内部审计实务指南第5号模版.docx

内部审计实务指南第5号 ——信息系统安全控制审计指南 第一条 为了规范信息系统安全审计监督，提高审计质量和效率，根据《银行内部审计工作办法》，制定本指南。 第二条 本指南所称的信息系统安全控制审计，是指审计部门对信息科技治理和组织结构、信息系统安全管理、信息系统开发设计管理、信息系统运行维护管理、业务持续性规划等方面的安全控制进行的审计。 第三条 信息系统安全控制审计的目的是通过获取并评价证据，判断信息系统是否能够保证资产的安全、数据的安全和完整，控制信息系统安全风险，保证信息系统高效、安全运行，实现审计为组织增加价值的目标。 第四条 被审计单位必须如实提供下列材料： （一）信息科技治理架构及相关职责文件； （二）科技管理制度； （三）科技风险管理制度； （四）主机、网络运行日志； （五）相关设备的参数配置； （六）用户组和用户信息列表。 第五条 信息系统安全审计的内容：结合信息系统安全和控制对以下四个方面进行审计，保证审计目标的实现。 （一） 网络层面审计对象包括对网络结构、网络设备安全以及网络行为的审计，审计数据来自人工收集和技术手段收集等。网络架构主要是对链路、结构以及网络配置方面的审计。网络设备安全审计主要设备层面安全配置审计。而网络行为审计内容重点是对网络中发生的安全事件、网络异常行为的审计。网络层面具体审计内容如下： （二） 审计对象 审计内部 具体审计项 审计频率 审计方式 网络架构安全 网络的划分 网络间通讯的流程和控制 网络链路的备份 网络安全的设计 网络服务 查看网络物理结构图 查看网络逻辑结构图（IP分配） 使用网络侦测工具进行IP（网络服务）扫描 查看网络安全审计和实施方案 测试备份网络链路 测试网络路由情况 测试网络负载情况 人工 审计 网络设备安全 防火墙 路由器 交换机 网关 查看防火墙安全日志文件 查看路由器、交换机、网关日志文件 检查防火墙安全配置 查看路由器路由和其他网络配置 查看交换机、VLAN、端口映射、数据流控制等配置 查看网关配置 人工或利用系统完成日志信息收集 网络行为监控和检测 监控系统的运作情况 入侵监测运行情况 查看网络监控系统和入侵监测系统的配置文件 查看监控系统和入侵检测系统的日志文件 测试监控和入侵检测系统的报警机制能否正常运作 测试关键的监控和入侵检测功能（运行非正常操作，测试系统能否捕获和报警） 利用网络中的网络监控和检测系统完成审计数据的手机，结合技术和人工方式完成 （二）系统层面安全审计对象包括系统安全技术、计算机病毒防治、远程访问安全。在对设备层面审计重点是对各种系统生成的日志、操作日志进行审计。具体审计内容如下： 审计对象 审计内容 具体审计项 审计频率 审计方式 系统安全技术 操作系统安全性 查看操作系统安全日志文件 查看管理员操作日志文件 查看文件访问记录 对用户权限分配情况进行抽查 进行系统漏洞扫描和补丁检测 利用集中日志管理系统完成日志信息的手机和处理或者选择人工方式收集 计算机病毒防治 防病毒系统的安装情况 防病毒系统的运行情况 系统病毒数据库的更新情况 用户病毒数据库的更新情况 抽查计算机用户时候安装了规定的防病毒程序，并检查程序的内部设定 抽查计算机用户的病毒库版本 随机测试防病毒系统的功能 查看反病毒库的运行日志文件 检查防病毒系统的病毒库版本 人工收集 远程访问安全 远程访问身份验证 远程访问权限分配 远程访问通讯加密 远程访问性能 远程访问服务器和系统的安全性 查看远程访问安全日志文件 查看远程访问控制设定 查看远程访问服务器的性能日志文件 对远程服务器进行漏洞扫描 对传送的数据实行测试 （三）应用层面审计重点是对应用系统生命周期管理的审计，包括：应用软件开发安全、应用系统运行安全、数据库安全、数据备份和恢复等方面。 审计对象 审计内容 具体审计项 审计频率 审计方式 软件开发安全 软件开发环境 软件测试规定和执行情况 软件开发文档管理规定和执行情况 测试系统与生产系统同步情况 查看软件开发规范 查看软件开发环境设计和实施方案 查看软件开发项目文档和有关技术文档 查看软件测试记录 查看软件开发系统备份记录 查看测试系统升级计划和有关实施文档 人工收集 系统运营安全 业务主机安全性 业务主机备份和恢复 查看业务主机安全日志文件 查看业务主机管理员操作日志 查看文件访问记录 查看数据备份记录 进行主机漏洞/补丁升级情况 查看所有用户的权限分配 数据库安全 数据库用户设定和权限分配 数据库访问身份验证 数据库完整性 数据库访问性能 查看数据库安全日志文件 查看数据库性能乳汁文件 查看数据库用户和用户组设定和相应的权限设置 使用数据库测试工具，检查数据库内数据和数据关系的完整性 数据备份和恢复 数据备份和恢复计划和执行情况 备份应用程序 备份介质管理制度和执行情况 备份和恢复操作制度和执行情况 查看碑文应用程序的运行日志文件 查看备份介质记录 查看备份介质管理记录 查看备份和恢复操作记录 备份系统和生产系统切换测试 备份介质存放地点检查 备份介质可用性测试检查 备份系统可用性测试检查 人工审计 （四）业务层面的安全重点是对账号集中审计管理以及对关键业务操作行为的审计。 审计对象 审计内容 具体审计项 审计频率 审计方式 账户管理 账户分配情况 账号的创建与变更 账号的创建时间、创建人 账号的变更时间、变更人以及其他变更事项 账号冻结、解冻检查 账号分配时间和有效期 人工审计 账号授权 对账号授权过程审计 对账号当前使用权限的审计 包括账号的访问权限、查询资源的授权访问者，权限的分配时间、分配者等 账号权限变更时间、变更人员和变更事项 账号当前对应的权限是否与该账号所进行的操作权限一致 登陆行为 成功登陆 失败登陆 登陆顺序 权限人账号登陆、退出系统的时间 账号失败登陆使用的账号、频率、时间等 同一个账号在一段时间内登陆系统的顺序 业务操作 网络管理行为审计 数据库操作审计 自维护工作中使用FTP/Telnet 等各种操作进行审计，获得全部操作记录和结果 对FTP/telnet 等操作执行回放，还原操作内容 记录与登陆者身份不符的各种操作指令 检查权限人对数据库进行的操作类型 对系统配置数据的删除操作进行审计 通过制定数据库关键字段、关键操作进行审计 根据操作时序顺序对操作行为进行审计 对于关键操作的关联操作账号的权限范围进行审计 第六条 本指南由总行审计部负责解释、修改。 第七条 本指南自发文之日起施行，已有规定与本指南不一致的，按本指南执行。