2009 年3 月,银监会发布了《商业银行信息科技风险管理指引》(以下简称《指引》),代替2006 年11 月的《银行业金融机构信息系统风险管理指引》,要求各商业银行从发布之日起遵照执行。这标志着银行业信息科技风险管理工作进入了新阶段。新版监管指引的内容核心是围绕信息技术、风险管理、审计监督构成的“三道防线”IT治理架构,按照管理、执行、监督等不同职能角色的划分,建立面向主要信息科技风险类型的完整管理过程和配套管理制度体系。
在指引发布之后,银监会一方面通过非现场监管报表报送和现场检查等监管手段,促进监管要求在商业银行业务运营过程中的落实,并对落实情况进行监督检查;另一方面提倡和鼓励商业银行的审计监督部门组织实施面向信息科技风险管理合规性的内部审计和外部审计活动,切实承担起对信息科技风险管理实践的监督管理职能。
本文以外部审计机构的视角介绍绿盟科技开展信息科技风险外部审计服务项目的实施过程。结合笔者实施经验识别审计重点,通过使用符合性测试、实质性测试方法,以提高科技风险管控能力和启发审计思路,强调拓展审计发现。
一. 实施过程
1.1 整体思路
从银行自身信息科技风险管理需求出发,绿盟科技依托于对行业监管规范的深入理解,以及为商业银行客户长期服务所积累的深厚行业经验,建立了商业银行信息科技风险管理外部审计的规范化实施方法和服务实施团队,向商业银行客户提供信息科技风险管理外部审计服务。
信息科技风险审计项目主要阶段包括:计划准备阶段、现场实施阶段、分析报告阶段、整改跟踪阶段。如图1所示:
图1 信息科技风险审计项目实施过程
1.2 计划准备阶段
在计划准备阶段,需要进行的主要活动包括:
- 组成服务项目组,明确人员职责分工和协作方式。
- 开展审前调查,重点了解三道防线设立、信息科技风险管理体系的设计及运行情况,内部控制、信息安全、事件管理、外包管理、业务连续性等流程管理现状,并了解上次外部审计的审计意见。
- 制定项目审计实施方案、确定项目实施计划。审计方案包括审计目标、范围、审计内容,审计组成员的组成及分工,及对外部审计工作结果的利用。
- 明确审计重点,调整审计底稿。绿盟科技以纵向、横向对比结果作为依据,结合客户自身现状,明确审计重点,并据此调整审计底稿。
- 下发审计通知书,对审计项目涉及的部门下发通知书,告知审计目的及范围、审计时间、审计组长及审计组成员名单。
1.3 现场实施阶段
在现场实施阶段,需要进行的主要活动包括:
- 举行首次会议,向客户介绍审计实施方法和实施方案,明确客户方的接口人和资源配合要求,事先提出需科技部相关管理员在现场审计过程中陪同审计组开展工作,以对相应疑问及时作出专业解释。
- 下发调阅清单,收集上报材料,对非制度类文档等无法直接查阅的材料,如记录、表单、纪要、评审结论等过程文档统一编写调阅清单,由项目接口人员下发、收集。
- 实施现场审计,审计实施人员综合使用多种审计方法,对审计表中的现场检查各审计项进行信息调查和初步判断。
- 填写、确认事实确认书,对亲历现场审计的客观现场描述,在实施现场审计过程中搜集的证据,如照片、截图、文字材料,需由项目组填写事实确认书,并由被审计人员签字确认。
- 记录、梳理线索表,结合审计实施经验,对于利用查阅、访谈、符合性测试方法过程中发现的特殊、异常现象进行记录,可以作为拓展审计发现的专有工具。(线索表样张见2.2章节)
- 编制、汇总审计工作底稿,根据汇总的线索表、跟踪记录单、事实确认书,项目组对现状进行分析,编制审计工作底稿。
- 信息沟通汇总,项目组需要进行内部信息汇总与沟通,对初步审计结论进行复核,形成一致的意见。
- 举行末次会议,向客户传达审计项目组的一致初步意见,说明实施过程中的各项审计发现,听取客户的意见反馈,并安排后续的审计报告编写提交工作。
1.4 分析报告阶段
在分析报告阶段,主要根据现场实施形成的审计工作底稿和团队初步一致意见,编写审计报告,报告经过内部审批和批准后提交给客户。另外根据审计实施所发现的问题,为客户提供整改建议。
1.5 整改跟踪阶段
在整改跟踪阶段,项目组负责对所发现问题的客户整改措施进行跟踪,整改可包含信息科技治理、信息安全策略、内控管理制度等方面,如应急方案和业务连续性计划的修编等内容。项目组得到相关部门整改完成的反馈之后,对相应点进行确认和审核。
此阶段是一个循环优化,不断完善的过程。项目组将指导客户相关人员开展一个周期的整改跟踪过程,客户方通过循环完善信息科技治理机制、优化信息系统架构,配合安全技术加强等措施,以提高信息科技风险防范水平,做到防患于未然。
二. 审计重点
银监会要求商业银行每三年全面覆盖信息科技风险审计八个方面内容,商业银行一般会邀请第三方来协助开展审计。在为银行实施外部审计项目时,项目组首先需要明确审计内容,通常会以银监会的方针政策为指引,以行业内的最佳实施准则为依据。
绿盟科技通过收集、梳理各省银监局的信息科技风险的合规要求,与银监会《指引》进行对比,以此作为行业纵向对比依据。同时,在过滤客户敏感信息后,对比分析历年的信息科技风险指标数据,统计商业银行信息科技风险管理状况,以此作为行业横向对比依据。
纵向对比发现伴随着银行业越来越活跃的各种渠道及服务方式的多样性及开放性,银行信息安全事件频发的趋势难以遏制。银行业监管机构不断出台了若干监管要求、指导意见,要求各家银行做好信息科技的技术和管理保障工作,特别针对信息科技风险管理、信息安全更是加大了监管力度。
图2 银监会要求与地方银监局要求对比(示例)
横向对比发现信息科技运行由科技部负责,对于系统、网络、基础设施的日常运行、维护工作执行效果较好,各行的机房物理环境的基础设施以及安全保障做得较为完备。信息科技风险管理方面,部分银行缺乏独立的信息科技风险管理机构与岗位,很难独立执行信息科技风险管控职能。业务连续性方面根据各行的认知及需要逐步制订IT应急预案,部分银行开展业务影响分析指导整体策略制定。由于业务连续性内容涉及广泛,通常建议在项目实施时分步实现,首先覆盖合规要求,之后再以专项审计项目开展专门审计。
结合客户自身现状发现,部分城商系银行对于建立的信息科技委员会、风险管理委员会职能、设立首席信息官(CIO)职务的目的和职责不清晰,导致高层委员会履职情况不佳,CIO职务虚设的情况普遍存在。
绿盟科技以纵向、横向对比结果作为依据,结合客户自身现状,明确审计项目重点。笔者归纳出近年信息科技风险审计项目的审计重点包括信息科技治理、信息科技风险管理、信息安全三个方面。
2.1 信息科技治理
信息科技治理方面强调商业银行需要认真贯彻银监会《指引》要求,完善银行高级管理层设置与分工、明确信息科技规划、建立健全三道防线与相应部门的职责分工。
商业银行客户可能已实施过信息系统等保测评,由于等保的管理要求是围绕信息系统的视角来看,从管理机构、管理制度、人员安全三个方面提要求,对于岗位设置提出应设立信息安全管理职能部门,应设立系统管理员、网络管理员、安全管理员等岗位。《指引》从银行信息科技治理的视角来看,包含科技治理、风险管理、内、外审计方面的管理职能分工、岗位设置要求。因而,等保的管理要求在范围上不能覆盖《指引》要求。如果要基于等保实施成果开展信息科技治理审计,审计人员需要使用审计表中“信息科技治理”域的审计点开展补充审计。
如果项目实施过程停留在信息科技部门内部,项目将无法完成“三道防线”中的风险管理线和审计线的审计点。项目组应积极争取得到银行副行长、首席信息官、监事长的支持。
信息科技治理方面重点审计内容:
- 信息科技管理委员会、风险管理委员会职责分工、履职情况;
- 首席信息官有无确保信息安全战略、制定风险管控体制职能、及其履职情况;
- “三道防线”与相应部门的职责分工、责任边界;
- 复核内部审计执行情况,鉴证内部控制、合规性、系统安全性等方面的评价。建议审计部门职能从“纠错查弊”向“免疫功能”转变,通过完善方法论,配置信息科技风险专岗人员,配置专用工具,以提升审计能力。
2.2 信息科技风险管理
通常情况下,信息科技风险管理属于风险管理部负责。项目组应与风险管理部充分沟通、调研了解风险管理运行情况,对于风险管理模型可以提出如下问题进行审计:
- 笔者们以前是否已经识别和分析所涉及的风险?
- 在进行风险识别时,笔者们识别真正的原因了吗?
- 笔者们对风险和控制的分级和评估正确吗?
- 是否按照原计划进行控制?
- 应对计划有效吗?
- 如果应对计划无效,该做哪些改善?
- 笔者们的监测和符合过程有效吗?
- 笔者们风险管理过程总体上该如何改善?
- 哪些人需要知道这些知识?笔者们应如何传播这些知识,以确保该学习是最有效的?
- 为了确保失败的事项不再发生,而成功的事项却可以重复发生,笔者们需要做些什么?
2.3 信息安全
信息安全管理主要包括操作系统安全、应用系统安全、用户认证与访问控制、通信安全、物理环境安全等内容,安全管理是一个整体,一环出现问题,可能引起连锁反应。项目组需要配置熟练使用技术评估工具的技术工程师开展信息安全方面审计工作。
如对于通信安全方面的审计工作需要如下三个步骤:
- 调阅相关管理制度文件,查看有关网络区域划分和访问控制的管理内容
- 调阅网络拓扑结构图,验证网络区域划分以及访问控制隔离设备的部署情况
- 抽样检查网络访问控制设备的配置策略适当性(技术评估,见3.1.3章节)
三. 实施技巧、实用工具
在开展审计项目过程中,需要审计人员具备项目管理的通用能力。为了提升工作效果,给予银行方面更多的成果和收获,审计人员还需要学习项目实施技巧。笔者对于实施过程中有利于预期目标实现的方法做了总结,提出实施技巧与实用工具。
3.1 实施技巧
- 3.1.1 项目汇报、宣贯:管理层支持,全员参与
信息科技风险计划、识别、分析、处置、跟踪等相关工作不仅是风险管理部的工作,信息技术实现、安全保障不仅是信息科技部或是信息安全组的职责。信息科技治理是由上而下,需要管理层支持。
项目组人员可以争取高级管理层、业务部门、科技部门、风险管理部门、审计部门参与到审计工作中,一些有效的方法包含:
- 组织高级管理层定期听取工作汇报;
- 提供沟通渠道使各级管理层对项目工作表态支持,并调配必要资源;
- 增加业务部门交流培训机会,了解行业发展趋势;
- 与风险管理部领导沟通,了解风险管理年度计划、风险量化与风险指标制定情况、专项风险评估计划,提出有关风险评估专岗人员的能力提升、资源投入,系统建设等议题;
- 与审计部门领导沟通,了解部门审计年度规划、发展路线,提出有关信息科技风险审计的人员能力提升、资源投入、工具建设等议题;
- 开展全员多形式安全意识、风险意识培训、宣贯。
- 3.1.2 信息来源:多个层面收集,拓展审计发现
信息来源由三个层面组成:
- 高级管理层,各委员会信息科技风险管理相关议题;
- 部门,三道防线各部门信息科技风险管理相关报告;
- 信息系统,其操作日志,及对应系统、网络设备日志;
比如调阅制度发现行内对于信息科技管理委员会、信息安全管理委员会的职责做了定义,为了识别委员会履职情况,需要使用调阅清单获取存放在审计部、科技部存档的委员会会议纪要。通过阅读纪要内容,识别出议题中不包含信息科技风险方面内容(信息科技风险方案计划评审、听取风险、事件汇报),由此项目组有了新的审计发现。
项目组人员可以争取在多个层面收集信息,结合调阅制度规范、系统、网络基线开展审计过程,通过对数据分类、分析、统计等方法拓展审计发现。
- 3.1.3 技术评估:发挥技术优势,拓展审计发现
技术评估内容主要包括漏洞扫描、基线检查、代码审计。其中漏扫和基检是绿盟科技传统技术评估方法。项目组需要做好技术评估前期沟通,说明漏扫的技术目的、方式和风险。比如调阅行内的AIX系统基线规范,看到有关“ICMP重定向”的基线配置要求,应设置为忽略、不发送ICMP重定向包,不转发源路由包等策略,笔者初步判断对于系统管理员如不是偏安全的出身,很大可能不重视这个策略。于是在基线检查时对比了这个策略,对比结果系统中此条策略确实没做,由此项目组有了新的审计发现。
代码审计是对系统源代码进行审计,找出编程缺陷,并提供改进建议及最佳安全编码实践。代码审计工作采用“工具扫描+人工验证”的方式,在了解业务流和各模块功能和结构的情况下,检查代码在程序编写上的安全性和脆弱性以及结构性的安全问题。项目组可配合调阅受检模块所属信息系统的设计说明书、业务流程,访谈信息系统负责人了解用户认证和访问控制、输入、输出控制环节的安全设计,一并验证其安全实现的有效性。
3.2 实用工具
- 3.2.1 调阅清单:合规调阅,定期统计状态
项目组在计划准备阶段和实施阶段使用调阅清单,开展非制度规范类资料调阅。为了跟踪调阅状态,表格包含了状态字段(未有、已有、现场已查阅、无记录),并在每周定期更新进展状态。调阅清单样张如图4。
图4 调阅清单样张
- 3.2.2 线索表:汇总梳理线索,拓展审计发现
项目组在现场实施阶段使用线索表,通过汇总梳理线索和跟踪发现,判断对应情况是否属于问题,或仅为观察项。跟踪结果(问题项、观察项、建议项)。
图5 线索表样张
- 3.2.3 审计表:总结汇总、统一审计意见
项目组在现场实施阶段使用审计表,将审计过程发现的客观情况逐项填写在“现状描述”和“信息来源”中,对客户“管理成熟度”进行选择,将会根据“管理成熟度”的值自动生成“成熟度赋值”、“符合性分析”、“风险评级”、“差距分析雷达图”结果。
- 3.2.4 跟踪记录单:认真整改,持续跟踪
根据项目实施过程,整改跟踪过程属于其中必要的一个环节。只是发现问题而未及时进行整改,不仅风险不会降低,由于问题已经在一定范围内公开,反而可能提高风险,造成信息安全事件。
因而,认真完成整改工作成为必然。但待整改问题分布广泛,且属于多个部门和责任人;对于整改方案经常会做出调整,需要召集多部门人员集中讨论确定方案。通常,采用跟踪记录单并标明责任人、问题分级、整改建议、整改反馈、整改状态等列项,明确整改情况。
项目组必须严密跟踪整改进展,通过统计关键指标并适时调整整改计划,才能保证项目整体实施效果。整改状态的关键指标有:
- 有无反馈回复意见;
- 有无提供整改方案;
- 有无明确整改完成日期;
结论
本文通过介绍商业银行信息科技风险外部审计项目实施过程,结合纵向、横向对比及绿盟科技实施经验,明确审计重点,分享实施技巧和实用工具。笔者希望能给正在研究和正在实施信息科技风险审计服务的人员提供思路和方法。
参考文献
《浅谈商业银行信息科技全面审计方法》 肖尧
《商业银行信息科技风险管理状况行业对比分析》 齐芳
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880