证券期货业信息系统审计指南 第5部分:证券公司

文档正文


概要信息

本文档为 PDF 格式,共计 309 页,售价为 5.00 元(人民币),由本站用户 zhh 于 2019-03-31 日上传。


内容摘要

ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0146.5—2016 证券期货业信息系统审计指南 第 5 部分:证券公司 Securities and futures industry audit guideline for information system — Part5: Securities companies 2016 - 11 - 08 发布 2016 - 11 - 08 实施 中 国 证 券 监 督 管 理 委 员 会 发 布 JR/T 0146.5—2016 目 次 前言 ................................................................................ II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 信息系统审计概述 .................................................................. 2 附录 A(规范性附录) 信息技术治理审计底稿 ............................................ 4 附录 B(规范性附录) 机房管理审计底稿 ............................................... 25 附录 C(规范性附录) 网络管理审计底稿 ............................................... 35 附录 D(规范性附录) 运维管理审计底稿 ............................................... 48 附录 E(规范性附录) 信息系统安全等级保护相关工作审计底稿 ........................... 69 附录 F(规范性附录) 软件正版化审计底稿 ............................................. 74 附录 G(规范性附录) 集中交易系统审计底稿 ........................................... 78 附录 H(规范性附录) 网上信息系统审计底稿 .......................................... 108 附录 I(规范性附录) 第三方存管系统审计底稿 ........................................ 144 附录 J(规范性附录) 重要信息系统审计底稿 .......................................... 173 附录 K(规范性附录) A 型营业部审计底稿 ............................................ 200 附录 L(规范性附录) B 型营业部审计底稿 ............................................ 210 附录 M(规范性附录) C 型营业部审计底稿 ............................................ 220 附录 N(规范性附录) 信息系统托管审计底稿 .......................................... 223 附录 O(规范性附录) 信息系统调查表 ................................................ 259 I JR/T 0146.5—2016 前 言 JR/T 0146-2016《证券期货业信息系统审计指南》标准按适用对象分为以下7部分: ——第 1 部分:证券交易所; ——第 2 部分:期货交易所; ——第 3 部分:证券登记结算机构; ——第 4 部分:其他核心机构; ——第 5 部分:证券公司; ——第 6 部分:基金管理公司; ——第 7 部分:期货公司。 本部分为JR/T 0146.5-2016《证券期货业信息系统审计指南》的第5部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由全国金融标准化技术委员会(SAC/TC180)提出并归口。 本部分起草单位:中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券 监督管理委员会纪委监察局,上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、 大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有 限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统 计监测中心有限责任公司、全国中小企业股份转让系统有限责任公司、中证信息技术服务有限责任公司, 深圳证券通信有限公司、上海期货信息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份 有限公司、海通证券股份有限公司。 本部分主要起草人:张野、刘铁斌、王东明、陈炜、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、 王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、 赵明、颜梦、李杰、杜佳铠、郭赫然。 II JR/T 0146.5—2016 证券期货业信息系统审计指南 第 5 部分:证券公司 1 范围 本部分给出了证券公司开展信息系统审计的实施指南。 本部分适用于中华人民共和国境内设立的证券公司及下属公司开展信息系统审计工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。本标准将根据规范性 引用文件的最新版本定期更新并发布。 JR/T 0060—2010 证券期货业信息系统安全等级保护基本要求(试行) JR/T 0067—2011 证券期货业信息系统安全等级保护测评要求(试行) JR/T 0099—2012 证券期货业信息系统运维管理规范 JR/T 0112—2014 证券期货业信息系统审计规范 JR/T 0133—2015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 审计底稿 information system audit manuscript 对获取的相关审计证据,实施的审计程序,以及得出的审计结论作出的记录。 3.2 审计程序 audit procedure 在具体的审计过程中采取的行动和步骤。 3.3 3.4 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。 审计证据 audit evidence 审计部门和审计人员获取的,用以证明审计事实真相,形成审计结论的证明材料,包括相关制度、 日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。 1 JR/T 0146.5—2016 4 信息系统审计概述 4.1 总则 信息系统审计框架由三部分构成:审计输入、审计过程和审计输出。 审计输入包括JR/T 0112-2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安 全控制相关的特定审计对象和审计方法,输出组件包括一组由审计人员使用的用于确定安全控制有效性 的程序化陈述。图1给出了框架。 审计方法 访谈 检查 测试 审计对象 制度文档 各类设备 安全配置 相关人员 JR/T 0112-2014 附录 A、B、C 证券期货业信息 系统审计规范 审计规程(步骤) 访谈规程(步骤) 检查规程(步骤) 测试规程(步骤) 审计输入 审计输出 审计过程 图1 概念性框架 审计对象是指审计实施的对象,即审计过程中涉及到的制度文档、各类设备及其安全配置和相关人 员等。制度文档是指针对信息系统所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功 能规格及建筑设计)。各类设备是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如: 硬件、软件、固件或物理设施)。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。 相关人员或部门,是指应用上述制度、设备及安全配置的人。 审计方法包括:访谈、检查和测试,审计人员通过这些方法试图获取证据。上述三种审计方法(访 谈、检查和测评)的审计结果都用以对安全控制的有效性进行评估。 审计输出是审计报告,审计报告应给出审计结论:如果审计结果中没有不符合项,则审计结论为“符 合”;如果审计结果存在不符合项,但所产生的安全问题不会导致信息系统存在高等级安全风险,则审 计结论为“基本符合”;如果审计结果存在不符合项,且所产生的安全问题导致信息系统存在高等级安 全风险,则审计结论为“不符合”。 2 JR/T 0146.5—2016 4.2 使用方法 本标准附录A至附录N分别描述了信息技术治理、机房管理、网络管理、运维管理、信息系统安全等 级保护相关工作、软件正版化、集中交易系统、网上信息系统、第三方存管系统、重要信息系统、A型 营业部、B型营业部、C型营业部、信息系统托管的审计方法。附录O给出了实施信息系统审计时需要的 调查数据。 审计实施时,审计人员需参考附录A至附录0,完成信息系统审计工作。对于机房管理、网络管理, 需每一个机房给出完整的审计底稿。对于重要信息系统,需审计包括但不限于等级保护二级及以上系统, 并对每一个重要信息系统给出完整的审计底稿。对于A型营业部、B型营业部、C型营业部,审计部门应 对每一个营业部给出完整的审计底稿。对于信息系统托管,需每一个提供托管服务的机房给出完整的审 计底稿。 审计过程中,审计人员需注意对审计记录和证据的采集、处理、存储和销毁,保护其在审计期间免 遭破坏、更改或遗失,并保守秘密。 3 JR/T 0146.5—2016 A A 附 录 A (规范性附录) 信息技术治理审计底稿 表A.1至表A.2给出了信息技术治理审计的程序、内容及相关记录要求。 表A.1 信息技术治理审计底稿 索引号:XXJSZL 审计年度: 被审计部门: 审计主题:信息技术治理 审计结论、意见及建议: 编制人: 年 月 日 (部门盖章) 复核意见: 复核人: 年 月 日 (部门盖章) 被审计部门意见: 年 月 日 (部门盖章) 4 审计证据列表: 表 A.1 信息技术治理审计底稿(续) JR/T 0146.5—2016 5 JR/T 0146.5—2016 表A.2 信息技术治理审计底稿 序号 审计项 1. 制度和文档管理 1.1. 管理制度 1.1.1. 是否制定信息安全工作的总体 方针和安全策略,说明机构安 全工作的总体目标、范围、原 则和安全框架等。 审计程序 审计结论 备注 检查公司信息安全工作的总体方针和安全 是□ 策略,查看文件是否明确机构安全工作的 否□ 总体目标、范围、原则和安全框架等。 不适用□ 1.1.2. 是否建立交付管理、配置管理、 检查运维管理制度是否涵盖交付管理、配 是□ 值班管理、监控管理、关联单 置管理、值班管理、监控管理、关联单位 否□ 位关系管理等制度。 关系管理等制度。 不适用□ 1.1.3. 是否根据行业规划和本机构发 检查信息化与信息安全发展规划,判断是 展战略,制定信息化与信息安 否规划中根据行业规划和本机构发展战 全发展规划,满足业务发展和 略,制定信息化与信息安全发展规划,满 信息安全管理的需要。 足业务发展和信息安全管理的需要。 是□ 否□ 不适用□ 1.1.4. 是否建立供应商管理制度,对 检查供应商管理制度,查看是否有对供应 是□ 供应商支持运维服务的相关活 商支持运维服务的相关活动进行统一管理 否□ 动进行统一管理。 的规定。 是否制定安全审核和安全检查 制度规范安全审核和安全检查 工作,定期按照程序进行安全 审核和安全检查活动。 1.1.5. 1.1.6. a)检查是否制定信息安全审核和检查制 度; 不适用□ 是□ b)检查安全审核和安全检查报告,确定是 否□ 否定期按照程序进行安全审核和安全检查 不适用□ 活动。 a)访谈负责人员调岗和离职管理的人事管 理人员,询问员工离岗是否遵循严格的调 离手续,离岗员工的访问权限是否及时终 止; b)IT技术人员岗位管理相关制度中是否包 是否制定有关管理规范,严格 含制定有关管理规范,严格规范人员离岗 是□ 规范人员离岗过程,及时终止 过程,及时终止离岗员工的所有访问权限; 否□ 离岗员工的所有访问权限。 c)抽查审计期内离岗员工的离岗记录,是 不适用□ 否具有按照离岗程序办理调离手续的记 录,对应的权限取消记录是否留痕; d)抽查审计期内离岗员工使用的主要系统 中的用户权限列表,离岗员工使用的账号 是否已禁用或取消。 1.1.7. 是否建立机房安全管理制度, a)是否有机房安全管理制度; 对有关机房设备和人员出入, b)查看其内容是否覆盖机房设备和人员出 是□ 供电,空调,消防,安防等基 入(含物品带进/带出),供电、空调、消 否□ 础设施的运行维护,机房工作 防、安防等基础设施的运行维护及机房工 不适用□ 人员等进行规范管理。 作人员管理。 6 序号 1.1.8. 1.1.9. 表 A.2 信息技术治理审计底稿(续) 审计项 审计程序 审计结论 备注 JR/T 0146.5—2016 a)检查IT组织构架管理,是否指定专门部 是否指定专门部门负责信息系 门负责信息系统的安全建设总体规划、制 是□ 统的安全建设总体规划、近期 定近期和长期安全建设计划; 否□ 和长期安全建设计划。 b)检查信息系统的安全建设总体规划、近 不适用□ 是否制定软件开发管理制度, 明确说明开发过程的控制方法 和人员行为准则。 期和长期安全建设计划文档。 检查是否有软件开发方面的管理制度,查 看文件是否明确软件设计、开发、测试、 验收过程的控制方法和人员行为准则,是 否明确哪些开发活动应经过授权、审批等。 是□ 否□ 不适用□ 1.1.10 是否制定工程实施管理制度, 检查工程实施管理制度,查看其是否包括 是□ . 明确实施过程的控制方法和人 工程实施过程的控制方法、实施参与人员 否□ 员行为准则。 的行为准则等方面内容。 不适用□ 1.1.11 是否建立运维值班管理制度, . 对日常操作、监控管理、事件 处理、问题处理、数据和介质 管理、机房管理、安全管理、 应急处置进行规范。 1.1.12 是否建立文档管理制度,对文 . 档的分类、命名规则、编写人、 审批人、版本、敏感性标识、 发布时间、存放方式、修订记 录、废止等做出规定。 检查运维值班管理制度,判断是否对日常 操作、监控管理、事件处理、问题处理、 数据和介质管理、机房管理、安全管理、 应急处置进行规范。 a)检查是否建立文档管理制度; b)是否对文档的分类、命名规则、编写人、 审批人、版本、敏感性标识、发布时间、 存放方式、修订记录、废止等做出规定。 1.1.13 是否建立资产安全管理制度, a)检查是否建立资产安全管理制度; . 规定信息系统资产管理的责任 b)资产安全管理制度是否规定信息系统资 人员或责任部门,并规范资产 产管理的责任人员或责任部门,并规范资 管理和使用的行为。 产管理和使用的行为。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 是□ 否□ 不适用□ 1.1.14 是否建立介质安全管理制度, . 明确责任人,对介质的存放环 境、使用、维护和销毁等方面 作出规定。 a)是否建立介质安全管理制度; 是□ b)制度中明确责任人,对介质的存放环境、 否□ 使用、维护和销毁等方面作出规定。 不适用□ 1.1.15 是否建立信息系统数据管理制 a)检查是否建立信息系统数据管理制度; . 度,对在线和离线数据的使用、 b)数据管理制度是否对在线和离线数据的 备份、存放、保护及恢复验证 使用、备份、存放、保护及恢复验证等活 等活动进行规范。 动进行规范。 是□ 否□ 不适用□ 1.1.16 是否建立基于申报、审批和专 a)文档审阅,是否建立了基于申报、审批 . 人负责的设备安全管理制度, 和专人负责的设备安全管理制度; 是□ 对信息系统的各种软硬件设备 b)文档审阅,设备安全管理是否对信息系 否□ 的选型、采购、发放和领用等 统的各种软硬件设备的选型、采购、发放 不适用□ 过程进行规范化管理。 和领用等过程进行规范化管理。 7 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 1.1.17 是否建立配套设施、软硬件维 a)文档审阅,是否建立了配套设施、软硬 . 护方面的管理制度,明确维护 件维护方面的管理制度; 是□ 人员的责任、涉外维修和服务 b)文档审阅,设备管理制度是否明确维护 否□ 的审批、维修过程的监督控制 人员的责任、涉外维修和服务的审批、维 不适用□ 等。 修过程的监督控制等。 1.1.18 是否建立计算机相关设备和软 a)文档审阅,是否建立了计算机相关设备 . 件管理制度,对设备和软件的 和软件管理制度; 是□ 验证性测试、出入库、安装、 b)文档审阅,管理制度是否对设备和软件 否□ 盘点、维修(升级)、报废等 的验证性测试、出入库、安装、盘点、维 不适用□ 进行规范。 修(升级)、报废等进行规范。 1.1.19 是否建立变更管理制度,系统 . 发生变更前,向主管领导申请, 变更和变更方案经过评审、审 批后方可实施变更,并在实施 后 将 变 更 情 况 向 相 关 人 员 通 告。 1.1.20 a)文档审阅,是否建立变更管理制度; b)系统发生变更前,是否向主管领导申请; 是□ c)变更和变更方案是否经过评审、审批后 否□ 方可实施变更,并在实施后将变更情况向 不适用□ 相关人员通告。 a)检查是否有与IT检查审计相关的管理制 . 是否建立检查审计制度,对运 度,查看其是否要求对IT运维制度的执行 维制度的执行情况和运维工作 情况和运维工作开展情况定期进行检查和 开 展 情 况 定 期 进 行 检 查 和 审 审计; 计,以督促运维工作持续改进。 b)检查审计期内的IT检查和审计记录,是 否每年至少每年进行一次IT 运维审计。 是□ 否□ 不适用□ 1.1.21 是 否 建 立 辅 助 的 人 工 巡 检 制 . 度,规定巡检内容、频度、人 员等。巡检内容应覆盖电力、 检查IT运维管理方面的制度,查看制度中 空调、消防、安防等机房设施, 是否包括人工巡检方面的内容,是否明确 主机、网络、通信、安全等设 巡检内容、频度、人员、报告等要求,巡 备的运行状况。巡检结果应及 检内容是否覆盖审计项中列示的内容。 是□ 否□ 不适用□ 时记录,如遇异常应及时处理, 并按规定要求进行报告。 1.1.22 是否建立网络安全管理制度, a)查看是否有网络安全管理制度,覆盖网 . 对网络安全配置、日志保存时 络安全配置、日志保存时间、安全策略、 是□ 间、安全策略、升级与打补丁、 升级与打补丁、口令更新周期等方面; 否□ 口 令 更 新 周 期 等 方 面 作 出 规 b)访谈网络管理员,了解是否知悉网络安 不适用□ 定。 全管理的相关规定。 8 表 A.2 信息技术治理审计底稿(续) 序号 1.1.23 审计项 审计程序 审计结论 备注 a)访谈负责信息技术规划和信息安全管理 JR/T 0146.5—2016 . 是否建立系统安全管理制度, 的跨部门机构负责人,检查其是否清楚信 对系统安全策略、安全配置、 息安全管理职责; 日志管理和日常操作流程等方 b)检查其是否有信息安全的管理制度文 面作出规定。 档,是否对系统安全策略、安全配置、日 1.1.24 . 是否建立定期的网上信息系统 安全风险评估机制和整改的工 作制度,及时发现SQL注入漏 洞、弱口令账户、绕过验证、 目录遍历、文件上传、跨站脚 本、Session欺骗、拒绝式服务 攻击和缓冲区溢出等系统存在 的安全隐患和漏洞,并进行改 进和完善。 志管理和日常操作流程等方面作出规定。 a)检查是否建立定期的网上信息系统安全 风险评估机制和整改的工作制度; b)查看内部风险评估报告和外部风险评估 报告,确认是否实时监控SQL注入漏洞、弱 口令账户、绕过验证、目录遍历、文件上 传、跨站脚本、Session欺骗、拒绝式服务 攻击和缓冲区溢出等系统存在的安全隐患 和漏洞; c)查看整改工作报告,确认对发现的风险 隐患进行了改进和完善。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 1.1.25 a)访谈安全管理员,了解其是否知道密码 . 是否建立密码使用管理制度, 使用的相关规定; 是□ 使用符合国家密码管理规定的 b)查看国家密码管理局批准使用的密码技 否□ 密码技术和产品。 术和产品列表,检查是否使用符合国家密 不适用□ 1.1.26 是否建立备份与恢复管理相关 . 的安全管理制度,对备份信息 的备份方式、备份频度、存储 介质和保存期等进行规范。 码管理规定的密码技术和产品。 检查是否建立备份与恢复管理相关的安全 是□ 管理制度,对备份信息的备份方式、备份 否□ 频度、存储介质和保存期等进行规范。 不适用□ 1.1.27 检查信息技术部门是否针对信息系统备份 . 是否针对信息的运行制定专项 能力的运行制定专项管理制度和操作流 管理制度和操作流程。 程,查看其内容是否覆盖数据备份、故障 1.1.28 是否建立问题管理制度,对运 . 维活动中发现的问题进行根本 解决,并建立问题库。 备份和灾难备份等方面。 查看问题管理制度,是否对运维活动中发 现的问题建立问题库。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 1.1.29 . 是否建立软件资产管理制度, 或将软件资产纳入本单位资产 管理体系,对软件采购、安装、 升级等工作流程有严格管理。 a)访谈信息技术负责人,是否将软件资产 纳入资产管理体系,并对软件采购、安装、 是□ 升级等流程进行管理; 否□ b)检查固定资产管理办法,是否包含软件 不适用□ 购置、安装、升级等流程。 9 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 审计项 审计程序 审计结论 备注 是否制定安全事件报告和处置 管理制度,明确安全事件类型, 规定安全事件的现场处理、事 件 报 告 和 后 期 恢 复 的 管 理 职 责。 1.2. 评审修订 1.2.1. a)检查是否有安全事件报告和处置管理制 度,查看其是否明确安全事件的级别,明 确不同级别安全事件的报告和处置方式等 内容; b)检查安全事件处理记录,查看其是否记 录引发安全事件的原因,是否记录事件处 理过程,是否与管理规定的处理要求一致 等。 a)访谈安全主管,询问是否组织相关人员 是□ 否□ 不适用□ 是□ 否□ 不适用□ 序号 1.1.30 . 1.2.2. 1.2.3. 1.2.4. 是否组织相关人员对制定的安 对制定的安全管理制度进行论证和审定 全管理制度进行论证和审定。 b)检查安全管理制度评审记录,查看是否 有相关人员的评审意见。 a)访谈信息安全领导小组负责人,询问信 息安全领导小组是否每年至少一次对安全 信息安全领导小组每年至少组 管理制度体系的合理性和适用性进行审 是□ 织一次安全管理制度体系的合 定; 否□ 理性和适用性审定。 b)检查安全管理制度体系的评审记录,是 不适用□ 否记录了相关人员的评审意见,是否至少 每年对安全管理制度体系进行评审。 a)检查安全管理制度的检查或评审记录, 每年或在发生重大变更时对安 判断是否至少每年或在发生重大变更时, 全管理制度进行检查,对存在 对安全管理制度进行检查; 不足或需要改进的安全管理制 b)检查安全管理制度的修订记录,判断是 度进行修订。 否对存在不足或需要改进的安全管理制度 是□ 否□ 不适用□ 是否建立运维管理制度和操作 流程的制定、发布、维护和更 新的机制。至少每年一次评审、 修 订 运 维 管 理 制 度 和 操 作 流 程。 1.3. 日常操作 1.3.1. 是否妥善保存客户开户资料、 进行了修订。 a)检查运维管理制度和操作流程维护办 法,是否有关于制定、发布、维护和更新 的规定; b)检查评审、修订运维管理制度和操作流 程的记录,是否每年对运维管理制度和操 作流程进行了评审、修订。 委托记录、交易记录和内部管 a)审阅客户资料保管制度,确认客户资料 理、业务经营有关的各项资料, 的保存期限。 不得隐匿、伪造、篡改或者毁 b)随机抽查最早年限的客户资料,确认是 损。上述资料的保存期限不得 否完整保存。 少于20年。 10 是□ 否□ 不适用□ 是□ 否□ 不适用□ 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 JR/T 0146.5—2016 1.3.2. 是否对运维过程中涉及的各类 文档进行分类管理,可按照制 度文档、技术文档、合同文档、 审批记录、日志记录等进行分 类,并统一存放。 1.3.3. 是否对超范围、超权限使用文 档时,保存相关审批、使用记 录。 1.4. 制定发布 a)检查文档管理制度; b)检查实际文档; c)判断是否对运维过程中涉及的各类文档 进行分类管理。 检查超范围、超权限使用文档审批和使用 记录。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 1.4.1. 1.4.2. 安全管理制度是否通过正式、 有效的方式发布。 安全管理制度是否注明发布范 围,并对收发文进行登记。 检查安全管理制度的收发登记记录,判断 是□ 安全管理制度是否能够发布到相关人员手 否□ 中。 不适用□ a)检查安全管理制度是否是注明发布范 是□ 围; 否□ b)检查安全管理制度的收发文登记记录。 不适用□ 1.4.3. 是否规范文档的发布管理,对 文档的版本进行控制。文档标 识敏感性、使用范围、使用权 限、审批权限等。文档在使用 时能读取、使用最新版本,防 止作废文件的逾期使用。 供应商管理 2. 2.1. a)检查文档管理制度; b)检查实际文档; 是□ c)判断是否对文档的版本进行控制。 否□ d)是否标识文档敏感性、使用范围、使用 不适用□ 权限、审批权限等。 是否确保安全服务商的选择符 访谈安全管理员,询问安全服务商是否通 合国家、行业的有关规定。 过国家、行业认可的信息安全资质认证。 2.2. 是否与选定的安全服务商签订 检查与安全服务商签订的安全责任合同书 与安全相关的协议,对合作方 或保密协议等文档,查看其内容是否包含 服务人员提出明确的信息安全 保密范围、安全责任、违约责任、协议的 要求。 有效期限和责任人的签字等。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 2.3. 是否在与供应商签订的合同中 明确其应承担的责任、义务, 并 约 定 服 务 要 求 和 范 围 等 内 容。 检查与供应商签订的合同,查看是否明确 是□ 其应承担的责任、义务,并约定服务要求 否□ 和范围等内容。 不适用□ 11 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 2.4. 是否与供应商签署保密协议, 不得泄露所服务机构的保密信 息,并要求供应商签署承诺书, 承诺产品不存在恶意代码或未 授权的功能,不提供违反我国 法律法规的功能模块,并符合 证券期货行业有关技术规范和 技术指引。 2.5. 是否在涉及证券期货交易、行 情、开户、结算等软件产品或 技术服务的采购合同中,明确 供应商是否接受证券期货行业 监 管 部 门 的 信 息 安 全 延 伸 检 查。 a)检查供应商签署的保密协议,查看是否 禁止供应商泄露所服务机构的保密信息; b)检查供应商签署的承诺书,查看供应商 是□ 是否承诺产品不存在恶意代码或未授权的 否□ 功能,不提供违反我国法律法规的功能模 不适用□ 块,并符合证券期货行业有关技术规范和 技术指引。 检查软件产品或技术服务的采购合同,查 是□ 看是否明确供应商应接受证券期货行业监 否□ 管部门的信息安全延伸检查。 不适用□ 2.6. 是否定期收集、更新供应商信 a)检查供应商列表,访谈信息技术负责人, 息,组织对供应商的服务质量、 判断是否定期收集、更新供应商信息; 合同履行情况、人员工作情况 b)检查供应商评价报告,判断是否定期组 等内容进行评价,形成评价报 织对供应商的服务质量、合同履行情况、 告,并跟踪和记录供应商改进 人员工作情况等内容进行评价,并跟踪和 是□ 否□ 不适用□ 情况。 记录供应商改进情况。 是否与外包公司及外包人员签 订保密协议。 是否明确外包公司应当承担的 责任及追究方式。 是否明确界定外包人员的工作 职责、活动范围、操作权限。 检查与外包公司及外包人员签订的保密协 是□ 议,确认是否与外包公司及外包人员签订 否□ 了保密协议。 不适用□ 检查与外包公司签订的合同,确认合同中 是□ 明确了外包公司应当承担的责任及追究方 否□ 式。 不适用□ 检查与外包公司签订的合同,确认合同中 是□ 明确了明确界定外包人员的工作职责、活 否□ 动范围、操作权限。 不适用□ 是□ 否□ 不适用□ 不适用□ 是□ 否□ 不适用□ 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. 12 是否对外包人员工作情况进行 查看监督和检查记录,确认对外包人员工 监督和检查,并保留相应记录。 作情况进行了监督和检查。 是否对驻场外包人员的入场和 离场进行管理。 理。 查看驻场外包人员入场和离场记录,确认 是□ 对驻场外包人员的入场和离场进行了管 否□ 是 否 定 期 评 估 外 包 的 服 务 质 检查外包服务的评估报告,确认定期对外 量。 包的服务质量进行了评估。 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 序号 2.13. 审计项 审计程序 审计结论 备注 是否制定外包服务意外终止的 检查应急预案,确认有外包服务意外终止 应急措施。 的应急措施。 是□ 否□ 不适用□ 2.14. 是否建立产品提供、系统开发 检查信息系统外包管理制度和应急预案, 和运营服务厂商的退出机制, 确认有产品提供、系统开发和运营服务厂 是□ 以保障其退出之后集中交易系 商的退出机制,以保障其退出之后集中交 否□ 统的持续运行和系统重要数据 易系统的持续运行和系统重要数据的安全 不适用□ 的安全。 措施。 3. 关联单位管理 3.1. 是否建立关联单位联系制度, a)检查关联单位联系表,是否包括证券期 定期与关联单位进行合作与沟 货行业监管部门、协会,当地政府部门, 通。关联单位包括证券期货行 公安机关,交易所等市场核心机构,其他 业监管部门、协会,当地政府 证券期货经营机构,银行机构,电力和通 是□ 部门,公安机关,交易所等市 信设施保障机构,软硬件供应商,技术服 否□ 场核心机构,其他证券期货经 务商和物业公司等; 不适用□ 营机构,银行机构,电力和通 b)检查合作与沟通的会议纪要或往来函 信设施保障机构,软硬件供应 件,判断是否定期与关联单位进行合作与 商,技术服务商和物业公司等。 沟通。 3.2. 各类管理人员之间、组织内部 检查合作与沟通的会议纪要或来往函件, 机构之间以及信息安全职能部 判断各类管理人员之间、组织内部机构之 是□ 门内部是否有内部合作沟通机 间以及信息安全职能部门内部是否有合作 否□ 制,定期或根据需要召开协调 与沟通,定期或根据需要召开协调会议, 不适用□ 会议,协作处理信息安全问题。 协作处理信息安全问题。 3.3. 是否加强与供应商、业界专家、 检查合作与沟通的邮件、会议纪要等,判 是□ 专业的安全公司、安全组织的 断与供应商、业界专家、专业的安全公司、 否□ 合作与沟通。 安全组织是否有合作与沟通。 不适用□ 3.4. 是否聘请信息安全专家作为常 年的安全顾问,指导信息安全 建设,参与安全规划和安全评 审等。 3.5. 是否建立关联单位联系表,表 的内容至少包括单位名称、业 务事项、联系人、联系方式、 备注等,并及时更新。 a)检查信息安全专家的简历和聘书,判断 是否聘请信息安全专家作为常年的安全顾 问,指导信息安全建设,参与安全规划和 是□ 安全评审等; 否□ b)检查安全规划和安全评审会议纪要,判 不适用□ 断安全专家是否参与安全规划和安全评审 会议。 检查关联单位联系表,是否包括单位名称、 是□ 业务事项、联系人、联系方式、备注等, 否□ 并及时更新。 不适用□ 13 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 审计项 审计程序 审计结论 备注 序号 4. 4.1. 经费管理 最近三个财政年度IT投入平均 数额是否不少于最近三个财政 年度平均净利润的6%或不少于 最近三个财政年度平均营业收 入的3%。 4.2. 是否制定信息系统运行维护年 度预算计划,每年进行核算。 预算和核算是否接受监督和审 计。 4.3. 是否将信息系统运行维护的各 项费用纳入预算管理。费用至 少应包括:机房物理环境、信 息系统软硬件、网络与通信设 施的使用费和维修费,以及应 急保障费用、技术服务费用、 人员培训费用等。 检查“a)表O.2-合计(万元)”、“b)表 O.2-净利润(万元)”、“c)表O.2-营业 收入(万元)”,判断最近三个财政年度 IT投入平均数额是否不少于最近三个财政 年度平均净利润的6%或不少于最近三个财 政年度平均营业收入的3%。 是□ 否□ 不适用□ a)检查是否有信息系统运行维护年度预算 是□ 计划; 否□ b)检查是否有预算审批记录和审计记录。 不适用□ 检查“表O.2-信息技术投入情况”,是否 有信息系统运行维护年度预算计划,费用 包括:机房物理环境、信息系统软硬件、 网络与通信设施的使用费和维修费,以及 应急保障费用、技术服务费用、人员培训 费用等。 是□ 否□ 不适用□ 4.4. a)检查“表O.2-软件投入(万元)”,访 是否落实软件采购经费,做好 软件正版化工作。 谈正版化相关人员,是否制定了软件采购 是□ 的经费,并纳入预算; 否□ b)检查软件采购经费说明,是否按照预算 不适用□ 5. 客户关系管理 5.1. 是 否 在 与 客 户 签 订 的 服 务 合 执行。 同、经纪合同及补充协议、风 险揭示书等中载明,客户使用 网上交易可能面临的风险、公 司采取的风险控制措施、客户 应采取的风险控制措施以及相 关风险对应的责任承担。(如 防止用于网上交易的计算机或 手机终端感染木马、病毒,以 免被恶意程序窃取口令;加强 帐号、口令的保护,不使用简 单口令、定期修改口令、输入 口令时防止他人偷看、不对他 人泄露口令等)。 检查与客户签订的服务合同、经纪合同及 补充协议、风险揭示书等,确定这些文档 中载明,客户使用网上交易可能面临的风 险、公司采取的风险控制措施、客户应采 取的风险控制措施以及相关风险对应的责 是□ 任承担。(如防止用于网上交易的计算机 否□ 或手机终端感染木马、病毒,以免被恶意 不适用□ 程序窃取口令;加强帐号、口令的保护, 不使用简单口令、定期修改口令、输入口 令时防止他人偷看、不对他人泄露口令 等)。 14 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 JR/T 0146.5—2016 5.2. 是否在门户网站或固定营业场 所公告短信服务号码、移动证 券门户网站地址等信息,提醒 客户防范他人利用移动通讯设 备进行欺诈。 5.3. 是否根据移动证券业务的网络 延迟时间、链路稳定状况、信 检查门户网站或固定营业场所是否公告短 信服务号码、移动证券门户网站地址等信 息,提醒客户防范他人利用移动通讯设备 进行欺诈。 号衰减程度等风险因素,对行 检查客户签署的开户协议或移动终端服务 情或交易数据可能出现明显滞 协议中是否存在风险提示。 后或产生数据丢失的情况,事 先对客户进行风险提示。 5.4. 是否尽可能使用统一的网上证 是□ 否□ 不适用□ 是□ 否□ 不适用□ 券服务电话、域名、短信号码 检查与投资者签订的协议或合同是否明确 等,并应在与投资者签订的协 告知客户使用网上证券信息系统的合法途 是□ 议或合同中明确告知客户使用 径、意外事件的处理办法,以及证券公司 否□ 网 上 证 券 信 息 系 统 的 合 法 途 网上证券服务电话、域名、短信号码等联 不适用□ 径、意外事件的处理办法,以 系方式。 及证券公司联系方式等。 5.5. 是否根据投资者需要开启或关 检查与投资者签订的协议或合同是否根据 闭网上交易方式。 投资者需要开启或关闭网上交易方式。 是□ 否□ 不适用□ 6. 人员管理 6.1. 教育培训 6.1.1. 是否为IT部门提供足够的资金 支持,为IT人员提供履行其岗 检查“表O.2-信息技术培训费用(万元)”、 是□ 位职责所需要的岗位技能培训 IT技术人员的业务培训、考核、激励和奖 否□ 及业务培训,制定合理的考核 惩记录。 不适用□ 体系、激励机制和奖惩措施。 6.1.2. a)访谈安全主管,询问是否制定安全教育 是否对各类人员进行安全意识 教育、岗位技能培训和相关安 全技术培训。 和培训计划; b)检查安全教育和培训计划文档,查看计 划是否明确了培训方式、培训对象、培训 内容、培训时间和地点等; c)检查培训内容是否包含信息安全基础知 识、岗位操作规程等; d)检查安全教育和培训记录,查看记录是 否有培训人员、培训内容、培训结果等的 描述。 是□ 否□ 不适用□ 15 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 6.1.3. 是否对安全责任和惩戒措施进 a)检查安全责任和惩戒措施管理文档,查 6.1.4. 行书面规定并告知相关人员, 看是否包含具体的安全责任和惩戒措施; 并对违反违背安全策略和规定 b)检查安全责任惩戒记录,是否对违反安 的人员进行惩戒。 全策略和规定的人员进行惩戒。 是否对年度安全教育和培训进 行书面规定,针对运维人员等 不 同 岗 位 制 定 不 同 的 培 训 计 划,对信息安全基础知识、岗 位操作规程、机房消防及相关 应急内容等进行培训,并留存 培训记录。 a)检查安全教育和培训计划文档,查看计 划是否明确了培训方式、培训对象、培训 内容、培训时间和地点等,培训内容是否 包含信息安全基础知识、岗位操作规程、 机房消防及相关应急内容等; b)检查安全教育和培训记录,查看记录是 否有培训人员、培训内容、培训结果等的 描述。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 6.1.5. 是否对安全教育和培训的情况 和结果进行记录并归档保存。 检查安全教育和培训记录,查看记录是否 是□ 有培训人员、培训内容、培训结果等的描 否□ 述。 不适用□ 6.2. 人员考核 6.2.1. 是否定期对各个岗位的人员进 行 安 全 技 能 及 安 全 认 知 的 考 核。安全技能及安全认知的考 核是否至少每年一次。 6.2.2. a)访谈安全主管,询问是否定期对各个岗 位人员进行安全技能及安全知识的考核; b)检查考核记录,查看考核人员是否包括 是□ 各个岗位的人员,考核内容是否包含安全 否□ 知识、安全技能等。检查相关岗位的安全 不适用□ 技能和安全认知的考核记录,查验安全技 能和安全认知的考核是否至少每年一次。 a)访谈安全主管,询问是否对关键岗位人 是否对关键岗位的人员进行全 员定期进行安全审查和技能考核; 是□ 面、严格的安全审查和技能考 b)检查考核记录,查看是否考核关键岗位 否□ 核。 人员,考核内容是否包含安全知识、安全 不适用□ 6.2.3. 是否对考核结果进行记录并保 存。 6.3. 人员离岗 技能等,考核是否至少每年一次。 a)检查是否对岗位人员的安全审查和技能 是□ 考核结果进行记录; 否□ b)记录是否得到妥善保存。 不适用□ 6.3.1. 人员离岗是否取回各种身份证 检查人员离岗记录是否包含取回各种身份 是□ 件、钥匙、徽章等以及机构提 证件、钥匙、徽章等以及机构提供的软硬 否□ 供的软硬件设备。 件设备等记录。 不适用□ 6.3.2. 是否办理严格的调离手续,关 键岗位人员离岗须承诺调离后 的保密义务后方可离开。 a)检查IT技术人员录用考评相关制度是否 包含严格的调离手续。 b)检查关键岗位人员保密承诺书是否有关 于离岗后保密承诺的相关规定。 是□ 否□ 不适用□ 16 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 JR/T 0146.5—2016 6.4. 人员录用 运维人员是否具备一定的计算 机基础理论知识和专业技术经 验,并具有相应的从业资格。 6.4.1. 6.4.2. 公司是否配备足够的信息技术 人员,公司的IT工作人员总数 不少于公司员工总人数的6%。 查看运维人员简历,访谈相关人员,判断 运维人员是否具备一定的计算机基础理论 知识和专业技术经验,并具有相应的从业 资格。 a)检查“表O.1-人员基本情况”、技术部 门员工的情况说明,应包括总部技术部门 人员名单及占比情况计算; b)检查正式员工花名册及员工人数统计 (以与公司签订劳动合同,且具有从业资 格为准); c)检查技术部门技术人员的简历,是否符 合情况说明。 6.4.3. a)访谈人事管理人员,是否由专门的部门 是否指定或授权专门的部门或 或人员负责人员的录用工作; 人员负责人员录用。 b)查看对应部门的部门职责,是否有对该 是□ 否□ 不适用□ 是□ 否□ 不适用□ 是□ 否□ 不适用□ 是否严格规范人员录用过程, 对被录用人员的身份、背景和 专业资格等进行审查,对其所 具有的技术技能进行考核。 6.4.4. 职责的明确描述。 a)访谈负责人员录用的人事管理人员,是 否对被录用人员的身份、背景和专业资格 等进行审查,对其所具有的技术技能进行 考核; b)抽查审计期内人员录用管理文档,查看 是否说明录用人员应具备的条件(如学历、 学位要求,技术人员应具备的专业技术水 是□ 平,管理人员应具备的安全管理知识等); 否□ c)抽查审计期内录用的人员审查记录,是 不适用□ 否具有人员录用时对录用人身份、背景和 专业资格等进行审查的相关文档或记录, 查看是否记录审查内容和审查结果等; d)抽查审计期内人员录用时的技能考核文 档或记录,查看是否记录考核内容和考核 结果等。 17 JR/T 0146.5—2016 序号 6.4.5. 6.4.6. 表 A.2 信息技术治理审计底稿(续) 审计项 审计程序 审计结论 备注 a)访谈负责人员录用的人事管理人员,是 否与被录用人员签署保密协议,保密协议 是否至少包括保密范围、保密期限等内容; 证券期货机构是否与人员签署 b)检查IT技术人员岗位管理相关制度中是 是□ 保密协议,保密协议应至少包 否含有与开发、运维等关键岗位人员签署 否□ 括保密范围、保密期限等内容。 保密协议,保密协议应至少包括保密范围、 不适用□ 保密期限等内容; c)检查保密协议记录是否覆盖了开发和运 维等关键岗位的全部人员。 a)检查IT技术人员岗位管理相关制度中是 否要求从内部人员中选拔从事关键岗位的 是否从内部人员中选拔从事关 人员; 是□ 键岗位的人员,并签署岗位安 b)检查关键岗位人员的工作经历是否满足 否□ 全协议。 要求; 不适用□ c)检查关键岗位人员是否签署了岗位安全 协议。 6.5. 外部人员管理 6.5.1. 是否确保在外部人员访问受控 检查重要区域外部人员访问记录,判断外 区域前先提出书面申请,批准 部人员访问重要区域(如访问机房、重要 后由专人全程陪同或监督,并 服务器或设备区等)是否经有关部门或负 登记备案。 责人批准,并由专人全程陪同或监督。 是□ 否□ 不适用□ 6.5.2. 对外部人员允许访问的区域、 系统、设备、信息等内容是否 进行书面的规定,并按照规定 执行。 a)检查外部人员访问管理文档,查看是否 具有规范外部人员访问机房等重要区域需 经过相关部门或负责人批准的管理要求; 是□ b)检查外部人员访问重要区域的申请文 否□ 档,登记记录,查看是否记录了外部人员 不适用□ 访问重要区域的进入时间、离开时间、访 问区域及陪同人等信息。 7. 组织管理 7.1. 岗位设置 7.1.1. a)访谈安全主管,询问由哪个部门或人员 是否指定或授权专门的部门或 负责制定安全管理制度; 是□ 人 员 负 责 安 全 管 理 制 度 的 制 b)查阅公司正式发文,是否指定或授权专 否□ 定。 门的部门或人员负责安全管理制度的制 不适用□ 定。 18 表 A.2 信息技术治理审计底稿(续) 审计项 审计程序 审计结论 备注 JR/T 0146.5—2016 a)访谈安全主管,询问是否设立信息安全 是否设立信息安全管理工作的 管理工作的职能部门、安全主管、安全管 职能部门,设立安全主管、安 理各个方面的负责人岗位; 全 管 理 各 个 方 面 的 负 责 人 岗 b)检查岗位职责文档,查看文档是否明确 位,并定义各负责人的职责。 设置安全主管、安全管理各个方面的负责 是□ 否□ 不适用□ 人、各个岗位的职责范围是否清晰、明确。 a)访谈运维组织负责人,询问是否知悉其 序号 7.1.2. 7.1.3. 是否任命运维组织负责人,负 职责范围; 是□ 责组织、协调、管理信息系统 b)查阅公司正式发文,是否明确运维组织 否□ 的运行维护工作。 负责人负责组织、协调、管理信息系统的 不适用□ 运行维护工作。 7.1.4. 是否制定文件明确安全管理机 检查安全管理制度,查看是否明确安全管 是□ 构各个部门和岗位的职责、分 理机构各个部门和岗位的职责、分工和技 否□ 工和技能要求。 能要求。 不适用□ 7.1.5. a)检查“表O.1-按岗位人员情况”,检查 运维岗位分工及岗位职责说明,是否包括 运维岗位是否至少包括机房管 机房管理员、网络管理员、系统管理员、 理员、网络管理员、系统管理 数据库管理员、安全管理员等关键岗位, 员、数据库管理员、安全管理 并设置主备岗; 员等关键岗位,并设置主备岗。 b)访谈机房管理员、网络管理员、系统管 是□ 否□ 不适用□ 7.1.6. 关键岗位是否进行分离,兼岗 时是否满足岗位相互制约的要 求。 7.1.7. 是否设立总工程师岗位、IT总 监或其他类似职位的IT专职负 责人。 理员、数据库管理员、安全管理员等关键 岗位人员,了解信息系统运行维护情况。 检查运维岗位分工及岗位职责说明,机房 管理员、网络管理员、系统管理员、数据 库管理员、安全管理员等关键岗位的职责 范围是否清晰、明确,有相互制约的要求。 是□ 否□ 不适用□ a)查阅公司正式发文,是否设立总工程师 岗位、IT总监或其它类似职位的IT专职负 责人; b)访谈总工程师岗位、IT总监或其它类似 职位的IT专职负责人,询问是否知悉其职 责范围。 是□ 否□ 不适用□ 7.1.8. a)检查运维岗位分工及岗位职责说明,是 是 否 指 定 专 人 担 任 安 全 管 理 员,负责信息安全管理工作, 在自身能力不足的情况下,可 外聘安全机构协助完成。 否设置安全管理员岗位; b)访谈安全管理员,询问是否知悉其职责 是□ 范围; 否□ c)如果外聘安全机构协助完成安全管理工 不适用□ 作,查看外聘机构联系表,确认有外聘的 安全机构。 19 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 7.1.9. 安 全 管 理 员 是 否 督 促 解 决 检 查看安全管理员督促解决检查、测评、评 是□ 查、测评、评估中发现的风险 估中发现的风险隐患的记录,判断安全管 否□ 隐患。 理员是否履行其职责。 不适用□ 7.1.10 . 第三方存管系统安全稳定运行 的第一责任人是否为总部主要 负责人。 a)查阅公司正式发文,是否设立第三方存 管系统第一责任人; b)判断第三方存管系统第一责任人是否为 总部主要负责人; c)访谈第三方存管系统第一责任人,询问 是否知悉其职责范围。 是□ 否□ 不适用□ 7.1.11 a)查阅公司正式发文,是否设立专门的第 . 是否指定专门的第三方存管系 三方存管系统技术联络员; 统技术联络员,具体负责与监 b)访谈技术联络员,询问是否知悉其职责 是□ 管机构、技术协调小组、第三 范围; 否□ 方存管相关参与方之间的对口 c)查看与监管机构、技术协调小组、第三 不适用□ 联络。 方存管相关参与方的联络记录,判断技术 联络员是否履行其职责。 7.1.12 是否指定部门负责机房安全, 访谈系统运维负责人,询问是否有专门的 . 并配备机房安全管理人员,对 部门或人员对机房的出入、服务器开机/ 机房的出入、服务器的开机或 关机等日常工作进行管理,由何部门/何人 关机等工作进行管理。 负责。 7.1.13 . 是否指定机房管理负责人。 7.1.14 . 是否指定人员负责控制、鉴别 和 记 录 设 备 和 人 员 的 进 出 情 况,记录进出人员、进出时间、 工作内容,并留存记录至少90 天。 查阅公司正式发文,是否设立机房管理负 责人。 a)检查运维岗位分工及岗位职责说明,是 否指定人员负责控制、鉴别和记录设备和 人员的进出情况; b)抽查90天内的机房进出记录,确认是否 记录设备和人员的进出情况,记录进出人 员、进出时间、工作内容等。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 是□ 否□ 不适用□ 7.1.15 是否指定或授权专门的部门或 访谈系统建设负责人,询问是否指定专门 是□ . 人 员 负 责 工 程 实 施 过 程 的 管 部门或人员对工程实施过程进行进度和质 否□ 理。 量控制,由何部门/何人负责。 不适用□ 是否指定专门的部门或人员负 责管理系统定级的相关材料, 并控制这些材料的使用。 是否指定或授权专门的部门或 人员负责等级测评的管理。 访谈系统建设负责人,询问是否有专门的 部门或人员负责管理系统定级的相关文 档,由何部门/何人负责;询问对系统定级 相关备案文档使用的控制方式。 是□ 否□ 不适用□ 访谈系统建设负责人,询问是否有专门的 是□ 部门或人员负责等级测评的管理,由何部 否□ 门/何人负责。 不适用□ 7.1.16 . 7.1.17 . 20 表 A.2 信息技术治理审计底稿(续) 序号 审计项 审计程序 审计结论 备注 JR/T 0146.5—2016 7.1.18 是否指定运维值班负责人。运 a)查阅运维值班负责人及备岗人员名单; . 维值班负责人负责日常操作的 b)访谈运维值班负责人及备岗人员,询问 部署、检查、风险控制、业务 是否知悉其职责范围包括:日常操作的部 衔接等工作。运维值班负责人 署、检查、风险控制、业务衔接等工作; 是否有备岗,主备岗是否不得 c)查看运维值班负责人及备岗人员值班记 同时离岗。 录,判断是否没有同时离岗。 7.1.19 . 是否明确文档管理的责任人。 访谈文档管理责任人,询问是否知悉其职 责范围。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 7.1.20 是否明确数据管理责任人,负 . 责数据的收集、使用、备份、 检 查 等 策 略 的 制 定 和 执 行 工 作。 访谈数据管理责任人,询问是否知悉其职 是□ 责范围,包括数据的收集、使用、备份、 否□ 检查等策略的制定和执行工作。 不适用□ 7.1.21 . 是否明确设备和软件管理责任 访谈设备和软件管理责任人,询问是否知 人。 悉其职责范围。 是□ 否□ 不适用□ 是□ 否□ 不适用□ 7.1.22 是否明确责任人,负责统一保 . 管、安全存放管理员口令,不 得泄漏。 7.1.23 . 7.1.24 . 7.1.25 是 否 指 定 人 员 对 网 络 进 行 管 理,负责运行日志、网络监控 记录的日常维护和报警信息分 析和处理工作。 是否指定专人对网络和主机进 行恶意代码检测并保存检测记 录。 访谈管理员口令管理责任人,询问是否知 悉其职责范围。 a)访谈网络管理员,询问是否知悉其职责 范围,包括:负责运行日志、网络监控记 录的日常维护和报警信息分析和处理工 是□ 作; 否□ b)查看网络维护记录,判断是否对重要操 不适用□ 作步骤进行了记录,对报警信息进行了分 析和处理。 a)访谈安全管理员,询问是否对网络和主 机进行了恶意代码检测; b)查看恶意代码检测记录,确认对网络和 主机进行了恶意代码检测。 a)访谈事件与问题管理人员,询问是否记 是□ 否□ 不适用□ . 是否指定人员负责设计和管理 录、分级、分派、处理、监控和结束事件; 是□ 事件的记录、分级、分派、处 b)查看事件与问题记录,确认对事件进行 否□ 理、监控和结束整个流程。 了记录、分级、分派、处理、监控,并结 不适用□ 束事件。 7.1.26 检查“表O.11-基本情况”,访谈系统建设 . 是否明确部门或责任人,负责 负责人,询问是否有专门的部门或人员负 本单位软件正版化工作。 责本单位软件正版化工作,由何部门/何人 负责。 是□ 否□ 不适用□ 21 JR/T 0146.5—2016 表 A.2 信息技术治理审计底稿(续) 序号 7.1.27 审计项 审计程序 审计结论 备注 a)查看应急处置联络手册,确认指定了通 . 是否指定通报联络人,明确联 报联络人,至少包括信息技术负责人及其 络方式。通报联络人至少包括 备岗;确认通报人联络方式至少包括应急 信息技术负责人及其备岗。通 值守电话与传真; 是□ 报联络方式至少包括应急值守 b)访谈通报联络人,询问是否知悉其职责 否□ 电话与传真。将通报联络人及 范围; 不适用□ 其 联 络 方 式 及 时 通 知 监 管 部 c)查阅通报联络人正式发文,确认将通报 门、行业协会和相关单位。 联络人及其联络方式及时通知了监管部 门、行业协会和相关单位。 7.2. 机构设置 7.2.1. a)检查设立信息系统运维组织的正式发 是否设立信息系统运维组织, 文,查看运维岗位分工及岗位职责说明, 是□ 负 责 信 息 系 统 的 运 行 维 护 工 了解信息系统运维岗位设立情况; 否□ 作。 b)访谈相关人员,询问是否知悉其职责范 不适用□ 围。 是否设立IT治理委员会或类似 机构,负责公司IT治理工作。 检查设立IT治理委员会的正式发文,查看 是□ 是否明确IT治理委员会负责公司IT治理工 否□ 作。 不适用□ a)检查设立IT治理委员会的正式发文,查 IT治理委员是否包括公司IT治 看“表O.1- IT治理委员会或类似机构组成 理直接责任人、IT总监、IT部 人员”,确定委员包括公司IT治理直接责 门负责人、相关业务负责人、 任人、IT总监、IT部门负责人、相关业务 是□ 财务负责人、内部控制负责人 负责人、财务负责人、内部控制负责人以 否□ 以及部分技术骨干等人员,其 及部分技术骨干等人员,其中IT人员的比 不适用□ 中IT人员的比例是否在30%以 例是否在30%以上; 上。 b)访谈IT治理委员会委员,询问是否知悉 IT治理委员会是否拟订公司IT 治理目标和IT治理工作计划。 其职责范围。 检查公司IT治理目标和IT治理工作计划, 是□ 判断IT治理委员会是否拟订公司IT治理目 否□ 标和IT治理工作计划。 不适用□ 是□ 否□ 不适用□ IT治理委员会是否审议公司IT 检查公司IT发展规划审议记录,判断IT治 发展规划。 理委员会是否审议公司IT发展规划。 IT治理委员会是否审议公司年 度IT工作计划和IT预算。 IT治理委员会是否审议公司重 大IT项目立项、投入和优先级。 检查公司年度IT工作计划和IT预算审议记 是□ 录,判断IT治理委员会是否审议公司年度 否□ IT工作计划和IT预算。 不适用□ 检查公司重大IT项目立项、投入和优先级 是□ 审议记录,判断IT治理委员会是否审议公 否□ 司重大IT项目立项、投入和优先级。 不适用□ 7.2.2. 7.2.3. 7.2.4. 7.2.5. 7.2.6. 7.2.7. 22 表 A.2 信息技术治理审计底稿(续) 序号 7.2.8. 审计项 审计程序 审计结论 备注 IT治理委员会是否审议公司IT 管理制度和重要流程。 检查公司IT管理制度和重要流程审议记 是□ 录,判断IT治理委员会是否审议公司IT管 否□ 理制度和重要流程。 不适用□ JR/T 0146.5—2016 7.2.9. IT治理委员会是否制订与IT治 检查与IT治理相关的培训和教育工作计 是□ 理 相 关 的 培 训 和 教 育 工 作 计 划,判断IT治理委员会是否制订与IT治理 否□ 划。 相关的培训和教育工作计划。 不适用□ 7.2.10 IT治理委员会是否检查所拟订 检查拟订和审议事项的落实和执行情况的 是□ . 和 审 议 事 项 的 落 实 和 执 行 情 说明,判断IT治理委员会是否检查所拟订 否□ 况。 和审议事项的落实和执行情况。 不适用□ 7.2.11 IT治理委员会是否组织评估公 检查公司IT重大事项评估和处置意见,判 是□ . 司 IT 重 大 事 项 并 提 出 处 置 意 断IT治理委员会是否组织评估公司IT重大 否□ 见。 事项并提出处置意见。 IT治理委员会是否向公司管理 检查IT治理状况报告,判断IT治理委员会 层报告IT治理状况。 是否向公司管理层报告IT治理状况。 不适用□ 是□ 否□ 不适用□ a)检查组织架构说明和岗位职责

证券期货业信息系统审计指南 第5部分:证券公司 第1页 第1页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第2页 第2页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第3页 第3页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第4页 第4页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第5页 第5页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第6页 第6页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第7页 第7页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第8页 第8页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第9页 第9页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第10页 第10页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第11页 第11页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第12页 第12页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第13页 第13页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第14页 第14页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第15页 第15页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第16页 第16页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第17页 第17页 / 共309页


证券期货业信息系统审计指南 第5部分:证券公司 第18页 第18页 / 共309页


说明:e文库 网站作为信息服务提供商,积极倡导原创、高质量的文档分享及各方权益的保护。本站只允许浏览文档前18页的内容,下载后的文档将可以浏览全部内容并且会比当前页面所见更加清晰,请放心下载!
下载此文档