前言：本站為你精心整理了信息審計在金融機構的實踐范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：杜寧寧趙慶亮作者單位：國家開發(fā)銀行

一、信息安全概況

隨著信息技術的飛速發(fā)展，金融機構生產(chǎn)、使用和共享的信息呈現(xiàn)幾何增長的態(tài)勢，信息傳遞的方式和渠道急劇增加，在為金融機構帶來收益和效率的同時，也使信息安全問題更加凸顯。在全球范圍內，信息安全事件頻發(fā)，給銀行和客戶造成經(jīng)濟損失的同時，也帶來了巨大的聲譽損失。如何有效提升信息安全管理水平，成為銀行關注的焦點。信息安全審計作為信息安全保障工作中的重要一環(huán)，能夠促進信息安全控制措施的落實，規(guī)范信息安全管理，提高全員信息安全意識，從而有利于保持和持續(xù)改進銀行信息安全能力和水平。

根據(jù)當前的信息安全管理體系國家標準GB/T22080-2008（等同采用ISO/IEC27001:2005），信息安全保障工作從整體看應包括四個階段：一是規(guī)劃和建設階段（Plan，簡稱“P階段”）；二是實施和運行階段（Do，簡稱“D階段”）；三是監(jiān)視和評審階段（Check，簡稱“C階段”）；四是保持和改進（Act，簡稱“A階段”）。這四個階段按順序循環(huán)往復，從而使信息安全得到持續(xù)改進。這種方法也被稱為“PDCA循環(huán)”，如圖1所示。

經(jīng)過近十幾年的努力，金融行業(yè)信息安全保障工作已經(jīng)普遍走過了“P階段”和“D階段”，金融行業(yè)的信息安全需求已基本明確，滿足信息安全需求的基礎設施也基本具備。經(jīng)過大范圍的規(guī)劃建設，各金融機構已經(jīng)建立了相對完備的信息安全軟硬件環(huán)境，初步形成了信息安全保障體系。盡管如此，作為關系國計民生的重要基礎產(chǎn)業(yè)，金融行業(yè)對信息安全有著更高的要求，也面臨著更大的信息安全風險挑戰(zhàn)。近年來，金融行業(yè)頻繁發(fā)生的信息安全事件表明，金融行業(yè)信息安全保障工作還存在很多缺陷和不足。導致這一局面的因素很多，其中一個重要的原因就是大家普遍重視信息安全的建設和運行，而忽視了信息安全工作的檢查和改進。從整體上看，金融行業(yè)信息安全保障工作已經(jīng)走過“P階段”和“D階段”，尚未進入“C階段”和“A階段”，還沒有形成完整的基于“PDCA”過程方法的持續(xù)改進機制。接下來金融行業(yè)信息安全工作的重心應該轉向檢查和改進。信息安全審計是“C階段”的主要手段。它利用傳統(tǒng)財務審計和審計工作的規(guī)范與嚴謹，結合信息和保密技術的工具與手段，對金融機構信息安全工作的成效和不足給出客觀、確定的審計結論，并根據(jù)審計結果，對金融機構的信息安全保障工作提出改進措施、給出合理化建議。

為了對商業(yè)銀行信息科技整個生命周期內的信息安全、業(yè)務連續(xù)性管理和外包等主要方面提出高標準、高要求，滿足商業(yè)銀行信息科技風險管理的需要，銀監(jiān)會2009年了《商業(yè)銀行信息科技風險管理指引》，其中第六十五條規(guī)定：“商業(yè)銀行應根據(jù)業(yè)務性質、規(guī)模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計?！?/p>

二、國內外信息安全審計現(xiàn)狀

（一）國外信息安全審計發(fā)展與現(xiàn)狀

在建立信息安全審計制度，開展信息安全審計研究方面，美國走在了世界前列。早在計算機進入實用階段時，美國就開始提出系統(tǒng)審計（SYSTEMAUDIT）概念。1969年在洛杉磯成立了電子數(shù)據(jù)處理審計師協(xié)會（EDPAA），1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會（ISACA），總部設在美國芝加哥。自1978年以來，由ISACA發(fā)起的注冊信息系統(tǒng)審計師（CISA）認證計劃已經(jīng)成為涵蓋信息系統(tǒng)審計、控制與安全等專業(yè)領域的被廣泛認可的標準。目前該組織在世界上100多個國家設有160多個分會，現(xiàn)有會員兩萬多人。

1999年，美國國家審計署（GAO）《聯(lián)邦信息系統(tǒng)控制審計手冊》（第一版），為美國聯(lián)邦政府實施信息安全審計提供基本準則和方法。2001年，GAO《聯(lián)邦信息系統(tǒng)安全審計管理的計劃指南》，用于為美國聯(lián)邦政府實施信息安全審計提供具體指導；2009年，GAO《聯(lián)邦信息系統(tǒng)控制審計手冊》（第二版），該手冊成為現(xiàn)階段美國聯(lián)邦政府實施信息安全審計的事實標準。

近年來，美國通過立法賦予信息安全審計新的意義，并對企業(yè)實施信息安全審計產(chǎn)生重大影響。2002年，美國安然公司和世通財務欺詐案爆發(fā)后，美國國會和政府緊急通過了《薩班斯——奧克斯利法案》（Sarbanes-OxleyAct，簡稱薩班斯法案）。薩班斯法案第302條款和第404條款明確要求“，通過內部控制加強公司治理，包括加強與財務報表相關的IT系統(tǒng)內部控制，而信息安全審計正是IT系統(tǒng)內部控制的核心?！?006年底生效的《巴塞爾新資本協(xié)議（》BaselII），要求全球銀行必須針對其市場、信用及營運等三種金融作業(yè)風險提供相應水準的資金準備，迫使各銀行必須做好風險控管，而這一“金融作業(yè)風險”的防范也正是需要業(yè)務信息安全審計為依托。

近一段時期，以美國、加拿大、澳大利亞為主的西方國家，針對不同的組織機構，以不同的信息安全審計方式，卓有成效地開展了包括信息系統(tǒng)計劃與技術構架、信息安全保護與災難恢復、軟件系統(tǒng)開發(fā)、獲得、實施及維護、商業(yè)流程評估及風險管理等方面的信息安全審計。

具體來說，針對各類企業(yè)的信息安全審計，采取了以內部審計為主，從關注安全向關注業(yè)務目標過渡，一般控制審計與應用控制審計相結合的方式；針對政府機構的信息安全審計，強調外部審計與政府內部審計結合，融入績效預算管理體系，關注系統(tǒng)最終效果。

在亞洲，日本的信息安全審計始于20世紀80年代。1983年，通產(chǎn)省公開發(fā)表了《系統(tǒng)審計標準》，并在全國軟件水平考試中增加了“系統(tǒng)審計師”一級的考試，著手培養(yǎng)從事信息系統(tǒng)審計的骨干隊伍。近幾年，東南亞各國也開始制定電子商務法規(guī)，成立專門機構開展信息系統(tǒng)審計業(yè)務，并制定技術標準。

（二）我國信息安全審計發(fā)展與現(xiàn)狀

近年來，我國的信息安全審計日益受到重視，審計署以及一些大型國有銀行也相繼開展了信息安全方面的審計工作。信息系統(tǒng)審計規(guī)范的研究和制定方面，我國已建成了一套比較成熟規(guī)范的法規(guī)、準則體系，但在信息系統(tǒng)及信息安全審計方面，雖有《內部審計具體準則第28號——信息系統(tǒng)審計》（中國內部審計協(xié)會2008年）以及審計署對信息系統(tǒng)審計相關法規(guī)、準則的規(guī)劃及研究，但尚未形成系統(tǒng)的法規(guī)、準則和技術標準體系。

三、金融行業(yè)信息安全審計組織與實施

金融行業(yè)的信息安全審計（InformationSecurityAudit），是指金融機構為了掌握其信息安全保障工作的有效性，根據(jù)事先確定的審計依據(jù)，在規(guī)定的審計范圍內，通過文件審核、記錄檢查、技術測試、現(xiàn)場訪談等活動，獲得審計證據(jù)，并對其進行客觀的評價，以確定被審計對象滿足審計依據(jù)的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。金融機構可以單獨實施信息安全審計，也可以將信息安全審計作為其他相關工作的一部分內容聯(lián)合實施。如IT審計、信息安全等級保護建設、信息安全風險評估、信息安全管理體系建設等。審計的工作流程和內容大致包括六個方面的活動（如圖2所示）。

1．確定審計目的和范圍。金融機構實施信息安全審計，首先要明確審計目的，確定審計范圍。審計目的是信息安全審計工作的出發(fā)點。審計目的可以從滿足監(jiān)管部門的要求、滿足信息安全國際國內標準的要求、滿足機構自身信息安全工作要求等合規(guī)性方面考慮。明確了審計目的，然后要確定審計范圍。審計范圍是影響審計工作量的一個重要因素。確定審計范圍，可以從組織機構考慮，如僅對個別部門實施審計，或者在組織全部范圍實施審計；也可以從業(yè)務和系統(tǒng)角度考慮，如僅對核心系統(tǒng)實施審計，或者僅對信貸業(yè)務實施審計等。

2.明確審計依據(jù)。審計依據(jù)就像一把“尺子”，審計人員用它來衡量信息安全工作的“長短”。審計目的不同，審計依據(jù)就可能不同，如表1中所示。

3.組建審計組。審計組是具體實施信息安全審計工作的基本組織單位，應由審計組長和審計員組成。管理良好的審計組是信息安全審計工作順利實施并達成審計目的的保障。審計組長應由金融機構內部審計部門的管理者任命。負責編制審計方案和審計計劃，選擇審計員，管理審計小組，與被審計對象溝通等。審計組長應具備較強的項目管理能力，熟悉被審計對象的業(yè)務和系統(tǒng)，了解被審計對象面臨的信息安全風險和常用的風險控制措施。審計員應選擇責任心強、公正、獨立、熟悉業(yè)務的人員擔任，避免審計員與被審計對象存在利害關系，以免影響審計結果的公正性。正式實施信息安全審計前，應對審計組成員進行培訓。

4.實施現(xiàn)場審計。審計準備工作就緒后，則可以實施現(xiàn)場審計。現(xiàn)場審計是一項復雜的系統(tǒng)工程，具有較強的不確定性。因此，現(xiàn)場審計應根據(jù)事先編制的審計方案和審計計劃執(zhí)行，審計過程中還要做好變更控制?，F(xiàn)場審計往往由首次會議開始，至末次會議結束。在首次會議上，審計組長應向被審計單位闡明此次審計的目的、范圍、依據(jù)和審計計劃，并提出需要被審計單位配合的事項。末次會議上，審計組長向被審計單位說明審計發(fā)現(xiàn)，報告審計初步結果，并與被審計單位就初步審計結果達成一致?，F(xiàn)場審計方法通常包括：現(xiàn)場訪談、審閱文件、查看記錄、系統(tǒng)檢查和測試等。在系統(tǒng)檢查和測試過程中，可能需要相關的審計工具，如系統(tǒng)漏洞掃描器、數(shù)據(jù)庫安全審計系統(tǒng)、桌面終端配置檢查工具、網(wǎng)絡安全檢查工具、惡意軟件掃描器等?，F(xiàn)場審計過程中，應做好文檔化工作。對所發(fā)現(xiàn)的審計證據(jù)應進行詳細記錄，并與被審計單位人員進行現(xiàn)場確認?，F(xiàn)場審計應注意方式方法，就意見不一致的問題先做好記錄，避免現(xiàn)場與被審計單位人員發(fā)生爭執(zhí)。

5.報告審計發(fā)現(xiàn)。審計發(fā)現(xiàn)是審計依據(jù)和現(xiàn)場收集的審計證據(jù)對比后的結果。就信息安全的某個方面，審計發(fā)現(xiàn)可能是正面的，即符合了審計依據(jù)的要求；也可能是負面的，即被審計對象尚未滿足審計依據(jù)要求。審計組長應在末次會議上與被審計單位初步溝通審計發(fā)現(xiàn)，并達成一致。然后正式準備審計報告，以書面形式將審計發(fā)現(xiàn)報告給被審計單位，或者此次信息安全審計的委托方。

6.后續(xù)審計活動。審計報告被接受后，標志著信息安全審計結束。但為了進一步發(fā)揮審計的作用，審計組在審計結束后，還有部分后續(xù)審計活動需要完成。如編制審計建議書、風險提醒函，以及在規(guī)定的時間為對審計發(fā)現(xiàn)中的不符合項進行跟蹤審計等。信息安全審計可以使金融機構在掌握信息安全保障工作效果的同時，了解信息安全工作是否充分、適宜，對于保證金融機構業(yè)務持續(xù)穩(wěn)定運營具有重要意義。經(jīng)過近年的信息安全審計實踐，部分金融機構初步形成了具有自身特點的審計方法。但從總體上看，我國金融機構的信息安全審計工作仍處于起步階段，必須在實踐中不斷總結，促其實現(xiàn)長足發(fā)展。