信息審計在金融機構的實踐

前言：本站為你精心整理了信息審計在金融機構的實踐范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：杜寧寧趙慶亮作者單位：國家開發銀行

一、信息安全概況

隨著信息技術的飛速發展，金融機構生產、使用和共享的信息呈現幾何增長的態勢，信息傳遞的方式和渠道急劇增加，在為金融機構帶來收益和效率的同時，也使信息安全問題更加凸顯。在全球范圍內，信息安全事件頻發，給銀行和客戶造成經濟損失的同時，也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平，成為銀行關注的焦點。信息安全審計作為信息安全保障工作中的重要一環，能夠促進信息安全控制措施的落實，規范信息安全管理，提高全員信息安全意識，從而有利于保持和持續改進銀行信息安全能力和水平。

根據當前的信息安全管理體系國家標準GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應包括四個階段：一是規劃和建設階段（Plan，簡稱“P階段”）；二是實施和運行階段（Do，簡稱“D階段”）；三是監視和評審階段（Check，簡稱“C階段”）；四是保持和改進（Act，簡稱“A階段”）。這四個階段按順序循環往復，從而使信息安全得到持續改進。這種方法也被稱為“PDCA循環”，如圖1所示。

經過近十幾年的努力，金融行業信息安全保障工作已經普遍走過了“P階段”和“D階段”，金融行業的信息安全需求已基本明確，滿足信息安全需求的基礎設施也基本具備。經過大范圍的規劃建設，各金融機構已經建立了相對完備的信息安全軟硬件環境，初步形成了信息安全保障體系。盡管如此，作為關系國計民生的重要基礎產業，金融行業對信息安全有著更高的要求，也面臨著更大的信息安全風險挑戰。近年來，金融行業頻繁發生的信息安全事件表明，金融行業信息安全保障工作還存在很多缺陷和不足。導致這一局面的因素很多，其中一個重要的原因就是大家普遍重視信息安全的建設和運行，而忽視了信息安全工作的檢查和改進。從整體上看，金融行業信息安全保障工作已經走過“P階段”和“D階段”，尚未進入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續改進機制。接下來金融行業信息安全工作的重心應該轉向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統財務審計和審計工作的規范與嚴謹，結合信息和保密技術的工具與手段，對金融機構信息安全工作的成效和不足給出客觀、確定的審計結論，并根據審計結果，對金融機構的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業銀行信息科技整個生命周期內的信息安全、業務連續性管理和外包等主要方面提出高標準、高要求，滿足商業銀行信息科技風險管理的需要，銀監會2009年了《商業銀行信息科技風險管理指引》，其中第六十五條規定：“商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。”

二、國內外信息安全審計現狀

（一）國外信息安全審計發展與現狀

在建立信息安全審計制度，開展信息安全審計研究方面，美國走在了世界前列。早在計算機進入實用階段時，美國就開始提出系統審計（SYSTEMAUDIT）概念。1969年在洛杉磯成立了電子數據處理審計師協會（EDPAA），1994年該協會更名為信息系統審計與控制協會（ISACA），總部設在美國芝加哥。自1978年以來，由ISACA發起的注冊信息系統審計師（CISA）認證計劃已經成為涵蓋信息系統審計、控制與安全等專業領域的被廣泛認可的標準。目前該組織在世界上100多個國家設有160多個分會，現有會員兩萬多人。

1999年，美國國家審計署（GAO）《聯邦信息系統控制審計手冊》（第一版），為美國聯邦政府實施信息安全審計提供基本準則和方法。2001年，GAO《聯邦信息系統安全審計管理的計劃指南》，用于為美國聯邦政府實施信息安全審計提供具體指導；2009年，GAO《聯邦信息系統控制審計手冊》（第二版），該手冊成為現階段美國聯邦政府實施信息安全審計的事實標準。

近年來，美國通過立法賦予信息安全審計新的意義，并對企業實施信息安全審計產生重大影響。2002年，美國安然公司和世通財務欺詐案爆發后，美國國會和政府緊急通過了《薩班斯——奧克斯利法案》（Sarbanes-OxleyAct，簡稱薩班斯法案）。薩班斯法案第302條款和第404條款明確要求“，通過內部控制加強公司治理，包括加強與財務報表相關的IT系統內部控制，而信息安全審計正是IT系統內部控制的核心。”2006年底生效的《巴塞爾新資本協議（》BaselII），要求全球銀行必須針對其市場、信用及營運等三種金融作業風險提供相應水準的資金準備，迫使各銀行必須做好風險控管，而這一“金融作業風險”的防范也正是需要業務信息安全審計為依托。

近一段時期，以美國、加拿大、澳大利亞為主的西方國家，針對不同的組織機構，以不同的信息安全審計方式，卓有成效地開展了包括信息系統計劃與技術構架、信息安全保護與災難恢復、軟件系統開發、獲得、實施及維護、商業流程評估及風險管理等方面的信息安全審計。

具體來說，針對各類企業的信息安全審計，采取了以內部審計為主，從關注安全向關注業務目標過渡，一般控制審計與應用控制審計相結合的方式；針對政府機構的信息安全審計，強調外部審計與政府內部審計結合，融入績效預算管理體系，關注系統最終效果。

在亞洲，日本的信息安全審計始于20世紀80年代。1983年，通產省公開發表了《系統審計標準》，并在全國軟件水平考試中增加了“系統審計師”一級的考試，著手培養從事信息系統審計的骨干隊伍。近幾年，東南亞各國也開始制定電子商務法規，成立專門機構開展信息系統審計業務，并制定技術標準。

（二）我國信息安全審計發展與現狀

近年來，我國的信息安全審計日益受到重視，審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統審計規范的研究和制定方面，我國已建成了一套比較成熟規范的法規、準則體系，但在信息系統及信息安全審計方面，雖有《內部審計具體準則第28號——信息系統審計》（中國內部審計協會2008年）以及審計署對信息系統審計相關法規、準則的規劃及研究，但尚未形成系統的法規、準則和技術標準體系。

三、金融行業信息安全審計組織與實施

金融行業的信息安全審計（InformationSecurityAudit），是指金融機構為了掌握其信息安全保障工作的有效性，根據事先確定的審計依據，在規定的審計范圍內，通過文件審核、記錄檢查、技術測試、現場訪談等活動，獲得審計證據，并對其進行客觀的評價，以確定被審計對象滿足審計依據的程度所進行的系統的、獨立的并形成文件的過程。金融機構可以單獨實施信息安全審計，也可以將信息安全審計作為其他相關工作的一部分內容聯合實施。如IT審計、信息安全等級保護建設、信息安全風險評估、信息安全管理體系建設等。審計的工作流程和內容大致包括六個方面的活動（如圖2所示）。

1．確定審計目的和范圍。金融機構實施信息安全審計，首先要明確審計目的，確定審計范圍。審計目的是信息安全審計工作的出發點。審計目的可以從滿足監管部門的要求、滿足信息安全國際國內標準的要求、滿足機構自身信息安全工作要求等合規性方面考慮。明確了審計目的，然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍，可以從組織機構考慮，如僅對個別部門實施審計，或者在組織全部范圍實施審計；也可以從業務和系統角度考慮，如僅對核心系統實施審計，或者僅對信貸業務實施審計等。

2.明確審計依據。審計依據就像一把“尺子”，審計人員用它來衡量信息安全工作的“長短”。審計目的不同，審計依據就可能不同，如表1中所示。

3.組建審計組。審計組是具體實施信息安全審計工作的基本組織單位，應由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實施并達成審計目的的保障。審計組長應由金融機構內部審計部門的管理者任命。負責編制審計方案和審計計劃，選擇審計員，管理審計小組，與被審計對象溝通等。審計組長應具備較強的項目管理能力，熟悉被審計對象的業務和系統，了解被審計對象面臨的信息安全風險和常用的風險控制措施。審計員應選擇責任心強、公正、獨立、熟悉業務的人員擔任，避免審計員與被審計對象存在利害關系，以免影響審計結果的公正性。正式實施信息安全審計前，應對審計組成員進行培訓。

4.實施現場審計。審計準備工作就緒后，則可以實施現場審計。現場審計是一項復雜的系統工程，具有較強的不確定性。因此，現場審計應根據事先編制的審計方案和審計計劃執行，審計過程中還要做好變更控制。現場審計往往由首次會議開始，至末次會議結束。在首次會議上，審計組長應向被審計單位闡明此次審計的目的、范圍、依據和審計計劃，并提出需要被審計單位配合的事項。末次會議上，審計組長向被審計單位說明審計發現，報告審計初步結果，并與被審計單位就初步審計結果達成一致。現場審計方法通常包括：現場訪談、審閱文件、查看記錄、系統檢查和測試等。在系統檢查和測試過程中，可能需要相關的審計工具，如系統漏洞掃描器、數據庫安全審計系統、桌面終端配置檢查工具、網絡安全檢查工具、惡意軟件掃描器等。現場審計過程中，應做好文檔化工作。對所發現的審計證據應進行詳細記錄，并與被審計單位人員進行現場確認。現場審計應注意方式方法，就意見不一致的問題先做好記錄，避免現場與被審計單位人員發生爭執。

5.報告審計發現。審計發現是審計依據和現場收集的審計證據對比后的結果。就信息安全的某個方面，審計發現可能是正面的，即符合了審計依據的要求；也可能是負面的，即被審計對象尚未滿足審計依據要求。審計組長應在末次會議上與被審計單位初步溝通審計發現，并達成一致。然后正式準備審計報告，以書面形式將審計發現報告給被審計單位，或者此次信息安全審計的委托方。

6.后續審計活動。審計報告被接受后，標志著信息安全審計結束。但為了進一步發揮審計的作用，審計組在審計結束后，還有部分后續審計活動需要完成。如編制審計建議書、風險提醒函，以及在規定的時間為對審計發現中的不符合項進行跟蹤審計等。信息安全審計可以使金融機構在掌握信息安全保障工作效果的同時，了解信息安全工作是否充分、適宜，對于保證金融機構業務持續穩定運營具有重要意義。經過近年的信息安全審計實踐，部分金融機構初步形成了具有自身特點的審計方法。但從總體上看，我國金融機構的信息安全審計工作仍處于起步階段，必須在實踐中不斷總結，促其實現長足發展。