前言：本站為你精心整理了證券機構(gòu)信息體系審計探索范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：石煒方敏作者單位：南京市審計局

隨著計算機軟件的不斷開發(fā)利用，證券公司信息系統(tǒng)的重要性不言而喻。目前，我國大多數(shù)證券公司收入經(jīng)營項目有經(jīng)紀業(yè)務(wù)、自營業(yè)務(wù)、銀行利息、投行、資產(chǎn)管理等。這些項目有著自己的信息系統(tǒng)，系統(tǒng)之間有的相互關(guān)聯(lián)，有的自身獨立。盡管信息系統(tǒng)不斷改進、升級、完善，但信息系統(tǒng)管理部門的組織控制、物理環(huán)境的安全控制、網(wǎng)絡(luò)安全控制、邏輯安全控制、數(shù)據(jù)與系統(tǒng)安全、安全定級、信息系統(tǒng)運用控制、系統(tǒng)生命周期等方面進行仍然存在一定的固有風險。

一、信息系統(tǒng)審計的內(nèi)容和重點

主要審查證券公司信息系統(tǒng)的安全可靠性，即評價信息系統(tǒng)安全隱患對證券公司資產(chǎn)、業(yè)務(wù)的風險。審計內(nèi)容不僅關(guān)注訪問控制、信息安全定級的內(nèi)容，還緊緊圍繞業(yè)務(wù)流程、內(nèi)部控制，關(guān)注薄弱環(huán)節(jié)對數(shù)據(jù)真實性、完整性的影響。

（一）信息系統(tǒng)管理部門的組織控制

公司對信息系統(tǒng)安全的重視程度，主要包括：一是證券公司最高層級的IT管理機構(gòu)或信息系統(tǒng)安全的管理機構(gòu)及其人員構(gòu)成情況；信息系統(tǒng)安全的負責部門。二是該機構(gòu)是否會定期召開會議，是否就信息系統(tǒng)安全制訂長期規(guī)劃和規(guī)章制度，是否將信息系統(tǒng)安全的相關(guān)規(guī)范融入企業(yè)內(nèi)部控制中。檢查內(nèi)容：IT組織架構(gòu)，信息安全組織架構(gòu)；企業(yè)在信息系統(tǒng)方面的規(guī)劃內(nèi)容，如5年規(guī)劃等；信息安全方面的規(guī)章制度、應(yīng)急預案，如機房管理制度，信息設(shè)備操作使用方面的制度規(guī)程，信息系統(tǒng)維護制度，網(wǎng)絡(luò)通訊管理制度，應(yīng)急響應(yīng)制度；職責劃分是否明確；業(yè)務(wù)分配控制是否有相關(guān)制度保障；是否在組織內(nèi)開展安全控制培訓；是否建立組織業(yè)務(wù)分配審批流程。

（二）物理環(huán)境的安全控制

計算機設(shè)備如：服務(wù)器、數(shù)據(jù)存貯設(shè)備、系統(tǒng)終端、網(wǎng)絡(luò)交換等設(shè)備的存放環(huán)境。一是關(guān)鍵設(shè)備存放在機房還是業(yè)務(wù)部門，集中存放還是分散存放。二是機房的場地技術(shù)條件，需保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報警裝置，提供良好的接地和供電環(huán)境，要為核心設(shè)備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源等。機房的設(shè)計和竣工是否經(jīng)過消防、防雷等部門的驗收。檢查內(nèi)容：公司主機房、中心機房及下屬單位部分網(wǎng)絡(luò)設(shè)備機房實地調(diào)查，檢查機房驗收資料和機房維護記錄。

（三）網(wǎng)絡(luò)安全控制（審計重點內(nèi)容）

防范和抵御網(wǎng)絡(luò)資源可能受到的攻擊，保證網(wǎng)絡(luò)資源不被非法使用和訪問，保護網(wǎng)內(nèi)流轉(zhuǎn)的數(shù)據(jù)安全。一是是否對信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備進行分區(qū)、分級管理，不同等級是否采取不同的安全措施。二是訪問控制。機房對人員的控制，包括公司內(nèi)部人員、外部人員進入機房是否有登記記錄，清潔人員進入是否有登記記錄，是否經(jīng)過相關(guān)授權(quán)。信息系統(tǒng)的訪問是否有申請和授權(quán)制度。普通用戶是否經(jīng)過授權(quán)訪問業(yè)務(wù)系統(tǒng)。開發(fā)系統(tǒng)、生產(chǎn)系統(tǒng)是否隔離；開發(fā)人員與生產(chǎn)系統(tǒng)維護人員是否分離；信息系統(tǒng)開發(fā)人員是否經(jīng)過授權(quán)訪問業(yè)務(wù)系統(tǒng)。對訪問內(nèi)部網(wǎng)絡(luò)的機器是否有控制，是否有身份認證；外部帶入的電腦是否可以訪問信息系統(tǒng)；同時訪問內(nèi)部系統(tǒng)和互聯(lián)網(wǎng)的機器有沒有隔離限制措施，內(nèi)部機器是否不加控制上網(wǎng)；信息系統(tǒng)開發(fā)、維護外包的外部人員是否簽訂保密協(xié)議。對重要的生產(chǎn)系統(tǒng)是否有更嚴格的訪問控制。檢查內(nèi)容：進入機房登記表；信息系統(tǒng)申請授權(quán)表、訪問授權(quán)的原則；員工機器認證制度，認證中心、保密協(xié)議等。三是網(wǎng)絡(luò)安全措施。員工機器和信息系統(tǒng)主機是否安裝防病毒軟件、是否有防火墻、負載均衡設(shè)備；企業(yè)對內(nèi)部和外部的網(wǎng)絡(luò)攻擊、病毒攻擊、蠕蟲攻擊的監(jiān)控情況，是否有監(jiān)控記錄和遇到攻擊時的處理措施。各部門、分子公司間信息傳遞的渠道，是否直接通過互聯(lián)網(wǎng)、即時通訊設(shè)備傳遞，數(shù)據(jù)是否有加密措施。檢查內(nèi)容：證券公司信息部門對客戶機管理記錄、網(wǎng)絡(luò)安全記錄，主要網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)主機的監(jiān)控記錄及安全應(yīng)急預案。

（四）邏輯安全控制（審計重點內(nèi)容）

對網(wǎng)絡(luò)邏輯訪問和系統(tǒng)邏輯訪問是否進行有效控制。一是軟件和數(shù)據(jù)接觸。是否對登陸用戶的口令、權(quán)限、分配的功能進行有效控制。檢查內(nèi)容：權(quán)限分配記錄、口令設(shè)置、機密數(shù)據(jù)保護、磁盤、U盤使用管理情況等。二是數(shù)據(jù)加密機制。關(guān)鍵數(shù)據(jù)是否進行加密，加密算法是否進行有效管理。三是數(shù)據(jù)完整性。校驗信息是否加密，是否進行檢查，數(shù)字簽名認證機構(gòu)是否安全可靠。四是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是否能滿足對于信息系統(tǒng)網(wǎng)絡(luò)環(huán)境安全的需求，該系統(tǒng)與防火墻/路由器間的通信是否安全，系統(tǒng)中是否包含用于生成日常事件日志的工具和自動響應(yīng)機制，是否能提供適當?shù)陌踩ＷC。五是病毒和其他惡意代碼。各個終端用戶是否采取了防病毒策略，系統(tǒng)中是否存在未授權(quán)的軟件，防病毒軟件是否能提供信息系統(tǒng)所需的安全保證。六是防火墻技術(shù)。防火墻是否能根據(jù)網(wǎng)絡(luò)變化提供新的配置服務(wù)，是否能對數(shù)據(jù)包過濾進行檢查，是否具有系統(tǒng)的分離特性，防火墻本身是否自帶了審計工具，是否具有弱點探測的能力，是否具備報警與報告的能力。

（五）數(shù)據(jù)與系統(tǒng)安全

一是主機是否有密碼控制、主機的安全日志、信息系統(tǒng)是否有訪問日志，系統(tǒng)數(shù)據(jù)是否定期備份。二是對那些可靠性要求高的系統(tǒng)是否采用服務(wù)器主機雙機熱備、磁盤陣列，甚至配備備用網(wǎng)絡(luò)，建立異地容災(zāi)備份中心。三是是否制訂災(zāi)難恢復計劃和災(zāi)難恢復流程，建立災(zāi)難預警、觸發(fā)、響應(yīng)機制，組織相關(guān)培訓和演練，適時升級和維護災(zāi)難恢復計劃。四是信息系統(tǒng)之間傳遞時的數(shù)據(jù)質(zhì)量與安全，數(shù)據(jù)傳輸是否加密，外包服務(wù)人員是否有權(quán)登錄生產(chǎn)系統(tǒng)，系統(tǒng)開發(fā)、維護人員是否可以直接訪問系統(tǒng)數(shù)據(jù)庫。

（六）安全定級

對證券公司信息管理系統(tǒng)等系統(tǒng)安全等級進行級別定位（分為非常好、較好、一般、較差），檢查是否符合國家定級指南的要求及安全定級中存在的問題。

（七）信息系統(tǒng)運用控制

一是證券公司信息系統(tǒng)的界面輸入是否與業(yè)務(wù)吻合，數(shù)據(jù)的輸入是否在有效業(yè)務(wù)授權(quán)下進行，輸入的數(shù)據(jù)是否及時準確。二是系統(tǒng)處理數(shù)據(jù)是否有必要的控制措施保證數(shù)據(jù)處理的完整性和準確性。三是輸出的數(shù)據(jù)是否有足夠的措施保證輸出的完整性和準確性，是否對數(shù)據(jù)打印和導出進行控制，審查輸出各項報表的準確性，對外輸出接口數(shù)據(jù)的準確性，是否建立數(shù)據(jù)核查機制。四是系統(tǒng)業(yè)務(wù)流程設(shè)置與實際業(yè)務(wù)是否吻合，是否建立業(yè)務(wù)流程設(shè)置審核機制。五是系統(tǒng)參數(shù)維護是否有嚴格的審批，參數(shù)是否按相關(guān)文件要求來設(shè)置，系統(tǒng)參數(shù)設(shè)置權(quán)限管理是在業(yè)務(wù)部門還是在信息機構(gòu)，系統(tǒng)是否有預警功能。檢查內(nèi)容：對部分菜單進行輸出控制檢查，核對部分報表，指標等參數(shù)是否與證券管理部門規(guī)定的指標一致，查看業(yè)務(wù)藍圖與流程設(shè)置情況。

（八）系統(tǒng)生命周期

關(guān)注證券公司的信息系統(tǒng)開發(fā)維護能力，是否適應(yīng)業(yè)務(wù)變化的需要。系統(tǒng)變更過程的規(guī)范化，是否有需求文檔、開發(fā)文檔、測試文檔、部署文檔等；變更過程對信息系統(tǒng)安全和數(shù)據(jù)安全的影響；變更過程中的訪問控制等。

二、具體實施步驟和方法

對證券公司信息系統(tǒng)審計可采用訪談法、調(diào)查問卷法、查閱資料法、流程圖檢查法、現(xiàn)場查看法、平行模擬法以及數(shù)據(jù)測試法等多種審計技術(shù)與方法。

（一）信息部門組織管理控制。通過與證券公司網(wǎng)絡(luò)信息部門進行訪談，說明審計的目的，列出需提供的資料清單和配合要求。詳細查閱相關(guān)制度和文件，在充分的調(diào)查和分析基礎(chǔ)上對信息部門組織管理控制作出客觀評價。

（二）內(nèi)部信息系統(tǒng)與互聯(lián)網(wǎng)隔離控制。檢查員工使用的機器是否同時訪問業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)，辦公區(qū)IP地址是否自動獲取，通過互聯(lián)網(wǎng)接入專網(wǎng)是否有CA認證及數(shù)據(jù)簽名。

（三）服務(wù)器容災(zāi)機制檢查。數(shù)據(jù)應(yīng)轉(zhuǎn)變?yōu)榧挟惖卮娣?，以?yīng)對突發(fā)事故的發(fā)生。

（四）物理環(huán)境安全審計。對證券公司主要機房進行實地調(diào)查，檢查機房建設(shè)、驗收資料和機房維護記錄等文檔。

（五）網(wǎng)絡(luò)安全控制。查閱網(wǎng)絡(luò)拓撲圖，設(shè)計方案、招投標文件、施工和竣工等文檔，現(xiàn)場查看、查閱維護記錄和運行日志，并與網(wǎng)絡(luò)管理員訪談，可借助網(wǎng)絡(luò)安全測試工具對網(wǎng)絡(luò)進行安全性檢測。

（六）邏輯安全控制。主要是查閱工作記錄和相關(guān)管理制度，并到信息訪問點進行隨機檢查和訪談，登陸系統(tǒng)界面進行實際測試等。

（七）數(shù)據(jù)與系統(tǒng)安全。查閱相關(guān)管理制度，查閱備份日志，查閱系統(tǒng)及數(shù)據(jù)庫日志，現(xiàn)場數(shù)據(jù)庫、操作系統(tǒng)和系統(tǒng)的管理權(quán)限，并進行與管理員訪談，對證券公司信息系統(tǒng)運行控制、數(shù)據(jù)與系統(tǒng)安全控制作出客觀評價。

（八）信息系統(tǒng)運用控制審計。查閱系統(tǒng)招投標文件、實施過程文檔、驗收文件、系統(tǒng)設(shè)置說明、系統(tǒng)配置文檔、操作手冊、維護記錄等相關(guān)文檔，并設(shè)計測試用例登陸系統(tǒng)進行測試，信息點調(diào)查用戶對系統(tǒng)的評價等。

（九）系統(tǒng)生命周期。查閱信息系統(tǒng)規(guī)劃，系統(tǒng)分析，系統(tǒng)設(shè)計，系統(tǒng)測試，系統(tǒng)實施，系統(tǒng)運行，系統(tǒng)維護，系統(tǒng)變更等相關(guān)文檔，并與項目負責人訪談，對證券公司信息系統(tǒng)生命周期作出客觀評價，并提出審計意見和建議。