返回
基层央行信息系统审计重点及对策建议-论文.pdf

基层央行信息系统审计重点及对策建议-论文.pdf

ID:54980111

大小:299.95 KB

页数:4页

时间:2020-05-07

基层央行信息系统审计重点及对策建议-论文.pdf_第1页
基层央行信息系统审计重点及对策建议-论文.pdf_第2页
基层央行信息系统审计重点及对策建议-论文.pdf_第3页
基层央行信息系统审计重点及对策建议-论文.pdf_第4页
资源描述:

《基层央行信息系统审计重点及对策建议-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、P栏目编辑:罗2锦0莉14E年—ma·il第:luo6l期02500@163com基层央行信息系统审计重J{l【及对簧建议■中国人民银行景德镇市中心支行熊平兴随着内联网的建立和会计核算及国库会计核算等系统审计的定义:获取并评价证据,来判断信息系统是重要业务系统的全面推广,信息技术已广泛应用于人民否能够保证资产的安全、数据的完整,及有效率地利用银行各项业务。信息技术的运用,一方面提高了,人民银组织的资源并高效地实现组织目标的过程。行的工作效率,另一方面也对人民银行的管理提出了更2.《内部审计具体准则第28号——信息系统审计

2、》高要求,使人民银行内部审计环境发生了巨大变化。第2条指出:信息系统审计是指由组织内部审计机构及人民银行自2000年开展信息系统审计以来,先后人员对信息系统及其相关的信息技术内部控制和流程对中央银行会计核算系统、人民银行货币发行管理信开展的一系列综合检查、评价与报告活动。息系统、国家金库会计核算系统、大额支付系统等重要从上述定义可以看出,信息系统审计的本质是通业务应用系统的使用和运行管理情况,及其系统内部过对系统控制和流程的审计,以判断和评价信息系统资控制功能进行了审计。但是,人民银行信息系统审计依产的安全性、数据的完整

3、性、运行的连续性以及提高组然存在审计内容不合适、重点不突出等问题。因此,探织信息系统的运作效率。人民银行《关于加强计算机信索基层人行信息系统审计的重点,不仅可以提高审计目息系统内部审计工作的指导意见》指出,人民银行计算标的达成率,而且也是提高央行信息系统审计质量的必机信息系统内部审计的目标是促进、增强和维护人民银由之路。行计算机信息系统合规l生、安全性、可靠性和有效性,与上述审计定义本质基本一致。一.信息系统审计的概述(二)信息系统风险分析(一)信息系统审计定义信息系统风险是指信息资产脆弱性被威胁利用而信息系统审计(IS

4、A)目前没有统一的定义,具代表发生信息安全事件的可能性。为了强化信息系统风险管性的定义为以—F2种。理,人民银行各级科技部门每年均要开展信息安全风1.国际信息系统审计与控制组织(ISACA)对信息险评估工作。对于风险评估来说,信息资产、弱点/脆弱性以及威胁是3个关键要素,识别信息资产的弱点/脆弱性和面临的威胁,业界又称风险分析,是风险评估的重要环节。信息系统主要脆弱点有技术性脆弱点(系统、程序、设备中存在的漏洞或缺陷)、操作性脆弱点(配置、操作和使用中的缺陷,人员的不良习惯,数据备份中的缺陷)和管理性脆弱点(策略、程序、

5、规制制度、人员安全意识、组织结构等方面的不足);主要威胁有人员威胁(故意破坏、无意失误)、系统威胁(系统、网络或服务出现的故障)、环境威胁(电源故障、污染、76l救咕弋投稿邮箱:hnfc@21cn.net2014年·第6期栏目编辑-罗锦莉E—maikluol02500@163cornP盘液体泄漏、火灾)、自然威胁(洪水、地震、台风、雷电)。从信息资产的脆弱点、威胁及风险管控措施人手,信息系统生命周期的规划、计划、设计和开发、运行维护、业务连续性管理等阶段,可能出现以下风险。1.规划阶段风险。由于缺乏信息化规划或信息化规划

6、不恰当、需求不合理合规,导致信息化规划与组织战略规划不匹配,出现系统重复建设、信息孤岛等问题,系统建成后不能经济、有效地支持业务发展,影响人行整体目标的实现。2.计划阶段风险。缺乏项目计划或者项目计划不合理,使信息战略规划不能有效落实。3.设计和开发阶段风险。在需求分析和总体设计制、系统监控等方面。总体IT控制环境包括IT战略和规时,没有有效实现业务处理和业务控制需求,选用不科划的制定与实施、IT治理制度体系的建设、科技部门组学、不先进的操作系统、数据库系统等应用环境;没有织结构和关系以及IT管理政策的制定与执行等方面;

7、根据开发系统的交易路径,在运行环境、使用对象、实授权管理控制包括信息系统建设的授权与审批,系统现业务功能、处理数据的敏感性等方面对系统进行风开发各阶段的活动与产生的相应文档,系统变更控制险分析与识别,没有编写安全需求书并进行安全设计;等方面;基础设施控制包括机房物理环境的建设,软件安全设计没有经过审批或独立审核;在开发时没有按(操作系统、数据库系统)及硬件设施(含网络设备)统一的安全规范(如怎样对待内存和不可信数据、数据的采购、管理、维护等方面;信息安全控制包括物理访怎样加密等)进行编写程序代码,导致程序算法不够优问及针

8、对网络、操作系统、数据库、应用系统、个人办化、系统响应时间和吞吐量达不到要求,给系统迁移埋公计算机的身份认证、防病毒、安装补丁和逻辑访问下隐患等问题,系统均不能有效预防和发现错误。管理机制,最常见身份认证访问控制是通过密码或CA4.运行和维护阶段风险。计算机基础设施缺失或认证;系统维护控制包括操作管理制度,系统的日志

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。