详谈信息科技风险评估审计.pdfVIP

详谈信息科技风险评估审计 北京时代新威信息技术有限公司 王辛杰 在时下经济迅速发展，经济环境日新月异的形势下，银 行业经营环境也产生翻天覆地的变化，以往传统的手工审计 模式无论从效率上还是质量上都已经无法满足银行内部急 剧膨胀的业务信息以及不断复杂的业务流程。在此需求的基 础上，北京时代新威信息技术有限公司自主研发了信息科技 风险评估审计管理系统，在建设中充分考虑到现代商业银行 内部审计工作的特性，引入风险导向审计理念，以风险矩阵 的审计问题库为主线，根据业务监控预警、风险识别分析、 规范管理的要求，整合资源、系统规划、科学设计、严密分 析，力求使本系统具有完备的数据平台以及数据分析与预警 监测、辅助决策、审计管理和统计查询等诸多功能。 本文就是根据北京时代新威信息技术有限公司 （以下简 称“时代新威”）研发的信息科技风险评估审计重要组成点 进行详细的分析，结合银行业金融机构的内部和外部审计机 构按评价审计要点确定审计目标和范围，制定审计计划、实 施审计行为并提供审计报告。建设一个良好的信息科技风险 评估审计机制，在满足全面风险监管要求的同时，构建全面、 动态、主动的风险防御体系，也成为商业银行审计稽核部门 工作的重中之重。 一、信息科技治理和组织结构 目的：确立信息科技治理、组织结构和相关权责，使董 事会、独立的审计部门和相关业务部门定期借助于真实业务 数据和使用效果识别和明确信息系统操作的实施效果；时代 新威在充分考虑银行业金融机构及其服务供应各方的变化 的基础上，采取有针对性措施加强信息科技风险评估审计的 信息科技治理和组织结构。 (一)制度建设 1、信息科技管理制度体系的建设情况； 2 ．已发布实施的主要制度规章和管理办法； 3 ．管理制度规章和管理办法的制定、审批和修订流程． (二)组织结构 1．信息科技管理的领导和决策机构设置，其职能和工作机 制； 2 ．长期和短期信息科技发展规划的制定、审批和修订； 3 ．信息科技部门的设置、职责和相互关系，重点包括：系 统开发、技术支持、系统操作维护和系统安全； 4 ．专门的技术风险管理部门设置，其职责和工作机制； 5 ．技术风险审计部门或岗位设置，审计频率以及问题纠正 机制情况； 6 ．信息科技人员的专业素质和培训情况； 7 ．信息科技风险内部审计人员的素质和培训情况。 二、信息安全管理 目的：时代新威充分考虑与信息科技风险评估审计相关 的风险，维护金融业务的正常操作：保证被认可的用户能够 通过科学高效的系统架构、操作流程和管理措施迅速地访问 所需信息；确保数据和系统的完整性、机密性和稳定性等。 (一)信息安全基本要求 l. 信息安全工怍的基本原则、基本规划； 2. 信息安全管理的流程、组织架构和职责分配； 3 ．信息安全的技术体系； 4. 信息安全风险评估和分级控制； 5 ．信息安全的教育培训，包括法规教育、安全知识教育和 职业道德教育等。 二)逻辑访问的风险与控制 1．访问控制原则； 2 ．访问授权的授权与核准； 3. 逻辑访问风险的定义、分类和应对措施； 4 ．访问控制软件的使用情况； 5 ．磁卡、钥匙和口令密码等重要身份凭证的管理。 (三) 网络安全控制 1．内网的安全管理(Intranet 的接入安全) ； 2 外网的安全管理(Internet 和 Extranet 的接入安全) ； 3 ．加密技术应用和私钥的管理： 4 ．防火墙的设置、维护和管理： 5 ．入侵检测系统。 四)信息科技风险评估环境的风险和控制 1．消防及防水设施： 2 ．不间断电源保护： 3 ．人员疏散计划和通道。 (五)物理访问的风险与控制 1．出入通道锁具的可靠性： 2. 摄像监测设施、警报系统和警卫配备； 3 ．访客、外包服务人员、勤务人员出入管理规定； 4 ．入口数量控制； 5 ．计算机终端无人看管时的锁定； 6 ．敏感性设施及场所的标识隐匿； 7 ．文件柜的锁定和监控． (六)软件的风险与控制 1．软件的病毒防护和管理； 2 ．软件的升级和补丁管理； 3 ．软件使用许可和授权管理。 三、信息科技项目开发和变更管理 目的：时代新威主要是为了提高信息科技风险评估审计 的管理效率，实现信息科技对主体业务发展的有效支持保证 信息科技与企业战略的协调一致。 (一)项目开发管理 1．项目管理的主要规章制度，包括：项目的审批流程，参 与部门的职责划分、时间进度