机制,没有设置授权审批制度,备份或恢复数据没有相应的日志记录;未建立系统操作人员工作日志,对操作人员的操作没有记录。•上述做法不符合原劳动保障部《关于加强社会保险基础数据备份工作的通知》(社保中心函〔2008〕19号)关于明确数据备份和恢复的工作程序,对备份和恢复过程进行记录,并妥善保管记录的规定。6.审计过程和测试方法•(六)一般控制审计—机房物理环境控制审计•1.具体审计目标:对养老保险信息系统进行物理环境审计,确定信息系统的运行环境是否安全。•2.审计测试过程:审前调查阶段,设计了信息系统机房物理环境控制调查表,由被审单位填写相关内容;审计实施阶段通过实地考察对机房的物理环境和相关设备进行了实地考核。•3.审计结果•信息中心机房缺少必要的设施,存在安全隐患。一是机房未安装温度、湿度环境传感器,未定期对机房空气进行净化处理;二是未配备备用电源或独立备份供电;三是未安装门禁系统、闭路电视或成像系统等监视装置以及自动报警系统。6.审计过程和测试方法•(七)一般控制审计—信息系统应用效益控制审计•1.具体审计目标:检查“金保工程”系统规划和实际应用情况是否达到了规划要求,有无重复建设情况存在。•2.审计测试过程:要求被审单位提供