商业银行信息科技风险评价审计浅析

1.1. 相关政策背景相关政策背景 为实现对商业银行信息系统风险的识别、计量、评价、预警和控制，有效防范银行业金融 机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安 全、持续、稳健运行，根据银行业金融机构信息系统风险管理指引和银行业金融机构内 部审计指引的有关规定，2006 年 11 月中国银行业监督管理委员会办公厅发布了关于开展 2006 年度信息科技风险内部和外部评价审计的通知（简称 313 号文件），要求银行业金融机 构进行信息科技风险内部和外部评价审计工作。 银行业金融机构信息系统风险管理指引（以下简称原管理指引）定位在信息系统 风险管理的基本、原则性要求，已难以满足商业银行信息科技风险管理的需要。银监会对原 管理指引进行了修订，并重新定名为商业银行信息科技风险管理管理指引（以下简称 新管理指引），原管理指引同时废止。银监会于 2009 年 3 月 3 日下发了中国银监会 关于印发商业银行信息科技风险管理指引的通知（银监发【2009】19 号文）,要求商业 银行等金融机构按照新管理指引来进行信息科技风险评价审计。 在新管理指引中根据审计的范围的不同，将审计分为了专项审计（对信息科技安全事 故或认为必要的特殊事项进行的审计）和全面审计（依据管理指引中规定的内容，对商业 银行进行的全方位的审计）。根据审计执行机构的不同，将审计分为内部审计（商业银行内部 机构进行的审计活动）和外部审计（委托具备相应资质的外部审计机构进行的审计活动）。 2.2.审计范围及内容审计范围及内容 商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估 结果，决定信息科技内部审计、外部审计的范围和频率。商业银行可以对信息科技安全事故进 行调查、分析和评估，或审计部门根据风险评估结果对认为必要的特殊事项进行信息科技专项 审计。同时也可以根据实际应用情况进行较全面的审计，新管理指引中规定至少应每三年 进行一次全面审计。 一个全面的评价审计至少应包含如下内容： 1) 信息科技治理和组织结构 制度建设 组织结构 2) 信息安全管理 信息安全基本要求 逻辑访问的风险与控制 网络安全控制 环境的风险和控制 物理访问的风险与控制 软件的风险与控制 3) 信息科技项目开发和变更管理 项目开发管理 项目变更管理 项目资料文档管理体系 系统设计开发外包缺陷风险管理 4) 信息系统运行和操作管理 信息系统运行体系建设情况 操作环境控制和预防性维护情况 生产变更管理 信息科技操作风险控制措施 日志管理 5) 业务持续性规划 董事会和高级管理层在业务持续性规划中的职责和工作机制 业务持续性规划的制定和实施 备份中心的管理与操作 业务持续性规划的测试和维护 3.3.审计流程及方法审计流程及方法 不同的审计机构，审计的流程和方法可能不同。中国软件评测中心将商业银行信息科技风 险评价审计过程分为计划准备、现场审计、识别分析、成果提交及验收四个阶段，每个阶段由 不同的任务组成，如下图所示： 图：审计流程及任务图：审计流程及任务 项目实施过程中需要搜集大量的信息，掌握多方面的证据。搜集和取证需要运用多种方法 和工具。采用的主要方法有访谈、检查和测试等。 访谈：与信息系统相关人员进行交流、讨论等活动，证明信息系统安全保护措施是否有效。 检查：测评人员通过对审计对象进行观察、查验、分析等活动，获取证据以证明信息系统 安全保护措施是否有效。 测试：测评人员通过对审计对象按照预定的方法 /工具使其产生特定的行为等活动，查看、分 析 输出结果，获取证据以证明信息系统安全保护措施是否有效。 工具方面，一是可以借助被审计单位部署的一些系统工具，如资产管理系统、审计系统、 网络管理系统和入侵检测系统等；一是需要针对项目特点，开发或部署一些工具，下表列出了 一些常用的工具。 序号序号种类种类工具名称工具名称 1 表类工具信息系统基本情况了解 威胁信息采集表 脆弱性信息采集表 评价审计访谈表 评价审计检查表 安全测试表 2威胁识别工具IDS 3嗅探工具Sniffer、Wireshark 4脆弱性扫描工具CSTC 脆弱性扫描工具、RJ-iTOP、AURORA 5 渗透性测试工具 CSTC 渗透性测试工具集、IBM Rational AppScan、WVS、Metasploit 6 代码安全扫描工具 CSTC 代码安全扫描工具、Fortify SCA、 SI CxSuite 表：审计常用工具表：审计常用工具 4.4.审计的意义审计的意义 随着商业银行信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技 的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给银行业带来发展和效益的同 时，其所形成的风险与传统金融操作风险的内涵发生了根本性变化。信息科技风险评价审计是 防范银行业信息科技风险的有效措施。通过评价审计，可以发现信息系统中潜在的安全隐患， 了解并认识当前所面临的信息科技风险；可以了解现有安全措施与管理指引要求的差距； 可以