根据当前的信息安全管理体系国家标准GB/T 22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。
经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。 为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年发布了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”
金融行业的信息安全审计(Information Security Audit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。 1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。 2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。
3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。 4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。