論當前證券信息審計綜述論文

一是是否對信息系統和網絡設備進行分區、分級管理，不同等級是否採取不同的安全措施。二是訪問控制。機房對人員的控制，包括公司內部人員、外部人員進入機房是否有登記記錄，清潔人員進入是否有登記記錄，是否經過相關授權。信息系統的訪問是否有申請和授權制度。普通用户是否經過授權訪問業務系統。開發系統、生產系統是否隔離；開發人員與生產系統維護人員是否分離；信息系統開發人員是否經過授權訪問業務系統。對訪問內部網絡的機器是否有控制，是否有身份認證；外部帶入的電腦是否可以訪問信息系統；同時訪問內部系統和互聯網的機器有沒有隔離限制措施，內部機器是否不加控制上網；信息系統開發、維護外包的外部人員是否簽訂保密協議。對重要的生產系統是否有更嚴格的訪問控制。檢查內容：進入機房登記表；信息系統申請授權表、訪問授權的原則；員工機器認證制度，認證中心、保密協議等。三是網絡安全措施。員工機器和信息系統主機是否安裝防病毒軟件、是否有防火牆、負載均衡設備；企業對內部和外部的網絡攻擊、病毒攻擊、蠕蟲攻擊的監控情況，是否有監控記錄和遇到攻擊時的處理措施。各部門、分子公司間信息傳遞的渠道，是否直接通過互聯網、即時通訊設備傳遞，數據是否有加密措施。

檢查內容：證券公司信息部門對客户機管理記錄、網絡安全記錄，主要網絡設備、信息系統主機的監控記錄及安全應急預案。邏輯安全控制（審計重點內容）對網絡邏輯訪問和系統邏輯訪問是否進行有效控制。一是軟件和數據接觸。是否對登陸用户的口令、權限、分配的功能進行有效控制。檢查內容：權限分配記錄、口令設置、機密數據保護、磁盤、U盤使用管理情況等。二是數據加密機制。關鍵數據是否進行加密，加密算法是否進行有效管理。[：請記住我站域名/]三是數據完整性。校驗信息是否加密，是否進行檢查，數字簽名認證機構是否安全可靠。四是入侵檢測系統。入侵檢測系統是否能滿足對於信息系統網絡環境安全的需求，該系統與防火牆/路由器間的通信是否安全，系統中是否包含用於生成日常事件日誌的工具和自動響應機制，是否能提供適當的安全保證。五是病毒和其他惡意代碼。各個終端用户是否採取了防病毒策略，系統中是否存在未授權的軟件，防病毒軟件是否能提供信息系統所需的安全保證。六是防火牆技術。防火牆是否能根據網絡變化提供新的配置服務，是否能對數據包過濾進行檢查，是否具有系統的分離特性，防火牆本身是否自帶了審計工具，是否具有弱點探測的能力，是否具備報警與報告的能力。數據與系統安全一是主機是否有密碼控制、主機的安全日誌、信息系統是否有訪問日誌，系統數據是否定期備份。二是對那些可靠性要求高的系統是否採用服務器主機雙機熱備、磁盤陣列，甚至配備備用網絡，建立異地容災備份中心。三是是否制訂災難恢復計劃和災難恢復流程，建立災難預警、觸發、響應機制，組織相關培訓和演練，適時升級和維護災難恢復計劃。四是信息系統之間傳遞時的數據質量與安全，數據傳輸是否加密，外包服務人員是否有權登錄生產系統，系統開發、維護人員是否可以直接訪問系統數據庫。安全定級對證券公司信息管理系統等系統安全等級進行級別定位（分為非常好、較好、一般、較差），檢查是否符合國家定級指南的要求及安全定級中存在的問題。信息系統運用控制一是證券公司信息系統的`界面輸入是否與業務吻合，數據的輸入是否在有效業務授權下進行，輸入的數據是否及時準確。二是系統處理數據是否有必要的控制措施保證數據處理的完整性和準確性。三是輸出的數據是否有足夠的措施保證輸出的完整性和準確性，是否對數據打印和導出進行控制，審查輸出各項報表的準確性，對外輸出接口數據的準確性，是否建立數據核查機制。四是系統業務流程設置與實際業務是否吻合，是否建立業務流程設置審核機制。五是系統參數維護是否有嚴格的審批，參數是否按相關文件要求來設置，系統參數設置權限管理是在業務部門還是在信息機構，系統是否有預警功能。檢查內容：對部分菜單進行輸出控制檢查，核對部分報表，指標等參數是否與證券管理部門規定的指標一致，查看業務藍圖與流程設置情況。系統生命週期關注證券公司的信息系統開發維護能力，是否適應業務變化的需要。系統變更過程的規範化，是否有需求文檔、開發文檔、測試文檔、部署文檔等；變更過程對信息系統安全和數據安全的影響；變更過程中的訪問控制等。

對證券公司信息系統審計可採用訪談法、調查問卷法、查閲資料法、流程圖檢查法、現場查看法、平行模擬法以及數據測試法等多種審計技術與方法。信息部門組織管理控制。通過與證券公司網絡信息部門進行訪談，説明審計的目的，列出需提供的資料清單和配合要求。詳細查閲相關制度和文件，在充分的調查和分析基礎上對信息部門組織管理控制作出客觀評價。內部信息系統與互聯網隔離控制。檢查員工使用的機器是否同時訪問業務系統和互聯網，辦公區IP地址是否自動獲取，通過互聯網接入專網是否有CA認證及數據簽名。服務器容災機制檢查。數據應轉變為集中異地存放，以應對突發事故的發生。物理環境安全審計。對證券公司主要機房進行實地調查，檢查機房建設、驗收資料和機房維護記錄等文檔。網絡安全控制。查閲網絡拓撲圖，設計方案、招投標文件、施工和竣工等文檔，現場查看、查閲維護記錄和運行日誌，並與網絡管理員訪談，可藉助網絡安全測試工具對網絡進行安全性檢測。邏輯安全控制。主要是查閲工作記錄和相關管理制度，併到信息訪問點進行隨機檢查和訪談，登陸系統界面進行實際測試等。數據與系統安全。查閲相關管理制度，查閲備份日誌，查閲系統及數據庫日誌，現場數據庫、操作系統和系統的管理權限，並進行與管理員訪談，對證券公司信息系統運行控制、數據與系統安全控制作出客觀評價。信息系統運用控制審計。查閲系統招投標文件、實施過程文檔、驗收文件、系統設置説明、系統配置文檔、操作手冊、維護記錄等相關文檔，並設計測試用例登陸系統進行測試，信息點調查用户對系統的評價等。系統生命週期。查閲信息系統規劃，系統分析，系統設計，系統測試，系統實施，系統運行，系統維護，系統變更等相關文檔，並與項目負責人訪談，對證券公司信息系統生命週期作出客觀評價，並提出審計意見和建議。