上市公司信息系统专项审计
Powertime Security Services
——
审计介绍:
信息系统专项审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率的利用组织的资源并有效果的实现组织目标的过程,此处的信息系统专项审计专指上市公司信息系统专项核查审计,以满足证监会等监管机构对上市公司信息系统系统数据真实性、准确性及完整性的要求。
审计内容:
主要包括一般控制审计和应用控制审计,一般控制审计主要针对信息技术基础设施、信息系统安全控制、信息系统运维、信息系统业务连续性等方面进行审计,应用控制审计主要针对业务流程控制、输入、处理和输出控制、参数控制、接口控制、数据管理等方面进行审计。
审计收益:
通过信息系统专项审计,检查和评价信息系统的安全性、可靠性、经济性和合法性,检查组织是否具有必要的应用控制,揭示信息系统存在的风险,提出完善信息系统审计的意见和建议,促进信息系统实现组织目标,并满足相关监管部门的要求。
项目周期:2个月
上市公司信息系统专项审计
网络安全专项审计
信息科技风险全面审计
重要信息系统专项审计
IT基础设施专项审计
IT外包专项审计
业务连续性管理专项审计
系统投产变更专项审计
数据质量专项审计
信息系统绩效专项审计
TISAX认证审计
网络安全专项审计
Powertime Security Services
——
审计介绍:
网络安全专项审计是对网络安全相关控制机制、流程和策略等进行独立检查,以了解组织的网络安全现状,揭示网络安全风险,提供网络安全整改建议,从而有效促进组织网络安全体系的健全和有效,保障组织业务的健康稳定发展及组织目标的实现。
审计内容:
网络安全专项审计一般针对组织的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面内容开展审计。
审计收益:
通过对网络安全管理及技术控制措施的适当性和有效性进行检查,从整体上揭示组织在网络安全控制方面的风险隐患,使组织能够在合适的期限内,通过适当整改和优化,实现有效规避重大网络安全风险、显著提升网络安全管理水平、保障业务安全、稳定、高效运行的目标。
项目周期:2个月
信息科技风险全面审计
Powertime Security Services
——
审计介绍:
对组织的信息科技风险管理工作开展专项审计,全面评估信息科技风险防控的有效性,发现信息科技风险管理工作的短板依据监管要求及国内外最佳实践,结合组织实际,提出具有建设性的整改建议,出具相关审计报告。
审计内容:
审计内容包括信息科技治理、信息科技风险管理、信息安全、信息科技运行、信息系统开发测试与维护、业务连续性、外包风险、内部审计管理等方面。
审计收益:
满足组织内部控制和监管机构审计要求,提高组织信息科技风险管理的能力和水平,保障重要业务和系统的稳定性,促进组织信息科技风险管理体系不断完善,满足组织经营战略和业务发展的需要。
项目周期:2个月
重要信息系统专项审计
Powertime Security Services
——
审计介绍:
重要信息系统专项审计是对组织重要信息系统全生命周期(包括项目立项、开发、测试、维护、投产和变更管理、配置管理等)的管理状况及具体控制措施进行检查,识别出重要信息系统全生命周期管理中存在的问题和风险点,并分析原因,提出解决问题和控制风险的改进建议,出具重要信息系统专项审计报告。
审计内容:
审计内容包括项目管理、开发管理、测试管理、采购管理、投产管理、变更管理、问题管理、项目后评估等方面。
审计收益:
通过重要信息系统专项审计可以发现重要信息系统建设和运行过程中存在的问题、排查隐患,为后续重要信息系统项目提供风险预警,提高组织信息系统项目管理工作的管控能力和水平,维护系统运行和业务开展的安全稳定。
项目周期:2个月
IT基础设施专项审计
Powertime Security Services
——
审计介绍:
对组织的IT基础设施(包括数据中心、灾备中心等)开展审计,充分识别和评估IT基础设施的运营和管理风险,评价IT基础设施控制措施的有效性,发现IT基础设施在运营和管理过程中存在的风险隐患,依据监管要求及国内外最佳实践,结合组织实际,提出具有建设性的整改建议,出具IT基础设施专项审计报告。
审计内容:
对IT基础设施,包括数据中心和灾备中心的基础设施和环境进行审计,审计内容包括数据中心设立与变更、数据中心风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理、物理安全、防火、防水、防潮、防静电、电磁防护、温湿度控制、电力供应等方面。
审计收益:
通过IT基础设施专项审计,加强和规范组织的IT基础设施内部控制,促进和提高IT基础设施运营和管理水平,增强风险防控能力,确保组织信息系统安全、稳健、持续高效运行。
项目周期:2个月
IT外包专项审计
Powertime Security Services
——
审计介绍:
全面了解和掌握组织IT外包管理现状,识别和分析组织IT外包工作中存在的风险,揭示组织IT外包管理工作中存在的不足和问题,依据监管要求及国内外最佳实践,结合组织实际,有针对性地提出整改建议,出具IT外包专项审计报告。
审计内容:
对组织的IT外包工作进行审计,审计内容包括IT外包管理组织框架、IT外包战略与策略、IT外包风险管理、IT外包项目管理、IT外包采购管理、IT外包供应商管理、IT外包机构集中度风险管理、重点IT外包服务管理、IT外包服务实施管理、IT外包服务安全管理、IT外包业务连续性管理等方面。
审计收益:
有效控制组织IT外包风险,促进组织IT外包整体管理与服务水平的提升,完善组织的供应商准入和退出机制,增强组织外包服务监控与评价能力,降低外包管理风险,满足监管要求。
项目周期:2个月
业务连续性管理专项审计
Powertime Security Services
——
审计介绍:
全面了解和掌握组织业务连续性管理现状,系统识别和分析业务连续性工作相关风险,揭示组织业务连续性管理工作中存在的不足和问题,依据监管要求及国内外最佳实践,结合组织实际,有针对性地提出整改建议,出具相关审计报告。
审计内容:
审计内容包括业务连续性组织架构、风险评估、业务影响分析、业务连续性计划、业务连续性资源建设、业务连续性计划及预案演练、运营中断事件应急处置、应急预案、业务连续性计划的维护与改进等方面。
审计收益:
有效控制组织系统中断风险,提高组织的信息科技应急能力,完善组织业务连续性管理体系。
项目周期:2个月
系统投产变更专项审计
Powertime Security Services
——
审计介绍:
了解和掌握组织重要信息系统投产及变更的制度、流程和方法,对相关系统及其控制的适当性和有效性进行检查,识别、分析重要信息系统投产及变更工作中存在的风险,依据监管要求及国内外最佳实践,结合组织实际,有针对性地提出整改建议,出具相关审计报告。
审计内容:
审计内容包括重要信息系统投产及变更的组织架构及职能分配、制度建设、风险评估、投产及变更控制、投产及变更报告信息化计划、重要信息系统生命周期管理、投产及变更项目管理、外包管理等方面。
审计收益:
完善组织重要信息系统投产及变更制度,增强组织重要信息系统投产及变更的管理控制和技术控制,提高组织重要信息系统投产变更的项目管理能力,确保组织的重要信息系统投产及变更工作能够满足业务需要,保障系统投产及变更顺利开展。
项目周期:2个月
数据质量专项审计
Powertime Security Services
——
审计介绍:
通过检查主要系统管理数据、鉴别信息和重要业务数据的完整性、保密性、备份和恢复方面的安全策略和防护措施,验证信息系统采集数据、转换数据以及处理数据的过程及结果是否准确、可靠,进而验证信息系统相关数据的符合性、一致性及准确性,以此对信息系统的相关指标进行分析和评测。
审计内容:
财务数据和业务数据是与被审计单位运营直接相关的主要数据,直接反映被审计单位的管理运行状况。管理数据是指用以管理信息系统的配置信息,如操作系统、数据库管理和业务系统的配置信息等;鉴别数据是指用以确认身份真实性的信息如用户名、口令和CA证书等。除了对以上内容的数据安全控制,还包括数据采集验证、数据转换验证和数据处理验证等。
审计收益:
组织系统中的管理数据、鉴别信息和重要业务数据的完整性、保密性、备份和恢复以及相关数据的符合性、一致性、准确性,反映了被审计单位数据安全技术水平和数据质量管理水平。通过对数据安全控制测评、数据质量分析,审计人员可以评价组织信息系统的数据安全控制和数据质量管理情况,为整体评价组织信息系统的一般控制情况和其他审计事项提供重要参考。
项目周期:2个月
信息系统绩效专项审计
Powertime Security Services
——
审计介绍:
通过对信息系统项目在规划、建设和应用等阶段绩效情况进行的监督检查活动,审计人员从促进提高项目建设绩效,提升投资效益出发,统筹考虑系统功能设计的性质以及推广应用的环境等因素,对系统项目绩效做出适当的评价。提出改进意见,并出具信息系统项目绩效审计报告。
审计内容:
● 项目规划绩效,包括项目规划与组织目标、业务需求之间的符合程度,项目立项的必要性,项目需求的充分性与合理性,项目规划是否体现顶层设计,是否对重大项目进行统筹规划和资源整合等内容。
● 项目建设绩效,包括项目招标采购、合同签订执行与验收、系统建设目标实现程度、项目建设目标完成质量、建设资金使用情况、项目培训及售后服务、项目变更等内容。
● 项目应用绩效,包括系统推广及实际应用水平、项目建设对提高组织业务效率和管理水平所发挥的作用、建设项目投入应用所带来的社会效益和经济效益、系统资源利用率、系统运行稳定性、功能模块或资源是否存在浪费、目标岗位用户对系统功能的掌握和使用程度等内容。
审计收益:
通过对信息系统项目规划、建设和应用等情况进行审计,使管理层掌握项目绩效情况,了解信息系统项目对组织所发挥的作用和效益,并判断其是否满足了立项目标,是否提高了资源利用,是否有利于廉洁建设。
项目周期:2个月
TISAX认证审计
Powertime Security Services
——
审计介绍:
2017年初,德国汽车工业协会(VDA)与ENX协会联合推出了可靠交换机制TISAX(可信信息安全评估交换),实现数字化汽车行业的信息安全可信评估,该项评估的流程和标准开始成为强制性要求,在全球范围内,包括零部件厂商、外围服务供应商等在内的所有相关供应商,都被要求建立和维持基于行业互相的信息安全管理体系,并将通过与之对应级别的TISAX认证作为准入条件。“TISAX认证”被欧洲汽车行业相关方用于内部评估、供应商评估,是各方相互信息交换通用的信息安全评估机制,也是为欧洲汽车行业提供服务的门槛。
审计内容:
不同的审核级别是由参与方期望达到的保护级别所决定的,TISAX区分三种不同的“保护级别”(正常,高和非常高),其对应AL1,AL2和AL3的审核级别;如果只是AL1级别的审核,不需要外部审核方参与企业执行自我评估即可,但注意此级别无法获得TISAX标签;因此企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别。
审计收益:
目前,TISAX认证都是来自于主机厂的强制要求,获得认证就是满足了外部需求方的直接要求。通过相应级别的TISAX审计,获得在TISAX官网注册的LableID,实现与客户信息的交换或查阅相关供应链其他公司信息的目的。同时提升了员工安全意识和能力,能为企业增强市场竞争力,而且,作为一项极具权威性的三方认证,TISAX认证是全行业包括个人客户都极为认可和推崇的,经过一次审核后,在三年有效期内,所有主机厂都可以查到审核信息,不必重复审核,在高认可度的情况下,还能避免多次检查,有效节省时间和管理成本。
项目周期:2个月
信息安全国家
标准编制单位
专注网络安全
服务20年
服务客户
5000+
软件
测评机构
