JR_T 0146.1-2016证券期货业信息系统审计指南 第1部分：证券交易所.pdf

ICS 03. 060A 11JR中华人民共和国金融行业标准JR/T 0146.1—2016证券期货业信息系统审计指南第1部分：证券交易所Securities and futures industry audit guideline for information system-Part1: Stock exchanges2016-11-08发布2016-11-08实施中国证券监督管理委员会发布 JR/T 0146.1—2016表A.1信息技术治理审计底稿(续)审计证据列表：5 JR/T 0146. 1—2016表G.2交易系统审计底稿（续）序号中计项中计程序审计结论备注4. 9. 4.是否能够对一个时间段内检查主要应用系统的配置参数，查看是否提供是口可能的并发会话连接数进对最大并发会话连接数进行限制。香口行限制。不适用口是否能够对一个访间账户4. 9. 5.或一个请求进程占用的资检查主要应用系统设计和验收文档，查看是否是口对一个访问账户或一个请求进程占用的资源口源分配最大限额和最小限分配最大限额和最小限额。不适用口a)检查主要应用系统设计和验收文档，查看是是否能够对系统服务水平否有服务水平最小值的设定，当系统的服务水4. 9. 6.平降低到预先设定的最小值时，系统报警：是口降低到预先规定的最小值6b)测试主要应用系统，可试图使服务水平降低口进行检测和报警。不适用口到预先规定的最小值，验证系统是否魔够正确检测并报警。是否提供服务优先级设定4. 9. 7.功能，并在安装后根据安检查主要应用系统设计和验收文档，查看是否是口全策略设定访问账户或请能根据安全策略设定主体的服务优先级，根据口求进程的优先级，根据优优先级分配系统资源。不适用口先级分配系统资源。4. 10.数据安全a)检查设计、验收文档或源代码，查看其是否通过互联网、卫星网进行有关于保护通信完整性的说明，如果有则查看4. 10. 1.通信时，是否采用密码技是否有根据校验码判断对方数据有效性，以及是口术保证通信过程中数据的散列（Hash）密码计算报文校验码的描述；香口完整性。b)对于通过互联网、卫星网进行通信的系统，不适用口通过截包分析，检查通信报文是否经过加密保护是否能够检测到系统管理如果主要主机操作系统能够选行远程管理，则数据、鉴别信息和重要业应查看应用系统的设计、验收文档或源代码，4. 10. 2.务数据在传输过程中完整查看是否有关于能检测系统管理数据、鉴别信是口性受到破坏，并在检测到息和重要业务数据传输过程中完整性受到破香口完整性错误时采取必要的不适用口坏，并在检测到完整性错误时采取必要的恢复恢复错族措施的描速。是否采用加密或其他保护4. 10. 3.措施实现系统管理数据、是口检查主要应用系统设计文档，查看鉴别信息是鉴别信息和重要业务数据否采用加密或其他有效措施实现存储保密性。存储保密性。不适用口95 JR/T 0146. 12016表G.2交易系统审计底稿(续）序号中计项中计程序中计结论备注4.11.备份能力是否至少每天备份数据a)检查“表L.4-数据备份情况，查看数据备次；备份介质应当在本地份记录，确认开户、交易、行情、转账、登记、4. 11. 1.机房、同城及异地安全可存管、结算、查询和相关业务办理的数据等重是口靠存放：每周至少对数据重要数据每日在本、同域、异地备份：备份进行一次有效性验b)查看数据有效性验证记录，确认每周对数据不适用口证备份进行了一次有效性验证。实时信息系统灾难应对能检查“表L.4-系统备份能力”，查看实时信息力是否满足：信息系统恢系统灾难应对能力达标证明材料（包括：灾难4. 11. 2.复时间目标RTO小于3小备份系统建设情况、备份策略、应急演练记录是口时：信息系统恢复点目标等），判断实时信息系统灾难应对能力是否满否口RPO小于1分钟：备份系足：RTO小于3小时；信息系统恢复点目标RPO不适用口统具有满足业务需求的处小于1分钟；备份系统具有满足业务需求的处理能力。理能力。非实时信息系统灾难应对检查“表L.4-系统备份能力”，查看非实时信能力是否满足：信息系统息系统灾难应对能力达标证明材料（包括：灾4. 11. 3.恢复时间目标RTO小于6难备份系统建设情况、备份策略、应急演练记是口小时；信息系统恢复点目录等），判断非实时信息系统灾难应对能力是标RPO等于0移；备份系否满足：RTO小于6小时；信息系统恢复点目不适用口统具有满足业务需求的处标RPO等于0秒；备份系统具有满足业务需求理能力。的处理能力。实时信息系统故障应对能检查“表L.4-系统备份能力”，查看实时信息力是否满足：信息系统恢系统故障应对能力达标证明材料（包括：灾难4. 11. 4.复时间目标RTO小于3分备份系统建设情况、备份策略、应急演练记录是口钟；信息系统恢复点目标等