近年来,随着金融信息化进程的不断推进,信息技术在金融业务中起着越来越重要的作用,越来越多的金融业务流程依赖信息技术。现代金融行业在组织结构、业务流程、业务开拓以及客户服务等方面,日益体现出以知识和信息为基础的特征。但随着信息系统在金融行业业务运营中的作用越来越重要,金融行业信息系统所面临的威胁和风险也越来越大,外部黑客或不法分子虎视眈眈,内部违规或犯罪事件正呈上升趋势。
据CSI计算机犯罪调查,在有预谋的信息犯罪中,80%以上是内部人员作案。要想根本解决内部人员违规或作案问题,进而完善信息科技内部控制体系,只有加强信息科技审计制度才是治本之法。
安全审计产品部署在金融行业的价值所在
据了解,目前缺乏有效的审计手段是信息科技监管所面临的最大问题,“服务在网内,监管在网外”,数据在信息系统内被每秒上千次的自动化处理,而审计时却只能靠人工进行检查,检查的范围、深度等都非常有限,这使得审计监管的力度和深度难以保证,也是很多违规或犯罪事件发生很长时间后才被发现重要原因之一。
因此,必须要通过部署安全审计产品,实时监测数据在信息系统内的操作,发现违规操作立即报警,并保存记录操作过程以备将来查询取证,实现“服务在网内,监管在网内”的目标,从而使得信息科技内控体系进一步完善。
除此之外,国家、金融监管机构在信息科技监管要求中也都明确提出要实现安全审计功能。国家等级保护相关标准中要求二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计,同时也明确要求了审计的范围、审计内容等。银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统操作进行审计。
对于安全审计产品而言,其通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据。
那么,总体来说,部署安全审计系统能够带来什么样的价值呢?
(1)满足合规性要求,顺利通过IT审计
目前,越来越多的单位面临一种或者几种合规性要求。比如,在美国上市的公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;*的行政事业单位或者国有企业则有遵循等级保护的合规性要求。
安全审计系统有助于完善组织的IT内控与审计体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。
(2)有效减少核心信息资产的破坏和泄漏
对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用安全审计系统,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和泄漏。
(3)追踪溯源,便于事后追查原因与界定责任
审计监控体系能够完整的诠释责任认定体系。通过稳定而成熟的审计技术,可以建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系。
通过从不同层面对支付系统中各种设备的操作和管理行为,包括本地操作和远程操作的综合审计,可以很好的将上述行为记录下来,并且长时间保存,可以达到很好的达到审计监控目的,从而有效进行责任认定。
(4)实现独立审计与三权分立,完善IT内控机制
从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计,有效地控制操作风险(包括业务操作风险与运维操作风险等)。安全审计实现独立的审计与三权分立,完善IT内控机制。