银行信息安全审计方案
关于对商业银行开展信息系统审计的思考
关于对商业银行开展信息系统审计的思考 现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。一、商业银行信息系统的特点、架构与一般业务流程(一)商业银行信息系统的特点现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。(二)商业银行信息系统的框架结构商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统
与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。(三)商业银行核心业务系统一般流程商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和
银监发201919商业银行信息科技风险管理指引word精品文档23页
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
信息安全审计系统在等级保护建设中的应用分析
信息安全审计系统在等级保护建设中的应 用分析 引言 在国外,随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计己经企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用力一式也不相同。如何在等保建设中更好的应用审计系统,木文在以下内容中给出了分析和建议。 1信息安全审计的意义和目的 计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称五性。安全审计是这五性的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设
备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。 通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下: (1)对正在发生的各类信息事件进行监控、记录和告警; (2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施; (3)通过安全审计记录,可以对于发生的信息系统破坏行为提供有效的法律追究证据; (4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。 2等级保护中安全审计问题 2.1等级保护中的安全审计要求 等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。 2.1.1各安全域通用要求 (1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; (2)应保护审计进程,避免受到未预期的中断;
17网络信息中心 信息安全审计管理制度
X 网络信息中心 信息安全审计管理制度
目录 第一章总则 (3) 第二章人员及职责 (3) 第三章日志审计的步骤 (4) 第四章日志审计的目标和内容 (5) 第五章管理制度和技术规范的检查步骤 (7) 第六章管理制度和技术规范的检查内容 (8) 第七章检查表 (8) 第八章相关记录 (9) 第九章相关文件 (9) 第十章附则 (9) 附件一:体系管理制度和技术规范控制点重点检查的内容及方法 (9)
第一章总则 第一条为了规范X网络信息中心的内部审计工作,建立并健全网络信息中心内部的审计制度,明确内部审计职责,通过对人工收集到的大量审计行为记录进行检查,以监督不当使用和非法行为,并对发生的非法操作行为进行责任追查。同时根据X的各种与信息安全的相关的制度和技术手段进行检查,确保X的由网络信息中心管理的信息系统设备和应用系统正常、可靠、安全地运行; 第二条包括对各系统日志的审计和安全管理制度及技术规范符合性检查。 第二章人员及职责 第三条本制度指定X网络信息中心审计组作为X的信息安全审计组织,负责实施X内部审核,在聘请外部审计组织参与的情况下,网络信息中心审计组协助外部第三方进行审核;审计组的工作应该直接向信息安全领导小组汇报;实施独立审核,确保信息安全管理系统各项控制及组成部分按照策略要求运行良好,确保信息安全管理体系的完整性、符合性和有效性; 第四条与审计制度相关的人员分为审计人和被审计人。审计人除了网络信息中心的信息技术审计员外,还需设立信息安全协调员以指导和配合信息技术审计员的工作。被审计人及系统为X的信息安全执行组人员,包括X市招考热线系统、内部网络管理系统、日志管理系统、机房视频监控系统和其相关的管理、维护和使用人员等; 第五条网络信息中心的审计相关人员根据X规划战略、年度工作目标,以及上级的部署,拟订审计工作计划,报经X领导批准后实施审计工作。除年度审计计划外,也可根据工作需要或X领导的要求配合上级部进行非定期的专项审计、后续审计等其他审计事项; 第六条信息安全审计员的角色和职责 本着安全管理权限分离的原则,信息安全审计员岗位要独立于其他角色管理员和各类系统使用人员。信息安全审计员和本制度相关职责如下: (一)负责X的信息安全审计制度的建设与完善工作; (二)信息安全审计员要对人工收集到的大量审计行为记录进行检查,以监督对X的相关信息系统的不当使用和非法行为; (三)定期执行安全审计检查,对系统的安全状况进行分析评估,向上级主管提供系统安全状况审计报告和改进措施等。 第七条 X网络信息中心的信息安全领导和本制度相关职责是:
商业银行信息系统审计
商业银行信息系统审计 [摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。 [关键词]信息系统审计;商业银行;信息化 在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。 一、信息系统审计的概念及其对商业银行审计的影响 1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。 审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。 1.对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是
关于对XX银行科技信息风险管理进行专项审计的报告.doc
关于对XX银行 科技信息风险管理进行专项审计的报告(模板) 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告如下: 一、基本情况 略。 二、审计依据 银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。 三、组织架构、制度建设及管理情况 1、信息科技治理组织架构 (1)县联社董事会下设科技信息安全管理委员会,信息安全管理委员会下设应急处理领导小组。 科技管理委员会负责统一规划全社的信息化建设,指导和监督科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制 (2)成立了科技部,加强了科技运维信息治理。 (3)科技风险审计工作由联社稽核审计部完成。 2、信息科技管理制度 (1)安全管理 对安全管理活动中的各类管理内容,依据省联社相关制度建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录 (2)事件管理 制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》(3)应急处理 建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》,对各业务信息
目前商业银行审计需解决的几个难点问题
目前商业银行审计需解决的几个难点问题 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行
不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。 (四)商业银行与审计机关信息不对称,且存在向审计机关提供虚假信息的问题
信息安全审计解决方案
网络信息安全审计解决方案 ----主机审计、网络行为审计、数据库审计解决方案
目录 1概述 (4) 1.1信息安全审计产生的背景 (4) 1.2信息系统安全审计的必要性 (5) 2某信息安全审计体系结构 (5) 3某信息安全审计方案介绍 (7) 3.1主机审计 (7) 3.1.1企业内部主机操作的风险问题 (7) 3.1.2某主机审计系统解决方案 (8) 3.2网络行为审计 (12) 3.2.1企业互联网管理面临的问题 (12) 3.2.2网络行为审计解决方案 (13) 3.3数据库审计 (24) 3.3.1数据库安全面临的风险 (24) 3.3.2数据库审计产品解决方案 (25) 4方案部署 (37) 5方案优势 (38) 6方案总结 (39)
1概述 1.1信息安全审计产生的背景 随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用。计算机信息化技术已经深入的覆盖到工作及生产的每一个角落。传统的手工生产已经逐渐的被信息化生产所替代。信息化生产大大的提高了社会化生产的效率,但是同时,作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁。信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。 基于以上情况,全球信息技术发展最快的美国于2002年颁布了SOX法案(国内简称萨班斯法案)用以规范上市公司在计算机信息系统的安全性和可审计性,从而消除或者减少信息系统中导致生产崩溃的风险和威胁。在中国加入WTO之后,在生产和信息技术上不断的向发达国家靠拢的同时,也需要不断的完善计算机信息系统安全及审计的技术规范和技术手段。其中的技术规范应该覆盖内部信息体系的审计与控制以及由内到外的信息系统行为的审计与控制。从2009年7月1号开始实施的由财政部、审计署、证监会、保监会、银监会联合颁发的《企业内部基本控制规范》以及《计算机信息系统安全保护等级划分准则-GB 17859-1999》等法规文件中都明确要求需要对信息系统进行审计与控制。尤其在等级保护的第二级开始明确要求“计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏”。另外,2006年,公安部也颁布了《互联网安全保护技术措施规定》(简称“公安部82号令”),要求互联网提供者对访问互联网的用户行为进行记录保存并可查询,其中要求日志保存时间在60天以上。 1.2信息系统安全审计的必要性 相关权威机构的调查显示,80%左右的机构信息风险都来自于机构内部,因
商业银行个人消费信贷系统审计案例一
商业银行个人消费信贷系统审计案例 一、审计背景 信息技术在金融领域日益广泛的应用,使金融电子化本身也产生了新的技术风险,人们不仅要审计计算机信息系统产生的电子数据,而且要对计算机信息系统本身进行审计。 随着我国经济的持续快速发展,人们的生活质量和消费水平的飞速提高,个人消费信贷业务和市场也处在一个方兴未艾的阶段,各家商业银行纷纷推出具有自身特点的个人消费信贷产品。2002年,为全面深入地掌握这一新兴的金融创新产品在实际运作中的情况,审计机关决定结合对某商业银行资产负债损益的审计,对其个人消费信贷系统开展审计。 二、被审系统概况 某商业银行个人消费信贷系统是该行2000年根据相关业务部门提出的《个人消费信贷需求说明书》,是与某公司合作开发的。该系统2001年试点后全面转入正常营业状态。该系统包括个人消费信贷管理子系统、储蓄前台会计核算管理子系统和后台系统管理子系统三个子系统。贷款管理子系统的主要功能是实现贷款资料管理、贷款审批、发放日常管理和贷款统计等。会计核算子系统主要功能是实现储蓄网点贷款发放、贷款回收、结息、逾期、结清等会计核算以及查询分户信息和打印账表等。系统管理子系统实现日终处理、委托扣款、利率维护、操作员管理、标准数据维护和数据调整等功能。 该系统采用双层结构,数据资料集中存放在个人消费信贷业务主机(UNIX操作系统),使用INFORMIX数据库,该主机与零售系统主机之间留有接口,能及时收到零售系统对各种个人消费信贷账务处理的结果和向零售系统发送扣款请求及会计并账数据;在开展个人消费信贷的支行设一台个人消费信贷管理机(WINDOWS界面),用于个人消费信贷项目的开设及业务的贷款申请、展期申请、审批、打印、查询与参数维护等。 该系统预留了个人住房贷款业务处理功能,实际中仍由该行会计核算系统中用于商业性个人住房贷款管理与核算的子系统——个人商业贷款管理系统代为运作,我们将此两部分个人消费信贷业务合并考虑,作为一个整体予以审计。 三、系统审计流程 整个系统审计工作具体经过了审计准备、审计评估、审计测试、审计总评和报告四
信息安全审计管理程序(含表格)
信息安全审计管理程序 (ISO27001-2013) 1、目的 评价信息安全管理和实践的原则和控制,以维持公司期望的信息安全水平。2、适用范围 适用于公司的所有管理人员和员工,以及所有为本公司工作,同时接触公司的信息资源的外来人员。 3、术语和定义 无 4、职责和权限 在信息安全委员会的统一组织下实施。 5、工作流程 审计包括两种检查方式: a)自我评估 b)内部/外部审计 5.1自我评估 为保持各部门内部良好的信息安全管理状态及第一时间发现和处理不符合现
象,确定各控制措施的有效性,要求每个部门进行信息安全管理和实践和自我评估并根据需求采取纠正措施。 自我评估通常在信息安全委员会的统一安排下,由各部门负责人组织实施。 自我评估通常每年至少进行一次。除此以外,为了提高部门内信息安全管理水平,部门负责人也可以指定其认为必要和合适的时间进行自我评估。 各部门结合本部门的要求和工作实际,制定适合本部门的自我评估的检查表并实施,但必须包括对控制措施符合性和有效性的评估。 自我评估的结果要报告给信息安全委员会,由信息安全委员会确定纠正措施的计划并指导实施。纠正措施实施计划包括: a)对纠正措施的简单描述,包括当前控制措施与和要达到的目标之间的差距分析; b)纠正措施的实施时间要求; c)纠正措施的实施负责人。 5.2内部/外部审计 信息安全委员会根据业务活动的安全需求,确定是否进行内部/外部审计。在一个年度内,若没有进行自我评估,则必须进行一次内部/外部审计。 由信息安全委员会确定审计人员。为了实现审计的目的,内部审计人员必须是具有掌握最新信息技术并了解公司信息安全管理计划的人或组织。一般由内审员承担。
商业银行IT审计
商业银行IT审计
————————————————————————————————作者:————————————————————————————————日期:
商业银行IT审计面临的挑战 随着信息技术的兴起,信息系统已经渗透到商业银行业务的各个领域,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是,一个不容回避的问题——商业银行如何有效地开展信息技术审计,以保证信息系统安全,摆在了我们面前。 一、it审计的定义及其特点 it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。it审计具有以下特点: (一)it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。 (二)it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。 (三)it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一
贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。(四)it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。 二、it审计面临的挑战 it审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入it审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。 (一)传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。 (二)计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计中,网络电子交易数据的安全是关系
网络信息安全管理规范
网络信息安全管理规范 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于XX所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,XX通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理
安全审计管理制度
安全审计管理制度 第一条安全审计是从管理和技术两个方面检查安全策略和控制措施的执行情况,进而发现安全隐患的过程。 第二条信息安全管理部门定期进行安全审计工作,应根据审计内容确定安全审计周期。 第三条信息安全管理部门负责制定信息安全审计工作的组织方式和对审计结果的处理方法。 第四条安全审计分为管理和技术两个方面。所有人员(包括第三方)都应履行其在业务流程中承担的职责,管理人员应在其职责范围内确保安全策略和控制措施 得到有效落实。管理审计侧重检查以上内容的执行结果和执行过程。技术审 计检查安全策略和控制措施中技术层面的落实情况。必要时技术审计可以利用 专业技术手段和适当的审计工具进行。 第五条安全审计范围包括: 1:服务器和重要客户端上的所有操作系统用户和其他用户; 2:网络、安全设备上的所有用户; 3:执行安全管理制度填写各类 记录表单的相关人员。 第六条资产责任人为安全审计提供支持,对安全审计中发现的问题进行分析,确定并采取必要的整改措施。网络与信息安全领导小组应跟踪督促责任人按期完成整 改。 第七条制定基于审计结果的奖惩措施,纳入被审计方的考核内容。 第八条安全审计方应秉承客观、公正、公平的原则实施审计活动。审计方与被审计方保持相对独立,包括审计职责和流程,以确保审计结果的公正可靠。 第九条审计方应详细记录安全审计活动过程和后续整改工作过程。安全审计活动和后续整改工作应被正式记录并保存。 第十条为最大限度降低安全审计对正常运营造成的影响,采用以下措施控制安全审计过程: 1:审计时间、内容和范围应得到网络与信息安全领导小组办公室的批准; 2:有可能对关键业务系统造成负面影响的安全审计活动必须经过网络与信息安全领导小组的批准; 3:明确审计所需的资源,做好工作计划和安排;
信息系统审计在商业银行中的应用
信息系统审计在商业银行中的应用 [摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。 [关键词]信息系统审计;商业银行;信息化 Application of information system audit in commercial banks [Abstract]The "core principles for effective banking supervision" that the Basel Committee specifies pointed that: "the banking supervision system should include some kind of scene and non spot supervision". Therefore, to rely on information system audit implementation of on-site and off-site audit system, is the inevitable choice that the commercial banks could improve the internal audit, internal control quality and efficiency. [Keywords] information system audit;commercial bank,;information 在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。 一、信息系统审计的概念及其对商业银行审计的影响 1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为
信息安全审计报告
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
商业银行信息科技风险审计
商业银行信息科技风险审计 北京时代新威信息技术有限公司王连杰为了适应当前社会形势的变化,开展商业银行信息科技风险审计项目是应对信息化条件下审计工作全新挑战的必然选择。本文结合北京时代新威信息技术有限公司与数家银行合作的众多案例,总结出商业银行科技风险审计的价值所在。理清信息科技风险审计基本概念与内涵,明确信息科技风险审计分类标准,掌握信息科技风险审计常用方法与思路十分重要。并且将理论研究与经验分析相结合,总结商业银行信息科技审计的实际价值,并对如何提升商业银行信息科技风险审计工作水平提出了建议。 首先解析一下商业银行信息科技风险审计的基本概念与内涵。商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。
依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计,内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。 信息科技治理层面: 商业银行信息科技风险审计工作内容的重点就是信息科技治理,下面是它的基本构架以及管理方案。 一、信息科技治理架构 1、信息科技治理机构的建立与履职(信息科技管理委员会) 2、首席信息官的设立与履职 3、是否指定信息科技风险的管理部门与管理职责 二、信息科技战略管理 1、是否建立了与企业战略相匹配的信息科技战略 2、信息科技战略是否经董事会审批 三、信息科技风险管理 1、是否制定全面的信息科技风险管理策略 2、是否制定持续的风险识别和评估流程
心情短语之农村商业银行信息科技审计浅析
农村商业银行信息科技审计浅析 摘要:改革开放以后,随着我国市场经济的不断发展,银行作为经济体系的重要组成部分之一,自然也受到了社会大众越来越多的关注。对于商业银行来说,审计是银行管理的重中之重,只有做好了审计工作,银行才能正常运营。而随着信息科技的发展,这种技术目前在商业银行中也发挥着日益重大的作用。在本文中,笔者经过调查研究,将对商业银行信息科技审计进行一定的分析,尤其是以农商银行内部的审计中存在的一系列问题以及有针对性的解决方案为重点。 关键词:商业银行;信息科技;审计;研究 正如笔者在摘要中所提到的,审计对于商业银行来说具有重要的意义,能为银行的运营和发展铺平道路,因此,银监会也要去金融机构务必做好审计工作。而随着信息科技的发展,目前这种信新兴技术已经深入到了社会的各个角落,农商银行对信息科技也产生了一定程度的依赖。但信息科技也是一把双刃剑,它在革新银行工作形式,提高效率,降低人力成本的同时也给银行带来的一定程度的风险,例如信息安全问题,科技风险等等,都在银行内部埋下了极大的安全隐患,并且威胁着银行的正常运营和后续的发展。而由于信息系统已经广泛地普及,所以一旦其出现故障,势必会给银行日常的业务经营带来一定的影响,甚至会使银行业务停滞,进而导致一系列的风险,例如信誉风险等。面对这样严峻的形势,信息科技审计已经成为了银行亟待解决的重要问题,因而对这一课题进行研究具有很强的现实意义。下面,笔者将首先论述信息科技审计的含义,进一步指出目前农商银行信息科技审计中所存在的一系列问题,并以此为基础,提出有针对性的解决方案。希望能对实际工作的进行起到一定的积极作用。 一、信息科技审计的含义 在本文中笔者所提出的银行信息科技审计,指的是由商业银行的内部审计部门为保证银行系统的可靠性,有效性的所进行的独立并且客观的监督与评价活动,涵盖的范围有信息系统,综合管理,安全管理,风险管理,系统运行等多方面的内容。在实际的信息科技审计工作中,工作人员有权调阅相关的资料,调查问卷,并通过实际的观察,检查等方式对银行内部展开工作。在实际工作的基础
信息安全审计管理制度
信息安全审计管理制度
版本变更记录
1 目的 为加强我公司信息安全及服务水平,保障信息安全及业务安全,清晰了解我公司系统运行状况,特制订本制度。 2 适用范围 本制度适用于公司所有部门及相关审计人员。 4 安全审计管理办法 (1)审计原则:对重要系统、核心设备、规章制度、技术要求等进行审计; (2)各部门对本部门需要审计的内容进行识别,指定专人作为审计管理员,专管本部门审计事宜; (3)信息中心安全审计员统筹公司安全审计工作,各部门审计管理员负责本部门的安全审计事宜,每月对审计数据进行统计分析,向信息中心汇报审计结果; (4)信息中心安全审计员根据各部门审计管理员的审计汇报结果,进行抽查; (5)重要日志(包括但不限于系统日志、数据库日志、业务日志、服务器审计日志、阿里云安全服务日志等)需保留至少6个月以上。
5 安全审计内容 5.1 网络安全审计 (1)对登录阿里云管理平台的用户进行审计,包括用户行为、用户权限、账户是否过期等; (2)阿里云安全服务应用防火墙相关安全日志; (3)安骑士安全监测日志及补丁修复日志; (4)数据库审计服务相关日志; (5)堡垒机用户操作日志。 5.2 服务器操作系统审计 (1)对系统登录进行审计,审计用户的登录情况,审计内容包括登陆时间、登陆用户等; (2)对服务器操作进行审计,审计用户在服务器上的操作,审计内容包括:用户、操作、事件及事件结果等; (3)对操作系统进行综合审计,审计系统的配置信息和运行情况,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等; (4)对系统进程进行审计,排查异常进程、未知进程。 5.3 数据库安全审计 (1)对数据库操作进行审计,分析数据库中数据操作语法,审计数据库中对某个表、某个字段和视图进行的操作;