IT业务审计基础知识课程讲义vwu.docx
《IT业务审计基础知识课程讲义vwu.docx》由会员分享,可在线阅读,更多相关《IT业务审计基础知识课程讲义vwu.docx(42页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、交通银行IT业务审计 IT业务审计基础知识 随着计算机技术的高速发展,银行计算机应用也日新月异。目前我行计算机应用几乎涵盖了所有的银行业务,并依靠计算机技术的支持,不断创新银行业务。计算机应用的方式也从过去的单点单机处理方式逐步提高为全国大集中、24小时自助银行、核心业务系统处理的方式。因各种原因造成计算机应用系统不能正常运行从而导致银行业务停顿和资金损失的风险已经成为最重大的金融风险之一,因此确保银行计算机应用系统的安全可靠运行已显得尤为重要,加强对IT审计也就势在必行。第一章 IT业务审计的职责、审计范围和审计流程1.1 IT审计职责 1.1.1 总行IT审计职责总行现场审计五部负责全行I
2、T审计管理工作,其主要职责:(1)负责制订信息系统安全和电子渠道业务审计制度、手册和工作计划;(2)负责对全行信息系统安全和电子渠道业务的审计,包括对总行信息技术管理部、电子银行部、软件开发中心和数据处理中心内控管理及业务部门计算机安全应用方面的审计;(3)参与总行业务应用软件的开发审核,重点是软件程序风险控制的审核,软件投入应用前的测试、验收等;(4)对全行信息系统安全和电子渠道业务进行审计并作出评价;评估各计算机业务处理系统在实现内部控制制度各个环节方面的控制能力及可审计性,发现薄弱环节及时向有关部门提出建议。(5)对地区和省直分行所在地城市审计部,信息系统安全审计工作进行指导,并对其报送
3、的信息系统专项审计报告进行审阅,提出意见;(6)组织和实施全行性的信息系统和电子渠道业务审计;(7)负责省直分行及部分省辖行IT业务及电子渠道业务现场审计;(8)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息,撰写IT业务和电子渠道业务审计分析报告和工作总结等。(9)负责审计支持系统管理、运行维护工作。1.1.2 地区审计部IT审计职责地区审计部分为华北、华东、华南、华西和东北审计部,作为总行审计部在各地区的延伸机构,接受总行审计部的领导和管理,对地区审计部监管范围城市审计部实行领导和管理。其IT审计主要职责如下:(1)地区审计部按照总行审计部的要求开展IT审计工作,代表总行审计部对所监
4、管机构开展IT审计监督活动;(2)按照总行审计部制定的IT审计工作制度和工作安排,研究制订地区审计部的具体实施细则和工作计划,并组织实施;(3)负责对辖内行IT审计工作的领导和管理,进行IT审计工作的考核和评价;(4)对监管范围内省辖行的IT业务和电子渠道业务风险控制状况进行审计;(5)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息以及各类分析报告和工作总结等,并上报总行审计部。1.2 IT审计范围按照商业银行风险导向审计原则,IT审计包含科技应用和电子渠道业务相关风险控制内容,其审计范围如下: (1)信息安全策略与制度。检查网络、系统、应用、环境设施和电子渠道业务等方面的管理制度制订及
5、执行情况。检查安全策略合理性、完整性,检查是否根据总行相关规定制定相应的实施细则,是否覆盖所有相关工作。(2)安全组织。检查信息安全机构和人员配置、职责及工作情况。检查安全机构工作的有效性。检查人员安全保密职责、安全培训等内容。(3)信息资产的分类与控制。检查信息资产的使用与管理。检查相应的管理办法和管理流程。(4)物理与环境安全。检查放置设备的物理环境建设,包含机房门禁、供电、空调、消防、监控等方面安全管理和维护情况。(5)通信与运营管理。检查系统运行、监控、故障处理以及数据备份等方面的安全管理。(6)访问控制。检查生产系统、网络通讯、操作系统、应用程序等方面的访问控制情况。(7)系统的开发
6、与维护。检查应用系统开发的立项、安全需求、测试、系统文件安全、开发控制等方面的安全情况。(8)业务连续性计划。检查业务连续性计划管理程序,包含计划组织、管理、计划演练和更新等方面情况。(9)符合性。检查信息系统的设计、运行、使用和管理等方面是否符合现行的法律规定以及合同约定的安全要求。(10)电子渠道业务风险管理。检查电子银行风险管理体系和内部控制体系。(11)网上银行业务风险管理。检查企业网上银行、个人网上银行和网上支付业务操作流程、岗位制约等风险控制情况。(12)自助渠道业务风险管理。检查自助银行、POS和电话银行业务操作流程、风险防范等方面控制情况。(13)太平洋卡制作和使用管理情况。1
7、.3 IT审计流程 IT审计工作程序可划分四个阶段:审计准备阶段、审计实施阶段、审计总结阶段和审计追踪阶段。审计准备阶段工作主要包含:收集分析与现场审计范围相关的各类资料和数据,查找审计的可疑点,确定审计重点,制定审计方案,召开审计前准备会议,审计方案审批,发出审计通知书等。审计实施阶段工作主要包含:进入现场,采取与分行相关人员会谈沟通、问卷调查、数据分析、资料查证、现场检查等多种方式进行审计,审计完毕,根据发现的问题撰写审计问题底稿,与相关部门人员沟通发现的问题,整理、汇总检查发现的问题,并请相关人员签字确认问题底稿,审计结束后,向分行领导和相关部门人员反馈审计中发现的主要问题。审计总结阶段
8、工作主要包含:根据审计标准程式,对审计对象进行评分,并作总体评价;召开审计分析会,对发现的问题进行剖析,并对确定问题的风险级别;撰写审计报告,经二级部高级经理审核,并经审计部领导审批后发送分行。对于风险级别较高的问题,形成专项报告,以审计情况等专报形式提交给总行高管层,同时抄送总行相关管理部门。审计追踪阶段工作主要包含:对于各级部门审计发现的问题整改情况进行跟踪,定期跟踪被审计对象的内控管理,形成持续的监控。1.4 IT审计准备工作现场审计进场前的准备工作是现场审计的前提和基础,随着我行大集中系统建成和推广,现场审计前需不断地与被审计单位沟通,调阅审计期间的相关资料,进行分析;同时,通过审计分
9、析工具对数据进行筛选、归类、分析。现场审计准备工作主要包含:收集分析与现场审计范围相关的各类资料和数据,查找审计的可疑点,确定审计重点,制定审计方案,召开审计前准备会议,审计方案审批,发出审计通知书等。 现场审计进场前准备工作主要由主审人负责 1.4.1 资料收集审计前需收集被审计单位相关资料如下:(1)收集被审计单位的信息科技和电子渠道业务相关的管理制度、规定; (2)信息系统安全管理和电子渠道业务组织架构及其人员名单。填写人员岗位及职责分工表(见附表); (3)年度计划和工作总结,安全领导小组会议记录;(4)对内日常监督检查报告,外审审计报告以及整改落实情况;(5)填写应用系统调查表(见附
10、表),对使用的应用系统环境进行调查;(6)网络拓扑结构图,IP地址分配规则表,VLAN划分控制表和网络安全设计说明; (7)分行自行开发的特色业务系统及其运行环境,与第三方网络通讯和访问控制的安全策略;(8)中心机房内主要物理设备及附属设施的维修保养资料; (9)主要业务系统应急方案和演练记录。附表1应用系统调查表被调查单位: 填表日期:200 年 月 日 填表人: 序号应用系统运行环境应用系统维护人员备注名称使用单位开发单位操作系统数据库系统中间件名称版本名称版本名称版本填表说明:填表内容包含主机系统、各类业务前置机和监控系统上运行的所有应用系统。附表2人员岗位及职责分工表被调查单位: 填表
11、日期:200 年 月 日 填表人:序号姓名岗位管理的内容备注主管内容兼管内容 填表说明:该表包含电脑部门所有人员,每人信息填写一行。 1.4.2 审计准备会 在现场审计方案草拟后,分管总经理组织审计小组成员,召开审计准备会。会议重点是听取现场审计方案的汇报,研究被审计对象的信息系统管理、安全和电子渠道业务等方面内部控制、风险管理情况,并对问题疑点、线索及异常情况进行分析,讨论审计方案,确定具体审计内容。 1.4.3 审计通知书根据审计准备会议的讨论情况和会议决定,组织现场审计组落实审计准备会议决定的事项,并对现场审计方案进行修改和完善。拟写审计通知书,审计通知书包括:审计小组人员、审计时间、审
12、计范围和审计主要内容,以及需被审计单位提供的资料清单。完成审计方案和审计通知后,按照发文程序报总经理批准,并发送审计通知。 1.5 IT审计方案 现场审计组成员根据收集的资料和数据,分析资料和数据,了解被审计单位的管理和系统安全运行状况,对其进行初步评估,根据风险导向原则,判断被审计对象可能存在的风险领域、重点和可疑点,主审人根据可能存在的风险制定审计方案。IT现场审计方案的内容一般包括:审计依据、审计目的、审计范围、审计时间、审计内容、审计重点、审计方法、审计标准,以及审计人员分工和职责等。1.5 .1 IT审计依据审计依据包括:年度审计部工作计划,交通银行内部控制评价办法,交通银行审计标准
13、程式的附件7信息系统安全,电子渠道业务审计要点,国家相关部门制订的有关信息系统和电子渠道业务的法规、管理制度、规定、办法和指引,交通银行制订的信息系统和电子渠道业务的各项规章制度。1.5 .2 IT审计方式 审计方式有多重形式,根据现场审计情况的不同,采取不同的审计方式,一般IT审计方式包括:与分行相关人员会谈沟通、问卷调查、数据分析、资料查证、现场检查等多种方式进行。1.5 .3 IT审计内容 IT审计内容主要由信息系统安全和电子渠道业务两大部分组成。信息系统安全审计内容包括:制度制定与执行、安全组织管理、信息资产管理、机房环境设施、通讯与运营维护管理、访问控制、系统开发、业务连续性管理和符
14、合性。 电子渠道业务审计内容包括:组织与制度建设、电子渠道风险管理、企业网上银行、个人网上银行、自助银行、POS系统、电话银行、第三方服务管理、业务应急管理、数据备份管理等方面。根据每次审计要求与被审计对象情况,可以选择全部或部分内容作为本次审计内容。第二章 IT审计的基本内容2.1 安全策略审计其目标是确保我行拥有明确的信息安全方针以及配套的策略和制度,以实现对信息安全工作的支持和承诺。同时,保证信息安全的资金投入。信息安全的方针策略是在交通银行策略下,由交通银行业务策略、交通银行安全策略、交通银行IT策略衍生出来交通银行IT安全策略。2.1.1 安全策略的制定IT安全策略制定:制定全面、详
15、细、完整的信息安全策略和规范;信息安全策略应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。信息安全策略的下发:信息安全策略和安全职能要求应以适当的方式传达给所属所有机构、部门和分支行。2.1.2安全策略的执行信息安全策略的执行:银行所有员工应充分理解信息科技风险管理制度和流程,熟悉了解信息安全策略目标和各自岗位的信息安全要求,并参照执行。按期完成信息安全策略中制订的安全目标或承诺(如提供人、财、物以及管理等方面的支持);安全管理人员是否能阐明实现信息安全的
16、途径和办法。各机构和各岗位人员应严格遵从信息安全策略、规范、操作流程等各项规章制度。目标的总结和评价:安全管理人员应清晰阐明实现信息安全目标的途径办法及措施。相关职能部门应定期核实并评价全行,信息技术部门及安全员等不同层面的年度工作计划中应包含信息安全目标的预期和完成情况。2.1.3日常检查工作监督管理:总行信息技术管理部应对各分行、省分行对辖内省辖分行、以及各网点支行应行使有效监督管理的职能。信息安全检查:信息技术部门及安全员应定期进行安全检查(包含省辖行,分行技术部,各网点),应有详细的检查报告;对安全检查的结果应进行后续风险评估,建立问题跟踪和后评估机制,相关文档资料应齐全详细。对审计问
17、题的评估和整改:根据外部独立机构检查、审计信息系统安全的报告,应对第三方信息安全的评价情况和提出的问题建议进行风险评估。针对各类信息系统安全的审计和检查情况,结合自身实际情况的评估,制定相应的整改措施进行有效整改。对可接受的风险应进行进一步评估和说明。2.2 组织与人员审计组织与人员审计其目标就是保证安全工作的人力资源要求。避免由于人员和组织上的错误产生的信息安全风险。2.2.1组织架构交通银行信息安全保障领导小组是交通银行信息系统安全管理的领导机构。信息技术管理部是信息安全保障主管部门,承担信息安全领导小组办公室职能,同时下设信息安全管理部,负责信息安全保障日常事务工作。信息安全保障领导小组
18、的工作职责是:领导全行信息安全保障工作,研究信息安全保障的形势和策略,部署信息安全保障任务,审查信息安全保障规划和信息安全保障重大项目方案,检查重要业务应用系统、核心网络系统的应急预案及落实情况,处理重大信息安全事件,定期召开工作例会,听取关于信息安全方面的情况报告。各省直分行和省辖分行均应成立信息安全保障领导小组,并向总行信息技术管理部报备。分行信息安全保障领导小组是本行信息系统安全管理的领导机构。分行信息科技部门安全管理职能机构(信息安全科)的主要职责:(1)在本行信息安全保障领导小组的领导与指导下,贯彻执行上级行信息安全保障领导小组的决议,承担信息安全管理的日常事务工作;(2)定期向领导
19、小组及上级行报告本行的信息安全状况,对存在的问题进行分析以及提出解决问题的建议,供领导决策参考;(3)在遵从总行的安全管理规定和安全策略的情况下,制定本行的安全管理制度和实施细则,检查、指导和监督各项安全制度的执行;贯彻执行上级行制定的计算机安全保护规范及实施方案,确保本行信息系统安全;(4)定期向上级行提交信息安全检查报告,对存在的问题进行汇总分析,提出整改措施,落实整改意见,跟踪整改工作的完成情况;(5)参与本行计算机信息系统工程建设中的安全规划和方案研究,监督安全措施的执行,确保应用开发环节中的信息安全;(6)组织本行信息安全技术培训和宣传工作。 2.2.2角色和责任 明确信息安全相关岗
20、位的角色和职责,其目标是降低由于信息安全的角色和责任混乱导致的人为错误、盗窃、诈骗或设备误用等产生的风险。总行机构设立主管信息安全的管理部门和相应人员;省直分行成立信息安全科并设置专职信息安全员;省辖行设置专职或兼职信息安全员,负责分行信息安全的日常管理工作;同时应有安全工作计划,定期开展工作,并有相应的文档资料。各机构对全行信息系统确定一个总的安全责任人,对全行信息系统的安全负主要责任;对全行每一个信息系统(软件、硬件)确定一个责任人,对该信息系统的安全运行负主要责任。专(兼)职信息安全员应履行以下职责:(1)负责信息安全管理的日常工作;(2)开展信息安全检查工作,对要害岗位人员安全工作进行
21、指导;(3)开展信息安全知识的培训和宣传工作;(4)监控信息系统安全总体状况,提出安全分析报告;(5)了解行业动态,为改进和完善信息安全管理工作,提出安全防范建议;(6)及时向本行信息安全保障领导小组和有关部门、单位报告信息安全事件;(7)参与本行计算机信息系统工程建设中的安全规划和方案研究,监督安全措施的执行,确保应用开发环节中的信息安全;(8)负责在授权范围内的其它管理、维护工作。科技人员配置:加强信息科技专业队伍的建设。各机构的信息科技人员配置应合理有效,符合内部控制要求。重要岗位应有角设置,关键业务操作(如:重要密码的输入、重要参数的修改等)应采用双人进行。 2.2.3安全教育和培训其
22、目标是确保全体安全参与者都意识到信息安全的威胁和利害关系,并具有在日常工作过程中支持组织安全方针的能力。各级行应定期组织对本行信息安全员的技术培训、管理培训和考核。组织本机构信息系统人员进行有关业务、技术和安全培训。定期对技术人员进行信息安全的教育培训,如防病毒、网络攻击等培训。所有与信息系统相关的员工应定期接受适当的安全培训,包括法规教育,安全知识教育和职业道德教育等信息安全培训。 2.2.4人员安全人员安全包含安全责任、人员录用、保密协议等方面内容员工工作职责:对信息技术人员应有明确的工作职责和岗位操作规程;应将有关重要工作进行职责分离(如:开发人员与生产维护人员分开,系统管理人员与网络管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 业务 审计 基础知识 课程 讲义 vwu
限制150内