首页 > 文章中心 > 正文

信息审计在金融机构的实践

信息审计在金融机构的实践

本文作者:杜宁宁赵庆亮作者单位:国家开发银行

一、信息安全概况

随着信息技术的飞速发展,金融机构生产、使用和共享的信息呈现几何增长的态势,信息传递的方式和渠道急剧增加,在为金融机构带来收益和效率的同时,也使信息安全问题更加凸显。在全球范围内,信息安全事件频发,给银行和客户造成经济损失的同时,也带来了巨大的声誉损失。如何有效提升信息安全管理水平,成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环,能够促进信息安全控制措施的落实,规范信息安全管理,提高全员信息安全意识,从而有利于保持和持续改进银行信息安全能力和水平。

根据当前的信息安全管理体系国家标准GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。

经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。

为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”

二、国内外信息安全审计现状

(一)国外信息安全审计发展与现状

在建立信息安全审计制度,开展信息安全审计研究方面,美国走在了世界前列。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)概念。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),总部设在美国芝加哥。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。

1999年,美国国家审计署(GAO)《联邦信息系统控制审计手册》(第一版),为美国联邦政府实施信息安全审计提供基本准则和方法。2001年,GAO《联邦信息系统安全审计管理的计划指南》,用于为美国联邦政府实施信息安全审计提供具体指导;2009年,GAO《联邦信息系统控制审计手册》(第二版),该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。

近年来,美国通过立法赋予信息安全审计新的意义,并对企业实施信息安全审计产生重大影响。2002年,美国安然公司和世通财务欺诈案爆发后,美国国会和政府紧急通过了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct,简称萨班斯法案)。萨班斯法案第302条款和第404条款明确要求“,通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议(》BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管,而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。

近一段时期,以美国、加拿大、澳大利亚为主的西方国家,针对不同的组织机构,以不同的信息安全审计方式,卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。

具体来说,针对各类企业的信息安全审计,采取了以内部审计为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计相结合的方式;针对政府机构的信息安全审计,强调外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果。

在亚洲,日本的信息安全审计始于20世纪80年代。1983年,通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年,东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。

(二)我国信息安全审计发展与现状

近年来,我国的信息安全审计日益受到重视,审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面,我国已建成了一套比较成熟规范的法规、准则体系,但在信息系统及信息安全审计方面,虽有《内部审计具体准则第28号——信息系统审计》(中国内部审计协会2008年)以及审计署对信息系统审计相关法规、准则的规划及研究,但尚未形成系统的法规、准则和技术标准体系。

三、金融行业信息安全审计组织与实施

金融行业的信息安全审计(InformationSecurityAudit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。

1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。

2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。

3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。

4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。

5.报告审计发现。审计发现是审计依据和现场收集的审计证据对比后的结果。就信息安全的某个方面,审计发现可能是正面的,即符合了审计依据的要求;也可能是负面的,即被审计对象尚未满足审计依据要求。审计组长应在末次会议上与被审计单位初步沟通审计发现,并达成一致。然后正式准备审计报告,以书面形式将审计发现报告给被审计单位,或者此次信息安全审计的委托方。

6.后续审计活动。审计报告被接受后,标志着信息安全审计结束。但为了进一步发挥审计的作用,审计组在审计结束后,还有部分后续审计活动需要完成。如编制审计建议书、风险提醒函,以及在规定的时间为对审计发现中的不符合项进行跟踪审计等。信息安全审计可以使金融机构在掌握信息安全保障工作效果的同时,了解信息安全工作是否充分、适宜,对于保证金融机构业务持续稳定运营具有重要意义。经过近年的信息安全审计实践,部分金融机构初步形成了具有自身特点的审计方法。但从总体上看,我国金融机构的信息安全审计工作仍处于起步阶段,必须在实践中不断总结,促其实现长足发展。