金融企业IT审计通常包括以下内容:
(1)ELC(Entity Level Control)控制
ELC控制主要是检查企业在IT治理方面的相关组织架构、IT战略和规划是否合理合规,书面的管理制度是不是健全,具体的审计程序就是检查企业组织结构图、管理制度和技术规范、标准、模版、工具等内容,如IT管理制度、质量管理体系、公司规章制度、项目管理制度等。
(2)系统开发和变更
系统开发和变更是关注系统开发和系统变更的一些控制和执行情况,检查系统开发及变更相关的管理制度,如对项目管理制度、系统开发制度、系统变更管理制度等进行检查,看系统开发是否经过了计划、需求提出、可行性研究、系统设计各阶段提交物审查,系统上线之前是不是经过了充分的测试,检查技术文档、内控痕迹和表单、变更审批单等是否符合制度的要求。
(3)操作系统、数据库、路由器的安全控制
操作系统、数据库、路由器的安全控制主要是检查操作系统、数据库、中间件、网络路由器、服务器等系统软件的安全控制,例如数据库审计检查数据库是否正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性);各系统用户登录是不是要密码,系统默认用户的密码是否已修改;调出操作系统及数据库中的一些安全配置,如密码复杂度的要求、密码是不是强制定期修改、对系统的敏感操作是否有日志记录、日志是否有人去复核、用户权限管理是否按照角色进行权限分配。审计时,对于安全配置,通过输入命令,调出相关配置,设计脚本进行检查;同时可查阅所有用户的权限列表,看是否合理合规,重点关注超级管理员的权限,普通用户的权限是否超出必要范围;系统漏洞是否及时更新填补。
(4)ITAC应用系统控制
ITAC应用系统控制关注业务流程中的信息系统相关控制是否完善,以保证信息处理的完整性、准确性、有效性和访问控制。重点检查安全配置和用户权限,包括内部柜员系统和外部客户登录系统的登录密码、权限管理、用户认证措施是否安全、业务风险点是否有强制授权机制等。(www.xing528.com)
接口控制与信息安全关注各种系统之间的接口,数据在系统间传输的准确性和完整性是否得到保证。系统中是不是有自动核对的机制,例如银行的核心业务系统与每个重要的业务系统都有接口并且每天会进行大量的数据交互,需要有一个核对机制,联机或者批量方式,对金融和非金融交易加入一些校验核对机制,确认数据的准确完整。信息安全重点检查网络管理相关的制度和设施,例如防火墙的结构是否合理,内外网是不是分离,网络备份、业务负载均衡控制是否完备、是否定期进行安全漏洞检查等。
(6)运行审计
运行审计关注生产运行过程的审计,主要检查操作流程是否标准化,实际操作是否按标准进行,作业进度是否有优先级,人员交替是否规范,对运行是否有监控和分析,运行问题是否有沟通机制,是否有培训与教育等。
(7)维护过程审计
维护过程审计关注系统维护工作的计划、实施过程、改良、系统的变更和废除等活动的审计。检查系统维护是否有一套管理机制和协调机制,人员分工是否明确,规模是否适应需要,维护是否得到授权人同意,对发现的问题是否作了修正和预防,维护记录是否有详细记录和定期分析,系统的变更和废除是否在授权下进行等。
此外,还有BCP(业务持续性管理)、CRP(灾难恢复计划)等,作为全球化的银行信息系统和大的金融机构是需要重点关注的。需要检查是否建立了灾难备份中心,是否有灾难应急计划,是否有异地备份,是否有定期进行切换演练等内容。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
