《证券期货业信息系统审计指南 第5部分：证券公司》修订内容

《《证券期货业信息系统审计指南 第5部分：证券公司》修订内容》由会员分享，可在线阅读，更多相关《《证券期货业信息系统审计指南 第5部分：证券公司》修订内容（29页珍藏版）》请在金锄头文库上搜索。

1、1 （一）信息技术治理（一）信息技术治理 序号审计项审计项修订建议审计程序审计程序修订建议 1.1 管理制度 1.1.1 是否制定信息安全 工作的总体方针和 安全策略，说明机 构安全工作的总体 目标、范围、原则 和安全框架等。 检查公司信息安全工作 的总体方针和安全策略， 查看文件是否明确机构 安全工作的总体目标、 范 围、原则和安全框架等。 检查公司网络信息安全 工作的总体方针和安全 策略， 查看文件是否明确 机构安全工作的总体目 标、范围、原则和安全框 架等。 1.1.11 是否建立运维值班 管理制度，对日常 操作、监控管理、 事件处理、问题处 理、数据和介质管 理、机房管理、安 全管理、

2、应急处置 进行规范。 检查运维值班管理制度， 判断是否对日常操作、 监 控管理、事件处理、问题 处理、数据和介质管理、 机房管理、安全管理、应 急处置进行规范。 检查运维值班管理相关 制度， 判断是否对日常操 作、 监控管理、 事件处理、 问题处理、 数据和介质管 理、 机房管理、 安全管理、 应急处置进行规范。 1.1.31 是否对其收集的用 户信息严格保密， 并建立健全用户信 息保护制度。 a）访谈如何对关于数据 管理制度中对用户信息 的保护的； b）检查用于信息保护制 度。 1.2 评审修订 1.2.2 信息安全领导小组 每年至少组织一次 安全管理制度体系 的合理性和适用性 审定。 a)

3、访谈信息安全领导小 组负责人， 询问信息安全 领导小组是否每年至少 一次对安全管理制度体 系的合理性和适用性进 行审定； a)访谈网络信息安全领 导小组负责人， 询问网络 信息安全领导小组是否 每年至少一次对安全管 理制度体系的合理性和 适用性进行审定； 2 供应商管理 2.5 是否在涉及证券期 货交易、行情、开 户、结算等软件产 品或技术服务的采 购合同中，明确供 应商是否接受证券 期货行业监管部门 的信息安全延伸检 查。 检查软件产品或技术服 务的采购合同， 查看是否 明确供应商应接受证券 期货行业监管部门的信 息安全延伸检查。 检查涉及证券期货交易、 行情、开户、结算等软件 产品或技术服

4、务的采购 合同， 查看是否明确供应 商应接受证券期货行业 监管部门的信息安全延 伸检查。 2.12 是否定期评估外包 的服务质量。 检查外包服务的评估报 告， 确认定期对外包的服 务质量进行了评估。 检查外包商及外包人员 服务的评估报告， 确认定 期对外包商及外包人员 的服务质量进行了评估。 2 2.13 是否制定外包服务 意外终止的应急措 施。 检查应急预案， 确认有外 包服务意外终止的应急 措施。 检查应急预案或相关文 档， 确认有外包服务意外 终止的应急措施。 3 关联单位管理 3.1 是否建立关联单位 联系制度，定期与 关联单位进行合作 与沟通。关联单位 包括证券期货行业 监管部门、协

5、会， 当地政府部门，公 安机关，交易所等 市场核心机构，其 他证券期货经营机 构，银行机构，电 力和通信设施保障 机构，软硬件供应 商，技术服务商和 物业公司等。 b)检查合作与沟通的会 议纪要或来往函件， 判断 是否定期与关联单位进 行合作与沟通。 b)检查合作与沟通记录： 如合作备忘、会议纪要、 框架协议、合同、邮件往 来记录。 的会议纪要或来 往函件， 判断是否定期与 关联单位进行合作与沟 通。 3.4 是否聘请信息安全 专家作为常年的安 全顾问，指导信息 安全建设，参与安 全规划和安全评审 等。 a)检查信息安全专家的 简历和聘书， 判断是否聘 请信息安全专家作为常 年的安全顾问， 指

6、导信息 安全建设， 参与安全规划 和安全评审等； a)检查信息安全专家的 简历和聘书， 判断是否聘 请信息安全专家作为常 年的安全顾问， 指导信息 安全建设， 参与安全规划 和安全评审等； a)检查相关合同或聘书， 判断是否与信息安全专 业机构建立合作关系或 聘请信息安全专家作为 安全顾问， 指导信息安全 建设， 参与安全规划和安 全评审等； 4 经费管理 4.3 是否落实软件采购 经费，做好软件正 版化工作。 b)检查软件采购经费说 明，是否按照预算执行。 b)检查软件采购记录， 是 否落实软件正版化采购 计划。经费说明，是否按 照预算执行。 5.2 人员考核 5.2.3 是否对考核结果进

7、行记录并保存。 是否对考核结果进 行记录并保存。 （适 用于等级保护三级 系统） a)检查是否对岗位人员 的安全审查和技能考核 结果进行记录； a)检查是否对关键岗位 人员的安全审查和技能 考核结果进行记录； 5.4 人员录用 3 5.4.4 是否从内部人员中 选拔从事关键岗位 的人员，并签署岗 位安全协议。 是否从内部人员中 选拔从事关键岗位 的人员，并签署岗 位安全协议。 （适用 于等级保护三级系 统） 6 组织管理 6.1 岗位设置 6.1.11 是否指定机房管理 负责人。 查阅公司正式发文， 是否 设立机房管理负责人。 查阅公司的岗位职责说 明书正式发文， 是否设立 机房管理负责人。

8、6.2 机构设置 6.2.5 是否制定内部安全 管理制度和操作规 程，确定网络安全 负责人，落实网络 安全保护责任。 a）访谈是否制定安全管 理制度和操作规程， 并查 阅内容。 b）查阅网络安全负责人 的任命记录， 是否明确其 岗位职责。 （二）机房管理（二）机房管理 序号审计项审计项修订建议审计程序审计程序修订建议 8 机房运维 8.10 是否对机房和设备 至少每2小时巡检 一次，重要敏感时 期提高巡检频度。 a)审阅机房管理制度及 巡检管理相关制度， 是否 规定对机房和设备至少 每2小时巡检一次； a)审阅机房管理制度或 及巡检管理相关制度， 是 否规定对机房和设备至 少每2小时巡检一次；

9、 （三）网络管理（三）网络管理 序号审计项审计项修订建议审计程序审计程序修订建议 1 安全管理 4 1.16 是否定期检查防病 毒网关和邮件防病 毒网关的恶意代码 库的升级情况并进 行记录，对截获的 危险病毒或恶意代 码进行及时分析处 理，并形成书面的 报表和总结汇报。 是否定期检查防病 毒网关和邮件防病 毒网关的恶意代码 库的升级情况并进 行记录，对截获的 危险病毒或恶意代 码进行及时分析处 理，并形成书面的 报表和总结汇报。 （适用于等级保护 三级系统） a)询问安全管理员， 防病 毒网关和邮件防病毒网 关的恶意代码库的升级 机制； b)检查恶意代码库的升 级记录，判断是否定期； c)检查

10、恶意代码分析报 告， 确认对防病毒网关和 邮件防病毒网关上截获 的危险病毒或恶意代码 进行了及时分析处理。 a)询问安全管理员， 防病 毒网关和邮件防病毒网 关的恶意代码库的升级 机制； b)检查恶意代码库的升 级记录，判断是否定期； c)检查恶意代码分析报 告， 确认对防病毒网关和 邮件防病毒网关上截获 的危险病毒或恶意代码 进行了及时分析处理。 a)访谈安全管理员， 询问 是否定期检查恶意代码 库的升级情况， 对截获的 危险病毒或恶意代码是 否及时分析处理； b)检查是否具有恶意代 码检测记录、 恶意代码库 升级记录和分析报告； c)检查升级记录是否记 录升级时间、 升级版本等 内容。 2

11、 安全审计 2.1 是否对网络系统中 的网络设备运行状 况、网络流量、用 户行为等进行日志 记录。 b)检查边界和关键网络 设备的安全审计记录。 b)检查边界和关键网络 设备的安全日志审计记 录。 3 访问控制 5 3.4 是否限制具有拨号 访问权限的用户数 量。原则上不应通 过互联网对重要信 息系统进行远程维 护和管理。 b)访谈网络管理员， 检查 是否禁止了通过互联网 对重要信息系统进行远 程维护和管理； c)现场检查是否存在拨 号接入网络的方式； 如果 存在拨号接入， 检查边界 网络设备（如路由器，防 火墙，认证网关） ，查看 是否正确的配置了拨号 访问控制列表 （对系统资 源 实现 允

12、 许 或拒绝 访 问） 。 b)访谈网络管理员， 检查 是否禁止了通过互联网 对重要信息系统进行远 程维护和管理； c)测试现场检查是否存 在拨号接入网络的方式； 如果存在拨号接入， 检查 边界网络设备（如路由 器，防火墙，认证网关） ， 查看是否正确的配置了 拨号访问控制列表 （对系 统资源实现允许或拒绝 访问） ； d） 检查是否有其他措施， 防止外部网络用户连接 内部网络。 4 结构安全 4.8 通信带宽是否保持 在历史流量峰值的 4倍以上。 a)检查网络设计或验收 文档，查看带宽设计容 量； a)检查网络设计或验收 文档，查看带宽设计容 量； 6 网络运维 6.14 是否采取监测、记

13、录网络运行状态、 网络安全事件的技 术措施，并按照规 定留存相关的网络 日 志 不 少 于 六 个 月。 a）核查设备是否开启了 日志记录或安全审计功 能。 b）应核查是否部署了综 合安全审计系统或类似 功能的系统平台。 c）应核查网络日志留存 是否大于 6 个月。 （四）运维管理（四）运维管理 序号审计项审计项修订建议审计程序审计程序修订建议 4 日常操作 4.9 注册邮箱账号是否 经过审批。 检查一年内全部注册邮 箱账号的审批情况。 抽查检查一年内全部注 册邮箱账号的审批情况。 6 数据和介质管理 6 6.3 是否对介质在物理 传输过程中的人员 选择、打包、交付 等情况进行控制， 对介质归

14、档和查询 等进行登记记录， 并根据存档介质的 目 录 清 单 定 期 盘 点。 b)检查介质使用管理记 录， 查看其是否记录介质 归档和使用等情况； b)检查介质使用管理记 录， 查看其是否记录介质 归档和查询使用等情况； 6.4 是否对存储介质的 使用过程、送出维 修以及销毁等进行 严格的管理，对带 出工作环境的存储 介质进行内容加密 和监控管理，对送 出维修或销毁的介 质应首先清除介质 中的敏感数据，涉 密信息的存储介质 不得自行销毁，是 否按国家相关规定 另行处理。 访谈资产管理员， 询问对 送出维修或销毁的介质 在送出之前是否对介质 内存储数据进行净化处 理， 对介质带出工作环境 和重

15、要介质中的数据和 软件是否进行保密性处 理； 对保密性较高的介质 销毁前是否有领导批准。 a) 查看存储介质管理制 度是否对存储介质的使 用过程、 送出维修以及销 毁等进行严格的管理 （规 定对带出工作环境的存 储介质进行内容加密和 监控管理， 对送出维修或 销毁的介质应首先清除 介质中的敏感数据， 对保 密性较高的存储介质未 经批准不得自行销毁） ； b)访谈资产管理员， 询问 对送出维修或销毁的介 质在送出之前是否对介 质内存储数据进行净化 处理， 对介质带出工作环 境和重要介质中的数据 和软件是否进行保密性 处理； 对保密性较高的介 质销毁前是否有领导批 准。 6.5 是否对重要介质中

16、的数据和软件采取 加密存储，并根据 所承载数据和软件 的重要程度对介质 进行分类和标识管 理。 访谈资产管理员， 询问是 否定期对存储介质的完 整性 （数据是否损坏或丢 失）和可用性（介质是否 受到物理破坏）进行检 查， 是否对重要数据进行 加密存储。 a)检查介质存储环境， 查 看是否对其进行了分类， 并具有不同标识； b)访谈资产管理员， 询问 是否定期对离线存储介 质的完整性 （数据是否损 坏或丢失）和可用性（介 质是否受到物理破坏） 进 行检查， 是否对重要数据 进行加密存储。 7 6.12 是否至少每季度对 核心交易业务系统 的备份数据进行一 次有效性验证，如 发现问题是否采取 措 施 修 复 备 份 数 据，并查明原因。 是否至少每季度对 核心交易业务系统 的备份数据进行一 次有效性验证，如 发现问题是否采取 措 施 修 复 备 份 数 据，并查明原因。 （证券交易所、期 货交易所、中国结 算、 核心机构删除） 6.12 是 否 采 取 数 据 分 类、重要数据备份 和加密等措施。 a）应检查组织是否将数 据保护纳入到安全制度 中。 b）是否使用数据脱敏、 数据