《信息科技风险审计方法及过程》由会员分享,可在线阅读,更多相关《信息科技风险审计方法及过程(50页珍藏版)》请在金锄头文库上搜索。
1、信息科技风险审计信息科技风险审计方法及过程方法及过程摘自北京时代新威信息技术有限公司摘自北京时代新威信息技术有限公司 信息科技风险审计战略部署信息科技风险审计战略部署为帮助银行客户满足银监会为帮助银行客户满足银监会商业银行商业银行信息科技风险审计管理指引信息科技风险审计管理指引等相关监管要等相关监管要求,同时进一步加强信息技术建设,全面强求,同时进一步加强信息技术建设,全面强化风险管理,越来越多的企业已经开始为多化风险管理,越来越多的企业已经开始为多家银行提供信息科技风险审计服务了,本文家银行提供信息科技风险审计服务了,本文就是北京时代新威信息技术有限公司(以下就是北京时代新威信息技术有限公司
2、(以下简称时代新威)内部人员总结出的对于信息简称时代新威)内部人员总结出的对于信息科技风险审计的方法及过程。科技风险审计的方法及过程。信息科技风险审计范围:信息科技风险审计范围:一)信息科技治理一)信息科技治理二)信息科技风险管理二)信息科技风险管理三)信息安全三)信息安全四)信息系统开发测试和维护四)信息系统开发测试和维护五)信息科技运行五)信息科技运行六)业务连续性管理六)业务连续性管理七)外包七)外包八)内部审计八)内部审计九)外部审计九)外部审计信息科技风险审计之信息科技风险审计之信息科技治理信息科技治理信息科技治理是指对现代信息技术如信息科技治理是指对现代信息技术如 通讯技术,信息处
3、理技术、控制技术等的通讯技术,信息处理技术、控制技术等的 科学管理活动和过程。时代新威的审计专科学管理活动和过程。时代新威的审计专 家指出,家指出,“ “它是以信息服务业务的开展与社它是以信息服务业务的开展与社 会的实际需要作为依据,组织好各种信息会的实际需要作为依据,组织好各种信息 技术的开发和应用,并对信息技术进行标技术的开发和应用,并对信息技术进行标 准化、规范化管理。准化、规范化管理。” ” 信息科技治理战略必须要解决下述主要信息科技治理战略必须要解决下述主要 问题:问题:(1 1)保证构造合理的信息系统结构并将其实现。)保证构造合理的信息系统结构并将其实现。(2 2)保证新系统开发方
4、式可以满足企业长期维护的目标。)保证新系统开发方式可以满足企业长期维护的目标。(3 3)保证内部和外部采购的决策能得到认真的考虑。)保证内部和外部采购的决策能得到认真的考虑。(4 4)决定信息技术运行是由一个部门管理还是分成一系列)决定信息技术运行是由一个部门管理还是分成一系列 小单元管理,按照小单元进行管理虽然成本高,但是能为用小单元管理,按照小单元进行管理虽然成本高,但是能为用 户提供更好的服务。户提供更好的服务。信息科技风险审计之信息科技风险审计之信息科技风险管理信息科技风险管理 信息科技是指计算机、通信、微电子信息科技是指计算机、通信、微电子 和软件工程等现代信息技术,在商业银行和软件
5、工程等现代信息技术,在商业银行 业务交易处理、经营管理和内部控制等方业务交易处理、经营管理和内部控制等方 面的应用,并包括进行信息科技治理,建面的应用,并包括进行信息科技治理,建 立完整的管理组织架构,制订完善的管理立完整的管理组织架构,制订完善的管理 制度和流程。在风险管理方面,北京时代制度和流程。在风险管理方面,北京时代 新威信息技术有限公司与许多商业银行都新威信息技术有限公司与许多商业银行都 有合作成功的案例,其工作内容可总结为有合作成功的案例,其工作内容可总结为 以下两点。以下两点。信息科技风险,是指信息科技在商业信息科技风险,是指信息科技在商业 银行运用过程中,由于自然因素、人为因银
6、行运用过程中,由于自然因素、人为因 素、技术漏洞和管理缺陷产生的操作、法素、技术漏洞和管理缺陷产生的操作、法 律和声誉等风险。律和声誉等风险。信息科技风险管理的目标是通过建立有效的机信息科技风险管理的目标是通过建立有效的机 制,实现对商业银行信息科技风险的识别、计制,实现对商业银行信息科技风险的识别、计 量、监测和控制,促进商业银行安全、持续、量、监测和控制,促进商业银行安全、持续、 稳健运行,推动业务创新,提高信息技术使用稳健运行,推动业务创新,提高信息技术使用 水平,增强核心竞争力和可持续发展能力。水平,增强核心竞争力和可持续发展能力。 信息科技风险审计之信息科技风险审计之信息安全信息安全
7、信息安全主要包括以下五方面的内容信息安全主要包括以下五方面的内容 ,即需保证信息的保密性、真实性、完整,即需保证信息的保密性、真实性、完整 性、未授权拷贝和所寄生系统的安全性。性、未授权拷贝和所寄生系统的安全性。 信息安全本身包括的范围很大,其中包括信息安全本身包括的范围很大,其中包括 如何防范商业企业机密泄露、防范青少年如何防范商业企业机密泄露、防范青少年 对不良信息的浏览、个人信息的泄露等。对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信网络环境下的信息安全体系是保证信 息安全的关键,包括计算机安全操作系统息安全的关键,包括计算机安全操作系统 、各种安全协议、安全机制(
8、数字签名、各种安全协议、安全机制(数字签名、 消息认证、数据加密等),直至安全系统消息认证、数据加密等),直至安全系统 ,如,如UniNACUniNAC、DLPDLP等,只要存在安全漏洞等,只要存在安全漏洞 便可以威胁全局安全。便可以威胁全局安全。信息安全是指信息系统(包括硬件、信息安全是指信息系统(包括硬件、 软件、数据、人、物理环境及其基础设施软件、数据、人、物理环境及其基础设施 )受到保护,不受偶然的或者恶意的原因)受到保护,不受偶然的或者恶意的原因 而遭到破坏、更改、泄露,系统连续可靠而遭到破坏、更改、泄露,系统连续可靠 正常地运行,信息服务不中断,最终实现正常地运行,信息服务不中断,
9、最终实现 业务连续性。业务连续性。信息科技风险审计之信息科技风险审计之信息系统开发测试和维护信息系统开发测试和维护信息系统是一个以人为主导,吸取经信息系统是一个以人为主导,吸取经验和遵照规律并重,利用适合的信息技术验和遵照规律并重,利用适合的信息技术以及相应设备,根据相应的业务模型和数以及相应设备,根据相应的业务模型和数学模型,进行信息的收集、传输、加工、学模型,进行信息的收集、传输、加工、储存、更新和维护,以提高组织的效益和储存、更新和维护,以提高组织的效益和效率为目的,支持组织的高层决策、中层效率为目的,支持组织的高层决策、中层控制、基层运作的集成化的人机系统。控制、基层运作的集成化的人机
10、系统。信息系统开发维护是为了使信息系统信息系统开发维护是为了使信息系统处开合用状态而采取的一系列措施,目的处开合用状态而采取的一系列措施,目的是纠正错误和改进功能,保证信息系统正是纠正错误和改进功能,保证信息系统正常工作,有以下四种类型:改正性维护,常工作,有以下四种类型:改正性维护,适应性维护,完善性维护,预防性维护。适应性维护,完善性维护,预防性维护。信息科技风险审计之信息科技风险审计之信息科技运行信息科技运行良好的信息科技运行必须在设计阶段就良好的信息科技运行必须在设计阶段就 开始考虑。用户、负责信息科技系统运行的开始考虑。用户、负责信息科技系统运行的 人应该参与信息系统开发的设计阶段,
11、这样人应该参与信息系统开发的设计阶段,这样 信息科技的运行问题在一开始就可以得到足信息科技的运行问题在一开始就可以得到足 够的重视。够的重视。在工作中往往最容易忽略的就是硬件在工作中往往最容易忽略的就是硬件 失败、程序非正常退出、文档说明和支持失败、程序非正常退出、文档说明和支持 不足等问题。设计阶段要保证防止用户使不足等问题。设计阶段要保证防止用户使 用错误的快捷方式,还要考虑新、老系统用错误的快捷方式,还要考虑新、老系统 转换的细节。如果是购买其他公司提供的转换的细节。如果是购买其他公司提供的 软件包,问题就会更加复杂。时代新威的软件包,问题就会更加复杂。时代新威的 信息技术专家在工作中要
12、求格外强调注意信息技术专家在工作中要求格外强调注意 这一系列问题,也就避免了很多不必要的这一系列问题,也就避免了很多不必要的 失误和麻烦。失误和麻烦。信息科技运行战略必须要解决下述主要问题:信息科技运行战略必须要解决下述主要问题:(1 1)保证构造合理的信息系统结构并将其实现)保证构造合理的信息系统结构并将其实现 。 (2 2)保证新系统开发方式可以满足企业长期维)保证新系统开发方式可以满足企业长期维 护的目标。护的目标。 (3 3)保证内部和外部采购的决策能得到认真的)保证内部和外部采购的决策能得到认真的 考虑。考虑。 (4 4)决定信息技术运行是由一个部门管理还是)决定信息技术运行是由一个
13、部门管理还是 分成一系列小单元管理,按照小单元进行管分成一系列小单元管理,按照小单元进行管 理虽然成本高,但是能为用户提供更好的服理虽然成本高,但是能为用户提供更好的服 务。务。信息科技风险审计之信息科技风险审计之业务连续性管理业务连续性管理业务连续性管理(业务连续性管理(Business Continuity Business Continuity ManagementManagement,简称,简称BCMBCM),是一项综合管),是一项综合管 理流程,它使企业认识到潜在的危机和相理流程,它使企业认识到潜在的危机和相 关影响,制订响应、业务和连续性的恢复关影响,制订响应、业务和连续性的恢复
14、计划,其总体目标是为了提高企业的风险计划,其总体目标是为了提高企业的风险 防范能力,以有效地响应非计划的业务破防范能力,以有效地响应非计划的业务破 坏并降低不良影响。坏并降低不良影响。 业务连续性管理系统(业务连续性管理系统(BCMSBCMS)是经常)是经常 进行的活动的集合,业务连续性管理支持企进行的活动的集合,业务连续性管理支持企 业业务连续性管理活动,也支持技术灾难恢业业务连续性管理活动,也支持技术灾难恢 复活动。这些可以包括项目规划和管理、人复活动。这些可以包括项目规划和管理、人 员配备、计划、预测、预算编制、研究和开员配备、计划、预测、预算编制、研究和开 发、资源管理、通信、会议、教
15、育活动、宣发、资源管理、通信、会议、教育活动、宣 传和促销活动、活动网站、绩效评估活动、传和促销活动、活动网站、绩效评估活动、 按天进行处理查询和许多其他活动。按天进行处理查询和许多其他活动。业务连续性管理也有利于多种项目性业务连续性管理也有利于多种项目性的活动,业务连续性管理执行业务影响分的活动,业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录析和风险分析、进行评估、制定并记录BC/BC/DR DR计划、规划和执行计划、规划和执行BC/ DRBC/ DR演练、准备和演练、准备和进行应急队伍培训、准备记录事件响应计进行应急队伍培训、准备记录事件响应计划,并设计划,并设计BC/ D
16、RBC/ DR策略。策略。 信息科技风险审计之信息科技风险审计之外包外包外包是指企业动态地配置自身和其他外包是指企业动态地配置自身和其他企业的功能和服务,并利用企业外部的资企业的功能和服务,并利用企业外部的资源为企业内部的生产和经营服务。外包是源为企业内部的生产和经营服务。外包是一个战略管理模型,举例来说,一个生产一个战略管理模型,举例来说,一个生产企业,如果为了原材料及产品运输而组织企业,如果为了原材料及产品运输而组织一个车队,在两个方面其成本会大大增加一个车队,在两个方面其成本会大大增加 。第一,管理成本增加,因为它在运输领域第一,管理成本增加,因为它在运输领域 不具备管理经验。不具备管理经验。第二,因管理不善,运输环节严重影第二,因管理不善,运输环节严重影响生产和销售环节的工作,从而导致生产响生产和销售环节的工作,从而导致生产和销售环节的成本增加。如果把运输业务和销售环节的成
