JR∕T 0146.3-2016 证券期货业信息系统审计指南 第3部分:证券登记结算机构(金融).pdf
《JR∕T 0146.3-2016 证券期货业信息系统审计指南 第3部分:证券登记结算机构(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0146.3-2016 证券期货业信息系统审计指南 第3部分:证券登记结算机构(金融).pdf(226页珍藏版)》请在咨信网上搜索。
1、ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0146.32016 证券期货业信息系统审计指南 第 3 部分:证券登记结算机构 Securities and futures industry audit guideline for information system Part 3: Securities depository and clearing corporation 2016 - 11 - 08 发布 2016 - 11 - 08 实施 中国证券监督管理委员会 发 布JR/T 0146.32016 I 目 次 前言 . II 1
2、范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 信息系统审计概述 . 2 附录 A(规范性附录) 信息技术治理审计底稿 . 4 附录 B(规范性附录) 机房管理审计底稿 . 24 附录 C(规范性附录) 网络管理审计底稿 . 35 附录 D(规范性附录) 运维管理审计底稿 . 48 附录 E(规范性附录) 信息系统安全等级保护相关工作审计底稿 . 66 附录 F(规范性附录) 软件正版化审计底稿 . 71 附录 G(规范性附录) 登记结算系统审计底稿 . 75 附录 H(规范性附录) 重要信息系统审计底稿 . 104 附录 I(规范性附录) 信息系统建设合规审计底稿 .
3、134 附录 J(规范性附录) 信息系统应用绩效审计底稿 . 146 附录 K(规范性附录) 信息系统托管审计底稿 . 152 附录 L(规范性附录) 信息系统调查表 . 188 JR/T 0146.32016 II 前 言 JR/T 0146-2016证券期货业信息系统审计指南标准按适用对象分为以下7部分: 第 1 部分:证券交易所; 第 2 部分:期货交易所; 第 3 部分:证券登记结算机构; 第 4 部分:其他核心机构; 第 5 部分:证券公司; 第 6 部分:基金管理公司; 第 7 部分;期货公司。 本部分为JR/T 0146.3-2016证券期货业信息系统审计指南的第3部分。 本部分
4、按照GB/T 1.1-2009给出的规则起草。 本部分由全国金融标准化技术委员会(SAC/TC180)提出并归口。 本部分起草单位:中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券监督管理委员会纪委监察局,上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统计监测中心有限责任公司、 全国中小企业股份转让系统有限责任公司、 中证信息技术服务有限责任公司,深圳证券通信有限公司、上海期货信
5、息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份有限公司、海通证券股份有限公司。 本部分主要起草人:张野、刘铁斌、王东明、陈炜、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、赵明、颜梦、李杰、杜佳铠、郭赫然。 JR/T 0146.32016 1 证券期货业信息系统审计指南 第 3 部分:证券登记结算机构 1 范围 本部分给出了证券登记结算机构展信息系统审计的实施指南。 本部分适用于中华人民共和国境内设立的证券登记结算机构开展信息系统审计工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。
6、 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。本标准将根据规范性引用文件的最新版本定期更新并发布。 JR/T 00602010 证券期货业信息系统安全等级保护基本要求(试行) JR/T 00672011 证券期货业信息系统安全等级保护测评要求(试行) JR/T 00992012 证券期货业信息系统运维管理规范 JR/T 01122014 证券期货业信息系统审计规范 JR/T 01332015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 审计底稿 information sys
7、tem audit manuscript 对获取的相关审计证据,实施的审计程序,以及得出的审计结论作出的记录。 3.2 审计程序 audit procedure 在具体的审计过程中采取的行动和步骤。 3.3 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。 3.4 审计证据 audit evidence 审计部门和审计人员获取的,用以证明审计事实真相,形成审计结论的证明材料,包括相关制度、日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。 JR/T 0146.32016 2 4 信息系统审计概述 4.1 总则 信
8、息系统审计框架由三部分构成:审计输入、审计过程和审计输出。 审计输入包括JR/T 0112-2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安全控制相关的特定审计对象和审计方法, 输出组件包括一组由审计人员使用的用于确定安全控制有效性的程序化陈述。图1给出了框架。 图1 概念性框架 审计对象是指审计实施的对象, 即审计过程中涉及到的制度文档、 各类设备及其安全配置和相关人员等。制度文档是指针对信息系统所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计) 。 各类设备是指安装在信息系统之内或边界, 能起到特定保护作用的相关部件 (如:硬件、 软件、
9、固件或物理设施) 。 安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门,是指应用上述制度、设备及安全配置的人。 审计方法包括:访谈、检查和测试,审计人员通过这些方法试图获取证据。上述三种审计方法(访谈、检查和测评)的审计结果都用以对安全控制的有效性进行评估。 审计输出是审计报告, 审计报告应给出审计结论: 如果审计结果中没有不符合项, 则审计结论为 “符合”;如果审计结果存在不符合项, 但所产生的安全问题不会导致信息系统存在高等级安全风险, 则审计结论为“基本符合”;如果审计结果存在不符合项,且所产生的安全问题导致信息系统存在高等级安全风险,则审计结论为“不符合”。
10、 审计输入审计输入 审计输出审计输出 审计过程审计过程 审计方法审计方法 访谈 检查 测试 审计对象审计对象 制度文档 各类设备 安全配置 相关人员 JR/T 0JR/T 0112112- -20201414附录附录 A、B、C 证券期货业信息证券期货业信息系统审计规范系统审计规范 审计规程(步骤)审计规程(步骤) 访谈规程(步骤) 检查规程(步骤) 测试规程(步骤) JR/T 0146.32016 3 4.2 使用方法 本标准附录A至附录K分别描述了信息技术治理、机房管理、网络管理、运维管理、信息系统安全等级保护相关工作、软件正版化、交易系统、重要信息系统、信息系统建设合规、信息系统应用绩效
11、、信息系统托管的审计方法。附录L给出了实施信息系统审计时需要的调查数据。 审计实施时,审计人员需参考附录A至附录L,完成信息系统审计工作。对于机房管理、网络管理,需每一个机房给出完整的审计底稿。 对于重要信息系统, 需审计包括但不限于等级保护二级及以上系统,并对每一个重要信息系统给出完整的审计底稿。 对于信息系统托管, 需每一个提供托管服务的机房给出完整的审计底稿。 审计过程中,审计人员需注意对审计记录和证据的采集、处理、存储和销毁,保护其在审计期间免遭破坏、更改或遗失,并保守秘密。 JR/T 0146.32016 4 A A 附 录 A (规范性附录) 信息技术治理审计底稿 表A.1至表A.
12、2给出了信息技术治理审计的程序、内容及相关记录要求。 表A.1 信息技术治理审计底稿 被审计部门: 索引号:XXJSZL 审计主题:信息技术治理 审计年度: 审计结论、意见及建议: 编制人: 年 月 日 (部门盖章) 复核意见: 复核人: 年 月 日 (部门盖章) 被审计部门意见: 年 月 日 (部门盖章) JR/T 0146.32016 5 表 A.1 息技术治理审计底稿(续) 审计证据列表: JR/T 0146.32016 6 表A.2 信息技术治理审计底稿 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1. 制度和文档管理制度和文档管理 1.1.1.1. 管理
13、制度管理制度 1.1.1. 是否制定信息安全工作的总体方针和安全策略, 说明机构安全工作的总体目标、范围、原则和安全框架等。 检查公司信息安全工作的总体方针和安全策略, 查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。 是 否 不适用 1.1.2. 是否建立交付管理、 配置管理、值班管理、监控管理、关联单位关系管理等制度。 检查运维管理制度是否涵盖交付管理、 配置管理、值班管理、监控管理、关联单位关系管理等制度。 是 否 不适用 1.1.3. 是否根据行业规划和本机构发展战略, 制定信息化与信息安全发展规划, 满足业务发展和信息安全管理的需要。 检查信息化与信息安全发展规划,
14、判断是否规划中根据行业规划和本机构发展战略, 制定信息化与信息安全发展规划, 满足业务发展和信息安全管理的需要。 是 否 不适用 1.1.4. 是否建立供应商管理制度,对供应商支持运维服务的相关活动进行统一管理。 检查供应商管理制度, 查看是否有对供应商支持运维服务的相关活动进行统一管理的规定。 是 否 不适用 1.1.5. 是否制定安全审核和安全检查制度规范安全审核和安全检查工作, 定期按照程序进行安全审核和安全检查活动。 a)检查是否制定信息安全审核和检查制度; b)检查安全审核和安全检查报告, 确定是否定期按照程序进行安全审核和安全检查活动。 是 否 不适用 1.1.6. 是否制定有关管
15、理规范, 严格规范人员离岗过程, 及时终止离岗员工的所有访问权限 a)访谈负责人员调岗和离职管理的人事管理人员,询问员工离岗是否遵循严格的调离手续,离岗员工的访问权限是否及时终止; b)IT技术人员岗位管理相关制度中是否包含制定有关管理规范,严格规范人员离岗过程,及时终止离岗员工的所有访问权限; c)抽查审计期内离岗员工的离岗记录, 是否具有按照离岗程序办理调离手续的记录, 对应的权限取消记录是否留痕; d)抽查审计期内离岗员工使用的主要系统中的用户权限列表, 离岗员工使用的账号是否已禁用或取消。 是 否 不适用 1.1.7. 是否建立机房安全管理制度, 对有关机房设备和人员出入,供电,空调,
16、消防,安防等基础设施的运行维护, 机房工作人员等进行规范管理 a)是否有机房安全管理制度; b)查看其内容是否覆盖机房设备和人员出入(含物品带进/带出),供电、空调、消防、安防等基础设施的运行维护及机房工作人员管理。 是 否 不适用 JR/T 0146.32016 7 表 A.2 信息技术治理审计底稿(续) 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.8. 是否指定专门部门负责信息系统的安全建设总体规划、 制定近期和长期安全建设计划。 a)检查IT组织构架管理,是否指定专门部门负责信息系统的安全建设总体规划、制定近期和长期安全建设计划; b)检查信息系统的安全
17、建设总体规划、近期和长期安全建设计划文档 是 否 不适用 1.1.9. 是否制定软件开发管理制度, 明确说明开发过程的控制方法和人员行为准则。 检查是否有软件开发方面的管理制度,查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则,是否明确哪些开发活动应经过授权、审批等。 是 否 不适用 1.1.10. 是否制定工程实施管理制度, 明确实施过程的控制方法和人员行为准则。 检查工程实施管理制度,查看其是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容。 是 否 不适用 1.1.11. 是否建立运维值班管理制度, 对日常操作、 监控管理、事件处理、问题处理、数据和介
18、质管理、机房管理、安全管理、应急处置进行规范。 检查运维值班管理制度,判断是否对日常操作、监控管理、事件处理、问题处理、数据和介质管理、机房管理、安全管理、应急处置进行规范。 是 否 不适用 1.1.12. 是否建立文档管理制度, 对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。 a)检查是否建立文档管理制度; b)是否对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。 是 否 不适用 1.1.13. 是否建立资产安全管理制度, 规定信息系统资产管理的责任人员或责任部门, 并规范资产管
19、理和使用的行为。 a)检查是否建立资产安全管理制度; b)资产安全管理制度是否规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。 是 否 不适用 1.1.14. 是否建立介质安全管理制度,明确责任人,对介质的存放环境、使用、维护和销毁等方面作出规定。 a)是否建立介质安全管理制度; b)制度中明确责任人,对介质的存放环境、使用、维护和销毁等方面作出规定。 是 否 不适用 1.1.15. 是否建立信息系统数据管理制度, 对在线和离线数据的使用、备份、存放、保护及恢复验证等活动进行规范。 a)检查是否建立信息系统数据管理制度; b)数据管理制度是否对在线和离线数据的使用、备份、
20、存放、保护及恢复验证等活动进行规范。 是 否 不适用 JR/T 0146.32016 8 表 A.2 信息技术治理审计底稿(续) 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.16. 是否建立基于申报、 审批和专人负责的设备安全管理制度, 对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 a)文档审阅,是否建立了基于申报、审批和专人负责的设备安全管理制度; b)文档审阅,设备安全管理是否对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 是 否 不适用 1.1.17. 是否建立配套设施、 软硬件维护方面的管理制度,
21、明确维护人员的责任、 涉外维修和服务的审批、 维修过程的监督控制等。 a)文档审阅,是否建立了配套设施、软硬件维护方面的管理制度; b)文档审阅,设备管理制度是否明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。 是 否 不适用 1.1.18. 是否建立计算机相关设备和软件管理制度, 对设备和软件的验证性测试、出入库、安装、盘点、维修(升级) 、报废等进行规范。 a)文档审阅,是否建立了计算机相关设备和软件管理制度; b)文档审阅,管理制度是否对设备和软件的验证性测试、出入库、安装、盘点、维修(升级) 、报废等进行规范。 是 否 不适用 1.1.19. 是否建立变更管理制度, 系
22、统发生变更前, 向主管领导申请, 变更和变更方案经过评审、审批后方可实施变更, 并在实施后将变更情况向相关人员通告。 a)文档审阅是否建立变更管理制度; b)系统发生变更前,是否向主管领导申请; c)变更和变更方案是否经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。 是 否 不适用 1.1.20. 是否建立检查审计制度, 对运维制度的执行情况和运维工作开展情况定期进行检查和审计, 以督促运维工作持续改进。 a)检查是否有与 IT 检查审计相关的管理制度,查看其是否要求对 IT 运维制度的执行情况和运维工作开展情况定期进行检查和审计; b)检查审计期内的 IT 检查和审计记录,
23、是否每年至少每年进行一次 IT 运维审计。 是 否 不适用 1.1.21. 是否建立辅助的人工巡检制度, 规定巡检内容、 频度、人员等。 巡检内容应覆盖电力、空调、消防、安防等机房设施, 主机、 网络、 通信、安全等设备的运行状况。 巡检结果应及时记录, 如遇异常应及时处理, 并按规定要求进行报告。 检查 IT 运维管理方面的制度,查看制度中是否包括人工巡检方面的内容,是否明确巡检内容、频度、人员、报告等要求,巡检内容是否覆盖审计项中列示的内容。 是 否 不适用 JR/T 0146.32016 9 表 A.2 信息技术治理审计底稿(续) 序号序号 审计项审计项 审计程序审计程序 审计结论审计结
24、论 备注备注 1.1.22. 是否建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、 口令更新周期等方面作出规定。 a)查看是否有网络安全管理制度,覆盖网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面; b)访谈网络管理员,了解是否知悉网络安全管理的相关规定。 是 否 不适用 1.1.23. 是否建立系统安全管理制度,对系统安全策略、安全配置、 日志管理和日常操作流程等方面作出规定。 a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人,检查其是否清楚信息安全管理职责; b)检查其是否有信息安全的管理制度文档,是否对系统安全策略、安全配置、日
25、志管理和日常操作流程等方面作出规定。 是 否 不适用 1.1.24. 是否建立密码使用管理制度, 使用符合国家密码管理规定的密码技术和产品。 a)访谈安全管理员,了解其是否知道密码使用的相关规定; b)查看国家密码管理局批准使用的密码技术和产品列表,检查是否使用符合国家密码管理规定的密码技术和产品。 是 否 不适用 1.1.25. 是否建立备份与恢复管理相关的安全管理制度, 对备份信息的备份方式、 备份频度、 存储介质和保存期等进行规范。 检查是否建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。 是 否 不适用 1.1.26. 是否针对信息系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0146.3-2016 证券期货业信息系统审计指南 第3部分:证券登记结算机构金融 JR 0146.3 2016 证券期货 信息系统 审计 指南 部分 证券 登记 结算 机构 金融
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/87955.html