論當前證券資訊審計綜述論文
一是是否對資訊系統和網路裝置進行分割槽、分級管理,不同等級是否採取不同的安全措施。二是訪問控制。機房對人員的控制,包括公司內部人員、外部人員進入機房是否有登記記錄,清潔人員進入是否有登記記錄,是否經過相關授權。資訊系統的訪問是否有申請和授權制度。普通使用者是否經過授權訪問業務系統。開發系統、生產系統是否隔離;開發人員與生產系統維護人員是否分離;資訊系統開發人員是否經過授權訪問業務系統。對訪問內部網路的機器是否有控制,是否有身份認證;外部帶入的電腦是否可以訪問資訊系統;同時訪問內部系統和網際網路的機器有沒有隔離限制措施,內部機器是否不加控制上網;資訊系統開發、維護外包的外部人員是否簽訂保密協議。對重要的生產系統是否有更嚴格的訪問控制。檢查內容:進入機房登記表;資訊系統申請授權表、訪問授權的原則;員工機器認證制度,認證中心、保密協議等。三是網路安全措施。員工機器和資訊系統主機是否安裝防病毒軟體、是否有防火牆、負載均衡裝置;企業對內部和外部的網路攻擊、病毒攻擊、蠕蟲攻擊的監控情況,是否有監控記錄和遇到攻擊時的處理措施。各部門、分子公司間資訊傳遞的渠道,是否直接透過網際網路、即時通訊裝置傳遞,資料是否有加密措施。
檢查內容:證券公司資訊部門對客戶機管理記錄、網路安全記錄,主要網路裝置、資訊系統主機的監控記錄及安全應急預案。邏輯安全控制(審計重點內容)對網路邏輯訪問和系統邏輯訪問是否進行有效控制。一是軟體和資料接觸。是否對登陸使用者的口令、許可權、分配的功能進行有效控制。檢查內容:許可權分配記錄、口令設定、機密資料保護、磁碟、隨身碟使用管理情況等。二是資料加密機制。關鍵資料是否進行加密,加密演算法是否進行有效管理。[:請記住我站域名/]三是資料完整性。校驗資訊是否加密,是否進行檢查,數字簽名認證機構是否安全可靠。四是入侵檢測系統。入侵檢測系統是否能滿足對於資訊系統網路環境安全的需求,該系統與防火牆/路由器間的通訊是否安全,系統中是否包含用於生成日常事件日誌的工具和自動響應機制,是否能提供適當的安全保證。五是病毒和其他惡意程式碼。各個終端使用者是否採取了防病毒策略,系統中是否存在未授權的軟體,防病毒軟體是否能提供資訊系統所需的安全保證。六是防火牆技術。防火牆是否能根據網路變化提供新的配置服務,是否能對資料包過濾進行檢查,是否具有系統的分離特性,防火牆本身是否自帶了審計工具,是否具有弱點探測的能力,是否具備報警與報告的.能力。資料與系統安全一是主機是否有密碼控制、主機的安全日誌、資訊系統是否有訪問日誌,系統資料是否定期備份。二是對那些可靠性要求高的系統是否採用伺服器主機雙機熱備、磁碟陣列,甚至配備備用網路,建立異地容災備份中心。三是是否制訂災難恢復計劃和災難恢復流程,建立災難預警、觸發、響應機制,組織相關培訓和演練,適時升級和維護災難恢復計劃。四是資訊系統之間傳遞時的資料質量與安全,資料傳輸是否加密,外包服務人員是否有權登入生產系統,系統開發、維護人員是否可以直接訪問系統資料庫。安全定級對證券公司資訊管理系統等系統安全等級進行級別定位(分為非常好、較好、一般、較差),檢查是否符合國家定級指南的要求及安全定級中存在的問題。資訊系統運用控制一是證券公司資訊系統的介面輸入是否與業務吻合,資料的輸入是否在有效業務授權下進行,輸入的資料是否及時準確。二是系統處理資料是否有必要的控制措施保證資料處理的完整性和準確性。三是輸出的資料是否有足夠的措施保證輸出的完整性和準確性,是否對資料列印和匯出進行控制,審查輸出各項報表的準確性,對外輸出介面資料的準確性,是否建立資料核查機制。四是系統業務流程設定與實際業務是否吻合,是否建立業務流程設定稽核機制。五是系統引數維護是否有嚴格的審批,引數是否按相關檔案要求來設定,系統引數設定許可權管理是在業務部門還是在資訊機構,系統是否有預警功能。檢查內容:對部分選單進行輸出控制檢查,核對部分報表,指標等引數是否與證券管理部門規定的指標一致,檢視業務藍圖與流程設定情況。系統生命週期關注證券公司的資訊系統開發維護能力,是否適應業務變化的需要。系統變更過程的規範化,是否有需求文件、開發文件、測試文件、部署文件等;變更過程對資訊系統安全和資料安全的影響;變更過程中的訪問控制等。
對證券公司資訊系統審計可採用訪談法、調查問卷法、查閱資料法、流程圖檢查法、現場檢視法、平行模擬法以及資料測試法等多種審計技術與方法。資訊部門組織管理控制。透過與證券公司網路資訊部門進行訪談,說明審計的目的,列出需提供的資料清單和配合要求。詳細查閱相關制度和檔案,在充分的調查和分析基礎上對資訊部門組織管理控制作出客觀評價。內部資訊系統與網際網路隔離控制。檢查員工使用的機器是否同時訪問業務系統和網際網路,辦公區IP地址是否自動獲取,透過網際網路接入專網是否有CA認證及資料簽名。伺服器容災機制檢查。資料應轉變為集中異地存放,以應對突發事故的發生。物理環境安全審計。對證券公司主要機房進行實地調查,檢查機房建設、驗收資料和機房維護記錄等文件。網路安全控制。查閱網路拓撲圖,設計方案、招投標檔案、施工和竣工等文件,現場檢視、查閱維護記錄和執行日誌,並與網路管理員訪談,可藉助網路安全測試工具對網路進行安全性檢測。邏輯安全控制。主要是查閱工作記錄和相關管理制度,併到資訊訪問點進行隨機檢查和訪談,登陸系統介面進行實際測試等。資料與系統安全。查閱相關管理制度,查閱備份日誌,查閱系統及資料庫日誌,現場資料庫、作業系統和系統的管理許可權,並進行與管理員訪談,對證券公司資訊系統執行控制、資料與系統安全控制作出客觀評價。資訊系統運用控制審計。查閱系統招投標檔案、實施過程文件、驗收檔案、系統設定說明、系統配置文件、操作手冊、維護記錄等相關文件,並設計測試用例登陸系統進行測試,資訊點調查使用者對系統的評價等。系統生命週期。查閱資訊系統規劃,系統分析,系統設計,系統測試,系統實施,系統執行,系統維護,系統變更等相關文件,並與專案負責人訪談,對證券公司資訊系統生命週期作出客觀評價,並提出審計意見和建議。
【論當前證券資訊審計綜述論文】相關文章: