淺談信息安全審計在金融行業(yè)的實踐

信息安全審計可以使以商業(yè)銀行為代表的金融行業(yè)持續(xù)穩(wěn)定發(fā)展，也對其日常運營有積極的影響，相關從業(yè)人員需要積極規(guī)劃三維立體工作框架，規(guī)范先進技術的使用方法，構建良好的工作平臺，通盤籌劃機制建設，有效改善金融維度有待整合、技術方法存在滯后、審計過程存在漏洞、缺乏具體約束機制的現狀。一、信息安全審計概述（一）基本概念信息安全審計是一種揭示各類風險的絕佳手段和有力武器，能夠在符合規(guī)定的基礎上，著實改進信息安全現狀。根據預先確定的審計依據并在一定的范圍內，對文件、記錄、技術、訪談等活動進行查訪，給出客觀的評價，真實體現被審對象滿足依據的程度，在探查合規(guī)性要求的同時，主要從組織機構、需求管理、制度建設、風險管理、教育培訓、事件管理、業(yè)務連續(xù)性、IT外包、存儲介質、數據庫、源代碼、網絡系統等方面入手，幫助組織全面掌控相關工作的有效性、適宜性。該種審計方法適用性較強，在以商業(yè)銀行為代表的金融行業(yè)中，獲得了廣泛的應用，金融行業(yè)憑借對IT的高度依賴，將單獨的信息安全審計與相關工作融合，發(fā)揮工作聯動的優(yōu)勢來加大對數據的保護力度，有效推進等級保護建設和管理體系的完善[1]。（二）商業(yè)銀行中的應用近年商業(yè)銀行的信息化腳步逐漸加快，有力促進了相關業(yè)務水平的提升，建立起一套運作流暢、適用性強的業(yè)務系統，實現前后臺分離，為資金清算、風險管理、稽核等工作提供了強有力的技術支撐。在其高度發(fā)展的過程中，一系列風險接踵而至，不僅在一定程度上造成了消極的影響，而且會大幅降低工作效率和經濟效益。由此可見，固有風險加大、軟硬件脆弱性提高、人為失誤、賬務與機構糅雜、過于強調產品、服務不到位等問題，對商業(yè)銀行的信息安全發(fā)起了不同的挑戰(zhàn)。為保證商業(yè)銀行的基礎業(yè)務運營，保障行業(yè)健康的發(fā)展，當務之急是引入信息安全審計，利用獨立的系統來檢查、控制各類風險，集中處理各種數據，保證前后賬務連續(xù)性的同時，將前后業(yè)務的規(guī)劃發(fā)展相銜接，為后續(xù)的推廣、整合等工作做好準備，實現良好的風險管控，出具真實的報告，為管理決策提供科學的參照。二、現代金融行業(yè)的發(fā)展現狀（一）金融維度有待整合以商業(yè)銀行為代表的金融行業(yè)發(fā)展過程中，會受到不同的風險影響，而適時開展相應的審計工作，可以有效排查各類經營風險，為后續(xù)的發(fā)展提供改進建議。但在實際中，部分管理人員沒有較強的規(guī)劃意識，未能根據實際業(yè)務量和經營水平來實施內審，導致場景、技術、賬戶、價值鏈等金融維度的整合出現不同程度的“縮水”。這在一定程度上會使其自身的業(yè)務能力水平下降，進而導致全價值鏈能力的提升速度放緩，無法憑借既有的金融維度來思考未來的規(guī)劃，不利于可持續(xù)發(fā)展和經濟效益的提高[2]。（二）技術方法存在滯后金融行業(yè)在信息安全審計實踐中會將主要精力放在數據甄別上，這在一定程度上會造成對人為失誤的審查忽視，容易導致人為風險的擴大，而這也成了商業(yè)銀行發(fā)展中的真實縮影。部分銀行的工作技術方法存在滯后性，無法有效甄別財務、管理等信息的真實性，也不能準確界定具體操作的合規(guī)性，致使信息安全審計淪為了“形式主義”，容易使?jié)撛诘娘L險擴大。（三）審計過程存在漏洞在信息安全審計的過程中，部分人員會選擇應用先進技術來進行輔助，保證出具的報告具有科學性，但卻忽視了系統的日常維護和平臺的定期調試，導致漏洞出現，使出具的報告內容失真。還有一些工作人員的傳統思想根深蒂固，未能革新工作理念，仍沿用具有一定滯后性的技術來開展工作，沒有注重網絡平臺的建設和使用，導致工作效率得不到提升，無法為管理者提供真實可靠的決策依據，影響下一步的工作的開展[3]。（四）缺乏具體約束機制面對互聯網科技發(fā)展和社會的進步，商業(yè)銀行的審計部門未能積極的完善相應機制，不能應對互聯網金融領域的各項挑戰(zhàn)，也會在一定程度上限制部門的整體能力提升。缺乏機制的約束，會導致實際行為失去主觀控制和客觀約束，不利于統計監(jiān)測和風險的預警，也會使預審機制與其他機制的聯合受到影響，長此以往，不利于金融行業(yè)的發(fā)展和市場經濟的穩(wěn)定。三、信息安全審計在金融行業(yè)的實踐策略（一）三維立體框架規(guī)劃金融行業(yè)的發(fā)展中，普遍存在各種信息安全風險，而順應經濟發(fā)展潮流，借用先進的技術來規(guī)劃信息安全審計的三維立體框架，可以進一步消除發(fā)展的內在、外在威脅和各類風險。商業(yè)銀行要對自身存在的各類固有風險進行明確，從而合理的規(guī)劃三維立體框架，對金融IT戰(zhàn)略規(guī)劃、分析、細節(jié)設計進行自審，將互聯網操作系統或平臺安全性進行縝密分析，嚴格審核開發(fā)商的相關資質，也要對互聯網金融管理方面的工作進行梳理，對不同形式的經濟業(yè)務進行風險排查，從而得出操作領域和技術領域中存在的缺陷，為自審提供良好的依據。三維立體框架的規(guī)劃要基于以上風險，并從管理、技術、策略三角度入手研究，重視科學布局，提出具有前瞻性的審查工作理念，對被審目標等因素做全局性的考量，同時加強對人員、制度的管理，充分整合人力資源，加強技術培訓力度，完善各崗位的責任制度，不斷充實相對匱乏的現有制度體系。注重工作質量提升，借鑒國內外知名商業(yè)銀行的先進理念，高質量策劃和協調活動，消除質量與運營之間的標準差異，利用三維立體框架，扎實推進信息安全審計工作效能提升[4]。（二）規(guī)范技術使用方法技術規(guī)范乃是信息安全審計主體采取的手段、規(guī)則，主要體現于技術方面的應用、監(jiān)管、算法、控制等內容，通過前期的預處理和采集，為后續(xù)的評估、發(fā)現、挖掘提供良好的支持。以商業(yè)銀行為代表的金融行業(yè)，需要不斷規(guī)范技術的使用方法，從具體的工作中來進行數據測試、聯審、日志跟蹤、平行模擬、抽點轉存等，出具書面報告時，要利用控制矩陣模型、確定性模型等技術，綜合考慮相關因素，明確金融行業(yè)對于技術使用的監(jiān)管要求，避免觸及法律底線，為管理者出具真實的報告。加強專業(yè)化模型的研究力度，在網絡檢測、統計分析、征信監(jiān)管等方面細化檢測、管理手段，以提高行業(yè)的自律性。合理運用算法來提高金融行業(yè)的信息安全審計的針對性，大力推進技術使用的規(guī)范，參照國外的BSS7799標準、ITIL標準等，結合國內出臺的各類條例和辦法，在實際工作中探索良好的技術使用規(guī)范。根據被審對象特點，針對性的采取方法，適當將技術進行融合，在主體的評價和控制的互聯等方面提供良好的保障，致力于相關的規(guī)范建設，以獲得豐碩的成果。（三）構建挖掘審計平臺信息安全審計在金融行業(yè)的實踐，離不開平臺的保障，因此，商業(yè)銀行需要構建挖掘審計平臺，積極挖掘平臺的設計與運營方法?；诨ヂ摼W金融來設計符合商業(yè)銀行發(fā)展的平臺，利用網絡資源的瑣碎特點，采取抽樣調查的方法來深挖具有特征的數據，來對總體的數據進行特征估計，為信息安全審計做好準備。合理參照Staffware、MQSeries系統的設計理念，發(fā)揮金融數據的異構優(yōu)勢，采集構建挖掘審計平臺所需的內容，結合Vectus等實際的案例處理系統來豐富平臺功能。審計主體需要基于不同的先進網絡系統來建立日志數據庫，運用轉換工具實現數據到特定語言的轉化，為資源管理等工作提供良好的平臺。在預處理方面，要利用大數據技術來將平臺內融入數據生成功能，提高平臺的兼容性與功能性，保持審計信息的一致性和共享性。在平臺投用階段，要定期進行調試和維護，利用模型測試法來對平臺中的算法、功能、安全等進行測試，結合金融事件監(jiān)測需求選擇科學的建模方法，完成好平臺調試和維護，確保相關的審計工作能夠有序開展[5]。（四）通盤籌劃機制建設無線支付、虛擬貨幣、網絡理財產品的出現，在一定程度上影響了人們的日常生活，也為不同的人群帶來了生活便利。但對于商業(yè)銀行為代表的金融行業(yè)來說，則需要面對更多的考驗和挑戰(zhàn)，所以，應該立足創(chuàng)新，依托內部環(huán)境來提高自身的信息安全性，力爭建立常態(tài)化安全防范機制。要基于信息安全審計，通盤籌劃機制的建設，從理念上樹立安全意識和防范思想，加強對相關工作的重視程度，深入認識機制建設的重要性，組建相應的內審工作小組，做好自身信息安全的預審，為通盤籌劃提供真實的依據和數據。積極構思宏觀層面的機制，將各類先進技術從不同維度進行協調，提高工作質量，進而促進機制體系形成；大力從微觀層面促進內在工作層級的整合，站在戰(zhàn)略高度審視統籌內審的相關工作內容，為取證、評價等工作提供制度保障。積極明確相關部門的職責和權力，按照具體的工作流程來籌劃機制建設，確保在信息安全審計的過程中，相關人員的行為能夠被有效監(jiān)督，進而更好地履職，切實解決工作中的難題，使商業(yè)銀行能夠掌握信息安