52_信息科技风险审计方法及过程.pptx

◆— — 摘自北京时代新威信息技术有限公司 《信息科技风险审计战略部署》 信息科技风险审计 方法及过程 为帮助银行客户满足银监会《商业银行 信息科技风险审计管理指引》等相关监管要 求 ， 同时进一步加强信息技术建设 ， 全面强 化风险管理， 越来越多的企业已经开始为多 家银行提供信息科技风险审计服务了 ， 本文 就是北京时代新威信息技术有限公司（以下 简称时代新威） 内部人员总结出的对于信息 科技风险审计的方法及过程。 m S S 第二页 ，共五十一页。 一 ）信息科技治理 二） 信息科技风险管理 三 ）信息安全 m 四） 信息系统开发测试和维护 第三页 ，共五十一页。 信息科技风险审计范围： N ● 五） 信息科技运行 ——信息科技治理 信息科技治理是指对现代信息技术如通 讯技术 ， 信息处理技术 、控制技术等的科学 管理活动和过程 。 时代新威的审计专家指出， “它是以信息服务业务的开展与社会的实际 需要作为依据 ， 组织好各种信息技术的开发 和应用 ， 并对信息技术进行标准化 、规范化 管理 。 ” 信息科技风险审计之 第五页 ，共五十一页。 第六页 ，共五十一页。 信息科技治理战略必须要解决下述主要 问题： 1 保证构造合理的信息系统结构并将其实现。 2 保证新系统开发方式可以满足企业长期维护的目标。 S 3 保证内部和外部采购的决策能得到认真的考虑。 4 决定信息技术运行是由一个部门管理还是分成一系列小单元 管理 ， 按照小单元进行管理虽然成本高 ， 但是能为用户提供更好 的服务。 第七页 ，共五十一页。 信息科技是指计算机 、通信 、微电子 和软 件工程等现代信息技术 ， 在商业银行业务 交 易处理 、经营管理和内部控制等方面的应 用， 并包括进行信息科技治理 ， 建立完整的 管理 组织架构 ， 制订完善的管理制度和流程 。在风 险管理方面 ， 北京时代新威信息技术有 限公 司与许多商业银行都有合作成功的案例 ， 其工 作内容可总结为以下两点。 信息科技风险审计之 ——信息科技风险管理 第八页 ，共五十一页。 信息科技风险 ， 是指信息科技在商业银 行运用过程中 ， 由于自然因素 、人为因素 、 技术漏洞和管理缺陷产生的操作 、法律和声 誉等风险。 S 第九页 ，共五十一页。 测和控制 ， 促进商业银行安全 、持续 、稳健运行， 推动业务创新 ， 提高信息技术使用水平 ， 增强核 心竞争力和可持续发展能力。 信息科技风险管理的目标是通过建立有效的机制， 实现对商业银行信息科技风险的识别 、计量 、监 第十页 ，共五十一页。 S 信息安全主要包括以下五方面的内容， 即需保证信息的保密性 、真实性 、完整性 、 未授权拷贝和所寄生系统的安全性 。信息安 全本身包括的范围很大 ， 其中包括如何防范 商业企业机密泄露 、 防范青少年对不良信息 的浏览 、个人信息的泄露等。 S 信息科技风险审计之 S ——信息安全 第十一页 ，共五十一页。 第十二页 ，共五十一页。 网络环境下的信息安全体系是保证信息 安全的关键 ， 包括计算机安全操作系统 、各 种安全协议 、安全机制（数字签名 、消息认 证 、数据加密等） ， 直至安全系统 ， 如 m S UniNAC 、DLP等 ， 只要存在安全漏洞便可以 威胁全局安全。 第十三页 ，共五十一页。 信息安全是指信息系统（包括硬件 、软 件 、数据 、人 、物理环境及其基础设施） 受 到保护 ， 不受偶然的或者恶意的原因而遭到 破坏 、更改 、泄露 ， 系统连续可靠正常地运 行 ， 信息服务不中断 ， 最终实现业务连续性。 第十四页 ，共五十一页。 S 信息系统是一个以人为主导 ， 吸取经 验和遵照规律并重 ， 利用适合的信息技术 以及相应设备 ， 根据相应的业务模型和数 学模型 ， 进行信息的收集 、传输 、加工、 储存 、更新和维护 ， 以提高组织的效益和 效率为目的 ， 支持组织的高层决策 、 中层 控制 、基层运作的集成化的人机系统。 信息科技风险审计之 ——信息系统开发测试和维护 第十五页 ，共五十一页。 处开合用状态而采取的一系列措施 ， 目的 是纠正错误和改进功能 ， 保证信息系统正 常工作 ， 有以下四种类型： 改正性维护 ， 适应性维护 ， 完善性维护 ， 预防性维护。 信息系统开发维护是为了使信息系统 S 第十六页 ，共五十一页。 良好的信息科技运行必须在设计阶段就 开始考虑 。用户 、 负责信息科技系统运行的 人应该参与信息系统开发的设计阶段 ， 这样 m S 第十七页 ，共五十一页。 信息科技风险审计之 ——信息科技运行 信息科技