银行信息科技审计指引模版.docx

银行信息科技审计指引 为提高我行信息科技风险管理水平，有效防范科技信息系统在业务处理、经营管理和内部控制过程中产生的风险，保证我行科技信息系统安全、持续、稳健运行，根据银监会《商业银行信息科技风险管理指引》、《银行业金融机构内部审计指引》 的相关要求，结合我行信息科技管理工作的实际情况，制定本指引。 一、审计的范围及内容 （一）总行审计部可根据信息系统所涉及的业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计、外部审计的范围和频率。一般情况下，至少每三年应进行一次全面审计，全面审计可以由审计部开展或聘请专业机构开展，全面审计评价至少应包含如下内容： 1、信息科技治理和组织结构 ·制度建设 ·组织结构 2、信息安全管理 ·信息安全基本要求 ·逻辑访问的风险与控制 ·网络安全控制 ·环境的风险和控制 ·物理访问的风险与控制 ·软件的风险与控制 3、信息科技项目开发和变更管理 ·项目开发管理 ·项目变更管理 ·项目资料文档管理体系 ·系统设计开发外包缺陷风险管理 4、信息系统运行和操作管理 ·信息系统运行体系建设情况 ·操作环境控制和预防性维护情况 ·生产变更管理 ·信息科技操作风险控制措施 ·日志管理 5、业务持续性规划 ·董事会和高级管理层在业务持续性规划中的职责和工作机制 ·业务持续性规划的制定和实施 ·备份中心的管理与操作 ·业务持续性规划的测试和维护 （二）总行审计部可根据信息系统开发的规模和重要程度，组织审计人员进行系统审阅，以保证信息系统开发符合我行信息科技风险管理的标准。 （三）重要科技信息系统或环境出现重大事故时，总行审计部要对信息科技安全事故进行调查、分析和评估，并根据风险评估结果对认为必要的特殊事项进行审计。即使没有重大事故的情况下，审计部也可随时开展专项审计。 二、审计的流程和方法 （一）信息科技风险评价审计过程分为计划准备、现场审计、识别分析、成果提交及验收四个阶段。 1、计划准备阶段 .必要的项目资料 .制定审计方案 .方案审核 .召开进场会议 2、现场审计阶段 .文档审查 .人员访谈 .安全审查及日志审查 .脆弱性扫描 .安全测试 3、识别阶段 .信息整理 .脆弱性识别 .威胁识别 .安全措施确认 .风险及差距分析 4、成果提交及验收 .编写报告 .报告审核 .报告提交 .项目验收 （二）审计项目实施过程中搜集信息，获取证据所采用的主要方法有访谈、检查和测试等。 1、访谈：与信息系统相关人员进行交流、讨论等活动，证明信息系统安全保护措施是否有效。 2、检查：测评人员通过对审计对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效。 3、测试：测评人员通过对审计对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果，获取证据以证明信息系统安全保护措施是否有效。 三、审计的工具 1、借助行内部署的一些系统工具，如信息管理系统、资产管理系统、审计系统、网络管理系统和入侵检测系统等； 2、针对审计项目特点，开发或使用一些第三方工具，如： 序号 种类 工具名称 1 表类工具 《信息系统基本情况了解》 《威胁信息采集表》 《脆弱性信息采集表》 《评价审计访谈表》 《评价审计检查表》 《安全测试表》 2 威胁识别工具 IDS 3 嗅探工具 Sniffer、Wireshark 4 脆弱性扫描工具 CSTC脆弱性扫描工具、RJ-iTOP、AURORA 5 渗透性测试工具 CSTC渗透性测试工具集、IBM Rational AppScan、WVS、Metasploit 6 代码安全扫描工具 CSTC代码安全扫描工具、Fortify SCA、 SI CxSuite 四、审计结果的报告和利用 （一）审计结果的报告 1、审计项目形成的审计报告经审核批准后，报主管领导审阅，并抄送董事会审计委员会、风险管理委员会、信息技术委员会。特殊情况下，可直接报行长和董事长。 2、每年审阅并向银监会派出机构报送信息科技风险管理的年度报告。 （二）审计结果的利用 信息科技管理部门必须按照经总行领导及相关委员会批准的审计报告认真落实整改相关问题并形成整改报告，经其主管领导批准后报审计部同时抄送董事会审计委员会、风险管理委员会、信息技术委员会等相关专业委员会。 五、本指引由总行审计部负责解释与修订 六、本指引自发布之日起试行