(图片来源网络,侵删)
应用系统审计方案一、审计目标: 应用系统二、审计对象:应用系统三、审计范围:应用系统四、审计依据:国家会计、财政、税务、银监等法律法规、条例、办法及我行相关管理办法。五、审计内容:(一)应用系统管理1、应用系统管理制度基本要求:银行要加强应用系统的管理,建立相关规章制度。有条件的要指定负责应用系统管理的部门,确保每一个应用系统在系统生命周期内安全、稳健运行。检查方法:(1)查阅与应用系统相关规章制度,确认银行是否建有有关应用系统管理的制度,并进一步分析制度是否能够满足工作需要;(2)约谈应用系统管理部负责人或负责应用系统管理的具体人员,分析应用系统管理制度是否得到实施,实施是否合理;(3)查阅应用系统管理过程中的相关工作底稿,分析应用系统管理制度落实情况。2、应用系统分类保护基本要求:(1)银行应建立应用系统分类和保护体系,保证该体系在银行内部的贯彻落实;(2)银行应制定应用系统分类管理制度,对应用系统实施分类保护;(3)银行应对不同的应用系统进行安全评估,制定不同的防范措施,切实保护好各项应用系统,要按照《信息安全等级保护管理办法》的要求,对应用系统按照重要程度实行等级保护。对于安全等级确定为二级以上的应用系统,必须向公安等部门备案。检查方法:(1)约谈有关人员,了解是否建立了应用系统分级保护机制;(2)调阅应用系统分级保护制度,了解是否已经建立此制度,对应用系统实施了分级保护机制;(3)查阅有关工作底稿和应用系统评估报告,了解是否对应用系统进行了分级,并按照《信息安全等级保护管理办法》的要求对应用系统实施了响应的保护措施。重点关注二级以上的应用系统是否按照规定落实了分级保护要求。3、重要应用系统应具有审计功能基本要求:银行应建立应用系统安全审计机制,特别是重要的生产业务应用软件,要进行严格的安全审计。具体包括:(1)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,要在关键的控制点或风险点进行输入验证和输出核对;(2)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;(3)应用系统应具有可追溯性,应以书面或电子格式保存操作记录、交易流水等审计内容。审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;(4)用户管理员应监控和审查未成功登录情况,和用户账户修改等异常情况,并随时记录和上报。检查方法:(1)查阅有关应用系统开发过程中有关设计文档,分析系统有无安全审计功能,必要时可以直接查阅系统源代码进行确认;(2)约谈系统开发人员和系统操作人员应用系统是否有上述审计机制;(3)有操作人员在终端登陆应用系统,观察是否有审计记录存在。4、应用系统版本管理基本要求:银行应建立完善的应用系统变更管理制度和审批流程,并建立针对应用软件安全性、功能性的定期评估机制,根据评估结果实施软件版本变更。软件版本变更前应制定完善的测试方案,并保证测试过程的完整性(单元测试、集成测试、验收测试和试运行阶段)和测试内容的全面性(功能性测试和非功能性测试),并形成完整的测试文档。测试中如需使用生产数据,必须对相应数据进行脱敏、变形处理。检查方法:(1)与相关系统负责人进行访谈,以了解银行软件版本变更情况;(2)调阅银行软件变更管理制度、相关评估机制,检查银行相关方面制度的完善性;(3)查阅银行软件变更登记表及测试记录,验证版本更新前是否执行了相关操作;(4)询问登记表中参与测试的人员,验证是否真正、负责地参与了软件测试;(5)验证测试中使用的生产数据是否经过了脱敏、变形处理。5、应用系统培训教育基本要求:银行应根据应用软件需求举办相应培训,确保运行人员具有履行其角色所需的知识和技能,并定期进行考核。培训中应保证同一名员工不同时掌握应用软件安全机制、后台控制、前台操作的全过程。检查方法:(1)调阅银行与员工培训相关的制度,验证是否能够做到根据版本的更新进行跟踪培训;(2)查阅培训记录并与软件版本升级记录进行对比,验证是否能够做到根据版本的更新进行跟踪培训;(3)询问软件操作人员,验证其是否掌握应用软件安全机制、后台控制、前台操作的全过程。(二)应用系统安全1、终端用户管理基本要求:银行应采取必要的措施,建立相应的安全制度,保证所有应用系统终端用户设备的安全,这些设备包括个人台式计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、借记卡或信用卡读卡机、销售终端机(POS)、个人数字助理(PDA)、移动存储介质等,定期对所有设备进行安全检查。检查方法:(1)调阅相关制度文件,是否已建立对于终端用户安全管理的制度;(2)对于终端用户是否已经进行了分类,并依据分类采取不同的管控策略;(3)机构是否已制定严密的权限控制措施,限制终端用户能够访问的各种资源;(4)机构是否已采取对应的技术手段、配置合适的安全设备与软件,以控制终端用户私自更改系统配置,私自更改网络接口,私自安装监听软件、扫描软件、攻击软件、反编译软件和其它不安全软件;(5)机构在终端用户所使用的软件应为授权许可的;(6)对于离线式终端用户如便携式计算机、个人数字助理(PDA)、移动存储介质等是否建立接入前监测措施,同时按信息敏感度进行分级;(7)是否对于终端用户建立了详实的档案登记,并按登记分级确定不同的巡检频率;(8)调阅相关规范文件,对于有具体安全标准的要求的终端设备,机构是否已按安全标准与规范实施,并经过安全部门的认证。2、访问控制基本要求:根据不同的业务种类,不同的安全系统等级,不同的网络边界,不同的操作权限,机构应制定一整套访问控制策略,该策略应可有效地区分不同的用户访问请求。机构应建立对应的访问监测系统,通过实时监测系统访问用户数量,保证系统访问可控,机构应根据被访问信息的类别选择相匹配的用户认证机制。检查方法:(1)调阅机构在应用系统中的用户列表,查看用户的权限是否与用户的操作需求相一致;(2)机构是否依据不同的业务种类、不同的安全系统等级、不同的网络边界、不同的操作权限制定一整套访问控制策略,该策略是否以文档留存;(3)机构的访问控制策略是否经过安全评估;(4)机构是否依据系统等级分类不同,采用不同的物理技术手段访问用户予以认证;(5)机构是否采取合理的安全措施,保证正常访问,避免恶意访问和黑客攻击;(6)对于有明确规定的访问控制要求,机构是否已按规定的内容实施,是否达到规定要求;(7)机构是否建立的访问监测体系,对访问进行实时监测;(8)机构是否建立了访问控制事件处理流程,及时通过监测到的事件依流程进行处理;(9)机构是否建立了访问控制信息的档案,以便在发生事件时查询;(10)机构是否对于重要的访问控制日志文件进行备份,并定期进行回看;(11)是否每位信息系统用户使用单独的账号进行操作,该用户身份发生变更时,其用户访问设定是否及时更改;(12)用户的访问权限是否遵循最小权限原则。3、保密机制基本要求:银行应采取可靠的加密技术,防范机密信息在应用系统或传输过程中丢失的风险。检查方法:(1)与信息安全管理人员会谈,了解各应用系统分级,并了解重要应用系统中敏感数据是否采取了适当的加密机制进行保护,制定并落实了有效的关键管理流程。利用公共网络传输业务数据的主干网络线路,应配备加密机;(2)与信息安全管理人员会谈,了解所使用的加密设备应符合国家安全标准或要求,可以进一步调阅加密设备的相关认证资料,确认其符合国家安全标准要求;(3)与信息安全管理人员会谈,了解对负责加密设备的员工进行的培训和审查过程,可进一步调阅培训计划和审查材料,确认员工具备加密设备维护和管理的能力;(4)与信息安全管理人员会谈,了解是否对加密的强度、长度、时效进行有效评估,并根据评估结果实施进一步的控制措施。可进一步调阅其审核和评估相关文档,确认审核和评估过程覆盖所有关键业务敏感数据;(5)与信息安全管理人员会谈,了解其对加密信息实施加密的密钥管理流程,可调阅密钥管理的相关的制度及实施记录,确认银行定期对密钥使用及保管情况进行检查的机制和紧急情况下销毁密钥的措施。调阅密钥生成、分发和销毁的相关记录,确认密钥的生成、分发和销毁经过了严格的批准过程,核心密钥保证至少双人操作;(6)与信息安全管理人员会谈,了解是否有相关制度和流程,确保开发、测试和外包公司使用的数据是经过变形或脱敏处理之后的数据,确保数据的安全。4、数据完整性基本要求:银行应针对应用系统的安全等级,对敏感数据实施采取适当措施防止敏感数据的泄露,并保证数据在生产、存储和传输过程中的完整性。检查方法:(1)与安全管理人员进行会谈,确认银行是否对重要业务数据和系统管理数据和鉴别信息在传输、存储过程完整性进行了相应的管理。(2)根据相应的管理机制和操作记录,确认银行对数据完整性的破坏事件进行了识别和检测,并采取了相应的措施。(3)与安全管理人员进行会谈,了解其是否对数据输入和修改过程实施了管控措施,确保业务数据记录完整,账务平衡。可进一步调阅数据的输入和修改的相关记录,确认其经过了完善的审批流程,并对输入操作进行安全控制,检测、防止对业务数据的恶意篡改。(4)与安全管理人员进行会谈,了解其是否对输出数据进行了适当扫描和检测,以防止隐含的数据泄露和数据完整性被破坏。5、数据准确性基本要求:银行对生产业务数据的添加、删除和修改应尽量使用账务冲正等会计手段实现,不得绕过业务操作界面进行后台操作。对于无法用会计手段实现的数据添加、删除和修改,应编制专门的程序对生产业务数据库进行后台操作,不得直接打开数据库进行操作。检查方法:(1)与安全管理人员及维护人员进行会谈,了解银行是否对生产业务数据的添加、删除和修改过程的控制措施。(2)调阅相关生产业务数据添加、删除和修改的记录,确认其过程没有直接打开数据库进行操作。无法用应用系统直接实现的数据添加、删除和修改,应编制专门的程序对生产业务数据库进行后台操作,并经过严格的测试和审批过程。(3)调阅相关生产业务数据添加、删除和修改的记录,确认对数据库的后台操作必须保证双人完成,并建立了严格的登记手续。登记表格的保管应等同于会计凭证,不得撕毁,并按照国家会计政策的要求予以保存。(4)调阅对数据库进行生产数据变更操作的审批手续,确认经过业务部门和信息系统管理部门严格审批过程。6、监督制约分级授权基本要求:(1)应制定严密的管理办法和操作流程,加强对生产业务系统账户,特别是柜员账户的创建、变更、交接、删除等操作的管理;(2)应授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。业务应用系统应具有监督制约功能和分级授权功能,明确划分责任,对关键和敏感岗位或职能进行双重控制,做到双人操作,互相监督。对操作人员的权限进行限定,超过操作权限,应设定必要的授权控制。应制定明确的授权管理制度和授权控制列表,满足业务处理的保密性、安全性等要求;(3)生产业务系统账户权限的授予一般应根据需要,由扎口业务部门统一向数据中心提出申请,审核后,数据中心指定专门安全管理人员开立账户,并做相应记录。检查方法:(1)调阅分级授权管理办法、操作流程,了解生产业务系统账户开立情况;(2)抽查多个业务系统账户是否符合上述检查要求;(3)约谈相关人员核实账户管理情况,并核查相应的开户记录。7、日志管理机制基本要求:(1)银行应用系统应具备日志功能,记录系统运行情况、系统运行状态、异常事项和人员登录、使用情况。银行信息系统电子日志可以划分为两大类:交易日志。交易日志由应用软件和数据库管理系统产生,包括身份认证尝试、数据修改、错误信息、交易内容、交易时间等。交易日志应按照国家会计政策的要求予以保存。系统日志。系统日志由操作系统、数据库系统、防火墙、入侵检测系统、交换机、路由器,以及出入口控制设备等生成,包括身份认证尝试、系统事件、网络事件、错误信息等。系统和网络日志保存期限至少应为一年;(2)银行应重视对电子日志的管理和应用分析;(3)银行应制定完善的指导意见和操作流程,控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈;(4)银行应保证在电子日志中包含足够的项目,以便有效地满足内部控制、系统故障解决和审计等需求。应采取适当措施保证所有日志的计时同步;(5)交易日志应作为生产系统的重要信息进行保存,每天随同生产业务数据进行备份保存;(6)系统日志定期、集中保存,并由专人负责管理。各系统管理员不得接触系统日志;(7)应分配充足的硬盘空间以防止日志文件被覆盖。日志应采取合理的格式保存,保证能够满足内部控制、系统故障解决和审计等需要;(8)银行应定期检查交易日志和系统日志,有任何的例外情况发生都应当复查系统日志。交易日志或数据库日志的复查频率和保留周期应由信息科技部门和有关业务部门共同决定,并报信息管理委员会批准。检查方法:(1)核查各重要应用系统是否具有日志功能,了解银行有无日志管理机制;(2)根据日志管理机制抽查多个业务系统的日志,检查其包含的信息,以及利用信息审计情况,判断其在审计中所起的作用;(3)约谈相关人员,检查电子日志的维护情况是否符合以上规定。8、备份、恢复机制基本要求:(1)应提供应用系统本地备份与恢复功能,应用系统变动(如版本升级)后应完全数据备份至少一次,备份介质场外存放。定期测试系统的备份,确保其处于可用状态,并记录测试情况;(2)若异地灾难备份中心采用系统级备份策略,应确保备份中心系统备份及时更新,提供业务应用的无缝切换;应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心;(3)关键业务应用系统应采取冗余和热备技术,避免存在应用系统单点故障。检查方法:(1)了解银行应用系统相关的备份策略和制度,检查其制度落实情况;(2)约谈相关人员了解应用系统备份以及备份的测试情况,对照记录进行核查;(3)抽查业务应用系统结构,检查是否存在单点故障风险。六、审计依据1.《某商业银行信息系统风险管理办法》(某银办发[XXXX]XX号)2.《某商业银行供应商管理办法》3.《某商业银行信息化项目管理办法(试行)》(某银发[XXXX]XX号)4.《银行外包风险管理指引》(银监发[XXXX]XX号)
0 评论