金融行业是现代服务业的重要组成部分,它通过沟通全部社会的经济运动而成为现代经济的核心。
近年来,随着金融信息化过程的不断推动,信息技巧在金融业务中起着越来越重要的作用,越来越多的金融业务流程依附信息技巧。现代金融行业在组织结构、业务流程、业务开辟以及客户服务等方面,日益体现出以知识和信息为基础的特点。但随着信息系统在金融行业业务运营中的作用越来越重要,金融行业信息系统所面临的要挟和风险也越来越大,外部黑客或不法分子虎视眈眈,内部违规或犯法事件正呈上升趋势。
据CSI盘算机犯法调查,在有预谋的信息犯法中,80%以上是内部人员作案。要想基本解决内部人员违规或作案问题,进而完善信息科技内部把持系统,只有加强信息科技审计制度才是治本之法。
安全审计产品安排在金融行业的价值所在
据懂得,目前缺乏有效的审计手段是信息科技监管所面临的最大问题,“服务在网内,监管在网外”,数据在信息系统内被每秒上千次的主动化处理,而审计时却只能靠人工进行检查,检查的范畴、深度等都非常有限,这使得审计监管的力度和深度难以保证,也是很多违规或犯法事件产生很长时间后才被发明重要原因之一。
因此,必需要通过安排安全审计产品,实时监测数据在信息系统内的操作,发明违规操作立即报警,并保存记录操作过程以备将来查询取证,实现“服务在网内,监管在网内”的目标,从而使得信息科技内控系统进一步完善。
除此之外,国家、金融监管机构在信息科技监管请求中也都明白提出要实现安全审计功效。国家等级保护相干标准中请求二级以上信息系统中的网络层面、主机层面和利用层面均请求进行安全审计,同时也明白请求了审计的范畴、审计内容等。银监会19号文中也明白提出“把持所有生产系统的运动日志,以支撑有效的审计、安全论证分析和预防讹诈”。国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也请求对用户行动、系统操作进行审计。
对于安全审计产品而言,其通过对IT系统中相干信息的收集、分析和报告,来判定现有IT安全把持的有效性,检查IT系统的误用和滥用行动,验证当前安全策略的合规性,获取犯法和违规的证据。
那么,总体来说,安排安全审计系统能够带来什么样的价值呢?
(1)满足合规性请求,顺利通过IT审计
目前,越来越多的单位面临一种或者几种合规性请求。比如,在美国上市的公司及其下属分子公司就面临SOX法案的合规性请求;而商业银行则面临Basel协议的合规性请求;政府的行政事业单位或者国有企业则有遵守等级保护的合规性请求。
安全审计系统有助于完善组织的IT内控与审计系统,从而满足各种合规性请求,并且使组织能够顺利通过IT审计。
(2)有效减少核心信息资产的损坏和泄漏
对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个要害系统上(如数据库服务器、利用服务器等),通过应用安全审计系统,能够加强对这些要害系统的审计,从而有效地减少对核心信息资产的损坏和泄漏。
(3)追踪溯源,便于事后追查原因与界定义务
审计监控系统能够完整的诠释义务认定系统。通过稳固而成熟的审计技巧,可以建立起一个行动不可抵赖、数据可靠,完整并且强有力的义务认定系统。
通过从不同层面对支付系统中各种设备的操作和管理行动,包含本地操作和远程操作的综合审计,可以很好的将上述行动记录下来,并且长时间保存,可以达到很好的达到审计监控目标,从而有效进行义务认定。
(4)实现独立审计与三权分立,完善IT内控机制
从内控的角度来看,IT系统的应用权、管理权与监督权必须三权分立。在三权分立的基础上实行内控与审计,有效地把持操作风险(包含业务操作风险与运维操作风险等)。安全审计实现独立的审计与三权分立,完善IT内控机制。
相关阅读