JR_T 0112-2014证券期货业信息系统审计规范.pdf

ICS03. 060A 11备案号JR中华人民共和国金融行业标准JR/T 0112—2014证券期货业信息系统审计规范Information system audit standard for securities and futures industry2014-12-26发布2014-12-26实施中国证券监督管理委员会发布 JR/T 0112—2014被审计部门对审计报告（草稿）有异议的，审计组应研究、核实，并考患是否需要修改审计报告（草稿）。审计报告（草稿）经审计组集体讨论，并应通过内审部门对审计报告质量的分级复核程序，由审计组组长及相关报告审核人员审核后定稿。7.3.2提交报告现场审计结束后，审计组应将审计报告、审计工作底稿等相关材科报送内审部门采用聘请外部专家或第三方审计机构协助开展审计工作的，应将外聘人员或机构的审计工作底稿等相关材料报送内审部门.核心机构和经营机构的内审部门应向董事会或高级管理层提交审计报告，并抄送有关部门。审计结果应用8.1整改方案当被审计部门基于成本或者其他方面考患，决定对审计发现的间题不采取纠正措施并做出书面说明时，核心机构和经营机构的内审部门负资人应向董事会或者高级管理层报告。核心机构和经营机构的被审计部门应对审计中发现的问题，制定有效可行的整改方案，明确进度安排。审计组应对被审计部门制定的整改方案进行评审。如有必要，核心机构和经营机构的被审计部门应组织由审计组组长、审计组主要成员、相关业务部门负责人、信息技术部门负责人、信息技术部门相关人员、有关专家参加的整改方案评审会议，对整改方案进行评审。8.2落实整改被审计部门应按照整改方案，尽快对审计发现的风险隐惠进行整改，并在与审计部门约定的期限内提供审计整改报告。核心机构和经营机构的内审部门应对审计发现的间邀的整改情况进行跟踪监督，可在规定期限内或者与被审计部门约定的期限内实施后续审计。内审部门负责人如果初步认定被审计部门对审计发现的间题已采取了有效的纠正措施，可要求内审人员及时对整改措施进行核查，或将后续审计作为下次审计工作的一部分。内审部门对被审计部门实施后续审计，审计过程与新设审计项目相同，参照本规范第7章对审计过程的规定实施。9建档保存9. 1保存范围审计工作结束后，审计组应整理相关材科，并建立、保管审计档案。下列材科应归入审计档案审计方案、审计通知书：b)审计工作底稿、审计报告：整改方案：d)后续审计工作底稿、后续审计报告：e)其他相关材料。 JR/T 0112—2014自行软件开发是否提供软件设计文档和使用指南，并由专人保管。d)开发人员和测试人员是否分离，测试数据和测试结果受到控制。应保证同一组件或子系统的开发人员和测试人员分离。（本项适用于：信息系统等级保护三级系统）e)是否制定代码编写安全规范，要求开发人员参照规范编写代码。（本项适用于：信息系统等级保护三级系统）f)是否对程序资源库的修改、更新、发布进行授权和批准。（本项适用于：信息系统等级保护三级系统）A.外包软件开发本项要求包括：是否根据开发要求测试软件质量。是否确保提供软件设计的相关文档和使用指南。c)是否在软件安装之前检测软件包中可能存在的恶意代码。d):要求开发单位提供软件源代码，并审查软件中可能存在的后门。A.工程实施本项要求包括：a) :是否指定或授权专门的部门或人员负责工程实施过程的管理。是否制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程。c)是否制定工程实施管理制度，明确实施过程的控制方法和人员行为准则。（本项适用于：信息系统等级保护三级系统）A.系统交付本项要求包括：是否向用户提供系统建设文档和运行维护所需文档。是否书面规定系统交付的控制方法和人员行为准则。（本项适用于：信息系统等级保护三级系统)是否指定专门部门管理系统交付，并按照要求完成交付工作。（本项适用于：信息系统等级保护三级系统)是否建立交付流程，对建成的信息系统交付运行维护的活动进行观范。e)是否制定交付工作清单，作为双方交付依据，清单包括信息系统相关的软件、硬件、技术文档。管理手册、使用手册、培训材料、相关工具、协议和合同等。f)是否对运维人员和所涉及的相关各方进行培训和说明，包括交付事项的目的、范围、背景、测试要求、上线实施要求、验收要求、运维要求等。g):是否制定交付实施计划，划定交付双方的职责，交付的步骤，并对交付过程留存记录。A. 3.5. 1. 8测试验收本项要求包括：a):是否对系统进行安全性测试验收。（本项适用于：信息系统等级保护二级系统）b)测试验收前是否根据设计方案或合同要求等制订测试验收方案，在测试验收过程中详细记录测试验收结果，并形成测试验收报告，c)是否组织相关部门和相关人员对系统测试验收报告进行审定，并签学确认。95 JR