资源描述
ICS 03.060 A 11 备案号 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 01122014 证券期货业信息系统审计规范 Information system audit standard for securities and futures industry 2014 - 12-26 发布 2014 - 12-26 实施中国证券监督管理委员会 发 布 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 审计目的 . 1 5 审计内容 . 2 6 审计机构 . 2 7 审计过程 . 2 7.1 审计准备阶段 . 2 7.2 审计实施阶段 . 3 7.3 审计终结阶段 . 4 8 审计结果应用 . 5 8.1 整改方案 . 5 8.2 落实整改 . 5 9 建档保存 . 5 9.1 保存范围 . 5 9.2 保存期限 . 6 附录 A(规范性附录) 系统运行安全审计项汇总. 7 附录 B(规范性附录) 系统建设合规审计项汇总. 148 附录 C(规范性附录) 系统应用绩效审计项汇总. 153 参考文献 . 155 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 II 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 III 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国金融标准化技术委员会(SAC/TC180)提出并归口。 本标准起草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、大连商品交易所、中国金融期货交易所、中证信息技术服务公司、国泰君安证券股份有限公司、海通证券股份有限公司、国信证券股份有限公司、招商证券股份有限公司、嘉实基金管理有限公司、南方基金管理有限公司、鲁证期货股份有限公司、国泰君安期货有限公司。 本标准主要起草人:张野、刘铁斌、王东明、陈炜、俞枫、沈云明、李海军、温军成、金浦芳、赵磊、王欣、吕德旭、周桉、周光增、李艳、李杰、舒春林、康明涛、路冰。 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 IV 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 1 证券期货业信息系统审计规范 1 范围 本标准规定了证券期货业信息系统审计工作的要求。 本标准适用于证券期货业机构,包括:承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),以及证券公司、 期货公司、 基金管理公司、 证券期货服务机构等证券期货经营机构 (以下简称 “经营机构” ) 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 JR/T 00592010 证券期货经营机构信息系统备份能力标准 JR/T 00602010 证券期货业信息系统安全等级保护基本要求(试行) JR/T 00992012 证券期货业信息系统运维管理规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 信息系统审计 information system audit 核心机构和经营机构根据国家及行业信息系统相关规范和标准,对信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。 3.2 审计项 audit item 信息系统规划、建设、运维和应急等活动的关键控制点,来自于国家及行业相关技术规范和标准要求,用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。 3.3 专业能力 professional competence 个人从事信息系统审计所必备的学识、技术和能力,由学历认定、资格考试、职业技能鉴定等方式进行评价。 3.4 第三方审计机构 third party audit institutions 熟悉证券期货业信息安全法规、规范、标准和指引,具有国家、行业认可的相关资质和必要能力,并在审计过程中能够客观、公正、独立地从事审计活动的机构。 4 审计目的 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 2 核心机构和经营机构自觉贯彻落实国家及行业信息系统建设、 安全运行、 绩效考核相关规范和标准,通过查找突出的风险隐患,有针对性的采取防范和改进措施,提高信息安全保障水平、系统建设合规性和应用绩效。 5 审计内容 证券期货业信息系统审计包括3个方面,分别是系统运行安全审计、系统建设合规审计和系统应用绩效审计。核心机构应开展系统运行安全审计、系统建设合规审计和系统应用绩效审计。经营机构应开展系统运行安全审计,并可视情况开展系统建设合规审计、系统应用绩效审计。 系统运行安全审计重点关注系统运维风险,通过审查和评估交易、结算、行情、通信等重要业务信息系统的安全性, 及时发现运行风险隐患。 系统运行安全审计的内容见附录A, 其中期货公司类别是 期货公司信息技术管理指引评级结果。审计项来自于国家和行业颁布的信息安全法规、规范、标准和指引,主要包括组织管理、机房管理、网络管理、主机和系统管理、运维管理等方面。 系统建设合规审计重点关注违法违规风险,通过审查和评估在采购电子产品、建设信息系统项目、运行维护信息系统等活动中,本机构负责采购的人员、项目建设人员、系统运维人员等是否存在贪污受贿、徇私舞弊、玩忽职守等行为,及时发现违法违规等风险隐患。系统建设合规审计的内容见附录B。审计项来自于通行的信息系统招投标制度、 财务预算制度等, 主要包括需求论证、 预算制定、 项目立项、项目采购、项目招标、商务谈判、供应商管理、合同管理、项目验收、钱款支付等方面。 系统应用绩效审计重点关注信息系统能否有效发挥作用, 通过审查和评估已建成信息系统的经济效益和使用情况,及时发现资源浪费等风险隐患。系统应用绩效审计的内容见附录C。审计项来自于通行的信息系统绩效评价方法,主要包括系统功能、性能是否达到项目预期目标、经费使用是否合理有效等方面。 附录A、附录B、附录C将根据国家和行业信息安全法规、规范、标准和指引,每年适时更新,保持与现行规定的一致性。核心机构和经营机构应以最新的审计项汇总为基础,开展信息系统审计工作。 6 审计机构 核心机构和经营机构应指定内审部门负责信息系统审计工作,并合理配备具有专业能力的审计人员。 内审部门可以根据实际需要聘请具有专业能力的外部专家协助开展信息系统审计工作, 可以聘请第三方审计机构协助开展信息系统审计工作,第三方机构的员工必须是正式员工。 核心机构和经营机构的信息技术部门等相关部门应配合内审部门开展信息系统审计工作。 7 审计过程 7.1 审计准备阶段 7.1.1 审计立项 核心机构和经营机构的内审部门应每年开展一次信息系统审计, 并将信息系统审计列入年度审计工作计划中,同时报董事会或者高级管理层批准。 信息系统审计计划应包括下列基本内容: a) 审计工作目标; b) 审计实施时间; c) 需要的审计资源; 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 3 d) 后续审计安排。 7.1.2 组建审计组 内审部门负责组建审计组,确定审计组组长和成员。审计组成员不得少于2人,其中内审部门人员不得少于1人。 审计组成员应保持独立性和客观性,被审计部门应回避。 审计组组长、审计组成员应具有相关专业能力,并通过定期后续相关培训加以保持和提高。审计组组长应具有信息系统审计工作经验。 审计组成员应履行保密义务,对于实施信息系统审计所获取的信息保密。 7.1.3 制定审计方案 审计组组长应以风险评估为基础,在审计实施前编制审计方案,并报内审部门负责人批准。 审计方案应包括下列基本内容: a) 被审计部门的名称; b) 审计目标和范围; c) 审计内容和重点; d) 审计程序和方法; e) 审计组成员的组成及分工; f) 审计起止日期; g) 对专家和外部审计工作结果的利用; h) 其他有关内容。 7.1.4 编制工作底稿 审计组成员对审计方案确定的审计事项,均应编制审计工作底稿。 审计工作底稿应包括以下内容: a) 被审计部门的名称; b) 审计事项及其起止日期; c) 审计程序的执行过程及结果记录; d) 审计结论、意见及建议; e) 审计人员姓名和审计日期; f) 复核人员姓名、复核意见、复核日期; g) 审计证据的数量及清单; h) 被审计部门意见、签字及盖章。 审计组应根据被审计部门、 审计事项的具体情况, 确定选取审计对象的抽样方法, 并选取审计对象。 7.2 审计实施阶段 7.2.1 通知被审计部门 审计组应在实施审计10个工作日前,向信息技术部门等被审计部门送达审计通知书。 审计通知书应包括下列内容: a) 被审计部门名称; b) 审计范围和审计内容; c) 审计起止日期; 库七七 w w w .k q q w .c o m 提供下载JR/T 01122014 4 d) 需要被审计部门提供的资料及其他必要的协助要求; e) 审计组组长及审计组成员名单。 7.2.2 审计组进场 审计组进驻被审计部门时,应召开有内审部门负责人、审计组组长、审计组成员、被审计部门负责人、被审计部门有关人员参加的进场会议,安排审计工作有关事项。 审计组组长应说明审计目标、审计范围、审计内容、审计重点、审计程序、起止日期等,并提出需要协助、配合审计的有关事项和要求。 被审计部门应汇报相关情况, 并提供审计通知书中所列的相关资料, 配合审计组开展信息系统审计工作。 7.2.3 实施审计方案 审计组根据实际情况和工作需要,通过访谈、问卷调查等方式,进一步了解被审计部门信息系统有关情况。 调查对象一般包括相关业务部门负责人、 信息技术部门负责人、 信息技术部门相关业务负责人、机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等相关人员。 审计组应按照审计方案,对信息系统的合规性、可靠性、安全性和绩效等进行评估,并确保不影响系统的正常稳定运行。 审计组应依据不同的审计事项及其审计目标, 获取不同种类的审计证据。 审计证据主要包括相关制度、日志文件、配置文件、运维记录、测评报告、商业合同等。 审计组应将获取的审计证据名称、来源、内容等完整、清晰地记录于审计工作底稿中。 被审计单位应提供承诺书,承诺相关材料的真实性、完整性、准确性。 审计工作底稿应经审计组组长或其指定人员复核。 审计证据应客观充足,使得重复审计可获得同样结果。当审计人员认为无法获取充足审计证据时,应记录审计证据不足这一事实。 7.2.4 审计结果沟通 现场审计结束前, 审计组应就审计发现的问题、 审计结论、 审计意见和建议与相关业务部门负责人、信息技术部门负责人进行认真、充分的沟通,听取其意见。 审计组应当将结果沟通的有关书面或电子材料作为审计工作底稿的一部分。 7.3 审计终结阶段 7.3.1 撰写审计报告 现场审计结束后,审计组应对取得的审计证据进行综合分析,并撰写审计报告(草稿)。审计报告(草稿)可参考覆盖附录A、附录B、附录C内容的外部审计结果。 审计报告(草稿)主要包括下列内容: a) 审计概况,包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及起止时间等; b) 审计依据,即实施审计所依据的相关规范和标准等; c) 审计问题,即对被审计部门信息技术相关活动所发现的主要问题; d) 审计结论,即根据已查明的事实,对被审计部门信息技术相关活动的评价; e) 审计意见和建议,即针对审计发现的主要问题提出的处理意见和改进建议。 审计组应向被审计部
展开阅读全文