證券機(jī)構(gòu)信息體系審計(jì)探索

前言：本站為你精心整理了證券機(jī)構(gòu)信息體系審計(jì)探索范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

本文作者：石煒?lè)矫糇髡邌挝唬耗暇┦?a href="http://www.jiamaocode.com/lunwen/jjgl/sjkxjslw/201209/743815.html" target="_blank">審計(jì)局

隨著計(jì)算機(jī)軟件的不斷開(kāi)發(fā)利用，證券公司信息系統(tǒng)的重要性不言而喻。目前，我國(guó)大多數(shù)證券公司收入經(jīng)營(yíng)項(xiàng)目有經(jīng)紀(jì)業(yè)務(wù)、自營(yíng)業(yè)務(wù)、銀行利息、投行、資產(chǎn)管理等。這些項(xiàng)目有著自己的信息系統(tǒng)，系統(tǒng)之間有的相互關(guān)聯(lián)，有的自身獨(dú)立。盡管信息系統(tǒng)不斷改進(jìn)、升級(jí)、完善，但信息系統(tǒng)管理部門(mén)的組織控制、物理環(huán)境的安全控制、網(wǎng)絡(luò)安全控制、邏輯安全控制、數(shù)據(jù)與系統(tǒng)安全、安全定級(jí)、信息系統(tǒng)運(yùn)用控制、系統(tǒng)生命周期等方面進(jìn)行仍然存在一定的固有風(fēng)險(xiǎn)。

一、信息系統(tǒng)審計(jì)的內(nèi)容和重點(diǎn)

主要審查證券公司信息系統(tǒng)的安全可靠性，即評(píng)價(jià)信息系統(tǒng)安全隱患對(duì)證券公司資產(chǎn)、業(yè)務(wù)的風(fēng)險(xiǎn)。審計(jì)內(nèi)容不僅關(guān)注訪問(wèn)控制、信息安全定級(jí)的內(nèi)容，還緊緊圍繞業(yè)務(wù)流程、內(nèi)部控制，關(guān)注薄弱環(huán)節(jié)對(duì)數(shù)據(jù)真實(shí)性、完整性的影響。

（一）信息系統(tǒng)管理部門(mén)的組織控制

公司對(duì)信息系統(tǒng)安全的重視程度，主要包括：一是證券公司最高層級(jí)的IT管理機(jī)構(gòu)或信息系統(tǒng)安全的管理機(jī)構(gòu)及其人員構(gòu)成情況；信息系統(tǒng)安全的負(fù)責(zé)部門(mén)。二是該機(jī)構(gòu)是否會(huì)定期召開(kāi)會(huì)議，是否就信息系統(tǒng)安全制訂長(zhǎng)期規(guī)劃和規(guī)章制度，是否將信息系統(tǒng)安全的相關(guān)規(guī)范融入企業(yè)內(nèi)部控制中。檢查內(nèi)容：IT組織架構(gòu)，信息安全組織架構(gòu)；企業(yè)在信息系統(tǒng)方面的規(guī)劃內(nèi)容，如5年規(guī)劃等；信息安全方面的規(guī)章制度、應(yīng)急預(yù)案，如機(jī)房管理制度，信息設(shè)備操作使用方面的制度規(guī)程，信息系統(tǒng)維護(hù)制度，網(wǎng)絡(luò)通訊管理制度，應(yīng)急響應(yīng)制度；職責(zé)劃分是否明確；業(yè)務(wù)分配控制是否有相關(guān)制度保障；是否在組織內(nèi)開(kāi)展安全控制培訓(xùn)；是否建立組織業(yè)務(wù)分配審批流程。

（二）物理環(huán)境的安全控制

計(jì)算機(jī)設(shè)備如：服務(wù)器、數(shù)據(jù)存貯設(shè)備、系統(tǒng)終端、網(wǎng)絡(luò)交換等設(shè)備的存放環(huán)境。一是關(guān)鍵設(shè)備存放在機(jī)房還是業(yè)務(wù)部門(mén)，集中存放還是分散存放。二是機(jī)房的場(chǎng)地技術(shù)條件，需保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報(bào)警裝置，提供良好的接地和供電環(huán)境，要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源等。機(jī)房的設(shè)計(jì)和竣工是否經(jīng)過(guò)消防、防雷等部門(mén)的驗(yàn)收。檢查內(nèi)容：公司主機(jī)房、中心機(jī)房及下屬單位部分網(wǎng)絡(luò)設(shè)備機(jī)房實(shí)地調(diào)查，檢查機(jī)房驗(yàn)收資料和機(jī)房維護(hù)記錄。

（三）網(wǎng)絡(luò)安全控制（審計(jì)重點(diǎn)內(nèi)容）

防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊，保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，保護(hù)網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。一是是否對(duì)信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行分區(qū)、分級(jí)管理，不同等級(jí)是否采取不同的安全措施。二是訪問(wèn)控制。機(jī)房對(duì)人員的控制，包括公司內(nèi)部人員、外部人員進(jìn)入機(jī)房是否有登記記錄，清潔人員進(jìn)入是否有登記記錄，是否經(jīng)過(guò)相關(guān)授權(quán)。信息系統(tǒng)的訪問(wèn)是否有申請(qǐng)和授權(quán)制度。普通用戶是否經(jīng)過(guò)授權(quán)訪問(wèn)業(yè)務(wù)系統(tǒng)。開(kāi)發(fā)系統(tǒng)、生產(chǎn)系統(tǒng)是否隔離；開(kāi)發(fā)人員與生產(chǎn)系統(tǒng)維護(hù)人員是否分離；信息系統(tǒng)開(kāi)發(fā)人員是否經(jīng)過(guò)授權(quán)訪問(wèn)業(yè)務(wù)系統(tǒng)。對(duì)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的機(jī)器是否有控制，是否有身份認(rèn)證；外部帶入的電腦是否可以訪問(wèn)信息系統(tǒng)；同時(shí)訪問(wèn)內(nèi)部系統(tǒng)和互聯(lián)網(wǎng)的機(jī)器有沒(méi)有隔離限制措施，內(nèi)部機(jī)器是否不加控制上網(wǎng)；信息系統(tǒng)開(kāi)發(fā)、維護(hù)外包的外部人員是否簽訂保密協(xié)議。對(duì)重要的生產(chǎn)系統(tǒng)是否有更嚴(yán)格的訪問(wèn)控制。檢查內(nèi)容：進(jìn)入機(jī)房登記表；信息系統(tǒng)申請(qǐng)授權(quán)表、訪問(wèn)授權(quán)的原則；員工機(jī)器認(rèn)證制度，認(rèn)證中心、保密協(xié)議等。三是網(wǎng)絡(luò)安全措施。員工機(jī)器和信息系統(tǒng)主機(jī)是否安裝防病毒軟件、是否有防火墻、負(fù)載均衡設(shè)備；企業(yè)對(duì)內(nèi)部和外部的網(wǎng)絡(luò)攻擊、病毒攻擊、蠕蟲(chóng)攻擊的監(jiān)控情況，是否有監(jiān)控記錄和遇到攻擊時(shí)的處理措施。各部門(mén)、分子公司間信息傳遞的渠道，是否直接通過(guò)互聯(lián)網(wǎng)、即時(shí)通訊設(shè)備傳遞，數(shù)據(jù)是否有加密措施。檢查內(nèi)容：證券公司信息部門(mén)對(duì)客戶機(jī)管理記錄、網(wǎng)絡(luò)安全記錄，主要網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)主機(jī)的監(jiān)控記錄及安全應(yīng)急預(yù)案。

（四）邏輯安全控制（審計(jì)重點(diǎn)內(nèi)容）

對(duì)網(wǎng)絡(luò)邏輯訪問(wèn)和系統(tǒng)邏輯訪問(wèn)是否進(jìn)行有效控制。一是軟件和數(shù)據(jù)接觸。是否對(duì)登陸用戶的口令、權(quán)限、分配的功能進(jìn)行有效控制。檢查內(nèi)容：權(quán)限分配記錄、口令設(shè)置、機(jī)密數(shù)據(jù)保護(hù)、磁盤(pán)、U盤(pán)使用管理情況等。二是數(shù)據(jù)加密機(jī)制。關(guān)鍵數(shù)據(jù)是否進(jìn)行加密，加密算法是否進(jìn)行有效管理。三是數(shù)據(jù)完整性。校驗(yàn)信息是否加密，是否進(jìn)行檢查，數(shù)字簽名認(rèn)證機(jī)構(gòu)是否安全可靠。四是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)是否能滿足對(duì)于信息系統(tǒng)網(wǎng)絡(luò)環(huán)境安全的需求，該系統(tǒng)與防火墻/路由器間的通信是否安全，系統(tǒng)中是否包含用于生成日常事件日志的工具和自動(dòng)響應(yīng)機(jī)制，是否能提供適當(dāng)?shù)陌踩ＷC。五是病毒和其他惡意代碼。各個(gè)終端用戶是否采取了防病毒策略，系統(tǒng)中是否存在未授權(quán)的軟件，防病毒軟件是否能提供信息系統(tǒng)所需的安全保證。六是防火墻技術(shù)。防火墻是否能根據(jù)網(wǎng)絡(luò)變化提供新的配置服務(wù)，是否能對(duì)數(shù)據(jù)包過(guò)濾進(jìn)行檢查，是否具有系統(tǒng)的分離特性，防火墻本身是否自帶了審計(jì)工具，是否具有弱點(diǎn)探測(cè)的能力，是否具備報(bào)警與報(bào)告的能力。

（五）數(shù)據(jù)與系統(tǒng)安全

一是主機(jī)是否有密碼控制、主機(jī)的安全日志、信息系統(tǒng)是否有訪問(wèn)日志，系統(tǒng)數(shù)據(jù)是否定期備份。二是對(duì)那些可靠性要求高的系統(tǒng)是否采用服務(wù)器主機(jī)雙機(jī)熱備、磁盤(pán)陣列，甚至配備備用網(wǎng)絡(luò)，建立異地容災(zāi)備份中心。三是是否制訂災(zāi)難恢復(fù)計(jì)劃和災(zāi)難恢復(fù)流程，建立災(zāi)難預(yù)警、觸發(fā)、響應(yīng)機(jī)制，組織相關(guān)培訓(xùn)和演練，適時(shí)升級(jí)和維護(hù)災(zāi)難恢復(fù)計(jì)劃。四是信息系統(tǒng)之間傳遞時(shí)的數(shù)據(jù)質(zhì)量與安全，數(shù)據(jù)傳輸是否加密，外包服務(wù)人員是否有權(quán)登錄生產(chǎn)系統(tǒng)，系統(tǒng)開(kāi)發(fā)、維護(hù)人員是否可以直接訪問(wèn)系統(tǒng)數(shù)據(jù)庫(kù)。

（六）安全定級(jí)

對(duì)證券公司信息管理系統(tǒng)等系統(tǒng)安全等級(jí)進(jìn)行級(jí)別定位（分為非常好、較好、一般、較差），檢查是否符合國(guó)家定級(jí)指南的要求及安全定級(jí)中存在的問(wèn)題。

（七）信息系統(tǒng)運(yùn)用控制

一是證券公司信息系統(tǒng)的界面輸入是否與業(yè)務(wù)吻合，數(shù)據(jù)的輸入是否在有效業(yè)務(wù)授權(quán)下進(jìn)行，輸入的數(shù)據(jù)是否及時(shí)準(zhǔn)確。二是系統(tǒng)處理數(shù)據(jù)是否有必要的控制措施保證數(shù)據(jù)處理的完整性和準(zhǔn)確性。三是輸出的數(shù)據(jù)是否有足夠的措施保證輸出的完整性和準(zhǔn)確性，是否對(duì)數(shù)據(jù)打印和導(dǎo)出進(jìn)行控制，審查輸出各項(xiàng)報(bào)表的準(zhǔn)確性，對(duì)外輸出接口數(shù)據(jù)的準(zhǔn)確性，是否建立數(shù)據(jù)核查機(jī)制。四是系統(tǒng)業(yè)務(wù)流程設(shè)置與實(shí)際業(yè)務(wù)是否吻合，是否建立業(yè)務(wù)流程設(shè)置審核機(jī)制。五是系統(tǒng)參數(shù)維護(hù)是否有嚴(yán)格的審批，參數(shù)是否按相關(guān)文件要求來(lái)設(shè)置，系統(tǒng)參數(shù)設(shè)置權(quán)限管理是在業(yè)務(wù)部門(mén)還是在信息機(jī)構(gòu)，系統(tǒng)是否有預(yù)警功能。檢查內(nèi)容：對(duì)部分菜單進(jìn)行輸出控制檢查，核對(duì)部分報(bào)表，指標(biāo)等參數(shù)是否與證券管理部門(mén)規(guī)定的指標(biāo)一致，查看業(yè)務(wù)藍(lán)圖與流程設(shè)置情況。

（八）系統(tǒng)生命周期

關(guān)注證券公司的信息系統(tǒng)開(kāi)發(fā)維護(hù)能力，是否適應(yīng)業(yè)務(wù)變化的需要。系統(tǒng)變更過(guò)程的規(guī)范化，是否有需求文檔、開(kāi)發(fā)文檔、測(cè)試文檔、部署文檔等；變更過(guò)程對(duì)信息系統(tǒng)安全和數(shù)據(jù)安全的影響；變更過(guò)程中的訪問(wèn)控制等。

二、具體實(shí)施步驟和方法

對(duì)證券公司信息系統(tǒng)審計(jì)可采用訪談法、調(diào)查問(wèn)卷法、查閱資料法、流程圖檢查法、現(xiàn)場(chǎng)查看法、平行模擬法以及數(shù)據(jù)測(cè)試法等多種審計(jì)技術(shù)與方法。

（一）信息部門(mén)組織管理控制。通過(guò)與證券公司網(wǎng)絡(luò)信息部門(mén)進(jìn)行訪談，說(shuō)明審計(jì)的目的，列出需提供的資料清單和配合要求。詳細(xì)查閱相關(guān)制度和文件，在充分的調(diào)查和分析基礎(chǔ)上對(duì)信息部門(mén)組織管理控制作出客觀評(píng)價(jià)。

（二）內(nèi)部信息系統(tǒng)與互聯(lián)網(wǎng)隔離控制。檢查員工使用的機(jī)器是否同時(shí)訪問(wèn)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)，辦公區(qū)IP地址是否自動(dòng)獲取，通過(guò)互聯(lián)網(wǎng)接入專網(wǎng)是否有CA認(rèn)證及數(shù)據(jù)簽名。

（三）服務(wù)器容災(zāi)機(jī)制檢查。數(shù)據(jù)應(yīng)轉(zhuǎn)變?yōu)榧挟惖卮娣牛詰?yīng)對(duì)突發(fā)事故的發(fā)生。

（四）物理環(huán)境安全審計(jì)。對(duì)證券公司主要機(jī)房進(jìn)行實(shí)地調(diào)查，檢查機(jī)房建設(shè)、驗(yàn)收資料和機(jī)房維護(hù)記錄等文檔。

（五）網(wǎng)絡(luò)安全控制。查閱網(wǎng)絡(luò)拓?fù)鋱D，設(shè)計(jì)方案、招投標(biāo)文件、施工和竣工等文檔，現(xiàn)場(chǎng)查看、查閱維護(hù)記錄和運(yùn)行日志，并與網(wǎng)絡(luò)管理員訪談，可借助網(wǎng)絡(luò)安全測(cè)試工具對(duì)網(wǎng)絡(luò)進(jìn)行安全性檢測(cè)。

（六）邏輯安全控制。主要是查閱工作記錄和相關(guān)管理制度，并到信息訪問(wèn)點(diǎn)進(jìn)行隨機(jī)檢查和訪談，登陸系統(tǒng)界面進(jìn)行實(shí)際測(cè)試等。

（七）數(shù)據(jù)與系統(tǒng)安全。查閱相關(guān)管理制度，查閱備份日志，查閱系統(tǒng)及數(shù)據(jù)庫(kù)日志，現(xiàn)場(chǎng)數(shù)據(jù)庫(kù)、操作系統(tǒng)和系統(tǒng)的管理權(quán)限，并進(jìn)行與管理員訪談，對(duì)證券公司信息系統(tǒng)運(yùn)行控制、數(shù)據(jù)與系統(tǒng)安全控制作出客觀評(píng)價(jià)。

（八）信息系統(tǒng)運(yùn)用控制審計(jì)。查閱系統(tǒng)招投標(biāo)文件、實(shí)施過(guò)程文檔、驗(yàn)收文件、系統(tǒng)設(shè)置說(shuō)明、系統(tǒng)配置文檔、操作手冊(cè)、維護(hù)記錄等相關(guān)文檔，并設(shè)計(jì)測(cè)試用例登陸系統(tǒng)進(jìn)行測(cè)試，信息點(diǎn)調(diào)查用戶對(duì)系統(tǒng)的評(píng)價(jià)等。

（九）系統(tǒng)生命周期。查閱信息系統(tǒng)規(guī)劃，系統(tǒng)分析，系統(tǒng)設(shè)計(jì)，系統(tǒng)測(cè)試，系統(tǒng)實(shí)施，系統(tǒng)運(yùn)行，系統(tǒng)維護(hù)，系統(tǒng)變更等相關(guān)文檔，并與項(xiàng)目負(fù)責(zé)人訪談，對(duì)證券公司信息系統(tǒng)生命周期作出客觀評(píng)價(jià)，并提出審計(jì)意見(jiàn)和建議。