文档介绍:文档及关键控制差距分析——信息系统总体环境(讨论草稿)
公司: 华能国际电力股份有限公司
位置: 江苏太仓 low:表明虽然短期来看不会造成对影响领域的重大风险,但是需要进行进一步的管理评估以判断该问题对组织整体运行带来的长期影响。
时间: 2005年11月07日-11月12日 Med:表明如果该问题不在未来3~4个月内解决,可能对影响领域造成重大风险。
High:表明如果该问题不在未来1~2个月内解决,可能对影响领域造成重大风险。
测试人序号 CYCLE 控制层面流程流程测评模型关键点对应流程与步骤 Gap Description 差距描述是否为穿行测试发现的问题(是/否) 是否为测试中发现的问题
(是/否) 是否需要修改手册设计无效性/运行无效性潜在差异
控制缺陷/重大缺陷/实质性漏洞问题重要程度改进建议管理层的计划
Linda Chu 1 IT 信息系统 IT Control Environment 信息系统控制环境
对每一业务流程,相关业务数据的所有权归属业务部门。各应用系统负责人指派专人负责本系统的安全和接触权限的分配,并由系统管理员在系统中新增、删除、变更用户的权限,此过程均需取得系统责任人的签字。操作系统的所有权归信息中心负责人。 There were no formalized polices or procedures to ensure account deletion / disable and password change upon staff transfer or resignation. 。
。
,无签字确认。 Y
Linda Chu 2 IT 信息系统 IT Control Environment 信息系统控制环境
信息系统的每一岗位均有职责描述,每年人力资源部协同信息中心对其的岗位职责进行更新,更新后的岗位职责描述通过OA发给每个信息系统员工。 Significant IT events, ., security breaches, major system failures or regulatory failures, are not reported to IT mittee. (We noted that headquarter IT centre director Li Xiaoshi will quarterly submit a report to IT mittee, but the report didn't contain significant IT events report.
There were no significant IT events occured, said by Mr. Li. ) 信息部只有一个岗位职责说明,并非信息系统的每一岗位均有职责描述。 Y 运行无效性参照内控手册改进
Linda Chu 3 IT 信息系统 IT Control Environment 信息系统控制环境
管理层要保证不相容职务不能由一人担任。 Significant IT events, ., security breaches, major system failures or regulatory failures, are not reported to IT mittee. (We noted that headquarter IT centre director Li Xiaoshi will quarterly submit a report to IT mittee, but the report didn't contain significant IT events report.
There were no significant IT events occured, said by Mr. Li. ) 无具体职责分工表的文档记录 Y 运行无效性参照内控手册改进
Linda Chu 4 IT 信息系统 IT Control Environment 信息系统控制环境
信息中心每年还开展专业技能的培训,包括新开发/变更的系统、新公布的信息行业标准等。专业培训的有关培训资料存档于信息中心。 There was no survey or training regardin