在银行开展信息系统审计的若干建议.docVIP

在银行开展信息系统审计的若干建议 随着我行信息技术和网络通讯技术的发展应用程度不断提高，信息系统已经渗透到**行的各个部门条线。一旦信息系统发生故障、停止运行或被恶意破坏，业务活动就不得不部分或完全终止，由此引起的直接或间接损失将是无法估量的。信息系统审计作为信息社会的安全对策，能有效地管理与信息系统有关的风险，从而确保信息系统的安全性、稳定性和有效性。因此有必要在**行开展信息系统审计工作，切实控制电子银行的风险。 　　一、信息系统审计简介 “审计”一词起源于财务审计，人们比较熟悉的是对财务报表或会计账册的监督，好像和信息系统没有必然联系。美国、日本等发达国家在信息化过程中率先意识到信息系统审计的必要性并进行了研究，目前已得到普及。在我国，虽然也早就提出了“计算机审计”的概念，但这种审计更多的是偏向于“利用计算机进行审计”，与本文介绍的信息系统审计有着本质的区别。目前**行的信息系统审计工作还处在摸索阶段。 　　按国际上通行的规范，信息系统审计主要有6个方面的内容：　　1.评估信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。2.评估技术基础设施的管理和运行实践方面的有效性及效率，以确保其充分支持组织的业务目标。3.评估信息资源在逻辑访问、运行环境与信息技术基础设施的安全性，以确保其满足组织的业务需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4.评估系统灾难恢复与保证业务连续性的能力，以确保组织能持续进行业务营运。5.评估应用系统开发、实施与维护的方式、方法及过程，以确保其满足组织的业务需求。6.评估业务处理流程的风险管理水平，确保根据组织的业务目标对相应风险实施管理。 二、**行电子银行面临的风险 　　1.管理措施滞后的风险。采用新的银行信息系统不能沿袭旧的管理，必然要启用新的管理措施，但新的管理措施是否合理、完备还需要通过一段时间的实践来检验。 　　2.运行环境方面的风险。银行数据大集中必然带来风险的集中。采用数据大集中模式后，通过采用更高端的设备、技术等措施提高了系统的安全系数，故障概率大大低于分散式数据管理模式。但数据大集中后，其安全影响的范围可能呈几何级数增长，一旦发生故障，可能影响全局。 　　3.数据备份中心及应急恢复机制方面的风险。电子化程度越高的行业，其对数据完整性和可用性的要求也越高。据美国的有关调查显示，如果公司在灾难过后两个星期内无法完全恢复信息系统的使用，75％的公司业务将会完全停顿，43％的公司将再也无法开业。而金融业在此期间所遭受的损失将高达日营业额的50％。 　　4.软件开发及应用方面的风险。目前，我行的一些软件开发采用“外包”或“半外包”的方式进行。由于银行业竞争的加剧，软件开发的时间都比较紧，往往没有进行缜密的测试，因此有可能存在一定的缺陷和漏洞，让不法之徒有机可乘。 5.网络安全方面的风险。Internet的迅猛发展为电子商务、网络金融提供了运作平台，但也带来了许多不安全隐患。各方面数据均表明，信用卡、手机银行、网上银行等银行信息系统已成为日益猖獗的网络攻击和计算机犯罪活动的主要目标。 　　三、**行信息系统审计的重点 　　我行经过多年的建设，电子银行已初具规模，各种系统十分复杂、庞大，如一下子对全部信息系统进行审计的话，工作量巨大，且目前信息系统审计的人员培养也还跟不上，因此，比较现实的做法是先从部分重点系统、重要环节着手进行审计。审计的重点应该考虑以下内容： 　　1.运行管理审计 　　(1)机房管理审计。包括机房、设备间等重要运行环境选址、布局是否合理；是否设置了门禁、监控、气体灭火、防水、防雷、报警等安全设施；机房内部的温度、湿度、洁净度、电磁干扰等技术指标是否合格；机房的进出是否有切实有效的管理制度、是否有防止非正常行为的对策等。 　　(2)操作管理审计。包括是否有详尽的操作规范；是否对系统操作人员进行上岗前培训；操作人员是否严格按规范进行操作；系统的登录代码及密码是否具备一定的安全防护对策、是否按规定更新；是否记录操作日志并保存一定期限；操作人员的交接是否按规定进行；是否及时发现、记录、报告事故及故障；是否及时采取措施排除故障，防止再次发生等。 　　(3)硬件管理审计。包括是否制定并遵守硬件管理规范；硬件的运行环境是否达到相应的技术要求；是否定期对硬件进行检修、维护；对硬件故障的维修对策是否合理；是否有硬件维护日志；检查业务设备送出修理时是否对设备所存业务数据进行删除。 　　(4)软件管理审计。包括是否制定并遵守软件管理规范；软件的拷贝是否有严格的控制措施和技术防范对策；软件的保管和废止是否按机密资料予以保护；是否有完善的软件版本管理规范；对软件源程序的控制是否严格，生产环境与测试环境是否严格分开。 　　2.系统开发审计 　　(1