前言
根据《证券基金经营机构信息技术管理办法》规定,证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计,频率不低于每三年一次。为协助各证券基金经营机构执行监管规定,上海源泰律师事务所现推出IT审计服务。我们为各机构提供全业务、全流程的IT审计服务,并根据审计结果提供后续跟踪和持续改进的建议。审计范围涵盖了信息技术治理、合规与风险管理、信息系统安全、数据治理等多个关键领域。源泰根据多年来证券基金经营机构合规有效性项目经验,携手专业IT审计团队,遵循行业最佳实践,结合实际情况,助力证券基金经营机构全面、深入审视IT风险,保障业务稳健运营。
服务介绍如下:
审计的对象
IT审计服务涵盖证券基金行业的信息技术治理、信息技术合规与风险管理、信息系统安全、数据治理、应急管理、信息技术服务机构及监督管理等。审计的对象包括:
▪ IT信息系统,包括硬件设施、软件系统、网络架构等
▪ 与业务运营相关的所有电子数据和信息处理流程
▪ 第三方服务提供商的系统和数据,如涉及公司业务外包或合作的情况
审计的范围
对证券基金行业的关键业务系统和数据输入、处理、输出及存储等流程进行全面审计。
▪ 资金交易:包括交易订单处理、资金清算、交易数据记录等功能的信息系统
▪ 投资管理:涉及投资组合管理、风险评估与控制、投资决策支持等关键环节的系统
▪ 客户关系管理:客户资料维护、客户交易记录查询、客户服务支持等功能的系统
参考标准依据
审计人员在审计过程中,会遵守国家关于信息系统审计的法律法规要求,参照国际信息系统审计标准。确保审计服务的专业性和国际化水平,遵循行业最佳实践,结合实际情况,制定切实可行的审计方案。
法律法规:
▪ 中华人民共和国网络安全法
▪ 中华人民共和国数据安全法
▪ 中华人民共和国个人信息保护法
▪ 中华人民共和国密码法
政策监管:
▪ 证券期货业网络和信息安全管理办法
▪ 证券基金经营机构信息技术管理办法
▪ 证券期货业网络安全事件报告与调查处理办法
标准:
▪ GB/T 22239 2019 信息安全技术 网络安全等级保护基本要求
▪ GB/T 35273 2020 信息安全技术 个人信息安全规范
▪ JR/T 0146.6-2016 证券期货业信息系统审计指南 第6部分:基金管理公司
▪ JR/T 0250 2022 证券期货业数据安全管理与保护指引
▪ JR/T 0060-2021 证券期货业网络安全等级保护基本要求
▪ JR/T 0059-2010 证券期货经营机构信息系统备份能力标准
▪ JR/T 0099-2012 证券期货业信息系统运维管理规范
▪ ISO/IEC 27001 2022 信息安全,网络安全与隐私保护 信息安全管理体系要求
▪ ISO/IEC 27701 2019 安全技术 ISO/IEC 27001和ISO/IEC 27002的隐私信息管理 扩展要求与指南
▪ 公司内部信息技术与安全管理要求
全面审视企业IT风险,明确关键审计领域
针对审计标准和参考依据,从符合性和有效性两个方面,针对信息系统的以下领域进行审计。
重点审计领域一:IT治理体系
1.IT治理与组织架构现状及效果评估
内部控制与监督机制:评估内部控制体系完整性,IT监督组织设置与职责分配情况,风险评估工作执行情况。
组织配置与培训:检查专业的IT人员的配置情况,IT培训计划制定及执行情况,涵盖技术、管理、安全等多个方面。
IT治理与组织架构:评估IT治理框架完整性,IT治理实施计划的执行效果,IT治理的实施效果,发现问题并采取改进措施,IT治理体系的持续优化效果
2.供应链管理
需求管理:针对信息技术相关的硬件设备、软件产品和服务采购需求的形成过程,分析管理要求的完整性、合理性。
供应商选择与合作:在选择供应商以及维护合格供应商方面,是否制定明确的管理要求并按要求执行。
风险管理与安全管控:是否建立供应商安全控制机制,识别潜在的风险因素,是否定期进行供应链安全风险评估,并根据评估结果采取相应处置措施等。
3.业务连续性保障与风险管理
业务连续性保障:评估是否建立了完善的业务连续性计划,是否建立关键业务系统的备份与恢复机制,以保障在发生故障时能迅速恢复业务运作。
风险评估与应对策略:审查是否全面识别了业务运作过程中面临的主要风险,是否对各项风险进行了量化评估,并制定相应的风险应对策略和措施。检查风险应对策略是否充分考虑了公司实际情况,是否具有可操作性和针对性。
4. 应急预案制定及演练情况
应急预案体系:审计应急预案体系的完备性。
应急演练实施:核查应急演练的开展情况。
应急响应能力:评估在实际突发事件中的应急响应能力。
重点审计领域二:技术架构
5.信息系统基本情况梳理
分析信息系统架构设计所采取的原则、技术标准、安全标准。
6.基础设施与网络安全保障
7.数据备份与恢复能力评估
数据备份策略:审计数据备份策略的制定和实施情况。
数据恢复测试:通过实际测试验证数据恢复能力。
灾备中心建设:评估灾备中心的建设情况。
8.应用系统开发与维护审计
应用系统开发生命周期管理:审查系统开发过程中的需求分析、设计、编码、测试等关键阶段,确保符合行业规范。
代码安全与性能审计:对系统代码进行安全检查,识别并修复潜在的安全漏洞,同时评估代码性能,提出优化建议。
漏洞排查、整改和验证工作:评估是否定期开展信息系统漏洞排查工作,检查是否建立了漏洞排查整改的闭环管理机制。审查漏洞整改工作的及时性和有效性,包括漏洞修复方案的制定、实施和验证等环节。
系统维护与更新策略:检查系统维护流程、更新策略及执行情况,确保系统稳定、安全地运行。
9. 监控预警机制实施效果评价
技术与管理机制:评估是否建立了有效的监控预警机制,以及时发现和应对潜在风险。
功能完整性:检查监控预警系统是否覆盖了公司所有关键业务环节,是否具备实时监测、异常报警等功能。
效率及效果:分析监控预警机制在实际运行中的效果,包括报警准确率、响应速度等方面。
重点审计领域三:数据治理
重点审计领域四:合规性与法律遵循性
后续跟踪监测及持续改进
总结,信息审计的意义与重要性
提升信息系统合规水平:通过审计服务,提高IT信息系统的合规性,降低违规风险。
强化信息技术风险管控与信息安全保障能力:通过审计发现及整改,完善风险管理体系,提高数据安全和信息安全保障能力,提升IT信息系统的整体性能和运营效率,确保业务稳定发展。
提升企业市场竞争力:通过优化IT信息系统,助力在产品创新、服务创新方面取得更多突破,提升市场竞争力。
