2006年度銀行業(yè)金融機構(gòu)信息科技風(fēng)險評價審計要點

2006年度銀行業(yè)金融機構(gòu)信息科技風(fēng)險評價審計要點前言隨著信息技術(shù)的迅速發(fā)展，銀行業(yè)金融機構(gòu)在信息化建設(shè)方面面臨著日益嚴(yán)峻的安全風(fēng)險。信息安全問題的發(fā)生不僅會對金融機構(gòu)的客戶信息、資金流向等造成嚴(yán)重損失，還會損害金融機構(gòu)的聲譽和信譽度。因此，加強對銀行業(yè)金融機構(gòu)的信息科技風(fēng)險評價審計具有重要意義。本文主要介紹2006年度銀行業(yè)金融機構(gòu)信息科技風(fēng)險評價審計要點。評價審計要點一、信息科技安全管理銀行業(yè)金融機構(gòu)應(yīng)建立完善的信息安全管理制度，對信息科技系統(tǒng)進行全面管控，確保信息系統(tǒng)的安全可靠性、功能完整性、可用性、可控性、可審計性和法律合規(guī)性。具體要求：安全管理制度的健全性。包括組織結(jié)構(gòu)、職責(zé)分工、制度規(guī)定等。系統(tǒng)的安全防范能力。包括系統(tǒng)接入控制、系統(tǒng)流程審查、權(quán)限控制等。系統(tǒng)的災(zāi)備和恢復(fù)能力。包括災(zāi)備計劃和應(yīng)急響應(yīng)機制等。二、業(yè)務(wù)流程的安全管理銀行業(yè)金融機構(gòu)應(yīng)對其涉及信息科技的業(yè)務(wù)流程進行全面管理，保障業(yè)務(wù)流程的安全和穩(wěn)定。要求銀行業(yè)金融機構(gòu)能夠確保業(yè)務(wù)流程的業(yè)務(wù)連續(xù)性、數(shù)據(jù)有效性、操作完整性、可審計性。具體要求：業(yè)務(wù)流程的安全控制。包括業(yè)務(wù)流程的審計與審計跟蹤、業(yè)務(wù)流程的完整性檢查和登錄控制、業(yè)務(wù)操作的安全審查等。業(yè)務(wù)數(shù)據(jù)的有效性和及時性控制。包括數(shù)據(jù)完整性控制、數(shù)據(jù)正確性控制、數(shù)據(jù)操作存儲記錄等。業(yè)務(wù)的連續(xù)性控制。包括對業(yè)務(wù)的服務(wù)治理控制、可用性和可恢復(fù)性的控制等。三、信息技術(shù)系統(tǒng)的安全管理銀行業(yè)金融機構(gòu)應(yīng)建立健全的信息技術(shù)系統(tǒng)的安全管理體系，確保信息技術(shù)系統(tǒng)可以正常運行，并提供穩(wěn)定可靠的服務(wù)。具體要求為：信息技術(shù)系統(tǒng)管理的安全機制。包括系統(tǒng)實施情況審查、系統(tǒng)開發(fā)及維護過程的安全控制等。系統(tǒng)應(yīng)用的安全審計。包括系統(tǒng)的登錄訪問控制、數(shù)據(jù)隱私保護、業(yè)務(wù)操作審計等。應(yīng)急響應(yīng)管理。包括網(wǎng)絡(luò)安全事件的管理、應(yīng)急響應(yīng)的流程等。四、信息技術(shù)人員的安全管理銀行業(yè)金融機構(gòu)應(yīng)確保其信息技術(shù)人員的信息安全素養(yǎng)和安全意識，建立和完善人員培訓(xùn)體系和管理系統(tǒng)，提高人員的安全防范意識和能力。具體要求：人員的安全意識和素養(yǎng)。包括對信息安全相關(guān)法律法規(guī)、安全標(biāo)準(zhǔn)及安全技術(shù)的了解和理解。人員的崗位職責(zé)。包括人員崗位的職責(zé)分工、人員的資格、安全管理的考評等。人員培訓(xùn)和考核。包括培訓(xùn)體系的建設(shè)和完善、定期開展安全培訓(xùn)及考核等。結(jié)論維護銀行業(yè)金融機構(gòu)的信息安全是重中之重，評價審計是保障銀行業(yè)金融機構(gòu)信息安全的重要措施之一。本文針對200