精品文档对当前证券信息审计综述.docx

《精品文档对当前证券信息审计综述.docx》由会员分享，可在线阅读，更多相关《精品文档对当前证券信息审计综述.docx（4页珍藏版）》请在第一文库网上搜索。

1、对当前证券信息审计综述一是是否对信息系统和网络设备进行分区、分级管理,不同等级是否采取不同的安全措施。二是访问控制。机房对人员的控制,包括公司内部人员、外部人员进入机房是否有登记记录,清洁人员进入是否有登记记录,是否经过相关授权。信息系统的访问是否有申请和授权制度。普通用户是否经过授权访问业务系统。开发系统、生产系统是否隔离；开发人员与生产系统维护人员是否分离；信息系统开发人员是否经过授权访问业务系统。对访问内部网络的机器是否有控制,是否有身份认证；外部带入的电脑是否可以访问信息系统；同时访问内部系统和互联网的机器有没有隔离限制措施，内部机器是否不加控制上网;信息系统开发、维护外包的外部人员是

2、否签订保密协议。对重要的生产系统是否有更严格的访问控制。检查内容:进入机房登记表;信息系统申请授权表、访问授权的原则；员工机器认证制度,认证中心、保密协议等。三是网络安全/一您的专属秘书，中国最强免费文秘网！/措施。员工机器和信息系统主机是否安装防病毒软件、是否有防火墙、负载均衡设备;企业对内部和外部的网络攻击、病毒攻击、蠕虫攻击的监控情况,是否有监控记录和遇到攻击时的处理措施。各部门、分子公司间信息传递的渠道,是否直接通过互联网、即时通讯设备传递,数据是否有加密措施。检查内容:证券公司信息部门对客户机管理记录、网络安全记录,主要网络设备、信息系统主机的监控记录及安全应急预案。逻辑安全控制（审

3、计重点内容）对网络逻辑访问和系统逻辑访问是否进行有效控制。一是软件和数据接触。是否对登陆用户的口令、权限、分配的功能进行有效控制。检查内容:权限分配记录、口令设置、机密数据保护、磁盘、U盘使用管理情况等。二是数据加密机制。关键数据是否进行加密,加密算法是否进行有效管理。三是数据完整性。校验信息是否加密,是否进行检查,数字签名认证机构是否安全可靠。四是入侵检测系统。入侵检测系统是否能满足对于信息系统网络环境安全的需求,该系统与防火墙/路由器间的通信是否安全,系统中是否包含用于生成日常事件日志的工具和自动响应机制，是否能提供适当的安全保证。五是病毒和其他恶意代码。各个终端用户是否采取了防病毒策略，

4、系统中是否存在未授权的软件，防病毒软件是否能提供信息系统所需的安全保证。六是防火墙技术。防火墙是否能根据网络变化提供新的配置服务,是否能对数据包过滤进行检查，是否具有系统的分离特性,防火墙本身是否自带了审计工具,是否具有弱点探测的能力，是否具备报警与报告的能力。数据与系统安全一是主机是否有密码控制、主机的安全日志、信息系统是否有访问日志,系统数据是否定期备份。二是对那些可靠性要求高的系统是否采用服务器主机双机热备、磁盘阵列,甚至配备备用网络,建立异地容灾备份中心。三是是否制订灾难恢复计划和灾难恢复流程,建立灾难预警、触发、响应机制,组织相关培训和演练,适时升级和维护灾难恢复计划。四是信息系统之

5、间传递时的数据质量与安全，数据传输是否加密，外包服务人员是否有权登录生产系统,系统开发、维护人员是否可以直接访问系统数据库。安全定级对证券公司信息管理系统等系统安全等级进行级别定位（分为非常好、较好、一般、较差），检查是否符合国家定级指南的要求及安全定级中存在的问题。信息系统运用控制一是证券公司信息系统的界面输入是否与业务吻合,数据的输入是否在有效业务授权下进行,输入的数据是否及时准确。二是系统处理数据是否有必要的控制措施保证数据处理的完整性和准确性。三是输出的数据是否有足够的措施保证输出的完整性和准确性,是否对数据打印和导出进行控制，审查输出各项报表的准确性,对外输出接口数据的准确性，是否建

6、立数据核查机制。四是系统业务流程设置与实际业务是否吻合,是否建立业务流程设置审核机制。五是系统参数维护是否有严格的审批,参数是否按相关文件要求来设置,系统参数设置权限管理是在业务部门还是在信息机构,系统是否有预警功能。检查内容:对部分菜单进行输出控制检查,核对部分报表,指标等参数是否与证券管理部门规定的指标一致,查看业务蓝图与流程设置情况。系统生命周期关注证券公司的信息系统开发维护能力，是否适应业务变化的需要。系统变更过程的规范化,是否有需求文档、开发文档、测试文档、部署文档等;变更过程对信息系统安全和数据安全的影响;变更过程中的访问控制等。对证券公司信息系统审计可采用访谈法、调查问卷法、查阅

7、资料法、流程图检查法、现场查看法、平行模拟法以及数据测试法等多种审计技术与方法。信息部门组织管理控制。通过与证券公司网络信息部门进行访谈,说明审计的目的，列出需提供的资料清单和配合要求。详细查阅相关制度和文件,在充分的调查和分析基础上对信息部门组织管理控制作出客观评价。内部信息系统与互联网隔离控制。检查员工使用的机器是否同时访问业务系统和互联网，办公区IP地址是否自动获取,通过互联网接入专网是否有CA认证及数据签名。服务器容灾机制检查。数据应转变为集中异地存放，以应对突发事故的发生。物理环境安全审计。对证券公司主要机房进行实地调查,检查机房建设、验收资料和机房维护记录等文档。网络安全控制。查阅

8、网络拓扑图,设计方案、招投标文件、施工和竣工等文档,现场查看、查阅维护记录和运行日志，并与网络管理员访谈,可借助网络安全测试工具对网络进行安全性检测。逻辑安全控制。主要是查阅工作记录和相关管理制度，并到信息访问点进行随机检查和访谈，登陆系统界面进行实际测试等。数据与系统安全。查阅相关管理制度,查阅备份日志,查阅系统及数据库日志,现场数据库、操作系统和系统的管理权限,并进行与管理员访谈,对证券公司信息系统运行控制、数据与系统安全控制作出客观评价。信息系统运用控制审计。查阅系统招投标文件、实施过程文档、验收文件、系统设置说明、系统配置文档、操作手册、维护记录等相关文档，并设计测试用例登陆系统进行测试,信息点调查用户对系统的评价等。系统生命周期。查阅信息系统规划,系统分析,系统设计,系统测试,系统实施,系统运行,系统维护,系统变更等相关文档，并与项目负责人访谈,对证券公司信息系统生命周期作出客观评价,并提出审计意见和建议。