證券機(jī)構(gòu)信息體系審計(jì)探索

前言：本站為你精心整理了證券機(jī)構(gòu)信息體系審計(jì)探索范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

本文作者：石煒方敏作者單位：南京市審計(jì)局

隨著計(jì)算機(jī)軟件的不斷開發(fā)利用，證券公司信息系統(tǒng)的重要性不言而喻。目前，我國大多數(shù)證券公司收入經(jīng)營項(xiàng)目有經(jīng)紀(jì)業(yè)務(wù)、自營業(yè)務(wù)、銀行利息、投行、資產(chǎn)管理等。這些項(xiàng)目有著自己的信息系統(tǒng)，系統(tǒng)之間有的相互關(guān)聯(lián)，有的自身獨(dú)立。盡管信息系統(tǒng)不斷改進(jìn)、升級、完善，但信息系統(tǒng)管理部門的組織控制、物理環(huán)境的安全控制、網(wǎng)絡(luò)安全控制、邏輯安全控制、數(shù)據(jù)與系統(tǒng)安全、安全定級、信息系統(tǒng)運(yùn)用控制、系統(tǒng)生命周期等方面進(jìn)行仍然存在一定的固有風(fēng)險(xiǎn)。

一、信息系統(tǒng)審計(jì)的內(nèi)容和重點(diǎn)

主要審查證券公司信息系統(tǒng)的安全可靠性，即評價(jià)信息系統(tǒng)安全隱患對證券公司資產(chǎn)、業(yè)務(wù)的風(fēng)險(xiǎn)。審計(jì)內(nèi)容不僅關(guān)注訪問控制、信息安全定級的內(nèi)容，還緊緊圍繞業(yè)務(wù)流程、內(nèi)部控制，關(guān)注薄弱環(huán)節(jié)對數(shù)據(jù)真實(shí)性、完整性的影響。

（一）信息系統(tǒng)管理部門的組織控制

公司對信息系統(tǒng)安全的重視程度，主要包括：一是證券公司最高層級的IT管理機(jī)構(gòu)或信息系統(tǒng)安全的管理機(jī)構(gòu)及其人員構(gòu)成情況；信息系統(tǒng)安全的負(fù)責(zé)部門。二是該機(jī)構(gòu)是否會定期召開會議，是否就信息系統(tǒng)安全制訂長期規(guī)劃和規(guī)章制度，是否將信息系統(tǒng)安全的相關(guān)規(guī)范融入企業(yè)內(nèi)部控制中。檢查內(nèi)容：IT組織架構(gòu)，信息安全組織架構(gòu)；企業(yè)在信息系統(tǒng)方面的規(guī)劃內(nèi)容，如5年規(guī)劃等；信息安全方面的規(guī)章制度、應(yīng)急預(yù)案，如機(jī)房管理制度，信息設(shè)備操作使用方面的制度規(guī)程，信息系統(tǒng)維護(hù)制度，網(wǎng)絡(luò)通訊管理制度，應(yīng)急響應(yīng)制度；職責(zé)劃分是否明確；業(yè)務(wù)分配控制是否有相關(guān)制度保障；是否在組織內(nèi)開展安全控制培訓(xùn)；是否建立組織業(yè)務(wù)分配審批流程。

（二）物理環(huán)境的安全控制

計(jì)算機(jī)設(shè)備如：服務(wù)器、數(shù)據(jù)存貯設(shè)備、系統(tǒng)終端、網(wǎng)絡(luò)交換等設(shè)備的存放環(huán)境。一是關(guān)鍵設(shè)備存放在機(jī)房還是業(yè)務(wù)部門，集中存放還是分散存放。二是機(jī)房的場地技術(shù)條件，需保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報(bào)警裝置，提供良好的接地和供電環(huán)境，要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源等。機(jī)房的設(shè)計(jì)和竣工是否經(jīng)過消防、防雷等部門的驗(yàn)收。檢查內(nèi)容：公司主機(jī)房、中心機(jī)房及下屬單位部分網(wǎng)絡(luò)設(shè)備機(jī)房實(shí)地調(diào)查，檢查機(jī)房驗(yàn)收資料和機(jī)房維護(hù)記錄。

（三）網(wǎng)絡(luò)安全控制（審計(jì)重點(diǎn)內(nèi)容）

防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊，保證網(wǎng)絡(luò)資源不被非法使用和訪問，保護(hù)網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。一是是否對信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行分區(qū)、分級管理，不同等級是否采取不同的安全措施。二是訪問控制。機(jī)房對人員的控制，包括公司內(nèi)部人員、外部人員進(jìn)入機(jī)房是否有登記記錄，清潔人員進(jìn)入是否有登記記錄，是否經(jīng)過相關(guān)授權(quán)。信息系統(tǒng)的訪問是否有申請和授權(quán)制度。普通用戶是否經(jīng)過授權(quán)訪問業(yè)務(wù)系統(tǒng)。開發(fā)系統(tǒng)、生產(chǎn)系統(tǒng)是否隔離；開發(fā)人員與生產(chǎn)系統(tǒng)維護(hù)人員是否分離；信息系統(tǒng)開發(fā)人員是否經(jīng)過授權(quán)訪問業(yè)務(wù)系統(tǒng)。對訪問內(nèi)部網(wǎng)絡(luò)的機(jī)器是否有控制，是否有身份認(rèn)證；外部帶入的電腦是否可以訪問信息系統(tǒng)；同時(shí)訪問內(nèi)部系統(tǒng)和互聯(lián)網(wǎng)的機(jī)器有沒有隔離限制措施，內(nèi)部機(jī)器是否不加控制上網(wǎng)；信息系統(tǒng)開發(fā)、維護(hù)外包的外部人員是否簽訂保密協(xié)議。對重要的生產(chǎn)系統(tǒng)是否有更嚴(yán)格的訪問控制。檢查內(nèi)容：進(jìn)入機(jī)房登記表；信息系統(tǒng)申請授權(quán)表、訪問授權(quán)的原則；員工機(jī)器認(rèn)證制度，認(rèn)證中心、保密協(xié)議等。三是網(wǎng)絡(luò)安全措施。員工機(jī)器和信息系統(tǒng)主機(jī)是否安裝防病毒軟件、是否有防火墻、負(fù)載均衡設(shè)備；企業(yè)對內(nèi)部和外部的網(wǎng)絡(luò)攻擊、病毒攻擊、蠕蟲攻擊的監(jiān)控情況，是否有監(jiān)控記錄和遇到攻擊時(shí)的處理措施。各部門、分子公司間信息傳遞的渠道，是否直接通過互聯(lián)網(wǎng)、即時(shí)通訊設(shè)備傳遞，數(shù)據(jù)是否有加密措施。檢查內(nèi)容：證券公司信息部門對客戶機(jī)管理記錄、網(wǎng)絡(luò)安全記錄，主要網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)主機(jī)的監(jiān)控記錄及安全應(yīng)急預(yù)案。

（四）邏輯安全控制（審計(jì)重點(diǎn)內(nèi)容）

對網(wǎng)絡(luò)邏輯訪問和系統(tǒng)邏輯訪問是否進(jìn)行有效控制。一是軟件和數(shù)據(jù)接觸。是否對登陸用戶的口令、權(quán)限、分配的功能進(jìn)行有效控制。檢查內(nèi)容：權(quán)限分配記錄、口令設(shè)置、機(jī)密數(shù)據(jù)保護(hù)、磁盤、U盤使用管理情況等。二是數(shù)據(jù)加密機(jī)制。關(guān)鍵數(shù)據(jù)是否進(jìn)行加密，加密算法是否進(jìn)行有效管理。三是數(shù)據(jù)完整性。校驗(yàn)信息是否加密，是否進(jìn)行檢查，數(shù)字簽名認(rèn)證機(jī)構(gòu)是否安全可靠。四是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是否能滿足對于信息系統(tǒng)網(wǎng)絡(luò)環(huán)境安全的需求，該系統(tǒng)與防火墻/路由器間的通信是否安全，系統(tǒng)中是否包含用于生成日常事件日志的工具和自動響應(yīng)機(jī)制，是否能提供適當(dāng)?shù)陌踩ＷC。五是病毒和其他惡意代碼。各個(gè)終端用戶是否采取了防病毒策略，系統(tǒng)中是否存在未授權(quán)的軟件，防病毒軟件是否能提供信息系統(tǒng)所需的安全保證。六是防火墻技術(shù)。防火墻是否能根據(jù)網(wǎng)絡(luò)變化提供新的配置服務(wù)，是否能對數(shù)據(jù)包過濾進(jìn)行檢查，是否具有系統(tǒng)的分離特性，防火墻本身是否自帶了審計(jì)工具，是否具有弱點(diǎn)探測的能力，是否具備報(bào)警與報(bào)告的能力。

（五）數(shù)據(jù)與系統(tǒng)安全

一是主機(jī)是否有密碼控制、主機(jī)的安全日志、信息系統(tǒng)是否有訪問日志，系統(tǒng)數(shù)據(jù)是否定期備份。二是對那些可靠性要求高的系統(tǒng)是否采用服務(wù)器主機(jī)雙機(jī)熱備、磁盤陣列，甚至配備備用網(wǎng)絡(luò)，建立異地容災(zāi)備份中心。三是是否制訂災(zāi)難恢復(fù)計(jì)劃和災(zāi)難恢復(fù)流程，建立災(zāi)難預(yù)警、觸發(fā)、響應(yīng)機(jī)制，組織相關(guān)培訓(xùn)和演練，適時(shí)升級和維護(hù)災(zāi)難恢復(fù)計(jì)劃。四是信息系統(tǒng)之間傳遞時(shí)的數(shù)據(jù)質(zhì)量與安全，數(shù)據(jù)傳輸是否加密，外包服務(wù)人員是否有權(quán)登錄生產(chǎn)系統(tǒng)，系統(tǒng)開發(fā)、維護(hù)人員是否可以直接訪問系統(tǒng)數(shù)據(jù)庫。

（六）安全定級

對證券公司信息管理系統(tǒng)等系統(tǒng)安全等級進(jìn)行級別定位（分為非常好、較好、一般、較差），檢查是否符合國家定級指南的要求及安全定級中存在的問題。

（七）信息系統(tǒng)運(yùn)用控制

一是證券公司信息系統(tǒng)的界面輸入是否與業(yè)務(wù)吻合，數(shù)據(jù)的輸入是否在有效業(yè)務(wù)授權(quán)下進(jìn)行，輸入的數(shù)據(jù)是否及時(shí)準(zhǔn)確。二是系統(tǒng)處理數(shù)據(jù)是否有必要的控制措施保證數(shù)據(jù)處理的完整性和準(zhǔn)確性。三是輸出的數(shù)據(jù)是否有足夠的措施保證輸出的完整性和準(zhǔn)確性，是否對數(shù)據(jù)打印和導(dǎo)出進(jìn)行控制，審查輸出各項(xiàng)報(bào)表的準(zhǔn)確性，對外輸出接口數(shù)據(jù)的準(zhǔn)確性，是否建立數(shù)據(jù)核查機(jī)制。四是系統(tǒng)業(yè)務(wù)流程設(shè)置與實(shí)際業(yè)務(wù)是否吻合，是否建立業(yè)務(wù)流程設(shè)置審核機(jī)制。五是系統(tǒng)參數(shù)維護(hù)是否有嚴(yán)格的審批，參數(shù)是否按相關(guān)文件要求來設(shè)置，系統(tǒng)參數(shù)設(shè)置權(quán)限管理是在業(yè)務(wù)部門還是在信息機(jī)構(gòu)，系統(tǒng)是否有預(yù)警功能。檢查內(nèi)容：對部分菜單進(jìn)行輸出控制檢查，核對部分報(bào)表，指標(biāo)等參數(shù)是否與證券管理部門規(guī)定的指標(biāo)一致，查看業(yè)務(wù)藍(lán)圖與流程設(shè)置情況。

（八）系統(tǒng)生命周期

關(guān)注證券公司的信息系統(tǒng)開發(fā)維護(hù)能力，是否適應(yīng)業(yè)務(wù)變化的需要。系統(tǒng)變更過程的規(guī)范化，是否有需求文檔、開發(fā)文檔、測試文檔、部署文檔等；變更過程對信息系統(tǒng)安全和數(shù)據(jù)安全的影響；變更過程中的訪問控制等。

二、具體實(shí)施步驟和方法

對證券公司信息系統(tǒng)審計(jì)可采用訪談法、調(diào)查問卷法、查閱資料法、流程圖檢查法、現(xiàn)場查看法、平行模擬法以及數(shù)據(jù)測試法等多種審計(jì)技術(shù)與方法。

（一）信息部門組織管理控制。通過與證券公司網(wǎng)絡(luò)信息部門進(jìn)行訪談，說明審計(jì)的目的，列出需提供的資料清單和配合要求。詳細(xì)查閱相關(guān)制度和文件，在充分的調(diào)查和分析基礎(chǔ)上對信息部門組織管理控制作出客觀評價(jià)。

（二）內(nèi)部信息系統(tǒng)與互聯(lián)網(wǎng)隔離控制。檢查員工使用的機(jī)器是否同時(shí)訪問業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)，辦公區(qū)IP地址是否自動獲取，通過互聯(lián)網(wǎng)接入專網(wǎng)是否有CA認(rèn)證及數(shù)據(jù)簽名。

（三）服務(wù)器容災(zāi)機(jī)制檢查。數(shù)據(jù)應(yīng)轉(zhuǎn)變?yōu)榧挟惖卮娣牛詰?yīng)對突發(fā)事故的發(fā)生。

（四）物理環(huán)境安全審計(jì)。對證券公司主要機(jī)房進(jìn)行實(shí)地調(diào)查，檢查機(jī)房建設(shè)、驗(yàn)收資料和機(jī)房維護(hù)記錄等文檔。

（五）網(wǎng)絡(luò)安全控制。查閱網(wǎng)絡(luò)拓?fù)鋱D，設(shè)計(jì)方案、招投標(biāo)文件、施工和竣工等文檔，現(xiàn)場查看、查閱維護(hù)記錄和運(yùn)行日志，并與網(wǎng)絡(luò)管理員訪談，可借助網(wǎng)絡(luò)安全測試工具對網(wǎng)絡(luò)進(jìn)行安全性檢測。

（六）邏輯安全控制。主要是查閱工作記錄和相關(guān)管理制度，并到信息訪問點(diǎn)進(jìn)行隨機(jī)檢查和訪談，登陸系統(tǒng)界面進(jìn)行實(shí)際測試等。

（七）數(shù)據(jù)與系統(tǒng)安全。查閱相關(guān)管理制度，查閱備份日志，查閱系統(tǒng)及數(shù)據(jù)庫日志，現(xiàn)場數(shù)據(jù)庫、操作系統(tǒng)和系統(tǒng)的管理權(quán)限，并進(jìn)行與管理員訪談，對證券公司信息系統(tǒng)運(yùn)行控制、數(shù)據(jù)與系統(tǒng)安全控制作出客觀評價(jià)。

（八）信息系統(tǒng)運(yùn)用控制審計(jì)。查閱系統(tǒng)招投標(biāo)文件、實(shí)施過程文檔、驗(yàn)收文件、系統(tǒng)設(shè)置說明、系統(tǒng)配置文檔、操作手冊、維護(hù)記錄等相關(guān)文檔，并設(shè)計(jì)測試用例登陸系統(tǒng)進(jìn)行測試，信息點(diǎn)調(diào)查用戶對系統(tǒng)的評價(jià)等。

（九）系統(tǒng)生命周期。查閱信息系統(tǒng)規(guī)劃，系統(tǒng)分析，系統(tǒng)設(shè)計(jì)，系統(tǒng)測試，系統(tǒng)實(shí)施，系統(tǒng)運(yùn)行，系統(tǒng)維護(hù)，系統(tǒng)變更等相關(guān)文檔，并與項(xiàng)目負(fù)責(zé)人訪談，對證券公司信息系統(tǒng)生命周期作出客觀評價(jià)，并提出審計(jì)意見和建議。