JR_T 0146.5-2016证券期货业信息系统审计指南 第5部分：证券公司.pdf

ICS 03. 060A 11JR中华人民共和国金融行业标准JR/T 0146.5—2016证券期货业信息系统审计指南第5部分：证券公司Securities and futures industry audit guideline for information systemPart5: Securities companies2016-11-08发布2016-11-08实施中国证券监督管理委员会发布 JR/T 0146. 5—2016表A.1信息技术治理审计底稿(续）审计证据列表：5 JR/T 0146. 5—2016表 G.2集中交易系统审计底稿(续)序号审计程序中计结论备注2. 7. 6.管理用户以远程方式登录应用系检查应用系统设计和验收文档，当管理用户以远程方式登录应用系统，是否采是口统，是否采用两种或两种以上组用了两种或两种以上组合的签别技术选否口合的签别技术选行身份鉴别。行身份鉴别。不适用口2. 7.7.面向互联网服务的系统是否提供检查应用系统设计和验收文档，面向互是口两种或两种以上组合的鉴别技术联网服务的系统是否向用户提供两种或否口供用户选择。两种以上组合的签别技术供用户选择。不适用口2.7. 8.是否禁止设置弱口令，若系统条检查口令管理制度，大是否规定口令应采是口件允许，口令是否采用数字、字用数字、字母、符号混排且无规律的方否口母、符号混排且无规律的方式。式.不适用口2. 7. 9.是否禁止设置弱口令，若系统条是口件允许，管理员口令长度原则上检查口令管理制度，是否规定管理员用香口不少于12位。户口令的长度至少为12位。不适用口2. 7. 10.核心交易业务系统是否提示并阻检查核心交易业务系统设计和验收文是口档，确定核心交易业务系统是否提示并香口止用户使用弱口令登录。阻止用户使用弱口令登录。不适用口2. 7. 11.是否每季度对管理员口令进行修检查口令管理制度，是否规定管理员用是口改，更新的管理员口令至少5次户口令至少每季度更换1次，更新的口否口内不能重复令至少5次内不能重复不适用口2. 7. 12.应用系统的账户及口令是否采用检查口令管理制度，是否规定应用系统的账户及口令应采用加密方式存储、传是口加密方式存储、传输，加密产品输：加密产品的使用应符合国家有关规否口的使用是否符合国家有关规定。定.不适用口2. 7. 13.a)检查账户列表，是否没有医名/默认用是否重点加强对函名/默认用户户;是口的管理，防止被非法使用。b)若有函名/默认用户，测试是否不能被否口丰法使用。不适用口2. 7. 14.检查在岗人员名单和账户列表，确定没是口是否及时注销不再使用的账户，有未注销的不再使用的账户，香口不适用口2. 7. 15.a)检查连续猜测等对客户账户恶意攻击是否设置抵御连续猜测等对客户行为的策略；是口账户恶意攻击行为的策略b)现场测试系统抵御连续殖测客户账户否口的攻击行为。不适用口96 JR/T 0146.5—2016表G.2集中交易系统审计底稿(续)序号中计项审计程序审计结论备注2. 8.访间控制2. 8. 1.是否提供访问控制和权限管理机a)检查应用系统设计和验收文档，查看制，依据安全策略控制用户对文是否依据安全策略控制用户对文件等客件等客体的访间，防止客户的授体的访问：是口权被恶意提升或转投，防止客户b)测试主要应用系统，可通过以不同权香口使用未经授权的功能，防止客户限的用户登录系统，查看其拥有的权限不适用口选行访问未经授权的数据等非法是否与系统赋予的权限一致，验证应用访问活动。系统访问控制功能是否有效。2. 8. 2.访问控制的覆盖范围是否包括与检查应用系统设计和验收文格，查看其访问控制的覆盖范围是否包括与信息安是口资源访问相关的主体、客体及它全直接相关的主体，客体及它们之间的香口们之间的操作，操作。不适用口2. 8. 3.a)检查应用系统设计和验收文档，查看其访问控制的覆盖范图是否包括与信息是否由投权主体配置访问间控制策安全直接相关的主体、客体及它们之间的操作；是口略，并严格限制默认账户的访问b)测试主要应用系统，可通过以默认用香口权限.户登录系统，并进行一些合法和非法操不适用口作，验证系统是否严格限制了默认帐户的访问权限2. 8, 4.a)检查应用系统的用户角色或权限的分配情况，查看是否仅授予不同账户为完成各自承担任务所需的最小权限，特权是否授予不同账户为完成各自承用户的权限是否分离，权限之间是否相是口担任务所需的最小权限，并在它互制约，如系统管理员不能进行审计操们之间形成相互制约的关系。作、审计员不能选行系统管理操作等：不适用口b)渗透测试主要应用系统，进行试图绕过访问控制的操作，验证应用系统的访间控制功能是否不存在明显的弱点。2. 8. 5.a)访谈系统运维负责人，询问是否指定专门的部门或人员负责