JR∕T 0146.3-2016 证券期货业信息系统审计指南 第3部分：证券登记结算机构(金融).pdf

1、ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0146.32016 证券期货业信息系统审计指南 第 3 部分：证券登记结算机构 Securities and futures industry audit guideline for information system Part 3: Securities depository and clearing corporation 2016 - 11 - 08 发布 2016 - 11 - 08 实施 中国证券监督管理委员会 发 布JR/T 0146.32016 I 目 次 前言 . II 1

2、范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 信息系统审计概述 . 2 附录 A（规范性附录） 信息技术治理审计底稿 . 4 附录 B（规范性附录） 机房管理审计底稿 . 24 附录 C（规范性附录） 网络管理审计底稿 . 35 附录 D（规范性附录） 运维管理审计底稿 . 48 附录 E（规范性附录） 信息系统安全等级保护相关工作审计底稿 . 66 附录 F（规范性附录） 软件正版化审计底稿 . 71 附录 G（规范性附录） 登记结算系统审计底稿 . 75 附录 H（规范性附录） 重要信息系统审计底稿 . 104 附录 I（规范性附录） 信息系统建设合规审计底稿 .

3、134 附录 J（规范性附录） 信息系统应用绩效审计底稿 . 146 附录 K（规范性附录） 信息系统托管审计底稿 . 152 附录 L（规范性附录） 信息系统调查表 . 188 JR/T 0146.32016 II 前 言 JR/T 0146-2016证券期货业信息系统审计指南标准按适用对象分为以下7部分： 第 1 部分：证券交易所； 第 2 部分：期货交易所； 第 3 部分：证券登记结算机构； 第 4 部分：其他核心机构； 第 5 部分：证券公司； 第 6 部分：基金管理公司； 第 7 部分；期货公司。 本部分为JR/T 0146.3-2016证券期货业信息系统审计指南的第3部分。 本部分

4、按照GB/T 1.1-2009给出的规则起草。 本部分由全国金融标准化技术委员会(SAC/TC180）提出并归口。 本部分起草单位：中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券监督管理委员会纪委监察局，上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统计监测中心有限责任公司、 全国中小企业股份转让系统有限责任公司、 中证信息技术服务有限责任公司，深圳证券通信有限公司、上海期货信

5、息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份有限公司、海通证券股份有限公司。 本部分主要起草人：张野、刘铁斌、王东明、陈炜、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、赵明、颜梦、李杰、杜佳铠、郭赫然。 JR/T 0146.32016 1 证券期货业信息系统审计指南 第 3 部分：证券登记结算机构 1 范围 本部分给出了证券登记结算机构展信息系统审计的实施指南。 本部分适用于中华人民共和国境内设立的证券登记结算机构开展信息系统审计工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。

6、 凡是注日期的引用文件， 仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。本标准将根据规范性引用文件的最新版本定期更新并发布。 JR/T 00602010 证券期货业信息系统安全等级保护基本要求（试行） JR/T 00672011 证券期货业信息系统安全等级保护测评要求（试行） JR/T 00992012 证券期货业信息系统运维管理规范 JR/T 01122014 证券期货业信息系统审计规范 JR/T 01332015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 审计底稿 information sys

7、tem audit manuscript 对获取的相关审计证据，实施的审计程序，以及得出的审计结论作出的记录。 3.2 审计程序 audit procedure 在具体的审计过程中采取的行动和步骤。 3.3 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。 3.4 审计证据 audit evidence 审计部门和审计人员获取的，用以证明审计事实真相，形成审计结论的证明材料，包括相关制度、日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。 JR/T 0146.32016 2 4 信息系统审计概述 4.1 总则 信

8、息系统审计框架由三部分构成：审计输入、审计过程和审计输出。 审计输入包括JR/T 0112-2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安全控制相关的特定审计对象和审计方法， 输出组件包括一组由审计人员使用的用于确定安全控制有效性的程序化陈述。图1给出了框架。 图1 概念性框架 审计对象是指审计实施的对象， 即审计过程中涉及到的制度文档、 各类设备及其安全配置和相关人员等。制度文档是指针对信息系统所制定的相关联的文件（如：政策、程序、计划、系统安全需求、功能规格及建筑设计） 。 各类设备是指安装在信息系统之内或边界， 能起到特定保护作用的相关部件 （如：硬件、 软件、

9、固件或物理设施） 。 安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门，是指应用上述制度、设备及安全配置的人。 审计方法包括：访谈、检查和测试，审计人员通过这些方法试图获取证据。上述三种审计方法（访谈、检查和测评）的审计结果都用以对安全控制的有效性进行评估。 审计输出是审计报告， 审计报告应给出审计结论： 如果审计结果中没有不符合项， 则审计结论为 “符合”；如果审计结果存在不符合项， 但所产生的安全问题不会导致信息系统存在高等级安全风险， 则审计结论为“基本符合”；如果审计结果存在不符合项，且所产生的安全问题导致信息系统存在高等级安全风险，则审计结论为“不符合”。

10、 审计输入审计输入 审计输出审计输出 审计过程审计过程 审计方法审计方法 访谈 检查 测试 审计对象审计对象 制度文档 各类设备 安全配置 相关人员 JR/T 0JR/T 0112112- -20201414附录附录 A、B、C 证券期货业信息证券期货业信息系统审计规范系统审计规范 审计规程（步骤）审计规程（步骤） 访谈规程（步骤） 检查规程（步骤） 测试规程（步骤） JR/T 0146.32016 3 4.2 使用方法 本标准附录A至附录K分别描述了信息技术治理、机房管理、网络管理、运维管理、信息系统安全等级保护相关工作、软件正版化、交易系统、重要信息系统、信息系统建设合规、信息系统应用绩效

11、、信息系统托管的审计方法。附录L给出了实施信息系统审计时需要的调查数据。 审计实施时，审计人员需参考附录A至附录L，完成信息系统审计工作。对于机房管理、网络管理，需每一个机房给出完整的审计底稿。 对于重要信息系统， 需审计包括但不限于等级保护二级及以上系统，并对每一个重要信息系统给出完整的审计底稿。 对于信息系统托管， 需每一个提供托管服务的机房给出完整的审计底稿。 审计过程中，审计人员需注意对审计记录和证据的采集、处理、存储和销毁，保护其在审计期间免遭破坏、更改或遗失，并保守秘密。 JR/T 0146.32016 4 A A 附 录 A （规范性附录） 信息技术治理审计底稿 表A.1至表A.

12、2给出了信息技术治理审计的程序、内容及相关记录要求。 表A.1 信息技术治理审计底稿 被审计部门： 索引号：XXJSZL 审计主题：信息技术治理 审计年度： 审计结论、意见及建议： 编制人： 年 月 日 （部门盖章） 复核意见： 复核人： 年 月 日 （部门盖章） 被审计部门意见： 年 月 日 （部门盖章） JR/T 0146.32016 5 表 A.1 息技术治理审计底稿（续） 审计证据列表： JR/T 0146.32016 6 表A.2 信息技术治理审计底稿 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1. 制度和文档管理制度和文档管理 1.1.1.1. 管理

13、制度管理制度 1.1.1. 是否制定信息安全工作的总体方针和安全策略， 说明机构安全工作的总体目标、范围、原则和安全框架等。 检查公司信息安全工作的总体方针和安全策略， 查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。 是 否 不适用 1.1.2. 是否建立交付管理、 配置管理、值班管理、监控管理、关联单位关系管理等制度。 检查运维管理制度是否涵盖交付管理、 配置管理、值班管理、监控管理、关联单位关系管理等制度。 是 否 不适用 1.1.3. 是否根据行业规划和本机构发展战略， 制定信息化与信息安全发展规划， 满足业务发展和信息安全管理的需要。 检查信息化与信息安全发展规划，

14、判断是否规划中根据行业规划和本机构发展战略， 制定信息化与信息安全发展规划， 满足业务发展和信息安全管理的需要。 是 否 不适用 1.1.4. 是否建立供应商管理制度，对供应商支持运维服务的相关活动进行统一管理。 检查供应商管理制度， 查看是否有对供应商支持运维服务的相关活动进行统一管理的规定。 是 否 不适用 1.1.5. 是否制定安全审核和安全检查制度规范安全审核和安全检查工作， 定期按照程序进行安全审核和安全检查活动。 a)检查是否制定信息安全审核和检查制度； b)检查安全审核和安全检查报告， 确定是否定期按照程序进行安全审核和安全检查活动。 是 否 不适用 1.1.6. 是否制定有关管

15、理规范， 严格规范人员离岗过程， 及时终止离岗员工的所有访问权限 a)访谈负责人员调岗和离职管理的人事管理人员，询问员工离岗是否遵循严格的调离手续，离岗员工的访问权限是否及时终止； b)IT技术人员岗位管理相关制度中是否包含制定有关管理规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限； c)抽查审计期内离岗员工的离岗记录， 是否具有按照离岗程序办理调离手续的记录， 对应的权限取消记录是否留痕； d)抽查审计期内离岗员工使用的主要系统中的用户权限列表， 离岗员工使用的账号是否已禁用或取消。 是 否 不适用 1.1.7. 是否建立机房安全管理制度， 对有关机房设备和人员出入，供电，空调，

16、消防，安防等基础设施的运行维护， 机房工作人员等进行规范管理 a)是否有机房安全管理制度； b)查看其内容是否覆盖机房设备和人员出入（含物品带进/带出），供电、空调、消防、安防等基础设施的运行维护及机房工作人员管理。 是 否 不适用 JR/T 0146.32016 7 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.8. 是否指定专门部门负责信息系统的安全建设总体规划、 制定近期和长期安全建设计划。 a)检查IT组织构架管理，是否指定专门部门负责信息系统的安全建设总体规划、制定近期和长期安全建设计划； b)检查信息系统的安全

17、建设总体规划、近期和长期安全建设计划文档 是 否 不适用 1.1.9. 是否制定软件开发管理制度， 明确说明开发过程的控制方法和人员行为准则。 检查是否有软件开发方面的管理制度，查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权、审批等。 是 否 不适用 1.1.10. 是否制定工程实施管理制度， 明确实施过程的控制方法和人员行为准则。 检查工程实施管理制度，查看其是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容。 是 否 不适用 1.1.11. 是否建立运维值班管理制度， 对日常操作、 监控管理、事件处理、问题处理、数据和介

18、质管理、机房管理、安全管理、应急处置进行规范。 检查运维值班管理制度，判断是否对日常操作、监控管理、事件处理、问题处理、数据和介质管理、机房管理、安全管理、应急处置进行规范。 是 否 不适用 1.1.12. 是否建立文档管理制度， 对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。 a)检查是否建立文档管理制度； b)是否对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。 是 否 不适用 1.1.13. 是否建立资产安全管理制度， 规定信息系统资产管理的责任人员或责任部门， 并规范资产管

19、理和使用的行为。 a)检查是否建立资产安全管理制度； b)资产安全管理制度是否规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。 是 否 不适用 1.1.14. 是否建立介质安全管理制度，明确责任人，对介质的存放环境、使用、维护和销毁等方面作出规定。 a)是否建立介质安全管理制度； b)制度中明确责任人，对介质的存放环境、使用、维护和销毁等方面作出规定。 是 否 不适用 1.1.15. 是否建立信息系统数据管理制度， 对在线和离线数据的使用、备份、存放、保护及恢复验证等活动进行规范。 a)检查是否建立信息系统数据管理制度； b)数据管理制度是否对在线和离线数据的使用、备份、

20、存放、保护及恢复验证等活动进行规范。 是 否 不适用 JR/T 0146.32016 8 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.16. 是否建立基于申报、 审批和专人负责的设备安全管理制度， 对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 a)文档审阅，是否建立了基于申报、审批和专人负责的设备安全管理制度； b)文档审阅，设备安全管理是否对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 是 否 不适用 1.1.17. 是否建立配套设施、 软硬件维护方面的管理制度，

21、明确维护人员的责任、 涉外维修和服务的审批、 维修过程的监督控制等。 a)文档审阅，是否建立了配套设施、软硬件维护方面的管理制度； b)文档审阅，设备管理制度是否明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。 是 否 不适用 1.1.18. 是否建立计算机相关设备和软件管理制度， 对设备和软件的验证性测试、出入库、安装、盘点、维修（升级） 、报废等进行规范。 a)文档审阅，是否建立了计算机相关设备和软件管理制度； b)文档审阅，管理制度是否对设备和软件的验证性测试、出入库、安装、盘点、维修（升级） 、报废等进行规范。 是 否 不适用 1.1.19. 是否建立变更管理制度， 系

22、统发生变更前， 向主管领导申请， 变更和变更方案经过评审、审批后方可实施变更， 并在实施后将变更情况向相关人员通告。 a)文档审阅是否建立变更管理制度； b)系统发生变更前，是否向主管领导申请； c)变更和变更方案是否经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告。 是 否 不适用 1.1.20. 是否建立检查审计制度， 对运维制度的执行情况和运维工作开展情况定期进行检查和审计， 以督促运维工作持续改进。 a)检查是否有与 IT 检查审计相关的管理制度，查看其是否要求对 IT 运维制度的执行情况和运维工作开展情况定期进行检查和审计； b)检查审计期内的 IT 检查和审计记录，

23、是否每年至少每年进行一次 IT 运维审计。 是 否 不适用 1.1.21. 是否建立辅助的人工巡检制度， 规定巡检内容、 频度、人员等。 巡检内容应覆盖电力、空调、消防、安防等机房设施， 主机、 网络、 通信、安全等设备的运行状况。 巡检结果应及时记录， 如遇异常应及时处理， 并按规定要求进行报告。 检查 IT 运维管理方面的制度，查看制度中是否包括人工巡检方面的内容，是否明确巡检内容、频度、人员、报告等要求，巡检内容是否覆盖审计项中列示的内容。 是 否 不适用 JR/T 0146.32016 9 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结

24、论 备注备注 1.1.22. 是否建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、 口令更新周期等方面作出规定。 a)查看是否有网络安全管理制度，覆盖网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面； b)访谈网络管理员，了解是否知悉网络安全管理的相关规定。 是 否 不适用 1.1.23. 是否建立系统安全管理制度，对系统安全策略、安全配置、 日志管理和日常操作流程等方面作出规定。 a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人，检查其是否清楚信息安全管理职责； b)检查其是否有信息安全的管理制度文档，是否对系统安全策略、安全配置、日

25、志管理和日常操作流程等方面作出规定。 是 否 不适用 1.1.24. 是否建立密码使用管理制度， 使用符合国家密码管理规定的密码技术和产品。 a)访谈安全管理员，了解其是否知道密码使用的相关规定； b)查看国家密码管理局批准使用的密码技术和产品列表，检查是否使用符合国家密码管理规定的密码技术和产品。 是 否 不适用 1.1.25. 是否建立备份与恢复管理相关的安全管理制度， 对备份信息的备份方式、 备份频度、 存储介质和保存期等进行规范。 检查是否建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。 是 否 不适用 1.1.26. 是否针对信息系统

26、备份能力的运行制定专项管理制度和操作流程。 检查信息技术部门是否针对信息系统备份能力的运行制定专项管理制度和操作流程，查看其内容是否覆盖数据备份、故障备份和灾难备份等方面。 是 否 不适用 1.1.27. 是否建立问题管理制度， 对运维活动中发现的问题进行根本解决，并建立问题库。 查看问题管理制度，是否对运维活动中发现的问题建立问题库。 是 否 不适用 1.1.28. 是否建立软件资产管理制度， 或将软件资产纳入本单位资产管理体系， 对软件采购、安装、升级等工作流程有严格管理。 a)访谈信息技术负责人，是否将软件资产纳入资产管理体系，并对软件采购、安装、升级等流程进行管理； b)检查固定资产管

27、理办法，是否包含软件购置、安装、升级等流程。 是 否 不适用 JR/T 0146.32016 10 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.29. 是否制定安全事件报告和处置管理制度， 明确安全事件类型， 规定安全事件的现场处理、 事件报告和后期恢复的管理职责。 a)检查是否有安全事件报告和处置管理制度，查看其是否明确安全事件的级别，明确不同级别安全事件的报告和处置方式等内容； b)检查安全事件处理记录，查看其是否记录引发安全事件的原因，是否记录事件处理过程，是否与管理规定的处理要求一致等。 是 否 不适用 1.1.

28、30. 是否建立保密制度， 并定期或不定期的对保密制度执行情况进行检查或考核。 a)检查安全保密制度； b)检查是否对安全保密制度执行情况进行检查或考核，并查看检查记录或考核记录。 是 否 不适用 1.2.1.2. 评审评审修订修订 1.2.1. 是否组织相关人员对制定的安全管理制度进行论证和审定。 a)访谈安全主管，询问是否组织相关人员对制定的安全管理制度进行论证和审定； b)检查安全管理制度评审记录，查看是否有相关人员的评审意见。 是 否 不适用 1.2.2. 信息安全领导小组每年至少组织一次安全管理制度体系的合理性和适用性审定。 a)访谈信息安全领导小组负责人，询问信息安全领导小组是否每

29、年至少一次对安全管理制度体系的合理性和适用性进行审定； b)检查安全管理制度体系的评审记录，是否记录了相关人员的评审意见，是否至少每年对安全管理制度体系进行评审。 是 否 不适用 1.2.3. 每年或在发生重大变更时对安全管理制度进行检查，对存在不足或需要改进的安全管理制度进行修订。 a)检查安全管理制度的检查或评审记录，判断是否至少每年或在发生重大变更时，对安全管理制度进行检查； b)检查安全管理制度的修订记录，判断是否对存在不足或需要改进的安全管理制度进行了修订。 是 否 不适用 1.2.4. 是否建立运维管理制度和操作流程的制定、发布、维护和更新的机制。 至少每年一次评审、 修订运维管理

30、制度和操作流程。 a)检查运维管理制度和操作流程维护办法，是否有关于制定、发布、维护和更新的规定； b)检查评审、修订运维管理制度和操作流程的记录，是否每年对运维管理制度和操作流程进行了评审、修订。 是 否 不适用 1.2.5. 是否明确需要定期修订的安全管理制度， 并指定负责人或负责部门负责制度的日常维护。 a)检查是否具有需要定期修订的安全管理制度列表，查看列表是否注明修订周期； b)询问负责制度的日常维护部门的的负责人，了解对需要定期修订的安全管理制度进行修订的周期； c)检查修订记录是否对存在不足或需要改进的安全管理制度进行了修订。 是 否 不适用 JR/T 0146.32016 11

31、 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.2.6. 是否根据安全管理制度的相应密级确定评审和修订的操作范围。 a)访谈安全主管， 询问评审和修订有密级的安全管理制度时对参加评审和修订的人员是否考虑到相应保密要求； b)检查评审和修订记录， 判断是否根据安全管理制度的相应密级进行评审和修订。 是 否 不适用 1.3.1.3. 日常日常操作操作 1.3.1. 是否对运维过程中涉及的各类文档进行分类管理， 可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类， 并统一存放。 a)检查文档管理制度； b)检查实际文档

32、； c)判断是否对运维过程中涉及的各类文档进行分类管理。 是 否 不适用 1.3.2. 是否对超范围、 超权限使用文档时，保存相关审批、使用记录。 检查超范围、超权限使用文档审批和使用记录。 是 否 不适用 1.4.1.4. 制定制定发布发布 1.4.1. 安全管理制度是否通过正式、有效的方式发布。 检查安全管理制度的收发登记记录， 判断安全管理制度是否能够发布到相关人员手中。 是 否 不适用 1.4.2. 安全管理制度是否注明发布范围， 并对收发文进行登记。 a)检查安全管理制度是否是注明发布范围； b)检查安全管理制度的收发文登记记录。 是 否 不适用 1.4.3. 是否规范文档的发布管理

33、，对文档的版本进行控制。 文档标识敏感性、使用范围、使用权限、审批权限等。文档在使用时能读取、 使用最新版本， 防止作废文件的逾期使用。 a)检查文档管理制度； b)检查实际文档； c)判断是否对文档的版本进行控制。 d)是否标识文档敏感性、 使用范围、 使用权限、审批权限等。 是 否 不适用 1.4.4. 有密级的安全管理制度， 是否注明安全管理制度密级，并进行密级管理。 a)访谈安全主管， 询问对有密级的管理制度是否注明密级，采取相应措施有效管理； b)检查涉密文件登记记录， 确认按照相关规定管理有密级的安全管理制度。 是 否 不适用 2.2. 供应商管理供应商管理 2.1. 是否确保安全

34、服务商的选择符合国家、 行业的有关规定。 访谈安全管理员， 询问安全服务商是否通过国家、行业认可的信息安全资质认证。 是 否 不适用 JR/T 0146.32016 12 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 2.2. 是否与选定的安全服务商签订与安全相关的协议， 对合作方服务人员提出明确的信息安全要求。 检查与安全服务商签订的安全责任合同书或保密协议等文档， 查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。 是 否 不适用 2.3. 是否在与供应商签订的合同中明确其应承担的责任、义务， 并

35、约定服务要求和范围等内容。 检查与供应商签订的合同， 查看是否明确其应承担的责任、 义务， 并约定服务要求和范围等内容。 是 否 不适用 2.4. 是否与供应商签署保密协议， 不得泄露所服务机构的保密信息， 并要求供应商签署承诺书， 承诺产品不存在恶意代码或未授权的功能，不提供违反我国法律法规的功能模块， 并符合证券期货行业有关技术规范和技术指引。 a)检查供应商签署的保密协议， 查看是否禁止供应商泄露所服务机构的保密信息； b)检查供应商签署的承诺书， 查看供应商是否承诺产品不存在恶意代码或未授权的功能， 不提供违反我国法律法规的功能模块， 并符合证券期货行业有关技术规范和技术指引。 是 否

36、 不适用 2.5. 是否在涉及证券期货交易、行情、开户、结算等软件产品或技术服务的采购合同中， 明确供应商是否接受证券期货行业监管部门的信息安全延伸检查。 检查软件产品或技术服务的采购合同， 查看是否明确供应商应接受证券期货行业监管部门的信息安全延伸检查。 是 否 不适用 2.6. 是否定期收集、 更新供应商信息， 组织对供应商的服务质量、合同履行情况、人员工作情况等内容进行评价，形成评价报告， 并跟踪和记录供应商改进情况。 a)检查供应商列表， 访谈信息技术负责人， 判断是否定期收集、更新供应商信息； b)检查供应商评价报告， 判断是否定期组织对供应商的服务质量、 合同履行情况、 人员工作情

37、况等内容进行评价， 并跟踪和记录供应商改进情况。 是 否 不适用 2.7. 是否与外包公司及外包人员签订保密协议。 检查与外包公司及外包人员签订的保密协议，确认是否与外包公司及外包人员签订了保密协议。 是 否 不适用 2.8. 是否明确外包公司应当承担的责任及追究方式。 检查与外包公司签订的合同， 确认合同中明确了外包公司应当承担的责任及追究方式。 是 否 不适用 2.9. 是否明确界定外包人员的工作职责、活动范围、操作权限。 检查与外包公司签订的合同， 确认合同中明确了明确界定外包人员的工作职责、活动范围、操作权限。 是 否 不适用 JR/T 0146.32016 13 表 A.2 信息技术

38、治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 2.10. 是否对外包人员工作情况进行监督和检查， 并保留相应记录。 查看监督和检查记录， 确认对外包人员工作情况进行了监督和检查。 是 否 不适用 2.11. 是否对驻场外包人员的入场和离场进行管理。 查看驻场外包人员入场和离场记录， 确认对驻场外包人员的入场和离场进行了管理。 是 否 不适用 2.12. 是否定期评估外包的服务质量。 检查外包服务的评估报告， 确认定期对外包的服务质量进行了评估。 是 否 不适用 2.13. 是否制定外包服务意外终止的应急措施。 检查应急预案， 确认有外包服务意外终止的

39、应急措施。 是 否 不适用 3.3. 关联关联单位管理单位管理 3.1. 是否建立关联单位联系制度， 定期与关联单位进行合作与沟通。 关联单位包括证券期货行业监管部门、协会，当地政府部门，公安机关，交易所等市场核心机构，其他证券期货经营机构，银行机构，电力和通信设施保障机构， 软硬件供应商， 技术服务商和物业公司等。 a)检查关联单位联系表， 是否包括证券期货行业监管部门、 协会， 当地政府部门， 公安机关，交易所等市场核心机构， 其他证券期货经营机构，银行机构，电力和通信设施保障机构，软硬件供应商，技术服务商和物业公司等； b)检查合作与沟通的会议纪要， 判断是否定期与关联单位进行合作与沟通

40、。 是 否 不适用 3.2. 各类管理人员之间、 组织内部机构之间以及信息安全职能部门内部是否有内部合作沟通机制， 定期或根据需要召开协调会议， 协作处理信息安全问题。 检查合作与沟通的会议纪要， 判断各类管理人员之间、 组织内部机构之间以及信息安全职能部门内部是否有合作与沟通， 定期或根据需要召开协调会议，协作处理信息安全问题。 是 否 不适用 3.3. 是否加强与供应商、 业界专家、专业的安全公司、安全组织的合作与沟通。 检查合作与沟通的会议纪要或来往函件等， 判断与供应商、业界专家、专业的安全公司、安全组织是否有合作与沟通。 是 否 不适用 3.4. 是否聘请信息安全专家作为常年的安全顾

41、问， 指导信息安全建设， 参与安全规划和安全评审等。 a)检查信息安全专家的简历和聘书， 判断是否聘请信息安全专家作为常年的安全顾问， 指导信息安全建设，参与安全规划和安全评审等； b)检查安全规划和安全评审会议纪要， 判断安全专家是否参与安全规划和安全评审会议。 是 否 不适用 JR/T 0146.32016 14 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 3.5. 是否建立关联单位联系表，表的内容至少包括单位名称、业务事项、联系人、联系方式、备注等，并及时更新。 检查关联单位联系表， 是否包括单位名称、 业务事项、联系人、

42、联系方式、备注等，并及时更新。 是 否 不适用 3.6. 是否制定会员单位共同遵守的接口标准和规则， 监督会员严格执行。 a)检查会员单位共同遵守的接口标准和规则； b)检查会员沟通记录， 判断是否督促会员执行相关规定。 是 否 不适用 3.7. 是否完成对会员单位远程接入系统的安全监控与管理， 指导会员对信息安全突发事件进行应急处置。 a)查看对会员单位远程接入系统进行安全监控与管理的情况说明； b)检查沟通记录， 判断是否指导会员对信息安全突发事件进行应急处置。 是 否 不适用 3.8. 是否加强对会员的日常性技术支持， 不断提高服务能力和水平。 a)检查服务记录， 判断是否对会员提供日常

43、性技术支持； b)访谈信息技术负责人， 判断是否不断提高服务能力和水平。 是 否 不适用 3.9. 是否组织会员单位定期开展联网测试和应急演练， 及时发现安全隐患。 检查“表 L.8-组织市场各经营机构参加的应急演练情况” ， 检查联网测试和应急演练报告，判断是否组织会员单位定期开展联网测试和应急演练，及时发现安全隐患。 是 否 不适用 4.4. 经费经费管理管理 4.1. 是否制定信息系统运行维护年度预算计划， 每年进行核算。 预算和核算是否接受监督和审计。 a)检查是否有信息系统运行维护年度预算计划； b)检查是否有预算审批记录和审计记录。 是 否 不适用 4.2. 是否将信息系统运行维护

44、的各项费用纳入预算管理。费用至少应包括： 机房物理环境、信息系统软硬件、网络与通信设施的使用费和维修费，以及应急保障费用、技术服务费用、人员培训费用等。 检查“表 L.2-信息技术投入情况” ，是否有信息系统运行维护年度预算计划， 费用包括： 机房物理环境、 信息系统软硬件、 网络与通信设施的使用费和维修费， 以及应急保障费用、 技术服务费用、人员培训费用等。 是 否 不适用 4.3. 是否落实软件采购经费， 做好软件正版化工作。 a)检查“表 L.2-软件投入（万元） ” ，访谈正版化相关人员，是否制定了软件采购的经费，并纳入预算； b)检查软件采购经费说明，是否按照预算执行。 是 否 不适

45、用 JR/T 0146.32016 15 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 4.4. 安全建设的投入是否超过IT 总投入的 15%。 检查“表 L.2-信息技术投入情况-合计（万元） ” 、 “表 L.2-其中:安全投入费用（万元） ” ，判断安全建设的投入是否超过 IT 总投入的15%。 是 否 不适用 4.5. 是否对资金的使用进行绩效考核。 获取信息技术部门的绩效考核表， 检查考核表中是否对资金的使用进行绩效考核。 是 否 不适用 5.5. 人员人员管理管理 5.1.5.1. 教育教育培训培训 5.1.1. 是否

46、为 IT 部门提供足够的资金支持，为 IT 人员提供履行其岗位职责所需要的岗位技能培训及业务培训，制定合理的考核体系、 激励机制和奖惩措施。 检查“表 L.2-信息技术培训费用（万元） ” 、IT 技术人员的业务培训、考核、激励和奖惩记录。 是 否 不适用 5.1.2. 是否对各类人员进行安全意识教育、 岗位技能培训和相关安全技术培训。 a)访谈安全主管， 询问是否制定安全教育和培训计划； b)检查安全教育和培训计划文档， 查看计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等； c)检查培训内容是否包含信息安全基础知识、岗位操作规程等； d)检查安全教育和培训记录， 查看记录是否有

47、培训人员、培训内容、培训结果等的描述。 是 否 不适用 5.1.3. 是否对安全责任和惩戒措施进行书面规定并告知相关人员， 并对违反违背安全策略和规定的人员进行惩戒。 a)检查安全责任和惩戒措施管理文档， 查看是否包含具体的安全责任和惩戒措施； b)检查安全责任惩戒记录， 是否对违反安全策略和规定的人员进行惩戒。 是 否 不适用 5.1.4. 是否对年度安全教育和培训进行书面规定， 针对运维人员等不同岗位制定不同的培训计划， 对信息安全基础知识、岗位操作规程、机房消防及相关应急内容等进行培训，并留存培训记录。 a)检查安全教育和培训计划文档， 查看计划是否明确了培训方式、培训对象、培训内容、培

48、训时间和地点等， 培训内容是否包含信息安全基础知识、 岗位操作规程、 机房消防及相关应急内容等； b)检查安全教育和培训记录， 查看记录是否有培训人员、培训内容、培训结果等的描述。 是 否 不适用 JR/T 0146.32016 16 表 A.2 信息技术治理审计底稿（续） 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 5.1.5. 是否对安全教育和培训的情况和结果进行记录并归档保存。 检查安全教育和培训记录， 查看记录是否有培训人员、培训内容、培训结果等的描述。 是 否 不适用 5.2.5.2. 人员人员考核考核 5.2.1. 是否定期对各个岗位的人员进行安全技能及安

49、全认知的考核。 安全技能及安全认知的考核是否至少每年一次。 a)访谈安全主管， 询问是否定期对各个岗位人员进行安全技能及安全知识的考核； b)检查考核记录， 查看考核人员是否包括各个岗位的人员， 考核内容是否包含安全知识、 安全技能等。 检查相关岗位的安全技能和安全认知的考核记录， 查验安全技能和安全认知的考核是否至少每年一次。 是 否 不适用 5.2.2. 是否对关键岗位的人员进行全面、 严格的安全审查和技能考核。 a)访谈安全主管， 询问是否对关键岗位人员定期进行安全审查和技能考核； b)检查考核记录，查看是否考核关键岗位人员， 考核内容是否包含安全知识、 安全技能等，考核是否至少每年一次

50、。 是 否 不适用 5.2.3. 是否对考核结果进行记录并保存。 a)检查是否对岗位人员的安全审查和技能考核结果进行记录； b)记录是否得到妥善保存。 是 否 不适用 5.3.5.3. 人员人员离岗离岗 5.3.1. 人员离岗是否取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 检查人员离岗记录是否包含取回各种身份证件、 钥匙、 徽章等以及机构提供的软硬件设备等记录。 是 否 不适用 5.3.2. 是否办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。 a)检查 IT 技术人员录用考评相关制度是否包含严格的调离手续； b)检查关键岗位人员保密承诺书是否有关于离岗后保