前言：本站為你精心整理了信息審計(jì)在金融機(jī)構(gòu)的實(shí)踐范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

本文作者：杜寧寧趙慶亮作者單位：國(guó)家開發(fā)銀行

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展，金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長(zhǎng)的態(tài)勢(shì)，信息傳遞的方式和渠道急劇增加，在為金融機(jī)構(gòu)帶來(lái)收益和效率的同時(shí)，也使信息安全問(wèn)題更加凸顯。在全球范圍內(nèi)，信息安全事件頻發(fā)，給銀行和客戶造成經(jīng)濟(jì)損失的同時(shí)，也帶來(lái)了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平，成為銀行關(guān)注的焦點(diǎn)。信息安全審計(jì)作為信息安全保障工作中的重要一環(huán)，能夠促進(jìn)信息安全控制措施的落實(shí)，規(guī)范信息安全管理，提高全員信息安全意識(shí)，從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國(guó)家標(biāo)準(zhǔn)GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應(yīng)包括四個(gè)階段：一是規(guī)劃和建設(shè)階段（Plan，簡(jiǎn)稱“P階段”）；二是實(shí)施和運(yùn)行階段（Do，簡(jiǎn)稱“D階段”）；三是監(jiān)視和評(píng)審階段（Check，簡(jiǎn)稱“C階段”）；四是保持和改進(jìn)（Act，簡(jiǎn)稱“A階段”）。這四個(gè)階段按順序循環(huán)往復(fù)，從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱為“PDCA循環(huán)”，如圖1所示。

經(jīng)過(guò)近十幾年的努力，金融行業(yè)信息安全保障工作已經(jīng)普遍走過(guò)了“P階段”和“D階段”，金融行業(yè)的信息安全需求已基本明確，滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過(guò)大范圍的規(guī)劃建設(shè)，各金融機(jī)構(gòu)已經(jīng)建立了相對(duì)完備的信息安全軟硬件環(huán)境，初步形成了信息安全保障體系。盡管如此，作為關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè)，金融行業(yè)對(duì)信息安全有著更高的要求，也面臨著更大的信息安全風(fēng)險(xiǎn)挑戰(zhàn)。近年來(lái)，金融行業(yè)頻繁發(fā)生的信息安全事件表明，金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多，其中一個(gè)重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行，而忽視了信息安全工作的檢查和改進(jìn)。從整體上看，金融行業(yè)信息安全保障工作已經(jīng)走過(guò)“P階段”和“D階段”，尚未進(jìn)入“C階段”和“A階段”，還沒(méi)有形成完整的基于“PDCA”過(guò)程方法的持續(xù)改進(jìn)機(jī)制。接下來(lái)金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計(jì)是“C階段”的主要手段。它利用傳統(tǒng)財(cái)務(wù)審計(jì)和審計(jì)工作的規(guī)范與嚴(yán)謹(jǐn)，結(jié)合信息和保密技術(shù)的工具與手段，對(duì)金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計(jì)結(jié)論，并根據(jù)審計(jì)結(jié)果，對(duì)金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。

為了對(duì)商業(yè)銀行信息科技整個(gè)生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求，滿足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要，銀監(jiān)會(huì)2009年了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，其中第六十五條規(guī)定：“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。”

二、國(guó)內(nèi)外信息安全審計(jì)現(xiàn)狀

（一）國(guó)外信息安全審計(jì)發(fā)展與現(xiàn)狀

在建立信息安全審計(jì)制度，開展信息安全審計(jì)研究方面，美國(guó)走在了世界前列。早在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí)，美國(guó)就開始提出系統(tǒng)審計(jì)（SYSTEMAUDIT）概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA），1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA），總部設(shè)在美國(guó)芝加哥。自1978年以來(lái)，由ISACA發(fā)起的注冊(cè)信息系統(tǒng)審計(jì)師（CISA）認(rèn)證計(jì)劃已經(jīng)成為涵蓋信息系統(tǒng)審計(jì)、控制與安全等專業(yè)領(lǐng)域的被廣泛認(rèn)可的標(biāo)準(zhǔn)。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人。

1999年，美國(guó)國(guó)家審計(jì)署（GAO）《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》（第一版），為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供基本準(zhǔn)則和方法。2001年，GAO《聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南》，用于為美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)提供具體指導(dǎo)；2009年，GAO《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》（第二版），該手冊(cè)成為現(xiàn)階段美國(guó)聯(lián)邦政府實(shí)施信息安全審計(jì)的事實(shí)標(biāo)準(zhǔn)。

近年來(lái)，美國(guó)通過(guò)立法賦予信息安全審計(jì)新的意義，并對(duì)企業(yè)實(shí)施信息安全審計(jì)產(chǎn)生重大影響。2002年，美國(guó)安然公司和世通財(cái)務(wù)欺詐案爆發(fā)后，美國(guó)國(guó)會(huì)和政府緊急通過(guò)了《薩班斯——奧克斯利法案》（Sarbanes-OxleyAct，簡(jiǎn)稱薩班斯法案）。薩班斯法案第302條款和第404條款明確要求“，通過(guò)內(nèi)部控制加強(qiáng)公司治理，包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制，而信息安全審計(jì)正是IT系統(tǒng)內(nèi)部控制的核心。”2006年底生效的《巴塞爾新資本協(xié)議（》BaselII），要求全球銀行必須針對(duì)其市場(chǎng)、信用及營(yíng)運(yùn)等三種金融作業(yè)風(fēng)險(xiǎn)提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備，迫使各銀行必須做好風(fēng)險(xiǎn)控管，而這一“金融作業(yè)風(fēng)險(xiǎn)”的防范也正是需要業(yè)務(wù)信息安全審計(jì)為依托。

近一段時(shí)期，以美國(guó)、加拿大、澳大利亞為主的西方國(guó)家，針對(duì)不同的組織機(jī)構(gòu)，以不同的信息安全審計(jì)方式，卓有成效地開展了包括信息系統(tǒng)計(jì)劃與技術(shù)構(gòu)架、信息安全保護(hù)與災(zāi)難恢復(fù)、軟件系統(tǒng)開發(fā)、獲得、實(shí)施及維護(hù)、商業(yè)流程評(píng)估及風(fēng)險(xiǎn)管理等方面的信息安全審計(jì)。

具體來(lái)說(shuō)，針對(duì)各類企業(yè)的信息安全審計(jì)，采取了以內(nèi)部審計(jì)為主，從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過(guò)渡，一般控制審計(jì)與應(yīng)用控制審計(jì)相結(jié)合的方式；針對(duì)政府機(jī)構(gòu)的信息安全審計(jì)，強(qiáng)調(diào)外部審計(jì)與政府內(nèi)部審計(jì)結(jié)合，融入績(jī)效預(yù)算管理體系，關(guān)注系統(tǒng)最終效果。

在亞洲，日本的信息安全審計(jì)始于20世紀(jì)80年代。1983年，通產(chǎn)省公開發(fā)表了《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》，并在全國(guó)軟件水平考試中增加了“系統(tǒng)審計(jì)師”一級(jí)的考試，著手培養(yǎng)從事信息系統(tǒng)審計(jì)的骨干隊(duì)伍。近幾年，東南亞各國(guó)也開始制定電子商務(wù)法規(guī)，成立專門機(jī)構(gòu)開展信息系統(tǒng)審計(jì)業(yè)務(wù)，并制定技術(shù)標(biāo)準(zhǔn)。

（二）我國(guó)信息安全審計(jì)發(fā)展與現(xiàn)狀

近年來(lái)，我國(guó)的信息安全審計(jì)日益受到重視，審計(jì)署以及一些大型國(guó)有銀行也相繼開展了信息安全方面的審計(jì)工作。信息系統(tǒng)審計(jì)規(guī)范的研究和制定方面，我國(guó)已建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系，但在信息系統(tǒng)及信息安全審計(jì)方面，雖有《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》（中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年）以及審計(jì)署對(duì)信息系統(tǒng)審計(jì)相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究，但尚未形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

三、金融行業(yè)信息安全審計(jì)組織與實(shí)施

金融行業(yè)的信息安全審計(jì)（InformationSecurityAudit），是指金融機(jī)構(gòu)為了掌握其信息安全保障工作的有效性，根據(jù)事先確定的審計(jì)依據(jù)，在規(guī)定的審計(jì)范圍內(nèi)，通過(guò)文件審核、記錄檢查、技術(shù)測(cè)試、現(xiàn)場(chǎng)訪談等活動(dòng)，獲得審計(jì)證據(jù)，并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定被審計(jì)對(duì)象滿足審計(jì)依據(jù)的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。金融機(jī)構(gòu)可以單獨(dú)實(shí)施信息安全審計(jì)，也可以將信息安全審計(jì)作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實(shí)施。如IT審計(jì)、信息安全等級(jí)保護(hù)建設(shè)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系建設(shè)等。審計(jì)的工作流程和內(nèi)容大致包括六個(gè)方面的活動(dòng)（如圖2所示）。

1．確定審計(jì)目的和范圍。金融機(jī)構(gòu)實(shí)施信息安全審計(jì)，首先要明確審計(jì)目的，確定審計(jì)范圍。審計(jì)目的是信息安全審計(jì)工作的出發(fā)點(diǎn)。審計(jì)目的可以從滿足監(jiān)管部門的要求、滿足信息安全國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的要求、滿足機(jī)構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計(jì)目的，然后要確定審計(jì)范圍。審計(jì)范圍是影響審計(jì)工作量的一個(gè)重要因素。確定審計(jì)范圍，可以從組織機(jī)構(gòu)考慮，如僅對(duì)個(gè)別部門實(shí)施審計(jì)，或者在組織全部范圍實(shí)施審計(jì)；也可以從業(yè)務(wù)和系統(tǒng)角度考慮，如僅對(duì)核心系統(tǒng)實(shí)施審計(jì)，或者僅對(duì)信貸業(yè)務(wù)實(shí)施審計(jì)等。

2.明確審計(jì)依據(jù)。審計(jì)依據(jù)就像一把“尺子”，審計(jì)人員用它來(lái)衡量信息安全工作的“長(zhǎng)短”。審計(jì)目的不同，審計(jì)依據(jù)就可能不同，如表1中所示。

3.組建審計(jì)組。審計(jì)組是具體實(shí)施信息安全審計(jì)工作的基本組織單位，應(yīng)由審計(jì)組長(zhǎng)和審計(jì)員組成。管理良好的審計(jì)組是信息安全審計(jì)工作順利實(shí)施并達(dá)成審計(jì)目的的保障。審計(jì)組長(zhǎng)應(yīng)由金融機(jī)構(gòu)內(nèi)部審計(jì)部門的管理者任命。負(fù)責(zé)編制審計(jì)方案和審計(jì)計(jì)劃，選擇審計(jì)員，管理審計(jì)小組，與被審計(jì)對(duì)象溝通等。審計(jì)組長(zhǎng)應(yīng)具備較強(qiáng)的項(xiàng)目管理能力，熟悉被審計(jì)對(duì)象的業(yè)務(wù)和系統(tǒng)，了解被審計(jì)對(duì)象面臨的信息安全風(fēng)險(xiǎn)和常用的風(fēng)險(xiǎn)控制措施。審計(jì)員應(yīng)選擇責(zé)任心強(qiáng)、公正、獨(dú)立、熟悉業(yè)務(wù)的人員擔(dān)任，避免審計(jì)員與被審計(jì)對(duì)象存在利害關(guān)系，以免影響審計(jì)結(jié)果的公正性。正式實(shí)施信息安全審計(jì)前，應(yīng)對(duì)審計(jì)組成員進(jìn)行培訓(xùn)。

4.實(shí)施現(xiàn)場(chǎng)審計(jì)。審計(jì)準(zhǔn)備工作就緒后，則可以實(shí)施現(xiàn)場(chǎng)審計(jì)。現(xiàn)場(chǎng)審計(jì)是一項(xiàng)復(fù)雜的系統(tǒng)工程，具有較強(qiáng)的不確定性。因此，現(xiàn)場(chǎng)審計(jì)應(yīng)根據(jù)事先編制的審計(jì)方案和審計(jì)計(jì)劃執(zhí)行，審計(jì)過(guò)程中還要做好變更控制。現(xiàn)場(chǎng)審計(jì)往往由首次會(huì)議開始，至末次會(huì)議結(jié)束。在首次會(huì)議上，審計(jì)組長(zhǎng)應(yīng)向被審計(jì)單位闡明此次審計(jì)的目的、范圍、依據(jù)和審計(jì)計(jì)劃，并提出需要被審計(jì)單位配合的事項(xiàng)。末次會(huì)議上，審計(jì)組長(zhǎng)向被審計(jì)單位說(shuō)明審計(jì)發(fā)現(xiàn)，報(bào)告審計(jì)初步結(jié)果，并與被審計(jì)單位就初步審計(jì)結(jié)果達(dá)成一致。現(xiàn)場(chǎng)審計(jì)方法通常包括：現(xiàn)場(chǎng)訪談、審閱文件、查看記錄、系統(tǒng)檢查和測(cè)試等。在系統(tǒng)檢查和測(cè)試過(guò)程中，可能需要相關(guān)的審計(jì)工具，如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等。現(xiàn)場(chǎng)審計(jì)過(guò)程中，應(yīng)做好文檔化工作。對(duì)所發(fā)現(xiàn)的審計(jì)證據(jù)應(yīng)進(jìn)行詳細(xì)記錄，并與被審計(jì)單位人員進(jìn)行現(xiàn)場(chǎng)確認(rèn)。現(xiàn)場(chǎng)審計(jì)應(yīng)注意方式方法，就意見(jiàn)不一致的問(wèn)題先做好記錄，避免現(xiàn)場(chǎng)與被審計(jì)單位人員發(fā)生爭(zhēng)執(zhí)。

5.報(bào)告審計(jì)發(fā)現(xiàn)。審計(jì)發(fā)現(xiàn)是審計(jì)依據(jù)和現(xiàn)場(chǎng)收集的審計(jì)證據(jù)對(duì)比后的結(jié)果。就信息安全的某個(gè)方面，審計(jì)發(fā)現(xiàn)可能是正面的，即符合了審計(jì)依據(jù)的要求；也可能是負(fù)面的，即被審計(jì)對(duì)象尚未滿足審計(jì)依據(jù)要求。審計(jì)組長(zhǎng)應(yīng)在末次會(huì)議上與被審計(jì)單位初步溝通審計(jì)發(fā)現(xiàn)，并達(dá)成一致。然后正式準(zhǔn)備審計(jì)報(bào)告，以書面形式將審計(jì)發(fā)現(xiàn)報(bào)告給被審計(jì)單位，或者此次信息安全審計(jì)的委托方。

6.后續(xù)審計(jì)活動(dòng)。審計(jì)報(bào)告被接受后，標(biāo)志著信息安全審計(jì)結(jié)束。但為了進(jìn)一步發(fā)揮審計(jì)的作用，審計(jì)組在審計(jì)結(jié)束后，還有部分后續(xù)審計(jì)活動(dòng)需要完成。如編制審計(jì)建議書、風(fēng)險(xiǎn)提醒函，以及在規(guī)定的時(shí)間為對(duì)審計(jì)發(fā)現(xiàn)中的不符合項(xiàng)進(jìn)行跟蹤審計(jì)等。信息安全審計(jì)可以使金融機(jī)構(gòu)在掌握信息安全保障工作效果的同時(shí)，了解信息安全工作是否充分、適宜，對(duì)于保證金融機(jī)構(gòu)業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)營(yíng)具有重要意義。經(jīng)過(guò)近年的信息安全審計(jì)實(shí)踐，部分金融機(jī)構(gòu)初步形成了具有自身特點(diǎn)的審計(jì)方法。但從總體上看，我國(guó)金融機(jī)構(gòu)的信息安全審計(jì)工作仍處于起步階段，必須在實(shí)踐中不斷總結(jié)，促其實(shí)現(xiàn)長(zhǎng)足發(fā)展。