搜索
IT审计管理办法秘密等级:□绝密□机密□秘密■内部1/21.0目的建立网络及应用系统活动的审查策略,防止对网络或系统的未授权或非法访问与操作。2.0适用范围2.1网络系统中的服务器或网络设备以及应用系统的操作日志、服务器的维护日志等,日志包括系统的运行性能记录、具体操作或事件记录、安全隐患、访问记录、故障记录等等;2.2IT管理人员根据信息管理制度的规范的执行记录等;2.3IT审计要求对关键事件记录逐条审查。3.0定义定义定义说明4.0职责4.1IT部:IT部经理负责本规范的制定和维护;4.2风控组(及第三方专业审计机构):负责监督审计规范的执行以及年度IT控制的内审工作。5.0规范内容5.1IT部经理根据年度网络、服务器及应用系统(包括新开发的系统和经过更改的系统或程式)等的应用情况及重要程度,确定要审查的系统日志及审查周期;填写《系统日志检查记录表》提交EMT审核;并与相关责任人、数据拥有人进行沟通确认报风控组备案。IT审计管理办法秘密等级:□绝密□机密□秘密■内部2/25.2网络系统及应用系统备份管理人员根据公司备份管理规范,将系统日志存盘,日志必须真实并且保存完整。5.3网络系统或应用系统主管根据审查周期仔细阅读系统日志,找出系统错误、安全隐患、非法访问、异常活动等记录。填写表格《系统日志检查记录表》,对运行中存在的问题要进行风险评估并提出建议或解决方案,报IT部门经理审查和确认。5.4客户端用户违规操作应向人力资源部反映,按公司奖惩管理规定进行处理。5.5IT部经理每季度向主管领导提交IT运行报告。对特殊事故(如数据丢失、服务器故障3天内无法恢复等)应立即向主管领导汇报,并进行处理。5.6年度IT运行报告须经风控组进行审计确认,报EMT审核,做为IT风险评估的依据。5.7风控组根据其年度审计计划组织信息管理部、流程责任人、关键用户进行审计,审计范围包括IT部IT的运行与维护,各部门、IT用户的网络及应用系统适用情况。5.8风控组根据审计结果进行IT风险评估,并出具风险评估报告,提交EMT审核。6.0相关表单序号编号名称保密等级016.1《系统日志检查记录表》内部级7.0附则本办法由IT部拟定并负责解释,经EMT审批后下发实行。8.0附件无