前言：本站為你精心整理了信息審計在金融機(jī)構(gòu)的實踐范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：杜寧寧趙慶亮作者單位：國家開發(fā)銀行

一、信息安全概況

隨著信息技術(shù)的飛速發(fā)展，金融機(jī)構(gòu)生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長的態(tài)勢，信息傳遞的方式和渠道急劇增加，在為金融機(jī)構(gòu)帶來收益和效率的同時，也使信息安全問題更加凸顯。在全球范圍內(nèi)，信息安全事件頻發(fā)，給銀行和客戶造成經(jīng)濟(jì)損失的同時，也帶來了巨大的聲譽(yù)損失。如何有效提升信息安全管理水平，成為銀行關(guān)注的焦點(diǎn)。信息安全審計作為信息安全保障工作中的重要一環(huán)，能夠促進(jìn)信息安全控制措施的落實，規(guī)范信息安全管理，提高全員信息安全意識，從而有利于保持和持續(xù)改進(jìn)銀行信息安全能力和水平。

根據(jù)當(dāng)前的信息安全管理體系國家標(biāo)準(zhǔn)GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應(yīng)包括四個階段：一是規(guī)劃和建設(shè)階段（Plan，簡稱“P階段”）；二是實施和運(yùn)行階段（Do，簡稱“D階段”）；三是監(jiān)視和評審階段（Check，簡稱“C階段”）；四是保持和改進(jìn)（Act，簡稱“A階段”）。這四個階段按順序循環(huán)往復(fù)，從而使信息安全得到持續(xù)改進(jìn)。這種方法也被稱為“PDCA循環(huán)”，如圖1所示。

經(jīng)過近十幾年的努力，金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”，金融行業(yè)的信息安全需求已基本明確，滿足信息安全需求的基礎(chǔ)設(shè)施也基本具備。經(jīng)過大范圍的規(guī)劃建設(shè)，各金融機(jī)構(gòu)已經(jīng)建立了相對完備的信息安全軟硬件環(huán)境，初步形成了信息安全保障體系。盡管如此，作為關(guān)系國計民生的重要基礎(chǔ)產(chǎn)業(yè)，金融行業(yè)對信息安全有著更高的要求，也面臨著更大的信息安全風(fēng)險挑戰(zhàn)。近年來，金融行業(yè)頻繁發(fā)生的信息安全事件表明，金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導(dǎo)致這一局面的因素很多，其中一個重要的原因就是大家普遍重視信息安全的建設(shè)和運(yùn)行，而忽視了信息安全工作的檢查和改進(jìn)。從整體上看，金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”，尚未進(jìn)入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進(jìn)機(jī)制。接下來金融行業(yè)信息安全工作的重心應(yīng)該轉(zhuǎn)向檢查和改進(jìn)。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務(wù)審計和審計工作的規(guī)范與嚴(yán)謹(jǐn)，結(jié)合信息和保密技術(shù)的工具與手段，對金融機(jī)構(gòu)信息安全工作的成效和不足給出客觀、確定的審計結(jié)論，并根據(jù)審計結(jié)果，對金融機(jī)構(gòu)的信息安全保障工作提出改進(jìn)措施、給出合理化建議。

為了對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等主要方面提出高標(biāo)準(zhǔn)、高要求，滿足商業(yè)銀行信息科技風(fēng)險管理的需要，銀監(jiān)會2009年了《商業(yè)銀行信息科技風(fēng)險管理指引》，其中第六十五條規(guī)定：“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計?！?/p>

二、國內(nèi)外信息安全審計現(xiàn)狀

（一）國外信息安全審計發(fā)展與現(xiàn)狀

在建立信息安全審計制度，開展信息安全審計研究方面，美國走在了世界前列。早在計算機(jī)進(jìn)入實用階段時，美國就開始提出系統(tǒng)審計（SYSTEMAUDIT）概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會（EDPAA），1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會（ISACA），總部設(shè)在美國芝加哥。自1978年以來，由ISACA發(fā)起的注冊信息系統(tǒng)審計師（CISA）認(rèn)證計劃已經(jīng)成為涵蓋信息系統(tǒng)審計、控制與安全等專業(yè)領(lǐng)域的被廣泛認(rèn)可的標(biāo)準(zhǔn)。目前該組織在世界上100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人。

1999年，美國國家審計署（GAO）《聯(lián)邦信息系統(tǒng)控制審計手冊》（第一版），為美國聯(lián)邦政府實施信息安全審計提供基本準(zhǔn)則和方法。2001年，GAO《聯(lián)邦信息系統(tǒng)安全審計管理的計劃指南》，用于為美國聯(lián)邦政府實施信息安全審計提供具體指導(dǎo)；2009年，GAO《聯(lián)邦信息系統(tǒng)控制審計手冊》（第二版），該手冊成為現(xiàn)階段美國聯(lián)邦政府實施信息安全審計的事實標(biāo)準(zhǔn)。

近年來，美國通過立法賦予信息安全審計新的意義，并對企業(yè)實施信息安全審計產(chǎn)生重大影響。2002年，美國安然公司和世通財務(wù)欺詐案爆發(fā)后，美國國會和政府緊急通過了《薩班斯——奧克斯利法案》（Sarbanes-OxleyAct，簡稱薩班斯法案）。薩班斯法案第302條款和第404條款明確要求“，通過內(nèi)部控制加強(qiáng)公司治理，包括加強(qiáng)與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制，而信息安全審計正是IT系統(tǒng)內(nèi)部控制的核心。”2006年底生效的《巴塞爾新資本協(xié)議（》BaselII），要求全球銀行必須針對其市場、信用及營運(yùn)等三種金融作業(yè)風(fēng)險提供相應(yīng)水準(zhǔn)的資金準(zhǔn)備，迫使各銀行必須做好風(fēng)險控管，而這一“金融作業(yè)風(fēng)險”的防范也正是需要業(yè)務(wù)信息安全審計為依托。

近一段時期，以美國、加拿大、澳大利亞為主的西方國家，針對不同的組織機(jī)構(gòu)，以不同的信息安全審計方式，卓有成效地開展了包括信息系統(tǒng)計劃與技術(shù)構(gòu)架、信息安全保護(hù)與災(zāi)難恢復(fù)、軟件系統(tǒng)開發(fā)、獲得、實施及維護(hù)、商業(yè)流程評估及風(fēng)險管理等方面的信息安全審計。

具體來說，針對各類企業(yè)的信息安全審計，采取了以內(nèi)部審計為主，從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過渡，一般控制審計與應(yīng)用控制審計相結(jié)合的方式；針對政府機(jī)構(gòu)的信息安全審計，強(qiáng)調(diào)外部審計與政府內(nèi)部審計結(jié)合，融入績效預(yù)算管理體系，關(guān)注系統(tǒng)最終效果。

在亞洲，日本的信息安全審計始于20世紀(jì)80年代。1983年，通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標(biāo)準(zhǔn)》，并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試，著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年，東南亞各國也開始制定電子商務(wù)法規(guī)，成立專門機(jī)構(gòu)開展信息系統(tǒng)審計業(yè)務(wù)，并制定技術(shù)標(biāo)準(zhǔn)。

（二）我國信息安全審計發(fā)展與現(xiàn)狀

近年來，我國的信息安全審計日益受到重視，審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統(tǒng)審計規(guī)范的研究和制定方面，我國已建成了一套比較成熟規(guī)范的法規(guī)、準(zhǔn)則體系，但在信息系統(tǒng)及信息安全審計方面，雖有《內(nèi)部審計具體準(zhǔn)則第28號——信息系統(tǒng)審計》（中國內(nèi)部審計協(xié)會2008年）以及審計署對信息系統(tǒng)審計相關(guān)法規(guī)、準(zhǔn)則的規(guī)劃及研究，但尚未形成系統(tǒng)的法規(guī)、準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)體系。

三、金融行業(yè)信息安全審計組織與實施

金融行業(yè)的信息安全審計（InformationSecurityAudit），是指金融機(jī)構(gòu)為了掌握其信息安全保障工作的有效性，根據(jù)事先確定的審計依據(jù)，在規(guī)定的審計范圍內(nèi)，通過文件審核、記錄檢查、技術(shù)測試、現(xiàn)場訪談等活動，獲得審計證據(jù)，并對其進(jìn)行客觀的評價，以確定被審計對象滿足審計依據(jù)的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程。金融機(jī)構(gòu)可以單獨(dú)實施信息安全審計，也可以將信息安全審計作為其他相關(guān)工作的一部分內(nèi)容聯(lián)合實施。如IT審計、信息安全等級保護(hù)建設(shè)、信息安全風(fēng)險評估、信息安全管理體系建設(shè)等。審計的工作流程和內(nèi)容大致包括六個方面的活動（如圖2所示）。

1．確定審計目的和范圍。金融機(jī)構(gòu)實施信息安全審計，首先要明確審計目的，確定審計范圍。審計目的是信息安全審計工作的出發(fā)點(diǎn)。審計目的可以從滿足監(jiān)管部門的要求、滿足信息安全國際國內(nèi)標(biāo)準(zhǔn)的要求、滿足機(jī)構(gòu)自身信息安全工作要求等合規(guī)性方面考慮。明確了審計目的，然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍，可以從組織機(jī)構(gòu)考慮，如僅對個別部門實施審計，或者在組織全部范圍實施審計；也可以從業(yè)務(wù)和系統(tǒng)角度考慮，如僅對核心系統(tǒng)實施審計，或者僅對信貸業(yè)務(wù)實施審計等。

2.明確審計依據(jù)。審計依據(jù)就像一把“尺子”，審計人員用它來衡量信息安全工作的“長短”。審計目的不同，審計依據(jù)就可能不同，如表1中所示。

3.組建審計組。審計組是具體實施信息安全審計工作的基本組織單位，應(yīng)由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實施并達(dá)成審計目的的保障。審計組長應(yīng)由金融機(jī)構(gòu)內(nèi)部審計部門的管理者任命。負(fù)責(zé)編制審計方案和審計計劃，選擇審計員，管理審計小組，與被審計對象溝通等。審計組長應(yīng)具備較強(qiáng)的項目管理能力，熟悉被審計對象的業(yè)務(wù)和系統(tǒng)，了解被審計對象面臨的信息安全風(fēng)險和常用的風(fēng)險控制措施。審計員應(yīng)選擇責(zé)任心強(qiáng)、公正、獨(dú)立、熟悉業(yè)務(wù)的人員擔(dān)任，避免審計員與被審計對象存在利害關(guān)系，以免影響審計結(jié)果的公正性。正式實施信息安全審計前，應(yīng)對審計組成員進(jìn)行培訓(xùn)。

4.實施現(xiàn)場審計。審計準(zhǔn)備工作就緒后，則可以實施現(xiàn)場審計。現(xiàn)場審計是一項復(fù)雜的系統(tǒng)工程，具有較強(qiáng)的不確定性。因此，現(xiàn)場審計應(yīng)根據(jù)事先編制的審計方案和審計計劃執(zhí)行，審計過程中還要做好變更控制?，F(xiàn)場審計往往由首次會議開始，至末次會議結(jié)束。在首次會議上，審計組長應(yīng)向被審計單位闡明此次審計的目的、范圍、依據(jù)和審計計劃，并提出需要被審計單位配合的事項。末次會議上，審計組長向被審計單位說明審計發(fā)現(xiàn)，報告審計初步結(jié)果，并與被審計單位就初步審計結(jié)果達(dá)成一致?，F(xiàn)場審計方法通常包括：現(xiàn)場訪談、審閱文件、查看記錄、系統(tǒng)檢查和測試等。在系統(tǒng)檢查和測試過程中，可能需要相關(guān)的審計工具，如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫安全審計系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡(luò)安全檢查工具、惡意軟件掃描器等?，F(xiàn)場審計過程中，應(yīng)做好文檔化工作。對所發(fā)現(xiàn)的審計證據(jù)應(yīng)進(jìn)行詳細(xì)記錄，并與被審計單位人員進(jìn)行現(xiàn)場確認(rèn)?，F(xiàn)場審計應(yīng)注意方式方法，就意見不一致的問題先做好記錄，避免現(xiàn)場與被審計單位人員發(fā)生爭執(zhí)。

5.報告審計發(fā)現(xiàn)。審計發(fā)現(xiàn)是審計依據(jù)和現(xiàn)場收集的審計證據(jù)對比后的結(jié)果。就信息安全的某個方面，審計發(fā)現(xiàn)可能是正面的，即符合了審計依據(jù)的要求；也可能是負(fù)面的，即被審計對象尚未滿足審計依據(jù)要求。審計組長應(yīng)在末次會議上與被審計單位初步溝通審計發(fā)現(xiàn)，并達(dá)成一致。然后正式準(zhǔn)備審計報告，以書面形式將審計發(fā)現(xiàn)報告給被審計單位，或者此次信息安全審計的委托方。

6.后續(xù)審計活動。審計報告被接受后，標(biāo)志著信息安全審計結(jié)束。但為了進(jìn)一步發(fā)揮審計的作用，審計組在審計結(jié)束后，還有部分后續(xù)審計活動需要完成。如編制審計建議書、風(fēng)險提醒函，以及在規(guī)定的時間為對審計發(fā)現(xiàn)中的不符合項進(jìn)行跟蹤審計等。信息安全審計可以使金融機(jī)構(gòu)在掌握信息安全保障工作效果的同時，了解信息安全工作是否充分、適宜，對于保證金融機(jī)構(gòu)業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)營具有重要意義。經(jīng)過近年的信息安全審計實踐，部分金融機(jī)構(gòu)初步形成了具有自身特點(diǎn)的審計方法。但從總體上看，我國金融機(jī)構(gòu)的信息安全審計工作仍處于起步階段，必須在實踐中不斷總結(jié)，促其實現(xiàn)長足發(fā)展。