《内部审计实务指南第5号模版.docx》由会员分享,可在线阅读,更多相关《内部审计实务指南第5号模版.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内部审计实务指南第5号 信息系统安全控制审计指南第一条 为了规范信息系统安全审计监督,提高审计质量和效率,根据银行内部审计工作办法,制定本指南。第二条 本指南所称的信息系统安全控制审计,是指审计部门对信息科技治理和组织结构、信息系统安全管理、信息系统开发设计管理、信息系统运行维护管理、业务持续性规划等方面的安全控制进行的审计。第三条 信息系统安全控制审计的目的是通过获取并评价证据,判断信息系统是否能够保证资产的安全、数据的安全和完整,控制信息系统安全风险,保证信息系统高效、安全运行,实现审计为组织增加价值的目标。第四条 被审计单位必须如实提供下列材料:(一)信息科技治理架构及相关职责文件;(二
2、)科技管理制度;(三)科技风险管理制度;(四)主机、网络运行日志;(五)相关设备的参数配置;(六)用户组和用户信息列表。第五条 信息系统安全审计的内容:结合信息系统安全和控制对以下四个方面进行审计,保证审计目标的实现。(一) 网络层面审计对象包括对网络结构、网络设备安全以及网络行为的审计,审计数据来自人工收集和技术手段收集等。网络架构主要是对链路、结构以及网络配置方面的审计。网络设备安全审计主要设备层面安全配置审计。而网络行为审计内容重点是对网络中发生的安全事件、网络异常行为的审计。网络层面具体审计内容如下:(二)审计对象审计内部具体审计项审计频率审计方式网络架构安全网络的划分网络间通讯的流程
3、和控制网络链路的备份网络安全的设计网络服务查看网络物理结构图查看网络逻辑结构图(IP分配)使用网络侦测工具进行IP(网络服务)扫描查看网络安全审计和实施方案测试备份网络链路测试网络路由情况测试网络负载情况人工审计网络设备安全防火墙路由器交换机网关查看防火墙安全日志文件查看路由器、交换机、网关日志文件检查防火墙安全配置查看路由器路由和其他网络配置查看交换机、VLAN、端口映射、数据流控制等配置查看网关配置人工或利用系统完成日志信息收集网络行为监控和检测监控系统的运作情况入侵监测运行情况查看网络监控系统和入侵监测系统的配置文件查看监控系统和入侵检测系统的日志文件测试监控和入侵检测系统的报警机制能否
4、正常运作测试关键的监控和入侵检测功能(运行非正常操作,测试系统能否捕获和报警)利用网络中的网络监控和检测系统完成审计数据的手机,结合技术和人工方式完成(二)系统层面安全审计对象包括系统安全技术、计算机病毒防治、远程访问安全。在对设备层面审计重点是对各种系统生成的日志、操作日志进行审计。具体审计内容如下:审计对象审计内容具体审计项审计频率审计方式系统安全技术操作系统安全性查看操作系统安全日志文件查看管理员操作日志文件查看文件访问记录对用户权限分配情况进行抽查进行系统漏洞扫描和补丁检测利用集中日志管理系统完成日志信息的手机和处理或者选择人工方式收集计算机病毒防治防病毒系统的安装情况防病毒系统的运行
5、情况系统病毒数据库的更新情况用户病毒数据库的更新情况抽查计算机用户时候安装了规定的防病毒程序,并检查程序的内部设定抽查计算机用户的病毒库版本随机测试防病毒系统的功能查看反病毒库的运行日志文件检查防病毒系统的病毒库版本人工收集远程访问安全远程访问身份验证远程访问权限分配远程访问通讯加密远程访问性能远程访问服务器和系统的安全性查看远程访问安全日志文件查看远程访问控制设定查看远程访问服务器的性能日志文件对远程服务器进行漏洞扫描对传送的数据实行测试(三)应用层面审计重点是对应用系统生命周期管理的审计,包括:应用软件开发安全、应用系统运行安全、数据库安全、数据备份和恢复等方面。审计对象审计内容具体审计项
6、审计频率审计方式软件开发安全软件开发环境软件测试规定和执行情况软件开发文档管理规定和执行情况测试系统与生产系统同步情况查看软件开发规范查看软件开发环境设计和实施方案查看软件开发项目文档和有关技术文档查看软件测试记录查看软件开发系统备份记录查看测试系统升级计划和有关实施文档人工收集系统运营安全业务主机安全性业务主机备份和恢复查看业务主机安全日志文件查看业务主机管理员操作日志查看文件访问记录查看数据备份记录进行主机漏洞/补丁升级情况查看所有用户的权限分配数据库安全数据库用户设定和权限分配数据库访问身份验证数据库完整性数据库访问性能查看数据库安全日志文件查看数据库性能乳汁文件查看数据库用户和用户组设
7、定和相应的权限设置使用数据库测试工具,检查数据库内数据和数据关系的完整性数据备份和恢复数据备份和恢复计划和执行情况备份应用程序备份介质管理制度和执行情况备份和恢复操作制度和执行情况查看碑文应用程序的运行日志文件查看备份介质记录查看备份介质管理记录查看备份和恢复操作记录备份系统和生产系统切换测试备份介质存放地点检查备份介质可用性测试检查备份系统可用性测试检查人工审计(四)业务层面的安全重点是对账号集中审计管理以及对关键业务操作行为的审计。审计对象审计内容具体审计项审计频率审计方式账户管理账户分配情况账号的创建与变更账号的创建时间、创建人账号的变更时间、变更人以及其他变更事项账号冻结、解冻检查账号
8、分配时间和有效期人工审计账号授权对账号授权过程审计对账号当前使用权限的审计包括账号的访问权限、查询资源的授权访问者,权限的分配时间、分配者等账号权限变更时间、变更人员和变更事项账号当前对应的权限是否与该账号所进行的操作权限一致登陆行为成功登陆失败登陆登陆顺序权限人账号登陆、退出系统的时间账号失败登陆使用的账号、频率、时间等同一个账号在一段时间内登陆系统的顺序业务操作网络管理行为审计数据库操作审计自维护工作中使用FTP/Telnet 等各种操作进行审计,获得全部操作记录和结果对FTP/telnet 等操作执行回放,还原操作内容记录与登陆者身份不符的各种操作指令检查权限人对数据库进行的操作类型对系统配置数据的删除操作进行审计通过制定数据库关键字段、关键操作进行审计根据操作时序顺序对操作行为进行审计对于关键操作的关联操作账号的权限范围进行审计第六条 本指南由总行审计部负责解释、修改。第七条 本指南自发文之日起施行,已有规定与本指南不一致的,按本指南执行。