本文作者：石炜方敏作者单位：南京市审计局

随着计算机软件的不断开发利用，证券公司信息系统的重要性不言而喻。目前，我国大多数证券公司收入经营项目有经纪业务、自营业务、银行利息、投行、资产管理等。这些项目有着自己的信息系统，系统之间有的相互关联，有的自身独立。尽管信息系统不断改进、升级、完善，但信息系统管理部门的组织控制、物理环境的安全控制、网络安全控制、逻辑安全控制、数据与系统安全、安全定级、信息系统运用控制、系统生命周期等方面进行仍然存在一定的固有风险。

一、信息系统审计的内容和重点

主要审查证券公司信息系统的安全可靠性，即评价信息系统安全隐患对证券公司资产、业务的风险。审计内容不仅关注访问控制、信息安全定级的内容，还紧紧围绕业务流程、内部控制，关注薄弱环节对数据真实性、完整性的影响。

（一）信息系统管理部门的组织控制

公司对信息系统安全的重视程度，主要包括：一是证券公司最高层级的IT管理机构或信息系统安全的管理机构及其人员构成情况；信息系统安全的负责部门。二是该机构是否会定期召开会议，是否就信息系统安全制订长期规划和规章制度，是否将信息系统安全的相关规范融入企业内部控制中。检查内容：IT组织架构，信息安全组织架构；企业在信息系统方面的规划内容，如5年规划等；信息安全方面的规章制度、应急预案，如机房管理制度，信息设备操作使用方面的制度规程，信息系统维护制度，网络通讯管理制度，应急响应制度；职责划分是否明确；业务分配控制是否有相关制度保障；是否在组织内开展安全控制培训；是否建立组织业务分配审批流程。

（二）物理环境的安全控制

计算机设备如：服务器、数据存贮设备、系统终端、网络交换等设备的存放环境。一是关键设备存放在机房还是业务部门，集中存放还是分散存放。二是机房的场地技术条件，需保证恒温、恒湿，防雷、防水、防火、防鼠、防磁、防静电，加装防盗报警装置，提供良好的接地和供电环境，要为核心设备配置与其功耗相匹配的稳压及UPS不间断电源等。机房的设计和竣工是否经过消防、防雷等部门的验收。检查内容：公司主机房、中心机房及下属单位部分网络设备机房实地调查，检查机房验收资料和机房维护记录。

（三）网络安全控制（审计重点内容）

防范和抵御网络资源可能受到的攻击，保证网络资源不被非法使用和访问，保护网内流转的数据安全。一是是否对信息系统和网络设备进行分区、分级管理，不同等级是否采取不同的安全措施。二是访问控制。机房对人员的控制，包括公司内部人员、外部人员进入机房是否有登记记录，清洁人员进入是否有登记记录，是否经过相关授权。信息系统的访问是否有申请和授权制度。普通用户是否经过授权访问业务系统。开发系统、生产系统是否隔离；开发人员与生产系统维护人员是否分离；信息系统开发人员是否经过授权访问业务系统。对访问内部网络的机器是否有控制，是否有身份认证；外部带入的电脑是否可以访问信息系统；同时访问内部系统和互联网的机器有没有隔离限制措施，内部机器是否不加控制上网；信息系统开发、维护外包的外部人员是否签订保密协议。对重要的生产系统是否有更严格的访问控制。检查内容：进入机房登记表；信息系统申请授权表、访问授权的原则；员工机器认证制度，认证中心、保密协议等。三是网络安全措施。员工机器和信息系统主机是否安装防病毒软件、是否有防火墙、负载均衡设备；企业对内部和外部的网络攻击、病毒攻击、蠕虫攻击的监控情况，是否有监控记录和遇到攻击时的处理措施。各部门、分子公司间信息传递的渠道，是否直接通过互联网、即时通讯设备传递，数据是否有加密措施。检查内容：证券公司信息部门对客户机管理记录、网络安全记录，主要网络设备、信息系统主机的监控记录及安全应急预案。

（四）逻辑安全控制（审计重点内容）

对网络逻辑访问和系统逻辑访问是否进行有效控制。一是软件和数据接触。是否对登陆用户的口令、权限、分配的功能进行有效控制。检查内容：权限分配记录、口令设置、机密数据保护、磁盘、U盘使用管理情况等。二是数据加密机制。关键数据是否进行加密，加密算法是否进行有效管理。三是数据完整性。校验信息是否加密，是否进行检查，数字签名认证机构是否安全可靠。四是入侵检测系统。入侵检测系统是否能满足对于信息系统网络环境安全的需求，该系统与防火墙/路由器间的通信是否安全，系统中是否包含用于生成日常事件日志的工具和自动响应机制，是否能提供适当的安全保证。五是病毒和其他恶意代码。各个终端用户是否采取了防病毒策略，系统中是否存在未授权的软件，防病毒软件是否能提供信息系统所需的安全保证。六是防火墙技术。防火墙是否能根据网络变化提供新的配置服务，是否能对数据包过滤进行检查，是否具有系统的分离特性，防火墙本身是否自带了审计工具，是否具有弱点探测的能力，是否具备报警与报告的能力。

（五）数据与系统安全

一是主机是否有密码控制、主机的安全日志、信息系统是否有访问日志，系统数据是否定期备份。二是对那些可靠性要求高的系统是否采用服务器主机双机热备、磁盘阵列，甚至配备备用网络，建立异地容灾备份中心。三是是否制订灾难恢复计划和灾难恢复流程，建立灾难预警、触发、响应机制，组织相关培训和演练，适时升级和维护灾难恢复计划。四是信息系统之间传递时的数据质量与安全，数据传输是否加密，外包服务人员是否有权登录生产系统，系统开发、维护人员是否可以直接访问系统数据库。

（六）安全定级

对证券公司信息管理系统等系统安全等级进行级别定位（分为非常好、较好、一般、较差），检查是否符合国家定级指南的要求及安全定级中存在的问题。

（七）信息系统运用控制

一是证券公司信息系统的界面输入是否与业务吻合，数据的输入是否在有效业务授权下进行，输入的数据是否及时准确。二是系统处理数据是否有必要的控制措施保证数据处理的完整性和准确性。三是输出的数据是否有足够的措施保证输出的完整性和准确性，是否对数据打印和导出进行控制，审查输出各项报表的准确性，对外输出接口数据的准确性，是否建立数据核查机制。四是系统业务流程设置与实际业务是否吻合，是否建立业务流程设置审核机制。五是系统参数维护是否有严格的审批，参数是否按相关文件要求来设置，系统参数设置权限管理是在业务部门还是在信息机构，系统是否有预警功能。检查内容：对部分菜单进行输出控制检查，核对部分报表，指标等参数是否与证券管理部门规定的指标一致，查看业务蓝图与流程设置情况。

（八）系统生命周期

关注证券公司的信息系统开发维护能力，是否适应业务变化的需要。系统变更过程的规范化，是否有需求文档、开发文档、测试文档、部署文档等；变更过程对信息系统安全和数据安全的影响；变更过程中的访问控制等。

二、具体实施步骤和方法

对证券公司信息系统审计可采用访谈法、调查问卷法、查阅资料法、流程图检查法、现场查看法、平行模拟法以及数据测试法等多种审计技术与方法。

（一）信息部门组织管理控制。通过与证券公司网络信息部门进行访谈，说明审计的目的，列出需提供的资料清单和配合要求。详细查阅相关制度和文件，在充分的调查和分析基础上对信息部门组织管理控制作出客观评价。

（二）内部信息系统与互联网隔离控制。检查员工使用的机器是否同时访问业务系统和互联网，办公区IP地址是否自动获取，通过互联网接入专网是否有CA认证及数据签名。

（三）服务器容灾机制检查。数据应转变为集中异地存放，以应对突发事故的发生。

（四）物理环境安全审计。对证券公司主要机房进行实地调查，检查机房建设、验收资料和机房维护记录等文档。

（五）网络安全控制。查阅网络拓扑图，设计方案、招投标文件、施工和竣工等文档，现场查看、查阅维护记录和运行日志，并与网络管理员访谈，可借助网络安全测试工具对网络进行安全性检测。

（六）逻辑安全控制。主要是查阅工作记录和相关管理制度，并到信息访问点进行随机检查和访谈，登陆系统界面进行实际测试等。

（七）数据与系统安全。查阅相关管理制度，查阅备份日志，查阅系统及数据库日志，现场数据库、操作系统和系统的管理权限，并进行与管理员访谈，对证券公司信息系统运行控制、数据与系统安全控制作出客观评价。

（八）信息系统运用控制审计。查阅系统招投标文件、实施过程文档、验收文件、系统设置说明、系统配置文档、操作手册、维护记录等相关文档，并设计测试用例登陆系统进行测试，信息点调查用户对系统的评价等。

（九）系统生命周期。查阅信息系统规划，系统分析，系统设计，系统测试，系统实施，系统运行，系统维护，系统变更等相关文档，并与项目负责人访谈，对证券公司信息系统生命周期作出客观评价，并提出审计意见和建议。