被审计单位计算机信息系统调查表
被审计单位计算机信息系统调查表
(财务信息系统)
被审计单位计算机信息系统调查表
(业务信息系统)
被审计单位计算机信息系统调查表
(数据流向说明)
信息系统基本情况调查表(模板)
编号:DCB2014- XXXXXX信息系统基本情况调查表 四川省软件和信息系统工程测评中心 2016年月日 共29 页第 1 页
说明 1、请提供信息系统的最新网络结构图(拓扑图)。 A、应该标识出网络设备、服务器设备和主要终端设备及其名称。 B、应该标识出服务器设备的IP地址。 C、应该标识网络区域划分等情况。 D、应该标识网络与外部的连接等情况。 E、应该能够对照网络结构图说明所有业务流程和系统组成。 (如果一张图无法表示,可以将核心部分和接入部分分别画出,或以多张图表示。) 2、请根据信息系统的网络结构图填写各类调查表。 共29 页第 2 页
XXXXXX信息系统工程网络结构图(拓扑图): 共29 页第 3 页
调查表清单 表1-1 单位基本情况 表1-2 参与人员名单 表1-3 物理环境情况 表1-4 信息系统基本情况 表1-5 承载业务(服务)情况调查 表1-6 信息系统网络结构(环境)情况调查 表1-7 外联线路及设备端口(网络边界)情况调查 表1-8 网络设备情况调查 表1-9 安全设备情况调查 表1-10 服务器设备情况调查 表1-11 终端设备情况调查 表1-12 系统软件情况调查 表1-13 应用系统软件情况调查 表1-14 业务数据情况调查 表1-15 数据备份情况调查 表1-16 应用系统软件处理流程调查 表1-17 业务数据流程调查 表1-18 管理文档情况调查 表1-19 安全威胁情况调查 共29 页第 4 页
表1-1 单位基本情况 共29 页第 5 页
表1-2 参与人员名单 共29 页第 6 页
操作系统安全配置检查表
1 Windows 2000 操作系统安全检查表(草案) 中国教育和科研计算机网紧急响应组(CCERT) 2003年3月 前言 步 骤 1 建议 2 安装过程中的建议 3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序 4 为管理员(Administrator )账号指定安全的口令 5 把Administrator 帐号重新命名 6 禁用或删除不必要的帐号 7 关闭不必要的服务 8 安装防病毒软件 9 给所有必要的文件共享设置适当的访问控制权限 10 激活系统的审计功能 11 关于应用软件方面的建议 附录一、网络上的参考资源 附录二、windows 2000 服务配置参考 1 建议 2 安装过程中的建议
2 3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序 大量系统入侵事件是因为用户没有及时的安装系统的补丁,管理员重要的任务之一是更新系统,保证系统安装了最新的补丁。 建议用户及时下载并安装补丁包,修补系统漏洞。Microsoft 公司提供两种类型的补丁:Service Pack 和Hotfix 。 Service Pack 是一系列系统漏洞的补丁程序包,最新版本的Service Pack 包括了以前发布的所有的hotfix 。微软公司建议用户安装最新版本的Service Pack , 现在最新的补丁包是Service Pack 3(推荐安装)。 您可以在下面的网址下载到最新的补丁包: ● https://www.360docs.net/doc/896682648.html,/windows2000/downloads/servicepacks/sp3/ ● https://www.360docs.net/doc/896682648.html,/china/windows2000/downloads/ ● https://www.360docs.net/doc/896682648.html,/patch/ Service Pack 3 此补丁包包括了Automatic Updates (自动升级)服务,该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。Automatic Updates 是一种有预见性的“拉”服务,可以自动下载和安装Windows 升级补丁,例如重要的操作系统修补和Windows 安全性升级补丁。 Hotfix 通常用于修补某个特定的安全问题,一般比Service Pack 发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务: https://www.360docs.net/doc/896682648.html,/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 在发布新的安全补丁时,可以通过电子邮件通知你。如果公告建议你安装 hotfix ,你应该尽快下载并安装这些hotfix 。 你也可以在下面的网址下载最新的Hotfix 程序: https://www.360docs.net/doc/896682648.html,/technet/treeview/default.asp?url=/technet/security/current.asp 4 为管理员(Administrator )账号指定安全的口令 Windows 2000 允许127个字符的口令。一般来说,强壮的口令应该满足以下条件: 1. 口令应该不少于8个字符; 2. 不包含字典里的单词、不包括姓氏的汉语拼音; 3. 同时包含多种类型的字符,比如 o 大写字母(A,B,C,..Z) o 小写字母(a,b,c..z) o 数字(0,1,2,…9) o 标点符号(@,#,!,$,%,& …) 4. 不要在不同的计算机上使用相同的口令。 5 把Administrator 帐号重新命名 由于Windows2000的默认管理员帐号Administrator 已众所周知,该帐号通常称为攻击者猜
信息系统调查表
信息系统调查表 填报单位:分管领导:联系人:联系人电话:
自建系统调查表填报单位:
网络情况调查表填报单位:
填表规则 1、信息系统调查表 使用功能是指本部门使用该系统中的主要功能有哪些。 使用部门及使用该系统的电脑数量精确统计到本二级单位及其所有下属单位科室。 2、自建系统调查表 运行/升级时间涵盖了系统首次运行时间及后续的升级改造时间。行数不够请自行增加行数。 版本号规则请参照附件:武汉市自来水有限公司信息系统版本号规范标准. 3、网络情况调查表 部门精确到三、四级单位。 联网方式中内网指集团公司内网,外网指宽带互联网。 用途是指用于公司内部信息系统还是办公用途。 运营商有武汉有线、移动、电信等。 4、如备注文字较多,可另附页进行说明。
附件: 武汉市自来水有限公司信息系统版本号规范标准(建议) 为加强武汉市自来水有限公司信息标准化管理,规范信息系统开发升级流程,实现对各信息系统统一版本控制,特制定武汉市自来水有限公司信息系统版本号规范标准。 软件版本号命名规范 软件版本号按如下格式命名,<主版本号>.<次版本号>.[修正版本号] 软件版本号由三部分组成,均由数字型字符构成,各部分所代表含义如下。 主版本号:该版本号最初从1开始命名。当该信息系统框架结构发生重大变化时,需对该版本号进行修改,一般将该版本号加1。 次版本号:该版本号最初从0开始命名。当该信息系统功能模块有增加一个重大变化时(一般涉及到开发合同的签订和软件的开发测试验收等),需对该版本号进行修改,一般将该版本号加1。 修正版本号:仅在各个系统中显示,该版本号由软件修改日期及顺序号构成,其中软件修改日期为8位数字,顺序号为2位数字。当日常对软件小漏洞进行修复或是软件上进行小的变动时,需对该版本号进行修改。
ISO27001检查表Windows_ChecklistISO27001,信息审计
ISO27001检查表Windows_ChecklistISO27001, 信息审计 信息安全加固手册 WINDOWS系统 二零零五年四月
文档修改记录
1 补丁类5 1.1 最新的Service Pack 5 1.2 最新的Hotfixs 5 2 端口服务类6 2.1 禁止Messenger服务 6 3系统参数类 7 3.1禁止自动登录7 3.2禁止在蓝屏后自动启动机器8 3.4删除服务器上的治理员共享8 3.5防止运算机扫瞄器欺诈攻击9 4网络参数类 9 4.1防止碎片包攻击9 4.2 keep-alive时刻10 5用户治理、访咨询操纵、审计功能类11 5.1验证Passwd强度11 5.2密码长度11 5.3密码使用时刻13 5.4账号登录事件审计14 5.5账号治理审计15 5.6名目服务访咨询审计17 5.7登录事件审计18 5.8对象访咨询审计20 5.9策略更换审计21 5.10特权使用审计23 5.11进程跟踪审计24 5.12系统事件审计26 5.13失败登录账号锁定27 5.14失败登录账号锁定时刻28
5.15登录时刻到期时自动退出登录29 5.16不显示上次登录的用户名30 5.17 防止系统保持运算机账号和口令 31 5.18防止用户安装打印机驱动程序32 5.19复原操纵台禁止治理员自动登录33 6防病毒35 6.1安装防病毒软件及其更新35 7 Windows主机上WWW服务的安全增强35 7.1启用日志记录35 7.2删除未使用的脚本映射36 7.3删除IIS默认文件和名目37 8修改系统默认日志储存路径38 9 SQLSERVER加固38 9.1 SP补丁38 9.2删除不用的外部储备过程38 10替换CMD命令39 11 tunnel封装terminal服务39
经济责任审计调查表
经济责任审计调查表 一、基本情况 1.被审计干部姓名: 2.审计期间担任职务、主要工作职责范围:(含领导班子其他成员) 3.部门(学院)基本情况介绍:(不超过1000字,含部门工作职责、内部机构设置、学科发展情况、主要经济活动、内部管理分工、教职工编制、人数等关键统计数据情况等) 4.办公场所: (这里指学校分配给部门(学院)及下属机构专用的办公场所,包括实验室、研究所等,以及部门(学院)借用或租用的校外场所) 5.部门(学院)聘用人员(这里指不在学校人事处名单上的自行聘用人员) 二、部门(学院)内部管理状况调查(需提供相应支撑材料) 1.制度建设及执行情况 2.资金使用的审批权限(此处不包含“3”开头的项目,项目多的可另附页)
3.“三重一大”决策情况(相关经济活动决策情况) 大额资金使用集体讨论的限额标准万元及以上。(根据实际情况填写,没有可不填) 4.资产盘点情况(含学校资产部门盘点) 5.合同(协议)签订情况(指本部门(学院)经办5万及以上大额合同)
6.接受检查情况(包括校内外的各类检查、审计等,包括代表学校接受的检查) 7.涉及收费情况(如无收费项目,直接填写“无”) 8.接受学校执行通知单情况(如无,直接填写“无”) 9.专业软件或数据库采购及使用情况(如无,直接填写“无”)
只需填写部门(学院)自己采购的数据库。 *使用范围主要指:1. 仅本部门使用填“本部门/学院”;2.几个部门共用的需列示具体使用部门/学院;3.全校范围使用填“全校”。 三、其他需要说明的事项 (如:任期内未了结的经济活动,发票、收据领用情况、未冲销的暂借款等) 四、被审计部门(学院)及被审计干部认为学校在落实经济责任方面存在的问题及建议 被审计对象(签名)被审计单位(盖章):年月日年月日
财务收支审计调查报告
财务收支审计调查报告 财务收支审计(audit of financial revenues) 什么是财务收支审计调查报告 财务收支审计是对金融机构、企事业单位的财务收支及有关的经济活动的真实性、合法性所进行的审计监督。以企业财务收支审计为例,审计内容主要有:企业制定的财务会计核算办法是否符合《企业财务通则》、《企业会计准则》以及国家财务会计法规、制度的规定;对企业一定时期内的财务状况和经营成果进行综合性的审查并做出客观评价。 财务收支审计的内容 根据《审计法》第8条至第25条的规定,国家审计机关以财务收支为审计对象的主要内容包括以下几个方面: 1.金融机构的财务收支审计 根据《审计法》第18条的规定:" 审计署对中央银行的财务收支,进行审计监督。审计机关对国有金融机构的资产、负债、损益,进行审计监督。"中央银行是指中国人民银行,它是国务院的一个部门,是政府的银行。国有金融机构,包括国家政策性银行、国有商业银行,国有保险、信托投资、证券经营、租赁机构,其他国有金融机构等。 (1)中央银行财务收支审计。中国人民银行及其分支机构都属于我国最高审计机关即审计署的审计对象,不可授权下级审计机关审计。对中央银行审计的内容孟要包括两方面:一是审查在金融业务活动中发生的各项财务收支及其结果的真实、合法和效益;二是审查人民银行每个会计年度是否将其收入减除该年度支出,并按照国家核定的比例提取总储备金后的净利润,全部上缴中央财政。 (2)国家金融机构资产、负债、损益的审计。根据《审诗法》第18条第2款的规定,审计机关对国有金融机构、国有资产占控股地位或者主导地位的金融机构比照国有企业对其资产、负债平损益进行审计监督。在资产方面,主要对其内部控制制度行审计。在负债方面,主要对流动负债和长期负债的真实性、合法性进行审计。在损益方面,主要对各种收入、投资收益、租赁收益、各种费用支出、收益分配等方面的真实性、正确性及合法性进行审计。 2.事业组织财务收支审计
内部控制与风险管理调查问卷
企业内部控制与风险管理调查问卷 尊敬的员工,您好! 此次问卷调查是基于了解公司的客观情况以及对相关方面进行改善的切实需求。您的见解和意见对于公司未来的发展至关重要,请您以对企业高度负责的主人翁态度,细心阅读各部分的提示语,认真填写问卷,真实地反映您的观点、看法。本问卷匿名填写,我们将对问卷严格保密。感谢您的积极参与和支持。 一、个人资料 您的个人资料(仅用于统计目的),请在你确认的括号内划勾: 1. 您的性别:男()女() 2.您的年龄:()25岁(含)以下()26-30岁()31-35岁(含) ()36-40岁()41-50岁以上()51岁以上 3.您在公司的工作年限 □1年以内□1-2年□3-5年□5年以上 4.您是:()高层(经理班子成员)()中层干部(副部长、部长级) ()技术类人员(技术员、工艺员、设备管理人员) ()质量检验人员()财务人员()销售人员 ()基层管理人员(课长、车间主任、班组长、现场管理人员) ()课室职员(课员、仓管、统计、计划、采购) ()一线操作人员()其他 5.您的最高学历:()初中及初中以下()高中/中专()大专 ()本科()本科()硕士及以上 二、企业背景情况
1.您认为,贵公司所属行业应该属于以下行业中的哪一类: 口高新技术产业(包括软件业、电子和通讯设备制造业、生物制药和新材料业等) 口知识密集型的服务业(包括法律服务、咨询、媒体信息服务、金融服务、教育与培训等) 口传统制造业(包括化工、纺织、建筑、机械等) 2.贵公司的所有制性质: 口国有企业口民营企业口三资企业或港澳台企业 3.贵公司经营规模在本行业中属: 口大型口偏大型口中型口偏小型口小型 三、内部控制与风险管理情况 1、贵公司有无监事会、审计委员会、内部审计部门、风控部门或职责类似的部门 □是□否□不清楚 2、贵公司是否制定《企业员工守则》□是□否□不清楚 3、您所执行的工作内容是否有正式的书面描述□是□否□不清楚 4、您拥有的权限是否能完成您所承担的工作□是□否□不清楚 5、您如何评价公司董事会、管理层是否有效履行了自身职责 董事会□差□较差□一般□较好□好 高级管理层□差□较差□一般□较好□好 6、您是否了解您所在部门、岗位的内部控制规定□是□否□不清楚 如否,是何原因(可多选) □未制定相关规定□领导不重视□与己无关不关心□落实不到位 7、您认为公司在人员选拔、提升上是否公平、公正□是□否□不清楚 如否,您认为是何原因(可多选)
专项审计调查报告模板
****(审计机关全称) 专项审计调查报告 *审**调报〔20**〕**号 被调查单位:**** 审计调查项目:****
根据《中华人民国审计法》第二十七条的规定,****(审计机关全称或者规简称)派出审计组,自****年**月**日至****年**月**日,对****(被调查单位全称或者规简称。写全称时还应注明“以下简称****”)****(审计通知书列明的审计调查围)进行了专项审计调查,****(根据需要可简要列明审计调查重点),对重要事项进行了必要的延伸和追溯。****(被调查单位简称)及有关单位对其提供的财务会计资料以及其他相关资料的真实性和完整性负责。***(审计机关全称或者规简称)的责任是依法独立实施专项审计调查并出具专项审计调查报告。 [说明: 1.审计依据和审计围应当与审计通知书保持一致。 2.被审计单位作出书面承诺的,应注明。] 一、被调查事项的基本情况 ************************************************************* *********************************************************。 [说明: 1.本部分简要表述被调查事项的背景信息,如被调查事项的管理体制、相关业务活动及其目标、相关业务数据和财务数据、适用的绩效评价标准等。 2.本部分反映的容应当与专项审计调查目标密切相关。 3.如果引用的数据未经审计调查核实,应当注明来源。] 二、审计调查评价意见
审计调查结果表明,***************************** ****************************************************************** *********。 [说明: 1.本部分应围绕审计调查目标对被调查事项作出评价,主要评价与被调查事项相关的政策和制度执行效果,也可评价相关财政收支、财务收支和经济活动的真实、合法、效益情况。 2.本部分既包括正面评价,也包括对审计调查发现的主要问题的简要概括。 3.只对审计调查的事项发表评价意见,对审计调查过程中未涉及、审计证据不充分、评价依据或者标准不明确以及超越审计职责围的事项,不发表评价意见。 4.评价意见不能与审计调查发现的问题相矛盾。 5.评价用语要准确、适当,以写实为主。] 三、审计调查发现的主要问题 ************************************************************* ***********************************************************。 [说明: 1.本部分重点反映审计调查发现的政策、体制、制度及其执行中存在的问题,应表述问题事实、标准、原因及其影响,一般情况下,还应当提出整改建议,有明确法规依据的应当引用具体的定性法规容。其中,对于被调查单位违反国
被审计单位基本情况调查问卷
被审计单位基本情况调 查问卷 Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
被审计单位基本情况调查问卷 项目被审计单位基本情况调查问卷签名日期 客户名称编制人索引号BA 会计截止日复核人页次 1.被审计单位概况 被审计单位名称 成立日期 2003年7月10日 组织结构 无对外投资和分部 所有制性质 国有 治理结构 2.所在行业 电解锰(常用有色金属压延加工) 3.所在行业适用的特定法律、法规和规章 《电解金属锰行业准入条件》 4.所在行业适用的会计准则、会计制度或特定惯例 执行企业会计准则(2006)及其解释公告 5.可能影响当期审计的新颁布的会计准则或审计准则 无 6.可能影响被审计单位经营的经济环境、行业竞争状况及其他最新情况 7.所在行业的特殊监管或报告要求
无 8.被审计单位的主要投资者及其所占资本份额 重庆乌江实业(集团)股份有限公司100% 9.被审计单位管理层的主要成员 10.根据以前年度为被审计单位提供专业服务的经验,以及从其他渠道获取的信息,考虑管理层的诚信度 (1)管理层是否作出过重大的错误陈述 没有 (2)管理层是否已采纳其前期接受的审计调整意见 采纳 (3)以往审计中向管理层获取信息是否存在困难 否 11.管理层的工作方法是否激进 是 12.管理层是否充分了解被审计单位的经营活动和财务状况 是 13.管理层是否充分了解其对财务报表真实性、完整性应当承担的责任 是 14.有无员工奖励或者利润分红计划,如果有,说明所涉及的人员、职务和计算方法等15.是否为员工办理了有关社会保险 是 16.被审计单位的计酬方式,如月薪、计时工资、佣金、计件工
最新审计调研报告(精选多篇)
审计调研报告(精选多篇) 第一篇:审计调研报告 兴庆区工会经审委关于开展工会资产 审查审计监督情况的调研报告 根据银川市总工会经审委关于开展工会资产审查审计监督情况调研文件的要求,兴庆区工会经审组织高度重视,为了更好的掌握我市开展工会资产审查审计监督情况,兴庆区经审委认真组织调研。通过查、看、访,现将兴庆区工会资产审查审计监督调研情况报告如下: 一、基本情况 兴庆区工会资产审查审计监督工作坚持以《工会法》、《工会资产管理办法》、全总《关于加强工会经费审计监督工作的意见》为准则,坚持原则、敢于监督、切实履行审计监督职责,通过推进制度化规范化建设,以加强产权监管、建立监管制度为重点,采取积极措施,把工会资产审计监督工作真正落到实处,促其在在资产保值增值和实现管理效率最大化中更好的发挥作用。截止2020年底,本级资产,下一级及其直属事业单位,全部纳入审查、审计范围。其中县级工会1个;直属事业单位 12 个。 二、主要做法 (一)经审委对工会资产全部纳入审查范围 针对兴庆区实际情况,兴庆区经审委于每年第一季度制定本年资产审查计划及目标,将本级资产,下一级及其直属事业 1
单位全部纳入审查范围。2020年初,认真听取并审议了资产管理部门关于直属事业单位资产管理情况的报告5次,制定完善了资产管理审查监督制度,为下一步工作的有序开展奠定了基础。 (二)经审委对工会资产全部纳入审计 兴庆区经审委于2020年4月至6月份,对兴庆区工会本级资产全部进行审计。本次审计,遵循全面审计、突出重点的原则,加强对工会经费预决算、财务收支管理、专项资金、流动资金、固定资产、工程项目的审计。 1、加强对工会经费预决算的审计,特别是支出的审计。规范工会财务管理,合理有效地分配使用工会经费,促进预算管理的科学性、完整性和规范性,提高工会经济活动运作质量,保证工会经费使用方向。要求督促同级工会利用工会网站、宣传栏等形式向社会公布经费支出情况,实行财务公开,接受会员监督,推进民主理财。兴庆区经审委每年在本级工会全委会上报告经费审查工作。 2、加强对工会专项资金的审计监督。关注困难职工帮扶和困难劳模补助等专项资金和上级工会划拨的其他专项资金的使用情况,将审计延伸到资金管理和使用单位,防止出现资金的挪用或变相挪用和损失浪费的情况,提高专项资金使用效益,确保设计职工切身利益的专项资金运行安全。 (三)以规范化建设为抓手,不断夯实工会经审基础工作
信息系统基本情况调查表
信息系统基本情况调查表 XXXX 25
安全需求调查表 被检测信息系统名称: 填表人/部门: 填表日期: 1、被检测信息系统的安全利益主体属以下哪种系统类型? A、党政机关 B、国家重要行业和重要基础设施的企事业单位 C、一般企事业单位 D、其它系统类型,______________________ 2、被检测信息系统内处理的主要信息属于以下哪种信息类别? A、国家秘密信息 B、非密敏感信息(法人和其他组织及公民的专有信息) C、公开信息 D、其它信息类型,_______________________ 3、被检测信息系统被破坏后将可能对以下哪种范畴造成较大安全影响? A、国家安全利益范畴 25
B、国家经济建设、社会秩序或公共利益范畴 C、单位自身利益 D、其它范畴,__________________________ 4、被检测信息系统的主要服务范围、业务范围与下列哪种选择最接近? A、对外服务,且服务覆盖全国范围 B、对外服务,且服务覆盖省级范围 C、对内服务,或对外服务覆盖市、县级以下范围 D、其他范围,_______________________ 5、对于系统内的主要业务处理过程,被检测信息系统实现的自动化程度与下列哪种选择最接近? A、业务处理流程完全依赖信息系统,手工方式无法完成 B、业务处理流程的部分环节可以通过手工方式或其他方式替代完成 C、整个业务处理流程可以通过手工方式或其他方式完成 6、如果被检测系统内的数据被非授权泄漏或修改,会对被检测系统造成何种损失? A、很严重损失 B、严重损失 C、部分损失 25
D、轻微损失 7、正常业务处理过程的未预期中断时间达到下列哪种情况时,会受到单位管理层的关注? A、中断3小时以下 B、中断8小时 C、中断24小时 D、中断3天 E、中断7天 F、中断10天以上 G、其它,_______________ 8、请选择被检测系统的指定恢复时间目标(RTO)。RTO定义为从业务处理过程的未预期中断到业务恢复到某个低服务等级的时间间隔。 A、2小时 B、8小时 C、24小时 D、3天 E、7天 F、10天以上 G、其它,_______________ 25
信息安全风险评估检查流程操作系统安全评估检查表H模板
信息安全风险评估检查流程操作系统安全评估检查表H
HP-UX Security CheckList
目录 HP-UX SECURITY CHECKLIST (1) 1初级检查评估内容 (6) 1.1 系统信息 (6) 1.1.1 系统基本信息 (6) 1.1.2 系统网络设置 (6) 1.1.3 系统当前路由 (7) 1.1.4 检查当前系统开放的端口 (7) 1.1.5 检查当前系统网络连接情况 (8) 1.1.6 系统运行进程 (8) 1.2 物理安全检查 (9) 1.2.1 检查系统单用户运行模式中的访问控制 (9) 1.3 帐号和口令 (9) 1.3.1 检查系统中Uid相同用户情况 (9) 1.3.2 检查用户登录情况 (10) 1.3.3 检查账户登录尝试失效策略 (10) 1.3.4 检查账户登录失败时延策略 (10) 1.3.5 检查所有的系统默认帐户的登录权限 (11) 1.3.6 空口令用户检查 (11) 1.3.7 口令策略设置参数检查 (11) 1.3.8 检查root是否允许从远程登录 (12)
1.3.9 验证已经存在的Passwd强度 (12) 1.3.10 用户启动文件检查 (12) 1.3.11 用户路径环境变量检查 (13) 1.4 网络与服务 (13) 1.4.1 系统启动脚本检查 (13) 1.4.2 TCP/UDP小服务 (14) 1.4.3 login(rlogin), shell(rsh), exec(rexec) (14) 1.4.4 comsat talk uucp lp kerbd (15) 1.4.5 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd (15) 1.4.6 远程打印服务 (16) 1.4.7 检查是否开放NFS服务 (16) 1.4.8 检查是否Enables NFS port monitoring (17) 1.4.9 检查是否存在和使用 NIS ,NIS+ (17) 1.4.10 检查sendmail服务 (17) 1.4.11 Expn, vrfy (若存在sendmail进程) (18) 1.4.12 SMTP banner (19) 1.4.13 检查是否限制ftp用户权限 (20) 1.4.14 TCP_Wrapper (20) 1.4.15 信任关系 (20) 1.5 文件系统 (21) 1.5.1 suid文件 (21)
关羽审计风险准则的调查问卷
审计风险准则调查问卷 第一部分说明 1.调查目的 本调查旨在通过了解审计风险准则在实务中运用的实际情况,掌握实施难点,为准则的更好实施及进一步完善提出建议。 2.关于的特别说明 本调查按照《统计法》的要求进行,您所提供的信息仅用于进一步完善审计准则,促进准则的贯彻实施,并予以严格,不用于其他目的。 3.问卷填列说明 问卷共57个问题,分为3类。第一类是单项选择,请选择一项后填入空格中。第二类为表格题,请对表格中的每个选项分别选择“不认同”、“某种程度上不认同”、“不能确定”、“某种程度上认同”、“认同”,请直接在每个选项对应的表格中划“ √”。如果您认为有更好的选项,请在最后一行补充说明。第三类是开放式问题,请根据自己的理解回答。 问卷由项目经理以上人员亲自填列。 为保证调查结果的真实,请根据您执业的实际情况如实填写,切勿按照准则的规定和要求填写。 4.联系方式 联系人:吴琼
: 电子信箱:https://www.360docs.net/doc/896682648.html, 感您的大力支持! 第二部分背景知识 2006年2月15日,财政部发布了中国注册会计师执业准则体系,自2007年1月1日起在所有会计师事务所执行。中国注册会计师执业准则体系全面引入了风险导向审计的理念,要求注册会计师在执行审计业务时以重大错报风险的识别、评估和应对为审计工作主线,做到有的放矢,减小审计工作的盲目性,提高审计的效率和效果。 集中体现风险导向审计理念的准则主要包括《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号--针对评估的重大错报风险实施的程序》两项准则(以下简称审计风险准则)。 《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》规注册会计师如何识别和评估重大错报风险,它要求注册会计师全面深入了解被审计单位及其环境的各个方面(包括了解部控制的设计和是否得以执行),并在此基础上进行更为严格的风险识别和评估,以识别出财务报表层次和认定层次的重大错报风险。 《中国注册会计师审计准则第1231号--针对评估的重大错报风险实施的程序》规注册会计师如何应对识别的两个层次重大错报风险,它要求注册会计师针对财务报表层次重大错报风险,实施总体应对措施;要求注册会计师针对认定层次的重大错报风险,通过调整进一步审计程序的性质、时间和围加以应对。进一步审计程序包括控制测试(测试控制在拟信赖期间是否一贯运行)和实质性程序。准则要求注册会计师增加审计程序的针对性,在实施的进一步审计程序与评估的认定层次
被审计单位基本情况调查问卷12
被审计单位基本情况调查问卷 项目被审计单位基本情况调查问卷签名日期 客户名称编制人索引号BA 会计截止日复核人页次 1.被审计单位概况 被审计单位名称 成立日期 2003年7月10日 组织结构 无对外投资和分部 所有制性质 国有 治理结构 2.所在行业 电解锰(常用有色金属压延加工) 3.所在行业适用的特定法律、法规和规章 《电解金属锰行业准入条件》 4.所在行业适用的会计准则、会计制度或特定惯例 执行企业会计准则(2006)及其解释公告 5.可能影响当期审计的新颁布的会计准则或审计准则 无 6.可能影响被审计单位经营的经济环境、行业竞争状况及其他最新情况 7.所在行业的特殊监管或报告要求 无 8.被审计单位的主要投资者及其所占资本份额
10.根据以前年度为被审计单位提供专业服务的经验,以及从其他渠道获取的信息,考虑管理层的诚信度 (1)管理层是否作出过重大的错误陈述 没有 (2)管理层是否已采纳其前期接受的审计调整意见 采纳 (3)以往审计中向管理层获取信息是否存在困难 否 11.管理层的工作方法是否激进 是 12.管理层是否充分了解被审计单位的经营活动和财务状况 是 13.管理层是否充分了解其对财务报表真实性、完整性应当承担的责任 是 14.有无员工奖励或者利润分红计划,如果有,说明所涉及的人员、职务和计算方法等 15.是否为员工办理了有关社会保险 是 16.被审计单位的计酬方式,如月薪、计时工资、佣金、计件工 资、发放频率与时间等 17.已审计财务报表是否需要满足下列机构或文件的要求 (1)银行或其他债权人
工商年审需要 (3)合同、协议 否 18.财务报表是否提供给不参与被审计单位经营的业主、供应商、客户或员工 否 19.公布已审计财务报表的最后期限 20.管理层是否对审计范围施加限制 否 21.审计工作是否存在时间压力 否 22.注册会计师是否可以实施替代程序以克服上述范围限制 不适用 23.注册会计师及其所在的会计师事务所与被审计单位之间是否存在可能损害独立性的利害关系 否 24.注册会计师是否需要代行通常由业主(管理层)或员工承担的职责 否 25.被审计单位生产经营部门、销售部门、管理部门等的员工人数 公司近几年未开展业务活动,仅有少量管理人员 26.被审计单位的主要产品目录、服务种类、重要客户名录 电解金属锰
信息系统基本情况调查表
信息系统基本情况调查表 XXXX
安全需求调查表 被检测信息系统名称: 填表人/部门: 填表日期: 1、被检测信息系统的安全利益主体属以下哪种系统类型? A、党政机关 B、国家重要行业和重要基础设施的企事业单位 C、一般企事业单位 D、其它系统类型,______________________ 2、被检测信息系统内处理的主要信息属于以下哪种信息类别? A、国家秘密信息 B、非密敏感信息(法人和其他组织及公民的专有信息) C、公开信息
D、其它信息类型,_______________________ 3、被检测信息系统被破坏后将可能对以下哪种范畴造成较大安全影响? A、国家安全利益范畴 B、国家经济建设、社会秩序或公共利益范畴 C、单位自身利益 D、其它范畴,__________________________ 4、被检测信息系统的主要服务范围、业务范围与下列哪种选择最接近? A、对外服务,且服务覆盖全国范围 B、对外服务,且服务覆盖省级范围 C、对内服务,或对外服务覆盖市、县级以下范围 D、其他范围,_______________________ 5、对于系统内的主要业务处理过程,被检测信息系统实现的自动化程度与下列哪种选择最接近? A、业务处理流程完全依赖信息系统,手工方式无法完成
B、业务处理流程的部分环节可以通过手工方式或其他方式替代完成 C、整个业务处理流程可以通过手工方式或其他方式完成 6、如果被检测系统内的数据被非授权泄漏或修改,会对被检测系统造成何种损失? A、很严重损失 B、严重损失 C、部分损失 D、轻微损失 7、正常业务处理过程的未预期中断时间达到下列哪种情况时,会受到单位管理层的关注? A、中断3小时以下 B、中断8小时 C、中断24小时 D、中断3天 E、中断7天
企业内部审计工作的调查报告
关于企业内部审计工作 的调查报告 企业内部审计作为一种自律机制,在建立现代企业制度中起着重要的作用。企业内部审计工作是促进企业建立健全内部约束机制,维护国家的财经法规和企业规章制度贯彻落实的必要保证。笔者近期对一些企业的内部审计状况进行了调查分析。目前,一般企业中的内部审计,从内容上已围绕信息的可靠性与完整性,政策、计划、程序、法律和规定的遵循,保护资本的安全,资源的节约和有效使用,经营目标的完成等方面来展开工作。但内部审计从目前的普遍成效来说还未发挥出应有的支持内部管理的作用,更无法适应现代企业内部控制制度的目标要求。 一、当前企业内部审计工作现状? (一)企业经营管理者对内部审计的认识不足。受长期计划经济的影响,部分企业领导人片面认为内部审计就是检查内部经济问题,会影响企业职工的团结和稳定,有的认为内部审计限制了自己的经营自主权,削弱了自己的权威,有的将内审机构形同虚设,使内审人员无职无权。 (二)审计处于低级阶段且专业知识不足。目前内部审计的职能应是查错防弊型与管理服务型紧密结合。但现状是由于基础管理的缺陷,一般企业的内部审计人员还要每月度将大量精力用于复核纠正会计科目及经营管理数据的正确性上,然后才能将部分精力投入到数据的真实性、合法性的查证及生产经营的监督,加上目前内审人员普遍是现代企业管理知识匮乏,审计理论与方法钻研不精,因此更难对企业经营管理作出有效的审计分析、评价和管理整改建议,审计的对象主要是会计报表、账本、凭证及其相关资料,工作都集中在财务领域的浅表层次,对企业经营管理中的资本运作、投资、成本管理、产品定价方案评审与选择等重要领域,一般都无能力和条件开展审计工作。 (三)内部审计缺乏充分的独立性,削弱了内部审计决策的质量。独立性是内部审计的基本原则,是内部审计人员开展审计工作的基本前提,内部审计人员应该和他们所审计的活动保持独立,这样才能做出公正、无偏见的判断。所以,内部审计能否充分发挥作用与内部审计机构和人员是否具备充分独立性有关。然而,经验证明,我国企业内部审计独立性严重不足,主要源于我国内部审计机构设置和组织形式以及我国内部审计人员自身缺乏专业素质。 众所周知,内部审计机构是企业内部设置的机构,在本企业负责人的领导下开展工作,为本企业实现经营目标服务。因此,内部审计在实施过程中不可避免地受本企业的利益限制。于是,企业的内部审计很难站在客观、公允的立场上对企业的经营和财务状况做出客观公正、合理合法的评价。特别是当面对企业领导者参与或法人违纪时,内部审计往往是无能为力的。在这种情况下,作为企业的内部审计部门,如若服从于管理层意志,不能对企业的财务进行有效监控,出具虚假审计报告,就会埋下巨大的隐患,导致审计风险。此外,我国企业内部审计人员和公司、单位其他部门人员同属一个机构,潜在的或实际出现的利益冲突是不可避免的,甚至内部审计人员也要承担企业的经营责任,从而内部审计人员独立性极易受损害,多数单位没有配备专职审计人员,而是由其他业务人员兼任,也没有赋予他们一定的职权,受执业能力和专业素质限制,也很难开展内审工作。
内部控制审计报告 (1)
内部控制审计报告 2013 年度内部控制评价报告珠海格力电器股份有限公司全体股东: 根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2013年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。 一、重要声明 按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。 二、内部控制评价结论 根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控
制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。 根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。 自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。 三、内部控制评价工作情况 (一)内部控制评价范围 公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括:格力电器母公司及子公司。纳入评价范围单位资产总额占公司合并财务报表资产总额的99%,营业收入合计占公司合并财务报表营业收入总额的99%;纳入评价范围的主要业务和事项包括: 组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、外包业务、财务报告、全面预算、合同管理、信息披露、对子公司的管理、关联交易、募集资金、重大投资、内部信息传递和信息系统。重点关注的高风险领域主要包括资金活动、采购业务、资产管理、销售业务、工程项目。具体内容如下: 1、内部环境 (1)组织架构 公司严格按照《公司法》、《证券法》和中国证监会有关法律法规的要求,建立了规范的企业制度和与公司治理结构:制定了公司章程、三会及各专门委员会议事规则等规章制度,形成了健全、完备的规章制度体系,明确了股东大
经责审计调查问卷
领导干部经济责任审计 调查问卷 为了更好地做好领导干部经济责任审计工作,进一步提高审计工作质量,现就**同志任职期间的有关经济工作情况及此次审计的有关事项进行问卷调查。 本调查问卷为无记名方式填写,请您仔细阅读下页内容,在确定的选项前打√(除第8项外,其他均为单选),并按局审计组指定方式交回。 感谢您的支持与配合! 注:参加调查人员范围:本单位中层以上干部及部分职工代表,出席率要达到80%以上。 审计组 **年**月**日
1、该同志任职期间,履行职责推动本单位事业发展、贯彻局及上级单位有关经济工作决策部署情况: □好□较好□一般□差□不了解 2、该同志任职期间,本单位预算编制、分析的公开性及预算执行的科学、合理性情况: □好□较好□一般□差□不了解 3、该同志任职期间,本单位基础设施新建、改扩建规划的科学性情况及基本建设程序合法合规情况: □好□较好□一般□差□不了解 4、该同志任职期间,履行民主决策,特别是“三重一大”(重大决策、重要干部任免、重大项目安排和大额度资金使用)决策制度情况: □好□较好□一般□差□不了解 5、该同志任职期间,本单位内部经济工作规范、内控制度完善情况: □好□较好□一般□差□不了解 6、该同志任职期间,本单位遵守国家财经法规和财经纪律情况: □好□较好□一般□差□不了解 7、该同志任职期间,遵守廉洁从政(从业)规定情况: □好□较好□一般□差□不了解 8、该同志任职期间,本单位内部经济管理工作中存在的主要问题(可多选):□遵守财经纪律意识不强□领导干部决策不民主 □内部管理制度不健全□内部管理制度执行不力 □资产(资金)管理混乱□会计基础工作薄弱 □存在铺张浪费现象□内部监管不到位 □无□不了解 □其他(请例举)
信息系统网络项目安全检查表
百度文库- 让每个人平等地提升自我 国际联网信息系统网络安全检查表 时间:年月日被检单位名称 单位地址 负责人联系电话 联网情况接入方式(服务商) _______________________ 账号(电话) _____________________________ 联网主机数 _______________________________ IP地址 ___________________________________ 服务内容 _________________________________ 联网用途 _________________________________ 网络拓扑图: (附后) 组织制度单位成立网络安全小组,确立安全小组负责人(单位领导任组长),确立组长负责制 组长落实小组人员岗位工作职责 配备2到4名计算机安全员,须持证上岗 制定网络安全事故处置措施 安全保护管理制度计算机机房安全保护管理制度 用户登记制度和操作权限管理制度 网络安全漏洞检测和系统升级管理制度 交互式栏目24小时巡查制度 电子公告系统用户登记制度 信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度 违法案件报告和协助查处制度 备案制度 安全保护技术措施具有保存60天以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等 安全审计及预警措施 网络攻击防范、追踪措施 计算机病毒防治措施 身份登记和识别确认措施 交互式栏目具有关键字过滤技术措施 开设短信息服务的具有短信群发限制、过滤和删除等技术措施 开设邮件服务的,具有垃圾邮件清理功能