对计算机系统的稽核及案例分析20110618.ppt

1 对计算机系统的稽核及案例分析 上海明鸿中小银行培训中心张老师2011 6 2 引言 银行信息安全面临极大风险 2006年4月20日上午10时56分 中国银联系统通信网络和主机出现故障 造成辖内跨行交易全部中断 这是2002年中国银联成立以来 首次全国性因系统故障造成的跨行交易全面瘫痪 此次故障波及中国银联所属的18个分公司 包括广州 深圳 北京 上海 南京 天津 福建 厦门 云南 大连 青岛等全国大部分地区 具体表现在ATM机不能跨行取款 POS机不能刷卡消费 网上跨行交易不成功 3 综合中国银联上海总部品牌营销部有关负责人介绍和银联网站 紧急通告 中国银联系统通信网络和主机于上午10时56分出现故障 网上跨行转账业务 银联基金通业务和银联网关的网上支付业务三个类别交易暂时无法进行 跨行交易出现中断 事发后 中国银联全力以赴组织网络和主机等相关设备厂商积极抢修 引言 银行信息安全面临极大风险 4 5 6 一 计算机系统的内部控制 1 7 一 计算机系统的内部控制 2 一般流程控制 评估被稽核应用系统的一般流程控制包含以下范围 一般用户帐号的创建 变更及删除一般用户权限的分配原则系统特权用户 管理员帐号的监管系统维护变更申请系统变更流程包括需求提交 分析 开发 测试 验收及上线 8 一 计算机系统的内部控制 3 9 一 计算机系统的内部控制 4 应用及业务流程控制 评估被稽核应用系统与业务流程的以下范围 数据处理的准确及可靠性 内置应用控制的有效性 内置业务流程监控及报错功能 业务流程变更对应用系统的影响 10 11 目标 提供管理方向 支持信息安全 1 信息科技治理 PO1PO2 二 计算机稽核的主要内容 1 12 主要内容信息安全的定义管理目标的说明职责划分范围对特定原理 标准和需求的解释对可疑的安全事件报告的流程说明为保持策略而进行的审阅流程评估政策有效性的方法 包含成本或技术的改变任命政策制定者 二 计算机稽核的主要内容 1 案例分析 1 案例一 从以下银行的广告语分析其战略定位和对信息科技治理的内在要求 工行 您身边的银行 招商银行 因您而变 农行 大行德广 伴您成长 光大 阳光在心 服务在行 13 14 目标 管理组织内的信息安全保证组织内部的信息处理安全及第三方对组织信息资产的访问当组织内部的信息资产外包时 明确外包方的责任 2 组织架构 PO4 二 计算机稽核的主要内容 2 15 主要内容 设立管理委员会定义委员会角色分配角色责任建立新购软硬件的采购流程定义第三方对组织资产的访问采取步骤保护或检测第三方的非法访问外包合同的安全责任 二 计算机稽核的主要内容 2 案例分析 2 案例二 计算机组织设置中 哪些岗位或机构需要互斥 16 17 目标 保证公司资产得到合理保护 确保信息资产受到相应等级的保护 主要内容 建立资产的登记制度 包括硬件 软件和信息产品定义信息体系结构 PO2 3 资产分类和管理 PO2PO3DS9 二 计算机稽核的主要内容 3 18 将资产进行分类并标识注意 将资产进行分类并标识是进行风险评估的首要步骤数据分类和分级管理自动化的数据存贮和字典数据语法规则数据所有权和关键性 安全性程度分类表述业务的信息模型企业信息体系结构标准信息 二 计算机稽核的主要内容 3 19 决定技术方向 PO3 当前基础设施的容量通过可靠的来源 监测技术发展编制基础设施规划编制技术标准与供应商的关系独立的技术再评估硬件和软件的性能 价格比的变化 二 计算机稽核的主要内容 4 20 管理配置 DS9 资产的追踪配置变更管理未授权软件的检查软件存储控制软件和硬件相互关系和集成自动化工具的使用 二 计算机稽核的主要内容 5 案例分析 3 21 案例三 请看录像 并回答以下问题 问题1 你认为瑞士汇丰客户资料泄露可能发生在哪个环节 问题2 为避免信息资产泄露 你认为上述环节中需要实施哪些控制措施 问题3 假设你对某分行信息资产进行稽核 你准备如何检查 访谈哪些人员 获取哪些资料 22 4 人员安全 PO7 二 计算机稽核的主要内容 6 目标 减少因人员差错 偷盗 舞弊和设施误用带来的损失确保用户意识到信息安全威胁 并在日常工作中得到相应指导来支持公司的安全策略最大程度减少信息安全事件和误操作带来的损失 并吸取教训主要内容 由于不经意或人员操作的意外事故带来的数据和系统风险 23 在正式岗位说明中明确信息安全职责招募和升职培训和任职要求意识的建立交叉培训和轮岗雇用 检查和解雇程序目标和可测量绩效的评估技术和市场变化的响应内部和外部资源的适当平衡关键职位的继任计划 二 计算机稽核的主要内容 6 24 案例分析 4 案例四 犯罪分子如何不通过技术手段进入银行的内部网络实施非法操作 案例分析 4 地点一 办公室A 电话响职员 你好 我是小王 这里是XX银行信用卡部攻击者 你好 我是负责银行网络支持的中国电信的李xx 最近全国暴发了大规模的木马病毒 我们正在进行紧急排查 请问你们办公室的网络有没有出现问题 职员 嗯 据我所知没有 这里的网络状况良好 攻击者 你能告诉我你的电脑所连接的端口的号码吗 职员 端口 攻击者 就是在你电脑后面 在插网线的地方有注明端口号码 职员 看到了 号码是A123 攻击者 请稍等 端口A123 好的 谢谢 记得有情况及通过电话时通知我们 我的电话是60123456 再见 25 案例分析 4 地点二 此公司的网络管理室 电话响网管 你好 科技部网络管理员吗 攻击者 你好 我是信用卡部的小王 我们正在接受银监局的检查 要求我们不能连接到互联网 你可以暂时停止端口A123的互联网访问半个小时吗 网管 好的 请稍等 好了 已经暂时停止了 攻击者 谢谢 26 案例分析 4 攻击者再次打电话给小王攻击者 你好 这里是中国电信的小李 你的网络是不是出现问题了 职员 对的 刚才无法访问互联网了 攻击者 嗯 我可以帮你解决 我们设计了一个软件 我把地址给你 请你去下载并安装这个软件 网址是 职员 我执行了这个软件 软件反映报错 攻击者 嗯 这说明软件没有被安装成功 这样吧 你不要再尝试安装了 等我们重新查看服务器后你再试试吧 就这样 一个木马程序被安装到了这台电脑上面 这个案例带给我们的教训是什么 27 28 目标 防止未经授权的访问 损坏或干涉业务系统防止业务系统遭受损失或中断防止信息和信息系统设施的偷盗 5 物理安全 DS12 二 计算机稽核的主要内容 7 29 主要内容 在安全区域建立物理准入控制从物理上保护硬件设施不受偷盗保护网络和通信线路不被窃听保护设备不被任意移动或丢弃低调的外观 来访者陪同 抵御外部环境破坏等 二 计算机稽核的主要内容 7 案例分析 5 问题 请大家找一下录像中针对数据中心实施了哪些控制措施 请看录像 并回答以下问题 问题1 NTT香港数据中心有哪些针对物理安全的控制措施 问题2 除了录像中的措施外 还有哪些方面是金融行业数据中心应关注和防范的 问题3 假设你对某分行数据中心进行稽核 你准备如何检查 30 31 目标 确保信息处理系统的操作安全准确最大程度减少系统宕机风险 保护软件和信息的完整性保证信息处理系统和通信的完整性及可用性确保网络信息安全和对网络基础架构的安全防止资产的损失和业务活动的中断防止组织之间信息交换中出现的信息损失 改动或误用 6 通信及操作管理 DS3 DS5 二 计算机稽核的主要内容 8 32 主要内容 病毒错误的软件变更控制备份保持正确的访问记录系统文档的安全磁介质的销毁在传输与转换中保护数据及数据的认证电子邮件的安全 二 计算机稽核的主要内容 8 33 管理性能和容量 DS3 可用性和性能需求自动的监控和报告模型工具容量管理资源的可用性硬件和软件的性能 价格比变化 二 计算机稽核的主要内容 9 34 系统安全 DS5 保密和隐私要求授权 鉴别和访问控制用户识别和授权特征描述文件需要才能有和需要才能知道原则密钥管理 二 计算机稽核的主要内容 10 35 突发事件的处理 报告和跟踪病毒预防与检测防火墙集中的安全管理用户培训用于监控遵从性 入侵测试和报告的工具 二 计算机稽核的主要内容 10 案例分析 6 案例六 1999年3月26日 一种利用WORD宏功能入侵计算机的梅莉莎病毒爆发在短短3天时间内 有数十万台计算机受到了感染 该病毒表明电子邮件可以被用来迅速地在互联网上传播病毒 并导致成千上万家公司的电脑系统中电子邮件泛滥成灾 从而令其电子邮件和电脑网络大受干扰 甚至全部不能使用 问题 1 该病毒使用的是什么攻击模式 2 请说明病毒 木马 蠕虫的区别 3 为避免银行计算机系统收到恶意代码的攻击 你应该提出什么稽核建议 36 案例分析 6 攻击的几种方式 1 Salami 2 DataDiddling 意味著在资料输入系统之前 当时或之后 更改或增删资料 3 ExcessivePrivileges 由于管理不到位等原因 造成一些员工具有超出其工作所需的权限 从而造成权限的滥用 4 PasswordSniffing 通过截获网络数据流的方式窃取计算机口令以达到非法进入计算机系统的目的 5 IPSpoofing 使用他人的IP地址以达到欺骗的目的 使其破坏行为难以被发现 6 DenialofService 也称服务拒绝攻击 7 DumpsterDiving 通过在被丢弃的废物中搜寻的方式获得有价值信息的行为 虽然不道德 但通常并不违反法律 8 EmanationsCapturing 通过捕捉计算机系统泄漏的电磁信号达到获取有价值信息的目的 机房进行电磁屏蔽 9 Wiretapping Eavesdropping 通过窃听通讯信号的方式非法获得信息和数据 搭线窃听 ATM线路 10 SocialEngineering 通过欺骗等诡计诱使他人泄漏或更改信息以达到侵入系统的目的 银行卡诈骗 骗子打电话或发短信说某客 37 案例分析 6 病毒必须满足两个条件 1 它必须能自行执行 它通常将自己的代码置于另一个程序的执行路径中 2 它必须能自我复制 例如 它可能用受病毒感染的文件副本替换其他可执行文件 病毒既可以感染桌面计算机也可以感染网络服务器 蠕虫病毒的前缀是 Worm 这种病毒的共有特性是通过网络或者系统漏洞进行传播 普通病毒需要传播受感染的驻留文件来进行复制 而蠕虫不使用驻留文件即可在系统之间进行自我复制 木马病毒其前缀是 Trojan 黑客病毒前缀名一般为Hack 木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏 然后向外界泄露用户的信息 而黑客病毒则有一个可视的界面 能对用户的电脑进行远程控制 木马 黑客病毒往往是成对出现的 即木马病毒负责侵入用户的电脑 而黑客病毒则会通过该木马病毒来进行控制 从上面这些内容中我们可以知道 38 案例分析 6 39 木马病毒 案例分析 6 稽核建议 因而要预防病毒木马 我们首先要提高警惕 不要轻易打开来历不明的可疑的文件 网站 邮件等 并且要及时为系统打上补丁 最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库 如果做好了以上几点 基本上可以杜绝绝大多数的病毒木马 最后 值得注意的是 不能过多依赖杀毒软件 因为病毒总是出现在杀毒软件升级之前的 靠杀毒软件来防范病毒 本身就处于被动的地位 我们要想有一个安全的网络安全环境 根本上还是要首先提高自己的网络安全意识 对病毒做到预防为主 查杀为辅 40 41 目标 控制对信息的访问 防止未经授权访问系统 确保网络服务的安全 防止未经授权对计算机的访问 检测非法访问事件 使用移动计算和远程网络时确保信息安全 7 访问控制 二 计算机稽核的主要内容 11 42 主要内容 如何将访问控制运用在不同的系统中发布并使用密码设置警报终端登录失败自动退出对终端的物理访问软件监控 二 计算机稽核的主要内容 11 案例分析 7 案例七 2009年7月22日 丽江市公安局经侦支队接到受害者李某的报案 其报称 李某当日持建设银行的存折到建设银行丽江分行的网点取款时发现 自己的银行存款于2009年7月2日通过ATM机被人取走了9000元钱 接到报案后 经侦支队侦查人员与银行相关部门联系 对李某的银行存款被盗情况进行了调查了解 经过调查发现 2007年7月2日20时43分至45分之间 李某的9000元存款是通过招商银行广东省东莞分行的ATM机上分三次取走的 从作案手段上分析 这起案件极有可能是犯罪嫌疑人盗取李某的建设银行卡信息及密码后利用克隆的银行卡进行信用卡诈骗的案件 目前 该案正在调查当中 43 问题 你认为密码泄露存在哪些可能 应如何预防 44 目标 确保操作系统安全 防止应用系统中数据的遗失 更改或误用 保护信息的秘密性 完整性和认证 保证IT项目和支持活动安全有序 确保系统开发软件和数据的安全 主要内容 管理项目 PO10 项目的业务管理层发起人地位程序管理 8 系统开发与维护 PO10PO11 二 计算机稽核的主要内容 12 45 项目管理能力用户参与任务细分 里程碑确定和阶段审核责认的分配里程碑和可交付的严格追踪费用和人力预算 平衡内部和外部资源质量保证计划和方法程序和项目风险评估从开发到运行的过渡 二 计算机稽核的主要内容 12 46 管理质量 PO11 质量文化的建立质量计划质量保证责任质量控制实务 二 计算机稽核的主要内容 13 47 系统开发生命周期方法程序和系统的测试及文档质量保证检查和报告最终用户和质量保证人员的培训及参与质量保证知识库的开发按行业规范制定标准 二 计算机稽核的主要内容 13 48 案例分析 8 案例八 2005年9月初 乐购金山店的工作人员在账面盘点时 发现货物缺损严重 可监控录像里又看不到任何蛛丝马迹 于是立即向警方报案 随后 其他店也发现了类似情况 警方经过调查发现 乐购超市几家门店货物缺损率大大超过了业内千分之五的物损比例 警方分析 问题很可能出在收银环节 通过顺藤摸瓜 警方最终挖出一个包括超市资讯员 收银员在内的40余人的犯罪团伙 该人员设计非法软件程序 培训 特别 收银员 每天将超市销售记录的20 自动删除 并将其装入自己的腰包 这伙成员达43人的超市内部高智商犯罪团伙 通过分工合作 在短短一年多的时间内侵占了超市营业款397万余元 49 据了解 主犯方元今年25岁 学的是计算机专业 曾是乐购超市真北店资讯组组长 方元在工作中发现了超市收银系统存在漏洞 于是便设计了攻击性的补丁程序 可将超市销售记录的20 自动删除 2004年6月至2005年8月期间 方元等人修改非法程序 于琪等人利用收银员的工作便利 截留侵吞乐购超市3家门店营业款共计397万余元 上述赃款由收银员上交后 再按比例分成 涉案人员各得赃款数千元至数十万元不等 案例分析 8 问题 如何确保计算机系统在开发和维护中的安全 50 目标 应对业务活动的中断 保证重要业务流程从灾难性事件中恢复 减少灾难带来的负面效果 主要内容 DS4 危险程度分类可选择程序 9 业务持续性计划 DS4 二 计算机稽核的主要内容 14 51 备份和恢复系统和有规律的测试及培训监控和逐步升级过程内部和外部机构的责任业务持续性的激活 回退和恢复计划风险管理活动单点失败的评估问题管理 二 计算机稽核的主要内容 14 案例分析 9 案例九 2009年12月某日14时25分 沪指位于3018 55点 大盘正处于震荡下跌之时 许多股民急于将手里的股票抛售 也有股民想逢低吸纳 可正在这个当口 使用申银万国账户的股民却发现交易系统突发异常无法操作 股民沈先生说 我下午2点半以后 登录交易软件 但登不上去 刚开始以为自己的电脑出了问题 然后开始登录申银万国网站上提供的交易窗口 也登不上 电话交易也不能使用 三个交易方式没一个行得通 客服电话也一直打不通 大多股民都如沈先生一般 急得跳脚 想卖的卖不出 想买的买不进 沈先生说 因为这个原因他损失了好几万 直至14时52分即收盘前8分钟 申银万国的交易系统才恢复 问题 你认为应采取哪些措施减少类似问题的影响 52 案例分析 9 业务持续性计划与灾备 没有进行定期的备份恢复性测试 没有建立异地备份机制 没有建立灾备计划及定期测试 没有合理的授权处理操作 53 54 目标 避免违反法律法规和规章制度 保证与组织内的安全政策和标准相符合 最大程度减小对审计过程的影响 10 符合性 PO8 二 计算机稽核的主要内容 15 55 主要内容 PO8 组织需求符合法律与合同条款法律 规章和合同追踪法律和法规的发展对遵从性有规律的监测安全和人类环境改造学隐私知识产权 二 计算机稽核的主要内容 15 56 案例十 2009年中国人民银行下发了银办发 2009 115号文 中国人民银行办公厅关于开展2009年全国商业银行网上银行信息安全现场检查的通知 检查的目的是帮助商业银行及时发现网上银行信息安全的漏洞和风险隐患并有效开展整改工作 降低网银安全事件发生概率 案例分析 10 57 检查内容是对网银的安全技术 客户端 认证介质 传输网络 后台 安全管理 与技术相关的业务安全等情况开展现场检查 查找网银信息系统和应用存在的安全隐患 督促商业银行完善各项方法措施 提高服务水平和质量及抗风险能力和意识 为网银用户提供安全和可靠的服务环境 问题 现在领导要求你带领一个稽核组先开展网上银行的内部稽核工作 形成稽核报告 并在此基础上迎接人民银行的检查 请问你如何制定稽核方案 如何开展工作 58 目标 确保有效途径满足用户的需求 能够有效支持业务过程 提供支持业务应用的适当平台 满足业务需求 检验和确认解决方案满足预期的目标 使中断 未经授权的变更和差错的可能性最小化 11 外包 AI1 AI2 AI3 AI4 AI5 AI6 二 计算机稽核的主要内容 16 59 主要内容 确定自动化的解决方案 AI1 市场上可用的解决方案的认知获取和实施方法用户参与和大宗买进与企业和IT战略的结合信息需求的定义可行性研究 费用 收益 可选方案 等等 功能性 可操作性 可接受性以及可支撑性需求符合信息体系结构成本 效益的安全和控制供应商责任 二 计算机稽核的主要内容 16 60 获取和维护应用软件 AI2 功能性测试和验收应用控制和安全要求文档要求应用软件生命周期企业信息体系结构系统开发生命周期方法人机接口程序包的用户化定制 二 计算机稽核的主要内容 17 61 获取和维护技术基础设施 AI3 遵从技术基础设施的方向和标准技术评估安装 维护与变更控制升级 转换和移植计划内部和外部基础设施和 或 资源的使用供货商责任和关系变更管理所有者的总成本系统软件安全 二 计算机稽核的主要内容 18 62 开发和维护程序 AI4 业务过程的再设计由于其它技术交付而产生的处理程序适时的开发用户程序与控制操作程序与控制培训资料变更管理 二 计算机稽核的主要内容 19 63 系统的安装和鉴定 AI5 用户和IT操作人员的培训数据转换反映真实环境的测试环境鉴定合格在实施之后的评价和反馈最终用户参与测试持续的质量改进计划业务持续性要求容量和吞吐量测量达成一致的验收接受标准 二 计算机稽核的主要内容 20 64 管理变更 AI6 变更的识别分类 排列优先顺序以及紧急事件程序影响的评估变更的授权版本发布的管理软件的分发自动化工具的使用配置管理业务过程的重新设计 二 计算机稽核的主要内容 21 65 66 三 计算机稽核的标准 1 67 ISACA InformationSystemsAuditandControlAssociation 国际信息系统审计与控制协会国际信息系统审计与控制协会 ISACA 网址 www isaca org 是全球公认的信息科技管治 控制 安全 以及标准合规的领导组织 会员遍布逾160个国家 总数超过86 000人 ISACA成立于1969年 除赞助国际会议外 还有出版刊物 ISACAJournal 开发国际信息系统的审计与控制标准 以及颁授广受全球接纳的国际公认信息系统审计师 CISA 和国际公认信息保安经理 CISM 专业资格 三 计算机稽核的标准 2 68 CISA自1978年创立以来已获逾60 000名专业人士取得资格 而CISM认可资格自2002年推出后已经获10 000多名专业人士领取 ISACA于2008年设立了一项新的认可资格年设立了一项新的认可资格 名为 企业信息科技管治认证 CGEIT 三 计算机稽核的标准 2 69 2 COBIT什么是COBIT 信息及相关技术的控制目标COBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目 以及建立在这些目标上的广泛的行动指南 COBIT实现了企业目标与IT治理目标之间的桥梁作用 三 计算机稽核的标准 3 70 COBIT实现可跟踪的业绩衡量 通过平衡记分卡可以在财务 企业资源管理 客户 客户关系管理 过程 内部网 工作流工具 学习 知识管理 等方面维持平衡 评价企业目标的实现情况以及IT绩效 并调整业务目标和IT战略 进行持续的IT管理 三 计算机稽核的标准 3 71 COBIT采用成熟度模型 可以定位自己企业的IT管理目前在业界所处的位置 以及未来努力的方向 通俗地说就是给IT管理 打分 COBIT还提供了目前最佳案例和关键成功因素 CSF 供企业和组织借鉴 作为IT治理的核心模型 COBIT包含34个信息技术过程控制 并归集为四个控制域 IT规划和组织 Planning andOrganization 系统获得和实施 Acquisition andImplementation 交付与支持 Delivery andSupport 以及信息系统运行性能监控与评价 Monitoring 三 计算机稽核的标准 3 72 COBIT框架措施 与业务保持联系 采用通用过程模型的方式来组织IT活动 识别需要调节的重要IT资源 规定管理者应该考虑的控制目标 三 计算机稽核的标准 4 73 COBIT与IT治理有什么关系 提供管理工具来提升IT和衡量治理水平IT治理关注的领域战略协调 价值交付 绩效衡量 风险管理 资源管理 三 计算机稽核的标准 5 74 IT治理 计划与组织 监控 交付与支持 采购与实施 效力效率机密性机密性完整性有效性依从性可靠性 信息 人力应用系统技术设备数据 IT资源 信息安全监控与安全事件报告管理制度 信息系统监控制度 SAP系统监控制度 IT服务水平管理制度 第三方服务商管理制度 信息安全管理制度 系统帐号管理制度 系统配置与基础架构变更管理制度 SAP应用系统帐号管理制度 操作管理制度 数据管理制度 备份管理制度 软件许可管理制度 防火墙与安全网关管理制度 防病毒管理制度 计算机用户安全管理制度 机房管理制度 远程访问管理制度 软件开发管理制度 软件变更管理制度 IT软硬件采购管理制度 信息技术制度维护制度 COBIT 第三方连接安全管理制度 问题处理管理制度 三 计算机稽核的标准 6 75 COBIT框架和核心组件 三 计算机稽核的标准 7 76 三 计算机稽核的标准 8 77 三 计算机稽核的标准 8 78 三 计算机稽核的标准 9 COBIT4 12007年5月8日 ITGI发布COBIT4 1 它是COBITIT治理框架的最新版本 COBIT4 1是COBIT4 0框架的一种微调 COBIT4 1的更新包括提高了性能测量 改善了控制目标并且对商业和IT目标有了更好的定位 79 CobiT4 1补充了对执行概要部分的描述 对绩效评价的解释更为清晰 对IT目标 流程和活动目标这一瀑布式的每个部分都增加了评价标准 并且扩展了绩效驱动因素和结果衡量标准之间的区别 结果的衡量标准 KGI 同时也是更高层级目标的驱动因素 KPI 由于控制实践和ValIT模型的开发 CobiT4 1同时还包括更完善的控制目标 三 计算机稽核的标准 9 80 在控制目标这个层面 控制目标的定义也有所变化 变得更加贴合管理实践 一些控制目标被重新定义和分组 以防止控制目标的交叠 使整个控制目标更加协调 在CobiT4 1中 AI5 4 AI5 5和AI5 6合并成了一个 AI7 9 AI7 10和AI7 11也合并成了一个 三 计算机稽核的标准 9 81 三 计算机稽核的标准 10 3 银监会 商业银行信息科技风险管理指引 银监会2009年3月发布 商业银行信息科技风险管理指引 以下简称 管理指引 原 银行业金融机构信息系统风险管理指引 银监发 2006 63号 以下简称原 指引 同时废止 82 管理指引 具有以下几个特点 一是全面涵盖商业银行的信息科技活动 进一步明确信息科技与银行业务的关系 对于认识和防范风险具有更加积极的作用 二是适用范围由银行业金融机构变为法人商业银行 其他银行业金融机构参照执行 三是信息科技治理作为首要内容提出 充实并细化了对商业银行在治理层面的具体要求 三 计算机稽核的标准 10 83 四是重点阐述了信息科技风险管理和内外部审计要求 特别是要求审计贯穿信息科技活动的整个过程之中 五是参照国际国内的标准和成功实践 对商业银行信息科技整个生命周期内的信息安全 业务连续性管理和外包等方面提出高标准 高要求 使操作性更强 六是加强了对客户信息保护的要求 新 指引 共十一章七十六条 分为总则 信息科技治理 信息科技风险管理 信息安全 信息系统开发 测试和维护 信息科技运行 业务连续性管理 外包 内部审计 外部审计和附则等十一个部分 三 计算机稽核的标准 10 84 85 稽核对象的定义 准确的定义被审系统对审计工作的成败有决定性的影响 以网上银行系统功能为例 可能被审计的系统功能如下 开帐户 转帐 网上支付 网上查询 申请信用卡 外汇及证券交易 三 计算机稽核的流程和方法 1 86 计算机稽核的流程根据各风险的评级 可拟定以下对系统的信息需求 有效性 Effectiveness 运行效率 Efficiency 保密性 Confidentiality 完整性 Integrity 实时性 Availability 合规性 Compliance 可依赖性 Reliability 三 计算机稽核的流程和方法 2 87 稽核流程1 识别系统特性硬件配备 Hardware 软件配备 Software 系统接口及数据流向 SysteminterfacesandInformationflow 业务数据与关键信息 DataandInformation 三 计算机稽核的流程和方法 3 88 数据机密性 DataSensitivity 系统用户 Userofthesystem 数据存储 Informationstorage IT环境安全 EnvironmentalSecurity 三 计算机稽核的流程和方法 3 89 稽核流程2 考虑可能的威胁外部的攻击 如DenialofService 非授权数据存取非授权操作岗位牵制不足人员操作失误缺乏检查和监督 三 计算机稽核的流程和方法 4 90 稽核流程3 审阅可能存在的漏洞过期帐号 TerminatedemployeesIDnotremovedfromsystem 防火墙配置漏洞 Firewallallowsinboundtelnet 三 计算机稽核的流程和方法 5 91 临时帐号被起用 GuestIDareenabled 未及时安装安全补丁 Patchesforidentifiedflawsarenotinstalled 人员牵制不足 Notenoughcontrol 未经过授权就操作 Unthorization 三 计算机稽核的流程和方法 5 92 稽核流程4 分析控制措施控制手段 方法 系统功能控制 TechnicalControl 流程控制 Non technicalControl 控制类别 事前防范 PreventiveControls 事后检测 DetectiveControls 三 计算机稽核的流程和方法 6 93 稽核流程5 风险评估 三 计算机稽核的流程和方法 7 94 稽核流程6 提出审计建议 并应考虑以下因素 建议的有效性 Effectivenessofrecommendedoptions 法律法规 Legislationandregulation 公司政策 Organizationalpolicy 业务操作影响 Operationalimpact 安全及可靠性 Safetyandreliability 技术可行性 Technicalfeasibility 三 计算机稽核的流程和方法 8 95 稽核流程7 对稽核发现的整改及后续审计及时与审计对象沟通 落实审计发现 制定合理的整改方案 整改时间 制定针对审计发现的后续审计时间表 三 计算机稽核的流程和方法 9 96 制定计划 现场检查 人员组织角色分配 选取辅助工具 风险评估 出具报告 发现问题 核实确认 后续稽核 三 计算机稽核的