银行信息科技审计指引模版.pdfVIP

银行信息科技审计指引 为提高我行信息科技风险管理水平， 有效防范科技信息系统在业务处理、 经 营管理和内部控制过程中产生的风险， 保证我行科技信息系统安全、 持续、稳健 运行，根据银监会 《商业银行信息科技风险管理指引》 、《银行业金融机构内部审 计指引》 的相关要求，结合我行信息科技管理工作的实际情况，制定本指引。 一、审计的范围及内容 （一）总行审计部可根据信息系统所涉及的业务性质、 规模和复杂程度， 信 息科技应用情况， 以及信息科技风险评估结果， 决定信息科技内部审计、 外部审 计的范围和频率。 一般情况下， 至少每三年应进行一次全面审计， 全面审计可以 由审计部开展或聘请专业机构开展，全面审计评价至少应包含如下内容： 1 、信息科技治理和组织结构 ·制度建设 ·组织结构 2 、信息安全管理 ·信息安全基本要求 ·逻辑访问的风险与控制 ·网络安全控制 ·环境的风险和控制 ·物理访问的风险与控制 ·软件的风险与控制 3 、信息科技项目开发和变更管理 ·项目开发管理 ·项目变更管理 ·项目资料文档管理体系 ·系统设计开发外包缺陷风险管理 4 、信息系统运行和操作管理 ·信息系统运行体系建设情况 ·操作环境控制和预防性维护情况 ·生产变更管理 ·信息科技操作风险控制措施 ·日志管理 5 、业务持续性规划 ·董事会和高级管理层在业务持续性规划中的职责和工作机制 ·业务持续性规划的制定和实施 ·备份中心的管理与操作 ·业务持续性规划的测试和维护 （二）总行审计部可根据信息系统开发的规模和重要程度， 组织审计人员进 行系统审阅，以保证信息系统开发符合我行信息科技风险管理的标准。 （三）重要科技信息系统或环境出现重大事故时， 总行审计部要对信息科技 安全事故进行调查、 分析和评估， 并根据风险评估结果对认为必要的特殊事项进 行审计。即使没有重大事故的情况下，审计部也可随时开展专项审计。 二、审计的流程和方法 （一）信息科技风险评价审计过程分为计划准备、现场审计、识别分析、成 果提交及验收四个阶段。 1、计划准备阶段 .必要的项目资料 .制定审计方案 .方案审核 .召开进场会议 2 、现场审计阶段 .文档审查 .人员访谈 .安全审查及日志审查 .脆弱性扫描 .安全测试 3 、识别阶段 . 信息整理 . 脆弱性识别 . 威胁识别 . 安全措施确认 . 风险及差距分析 4 、成果提交及验收 .编写报告 .报告审核 .报告提交 .项目验收 （二）审计项目实施过程中搜集信息，获取证据所采用的主要方法有访谈、 检查和测试等。 1、访谈：与信息系统相关人员进行交流、讨论等活动，证明信息系统安全 保护措施是否有效。 2 、检查：测评人员通过对审计对象进行观察、查验、分析等活动