淺談信息安全審計(jì)在金融行業(yè)的實(shí)踐

信息安全審計(jì)可以使以商業(yè)銀行為代表的金融行業(yè)持續(xù)穩(wěn)定發(fā)展，也對(duì)其日常運(yùn)營有積極的影響，相關(guān)從業(yè)人員需要積極規(guī)劃三維立體工作框架，規(guī)范先進(jìn)技術(shù)的使用方法，構(gòu)建良好的工作平臺(tái)，通盤籌劃機(jī)制建設(shè)，有效改善金融維度有待整合、技術(shù)方法存在滯后、審計(jì)過程存在漏洞、缺乏具體約束機(jī)制的現(xiàn)狀。一、信息安全審計(jì)概述（一）基本概念信息安全審計(jì)是一種揭示各類風(fēng)險(xiǎn)的絕佳手段和有力武器，能夠在符合規(guī)定的基礎(chǔ)上，著實(shí)改進(jìn)信息安全現(xiàn)狀。根據(jù)預(yù)先確定的審計(jì)依據(jù)并在一定的范圍內(nèi)，對(duì)文件、記錄、技術(shù)、訪談等活動(dòng)進(jìn)行查訪，給出客觀的評(píng)價(jià)，真實(shí)體現(xiàn)被審對(duì)象滿足依據(jù)的程度，在探查合規(guī)性要求的同時(shí)，主要從組織機(jī)構(gòu)、需求管理、制度建設(shè)、風(fēng)險(xiǎn)管理、教育培訓(xùn)、事件管理、業(yè)務(wù)連續(xù)性、IT外包、存儲(chǔ)介質(zhì)、數(shù)據(jù)庫、源代碼、網(wǎng)絡(luò)系統(tǒng)等方面入手，幫助組織全面掌控相關(guān)工作的有效性、適宜性。該種審計(jì)方法適用性較強(qiáng)，在以商業(yè)銀行為代表的金融行業(yè)中，獲得了廣泛的應(yīng)用，金融行業(yè)憑借對(duì)IT的高度依賴，將單獨(dú)的信息安全審計(jì)與相關(guān)工作融合，發(fā)揮工作聯(lián)動(dòng)的優(yōu)勢來加大對(duì)數(shù)據(jù)的保護(hù)力度，有效推進(jìn)等級(jí)保護(hù)建設(shè)和管理體系的完善[1]。（二）商業(yè)銀行中的應(yīng)用近年商業(yè)銀行的信息化腳步逐漸加快，有力促進(jìn)了相關(guān)業(yè)務(wù)水平的提升，建立起一套運(yùn)作流暢、適用性強(qiáng)的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)前后臺(tái)分離，為資金清算、風(fēng)險(xiǎn)管理、稽核等工作提供了強(qiáng)有力的技術(shù)支撐。在其高度發(fā)展的過程中，一系列風(fēng)險(xiǎn)接踵而至，不僅在一定程度上造成了消極的影響，而且會(huì)大幅降低工作效率和經(jīng)濟(jì)效益。由此可見，固有風(fēng)險(xiǎn)加大、軟硬件脆弱性提高、人為失誤、賬務(wù)與機(jī)構(gòu)糅雜、過于強(qiáng)調(diào)產(chǎn)品、服務(wù)不到位等問題，對(duì)商業(yè)銀行的信息安全發(fā)起了不同的挑戰(zhàn)。為保證商業(yè)銀行的基礎(chǔ)業(yè)務(wù)運(yùn)營，保障行業(yè)健康的發(fā)展，當(dāng)務(wù)之急是引入信息安全審計(jì)，利用獨(dú)立的系統(tǒng)來檢查、控制各類風(fēng)險(xiǎn)，集中處理各種數(shù)據(jù)，保證前后賬務(wù)連續(xù)性的同時(shí)，將前后業(yè)務(wù)的規(guī)劃發(fā)展相銜接，為后續(xù)的推廣、整合等工作做好準(zhǔn)備，實(shí)現(xiàn)良好的風(fēng)險(xiǎn)管控，出具真實(shí)的報(bào)告，為管理決策提供科學(xué)的參照。二、現(xiàn)代金融行業(yè)的發(fā)展現(xiàn)狀（一）金融維度有待整合以商業(yè)銀行為代表的金融行業(yè)發(fā)展過程中，會(huì)受到不同的風(fēng)險(xiǎn)影響，而適時(shí)開展相應(yīng)的審計(jì)工作，可以有效排查各類經(jīng)營風(fēng)險(xiǎn)，為后續(xù)的發(fā)展提供改進(jìn)建議。但在實(shí)際中，部分管理人員沒有較強(qiáng)的規(guī)劃意識(shí)，未能根據(jù)實(shí)際業(yè)務(wù)量和經(jīng)營水平來實(shí)施內(nèi)審，導(dǎo)致場景、技術(shù)、賬戶、價(jià)值鏈等金融維度的整合出現(xiàn)不同程度的“縮水”。這在一定程度上會(huì)使其自身的業(yè)務(wù)能力水平下降，進(jìn)而導(dǎo)致全價(jià)值鏈能力的提升速度放緩，無法憑借既有的金融維度來思考未來的規(guī)劃，不利于可持續(xù)發(fā)展和經(jīng)濟(jì)效益的提高[2]。（二）技術(shù)方法存在滯后金融行業(yè)在信息安全審計(jì)實(shí)踐中會(huì)將主要精力放在數(shù)據(jù)甄別上，這在一定程度上會(huì)造成對(duì)人為失誤的審查忽視，容易導(dǎo)致人為風(fēng)險(xiǎn)的擴(kuò)大，而這也成了商業(yè)銀行發(fā)展中的真實(shí)縮影。部分銀行的工作技術(shù)方法存在滯后性，無法有效甄別財(cái)務(wù)、管理等信息的真實(shí)性，也不能準(zhǔn)確界定具體操作的合規(guī)性，致使信息安全審計(jì)淪為了“形式主義”，容易使?jié)撛诘娘L(fēng)險(xiǎn)擴(kuò)大。（三）審計(jì)過程存在漏洞在信息安全審計(jì)的過程中，部分人員會(huì)選擇應(yīng)用先進(jìn)技術(shù)來進(jìn)行輔助，保證出具的報(bào)告具有科學(xué)性，但卻忽視了系統(tǒng)的日常維護(hù)和平臺(tái)的定期調(diào)試，導(dǎo)致漏洞出現(xiàn)，使出具的報(bào)告內(nèi)容失真。還有一些工作人員的傳統(tǒng)思想根深蒂固，未能革新工作理念，仍沿用具有一定滯后性的技術(shù)來開展工作，沒有注重網(wǎng)絡(luò)平臺(tái)的建設(shè)和使用，導(dǎo)致工作效率得不到提升，無法為管理者提供真實(shí)可靠的決策依據(jù)，影響下一步的工作的開展[3]。（四）缺乏具體約束機(jī)制面對(duì)互聯(lián)網(wǎng)科技發(fā)展和社會(huì)的進(jìn)步，商業(yè)銀行的審計(jì)部門未能積極的完善相應(yīng)機(jī)制，不能應(yīng)對(duì)互聯(lián)網(wǎng)金融領(lǐng)域的各項(xiàng)挑戰(zhàn)，也會(huì)在一定程度上限制部門的整體能力提升。缺乏機(jī)制的約束，會(huì)導(dǎo)致實(shí)際行為失去主觀控制和客觀約束，不利于統(tǒng)計(jì)監(jiān)測和風(fēng)險(xiǎn)的預(yù)警，也會(huì)使預(yù)審機(jī)制與其他機(jī)制的聯(lián)合受到影響，長此以往，不利于金融行業(yè)的發(fā)展和市場經(jīng)濟(jì)的穩(wěn)定。三、信息安全審計(jì)在金融行業(yè)的實(shí)踐策略（一）三維立體框架規(guī)劃金融行業(yè)的發(fā)展中，普遍存在各種信息安全風(fēng)險(xiǎn)，而順應(yīng)經(jīng)濟(jì)發(fā)展潮流，借用先進(jìn)的技術(shù)來規(guī)劃信息安全審計(jì)的三維立體框架，可以進(jìn)一步消除發(fā)展的內(nèi)在、外在威脅和各類風(fēng)險(xiǎn)。商業(yè)銀行要對(duì)自身存在的各類固有風(fēng)險(xiǎn)進(jìn)行明確，從而合理的規(guī)劃三維立體框架，對(duì)金融IT戰(zhàn)略規(guī)劃、分析、細(xì)節(jié)設(shè)計(jì)進(jìn)行自審，將互聯(lián)網(wǎng)操作系統(tǒng)或平臺(tái)安全性進(jìn)行縝密分析，嚴(yán)格審核開發(fā)商的相關(guān)資質(zhì)，也要對(duì)互聯(lián)網(wǎng)金融管理方面的工作進(jìn)行梳理，對(duì)不同形式的經(jīng)濟(jì)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)排查，從而得出操作領(lǐng)域和技術(shù)領(lǐng)域中存在的缺陷，為自審提供良好的依據(jù)。三維立體框架的規(guī)劃要基于以上風(fēng)險(xiǎn)，并從管理、技術(shù)、策略三角度入手研究，重視科學(xué)布局，提出具有前瞻性的審查工作理念，對(duì)被審目標(biāo)等因素做全局性的考量，同時(shí)加強(qiáng)對(duì)人員、制度的管理，充分整合人力資源，加強(qiáng)技術(shù)培訓(xùn)力度，完善各崗位的責(zé)任制度，不斷充實(shí)相對(duì)匱乏的現(xiàn)有制度體系。注重工作質(zhì)量提升，借鑒國內(nèi)外知名商業(yè)銀行的先進(jìn)理念，高質(zhì)量策劃和協(xié)調(diào)活動(dòng)，消除質(zhì)量與運(yùn)營之間的標(biāo)準(zhǔn)差異，利用三維立體框架，扎實(shí)推進(jìn)信息安全審計(jì)工作效能提升[4]。（二）規(guī)范技術(shù)使用方法技術(shù)規(guī)范乃是信息安全審計(jì)主體采取的手段、規(guī)則，主要體現(xiàn)于技術(shù)方面的應(yīng)用、監(jiān)管、算法、控制等內(nèi)容，通過前期的預(yù)處理和采集，為后續(xù)的評(píng)估、發(fā)現(xiàn)、挖掘提供良好的支持。以商業(yè)銀行為代表的金融行業(yè)，需要不斷規(guī)范技術(shù)的使用方法，從具體的工作中來進(jìn)行數(shù)據(jù)測試、聯(lián)審、日志跟蹤、平行模擬、抽點(diǎn)轉(zhuǎn)存等，出具書面報(bào)告時(shí)，要利用控制矩陣模型、確定性模型等技術(shù)，綜合考慮相關(guān)因素，明確金融行業(yè)對(duì)于技術(shù)使用的監(jiān)管要求，避免觸及法律底線，為管理者出具真實(shí)的報(bào)告。加強(qiáng)專業(yè)化模型的研究力度，在網(wǎng)絡(luò)檢測、統(tǒng)計(jì)分析、征信監(jiān)管等方面細(xì)化檢測、管理手段，以提高行業(yè)的自律性。合理運(yùn)用算法來提高金融行業(yè)的信息安全審計(jì)的針對(duì)性，大力推進(jìn)技術(shù)使用的規(guī)范，參照國外的BSS7799標(biāo)準(zhǔn)、ITIL標(biāo)準(zhǔn)等，結(jié)合國內(nèi)出臺(tái)的各類條例和辦法，在實(shí)際工作中探索良好的技術(shù)使用規(guī)范。根據(jù)被審對(duì)象特點(diǎn)，針對(duì)性的采取方法，適當(dāng)將技術(shù)進(jìn)行融合，在主體的評(píng)價(jià)和控制的互聯(lián)等方面提供良好的保障，致力于相關(guān)的規(guī)范建設(shè)，以獲得豐碩的成果。（三）構(gòu)建挖掘?qū)徲?jì)平臺(tái)信息安全審計(jì)在金融行業(yè)的實(shí)踐，離不開平臺(tái)的保障，因此，商業(yè)銀行需要構(gòu)建挖掘?qū)徲?jì)平臺(tái)，積極挖掘平臺(tái)的設(shè)計(jì)與運(yùn)營方法?；诨ヂ?lián)網(wǎng)金融來設(shè)計(jì)符合商業(yè)銀行發(fā)展的平臺(tái)，利用網(wǎng)絡(luò)資源的瑣碎特點(diǎn)，采取抽樣調(diào)查的方法來深挖具有特征的數(shù)據(jù)，來對(duì)總體的數(shù)據(jù)進(jìn)行特征估計(jì)，為信息安全審計(jì)做好準(zhǔn)備。合理參照Staffware、MQSeries系統(tǒng)的設(shè)計(jì)理念，發(fā)揮金融數(shù)據(jù)的異構(gòu)優(yōu)勢，采集構(gòu)建挖掘?qū)徲?jì)平臺(tái)所需的內(nèi)容，結(jié)合Vectus等實(shí)際的案例處理系統(tǒng)來豐富平臺(tái)功能。審計(jì)主體需要基于不同的先進(jìn)網(wǎng)絡(luò)系統(tǒng)來建立日志數(shù)據(jù)庫，運(yùn)用轉(zhuǎn)換工具實(shí)現(xiàn)數(shù)據(jù)到特定語言的轉(zhuǎn)化，為資源管理等工作提供良好的平臺(tái)。在預(yù)處理方面，要利用大數(shù)據(jù)技術(shù)來將平臺(tái)內(nèi)融入數(shù)據(jù)生成功能，提高平臺(tái)的兼容性與功能性，保持審計(jì)信息的一致性和共享性。在平臺(tái)投用階段，要定期進(jìn)行調(diào)試和維護(hù)，利用模型測試法來對(duì)平臺(tái)中的算法、功能、安全等進(jìn)行測試，結(jié)合金融事件監(jiān)測需求選擇科學(xué)的建模方法，完成好平臺(tái)調(diào)試和維護(hù)，確保相關(guān)的審計(jì)工作能夠有序開展[5]。（四）通盤籌劃機(jī)制建設(shè)無線支付、虛擬貨幣、網(wǎng)絡(luò)理財(cái)產(chǎn)品的出現(xiàn)，在一定程度上影響了人們的日常生活，也為不同的人群帶來了生活便利。但對(duì)于商業(yè)銀行為代表的金融行業(yè)來說，則需要面對(duì)更多的考驗(yàn)和挑戰(zhàn)，所以，應(yīng)該立足創(chuàng)新，依托內(nèi)部環(huán)境來提高自身的信息安全性，力爭建立常態(tài)化安全防范機(jī)制。要基于信息安全審計(jì)，通盤籌劃機(jī)制的建設(shè)，從理念上樹立安全意識(shí)和防范思想，加強(qiáng)對(duì)相關(guān)工作的重視程度，深入認(rèn)識(shí)機(jī)制建設(shè)的重要性，組建相應(yīng)的內(nèi)審工作小組，做好自身信息安全的預(yù)審，為通盤籌劃提供真實(shí)的依據(jù)和數(shù)據(jù)。積極構(gòu)思宏觀層面的機(jī)制，將各類先進(jìn)技術(shù)從不同維度進(jìn)行協(xié)調(diào)，提高工作質(zhì)量，進(jìn)而促進(jìn)機(jī)制體系形成；大力從微觀層面促進(jìn)內(nèi)在工作層級(jí)的整合，站在戰(zhàn)略高度審視統(tǒng)籌內(nèi)審的相關(guān)工作內(nèi)容，為取證、評(píng)價(jià)等工作提供制度保障。積極明確相關(guān)部門的職責(zé)和權(quán)力，按照具體的工作流程來籌劃機(jī)制建設(shè)，確保在信息安全審計(jì)的過程中，相關(guān)人員的行為能夠被有效監(jiān)督，進(jìn)而更好地履職，切實(shí)解決工作中的難題，使商業(yè)銀行能夠掌握信息安