信息科技审计报告.doc

信息科技审计报告 2006年度银行业金融机构信息科技风险评价审计要点 前言 为防范银行业金融机构信息科技风险，保障信息系统运行和操作安全，根据中国银监会《银行业金融机构信息系统风险管理指引》，提出对银行业金融机构信息科技风险内部和外部审计要点，以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理和控制，强化银行业金融机构作为信息安全第一责任人的责任，建立和完善信息科技风险管理机制，进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围，制定审计计划、实施审计行为并提供审计报告。 一、信息科技治理和组织结构 目的：确立信息科技治理、组织结构和相关权责，使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果；在充分考虑银行业金融机构及其服务供应各方的变化的基础上，采取有针对性措施加强信息科技治理和组织结构。 (一)制度建设 1、信息科技管理制度体系的建设情况； 2．已发布实施的主要制度规章和管理办法； 3．管理制度规章和管理办法的制定、审批和修订流程． (二)组织结构 1．信息科技管理的领导和决策机构设置，其职能和工作机制； 2．长期和短期信息科技发展规划的制定、审批和修订； 3．信息科技部门的设置、职责和相互关系，重点包括：系统开发、技术支持、系统操作维护和系统安全； 4．专门的技术风险管理部门设置，其职责和工作机制； 5．技术风险审计部门或岗位设置，审计频率以及问题纠正机制情况： ．信息科技人员的专业素质和培训情况； 7．信息科技风险内部审计人员的素质和培训情况。 二、信息安全管理 目的：充分考虑与信息科技系统相关的风险，维护金融业务的正常操作：保证被认可的用户 能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息；确保数据和系统的完整性、机密性和稳定性等。 (一)信息安全基本要求 l.信息安全工怍的基本原则、基本规划； 2.信息安全管理的流程、组织架构和职责分配； 3．信息安全的技术体系； 4.信息安全风险评估和分级控制； 5．信息安全的教育培训，包括法规教育、安全知识教育和职业道德教育等。 (二)逻辑访问的风险与控制 1．访问控制原则； 2．访问授权的授权与核准； 3.逻辑访问风险的定义、分类和应对措施； 4．访问控制软件的使用情况； 5．磁卡、钥匙和口令密码等重要身份凭证的管理。 (三)网络安全控制 1．内网的安全管理(Intranet的接入安全)； 2外网的安全管理(Internet和Extranet的接入安全)； 3．加密技术应用和私钥的管理： 4．防火墙的设置、维护和管理： 5．入侵检测系统。 (四)环境的风险和控制 1．消防及防水设施： 2．不间断电源保护： 3．人员疏散计划和通道。 (五)物理访问的风险与控制 1．出入通道锁具的可靠性： 2.摄像监测设施、警报系统和警卫配备； 3．访客、外包服务人员、勤务人员出入管理规定； 4．入口数量控制； 5．计算机终端无人看管时的锁定； ．敏感性设施及场所的标识隐匿； 7．文件柜的锁定和监控． (六)软件的风险与控制 1．软件的病毒防护和管理； 2．软件的升级和补丁管理； 3．软件使用许可和授权管理。 三、信息科技项目开发和变更管理 目的：提高信息科技管理效率，实现信息科技对主体业务发展的有效支持保证信息科技与企业战略的协调一致。 (一)项目开发管理 1．项目管理的主要规章制度，包括：项目的审批流程，参与部门的职责划分、时间进度和财务预算管理、质量检测、风险评估等； 2．项目周期管理的涵盖范围，包括：立项、可行性分析、制定需求、方案设计、程序开发．系统测试、系统验收、使用培训、实施操作和维护等； 3．开发环境、测试环境、生产环境严格分离情况； 4.外部技术资源(包括软件、硬件、服务等)管理，包括申请、测评、购买(合同)、使用等。 (二)项目变更管理 1．变更管理的主要规章制度； 2．变更管理的审批授权机制和工作流程： 3.变更管理的登记、备案和存档； (三)项目资料文档管理体系 1．项目资料文档的管理职责； 2．资料文档的起草和审批职责； 3．资料文档格式标准化规范： 4．程序资料文档的完整保存：程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等； 5．项目资科文档的完整保存：项目需求、可行性分析、阶段实施记录(启动、计划、设计、开发、测试、实施、后评价等)。 (四)系统设计开发外包缺陷风险管理 1．代码检查； 2．文档管理(包括：功能规则说明书，系统设计规则说明书，操作运行手册)； 3.技术传送． 四、信息系统运行和操作管理 目的：保证当前和规划的信息科技营运体系能够充分满足董事会及高级管理层战略目标实现的需要，围绕战略目标合