1、“.....并欢迎提出宝贵意见。电器有限公司信息系统审计管理建议书财务年度年月日操作系统和数据库管理系统安全设置观察所得在审计过程中我们了解到，贵公司用友财务系统的操作系统为，数据库管理系统为，金力供应链系统的操作系统为，数据库管理系统为。由于用友财务系统为中央管理系统，我们审阅了总部的用友财务系统的操作系统和数据库系统安全设置对于分散管理的金力系统我们审计了总部以及各分部的金力系统操作系统和数据库管理系统安全设置。在审计过程中，我们注意到贵公司在操作系统和数据库系统的安全设置存在些薄弱环节。详细内容请参阅本管理建议书附件操作系统安全设置建议和附件二数据库管理系统安全设置建议。潜在的业务风险对贵公司的信息资产及系统资源的保护，在很大程度上依赖于操作系统及数据库系统的安全性能......”。

2、“.....是信息安全防范的关键要素。当前操作系统和数据库系统的安全设置状况，增大了贵公司的信息系统及资源被恶意操纵或遭受未经授权访问的风险。我们的建议我们建议贵公司在确保安全的前提下，结合实际工作需求和系统资源状况，考虑修改目前的系统安全设置，以更好地利用操作系统和数据库所提供的安全性能，我们在附件操作系统安全设置建议和数据库管理系统安全设置建议中详细的列出了操作系统安全参数设置建议以及数据库安全参数设置建议。同时，我们建议贵公司进步加强与操作系统和数据库安全设置相关的安全性和规范性检查，以确保信息系统安全管理和设置的长期有效性。管理层回复请在此栏回复是否同意我们所提出的上述观察所得及建议，并欢迎提出宝贵意见......”。

3、“.....目前贵公司部分分部机房尚未设立完善的机房签入签出制度。广州昆明西安通过访谈和审计，我们了解到贵公司对部门的物理安全管理还存在定的控制弱点，例如机房缺少湿度计，烟雾探测器和火警报器等些必要的物理安全设备，而且布局有些杂乱。西安昆明存在的业务风险机房的物理安全控制关系到机房内网络设备及财务系统的安全，缺乏人员进出机房登记制度，将导致旦出现非授权人员进入机房的情况，就无法追查到非授权人员进入机房的具体信息，给信息系统设备的安全运行带来巨大风险或造成公司财产的损失。灭火及警报设备可以及时应对火灾的发生，如果没有在机房配备良好的灭火设备，在机房发生火灾的情况下可能无法及时灭火，从而不能将损失减小到最低。对机房环境因素如温度湿度没有良好的控制，无法确保信息系统的稳定运行，可能导致业务中断......”。

4、“.....也降低发生灾难时的关联效应。我们的建议我们建议贵公司对物理安全管理进行以下改进对机房出入人员情况进行记录含进出机房的人员原因时间等保证机房内配备好干湿温度计及相关灭火设备对机房的布局加以改善，为每台设备留有足够的独立空间。管理层回复请在此栏回复是否同意我们所提出的上述观察所得及建议，并欢迎提出宝贵意见。电器有限公司信息系统审计管理建议书财务年度年月日备份管理观察所得贵公司对金力系统和用友财务系统数据库进行数据备份管理，经过测试，我们发现贵公司在数据库数据备份管理中存在如下有待改进之处贵公司未对财务和业务数据进行异地备份。贵公司总部及测试范围内子公司总部，昆明虽然对备份结果会进行检查，但是没有相关的文档记录。总部昆明贵公司在审计期间尚未建立备份数据恢复测试计划......”。

5、“.....贵公司总部及测试范围内子公司存在的业务风险有效的数据与系统备份管理可以提高数据的安全性。缺乏系统及数据的异地备份和妥善管理，将无法降低在发生自然灾害突发意外事故或人为因素造成的灾难性事件时公司备份数据被正常恢复的风险。数据备份恢复测试计划以及恢复性测试的缺失可能造成备份结果的不可靠，在遇到突发事件导致系统数据丢失情况下不能根据备份结果进行系统的恢复。我们的建议我们建议友系统接口数据流的准确性，可能最终影响到用友系统中财务数据的准确性。我们的建议我们建议对上述存在问题的岗位权限进行重新梳理，剔除存在职责分离问题和不合规权限的情况，并结合公司实际业务需要和风险大小执行职责分离测试来降低未经授权和或不适当的交易出现的几率，这需要通过部门和业务部门合作来实现，具体应至少包括如下步骤业务流程例如，销售采购财务报告预算等被明确定义在认定的业务流程中......”。

6、“.....例如订单的制作和审批，应当分配给不同的人员，若发生任何异常情况都应上报并做进步调查，经确认的问题要及时解决定期审计职责分离状态，以保证日常用户权限维护和管理流程不会引起预期之外的访问冲突或职责分离问题管理层回复请在此栏回复是否同意我们所提出的上述观察所得及建议，并欢迎提出宝贵意见。电器有限公司信息系统审计管理建议书财务年度年月日附件操作系统及数据库安全参数设置建议金力供应链系统数据库所在操作系统......”。

7、“.....也没有被锁定建议对缺省账户的密码实行加密......”。

8、“.....也没有被锁定建议对缺省帐户的密码实行加密，减少未授权的登录情况发生账号的直接登陆直接登陆通过方式登陆数据库管理系统安全参数设置建议系统参数参数说明当前设置安永建议设置启用通过以或者权限登录的账号审计记录电器有限公司信息系统审计管理建议书财务年度年月日系统参数参数说明当前设置安永建议设置启用数据库系统审计功能电器有限公司信息系统审计管理建议书财务年度年月日附件管理建议书要点矩阵般流程应用系统流程控制对业务和财务数据库进行如下改进制定书面的数据备份策略，在策略中详细说明备份的内容，方法，时间，恢复测试计划和要求，异地备份以及备份的日常检查对数据备份的状态进行定期检查，如有未成功的备份，应该采用手工备份等方法以确保备份成功......”。

9、“.....并保留测试记录。管理层回复请在此栏回复是否同意我们所提出的上述观察所得及建议，并欢迎提出宝贵意见。电器有限公司信息系统审计管理建议书财务年度年月日第三方管理观察所得贵公司将系统维护和硬件维护方面的部分工作外包给第三方供应商完成，并与第三方供应商签定了合同。经过测试，我们发现贵公司在第三方管理中存在如下有待改进之处贵公司尚未建立对第三方供应商的服务监控和评估的制度和流程没有对服务商的服务质量实施定期评估和及时反馈尚未建立正规的与第三方的沟通机制，与第三方的沟通没有以正式的文档进行记录服务商未针对关键业务系统的上线及更新对最终用户提供相应的培训相关人员对关键业务系统的数据结构及业务逻辑实现不甚熟悉贵公司总部及测试范围内子公司存在的业务风险第三方供应商的优秀服务是相关应用系统和硬件稳定且高效运行的重要保障......”。