商业银行信息科技风险评价审计浅析

1.相关政策背景为实现对商业银行信息系统风险的识别、计量、评价、预警和控制，有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》的有关规定，2006年11月中国银行业监督管理委员会办公厅发布了《关于开展2006年度信息科技风险内部和外部评价审计的通知》（简称313号文件），要求银行业金融机构进行信息科技风险内部和外部评价审计工作。《银行业金融机构信息系统风险管理指引》（以下简称原《管理指引》）定位在信息系统风险管理的基本、原则性要求，已难以满足商业银行信息科技风险管理的需要。银监会对原《管理指引》进行了修订，并重新定名为《商业银行信息科技风险管理管理指引》（以下简称新《管理指引》），原《管理指引》同时废止。银监会于2009年3月3日下发了《中国银监会关于印发〈商业银行信息科技风险管理指引〉的通知》（银监发【2009】19号文）,要求商业银行等金融机构按照新《管理指引》来进行信息科技风险评价审计。在新《管理指引》中根据审计的范围的不同，将审计分为了专项审计（对信息科技安全事故或认为必要的特殊事项进行的审计）和全面审计（依据《管理指引》中规定的内容，对商业银行进行的全方位的审计）。根据审计执行机构的不同，将审计分为内部审计（商业银行内部机构进行的审计活动）和外部审计（委托具备相应资质的外部审计机构进行的审计活动）。2.审计范围及内容商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计、外部审计的范围和频率。商业银行可以对信息科技安全事故进行调查、分析和评估，或审计部门根据风险评估结果对认为必要的特殊事项进行信息科技专项审计。同时也可以根据实际应用情况进行较全面的审计，新《管理指引》中规定至少应每三年进行一次全面审计。一个全面的评价审计至少应包含如下内容：1)信息科技治理和组织结构制度建设组织结构2)信息安全管理信息安全基本要求逻辑访问的风险与控制网络安全控制环境的风险和控制物理访问的风险与控制软件的风险与控制3)信息科技项目开发和变更管理项目开发管理项目变更管理项目资料文档管理体系系统设计开发外包缺陷风险管理4)信息系统运行和操作管理信息系统运行体系建设情况操作环境控制和预防性维护情况生产变更管理信息科技操作风险控制措施日志管理5)业务持续性规划董事会和高级管理层在业务持续性规划中的职责和工作机制业务持续性规划的制定和实施备份中心的管理与操作业务持续性规划的测试和维护3.审计流程及方法不同的审计机构，审计的流程和方法可能不同。中国软件评测中心将商业银行信息科技风险评价审计过程分为计划准备、现场审计、识别分析、成果提交及验收四个阶段，每个阶段由不同的任务组成，如下图所示：图：审计流程及任务项目实施过程中需要搜集大量的信息，掌握多方面的证据。搜集和取证需要运用多种方法和工具。采用的主要方法有访谈、检查和测试等。访谈：与信息系统相关人员进行交流、讨论等活动，证明信息系统安全保护措施是否有效。检查：测评人员通过对审计对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效。测试：测评人员通过对审计对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果，获取证据以证明信息系统安全保护措施是否有效。工具方面，一是可以借助被审计单位部署的一些系统工具，如资产管理系统、审计系统、网络管理系统和入侵检测系统等；一是需要针对项目特点，开发或部署一些工具，下表列出了一些常用的工具。序号种类工具名称1表类工具《信息系统基本情况了解》《威胁信息采集表》《脆弱性信息采集表》《评价审计访谈表》《评价审计检查表》《安全测试表》2威胁识别工具IDS3嗅探工具Sniffer、Wireshark4脆弱性扫描工具CSTC脆弱性扫描工具、RJ-iTOP、AURORA5渗透性测试工具CSTC渗透性测试工具集、IBMRationalAppScan、WVS、Metasploit6代码安全扫描工具CSTC代码安全扫描工具、FortifySCA、SICxSuite表：审计常用工具4.审计的意义随着商业银行信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给银行业带来发展和效益的同时，其所形成的风险与传统金融操作风险的内涵发生了根本性变化。信息科技风险评价审计是防范银行业信息科技风险的有效措施。通过评价审计，可以发现信息系统中潜在的安全隐患，了解并认识当前所面临的信息科技风险；可以了解现有安全措施与《管理指引》要求的差距；可以使管理层的信息安全建设决策有据可依。对审计发现的安全问题进行整改，并实施相应安全措施，达到提高信息系统安全性的目的。同时，银行机构进行内部审计或参与外部审计，可以提高内部人员对信息安全的认识，提高员工的安全技术水平。