前言：本站為你精心整理了證券機構信息體系審計探索范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：石煒方敏作者單位：南京市審計局

隨著計算機軟件的不斷開發(fā)利用，證券公司信息系統(tǒng)的重要性不言而喻。目前，我國大多數(shù)證券公司收入經營項目有經紀業(yè)務、自營業(yè)務、銀行利息、投行、資產管理等。這些項目有著自己的信息系統(tǒng)，系統(tǒng)之間有的相互關聯(lián)，有的自身獨立。盡管信息系統(tǒng)不斷改進、升級、完善，但信息系統(tǒng)管理部門的組織控制、物理環(huán)境的安全控制、網絡安全控制、邏輯安全控制、數(shù)據與系統(tǒng)安全、安全定級、信息系統(tǒng)運用控制、系統(tǒng)生命周期等方面進行仍然存在一定的固有風險。

一、信息系統(tǒng)審計的內容和重點

主要審查證券公司信息系統(tǒng)的安全可靠性，即評價信息系統(tǒng)安全隱患對證券公司資產、業(yè)務的風險。審計內容不僅關注訪問控制、信息安全定級的內容，還緊緊圍繞業(yè)務流程、內部控制，關注薄弱環(huán)節(jié)對數(shù)據真實性、完整性的影響。

（一）信息系統(tǒng)管理部門的組織控制

公司對信息系統(tǒng)安全的重視程度，主要包括：一是證券公司最高層級的IT管理機構或信息系統(tǒng)安全的管理機構及其人員構成情況；信息系統(tǒng)安全的負責部門。二是該機構是否會定期召開會議，是否就信息系統(tǒng)安全制訂長期規(guī)劃和規(guī)章制度，是否將信息系統(tǒng)安全的相關規(guī)范融入企業(yè)內部控制中。檢查內容：IT組織架構，信息安全組織架構；企業(yè)在信息系統(tǒng)方面的規(guī)劃內容，如5年規(guī)劃等；信息安全方面的規(guī)章制度、應急預案，如機房管理制度，信息設備操作使用方面的制度規(guī)程，信息系統(tǒng)維護制度，網絡通訊管理制度，應急響應制度；職責劃分是否明確；業(yè)務分配控制是否有相關制度保障；是否在組織內開展安全控制培訓；是否建立組織業(yè)務分配審批流程。

（二）物理環(huán)境的安全控制

計算機設備如：服務器、數(shù)據存貯設備、系統(tǒng)終端、網絡交換等設備的存放環(huán)境。一是關鍵設備存放在機房還是業(yè)務部門，集中存放還是分散存放。二是機房的場地技術條件，需保證恒溫、恒濕，防雷、防水、防火、防鼠、防磁、防靜電，加裝防盜報警裝置，提供良好的接地和供電環(huán)境，要為核心設備配置與其功耗相匹配的穩(wěn)壓及UPS不間斷電源等。機房的設計和竣工是否經過消防、防雷等部門的驗收。檢查內容：公司主機房、中心機房及下屬單位部分網絡設備機房實地調查，檢查機房驗收資料和機房維護記錄。

（三）網絡安全控制（審計重點內容）

防范和抵御網絡資源可能受到的攻擊，保證網絡資源不被非法使用和訪問，保護網內流轉的數(shù)據安全。一是是否對信息系統(tǒng)和網絡設備進行分區(qū)、分級管理，不同等級是否采取不同的安全措施。二是訪問控制。機房對人員的控制，包括公司內部人員、外部人員進入機房是否有登記記錄，清潔人員進入是否有登記記錄，是否經過相關授權。信息系統(tǒng)的訪問是否有申請和授權制度。普通用戶是否經過授權訪問業(yè)務系統(tǒng)。開發(fā)系統(tǒng)、生產系統(tǒng)是否隔離；開發(fā)人員與生產系統(tǒng)維護人員是否分離；信息系統(tǒng)開發(fā)人員是否經過授權訪問業(yè)務系統(tǒng)。對訪問內部網絡的機器是否有控制，是否有身份認證；外部帶入的電腦是否可以訪問信息系統(tǒng)；同時訪問內部系統(tǒng)和互聯(lián)網的機器有沒有隔離限制措施，內部機器是否不加控制上網；信息系統(tǒng)開發(fā)、維護外包的外部人員是否簽訂保密協(xié)議。對重要的生產系統(tǒng)是否有更嚴格的訪問控制。檢查內容：進入機房登記表；信息系統(tǒng)申請授權表、訪問授權的原則；員工機器認證制度，認證中心、保密協(xié)議等。三是網絡安全措施。員工機器和信息系統(tǒng)主機是否安裝防病毒軟件、是否有防火墻、負載均衡設備；企業(yè)對內部和外部的網絡攻擊、病毒攻擊、蠕蟲攻擊的監(jiān)控情況，是否有監(jiān)控記錄和遇到攻擊時的處理措施。各部門、分子公司間信息傳遞的渠道，是否直接通過互聯(lián)網、即時通訊設備傳遞，數(shù)據是否有加密措施。檢查內容：證券公司信息部門對客戶機管理記錄、網絡安全記錄，主要網絡設備、信息系統(tǒng)主機的監(jiān)控記錄及安全應急預案。

（四）邏輯安全控制（審計重點內容）

對網絡邏輯訪問和系統(tǒng)邏輯訪問是否進行有效控制。一是軟件和數(shù)據接觸。是否對登陸用戶的口令、權限、分配的功能進行有效控制。檢查內容：權限分配記錄、口令設置、機密數(shù)據保護、磁盤、U盤使用管理情況等。二是數(shù)據加密機制。關鍵數(shù)據是否進行加密，加密算法是否進行有效管理。三是數(shù)據完整性。校驗信息是否加密，是否進行檢查，數(shù)字簽名認證機構是否安全可靠。四是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是否能滿足對于信息系統(tǒng)網絡環(huán)境安全的需求，該系統(tǒng)與防火墻/路由器間的通信是否安全，系統(tǒng)中是否包含用于生成日常事件日志的工具和自動響應機制，是否能提供適當?shù)陌踩ＷC。五是病毒和其他惡意代碼。各個終端用戶是否采取了防病毒策略，系統(tǒng)中是否存在未授權的軟件，防病毒軟件是否能提供信息系統(tǒng)所需的安全保證。六是防火墻技術。防火墻是否能根據網絡變化提供新的配置服務，是否能對數(shù)據包過濾進行檢查，是否具有系統(tǒng)的分離特性，防火墻本身是否自帶了審計工具，是否具有弱點探測的能力，是否具備報警與報告的能力。

（五）數(shù)據與系統(tǒng)安全

一是主機是否有密碼控制、主機的安全日志、信息系統(tǒng)是否有訪問日志，系統(tǒng)數(shù)據是否定期備份。二是對那些可靠性要求高的系統(tǒng)是否采用服務器主機雙機熱備、磁盤陣列，甚至配備備用網絡，建立異地容災備份中心。三是是否制訂災難恢復計劃和災難恢復流程，建立災難預警、觸發(fā)、響應機制，組織相關培訓和演練，適時升級和維護災難恢復計劃。四是信息系統(tǒng)之間傳遞時的數(shù)據質量與安全，數(shù)據傳輸是否加密，外包服務人員是否有權登錄生產系統(tǒng)，系統(tǒng)開發(fā)、維護人員是否可以直接訪問系統(tǒng)數(shù)據庫。

（六）安全定級

對證券公司信息管理系統(tǒng)等系統(tǒng)安全等級進行級別定位（分為非常好、較好、一般、較差），檢查是否符合國家定級指南的要求及安全定級中存在的問題。

（七）信息系統(tǒng)運用控制

一是證券公司信息系統(tǒng)的界面輸入是否與業(yè)務吻合，數(shù)據的輸入是否在有效業(yè)務授權下進行，輸入的數(shù)據是否及時準確。二是系統(tǒng)處理數(shù)據是否有必要的控制措施保證數(shù)據處理的完整性和準確性。三是輸出的數(shù)據是否有足夠的措施保證輸出的完整性和準確性，是否對數(shù)據打印和導出進行控制，審查輸出各項報表的準確性，對外輸出接口數(shù)據的準確性，是否建立數(shù)據核查機制。四是系統(tǒng)業(yè)務流程設置與實際業(yè)務是否吻合，是否建立業(yè)務流程設置審核機制。五是系統(tǒng)參數(shù)維護是否有嚴格的審批，參數(shù)是否按相關文件要求來設置，系統(tǒng)參數(shù)設置權限管理是在業(yè)務部門還是在信息機構，系統(tǒng)是否有預警功能。檢查內容：對部分菜單進行輸出控制檢查，核對部分報表，指標等參數(shù)是否與證券管理部門規(guī)定的指標一致，查看業(yè)務藍圖與流程設置情況。

（八）系統(tǒng)生命周期

關注證券公司的信息系統(tǒng)開發(fā)維護能力，是否適應業(yè)務變化的需要。系統(tǒng)變更過程的規(guī)范化，是否有需求文檔、開發(fā)文檔、測試文檔、部署文檔等；變更過程對信息系統(tǒng)安全和數(shù)據安全的影響；變更過程中的訪問控制等。

二、具體實施步驟和方法

對證券公司信息系統(tǒng)審計可采用訪談法、調查問卷法、查閱資料法、流程圖檢查法、現(xiàn)場查看法、平行模擬法以及數(shù)據測試法等多種審計技術與方法。

（一）信息部門組織管理控制。通過與證券公司網絡信息部門進行訪談，說明審計的目的，列出需提供的資料清單和配合要求。詳細查閱相關制度和文件，在充分的調查和分析基礎上對信息部門組織管理控制作出客觀評價。

（二）內部信息系統(tǒng)與互聯(lián)網隔離控制。檢查員工使用的機器是否同時訪問業(yè)務系統(tǒng)和互聯(lián)網，辦公區(qū)IP地址是否自動獲取，通過互聯(lián)網接入專網是否有CA認證及數(shù)據簽名。

（三）服務器容災機制檢查。數(shù)據應轉變?yōu)榧挟惖卮娣牛詰獙ν话l(fā)事故的發(fā)生。

（四）物理環(huán)境安全審計。對證券公司主要機房進行實地調查，檢查機房建設、驗收資料和機房維護記錄等文檔。

（五）網絡安全控制。查閱網絡拓撲圖，設計方案、招投標文件、施工和竣工等文檔，現(xiàn)場查看、查閱維護記錄和運行日志，并與網絡管理員訪談，可借助網絡安全測試工具對網絡進行安全性檢測。

（六）邏輯安全控制。主要是查閱工作記錄和相關管理制度，并到信息訪問點進行隨機檢查和訪談，登陸系統(tǒng)界面進行實際測試等。

（七）數(shù)據與系統(tǒng)安全。查閱相關管理制度，查閱備份日志，查閱系統(tǒng)及數(shù)據庫日志，現(xiàn)場數(shù)據庫、操作系統(tǒng)和系統(tǒng)的管理權限，并進行與管理員訪談，對證券公司信息系統(tǒng)運行控制、數(shù)據與系統(tǒng)安全控制作出客觀評價。

（八）信息系統(tǒng)運用控制審計。查閱系統(tǒng)招投標文件、實施過程文檔、驗收文件、系統(tǒng)設置說明、系統(tǒng)配置文檔、操作手冊、維護記錄等相關文檔，并設計測試用例登陸系統(tǒng)進行測試，信息點調查用戶對系統(tǒng)的評價等。

（九）系統(tǒng)生命周期。查閱信息系統(tǒng)規(guī)劃，系統(tǒng)分析，系統(tǒng)設計，系統(tǒng)測試，系統(tǒng)實施，系統(tǒng)運行，系統(tǒng)維護，系統(tǒng)變更等相關文檔，并與項目負責人訪談，對證券公司信息系統(tǒng)生命周期作出客觀評價，并提出審計意見和建議。