JR∕T 0112-2014 证券期货业信息系统审计规范(金融).pdf
《JR∕T 0112-2014 证券期货业信息系统审计规范(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0112-2014 证券期货业信息系统审计规范(金融).pdf(161页珍藏版)》请在咨信网上搜索。
1、ICS 03.060A 11 备案号 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 01122014证券期货业信息系统审计规范 Information system audit standard for securities and futures industry 2014 - 12-26 发布 2014 - 12-26 实施中国证券监督管理委员会发 布JR/T 01122014I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 审计目的 . 1 5 审计内容 . 2 6 审计机构 . 2 7 审计过程 . 2 7.1
2、 审计准备阶段 . 2 7.2 审计实施阶段 . 3 7.3 审计终结阶段 . 4 8 审计结果应用 . 5 8.1 整改方案 . 5 8.2 落实整改 . 5 9 建档保存 . 5 9.1 保存范围 . 5 9.2 保存期限 . 6 附录 A(规范性附录) 系统运行安全审计项汇总. 7 附录 B(规范性附录) 系统建设合规审计项汇总. 148 附录 C(规范性附录) 系统应用绩效审计项汇总. 153 参考文献 . 155 JR/T 01122014III 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国金融标准化技术委员会(SAC/TC180)提出并归口。 本标准起
3、草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、大连商品交易所、中国金融期货交易所、中证信息技术服务公司、国泰君安证券股份有限公司、海通证券股份有限公司、国信证券股份有限公司、招商证券股份有限公司、嘉实基金管理有限公司、南方基金管理有限公司、鲁证期货股份有限公司、国泰君安期货有限公司。 本标准主要起草人:张野、刘铁斌、王东明、陈炜、俞枫、沈云明、李海军、温军成、金浦芳、赵磊、王欣、吕德旭、周桉、周光增、李艳、李杰、舒春林、康明涛、路冰。 JR/T 011220141 证券期货业信息系统审计规范 1 范围 本标准规定了证券期货业信息系统审计工作的要求。 本标准适用于证券期
4、货业机构,包括:承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称“核心机构”),以及证券公司、 期货公司、 基金管理公司、 证券期货服务机构等证券期货经营机构 (以下简称 “经营机构” ) 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 JR/T 00592010 证券期货经营机构信息系统备份能力标准 JR/T 00602010 证券期货业信息系统安全等级保护基本要求(试行) JR/
5、T 00992012 证券期货业信息系统运维管理规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 信息系统审计 information system audit 核心机构和经营机构根据国家及行业信息系统相关规范和标准,对信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。 3.2 审计项 audit item 信息系统规划、建设、运维和应急等活动的关键控制点,来自于国家及行业相关技术规范和标准要求,用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。 3.3 专业能力 profess
6、ional competence 个人从事信息系统审计所必备的学识、技术和能力,由学历认定、资格考试、职业技能鉴定等方式进行评价。 3.4 第三方审计机构 third party audit institutions 熟悉证券期货业信息安全法规、规范、标准和指引,具有国家、行业认可的相关资质和必要能力,并在审计过程中能够客观、公正、独立地从事审计活动的机构。 4 审计目的 JR/T 01122014 2 核心机构和经营机构自觉贯彻落实国家及行业信息系统建设、 安全运行、 绩效考核相关规范和标准,通过查找突出的风险隐患,有针对性的采取防范和改进措施,提高信息安全保障水平、系统建设合规性和应用绩效
7、。 5 审计内容 证券期货业信息系统审计包括3个方面,分别是系统运行安全审计、系统建设合规审计和系统应用绩效审计。核心机构应开展系统运行安全审计、系统建设合规审计和系统应用绩效审计。经营机构应开展系统运行安全审计,并可视情况开展系统建设合规审计、系统应用绩效审计。 系统运行安全审计重点关注系统运维风险,通过审查和评估交易、结算、行情、通信等重要业务信息系统的安全性, 及时发现运行风险隐患。 系统运行安全审计的内容见附录A, 其中期货公司类别是 期货公司信息技术管理指引评级结果。审计项来自于国家和行业颁布的信息安全法规、规范、标准和指引,主要包括组织管理、机房管理、网络管理、主机和系统管理、运维
8、管理等方面。 系统建设合规审计重点关注违法违规风险,通过审查和评估在采购电子产品、建设信息系统项目、运行维护信息系统等活动中,本机构负责采购的人员、项目建设人员、系统运维人员等是否存在贪污受贿、徇私舞弊、玩忽职守等行为,及时发现违法违规等风险隐患。系统建设合规审计的内容见附录B。审计项来自于通行的信息系统招投标制度、 财务预算制度等, 主要包括需求论证、 预算制定、 项目立项、项目采购、项目招标、商务谈判、供应商管理、合同管理、项目验收、钱款支付等方面。 系统应用绩效审计重点关注信息系统能否有效发挥作用, 通过审查和评估已建成信息系统的经济效益和使用情况,及时发现资源浪费等风险隐患。系统应用绩
9、效审计的内容见附录C。审计项来自于通行的信息系统绩效评价方法,主要包括系统功能、性能是否达到项目预期目标、经费使用是否合理有效等方面。 附录A、附录B、附录C将根据国家和行业信息安全法规、规范、标准和指引,每年适时更新,保持与现行规定的一致性。核心机构和经营机构应以最新的审计项汇总为基础,开展信息系统审计工作。 6 审计机构 核心机构和经营机构应指定内审部门负责信息系统审计工作,并合理配备具有专业能力的审计人员。 内审部门可以根据实际需要聘请具有专业能力的外部专家协助开展信息系统审计工作, 可以聘请第三方审计机构协助开展信息系统审计工作,第三方机构的员工必须是正式员工。 核心机构和经营机构的信
10、息技术部门等相关部门应配合内审部门开展信息系统审计工作。 7 审计过程 7.1 审计准备阶段 7.1.1 审计立项 核心机构和经营机构的内审部门应每年开展一次信息系统审计, 并将信息系统审计列入年度审计工作计划中,同时报董事会或者高级管理层批准。 信息系统审计计划应包括下列基本内容: a) 审计工作目标; b) 审计实施时间; c) 需要的审计资源; JR/T 011220143 d)后续审计安排。7.1.2 组建审计组 内审部门负责组建审计组,确定审计组组长和成员。审计组成员不得少于2人,其中内审部门人员不得少于1人。 审计组成员应保持独立性和客观性,被审计部门应回避。 审计组组长、审计组成
11、员应具有相关专业能力,并通过定期后续相关培训加以保持和提高。审计组组长应具有信息系统审计工作经验。 审计组成员应履行保密义务,对于实施信息系统审计所获取的信息保密。 7.1.3 制定审计方案 审计组组长应以风险评估为基础,在审计实施前编制审计方案,并报内审部门负责人批准。 审计方案应包括下列基本内容: a)被审计部门的名称;b)审计目标和范围;c)审计内容和重点;d)审计程序和方法;e)审计组成员的组成及分工;f)审计起止日期;g)对专家和外部审计工作结果的利用;h)其他有关内容。7.1.4 编制工作底稿 审计组成员对审计方案确定的审计事项,均应编制审计工作底稿。 审计工作底稿应包括以下内容:
12、 a)被审计部门的名称;b)审计事项及其起止日期;c)审计程序的执行过程及结果记录;d)审计结论、意见及建议;e)审计人员姓名和审计日期;f)复核人员姓名、复核意见、复核日期;g)审计证据的数量及清单;h)被审计部门意见、签字及盖章。审计组应根据被审计部门、 审计事项的具体情况, 确定选取审计对象的抽样方法, 并选取审计对象。 7.2 审计实施阶段 7.2.1 通知被审计部门 审计组应在实施审计10个工作日前,向信息技术部门等被审计部门送达审计通知书。 审计通知书应包括下列内容: a)被审计部门名称;b)审计范围和审计内容;c)审计起止日期;JR/T 01122014 4 d) 需要被审计部门
13、提供的资料及其他必要的协助要求; e) 审计组组长及审计组成员名单。 7.2.2 审计组进场 审计组进驻被审计部门时,应召开有内审部门负责人、审计组组长、审计组成员、被审计部门负责人、被审计部门有关人员参加的进场会议,安排审计工作有关事项。 审计组组长应说明审计目标、审计范围、审计内容、审计重点、审计程序、起止日期等,并提出需要协助、配合审计的有关事项和要求。 被审计部门应汇报相关情况, 并提供审计通知书中所列的相关资料, 配合审计组开展信息系统审计工作。 7.2.3 实施审计方案 审计组根据实际情况和工作需要,通过访谈、问卷调查等方式,进一步了解被审计部门信息系统有关情况。 调查对象一般包括
14、相关业务部门负责人、 信息技术部门负责人、 信息技术部门相关业务负责人、机房管理员、系统管理员、网络管理员、数据库管理员、安全管理员等相关人员。 审计组应按照审计方案,对信息系统的合规性、可靠性、安全性和绩效等进行评估,并确保不影响系统的正常稳定运行。 审计组应依据不同的审计事项及其审计目标, 获取不同种类的审计证据。 审计证据主要包括相关制度、日志文件、配置文件、运维记录、测评报告、商业合同等。 审计组应将获取的审计证据名称、来源、内容等完整、清晰地记录于审计工作底稿中。 被审计单位应提供承诺书,承诺相关材料的真实性、完整性、准确性。 审计工作底稿应经审计组组长或其指定人员复核。 审计证据应
15、客观充足,使得重复审计可获得同样结果。当审计人员认为无法获取充足审计证据时,应记录审计证据不足这一事实。 7.2.4 审计结果沟通 现场审计结束前, 审计组应就审计发现的问题、 审计结论、 审计意见和建议与相关业务部门负责人、信息技术部门负责人进行认真、充分的沟通,听取其意见。 审计组应当将结果沟通的有关书面或电子材料作为审计工作底稿的一部分。 7.3 审计终结阶段 7.3.1 撰写审计报告 现场审计结束后,审计组应对取得的审计证据进行综合分析,并撰写审计报告(草稿)。审计报告(草稿)可参考覆盖附录A、附录B、附录C内容的外部审计结果。 审计报告(草稿)主要包括下列内容: a) 审计概况,包括
16、审计目标、审计范围、审计内容及重点、审计方法、审计程序及起止时间等; b) 审计依据,即实施审计所依据的相关规范和标准等; c) 审计问题,即对被审计部门信息技术相关活动所发现的主要问题; d) 审计结论,即根据已查明的事实,对被审计部门信息技术相关活动的评价; e) 审计意见和建议,即针对审计发现的主要问题提出的处理意见和改进建议。 审计组应向被审计部门提交审计报告(草稿)。被审计部门应自收到审计报告(草稿)之日起10个工作日内,提出书面反馈意见;在规定期限内没有提出意见的,视同无异议。 JR/T 011220145 被审计部门对审计报告 (草稿) 有异议的, 审计组应研究、 核实, 并考虑
17、是否需要修改审计报告 (草稿)。 审计报告(草稿)经审计组集体讨论,并应通过内审部门对审计报告质量的分级复核程序,由审计组组长及相关报告审核人员审核后定稿。 7.3.2 提交报告 现场审计结束后,审计组应将审计报告、审计工作底稿等相关材料报送内审部门。采用聘请外部专家或第三方审计机构协助开展审计工作的, 应将外聘人员或机构的审计工作底稿等相关材料报送内审部门。 核心机构和经营机构的内审部门应向董事会或高级管理层提交审计报告,并抄送有关部门。 8 审计结果应用 8.1 整改方案 当被审计部门基于成本或者其他方面考虑, 决定对审计发现的问题不采取纠正措施并做出书面说明时,核心机构和经营机构的内审部
18、门负责人应向董事会或者高级管理层报告。 核心机构和经营机构的被审计部门应对审计中发现的问题, 制定有效可行的整改方案, 明确进度安排。 审计组应对被审计部门制定的整改方案进行评审。 如有必要, 核心机构和经营机构的被审计部门应组织由审计组组长、审计组主要成员、相关业务部门负责人、信息技术部门负责人、信息技术部门相关人员、有关专家参加的整改方案评审会议,对整改方案进行评审。 8.2 落实整改 被审计部门应按照整改方案, 尽快对审计发现的风险隐患进行整改, 并在与审计部门约定的期限内提供审计整改报告。 核心机构和经营机构的内审部门应对审计发现的问题的整改情况进行跟踪监督,可在规定期限内,或者与被审
19、计部门约定的期限内实施后续审计。 内审部门负责人如果初步认定被审计部门对审计发现的问题已采取了有效的纠正措施, 可要求内审人员及时对整改措施进行核查,或将后续审计作为下次审计工作的一部分。 内审部门对被审计部门实施后续审计,审计过程与新设审计项目相同,参照本规范第7章对审计过程的规定实施。 9 建档保存 9.1 保存范围 审计工作结束后,审计组应整理相关材料,并建立、保管审计档案。下列材料应归入审计档案: a)审计方案、审计通知书;b)审计工作底稿、审计报告;c)整改方案;d)后续审计工作底稿、后续审计报告;e)其他相关材料。JR/T 01122014 6 9.2 保存期限 审计档案应至少保存
20、5年。 JR/T 011220147 A A 附 录 A (规范性附录) 系统运行安全审计项汇总 A.1 核心机构系统运行安全审计项汇总A.1.1 组织管理A.1.1.1 安全管理制度A.1.1.1.1 管理制度本项要求包括: a)是否制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。b)是否建立安全管理制度,覆盖安全策略的制定、实施、检查、评估、改进等全过程。c)是否形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 (本项适用于:信息系统等级保护三级系统)d)是否对安全管理人员或操作人员执行的日常管理操作建立操作规程。e)是否制定
21、覆盖运维工作各个环节的、 体系化的运维管理制度和操作流程。 运维管理制度包括但不限于:机房管理、网络与系统管理、数据和介质管理、交付管理、测试管理、配置管理、安全管理、值班管理、监控管理、文档管理、设备和软件管理、供应商管理、关联单位关系管理、检查审计等制度。运维操作流程包括但不限于日常操作、事件处理、问题处理、系统变更、应急处置等流程。f)是否根据行业规划和本机构发展战略, 制定信息化与信息安全发展规划, 满足业务发展和信息安全管理的需要。A.1.1.1.2 制定和发布本项要求包括: a)是否指定或授权专门的部门或人员负责安全管理制度的制定。b)是否组织相关人员对制定的安全管理制度进行论证和
22、审定。c)安全管理制度是否具有统一的格式,并进行版本控制。 (本项适用于:信息系统等级保护三级系统)d)是否建立信息发布管理审核制度;安全管理制度是否通过正式、有效的方式发布。e)安全管理制度是否注明发布范围,并对收发文进行登记。 (本项适用于:信息系统等级保护三级系统)f)有密级的安全管理制度,是否注明安全管理制度密级,并进行密级管理。(本项适用于:定为信息系统等级保护三级系统的证券交易所交易系统、 证券交易所通信系统、 开放式基金登记结算系统、证券登记结算系统)A.1.1.1.3 评审和修订本项要求包括: JR/T 01122014 8 a) 信息安全领导小组是否负责定期组织相关部门和相关
23、人员对安全管理制度体系的合理性和适用性进行审定;信息安全领导小组每年至少组织一次安全管理制度体系的合理性和适用性审定。(本项适用于:信息系统等级保护三级系统) b) 是否定期或不定期对安全管理制度进行检查和审定, 对存在不足或需要改进的安全管理制度进行修订。 每年或在发生重大变更时对安全管理制度进行检查, 对存在不足或需要改进的安全管理制度进行修订。 c) 是否明确需要定期修订的安全管理制度,并指定负责人或负责部门负责制度的日常维护。 (本项适用于:定为信息系统等级保护三级系统的证券交易所交易系统、证券交易所通信系统、开放式基金登记结算系统、证券登记结算系统) d) 是否根据安全管理制度的相应
24、密级确定评审和修订的操作范围。 (本项适用于:定为信息系统等级保护三级系统的证券交易所交易系统、证券交易所通信系统、开放式基金登记结算系统、证券登记结算系统) e) 是否建立运维管理制度和操作流程的制定、发布、维护和更新的机制。至少每年一次评审、修订运维管理制度和操作流程。 A.1.1.2 安全管理机构 A.1.1.2.1 机构设置 本项要求包括: a) 是否设立信息系统运维组织,负责信息系统的运行维护工作。 b) 是否成立指导和管理信息安全工作的委员会或领导小组, 其最高领导由单位主管领导委任或授权。 A.1.1.2.2 岗位设置 本项要求包括: a) 是否设立信息安全管理工作的职能部门,设
25、立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。 b) 是否任命运维组织负责人,负责组织、协调、管理信息系统的运行维护工作。 c) 是否制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 (本项适用于:信息系统等级保护三级系统) d) 是否合理设置运维岗位,规定岗位职责及技能要求,并符合如下要求: 1) 运维岗位是否至少包括机房管理员、网络管理员、系统管理员、数据库管理员、安全管理员等关键岗位,并设置主备岗; 2) 关键岗位是否进行分离,兼岗时是否满足岗位相互制约的要求。 e) 是否设立总工程师岗位、IT 总监或其他类似职位的 IT 专职负责人。 f) 是否实现系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0112-2014 证券期货业信息系统审计规范金融 JR 0112 2014 证券期货 信息系统 审计 规范 金融
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。