信息系统审计与测试是对信息系统的安全性、可靠性、有效性和效率性进行审查、评价并发表意见的活动。近年来,保险业对信息化建设日益重视,投入逐年增加,据统计,2004年至2008年保险业信息化资金投入累计达200多亿元,信息系统已成为保险业的重要资产,同其他资产一样,信息系统也需进行严格的管理与控制,并且应进行定期与不定期的审计与测试,及时发现并排除信息系统的潜在风险。同时,信息系统具有高技术含量、高隐蔽性、高破坏性的特征,它虽不是传统风险,但会放大传统风险的损失。因此,应对信息系统安全、加强对信息系统的审计与测试已成为保险业的当务之急。 信息系统审计与测试的主要方法 信息系统审计与测试主要有两方面的内容:一是在信息系统运行过程中对其运行效率和效果进行定期或不定期的审查并提出相关建议:二是在系统建设取得阶段性成果时或在系统建设与使用过程中当设备、人员、模块发生变化时对变化的要素与系统的整合效果进行评估与审核。在实施信息系统审计与测试时,只有熟练掌握各种技术,才能取得充分可靠的资料,有效执行并完成审计与测试目标。随着信息技术的发展,对信息系统进行审计与测试技术也在不断发展,目前已开发出多种信息系统审计与测试技术,主要的审计与测试方法有: 检测数据法:将预先设计好的测试数据输入被测试系统加以处理,将处理结果与预期结果对比,从而验证信息系统的可靠性。 整体检测法:在系统正常处理业务时用测试数据对系统进行检测。一般是建立虚拟实体(如虚构的部门、职员或客户),并让系统处理该虚构实体的审计测试数据,这些审计测试数据可以是在系统正常运行时随机抽取的,便于实时监控系统的运行。 受控处理法:评测人员通过监控被测系统对实际业务的处理,从而验证被测系统的运行是否恰当、有效的方法。 平行模拟法:通过编写或使用具有和被测系统相同处理功能的系统,用它来处理当前的实际业务数据,并对二者的处理结果进行比较,以评价被测系统是否安全可靠的方法。常用的策略是系统建成后将其移植到一个与外界特别是互联网隔绝的环境中以防止黑客、病毒的攻击,在此系统中处理部分实际数据与被测系统的结果进行比对。 程序追踪法:是在信息系统的重要处理点嵌入评测程序,当数据通过不同的处理点时,嵌入程序捕捉相关信息,以此评价处理的准确性和可靠性。 专业审计软件:通过使用各种专业的审计软件,对信息系统进行测试和分析,独立客观地发表评测意见,提出修正和改进建议。 其他的审计方法还有快照、追踪、映像等,但目前应用并不广泛,案例与经验不够丰富,短期内还没有在保险业应用的必要与价值,在此不逐一赘述。 保险业在信息系统审计与测试中应注意的问题 在进行系统审计与测试时,保险业必须根据行业特点、发展阶段制定科学合理的策略。目前,保险业已基本完成数据集中工作,工作重点已转到网上保险、CRM、商业智能等提高运营效率和能力的手段上,信息系统已逐步向外部化、复杂化、智能化发展,在这个阶段,信息系统面临的接触风险、变动风险增多,风险的损害、频度加大,因此,在信息系统审计与测试时,应重点关注如下问题: 一、审计与测试应以自评模式为主,适当借助专业安全公司力量,而不能过于依赖外部审计公司。目前保险公司应对信息系统风险的主要措施是服务外包,一方面通过专业公司或软件利用先进、成熟的技术来降低系统风险,包括实体安全控制(主要是灾难备份),系统入侵防范控制、数据加密技术、防病毒技术等;另一方面借助外部审计的力量对系统的安全性、可靠性进行定期评测。但无论采用多么先进的措施,如果保险公司内部管理不到位,员工日常工作行为不规范,很容易触发信息系统风险。同时,保险公司业务变化、人员流动较快,信息系统经常进行调整,这就要求信息系统审计与测试必须日常化、频繁化,且部分核心或机密的业务与资料更应减少系统外的机构或人员的接触机会,因此,构建系统科学的管理体系、加强信息系统的自我评测是保证信息系统安全的首要环节。 二、必须及时对变化后的系统进行审计与评估,以保证其仍能安全可靠的运行。信息系统处于多变的环境中,其构成要素不断发生变化,这些变化来源于服务器、操作系统的更新,防火墙、杀毒软件的升级,甚至员工变动等,他们本身可能并不存在问题,但与系统融合时可能会加大系统风险。如新录用员工,素质、道德能满足招聘条件,但在成为系统的组成元素后可能会由于经受不住诱惑、不能不断提高自身专业能力等而使系统面临风险。再如专业的防火墙、杀毒软件在融入系统时可能会对系统的正常运行产生干扰。在应对这些频繁、多样的变化时,原有的安全防范措施必须不断调整,其调整的效果必须及时评测。 三、加强信息系统的事前、事中控制能力。目前审计与测试措施多数是通过验证系统处理的结果来推导系统风险发生与否,是事后控制的安全防范措施,而保险信息系统发展到网上保险、CRM阶段后,来自外部的风险增加,一旦发生,只能依靠法律追讨或内部消化等手段应对,因此,必须加强信息系统的事前、事中控制。上述方法中,可以通过加强对整体测试法、受控处理法和程序追踪法的研究,在业务、操作不符合相关要求时,及时制止和修正,以避免风险的发生。