JR∕T 0146.2-2016 证券期货业信息系统审计指南 第2部分:期货交易所.pdf
《JR∕T 0146.2-2016 证券期货业信息系统审计指南 第2部分:期货交易所.pdf》由会员分享,可在线阅读,更多相关《JR∕T 0146.2-2016 证券期货业信息系统审计指南 第2部分:期货交易所.pdf(237页珍藏版)》请在咨信网上搜索。
1、ICS 03.060 A 11 JI之中华人民共和国金融行业标准JRIT 0146.2-2016 证券期货业信息系统审计指南第2部分:期货交易所Securities and也turesindustry audit guideline for information system-Part 2:Futures exchanges 2016-11-08发布2016-11-08实施中国证券监督管理委员会发布目tr言咕,元J、JR/T 0146.2-2016 J J l 范固.1 2 规范性引用文件.3 术语和l定义4 信息系统审计概述.2 附录A(规范性附录信息技术治理审计底稿附录B(规范性附录机房
2、管理市HlO稍4 22 附录c(规范性附录)网络管理审材底和.32 附录II(规范性附录运维管理市i1在相.44 附录E(规范性附录)信息系统安全等级保护相关工作申讨底和.62 附录F(规范性附录)软件正版化审计照和.67 附录G(规范性附景交各H在统审计底稿附录11(规范性附录且要信息系统市计底稿71 98 附录I(规范性附录信息系统建设合规审计底稍.1 附录J(规范性附录)信息系统应用锁效审计底稿.138 附录K(规范性附录信且系统托管市计底稿144 附录L(规范性附录)信息系统调查表.179 JR/T 0146.2-2016 同IJ吕JR/T 0146-2016 证#期货业信息系统审计指
3、南标准按适用对辈分为以下7部分第l部分证券交易所第2部分:期货交易所,一一第3部分:证券登记结算机构:第4部分其他核心机构第5部分证券公司第6部分:基金管理公司,一一第7部分:月1货公司。本部分为JR/T0146.2-2016.JR/T 0146.2-2016 本部分适用于中华人民共和1国域内设立的期货交岛所及下属公司开展信息系统市讨工作。2 规范性引用立件下列主制对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改1(!,)适用于本文件。本标准将恨据规范性号|用文件的陆新版本定用Jl!新井发布.JR/T 0060
4、-2010证券期货业信息系统安尘等级保护基本要求(试行JR/T 0067-2011证券期货业信息系统安全等级保护测评要求(试行JR/T 0099-2012证券期货业信息系统运维管理规范JR/T 0112-2014证券期货业信且系统审计规范JR/T 0133-2015证券期货业信息系统托管基本要求3 术语和定义下列术语和定义适用于本文啊。3.1 审计底稿information system audit manuscript 对获取的相关审讨证据,实施的市|程序,以及得出的审计结论作山的记录.3.2 审计程序audit procedure 在具体的审计过程中采取的行动和步骤。3.3 审计结论aud
5、it conclusion 在具体的审|过程中提出的应由被审计单位执行的审计边议和申甘意见成决定。3.4 审计证据audit ev idence 申计部门和审计人员获取的,用以证明审计事实真相,形成审计结论的证明材料,包括相关制度、日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等.JR/T 0146.2-2016 4 信息系统审计概述4.1总则信息系统申计框架由三部分构成市计输入、市计过程和iJ-十输出。审计输入包括JR/T0112-2014的附录L附录B、附录c.过程组件为一组与输入组件中所标识的安全控制相关的特定市计对象和审计方法,输出组件包括组由市计人员使用的用于确定安尘
6、控制有效性的程序化罔庄.阁l给出了框架.JRlT 0112-2014 附录A、B、C证券期货业信息系统审计规范 审计方法访谈检查测试审计对章制度文档各类设品查全配且相关人员图1概念性框架 审计规程步骤)访谈规程(步骤检查规程(步骤测试规程(步骤审计对且是指审计实施的对且,np审计过程中涉旦到的制度文挡、各类设品及其安全配置和1相关人员等。制度文档是指针对信息系统所制定的相关联的文件(如政策、程序、|划、系统安全需求、功能规格且建筑设计)。各类设品是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如硬件、软件、回件成物理设施).安全配置是指信自系统所使用的设备为了贯彻安全策略而进行的设
7、旦。相关人员或部门,是指应用上述制度、设品及安全配盟的人。审计方法包括访谈、检查和测试,审1人员通过这些方法试图获取证据.上连三种审|方法(访谈、检查和l圳许)的审计结果都用以对安全控制的有效性进行评估。审计输出是审计报告,审计报告应给出审计结论如果审计结果中设有不符合项,则审计结论为符合如果审计结果存在不符合琐,但所产生的安全问题不会导致信且系统存在高等级安全风险,则审计结论为基本符合如果审计结果存在不符合顷,且所产生的安全问题导致信息系统存在高等级安全风险,贝I审计结论为不符合。2 JR/T 0146.2-2016 4.2使用方法本标准附录A至附录K分别描述了信息技术治理、机房管理、网络管
8、理、运维管理、信息系统击金等级保护相关工作、软件jE版化、交易军统、重要信息系统、信息军统ill设合规、信息系统应用锁效、信也系统托管的审计方法。附录L给出了实施信也系统审计时需要的调查数据。审|实施时,审计人员市参考附录A.3?:附录L.完成倍且系统审计工作。对于机房管理、网络)1理,1日每个机房给出完整的市计底稿.对于1Il奕信息系统,黯审计包括但不限于等级保护二级且以上系统,井对每一个重要信息系统给出完整的市讨底稿。对于信AU系统托管,需每一个提供托管服务的机房给出完整的市计底梢。审1过程中,审计人员需注意对审计记录和证据的采m、处理、存储和销毁,保护其在审讨期间免遭破坏、更改或遗失咒保
9、守秘密.3 JR/T 0146.2-2016 附录A(规范性附录)信息技*治理审计底稿我A.I表A.2给出了信息技术治理审材的程序、内容及相关记录要求.表A.l信息技术治理审计底稿被审计部门引句XXJSZL可1t主题信且技术治理市-t年IJ!,可I讨结论、置见且盐1议蝙制人z勾月日(部门盖章E核盟见直钱人:勾月曰部门盖章被呼i-t部门意见iJ Jl 日部门盖章4 JR/T 0146.2-2016 表A.1 信息技术,自理审计庭稿(续市计证据罗IJ*5 JR!T 0146.2-2016 表A.2信息技术治理审计底稿序号审计项审计程序|审计结论|备在l 制度和主挡管理1.1.管理制度业百制定信且安
10、圭工作的检j!ii舌阳且安全工作的息体方针和安全班是口1.1.1 总体-;j钊和安全班略p说明机胸安全工作的也体目标赂,直骨文件是否可l确机构安全工们的息体日哥口标、也田、阻则I安全框架等.不适用口班回、缸川和l安全悟架等.是埠立交付甘恩、配置甘检查运维世恩制度是否桶盖圭忖甘理配置甘是口1.l.2.理、l班廿理、监控管理、理、阻挠甘理、监使管理、关联单位关系管理百口关联单位关系甘盟等制匪.得制iJl.f!不适用口是否根据行业规剧和本相L检查的息化与的且安全发展规划判断是否规构发展战略I制定阳且比与划I!l性l黯行业规划和本机构发展战略,制定倍是口1.l.3.怕自安全芷展规划,满足业且化与白且安
11、全111在规划I满足业勿在脏和1的百口务且主展和侣且安全甘2型的不过用口且安全管理的畸型.由主E.是否站立供应商管级制匪,检查供应商rr理制!丘。查看是否有对供应商主是口1.l.4.对供国商支持这维服务的持i孟维服务的栩关活动世行班一节理的规定.百口相关活功进行挠一甘正盟.不适用口是否制自安全审核和安全检查制监规范安圭审核和l,)检查盐古制定fJ且安全审核和1始直制应是口1.l.5 安全险直工作,定期核照扭b)检查去生叶,核和l安生险直报告I确定是否定否口(进行安全市核病l安全检III依附程n进行安全审核和Ij(全检E活动.不适用口E活功.,)协谈负责人员调肉和II!职管理的人m甘理人员,询问
12、且工团向是否避而严格的调离手纹,离问且工的访问权限是否旦时终止:的IT技术人员问位甘段相关制IJ!中是否包含是否制定平关廿理规毡,严制定有关管理规泪,严格规范人员阴阳过哩。是口1.l.6.格规L!入日离问过程,及时及时终止离向日工的所有访问权限终止离!斗目工的所有访问c):hll置呼ilWI内离问且工的离j.J记录,是西n百口不适用口权限有核阴离出程序办理调离子绥的记录,对应的权限取消记景是否由痕dl抽查市计朋内陆尚且工使川的主堕系统中的用户权阳到农,因t:l!J1工使用的账号是哥已然Hl!J吃眼泊.盐西班立机房安全甘思制,1是否有机。;安全管理制匪,度,对有关tnJii改备和l人员b)l!牙
13、?其内容是否苗苗机房设备和1人员山入是口1.l.7.出入,供也!空调.泊阳,食物品呀?进/带出).供电、空调消防、苦口量是防等基础世施的马lr维安防等基础设施的运行维护且机房3作人y不过用口护I相L房工作人且得耻行规管理.础管理6 JR/T 0146.2-2016 表A.2信息技术治理审计底稿(续)Jl号审计项审计程序审计结论备注是否抬起专门部门负责侣a)检直IT组细构架tF理,是否;白白专门部门负贺信且亘统的支金ll!设且体规划制定近期和I业口1.1.8.U系统的安全咀设总体规I制定近川和长J91去圭ill长期安金边&ittIJ否口b)险置信息革统的立全应设且体规划近期和不适用口i计划目民则
14、安全ll!改H划主档是否制应软件开在甘理制险直是否有软件开监万闹的管理制匪,直括主是口1.1.9.件是否明确软件设训、Jf:&、测试、验收过程匪,明确说明开应过胆的控的技伽l方法和人员行为准则,是否明确哪些开哥口制方法和人血行为准则.不适用口JJ:.活动国经过捏权、iti批等.是否制定工程实施甘理制检直工程实施甘理制度.l!宿其是否包括工程是口1.1.10 膛,明确实施过程的控制方实施过腥的控制方法实施参与人员的行为准苦口法和l人员行为准则.则等方面1内容圄不i孟闭口是否继立足维也班甘正塑伽l匪,对日常保作、监控管理、检查运维的班甘理制度,别断是否对日常操盐口J.J矗JJ.事件处理问题处级、敛
15、据作出控11理事件处理问阻处理数据和1和l介质甘理、fJlJjiTI理、去介质甘理、t1LJjiTI理、安全管理、应t处旦进苦口不通用口主竹J!I!、应急处且进行规行规范.tL.是否也立立阳管理制匪,对主皑的分类命名规则编a)险茸盐哥姐立主挡甘理制l韭=是口1.1.12 写人、市做人、版本、敏感的是否对立挡的分类、命名规则、编写人、市性标识、:t:/J1时间存放方批人、版本、顿感伎标识在布时向存放万古口;不选用口式修订记盐、Ili止等做出式、修订记录、应止够做出规定.规定.是西咀立贤产去金甘理伽la)植直是哥姐立直产安圭甘理制度1匪,规定信息革统资产管J!I!是口1.1.13.b)贤产主圭甘理
16、rtllJJJ!是否规定吉日系垃班产的班任人员写!(ili任部门,并甘班的班怔人111或班任部门,并规范由产管琐哥口规班班产管理和世用的行不适用口110 和l使用的行为圄是否u!立介匮安圭甘JlJ!IJ a)业否建立介脱去金管理制盟。品口1.1.14 匪,明确责任人,对介屈的在放环应使用、维护和的b)制度中明确贵任人,对介质的存放月二榄、使否口理等方而作出规定.用维护和销毁等方面作出规定.不适用口是否址:立的旦旦统政据节a)检查盐舌哇立怕且统敛据管理制匪2型带l匪,对在站和1离线勤据是口1.1.15.的数据古理制j主是否对在垃和国结费在掘的世:的使用、备份、存放、保护m、备份、存版、I护及恢坦
17、验证等活动进行苦口且恢旦验证等活动进行规不i适用口剧毡,?巳.7 JR/T 0146.2-2016 表A.2信息技术治理审计底稿(续)序号审计项审计程序审计结论备在是哥ll!立基于报、ii批和)芷挡审阅,是舌头n立了基守1报审批和1专专人负责的议备安全管理人负班的性备去定金管理制IJ!,是口1.1.16.制度!对由血革挠的各种软硬件世备的选型、来呢l.),tb)文峭审阅,世备安全甘政盐否对信且系统的百口J会种软硬件改俗的jJ;型、来酣、监般和l领闲等不远llJ口放和1领用得过程进行规范过程边行规范化甘理.化甘理.是哥姐立配套世施、软硬件,)立档审阅,12舌ll!立了配套设施、软硬件然维护方面的
18、管理制匪.明确F方而的管理制度。是口1.1.17.维护人员的责任、涉外维修的立栏i咿闹,设备肾理制度是否明确维护人且百口和服务的审批、维修过程的的责任、涉外维修和服务的审批、维修过程的不适用口监督控制等.监督控制等.是否班主计算机相关设备,)交栏i审阅,是否边立了H算机相关世俗和l软和l软件甘理制匪,对世备和l件甘泉制应是口l.l.18.软件的验证性测试、出入b)文市闹,管理制度是否对设备和软件的验百口安装.盘点、维修升1正性测试、山入阵、安装血点、维修(升级不适用口级、报应得进行规迫.很店等进行规迫.是杏文II立!J.!1J理制匪,军,)丈档市阅。盐西班立圭亚管理制IJ!统2主生变更前!向主
19、甘制导的)1统1比生:ll:!l!ljJ,是古向主甘领导巾的是口1.l.19咽巾的I变E和l变更方案经过部市、市lIt后方可实施变墅里和主B!方且是否在过评审、审他后方可百口实施圭亚并在实施后将变型情况1;栩关人日不适用口茧,并在实施后将!l!附El!l告.向相关人员且由.是哥ll!立检直可l讨制匪,对,)俭直是否有与lT植E咿计相关的管理制运继制匪的执行悄况和l运皮,古:(JJt盐舌韭求对lT运维制匪的执行悄是口l.l.20.维工作开展m况定)UI耻行况和运维工作开展俏况定期进行位在和市-I百口位置和市讨,以督但远维工的检查可-l朋内的lT捡置和市创记录,是否不适用口作持续改进.每年至少每年
20、进行一次lT远推,j计.是否ll!立辅助的人工也险制度!剧由巡幢内容、班庄、人员等.监捡内容应覆盖Il检查lT远维管理方丽的制度直指制IJ!中是力、空调、消防、主阳等机是口1.1.21.包括人工边俭方面的内容,是否明确巡植内m设施主机、网络国倍、苦口安生等设备的运行状况.迦容、颇IJ!、人员、拟告得要求,应险内在是否不适m口回蛊111计项【l列示的内容.检结果应且时记录。如l迥异常应且Hi处理I并校规定堕求进行报告.8 JR/T 0146.2-2016 表A.2信息技术治理审计底稿(续)Jl号审计项审计程序审计结论备注M否ll!立网络12生甘班加la)n轩是面有网络安全甘班加l匪,理蓝网络去l
21、茧,对网络去金配置、日志金配置日志阻布时间、安全班略升级与打业口1.1.22 保存时间去生盟赂、升级补丁、口令E新用朋之辛万面:否口与打补丁口令E新用则等b)访谈网络世理员。丁年是否阳在网络安全管不适用口方而付出规定.理的相关规定.,)访族负责伯且技术规划和白且安全管理的是否ll!立系统安生甘理彻llIi部门机向负贵人,位置其是西消蛙伯且去主匪,对果统直金策略、安全管理职由1是口1.1.23.配盟、日忠告班和1日惊慌刊b)位直其是吾有信且安全的管理制度立甜,赴古巴不适用口流耻之事方面作出规定.击对系统安全班略安全配置日志管理和1日i;l;操作流程等方面作出规定.,)访谈J全世理员r解其是否知出
22、密码使用是否盐1立密码使用甘恩伽l的相关规定是口1.1.24 度,使用何合国家密码管理b)直珩圈家密码管理问他准使用的密码技术ill、口规定的密码技术和产品.和l产品到我,俭直是否使用符合国家密码1:n塑不适用口规定的密码技术和产品.是否ll!立备份与恢坦甘和l关的安全世理制匪对检查是否直立备份与恢E甘理相关的安全世是口1.1.25 份恬且的备份方式、备份额理制)1.对备份由旦的备份万式备份削丘哥口I庄、有储介质和1惺存刷得选:t?储介质和保存Jgl字准行规范.不适用口行规范.是否制 对伯且统备世世检查倍且技术部门是否钊对馆自系统备世能是口1.1.26 力的运行制定专项tF理制豆和操作ift胆
23、.rtfi 力的注行制定专项甘恩伽l其内容盐否槌矗数据份攸陆备份和l灾难备苦口)1和l操作lhi耻.不适用口分等方面.是否ill立问题11型制匪,来I是口1.1.27 运维活动中注现的问阻ill直军7问题管理制)1.是否对运维活功中注观的行怀;本解诀,并姐立问题问题也立问翘!1t.否口Jli.不Ullll口是否u!立软件资产甘理制,)访谈信息技术负世人,是否将软件由产制入匪,或将软件资产纳入本单资产1理体系,并时软件果阳、安装、升级待是口1.1.28 位盟产甘理.对软件罪说L程i由于廿理哥口购、主装、升级之事工作流程b)检查自1世EE产管理办泣,是否包含软件嗣不适用口:f严格甘理.旦、安装、升
24、级得流程.是否制且安全事件报告和,)俭直是面有安生1件报告和处1111理制匪,1:i其是杏眼j确去企事件的级别,明确不同级处血管理制度,明确安全事是口1.1.29 别去圭JJnHt-J报告和处盟方式等内容件类型,规自圭生事件的现b)险在安全事件处理记录.直苟且是否记录寻l苦口场处理、1丰报告和后期恢不i垂用口世安企事件的原因,是否记录1件处理过程.卫的甘正型职由.是否与管理规章的处理要求一致.9 JR!T 0146.2-2016 表A.2信息技术治理审计底稿(续)序号审计项审计程序|审计结论备在1.2.评审修订是否组细非11关人且对制定,)访谈安全主管,il问是哥拉un相关人且对加l是口1.2
25、.1 定的安全T理制匪进行论证和11和自的安全甘壁荒制匪进行ttE 的检查去圭甘理制匪评审记录.茸哥是否有相百口和JEF世,不适用口关人员的许可,意见.,)访淡的且安全领导小组负班人!向问的且安fd且安全领导小组1ij:年主生领导小到是否每年至少一次时安全吁联制是口1.2.2 少组!;I-;X安全管理制匪I!J体系的合理性和l适用性进行审白:体系的合理性和1适用性审b)撞击去生甘理制Jl!体盔的评审记录.是否记古口不适用口定.i丁相关人员的评审理见,是百至少每年对安全世2里制匪体最近行评审.,)检E安全世理制匪的位置或评审记录,判断4lj年或在世1:亚大变更时是否至少每年或在监生盟大变更时I对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0146.2-2016 证券期货业信息系统审计指南 第2部分:期货交易所 JR 0146.2 2016 证券期货 信息系统 审计 指南 部分 期货 交易所
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。