內部審計實務指南第5號模版

1、內部審計實務指南第5號 信息系統(tǒng)安全監(jiān)控審計指南第一條 為了規(guī)范信息系統(tǒng)安全審計監(jiān)督，提高審計質量和效率，根據(jù)銀行內部審計工作辦法，制定本指南。第二條 本指南所稱的信息系統(tǒng)安全監(jiān)控審計，是指審計部門對信息科技治理和組織結構、信息系統(tǒng)安全管理、信息系統(tǒng)開發(fā)設計管理、信息系統(tǒng)運行維護管理、業(yè)務延續(xù)性規(guī)劃等方面的安全監(jiān)控進行的審計。第三條 信息系統(tǒng)安全監(jiān)控審計的目的是通過獲取并評價證據(jù)，判斷信息系統(tǒng)是否能夠保證資產的安全、數(shù)據(jù)的安全和完整，監(jiān)控信息系統(tǒng)安全風險，保證信息系統(tǒng)高效率、安全運行，實現(xiàn)審計為組織增加價值的目標。第四條 被審計單位必須如實提供下列材料：（一）信息科技治理架構及相關職責資料文件

2、；（二）科技管理制度；（三）科技風險管理制度；（四）主機、網絡運行日志；（五）相關設備的參數(shù)配置；（六）用戶組和用戶信息列表。第五條 信息系統(tǒng)安全審計的內容：結合信息系統(tǒng)安全和監(jiān)控對以下四個方面進行審計，保證審計目標的實現(xiàn)。網絡層面審計對象包括對網絡結構、網絡設備安全以及網絡行為的審計，審計數(shù)據(jù)來自人工收集和技術手段收集等。網絡架構主要是對鏈路、結構以及網絡配置方面的審計。網絡設備安全審計主要設備層面安全配置審計。而網絡行為審計內容重點是對網絡中發(fā)生的安全事件、網絡異常行為的審計。網絡層面具體審計內容如下：審計對象審計內部具體審計項審計頻率審計方式網絡架構安全網絡的劃分網絡間通訊的流程和監(jiān)控網

3、絡鏈路的備份網絡安全的設計網絡服務查看網絡物理結構圖查看網絡邏輯結構圖（IP分配）使用網絡偵測工具進行IP（網絡服務）掃描查看網絡安全審計和實施方案測試備份網絡鏈路測試網絡路由情況測試網絡負載情況人工審計網絡設備安全防火墻路由器交換機網關查看防火墻安全日志資料文件查看路由器、交換機、網關日志資料文件檢查防火墻安全配置查看路由器路由和其他網絡配置查看交換機、VLAN、端口映射、數(shù)據(jù)流監(jiān)控等配置查看網關配置人工或利用系統(tǒng)履行日志信息收集網絡行為監(jiān)控和檢測監(jiān)控系統(tǒng)的運作情況入侵監(jiān)測運行情況查看網絡監(jiān)控系統(tǒng)和入侵監(jiān)測系統(tǒng)的配置資料文件查看監(jiān)控系統(tǒng)和入侵檢測系統(tǒng)的日志資料文件測試監(jiān)控和入侵檢測系統(tǒng)的報警

4、機制能否正常運作測試關鍵的監(jiān)控和入侵檢測功能（運行非正常操作，測試系統(tǒng)能否捕獲和報警）利用網絡中的網絡監(jiān)控和檢測系統(tǒng)履行審計數(shù)據(jù)的手機，結合技術和人工方式履行（二）系統(tǒng)層面安全審計對象包括系統(tǒng)安全技術、計算機病毒防治、遠程訪問安全。在對設備層面審計重點是對各種系統(tǒng)生成的日志、操作日志進行審計。具體審計內容如下：審計對象審計內容具體審計項審計頻率審計方式系統(tǒng)安全技術操作系統(tǒng)安全性查看操作系統(tǒng)安全日志資料文件查看管理員操作日志資料文件查看資料文件訪問記錄對用戶權限分配情況進行抽查進行系統(tǒng)漏洞掃描和補丁檢測利用集中日志管理系統(tǒng)履行日志信息的手機和處理或者選擇人工方式收集計算機病毒防治防病毒系統(tǒng)的安裝

5、情況防病毒系統(tǒng)的運行情況系統(tǒng)病毒數(shù)據(jù)庫的更新情況用戶病毒數(shù)據(jù)庫的更新情況抽查計算機用戶時候安裝了規(guī)定的防病毒程序，并檢查程序的內部設定抽查計算機用戶的病毒庫版本隨機測試防病毒系統(tǒng)的功能查看反病毒庫的運行日志資料文件檢查防病毒系統(tǒng)的病毒庫版本人工收集遠程訪問安全遠程訪問身份驗證遠程訪問權限分配遠程訪問通訊加密遠程訪問性能遠程訪問服務器和系統(tǒng)的安全性查看遠程訪問安全日志資料文件查看遠程訪問監(jiān)控設定查看遠程訪問服務器的性能日志資料文件對遠程服務器進行漏洞掃描對傳送的數(shù)據(jù)實行測試（三）應用層面審計重點是對應用系統(tǒng)生命周期管理的審計，包括：應用軟件開發(fā)安全、應用系統(tǒng)運行安全、數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復等

6、方面。審計對象審計內容具體審計項審計頻率審計方式軟件開發(fā)安全軟件開發(fā)環(huán)境軟件測試規(guī)定和執(zhí)行情況軟件開發(fā)文檔管理規(guī)定和執(zhí)行情況測試系統(tǒng)與生產系統(tǒng)同步情況查看軟件開發(fā)規(guī)范查看軟件開發(fā)環(huán)境設計和實施方案查看軟件開發(fā)項目文檔和關于技術文檔查看軟件測試記錄查看軟件開發(fā)系統(tǒng)備份記錄查看測試系統(tǒng)升級計劃和關于實施文檔人工收集系統(tǒng)運營安全業(yè)務主機安全性業(yè)務主機備份和恢復查看業(yè)務主機安全日志資料文件查看業(yè)務主機管理員操作日志查看資料文件訪問記錄查看數(shù)據(jù)備份記錄進行主機漏洞/補丁升級情況查看所有用戶的權限分配數(shù)據(jù)庫安全數(shù)據(jù)庫用戶設定和權限分配數(shù)據(jù)庫訪問身份驗證數(shù)據(jù)庫完整性數(shù)據(jù)庫訪問性能查看數(shù)據(jù)庫安全日志資料文件查

7、看數(shù)據(jù)庫性能乳汁資料文件查看數(shù)據(jù)庫用戶和用戶組設定和相應的權限設置使用數(shù)據(jù)庫測試工具，檢查數(shù)據(jù)庫內數(shù)據(jù)和數(shù)據(jù)關系的完整性數(shù)據(jù)備份和恢復數(shù)據(jù)備份和恢復計劃和執(zhí)行情況備份應用程序備份介質管理制度和執(zhí)行情況備份和恢復操作制度和執(zhí)行情況查看碑文應用程序的運行日志資料文件查看備份介質記錄查看備份介質管理記錄查看備份和恢復操作記錄備份系統(tǒng)和生產系統(tǒng)切換測試備份介質存放地點檢查備份介質可用性測試檢查備份系統(tǒng)可用性測試檢查人工審計（四）業(yè)務層面的安全重點是對賬號集中審計管理以及對關鍵業(yè)務操作行為的審計。審計對象審計內容具體審計項審計頻率審計方式賬戶管理賬戶分配情況賬號的創(chuàng)建與變更賬號的創(chuàng)建時間、創(chuàng)建人賬號的變

8、更時間、變更人以及其他變更事項賬號凍結、解凍檢查賬號分配時間和有效期人工審計賬號授權對賬號授權過程審計對賬號當前使用權限的審計包括賬號的訪問權限、查詢資源的授權訪問者，權限的分配時間、分配者等賬號權限變更時間、變更人員和變更事項賬號當前對應的權限是否與該賬號所進行的操作權限一致登陸行為成功登陸失敗登陸登陸順序權限人賬號登陸、退出系統(tǒng)的時間賬號失敗登陸使用的賬號、頻率、時間等同一個賬號在一段時間內登陸系統(tǒng)的順序業(yè)務操作網絡管理行為審計數(shù)據(jù)庫操作審計自維護工作中使用 等各種操作進行審計，取得全部操作記錄和結果對 等操作執(zhí)行回放，還原操作內容記錄與登陸者身份不符的各種操作指令檢查權限人對數(shù)據(jù)庫進行的操作類型對系統(tǒng)配置數(shù)