[摘要]本文以人民银行应用等级保护体系规范内部信息技术审计实践为基础,针对设计复杂多样、部署年代不同、应用范围各异的信息系统,探讨审计思路和方法,力求通过等级保护体系确定审计对象的安全级别、审计依据、实施尺度,最终达到加强信息系统安全性,保障业务连续性,提高审计成果转化率的效果。
[关键词]信息技术,审计,等级保护,成果
近年来,人民银行对信息系统的合规性、可靠性、有效性和安全性日益重视。信息技术审计作为一种独立的审计类型,在提高各级分支机构信息系统风险意识、促进安全管理等方面发挥了较好的作用。然而,由于人民银行机构众多,业务系统功能各异,信息化环境差异较大,给信息技术审计带来一定难度。对此,本文提出以“计算机信息系统安全等级保护标准”为主要依据开展人民银行信息技术审计的方法,有效解决信息技术审计中对象繁杂多样、审计标准难统一、审计实施尺度难掌握、审计成果难推广等问题,切实发挥人民银行信息技术审计对业务工作的监督、建议及促进作用。
一、人民银行信息技术审计现状
人民银行信息技术审计是对行内信息系统、网络、IT基础设施等信息化对象的检查评估。为规范信息技术审计,人民银行制定了《关于加强计算机信息系统内部审计工作的指导意见》《中国人民银行信息技术审计规范》等规章制度,明确了信息技术审计目标是确保信息系统的合规性、可靠性、有效性和安全性,审计范围是人民银行及所属分支机构、直属企事业单位。
为更加有效地进行信息技术审计,人民银行内审司研究制定了信息技术审计项目清单,包括科技管理、基础设施、应用系统和数据中心四大类,并重点对应用系统类项目建立了信息技术风险评估模型,为后续信息技术审计提供依据
二、人民银行信息技术审计面临的问题
(一)审计对象繁杂
人民银行总行及其分支机构信息系统种类繁多,有总行统一部署,关系国计民生的大小额支付系统、会计核算系统、国库系统、征信系统、人民币结算账户等信息系统;有部署在省会中心支行服务于全省金融机构的信息系统;还有面向内部事务的自建系统,这些信息系统不能一概而论,需根据业务连续性要求区别审计。另外,人民银行各级分支机构网络系统及中心机房也应根据不同安全级别、影响范围,进行差异化审计。复杂众多的审计对象给审计前期准备工作带来一定的困难。
(二)制度规范不一
人民银行信息技术领域涵盖多个部门,增加了信息技术审计的难度。科技司负责信息系统的立项审批,规范制定;金融电子化公司负责信息系统的开发建设、部署实施;金融信息中心负责总行部署的信息系统运行维护、全国网络和机房管理;全国各分支机构负责各自的信息化建设、系统运行维护、机房和网络管理。除了以上职责分工,由于人民银行业务系统建设标准不一、部署年代不同、运行环境各异,势必产生数量众多的制度规范,加上各司局制度规范交换不畅,各自执行标准不统一,给信息技术审计带来一定的挑战,如何根据审计对象确定合适的审计依据是问题的关键。
(三)审计实施较难
基于以上两点,审计实施时会遇到以下三类审计困境:审计对象部署年代不同,部署时采用的安全标准存在差异,审计时是否按统一标准来要求;审计项目中出现的信息系统应用范围不同,分为行内使用、商业银行使用、公众使用等,审计时是否根据影响范围不同实施差异化审计标准;审计项目中出现的信息系统应用层级不同。例如,总行与省会、地市、县支行的机房和网络等重要性不同,是否按层级和重要性改变审计标准。以上问题对审计人员的业务能力提出很高要求,而大多数审计人员不具备信息技术专业背景,即使具备专业背景,以上审计对象如何区别对待、应采用那些相应的审计依据,在审计实施中也较难把握。
(四)成果转化不易
面对信息技术审计的制度规范繁多、涉及范围较广、审计对象各异,审计人员可能会提出过度或无法整改的建议,给后期的审计成果转化带来困难。此外,审计对象的特异性使信息技术审计的建议一般只对应某个中心支行、某种信息系统或机房环境适用,不能适用于全国,难以大范围统计汇总审计情况,不易形成普适性结论,较难具备审计成果在全国范围内推广的条件。
三、等级保护在信息技术审计中的应用
等级保护是结合国际信息安全标准和我国基本国情,在国家层面对各个行业提出的安全要求,主要从信息安全的共性出发,从整体上引导和推动各行业的信息安全建设,使我国信息安全建设更加突出重点和统一规范。近年来,人民银行已对全行信息系统进行了梳理摸底,全面掌握了人民银行信息系统的数量、部署范围、运行环境、使用对象、承载业务种类、数据相关度及运维管理等情况,要求全行范围按《中国人民银行信息系统安全等级保护定级和备案流程实施办法》对信息系统进行定级备案,做好信息安全等级保护定级基础工作。同时,根据国家等级保护标准并参考人民银行具体情况,建立人民银行等级保护制度体系。内审部门在进行信息技术审计时可以直接利用人民银行等级保护体系,按审计对象的安全等级,选择相适应的等级保护标准作为依据,确定审计实施尺度,统计汇总审计结果。
(一)划分安全等级,区别审计对象
目前,人民银行按等级保护要求对全行36家分支行和4个中心开展了等级保护工作,确定人民银行总行具有8个三级、32个二级业务系统以及若干个一级系统。省会分支机构网络系统定为三级,其他系统按《中国人民银行科技司关于发布总行统一推广的非全国联网运行的信息系统及安全等级保护定级建议汇总表的通知》确定,地市分支机构网络系统定为二级,其他暂定为一级。
(二)依据安全等级,差别化审计标准
利用等级保护定级标准,审计人员可以快速准确地认定不同审计对象的重要性,按相应的人民银行安全等级标准进行审计。
第一,信息系统审计实施时将《人民银行信息系统信息安全等级保护实施指引》《人民银行信息安全综合规范》等作为审计标准。例如,三级系统与二级系统在物理安全、网络安全、主机安全、应用安全、数据库安全等方面的要求是不同的。
第二,不同安全等级的网络应根据《人民银行信息安全综合规范》《信息安全技术网络基础安全技术要求》(GB/T20270-2006)在身份鉴别、自主访问控制、标记、强制访问控制、安全审计、用户数据的完整性、用户数据的保密性、抗抵赖性、网络安全监控等方面的要求进行审计。
第三,在对机房的审计中,除总行机房遵照A类机房标准、省会中心支行机房遵照B类机房标准、地市中心支行机房遵照C类机房标准外,还要考虑该机房内部署的最高安全等级的信息系统对物理安全技术的要求。例如,省会中心机房除了遵照B类机房标准外,由于其业务网定为三级系统,审计机房时除了参照《人民银行信息安全综合规范》外,还需要参照等级保护相关制度中对第三级“安全标记保护级”的物理环境要求。
(三)基于安全等级,确定审计尺度
信息技术审计实施尺度掌握尤为重要,建议是否准确对审计后期整改影响较大,应避免出现过度整改或无法整改的建议。若根据等级保护对应要求提出审计建议,在一定程度上能减少或避免不准确审计事实的认定。
在机房审计中,如果审计标准制定过高,整改建议会造成不必要的施工改造,此问题在对县(市)级机房的审计中比较突出。人民银行在实施两级数据中心IT架构后,县(市)机房已不承载总行统一部署的业务系统,只运行网络和辅助设备。2015年,科技司已将县(市)级机房建设参照C类机房标准修改为遵照《人民银行县(市)级机房建设技术规范》执行,信息技术审计时应严格把握好机房审计尺度,不依据过高标准给出机房整改建议,使整改成本升高。例如,县(市)级机房可以根据情况确定是否在机房铺设活动地板,如审计事实认定中提出铺设建议,整改工程量相当于新建机房,整改落实较难。所以在信息技术审计中,一定要注意基于等级保护等级来进行审计,在源头上保证适度性,确保提出的审计建议具有较高的可操作性。再如,机房UPS的供电时间,原本为B类机房的标准,若用在C类或以下机房审计中,会造成审计对象在落实审计建议时再次采购UPS电池。
(四)提出精准建议,提升成果价值
在信息技术审计标准不统一的情况下,审计具有地方局限性、项目局限性、审计人员局限性。审计成果不具备普适性和可移植性,不利于从人民银行总行视角掌握信息技术审计普遍情况,造成后期的审计成果转化达不到应有的效果,而以等级保护标准为审计依据可以较好地解决以上问题。不同地区、不同项目、不同的审计人员依据统一的审计标准,得出的结果具有数据可对比性、可参考性和可统计性,能充分挖掘审计数据的价值,从制度、体制和机制层面剖析问题原因,提出解决和预防问题的审计建议,有利于审计成果在全国范围内的转化和应用。
合理利用等级保护体系,能较好地解决信息技术审计中遇到的常见问题,不仅增加了人民银行信息技术审计建议的准确性,而且由于标准统一,等级明确,审计成果具有普适性,能够在较大范围内具有指导意义。
立即询价
