《保险机构IT审计规范》编制说明

IT审计标准以及原则已有574人加入软考帮帮团收藏本页免费做试题章节练习资料交易中心我有疑问？在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应该遵循的一些标准和准则。

我们在前面的13.1提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。

那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。

制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。

目前在国际上较为流行的是美国的ISACA协会的审计标准。

ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目标。

作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运行性能监控(Monitoring)。

目前，COBIT已成为国际公认的IT管理与控制标准。

13.2.1 基本框架IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。

一般来说，一个IT审计标准的框架应该包含如下三个层次。

1. 基本准则规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。

2. 具体准则依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT 审计师实施审计业务、出具审计报告的具体规范。

保险公司的信息系统审计一、信息系统审计的内容１．管理流程审计信息技术管理流程审计主要评估与公司发展战略目标相一致的信息技术规划，评估信息技术工作条例或工作程序，评估信息技术部门的工作职责与工作分工，评估信息系统取得开发、购置、引进的制度和流程，评估生产系统的运行维护的制度和流程，评估项目管理、项目监理的制度和流程，评估信息系统的安全管理制度，评估开发、测试、生产系统分岗制衡管理制度等。

２．技术平台审计信息技术平台审计主要评估信息技术基础平台的运行与安全管理，包括网络运行与安全管理如路由器、网络设备、防火墙、通信线路等、硬件运行与安全管理如小型机、服务器、前置机、打印机、扫描仪、存储设备、ＰＣ、终端等、操作系统及数据库等运行平台的运行与安全管理如Ｕｎｉｘ、Ｗｉｎｄｏｗｓ、数据库、中间件、应用开发工具、应用发布工具、版本管理工具、项目管理工具、防/杀毒工具等。

３．信息系统项目审计信息系统项目审计主要评估信息系统项目管理与项目监理的有效性。

项目管理审计主要评估项目启动、立项、需求分析、系统设计、开发、测试、试点、验收、推广过程的有效性，评价系统开发生命周期中的每一个程序是否均被严格执行，评价系统迁移的方案与效果，评价各类项目文档是否齐全。

其目的是控制项目进展过程中的风险。

项目监理审计主要评估项目监理在信息系统建设过程中发挥的作用，评估项目监理是否有效保证了信息系统建设的质量、进度和成本符合项目立项时的要求。

评估项目管理与项目监理间的责职是否清晰，分工是否明确。

４．生产系统审计信息系统的上线与投产，仅仅是信息化的开始，大量的风险与问题将出现在信息系统的生产运行与维护阶段。

保险公司内部一般均建立了核心业务系统、人员营销员等管理系统、财务系统、精算系统、再保系统等生产系统，公司的生产经营活动大多要通过生产系统进行，生产系统审计便显得更为重要。

生产系统的审计首先是信息系统与业务流程吻合审计，主要评估实际业务操作流程与信息系统操作流程的吻合情况，评估信息系统对需求的满足度及信息系统操作流程与业务操作流程的吻合度。

中国保监会关于印发《保险机构内部审计工作规范》的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2015.12.07•【文号】保监发〔2015〕113号•【施行日期】2015.12.07•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】审计正文中国保监会关于印发《保险机构内部审计工作规范》的通知保监发〔2015〕113号各保险集团（控股）公司、保险公司、保险资产管理公司：为规范保险机构内部审计工作，提高保险机构风险防范能力，提升公司治理水平，我会制定了《保险机构内部审计工作规范》，现印发给你们，请遵照执行。

中国保监会2015年12月7日保险机构内部审计工作规范第一章总则第一条为规范保险机构内部审计工作，提高保险机构风险防范能力，根据《中华人民共和国保险法》、《中华人民共和国公司法》、《中华人民共和国审计法》等有关法律法规及行业规范，制定本规范。

第二条本规范所称保险机构是指在中华人民共和国境内依法设立的保险集团（控股）公司、保险公司、保险资产管理公司、再保险公司及其分支机构等。

经保险监督管理部门批准设立的其他保险机构可参照执行本规范。

保险监督管理部门有IT审计专门规范和要求的，保险机构IT审计工作应从其规范。

第三条本规范所称的保险机构内部审计是一种独立、客观的确认和咨询活动，它通过运用系统化和规范化的方法，审查、评价并改善保险机构的业务活动、内部控制和风险管理的适当性和有效性，以促进保险机构完善治理、增加价值和实现目标。

第四条保险机构应健全内部审计体系，按照相关要求开展内部审计工作，及时发现问题，有效防范经营风险，促进公司的稳健发展。

第五条中国保险监督管理委员会（以下简称“中国保监会”）及其派出机构根据法律、行政法规、监管规定以及本规范的规定，依法对保险机构内部审计工作实施指导、监督和评价。

第二章一般原则第六条保险机构应建立与公司目标、治理结构、管控模式、业务性质和规模相适应，预算管理、人力资源管理、作业管理等相对独立的内部审计体系。

it审计标准IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方IT 审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

一、公司层面控制所需资料、文件：1、IT 部门架构图、IT人员职责说明2、IT 预算、策略和年度规划3、IT内部、IT 与业务部门、IT与管理层之会议记录4、与第三方供货商之服务协议（若 IT服务外判）5、IT 风险评估制度和报告6、财务系统与其它系统间之数据流程图7、IT内部审计报告和审计发现之跟进要求：1、完整清晰的部门架构以及职员职责说明；2、有完善的费用预算机制，有经过授权并正式签发的费用预算文件；有与公司战略相匹配的T策略及每年的年度规划；3、内部、与业务部门、与管理层之间的会议记录；4、签订相关服务合同；5、完善的风险评估机制，或引进专业风险评估机构；6、提供数据流程图；7、应建立内审机制并定期内审，以辅助外审，建议引进专业机构定期内审。

二、信息安全（一）信息安全制度、用户信息安全意识所需资料、文件：1、信息技术安全规章制度2、令员工充份了解信息技术安全规章制度的措施3、信息安全培训记录要求：1、制定完善的安全规章制度，并采取广泛的宣传措施将该制度灌输至每位公司员工；规2、章制度写入员工手册并印发，新员工入职便能了解公司要求，并做定期培训，做好培训记录。

（二）物理安全所需资料、文件：1、机房物理安全规章2、保安设施(如门禁系统、访客记录)要求：1、物理要求:门禁系统、烟雾报警器(置于地板夹层或顶棚夹层)、监控、DPS、空调(接UPS)、干粉灭火器、防火防水装修材料；2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁；3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、密码长度8位以上、历史密码6次)、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面)；4、机房显眼处应有机房管理制度。

内部it审计管理制度范文内部IT审计管理制度范文第一章总则第一条为规范内部IT审计管理，加强对信息技术的内部控制，保障企业信息安全，提高公司运营效率，制定本制度。

第二条本制度适用于本企业的所有IT审计活动，包括信息系统建设过程中的各阶段审计、信息系统运维过程中的各类审计、以及其他与IT安全相关的审计活动。

第三条IT审计是指对企业信息系统和相关IT基础设施进行遵循相关法律法规和内部控制要求的检查、评估与审查的一系列活动。

第四条IT审计管理应遵循独立、客观、公正、尽职、保密的原则。

第五条IT审计管理的目标是保障信息系统的合规性、安全性和可用性，并及时发现和解决潜在的风险。

第六条IT审计管理应针对企业的业务需求和风险特点，制定相应的审计计划和方法，确保审计工作的有效性和高效性。

第七条IT审计管理应与其他部门的工作衔接，形成相互支持、协调一致的机制。

第八条IT审计管理工作应由内部审计部门或者委托专业机构承担，同时可以与外部审计机构合作。

第九条公司应为IT审计管理提供必要的资源和支持，包括人员、经费、技术设备等。

第二章职责和权限第十条IT审计管理的职责和权限分为以下几个方面：（一）制定和完善IT审计管理制度和流程，包括审计计划、方法、工作程序等。

（二）依据法律法规和内控要求，制定和实施信息系统审计标准，确保审计工作的规范性和一致性。

（三）组织和实施信息系统的风险评估，制定相应的风险控制和防范措施。

（四）评价和审查各类信息系统的合规性，确保信息系统的安全性和可用性。

（五）评估和改善信息系统的管理效能，提出改进建议，促进信息系统的运营和发展。

（六）定期制作和提交IT审计报告，向公司高层汇报审计结果，并提出相应的整改建议。

（七）监督和检查IT审计工作的执行情况，确保审计结果的可靠性和准确性。

（八）开展相关的IT基础设施的安全审计，发现和解决潜在的安全隐患和漏洞。

第十一条IT审计管理部门应设立专门的人员，具备相关的专业知识和技能，能够独立、客观、公正地开展审计工作。

保险机构IT审计规范1 范围本标准依据《保险机构信息化风险非现场监管报表及评价体系》的评价内容和评价标准，规定了保险机构开展IT审计工作的具体实施细则，主要包括信息化治理审计、信息化风险管理审计、信息安全管理审计、信息系统开发与测试审计、信息化系统运行审计、灾难恢复管理审计、外包与采购审计、互联网保险审计等细则。

本标准适用于保险机构IT审计活动，其他机构模式相似的保险中介可参考执行。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 22239信息安全技术信息系统安全等级保护基本要求保险公司内部审计指引（试行）(保监发〔2007〕26号)保险业信息系统灾难恢复管理指引 (保监发〔2008〕20号)保险公司信息化工作管理指引（试行）（保监发〔2009〕133号）保险公司信息系统安全管理指引（试行）（保监发〔2011〕68号）互联网保险业务监管暂行办法（保监发〔2015〕69号）保险机构信息化监管规定(送审稿)保险机构信息化风险非现场监管报表及评价体系（意见修订稿）3 术语和定义3.1 IT审计 IT audit保险机构和经营机构根据国家及行业信息系统相关规范和标准，对信息系统规划、建设、运维和应急等活动进行自我检查和评价，判断系统运行的安全性、系统建设的合规性和系统应用绩效，提出整改建议，并持续跟踪落实整改情况。

3.2审计项 audit item信息系统规划、建设、运维和应急等活动的关键控制点，来自于国家及行业相关技术规范和标准要求，用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。

3.3 专业能力 professional competence个人从事IT审计所必备的学识、技术和能力，由学历认定、资格考试、职业技能鉴定等方式进行评价。

3.4 第三方审计机构 thirdparty auditinstitutions熟悉保险机构信息安全法规、规范、标准和指引，具有国家、行业认可的相关资质和必要能力，并在审计过程中能够客观、公正、独立地从事审计活动的机构。