商业银行信息系统安全审计研究

本文是一篇审计论文，本文通过研究银行信息系统安全审计中的存在的问题，参照COBIT标准建立一套能与国际接轨的、结合实际工作的信息系统安全审计方法和审计流程，从而提高信息系统审计工作的效率和效果，提高审计工作水平，有助于商业银行及时识别和有效控制信息系统风险，完善信息系统安全控制措施，保障商业银行信息系统的安全稳定运行。因此，基于COBIT标准研究商业银行的信息系统安全审计标准和框架体系将具有较大的理论意义和现实意义。

1引言

1.1研究背景及意义
1.1.1研究背景
近几年来，信息科技的迅速发展对商业银行信息化水平产生了重要的影响，其运营模式对信息系统的依赖程度也越来越高。多数银行通过成熟的系统开发技术，构建了覆盖范围广、复杂性高、精密性强且有效的管理信息系统。当前信息化的金融变革给银行业带来了机遇的同时也带来了挑战。随着商业银行信息科技的发展，金融产品的数量和种类迅速增加，数据中心规模变得十分庞大，银行信息系统所承载的功能日趋繁杂，越来越趋向于大型化、网络化和复杂化，而所面临的风险日益增加，且更为隐蔽，银行信息安全问题也变得日益突出，逐渐成为了商业银行的主要经营风险之一，引起银行各监管机构的高度重视。因此，通过加强对商业银行信息系统安全风险的研宄来强化安全风险的识别和控制，对于商业银行提高信息系统安全风险管理工作水平来说有着重要的意义。
国际上巴塞尔协议与萨班斯法案对银行操作风险的控制方面提出了要求，但随着银行信息化程度的提高，传统的监管和控制模式难以应对新的信息科技风险。商业银行信息系统安全审计可以有效预防和控制信息系统安全风险，因此，开展银行信息系统安全审计是加强信息系统安全治理，防范和控制信息系统安全风险的有效手段。
国外一些发达国家在信息化阶段早期就开展了信息系统安全审计。美国在计算机开始实用阶段就实施了信息系统安全审计，并组织成立电子数据处理审计师协会，该协会致力于信息系统安全审计的研究和教育工作。目前，在美国成立的信息系统审计与控制协会是专业指导信息系统审计工作的国际组织，它制定和颁布的信息系统审计准则和审计实践指南，为企业信息技术人员和IT用户提供了一套公认的信息技术控制目标，也在促进IT审计人员信息系统安全审计工作的实施、加强企业内部控制的中起着重要的作用。但是，信息系统安全审计工作在我国的研究尚处在探索阶段，目前国内还没有可借鉴的信息系统审计准则，也没有形成一套能满足信息系统安全性审计需要的专业技术规范。因此，通过借鉴国际先进的IT审计准则和审计方法建立有效的信息系统安全审计体系，构建商业银行信息系统安全审计框架，从而弥补我国信息系统审计研究的不足，成为一个需要讨论和解决的问题。
...........................

1.2研究内容、方法及创新点
1.2.1研究内容
本文对商业银行信息系统安全审计的研究共分为六个部分。
第一部分引言。对本文的研宄背景、研究意义、研究方法以及国内外对相关内容的研究现状进行了综述。
第二部分商业银行信息系统安全风险分析及安全审计必要性。对商业银行信息系统特点以及其安全风险的特点进行了论述，并分析了商业银行实施信息系统安全审计的必要性。
第三部分信息系统安全审计基础理论概述。对信息系统审计的含义做了简要概述，分析了信息系统安全审计目标、范围、方法以及对审计准则和规范进行了论述，比较分析了不同的信息系统审计准则和标准，为本文的研究内容做基础铺垫。
第四部分基于COBIT的信息系统安全审计。概述了COBIT标准控制框架，介绍了COBIT标准在信息系统安全审计中的应用原则，并基于COBIT标准对商业银行信息系统安全控制目标进行了分析。
第五部分C银行总行数据中心信息系统安全审计案例。对总行审计部门审计过程中存在的问题进行分析，并基于COBIT标准对其审计方法和审计流程进行改进。最后，论述了参考COBIT框架下的安全管理成熟度模型来对数据中心信息系统安全管理进行评价，得出审计结论并提出审计建议。
第六部分结论。根据本文的研究内容得出研究结论，分析本文存在的问题与不足。
.........................

2商业银行信息系统安全风险及安全审计必要性

2.1商业银行信息系统的发展
商业银行信息系统的演变是为满足银行信息化的需求，随着信息化的进程而发展起来的。我国商业银行信息技术的发展经历了三个阶段。
第一阶段起步于20世纪80年代，是银行自动化处理阶段。在这一阶段，银行主要采用计算机系统模拟手工操作的模式，是指操作系统在无人工干预的情况下，其电子设备能够通过自动检测、信息处理的方式自动实现对银行业务的分析判断。这种模式极大地提高了银行业务的生产效率，促进了银行业务量的増长。然而，这一阶段仅仅实现了银行业务的办公信息化，对计算机的应用还处于初步的、局部的、较低的水平，信息资源没有得到共享，各个网点之间的网络通信也没有实现。
第二个阶段起始于20世纪90年代，是银行网络通信建设阶段。这个阶段的大部分业务逐步实现了通过计算机处理，网络通信由区域网络建设到全国性的网络建设，初步实现了全国计算机网络的联通，支付清算系统和业务管理系统也进入开发阶段。到了90年代后期，全国各大商业银行纷纷开启数据集中处理模式，建设了全国性的数据中心，实现了业务数据集中处理的运营模式。如中国银行早在2004年建设了五个数据中心，工商银行分别在北京、上海建立了数据中心，还为数据中心建立了灾备中心。数据集中处理是商业银行对技术支持系统的优化，而且改变商业银行传统的管理理念，对银行的传统经营模式提出了新的挑战。新的经营模式，使商业银行将客户资源管理、决策控制、风险管理等纳入企业的战略计划中。
................................

2.2商业银行信息系统的特点
2.2.1信息系统具有较高的集成化程度
信息系统是银行数据信息的载体，跨领域跨区域的数据都集中数据中心的情况已经是现阶段银行业信息系统的普遍架构。以我国某商业银行2015年投产的新一代核心系统架构为例，该系统采用的是“一套业务模型、一套架构、一套实施管理流程”的统一研发模式。其核心系统功能包括业务操作系统层、产品服务系统层、管理决策系统层三个层次。每个系统层又包括若千子系统，如业务操作系统层中就包括贷款业务管理系统、信用卡业务系统、客户信息管理系统等，产品服务系统层包括银行业务处理系统、信用卡系统、现金管理平台等，管理决策系统层包括营运作业与管理系统、绩效管理分析系统、审计管理信息系统、企业资源计划财务系统等。
2.2.2系统的开放程度高
近年来互联网、移动通信的快速发展，推动了多种移动支付、资金转移及缴费等业务的需求，促使银行信息系统加快开放化程度，各商业银行逐渐开发了网上银行、手机银行、电话银行、代理收缴费、电子政务等中间业务。网银、中间业务代理等业务为广大客户提供了更便捷的服务，提高了银行的工作效率和效果。
2.2.3数据高度集中
我国各大商业银行基本都已经逐步开启了系统和数据集中处理的模式，商业银行信息系统支撑着银行大部分的业务处理和产品的推广，不同业务类型和产品条线共享IT资源，实现了管理中的流程控制以及产品的电子化和多渠道化。这种数据集中化的处理模式提高了业务处理效率，为服务客户提供了便利，为银行带来了巨大的经济效益，且更便于管理。
...........................
3信息系统安全审计基础理论概述...........11
3.1信息系统审计含义及内容..............11
3.1.1信息系统审计含义................11
3.1.2信息系统审计内容.............11
4基于COBIT标准的信息系统安全审计...........16
4.1COBIT控制框架....................16
4.1.1IT目标............16
4.1.2IT资源...............16
5C银行总行数据中心信息系统安全审计案例............22
5.1数据中心简介............22
5.1.1组织架构和工作职责...........22
5.1.2信息系统安全管理制度和流程建设..................22

5C银行总行数据中心信息系统安全审计案例

5.1数据中心简介
5.1.1组织架构和工作职责
C银行总行数据中心成立于2006年7月，数据中心共有员工278人，下设9个部室：综合部、技术管理部、风险管理部、系统管理部、生产调度办公室、运行部、开放系统平台管理部、网络通讯部、设备与环境管理部。数据中心负责各分行业务系统的运行维护、总行相关系统的技术运行维护、全行技术运行管理、基础设施规划与建设和总行本部的技术服务与支持等。
5.1.2信息系统安全管理制度和流程建设
数据中心在总行营运管理制度基础上，根据数据中心运行状况和风险管理要求，制定综合类、业务管理类制度办法共20余项，涉及信息系统安全方面的有《C银行信息安全管理办法》、《C银行终端安全管理操作规程》、《C银行信息系统运行管理办法》、《员工信息系统使用行为规范》等制度，总体涵盖了数据中心管理所涉及的物理环境、软件、硬件、数据、事件、安全及事务等方面的工作要求。
........................

结论

参考文献（略）