1、證券有限責任公司信息技術(shù)部審計程序第一章審計目標和范圍第一節(jié)一般規(guī)則第一條為全面了解xx證券信息安全現(xiàn)狀，揭示xx證券信息安全管理中存在的不足和問題，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、信息安全等級保護管理辦法、信息系統(tǒng)安全保護等級定級指南、信息系統(tǒng)安全保護等級基本要求、信息系統(tǒng)安全保護等級實施指南、信息系統(tǒng)安全等級保護測評準則、證券公司集中交易安全管理技術(shù)指引和xx證券的相關(guān)規(guī)章制度和實施細則以及國際慣例，提出促進信息安全管理的改進建議。第二條本規(guī)定適用于xx證券有限責任公司審計與審計部開展的信息技術(shù)現(xiàn)場日常審計，其他形式的審計可以借鑒。第三條本規(guī)定所稱現(xiàn)場例行審計原則上每年進行一

2、次初審，每次審計的審計周期最遲為一年，部分審計內(nèi)容應(yīng)根據(jù)需要適當延長。第四條本條例所稱信息技術(shù)安全審計，涵蓋公司信息技術(shù)部門、主要業(yè)務(wù)部門、職能部門及其業(yè)務(wù)部門管轄的信息資產(chǎn)。第五條公司各部門、銷售部門應(yīng)遵守本制度，審計部門和人員應(yīng)按照本制度履行職責。第二節(jié)審計機構(gòu)和人員第六條審計部門應(yīng)當配備與承擔的審計任務(wù)相適應(yīng)的內(nèi)部審計人員。信息技術(shù)安全審核小組應(yīng)有一名組長，至少有兩名或兩名以上成員。第七條公司直屬部門及其下屬銷售部門應(yīng)根據(jù)實際情況設(shè)置兼職審計師，并接受審計與審計部的業(yè)務(wù)指導(dǎo)和管理。第八條審計人員應(yīng)具有高度的責任感、敬業(yè)精神和合作精神，熟悉各項政策法規(guī)，具有較高的審計和會計業(yè)務(wù)水平及必要的

3、專業(yè)知識。第九條審計人員必須依法審計，忠于職守，客觀公正，實事求是，廉潔自律，保守秘密，不得濫用職權(quán)，徇私舞弊。第十條審計人員依法行使職權(quán)受法律保護，任何單位、部門和個人不得打擊和報復(fù)。第二章審計程序第一節(jié)信息系統(tǒng)檢查第十一條系統(tǒng)設(shè)置是否有信息安全管理體系、信息技術(shù)部制度、信息技術(shù)部工作報告制度和信息技術(shù)部檔案管理制度；第二節(jié)信息技術(shù)部人事管理審計第十二條崗位設(shè)置1、是否成立委員會或領(lǐng)導(dǎo)小組指導(dǎo)和管理信息安全工作，最高領(lǐng)導(dǎo)是否由本單位主管領(lǐng)導(dǎo)任命或授權(quán)；2.是否設(shè)立專職安全管理機構(gòu)；組織內(nèi)的部門設(shè)置是什么，部門之間的職責分工是否明確；3.安全管理各方面是否有專人負責，設(shè)置了哪些崗位(如安全主管

4、、安全管理各方面負責人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等重要崗位)，各崗位的職責分工是否明確，各崗位的職責是什么？4.查看部門和崗位職責文件，看文件是否明確了安全管理機構(gòu)的職責，組織內(nèi)各部門的職責和分工，部門職責是否涵蓋物理、網(wǎng)絡(luò)、系統(tǒng)等各個方面；檢查文件是否明確設(shè)置了安全主管、安全管理各方面負責人、機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全員等各個崗位，各崗位職責是否明確；檢查文件是否明確規(guī)定了每個崗位人員的技能要求；5.檢查信息安全管理委員會或領(lǐng)導(dǎo)小組是否有本單位主管領(lǐng)導(dǎo)給最高領(lǐng)導(dǎo)的授權(quán)書；6.檢查信息安全管理委員會的職責文件，看它是否清楚地描述了委員會的職責及其最高領(lǐng)導(dǎo)職位的職

5、責；7.檢查安全管理部門和信息安全管理人員是否2.查看人員配備要求管理文件，看重要崗位是否配備了相應(yīng)的人員，職責是否明確。您是否實施定期輪換并指定輪換周期、輪換周期有多長以及輪換程序如何？3、確認安全員是否是專職人員。第十四條人員聘用1.詢問招聘人員時對人員條件的要求，以及目前聘用的安全管理和技術(shù)人員是否有能力完成與其職責相應(yīng)的工作；2.詢問是否對受聘人員的身份、背景、職業(yè)資格和資格進行審查，對技術(shù)人員的技術(shù)技能進行評估，聘用后與他們簽訂保密協(xié)議，并說明其工作職責；3.詢問從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選取，是否要求他們簽署崗位安全保障協(xié)議，是否定期進行關(guān)鍵崗位的信用審核，審核周期有多長；

6、4.檢查是否說明聘用人員應(yīng)具備的條件，如學(xué)歷和學(xué)位要求、技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平、管理人員應(yīng)具備的安全管理知識等；第十五條離職人員1.詢問是否及時終止下班人員的所有訪問權(quán)限，并取回各種身份文件、鑰匙、徽章等。以及組織提供的軟硬件設(shè)備等。2.詢問移交程序包括什么，被移交人員在離開前是否需要承諾相關(guān)的保密義務(wù)；3.檢查離崗人員的管理文件，看是否規(guī)定了調(diào)動程序和休假要求；4.檢查是否有歸還身份證件和設(shè)備的記錄；5.檢查保密承諾文件，看是否有被移交人員的簽名。第十六條人員考核1、詢問是否有人負責定期評估各崗位人員的安全技能和安全知識；2.詢問各崗位人員的考核情況，考核周期有多長，考核內(nèi)容有哪些，是

7、否全面；3.詢問對違反安全政策和法規(guī)者的紀律措施；4.查看考核記錄，查看記錄的考核人員是否包括各崗位人員，考核內(nèi)容是否包括安全知識和安全技能等。檢查記錄日期是否與考核周期一致。第三節(jié)實體安全合規(guī)性審核第十七條機房位置管理1、計算機房使用面積不得小于30平方米；2.計算機房應(yīng)安裝獨立的空調(diào)設(shè)備；3.計算機房的操作間應(yīng)與設(shè)備間分開；4.機房和辦公空間是否有設(shè)計/驗收文件；5.機房內(nèi)的設(shè)備是否放置在不容易被無關(guān)人員看到的隱蔽位置。第十八條機房環(huán)境管理1.防水防潮：詢問機房建設(shè)中是否有防水防潮措施；如果機房內(nèi)安裝了水管，是否避免穿過屋頂和活動地板下，穿過墻壁和地板的水管是否采取了保護措施；在高濕度區(qū)域

8、或季節(jié)，是否有人負責機房的防水防潮事宜，并配備除濕裝置；房間是否有建筑防水防潮的設(shè)計/驗收文件？2.防火：詢問機艙是否配備消防設(shè)備，是否配備自動火災(zāi)探測、自動報警和自動滅火的自動滅火系統(tǒng)，是否有專人負責維護該系統(tǒng)的運行，機艙消防管理制度和消防預(yù)案是否制定，是否進行消防培訓(xùn)；3.防靜電：詢問機房是否采取接地等必要的防靜電措施，是否有控制機房濕度的措施；強靜電區(qū)域的機房是否采取了有效的防靜電措施；如果存在靜電，是否采取措施消除測試中的靜電5.防盜和防破壞：(1)詢問采取了哪些保護措施來防止設(shè)備和介質(zhì)的丟失；(2)詢問主要設(shè)備的放置位置是否安全可控，設(shè)備或主要部件是否固定并做好標記，通信電纜是否敷設(shè)

9、在隱蔽的地方；(3)是否設(shè)置冗余或并行通信線路；(4)安裝在機房的防盜報警系統(tǒng)和監(jiān)控報警系統(tǒng)是否定期維護和檢查；(五)在媒體管理中，是否分類標識，是否存儲在媒體庫或檔案館；(6)詢問是否有安全保護措施，如審批程序、內(nèi)容加密、對工作環(huán)境外的設(shè)備或存儲介質(zhì)進行專項檢查等；(7)檢查機房防盜報警設(shè)施是否正常運行，并檢查運行和報警記錄；(8)檢查機房內(nèi)的攝像頭、傳感器等監(jiān)控報警系統(tǒng)是否運行正常，檢查運行記錄、監(jiān)控記錄和報警記錄；(9)檢查是否有設(shè)備管理系統(tǒng)文件、通信線路布線文件、媒體管理系統(tǒng)文件、媒體列表和使用記錄、機房防盜報警設(shè)施的安全合格資料、安裝測試/驗收報告；(10)檢查文件中的規(guī)定是否與實際

10、情況相符，如設(shè)備放置位置、設(shè)備或主要部件保護、通信電纜敷設(shè)等。6.防雷：詢問采取了哪些保護措施防止重要設(shè)備被雷擊損壞，機房大樓是否裝有防雷裝置，是否通過了國家有關(guān)部門的驗收或技術(shù)檢查；詢問機房的計算機系統(tǒng)接地是否設(shè)置了專用接地線；電源和信號線是否增加合格的防雷裝置，以避免感應(yīng)雷擊；7.照明：關(guān)鍵點：應(yīng)急照明裝置8.防塵：主要是在：地板的天花板上刷防塵漆9.防磁：重點：單人不間斷電源房10.防鼠：各種進線點是否采取密封措施，電纜和電線是否敷設(shè)在金屬橋架、軟管、阻燃管或槽板內(nèi)。第十九條供電系統(tǒng)管理1.電源線是否與其他電源分開，是否設(shè)置了短期備用電源設(shè)備(如不間斷電源)；2.供電線路上是否設(shè)置穩(wěn)壓器

11、和過壓保護設(shè)備；3.建立備用電源系統(tǒng)(如備用發(fā)電機)4.是否有獨立于一般照明用電的專用供電和配電線路5.是否使用雙向電源，當雙向電源切換時，計算機系統(tǒng)能否正常供電；6.檢查機房是否有供電安全設(shè)計/驗收文件，并檢查文件是否表明計算機系統(tǒng)單獨供電。7.檢查機房，查看計算機系統(tǒng)供電線路上的穩(wěn)壓器、過壓保護設(shè)備和短期備用電源設(shè)備是否運行正常，檢查電源電壓是否正常；8.機房是否配備不間斷電源設(shè)備，能連續(xù)供電4小時以上9.是否為備用發(fā)電機，測試備用電源系統(tǒng)(如備用發(fā)電機)是否能正常啟動并在規(guī)定時間內(nèi)供電。第二十條機房門禁管理1。檢查機房安全管理系統(tǒng)；2.機房門和設(shè)備室門平時是否關(guān)閉；3.機房是否劃分管理區(qū)

12、域，每個區(qū)域是否有特殊的管理要求；4.檢查機房出入口是否有專人值班，詢問機房值班人員，詢問是否認真執(zhí)行機房出入管理制度，記錄進入機房人員；5.檢查訪客進入機房是否有審批記錄；6.檢查不同的機房是否設(shè)置在不同的區(qū)域或有效的物理隔離裝置(如隔墻等)。)設(shè)置在同一計算機房的不同區(qū)域之間；7.檢查電子門禁系統(tǒng)是否配置在機房或2.檢查是否有滿足基本業(yè)務(wù)需求的邊界和主要網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)接入和核心網(wǎng)的帶寬是否能滿足業(yè)務(wù)高峰期的需求，是否沒有帶寬瓶頸的設(shè)計或描述；3.檢查是否有根據(jù)工作職能、各部門的重要性和所涉及信息的重要性劃分不同子網(wǎng)或網(wǎng)段的設(shè)計或說明，并根據(jù)方便管理和控制的原則為每個子網(wǎng)和網(wǎng)段分配地址段；4

13、.檢查對重要網(wǎng)段采取了什么保護措施，是否采取了綁定網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址的措施(如對重要服務(wù)器綁定ip地址和mac地址)；5.對重要網(wǎng)段進行測試，驗證網(wǎng)絡(luò)地址和數(shù)據(jù)鏈路地址的綁定措施是否有效(如嘗試使用未綁定地址，看是否可以正常訪問等)。)；6.檢查網(wǎng)絡(luò)拓撲圖，看它是否與當前操作一致；7.測試網(wǎng)絡(luò)拓撲，通過網(wǎng)絡(luò)拓撲自動發(fā)現(xiàn)和繪制工具驗證實際網(wǎng)絡(luò)拓撲是否與網(wǎng)絡(luò)拓撲圖一致；8.測試服務(wù)終端和服務(wù)服務(wù)器之間的訪問路徑，使用路由跟蹤工具驗證服務(wù)終端和服務(wù)服務(wù)器之間的訪問路徑是否安全。第二十二條網(wǎng)絡(luò)接入管理1.檢查邊界網(wǎng)絡(luò)設(shè)備，查看它是否可以設(shè)置會話不活動的時間，或者在會話結(jié)束后自動終止網(wǎng)絡(luò)連接；檢查您

14、是否可以設(shè)置網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的最大數(shù)量；2.檢查主網(wǎng)絡(luò)設(shè)備，查看是否有訪問控制措施(如vlan、訪問控制列表和媒體訪問控制地址綁定)來控制便攜式和移動設(shè)備訪問網(wǎng)絡(luò)；3.測試邊界網(wǎng)絡(luò)設(shè)備，通過嘗試訪問未經(jīng)授權(quán)的資源(如使用掃描工具進行檢測等)，驗證訪問控制措施是否能有效控制未經(jīng)授權(quán)的訪問行為。)。第二十三條網(wǎng)絡(luò)安全管理1.檢查邊界和主要網(wǎng)絡(luò)設(shè)備，看是否有實時報警(如語音、電子郵件、短信等)。)可以以特定的方式賦予特定的事件；2.檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否為授權(quán)用戶提供了瀏覽和分析數(shù)據(jù)的特殊工具(如分類、排序、查詢、計數(shù)、分析和合并記錄等)。)，并可以根據(jù)需要生成報告；3.測試邊界和主要網(wǎng)

15、絡(luò)設(shè)備，通過嘗試生成一些重要的安全相關(guān)事件(如認證失敗等)，驗證安全審計的覆蓋范圍和記錄是否符合要求。)由某個用戶執(zhí)行；4.為了測試邊界和主網(wǎng)絡(luò)設(shè)備，系統(tǒng)用戶可以嘗試刪除、修改或覆蓋審計記錄，以驗證安全審計的保護是否符合要求。5.安全管理員是否保留安全管理日志，該日志是否包括網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)系統(tǒng)中的用戶行為。第二十四條邊界完整性檢查1.檢查邊界完整性檢查設(shè)備的運行日志，看其運行是否正常(看其是否持續(xù)監(jiān)控網(wǎng)絡(luò))；第二十五條網(wǎng)絡(luò)入侵檢測1.檢查是否有專人負責網(wǎng)絡(luò)入侵檢查，是否有網(wǎng)絡(luò)入侵，是否有網(wǎng)絡(luò)入侵日志，日志是否包括入侵的源ip、攻擊的類型、攻擊的目的、攻擊的時間等。2、是否定

16、期進行安全入侵檢測，監(jiān)控網(wǎng)絡(luò)和系統(tǒng)用戶登錄情況；3.檢查網(wǎng)絡(luò)入侵防御設(shè)備，查看其制造商是否是正規(guī)制造商，以及規(guī)則庫是否是最新的；4.檢查網(wǎng)絡(luò)入侵防御設(shè)備是否能夠檢測到以下攻擊：端口掃描、暴力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、ip碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等。5.測試網(wǎng)絡(luò)入侵防御設(shè)備，驗證其監(jiān)控策略是否有效(如模擬攻擊行為，檢查網(wǎng)絡(luò)入侵防御設(shè)備的響應(yīng))；6.測試網(wǎng)絡(luò)入侵防御設(shè)備，驗證其報警策略是否有效(例如，模擬攻擊動作，檢查網(wǎng)絡(luò)入侵防御設(shè)備是否能夠?qū)崟r報警)。第二十六條網(wǎng)絡(luò)設(shè)備管理1。業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)是否物理隔離；2.詢問網(wǎng)絡(luò)設(shè)備密碼策略是什么；3.檢查邊界和主網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，看它們是否對認證