證券有限責(zé)任公司信息技術(shù)部稽核審計(jì)規(guī)程模版

1、證券有限責(zé)任公司信息技術(shù)部審計(jì)程序第一章審計(jì)目標(biāo)和范圍第一節(jié)一般規(guī)則第一條為全面了解xx證券信息安全現(xiàn)狀，揭示xx證券信息安全管理中存在的不足和問題，根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、信息安全等級(jí)保護(hù)管理辦法、信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南、信息系統(tǒng)安全保護(hù)等級(jí)基本要求、信息系統(tǒng)安全保護(hù)等級(jí)實(shí)施指南、信息系統(tǒng)安全等級(jí)保護(hù)測評準(zhǔn)則、證券公司集中交易安全管理技術(shù)指引和xx證券的相關(guān)規(guī)章制度和實(shí)施細(xì)則以及國際慣例，提出促進(jìn)信息安全管理的改進(jìn)建議。第二條本規(guī)定適用于xx證券有限責(zé)任公司審計(jì)與審計(jì)部開展的信息技術(shù)現(xiàn)場日常審計(jì)，其他形式的審計(jì)可以借鑒。第三條本規(guī)定所稱現(xiàn)場例行審計(jì)原則上每年進(jìn)行一

2、次初審，每次審計(jì)的審計(jì)周期最遲為一年，部分審計(jì)內(nèi)容應(yīng)根據(jù)需要適當(dāng)延長。第四條本條例所稱信息技術(shù)安全審計(jì)，涵蓋公司信息技術(shù)部門、主要業(yè)務(wù)部門、職能部門及其業(yè)務(wù)部門管轄的信息資產(chǎn)。第五條公司各部門、銷售部門應(yīng)遵守本制度，審計(jì)部門和人員應(yīng)按照本制度履行職責(zé)。第二節(jié)審計(jì)機(jī)構(gòu)和人員第六條審計(jì)部門應(yīng)當(dāng)配備與承擔(dān)的審計(jì)任務(wù)相適應(yīng)的內(nèi)部審計(jì)人員。信息技術(shù)安全審核小組應(yīng)有一名組長，至少有兩名或兩名以上成員。第七條公司直屬部門及其下屬銷售部門應(yīng)根據(jù)實(shí)際情況設(shè)置兼職審計(jì)師，并接受審計(jì)與審計(jì)部的業(yè)務(wù)指導(dǎo)和管理。第八條審計(jì)人員應(yīng)具有高度的責(zé)任感、敬業(yè)精神和合作精神，熟悉各項(xiàng)政策法規(guī)，具有較高的審計(jì)和會(huì)計(jì)業(yè)務(wù)水平及必要的

3、專業(yè)知識(shí)。第九條審計(jì)人員必須依法審計(jì)，忠于職守，客觀公正，實(shí)事求是，廉潔自律，保守秘密，不得濫用職權(quán)，徇私舞弊。第十條審計(jì)人員依法行使職權(quán)受法律保護(hù)，任何單位、部門和個(gè)人不得打擊和報(bào)復(fù)。第二章審計(jì)程序第一節(jié)信息系統(tǒng)檢查第十一條系統(tǒng)設(shè)置是否有信息安全管理體系、信息技術(shù)部制度、信息技術(shù)部工作報(bào)告制度和信息技術(shù)部檔案管理制度；第二節(jié)信息技術(shù)部人事管理審計(jì)第十二條崗位設(shè)置1、是否成立委員會(huì)或領(lǐng)導(dǎo)小組指導(dǎo)和管理信息安全工作，最高領(lǐng)導(dǎo)是否由本單位主管領(lǐng)導(dǎo)任命或授權(quán)；2.是否設(shè)立專職安全管理機(jī)構(gòu)；組織內(nèi)的部門設(shè)置是什么，部門之間的職責(zé)分工是否明確；3.安全管理各方面是否有專人負(fù)責(zé)，設(shè)置了哪些崗位(如安全主管

4、、安全管理各方面負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位)，各崗位的職責(zé)分工是否明確，各崗位的職責(zé)是什么？4.查看部門和崗位職責(zé)文件，看文件是否明確了安全管理機(jī)構(gòu)的職責(zé)，組織內(nèi)各部門的職責(zé)和分工，部門職責(zé)是否涵蓋物理、網(wǎng)絡(luò)、系統(tǒng)等各個(gè)方面；檢查文件是否明確設(shè)置了安全主管、安全管理各方面負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個(gè)崗位，各崗位職責(zé)是否明確；檢查文件是否明確規(guī)定了每個(gè)崗位人員的技能要求；5.檢查信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組是否有本單位主管領(lǐng)導(dǎo)給最高領(lǐng)導(dǎo)的授權(quán)書；6.檢查信息安全管理委員會(huì)的職責(zé)文件，看它是否清楚地描述了委員會(huì)的職責(zé)及其最高領(lǐng)導(dǎo)職位的職

5、責(zé)；7.檢查安全管理部門和信息安全管理人員是否2.查看人員配備要求管理文件，看重要崗位是否配備了相應(yīng)的人員，職責(zé)是否明確。您是否實(shí)施定期輪換并指定輪換周期、輪換周期有多長以及輪換程序如何？3、確認(rèn)安全員是否是專職人員。第十四條人員聘用1.詢問招聘人員時(shí)對人員條件的要求，以及目前聘用的安全管理和技術(shù)人員是否有能力完成與其職責(zé)相應(yīng)的工作；2.詢問是否對受聘人員的身份、背景、職業(yè)資格和資格進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行評估，聘用后與他們簽訂保密協(xié)議，并說明其工作職責(zé)；3.詢問從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選取，是否要求他們簽署崗位安全保障協(xié)議，是否定期進(jìn)行關(guān)鍵崗位的信用審核，審核周期有多長；

6、4.檢查是否說明聘用人員應(yīng)具備的條件，如學(xué)歷和學(xué)位要求、技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平、管理人員應(yīng)具備的安全管理知識(shí)等；第十五條離職人員1.詢問是否及時(shí)終止下班人員的所有訪問權(quán)限，并取回各種身份文件、鑰匙、徽章等。以及組織提供的軟硬件設(shè)備等。2.詢問移交程序包括什么，被移交人員在離開前是否需要承諾相關(guān)的保密義務(wù)；3.檢查離崗人員的管理文件，看是否規(guī)定了調(diào)動(dòng)程序和休假要求；4.檢查是否有歸還身份證件和設(shè)備的記錄；5.檢查保密承諾文件，看是否有被移交人員的簽名。第十六條人員考核1、詢問是否有人負(fù)責(zé)定期評估各崗位人員的安全技能和安全知識(shí)；2.詢問各崗位人員的考核情況，考核周期有多長，考核內(nèi)容有哪些，是

7、否全面；3.詢問對違反安全政策和法規(guī)者的紀(jì)律措施；4.查看考核記錄，查看記錄的考核人員是否包括各崗位人員，考核內(nèi)容是否包括安全知識(shí)和安全技能等。檢查記錄日期是否與考核周期一致。第三節(jié)實(shí)體安全合規(guī)性審核第十七條機(jī)房位置管理1、計(jì)算機(jī)房使用面積不得小于30平方米；2.計(jì)算機(jī)房應(yīng)安裝獨(dú)立的空調(diào)設(shè)備；3.計(jì)算機(jī)房的操作間應(yīng)與設(shè)備間分開；4.機(jī)房和辦公空間是否有設(shè)計(jì)/驗(yàn)收文件；5.機(jī)房內(nèi)的設(shè)備是否放置在不容易被無關(guān)人員看到的隱蔽位置。第十八條機(jī)房環(huán)境管理1.防水防潮：詢問機(jī)房建設(shè)中是否有防水防潮措施；如果機(jī)房內(nèi)安裝了水管，是否避免穿過屋頂和活動(dòng)地板下，穿過墻壁和地板的水管是否采取了保護(hù)措施；在高濕度區(qū)域

8、或季節(jié)，是否有人負(fù)責(zé)機(jī)房的防水防潮事宜，并配備除濕裝置；房間是否有建筑防水防潮的設(shè)計(jì)/驗(yàn)收文件？2.防火：詢問機(jī)艙是否配備消防設(shè)備，是否配備自動(dòng)火災(zāi)探測、自動(dòng)報(bào)警和自動(dòng)滅火的自動(dòng)滅火系統(tǒng)，是否有專人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行，機(jī)艙消防管理制度和消防預(yù)案是否制定，是否進(jìn)行消防培訓(xùn)；3.防靜電：詢問機(jī)房是否采取接地等必要的防靜電措施，是否有控制機(jī)房濕度的措施；強(qiáng)靜電區(qū)域的機(jī)房是否采取了有效的防靜電措施；如果存在靜電，是否采取措施消除測試中的靜電5.防盜和防破壞：(1)詢問采取了哪些保護(hù)措施來防止設(shè)備和介質(zhì)的丟失；(2)詢問主要設(shè)備的放置位置是否安全可控，設(shè)備或主要部件是否固定并做好標(biāo)記，通信電纜是否敷設(shè)

9、在隱蔽的地方；(3)是否設(shè)置冗余或并行通信線路；(4)安裝在機(jī)房的防盜報(bào)警系統(tǒng)和監(jiān)控報(bào)警系統(tǒng)是否定期維護(hù)和檢查；(五)在媒體管理中，是否分類標(biāo)識(shí)，是否存儲(chǔ)在媒體庫或檔案館；(6)詢問是否有安全保護(hù)措施，如審批程序、內(nèi)容加密、對工作環(huán)境外的設(shè)備或存儲(chǔ)介質(zhì)進(jìn)行專項(xiàng)檢查等；(7)檢查機(jī)房防盜報(bào)警設(shè)施是否正常運(yùn)行，并檢查運(yùn)行和報(bào)警記錄；(8)檢查機(jī)房內(nèi)的攝像頭、傳感器等監(jiān)控報(bào)警系統(tǒng)是否運(yùn)行正常，檢查運(yùn)行記錄、監(jiān)控記錄和報(bào)警記錄；(9)檢查是否有設(shè)備管理系統(tǒng)文件、通信線路布線文件、媒體管理系統(tǒng)文件、媒體列表和使用記錄、機(jī)房防盜報(bào)警設(shè)施的安全合格資料、安裝測試/驗(yàn)收報(bào)告；(10)檢查文件中的規(guī)定是否與實(shí)際

10、情況相符，如設(shè)備放置位置、設(shè)備或主要部件保護(hù)、通信電纜敷設(shè)等。6.防雷：詢問采取了哪些保護(hù)措施防止重要設(shè)備被雷擊損壞，機(jī)房大樓是否裝有防雷裝置，是否通過了國家有關(guān)部門的驗(yàn)收或技術(shù)檢查；詢問機(jī)房的計(jì)算機(jī)系統(tǒng)接地是否設(shè)置了專用接地線；電源和信號(hào)線是否增加合格的防雷裝置，以避免感應(yīng)雷擊；7.照明：關(guān)鍵點(diǎn)：應(yīng)急照明裝置8.防塵：主要是在：地板的天花板上刷防塵漆9.防磁：重點(diǎn)：單人不間斷電源房10.防鼠：各種進(jìn)線點(diǎn)是否采取密封措施，電纜和電線是否敷設(shè)在金屬橋架、軟管、阻燃管或槽板內(nèi)。第十九條供電系統(tǒng)管理1.電源線是否與其他電源分開，是否設(shè)置了短期備用電源設(shè)備(如不間斷電源)；2.供電線路上是否設(shè)置穩(wěn)壓器

11、和過壓保護(hù)設(shè)備；3.建立備用電源系統(tǒng)(如備用發(fā)電機(jī))4.是否有獨(dú)立于一般照明用電的專用供電和配電線路5.是否使用雙向電源，當(dāng)雙向電源切換時(shí)，計(jì)算機(jī)系統(tǒng)能否正常供電；6.檢查機(jī)房是否有供電安全設(shè)計(jì)/驗(yàn)收文件，并檢查文件是否表明計(jì)算機(jī)系統(tǒng)單獨(dú)供電。7.檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過壓保護(hù)設(shè)備和短期備用電源設(shè)備是否運(yùn)行正常，檢查電源電壓是否正常；8.機(jī)房是否配備不間斷電源設(shè)備，能連續(xù)供電4小時(shí)以上9.是否為備用發(fā)電機(jī)，測試備用電源系統(tǒng)(如備用發(fā)電機(jī))是否能正常啟動(dòng)并在規(guī)定時(shí)間內(nèi)供電。第二十條機(jī)房門禁管理1。檢查機(jī)房安全管理系統(tǒng)；2.機(jī)房門和設(shè)備室門平時(shí)是否關(guān)閉；3.機(jī)房是否劃分管理區(qū)

12、域，每個(gè)區(qū)域是否有特殊的管理要求；4.檢查機(jī)房出入口是否有專人值班，詢問機(jī)房值班人員，詢問是否認(rèn)真執(zhí)行機(jī)房出入管理制度，記錄進(jìn)入機(jī)房人員；5.檢查訪客進(jìn)入機(jī)房是否有審批記錄；6.檢查不同的機(jī)房是否設(shè)置在不同的區(qū)域或有效的物理隔離裝置(如隔墻等)。)設(shè)置在同一計(jì)算機(jī)房的不同區(qū)域之間；7.檢查電子門禁系統(tǒng)是否配置在機(jī)房或2.檢查是否有滿足基本業(yè)務(wù)需求的邊界和主要網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)接入和核心網(wǎng)的帶寬是否能滿足業(yè)務(wù)高峰期的需求，是否沒有帶寬瓶頸的設(shè)計(jì)或描述；3.檢查是否有根據(jù)工作職能、各部門的重要性和所涉及信息的重要性劃分不同子網(wǎng)或網(wǎng)段的設(shè)計(jì)或說明，并根據(jù)方便管理和控制的原則為每個(gè)子網(wǎng)和網(wǎng)段分配地址段；4

13、.檢查對重要網(wǎng)段采取了什么保護(hù)措施，是否采取了綁定網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址的措施(如對重要服務(wù)器綁定ip地址和mac地址)；5.對重要網(wǎng)段進(jìn)行測試，驗(yàn)證網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址的綁定措施是否有效(如嘗試使用未綁定地址，看是否可以正常訪問等)。)；6.檢查網(wǎng)絡(luò)拓?fù)鋱D，看它是否與當(dāng)前操作一致；7.測試網(wǎng)絡(luò)拓?fù)?，通過網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)和繪制工具驗(yàn)證實(shí)際網(wǎng)絡(luò)拓?fù)涫欠衽c網(wǎng)絡(luò)拓?fù)鋱D一致；8.測試服務(wù)終端和服務(wù)服務(wù)器之間的訪問路徑，使用路由跟蹤工具驗(yàn)證服務(wù)終端和服務(wù)服務(wù)器之間的訪問路徑是否安全。第二十二條網(wǎng)絡(luò)接入管理1.檢查邊界網(wǎng)絡(luò)設(shè)備，查看它是否可以設(shè)置會(huì)話不活動(dòng)的時(shí)間，或者在會(huì)話結(jié)束后自動(dòng)終止網(wǎng)絡(luò)連接；檢查您

14、是否可以設(shè)置網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的最大數(shù)量；2.檢查主網(wǎng)絡(luò)設(shè)備，查看是否有訪問控制措施(如vlan、訪問控制列表和媒體訪問控制地址綁定)來控制便攜式和移動(dòng)設(shè)備訪問網(wǎng)絡(luò)；3.測試邊界網(wǎng)絡(luò)設(shè)備，通過嘗試訪問未經(jīng)授權(quán)的資源(如使用掃描工具進(jìn)行檢測等)，驗(yàn)證訪問控制措施是否能有效控制未經(jīng)授權(quán)的訪問行為。)。第二十三條網(wǎng)絡(luò)安全管理1.檢查邊界和主要網(wǎng)絡(luò)設(shè)備，看是否有實(shí)時(shí)報(bào)警(如語音、電子郵件、短信等)。)可以以特定的方式賦予特定的事件；2.檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否為授權(quán)用戶提供了瀏覽和分析數(shù)據(jù)的特殊工具(如分類、排序、查詢、計(jì)數(shù)、分析和合并記錄等)。)，并可以根據(jù)需要生成報(bào)告；3.測試邊界和主要網(wǎng)

15、絡(luò)設(shè)備，通過嘗試生成一些重要的安全相關(guān)事件(如認(rèn)證失敗等)，驗(yàn)證安全審計(jì)的覆蓋范圍和記錄是否符合要求。)由某個(gè)用戶執(zhí)行；4.為了測試邊界和主網(wǎng)絡(luò)設(shè)備，系統(tǒng)用戶可以嘗試刪除、修改或覆蓋審計(jì)記錄，以驗(yàn)證安全審計(jì)的保護(hù)是否符合要求。5.安全管理員是否保留安全管理日志，該日志是否包括網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)系統(tǒng)中的用戶行為。第二十四條邊界完整性檢查1.檢查邊界完整性檢查設(shè)備的運(yùn)行日志，看其運(yùn)行是否正常(看其是否持續(xù)監(jiān)控網(wǎng)絡(luò))；第二十五條網(wǎng)絡(luò)入侵檢測1.檢查是否有專人負(fù)責(zé)網(wǎng)絡(luò)入侵檢查，是否有網(wǎng)絡(luò)入侵，是否有網(wǎng)絡(luò)入侵日志，日志是否包括入侵的源ip、攻擊的類型、攻擊的目的、攻擊的時(shí)間等。2、是否定

16、期進(jìn)行安全入侵檢測，監(jiān)控網(wǎng)絡(luò)和系統(tǒng)用戶登錄情況；3.檢查網(wǎng)絡(luò)入侵防御設(shè)備，查看其制造商是否是正規(guī)制造商，以及規(guī)則庫是否是最新的；4.檢查網(wǎng)絡(luò)入侵防御設(shè)備是否能夠檢測到以下攻擊：端口掃描、暴力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、ip碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。5.測試網(wǎng)絡(luò)入侵防御設(shè)備，驗(yàn)證其監(jiān)控策略是否有效(如模擬攻擊行為，檢查網(wǎng)絡(luò)入侵防御設(shè)備的響應(yīng))；6.測試網(wǎng)絡(luò)入侵防御設(shè)備，驗(yàn)證其報(bào)警策略是否有效(例如，模擬攻擊動(dòng)作，檢查網(wǎng)絡(luò)入侵防御設(shè)備是否能夠?qū)崟r(shí)報(bào)警)。第二十六條網(wǎng)絡(luò)設(shè)備管理1。業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)是否物理隔離；2.詢問網(wǎng)絡(luò)設(shè)備密碼策略是什么；3.檢查邊界和主網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，看它們是否對認(rèn)證