xx保险系统专项审计-工作评估底稿
Page 1 of 4
xxx保险信息化工作专项评估模板-2-2.信息系统开发与测试控制编号一级控制目标二级控制目标评价步骤访谈保险机构信息技术部门信息化项目负责人员,查阅项目质量控制标准、软件开发代码编写规范、质量控制检查记录、保险机构获得的项目管理认证证书(如CMM或ISO9000等),了解并评估保险机构对信息系统开发项目的质量控制管理情况,包括:a) 确认保险机构是否有建立信息系统开发质量控制体系,以有效控制开发质量;b) 确认信息系统开发人员是否按照既定的质量控制标准及代码编写规范要求进行信息系统开发工作。评价过程记录评价结论-是否发现异常评价结论-异常描述文档索引备注信息NCI-IT-2.2.5信息系统开发管开发质量保证理NCI-IT-2.2.6信息系统开发管开发、测试、运访谈保险机构信息技术部门信息系统管理负责人员及系统/网络管理员,查阅信理行环境相互分离息系统网络拓扑、各环境下系统主机资源信息、系统权限清单、开发/测试数据脱敏记录,了解并评估信息系统的开发、测试与生产运行各环境的管理情况,包括:a) 确认保险机构信息系统的开发环境、测试环境与生产运行环境是否分离,包括网络分离、设备分离、数据分离、人员系统权限分离等,是否有效防止开发、测试活动对业务运行环境造成风险;b) 确认信息系统开发/测试过程中是否使用了生产数据,使用的生产数据是否得到数据业务属主高级管理层的批准并经过脱敏或相关限制。NCI-IT-2.2.7信息系统开发管开发过程检查理访谈保险机构信息技术部门信息化项目负责人员,查阅开发过程相关检查记录,了解并评估保险机构对信息系统开发项目的过程检查情况,包括:a) 确认保险机构是否对信息系统开发制定代码编写安全规范,且要求开发人员参照规范编写代码;b) 确认保险机构是否在信息系统开发过程中定期进行项目规范检查或专项检查,是否对程序源代码进行有效管理和严格的审查;c) 确认保险机构是否信息系统开发过程中进行必要的安全控制,是否对系统完整性、恶意代码和后门程序进行检查。2018/10/11
Page 2 of 4
xxx保险信息化工作专项评估模板-2-2.信息系统开发与测试控制编号一级控制目标二级控制目标评价步骤评价过程记录评价结论-是否发现异常评价结论-异常描述文档索引备注信息NCI-IT-2.2.8信息系统测试管测试的充分性、1.访谈保险机构信息技术部门信息系统开发项目测试负责人员,查阅系统测试方理独立性案、测试用例、测试记录及测试评审报告,了解并评估保险机构对信息系统开发项目中的测试管理情况,包括:a)确认保险机构是否对信息系统开发建立全面的测试体系(例如:单元测试、集成测试、验收测试、用户测试、平行测试等)以保证系统测试的完整性和有效性,是否有完整规范的系统测试操作流程,对测试工作的计划、实施及总结作出详细的规定;b)确认测试方案是否完善,测试计划是否完整,测试用例是否涵盖所有业务场景,测试执行情况记录是否完整,是否有对充分测试性的评审报告。2.访谈保险机构信息技术部门信息系统开发项目测试负责人员,查阅项目开发与测试团队人员清单,及项目人员工作任务清单,了解并评估保险机构对信息系统开发项目中的测试独立性管理情况,包括:a)确认保险机构是否对信息系统开发项目建立完善的测试团队,并实施管控措施确保测试工作的公正性和独立性,如开发和测试人员分离,测试人员不参与项目开发活动,开发人员不参与测试用例编写等;b)分析并确认测试团队人员角色、知识水平等是否充分,有否措施保证测试团队的公正性和独立性。NCI-IT-2.2.9信息系统测试管测试的完整性1.功能测试理访谈保险机构信息技术部门信息系统开发项目测试负责人员,查阅功能测试用例、测试记录、测试报告,了解并评估保险机构对信息系统开发项目中的功能测试实施情况,包括:a) 确认信息系统开发项目测试团队是否建立功能测试程序,对信息系统进行全面的功能测试,功能测试方法主要包括:等价类划分、边界值分析、错误推测分析、因果图分析、判定表驱动分析、正交实验设计、功能图分析;b) 确认功能测试用例是否充分,系统功能测试结果是否与业务需求一致。2.非功能性测试访谈保险机构信息技术部门信息系统开发项目测试负责人员,查阅非功能测试用例、测试记录、测试报告,了解并评估保险构对信息系统开发项目中的非功能测试实施情况,包括:a) 确认信息系统开发项目测试团队是否已建立非功能测试程序,对信息系统进行全面的非功能测试,非功能测试方法主要包括:配置和安装测试、兼容性和互操作性测试、文档和帮助测试、错误恢复测试、性能测试、可靠性测试、保密性测试、压力测试、可用性测试、容量测试;b) 确认非功能测试用例是否充分,测试结果是否与业务需求一致。3.安全性测试访谈保险机构信息技术部门信息系统开发项目测试负责人员,查阅安全性测试用例、测试记录、测试报告,了解并评估保险机构对信息系统开发项目中的安全性测试实施情况,包括:a) 确认信息系统开发项目测试团队是否已建立安全性测试程序,对信息系统进行独立全面的安全性测试,安全性测试内容可包括但不限于:主机端口开放状态检测、安全漏洞、通讯数据包保密性及完整性检测,软件包中恶意代码检测等;b) 确认安全性测试用例是否充分,信息系统的风险控制流程是否符合业务风险控制的要求,系统安全功能及控制措施是否可被绕过或攻破。NCI-IT-2.2.10系统的验收与发系统验收布1.访谈保险机构信息技术部门信息系统开发项目测试负责人员及信息系统运行维护负责人员,查阅系统验收记录、测试质量评估报告,了解并评估保险机构对信息系统测试验收管理的充分性和有效性,包括:a) 确认保险机构是否指定或授权专门的部门负责系统测试验收的管理,是否建立信息系统测试验收的控制方法和人员行为准则;b) 确认信息系统发布前是否对测试过程和测试有效性进行了审查并对测试质量进行了评估,是否对系统版本交付物的完整性进行检查及对软件代码进行审查。c)确认信息系统发布前是否对系统版本交付物的完整性进行检查,检查内容应该包括软件开发文档、发布计划、维护及操作手册、系统使用培训教材和应急预案等文档。2018/10/11
Page 3 of 4
xxx保险信息化工作专项评估模板-2-2.信息系统开发与测试控制编号NCI-IT-2.2.11一级控制目标二级控制目标评价步骤访谈保险机构信息技术部门信息系统开发项目测试负责人员及信息系统运行维护负责人员,查阅试运行记录、投产报告、系统错误修正记录,了解并评估保险机构对信息系统试运行的管理情况,包括:a) 确认信息系统正式上线推广前是否有进行合理的试运行,试运行的过程记录、错误记录及报告有否明确的操作流程及指引;b) 确认是否有完整的试运行报告、试运行过程及结果记录、系统错误修正记录等。评价过程记录评价结论-是否发现异常评价结论-异常描述文档索引备注信息系统的验收与发试运行布NCI-IT-2.2.12系统的验收与发发布管理布访谈保险机构信息技术部门的信息系统发布管理人员,查阅软件发布文档、发布审批记录,了解并评估保险机构对信息系统发布管理流程及执行情况,包括:a) 确认对信息系统的正式上线及版本变更发布是否建立完善的过程管理机制,信息系统发布是否得到合理监督及管理层的审批;b) 确认信息系统上线所用的生产环境是否已建立并经验收测试证明有效;c) 确认信息系统的版本变更发布前是否建立系统变更的回退程序,是否有回退程序的测试或试运行成功的记录;d) 确认信息系统的用户需求书、功能说明书、设计说明书、技术与业务操作手册等有关文档资料在上线前是否已正式归档保管;e) F8确认对达到国家等级保护二级及以上的信息系统上线发布后是否将系统等级及相关材料报证监会证信办及公安机关备案。2018/10/11
Page 4 of 4
因篇幅问题不能全部显示,请点此查看更多更全内容