證券機構信息體系審計探索
前言:本站為你精心整理了證券機構信息體系審計探索范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
本文作者:石煒方敏作者單位:南京市審計局
隨著計算機軟件的不斷開發利用,證券公司信息系統的重要性不言而喻。目前,我國大多數證券公司收入經營項目有經紀業務、自營業務、銀行利息、投行、資產管理等。這些項目有著自己的信息系統,系統之間有的相互關聯,有的自身獨立。盡管信息系統不斷改進、升級、完善,但信息系統管理部門的組織控制、物理環境的安全控制、網絡安全控制、邏輯安全控制、數據與系統安全、安全定級、信息系統運用控制、系統生命周期等方面進行仍然存在一定的固有風險。
一、信息系統審計的內容和重點
主要審查證券公司信息系統的安全可靠性,即評價信息系統安全隱患對證券公司資產、業務的風險。審計內容不僅關注訪問控制、信息安全定級的內容,還緊緊圍繞業務流程、內部控制,關注薄弱環節對數據真實性、完整性的影響。
(一)信息系統管理部門的組織控制
公司對信息系統安全的重視程度,主要包括:一是證券公司最高層級的IT管理機構或信息系統安全的管理機構及其人員構成情況;信息系統安全的負責部門。二是該機構是否會定期召開會議,是否就信息系統安全制訂長期規劃和規章制度,是否將信息系統安全的相關規范融入企業內部控制中。檢查內容:IT組織架構,信息安全組織架構;企業在信息系統方面的規劃內容,如5年規劃等;信息安全方面的規章制度、應急預案,如機房管理制度,信息設備操作使用方面的制度規程,信息系統維護制度,網絡通訊管理制度,應急響應制度;職責劃分是否明確;業務分配控制是否有相關制度保障;是否在組織內開展安全控制培訓;是否建立組織業務分配審批流程。
(二)物理環境的安全控制
計算機設備如:服務器、數據存貯設備、系統終端、網絡交換等設備的存放環境。一是關鍵設備存放在機房還是業務部門,集中存放還是分散存放。二是機房的場地技術條件,需保證恒溫、恒濕,防雷、防水、防火、防鼠、防磁、防靜電,加裝防盜報警裝置,提供良好的接地和供電環境,要為核心設備配置與其功耗相匹配的穩壓及UPS不間斷電源等。機房的設計和竣工是否經過消防、防雷等部門的驗收。檢查內容:公司主機房、中心機房及下屬單位部分網絡設備機房實地調查,檢查機房驗收資料和機房維護記錄。
(三)網絡安全控制(審計重點內容)
防范和抵御網絡資源可能受到的攻擊,保證網絡資源不被非法使用和訪問,保護網內流轉的數據安全。一是是否對信息系統和網絡設備進行分區、分級管理,不同等級是否采取不同的安全措施。二是訪問控制。機房對人員的控制,包括公司內部人員、外部人員進入機房是否有登記記錄,清潔人員進入是否有登記記錄,是否經過相關授權。信息系統的訪問是否有申請和授權制度。普通用戶是否經過授權訪問業務系統。開發系統、生產系統是否隔離;開發人員與生產系統維護人員是否分離;信息系統開發人員是否經過授權訪問業務系統。對訪問內部網絡的機器是否有控制,是否有身份認證;外部帶入的電腦是否可以訪問信息系統;同時訪問內部系統和互聯網的機器有沒有隔離限制措施,內部機器是否不加控制上網;信息系統開發、維護外包的外部人員是否簽訂保密協議。對重要的生產系統是否有更嚴格的訪問控制。檢查內容:進入機房登記表;信息系統申請授權表、訪問授權的原則;員工機器認證制度,認證中心、保密協議等。三是網絡安全措施。員工機器和信息系統主機是否安裝防病毒軟件、是否有防火墻、負載均衡設備;企業對內部和外部的網絡攻擊、病毒攻擊、蠕蟲攻擊的監控情況,是否有監控記錄和遇到攻擊時的處理措施。各部門、分子公司間信息傳遞的渠道,是否直接通過互聯網、即時通訊設備傳遞,數據是否有加密措施。檢查內容:證券公司信息部門對客戶機管理記錄、網絡安全記錄,主要網絡設備、信息系統主機的監控記錄及安全應急預案。
(四)邏輯安全控制(審計重點內容)
對網絡邏輯訪問和系統邏輯訪問是否進行有效控制。一是軟件和數據接觸。是否對登陸用戶的口令、權限、分配的功能進行有效控制。檢查內容:權限分配記錄、口令設置、機密數據保護、磁盤、U盤使用管理情況等。二是數據加密機制。關鍵數據是否進行加密,加密算法是否進行有效管理。三是數據完整性。校驗信息是否加密,是否進行檢查,數字簽名認證機構是否安全可靠。四是入侵檢測系統。入侵檢測系統是否能滿足對于信息系統網絡環境安全的需求,該系統與防火墻/路由器間的通信是否安全,系統中是否包含用于生成日常事件日志的工具和自動響應機制,是否能提供適當的安全保證。五是病毒和其他惡意代碼。各個終端用戶是否采取了防病毒策略,系統中是否存在未授權的軟件,防病毒軟件是否能提供信息系統所需的安全保證。六是防火墻技術。防火墻是否能根據網絡變化提供新的配置服務,是否能對數據包過濾進行檢查,是否具有系統的分離特性,防火墻本身是否自帶了審計工具,是否具有弱點探測的能力,是否具備報警與報告的能力。
(五)數據與系統安全
一是主機是否有密碼控制、主機的安全日志、信息系統是否有訪問日志,系統數據是否定期備份。二是對那些可靠性要求高的系統是否采用服務器主機雙機熱備、磁盤陣列,甚至配備備用網絡,建立異地容災備份中心。三是是否制訂災難恢復計劃和災難恢復流程,建立災難預警、觸發、響應機制,組織相關培訓和演練,適時升級和維護災難恢復計劃。四是信息系統之間傳遞時的數據質量與安全,數據傳輸是否加密,外包服務人員是否有權登錄生產系統,系統開發、維護人員是否可以直接訪問系統數據庫。
(六)安全定級
對證券公司信息管理系統等系統安全等級進行級別定位(分為非常好、較好、一般、較差),檢查是否符合國家定級指南的要求及安全定級中存在的問題。
(七)信息系統運用控制
一是證券公司信息系統的界面輸入是否與業務吻合,數據的輸入是否在有效業務授權下進行,輸入的數據是否及時準確。二是系統處理數據是否有必要的控制措施保證數據處理的完整性和準確性。三是輸出的數據是否有足夠的措施保證輸出的完整性和準確性,是否對數據打印和導出進行控制,審查輸出各項報表的準確性,對外輸出接口數據的準確性,是否建立數據核查機制。四是系統業務流程設置與實際業務是否吻合,是否建立業務流程設置審核機制。五是系統參數維護是否有嚴格的審批,參數是否按相關文件要求來設置,系統參數設置權限管理是在業務部門還是在信息機構,系統是否有預警功能。檢查內容:對部分菜單進行輸出控制檢查,核對部分報表,指標等參數是否與證券管理部門規定的指標一致,查看業務藍圖與流程設置情況。
(八)系統生命周期
關注證券公司的信息系統開發維護能力,是否適應業務變化的需要。系統變更過程的規范化,是否有需求文檔、開發文檔、測試文檔、部署文檔等;變更過程對信息系統安全和數據安全的影響;變更過程中的訪問控制等。
二、具體實施步驟和方法
對證券公司信息系統審計可采用訪談法、調查問卷法、查閱資料法、流程圖檢查法、現場查看法、平行模擬法以及數據測試法等多種審計技術與方法。
(一)信息部門組織管理控制。通過與證券公司網絡信息部門進行訪談,說明審計的目的,列出需提供的資料清單和配合要求。詳細查閱相關制度和文件,在充分的調查和分析基礎上對信息部門組織管理控制作出客觀評價。
(二)內部信息系統與互聯網隔離控制。檢查員工使用的機器是否同時訪問業務系統和互聯網,辦公區IP地址是否自動獲取,通過互聯網接入專網是否有CA認證及數據簽名。
(三)服務器容災機制檢查。數據應轉變為集中異地存放,以應對突發事故的發生。
(四)物理環境安全審計。對證券公司主要機房進行實地調查,檢查機房建設、驗收資料和機房維護記錄等文檔。
(五)網絡安全控制。查閱網絡拓撲圖,設計方案、招投標文件、施工和竣工等文檔,現場查看、查閱維護記錄和運行日志,并與網絡管理員訪談,可借助網絡安全測試工具對網絡進行安全性檢測。
(六)邏輯安全控制。主要是查閱工作記錄和相關管理制度,并到信息訪問點進行隨機檢查和訪談,登陸系統界面進行實際測試等。
(七)數據與系統安全。查閱相關管理制度,查閱備份日志,查閱系統及數據庫日志,現場數據庫、操作系統和系統的管理權限,并進行與管理員訪談,對證券公司信息系統運行控制、數據與系統安全控制作出客觀評價。
(八)信息系統運用控制審計。查閱系統招投標文件、實施過程文檔、驗收文件、系統設置說明、系統配置文檔、操作手冊、維護記錄等相關文檔,并設計測試用例登陸系統進行測試,信息點調查用戶對系統的評價等。
(九)系統生命周期。查閱信息系統規劃,系統分析,系統設計,系統測試,系統實施,系統運行,系統維護,系統變更等相關文檔,并與項目負責人訪談,對證券公司信息系統生命周期作出客觀評價,并提出審計意見和建議。
