張菲菲

[摘要]本文以人民銀行應(yīng)用等級(jí)保護(hù)體系規(guī)范內(nèi)部信息技術(shù)審計(jì)實(shí)踐為基礎(chǔ)，針對(duì)設(shè)計(jì)復(fù)雜多樣、部署年代不同、應(yīng)用范圍各異的信息系統(tǒng)，探討審計(jì)思路和方法，力求通過(guò)等級(jí)保護(hù)體系確定審計(jì)對(duì)象的安全級(jí)別、審計(jì)依據(jù)、實(shí)施尺度，最終達(dá)到加強(qiáng)信息系統(tǒng)安全性，保障業(yè)務(wù)連續(xù)性，提高審計(jì)成果轉(zhuǎn)化率的效果。

[關(guān)鍵詞]信息技術(shù) 審計(jì) 等級(jí)保護(hù) 成果

近年來(lái)，人民銀行對(duì)信息系統(tǒng)的合規(guī)性、可靠性、

有效性和安全性日益重視。信息技術(shù)審計(jì)作為一種獨(dú)立的審計(jì)類型，在提高各級(jí)分支機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)意識(shí)、促進(jìn)安全管理等方面發(fā)揮了較好的作用。然而，由于人民銀行機(jī)構(gòu)眾多，業(yè)務(wù)系統(tǒng)功能各異，信息化環(huán)境差異較大，給信息技術(shù)審計(jì)帶來(lái)一定難度。對(duì)此，本文提出以“計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)”為主要依據(jù)開展人民銀行信息技術(shù)審計(jì)的方法，有效解決信息技術(shù)審計(jì)中對(duì)象繁雜多樣、審計(jì)標(biāo)準(zhǔn)難統(tǒng)一、審計(jì)實(shí)施尺度難掌握、審計(jì)成果難推廣等問題，切實(shí)發(fā)揮人民銀行信息技術(shù)審計(jì)對(duì)業(yè)務(wù)工作的監(jiān)督、建議及促進(jìn)作用。

一、人民銀行信息技術(shù)審計(jì)現(xiàn)狀

人民銀行信息技術(shù)審計(jì)是對(duì)行內(nèi)信息系統(tǒng)、網(wǎng)絡(luò)、IT基礎(chǔ)設(shè)施等信息化對(duì)象的檢查評(píng)估。為規(guī)范信息技術(shù)審計(jì)，人民銀行制定了《關(guān)于加強(qiáng)計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)工作的指導(dǎo)意見》《中國(guó)人民銀行信息技術(shù)審計(jì)規(guī)范》等規(guī)章制度，明確了信息技術(shù)審計(jì)目標(biāo)是確保信息系統(tǒng)的合規(guī)性、可靠性、有效性和安全性，審計(jì)范圍是人民銀行及所屬分支機(jī)構(gòu)、直屬企事業(yè)單位。

為更加有效地進(jìn)行信息技術(shù)審計(jì)，人民銀行內(nèi)審司研究制定了信息技術(shù)審計(jì)項(xiàng)目清單，包括科技管理、基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和數(shù)據(jù)中心四大類，并重點(diǎn)對(duì)應(yīng)用系統(tǒng)類項(xiàng)目建立了信息技術(shù)風(fēng)險(xiǎn)評(píng)估模型，為后續(xù)信息技術(shù)審計(jì)提供依據(jù)。

二、人民銀行信息技術(shù)審計(jì)面臨的問題

（一）審計(jì)對(duì)象繁雜

人民銀行總行及其分支機(jī)構(gòu)信息系統(tǒng)種類繁多，有總行統(tǒng)一部署，關(guān)系國(guó)計(jì)民生的大小額支付系統(tǒng)、會(huì)計(jì)核算系統(tǒng)、國(guó)庫(kù)系統(tǒng)、征信系統(tǒng)、人民幣結(jié)算賬戶等信息系統(tǒng)；有部署在省會(huì)中心支行服務(wù)于全省金融機(jī)構(gòu)的信息系統(tǒng)；還有面向內(nèi)部事務(wù)的自建系統(tǒng)，這些信息系統(tǒng)不能一概而論，需根據(jù)業(yè)務(wù)連續(xù)性要求區(qū)別審計(jì)。另外，人民銀行各級(jí)分支機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)及中心機(jī)房也應(yīng)根據(jù)不同安全級(jí)別、影響范圍，進(jìn)行差異化審計(jì)。復(fù)雜眾多的審計(jì)對(duì)象給審計(jì)前期準(zhǔn)備工作帶來(lái)一定的困難。

（二）制度規(guī)范不一

人民銀行信息技術(shù)領(lǐng)域涵蓋多個(gè)部門，增加了信息技術(shù)審計(jì)的難度?？萍妓矩?fù)責(zé)信息系統(tǒng)的立項(xiàng)審批，規(guī)范制定；金融電子化公司負(fù)責(zé)信息系統(tǒng)的開發(fā)建設(shè)、部署實(shí)施；金融信息中心負(fù)責(zé)總行部署的信息系統(tǒng)運(yùn)行維護(hù)、全國(guó)網(wǎng)絡(luò)和機(jī)房管理；全國(guó)各分支機(jī)構(gòu)負(fù)責(zé)各自的信息化建設(shè)、系統(tǒng)運(yùn)行維護(hù)、機(jī)房和網(wǎng)絡(luò)管理。除了以上職責(zé)分工，由于人民銀行業(yè)務(wù)系統(tǒng)建設(shè)標(biāo)準(zhǔn)不一、部署年代不同、運(yùn)行環(huán)境各異，勢(shì)必產(chǎn)生數(shù)量眾多的制度規(guī)范，加上各司局制度規(guī)范交換不暢，各自執(zhí)行標(biāo)準(zhǔn)不統(tǒng)一，給信息技術(shù)審計(jì)帶來(lái)一定的挑戰(zhàn)，如何根據(jù)審計(jì)對(duì)象確定合適的審計(jì)依據(jù)是問題的關(guān)鍵。

（三）審計(jì)實(shí)施較難

基于以上兩點(diǎn)，審計(jì)實(shí)施時(shí)會(huì)遇到以下三類審計(jì)困境：審計(jì)對(duì)象部署年代不同，部署時(shí)采用的安全標(biāo)準(zhǔn)存在差異，審計(jì)時(shí)是否按統(tǒng)一標(biāo)準(zhǔn)來(lái)要求；審計(jì)項(xiàng)目中出現(xiàn)的信息系統(tǒng)應(yīng)用范圍不同，分為行內(nèi)使用、商業(yè)銀行使用、公眾使用等，審計(jì)時(shí)是否根據(jù)影響范圍不同實(shí)施差異化審計(jì)標(biāo)準(zhǔn)；審計(jì)項(xiàng)目中出現(xiàn)的信息系統(tǒng)應(yīng)用層級(jí)不同。例如，總行與省會(huì)、地市、縣支行的機(jī)房和網(wǎng)絡(luò)等重要性不同，是否按層級(jí)和重要性改變審計(jì)標(biāo)準(zhǔn)。以上問題對(duì)審計(jì)人員的業(yè)務(wù)能力提出很高要求，而大多數(shù)審計(jì)人員不具備信息技術(shù)專業(yè)背景，即使具備專業(yè)背景，以上審計(jì)對(duì)象如何區(qū)別對(duì)待、應(yīng)采用那些相應(yīng)的審計(jì)依據(jù)，在審計(jì)實(shí)施中也較難把握。

（四）成果轉(zhuǎn)化不易

面對(duì)信息技術(shù)審計(jì)的制度規(guī)范繁多、涉及范圍較廣、審計(jì)對(duì)象各異，審計(jì)人員可能會(huì)提出過(guò)度或無(wú)法整改的建議，給后期的審計(jì)成果轉(zhuǎn)化帶來(lái)困難。此外，審計(jì)對(duì)象的特異性使信息技術(shù)審計(jì)的建議一般只對(duì)應(yīng)某個(gè)中心支行、某種信息系統(tǒng)或機(jī)房環(huán)境適用，不能適用于全國(guó)，難以大范圍統(tǒng)計(jì)匯總審計(jì)情況，不易形成普適性結(jié)論，較難具備審計(jì)成果在全國(guó)范圍內(nèi)推廣的條件。

三、等級(jí)保護(hù)在信息技術(shù)審計(jì)中的應(yīng)用

等級(jí)保護(hù)是結(jié)合國(guó)際信息安全標(biāo)準(zhǔn)和我國(guó)基本國(guó)情，在國(guó)家層面對(duì)各個(gè)行業(yè)提出的安全要求，主要從信息安全的共性出發(fā)，從整體上引導(dǎo)和推動(dòng)各行業(yè)的信息安全建設(shè)，使我國(guó)信息安全建設(shè)更加突出重點(diǎn)和統(tǒng)一規(guī)范。近年來(lái)，人民銀行已對(duì)全行信息系統(tǒng)進(jìn)行了梳理摸底，全面掌握了人民銀行信息系統(tǒng)的數(shù)量、部署范圍、運(yùn)行環(huán)境、使用對(duì)象、承載業(yè)務(wù)種類、數(shù)據(jù)相關(guān)度及運(yùn)維管理等情況，要求全行范圍按《中國(guó)人民銀行信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)和備案流程實(shí)施辦法》對(duì)信息系統(tǒng)進(jìn)行定級(jí)備案，做好信息安全等級(jí)保護(hù)定級(jí)基礎(chǔ)工作。同時(shí)，根據(jù)國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)并參考人民銀行具體情況，建立人民銀行等級(jí)保護(hù)制度體系。內(nèi)審部門在進(jìn)行信息技術(shù)審計(jì)時(shí)可以直接利用人民銀行等級(jí)保護(hù)體系，按審計(jì)對(duì)象的安全等級(jí)，選擇相適應(yīng)的等級(jí)保護(hù)標(biāo)準(zhǔn)作為依據(jù)，確定審計(jì)實(shí)施尺度，統(tǒng)計(jì)匯總審計(jì)結(jié)果。

（一）劃分安全等級(jí)，區(qū)別審計(jì)對(duì)象

目前，人民銀行按等級(jí)保護(hù)要求對(duì)全行36家分支行和4個(gè)中心開展了等級(jí)保護(hù)工作，確定人民銀行總行具有8個(gè)三級(jí)、32個(gè)二級(jí)業(yè)務(wù)系統(tǒng)以及若干個(gè)一級(jí)系統(tǒng)。省會(huì)分支機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)定為三級(jí)，其他系統(tǒng)按《中國(guó)人民銀行科技司關(guān)于發(fā)布總行統(tǒng)一推廣的非全國(guó)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)及安全等級(jí)保護(hù)定級(jí)建議匯總表的通知》確定，地市分支機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)定為二級(jí)，其他暫定為一級(jí)。

（二）依據(jù)安全等級(jí)，差別化審計(jì)標(biāo)準(zhǔn)

利用等級(jí)保護(hù)定級(jí)標(biāo)準(zhǔn)，審計(jì)人員可以快速準(zhǔn)確地認(rèn)定不同審計(jì)對(duì)象的重要性，按相應(yīng)的人民銀行安全等級(jí)標(biāo)準(zhǔn)進(jìn)行審計(jì)。

第一，信息系統(tǒng)審計(jì)實(shí)施時(shí)將《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》《人民銀行信息安全綜合規(guī)范》等作為審計(jì)標(biāo)準(zhǔn)。例如，三級(jí)系統(tǒng)與二級(jí)系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)庫(kù)安全等方面的要求是不同的。

第二，不同安全等級(jí)的網(wǎng)絡(luò)應(yīng)根據(jù)《人民銀行信息安全綜合規(guī)范》《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T 20270-2006）在身份鑒別、自主訪問控制、標(biāo)記、強(qiáng)制訪問控制、安全審計(jì)、用戶數(shù)據(jù)的完整性、用戶數(shù)據(jù)的保密性、抗抵賴性、網(wǎng)絡(luò)安全監(jiān)控等方面的要求進(jìn)行審計(jì)。

第三，在對(duì)機(jī)房的審計(jì)中，除總行機(jī)房遵照A類機(jī)房標(biāo)準(zhǔn)、省會(huì)中心支行機(jī)房遵照B類機(jī)房標(biāo)準(zhǔn)、地市中心支行機(jī)房遵照C類機(jī)房標(biāo)準(zhǔn)外，還要考慮該機(jī)房?jī)?nèi)部署的最高安全等級(jí)的信息系統(tǒng)對(duì)物理安全技術(shù)的要求。例如，省會(huì)中心機(jī)房除了遵照B類機(jī)房標(biāo)準(zhǔn)外，由于其業(yè)務(wù)網(wǎng)定為三級(jí)系統(tǒng)，審計(jì)機(jī)房時(shí)除了參照《人民銀行信息安全綜合規(guī)范》外，還需要參照等級(jí)保護(hù)相關(guān)制度中對(duì)第三級(jí)“安全標(biāo)記保護(hù)級(jí)”的物理環(huán)境要求。

（三）基于安全等級(jí)，確定審計(jì)尺度

信息技術(shù)審計(jì)實(shí)施尺度掌握尤為重要，建議是否準(zhǔn)確對(duì)審計(jì)后期整改影響較大，應(yīng)避免出現(xiàn)過(guò)度整改或無(wú)法整改的建議。若根據(jù)等級(jí)保護(hù)對(duì)應(yīng)要求提出審計(jì)建議，在一定程度上能減少或避免不準(zhǔn)確審計(jì)事實(shí)的認(rèn)定。

在機(jī)房審計(jì)中，如果審計(jì)標(biāo)準(zhǔn)制定過(guò)高，整改建議會(huì)造成不必要的施工改造，此問題在對(duì)縣（市）級(jí)機(jī)房的審計(jì)中比較突出。人民銀行在實(shí)施兩級(jí)數(shù)據(jù)中心IT架構(gòu)后，縣（市）機(jī)房已不承載總行統(tǒng)一部署的業(yè)務(wù)系統(tǒng)，只運(yùn)行網(wǎng)絡(luò)和輔助設(shè)備。2015年，科技司已將縣（市）級(jí)機(jī)房建設(shè)參照C類機(jī)房標(biāo)準(zhǔn)修改為遵照《人民銀行縣（市）級(jí)機(jī)房建設(shè)技術(shù)規(guī)范》執(zhí)行，信息技術(shù)審計(jì)時(shí)應(yīng)嚴(yán)格把握好機(jī)房審計(jì)尺度，不依據(jù)過(guò)高標(biāo)準(zhǔn)給出機(jī)房整改建議，使整改成本升高。例如，縣（市）級(jí)機(jī)房可以根據(jù)情況確定是否在機(jī)房鋪設(shè)活動(dòng)地板，如審計(jì)事實(shí)認(rèn)定中提出鋪設(shè)建議，整改工程量相當(dāng)于新建機(jī)房，整改落實(shí)較難。所以在信息技術(shù)審計(jì)中，一定要注意基于等級(jí)保護(hù)等級(jí)來(lái)進(jìn)行審計(jì)，在源頭上保證適度性，確保提出的審計(jì)建議具有較高的可操作性。再如，機(jī)房UPS的供電時(shí)間，原本為B類機(jī)房的標(biāo)準(zhǔn)，若用在C類或以下機(jī)房審計(jì)中，會(huì)造成審計(jì)對(duì)象在落實(shí)審計(jì)建議時(shí)再次采購(gòu)UPS電池。

（四）提出精準(zhǔn)建議，提升成果價(jià)值

在信息技術(shù)審計(jì)標(biāo)準(zhǔn)不統(tǒng)一的情況下，審計(jì)具有地方局限性、項(xiàng)目局限性、審計(jì)人員局限性。審計(jì)成果不具備普適性和可移植性，不利于從人民銀行總行視角掌握信息技術(shù)審計(jì)普遍情況，造成后期的審計(jì)成果轉(zhuǎn)化達(dá)不到應(yīng)有的效果，而以等級(jí)保護(hù)標(biāo)準(zhǔn)為審計(jì)依據(jù)可以較好地解決以上問題。不同地區(qū)、不同項(xiàng)目、不同的審計(jì)人員依據(jù)統(tǒng)一的審計(jì)標(biāo)準(zhǔn)，得出的結(jié)果具有數(shù)據(jù)可對(duì)比性、可參考性和可統(tǒng)計(jì)性，能充分挖掘?qū)徲?jì)數(shù)據(jù)的價(jià)值，從制度、體制和機(jī)制層面剖析問題原因，提出解決和預(yù)防問題的審計(jì)建議，有利于審計(jì)成果在全國(guó)范圍內(nèi)的轉(zhuǎn)化和應(yīng)用。

合理利用等級(jí)保護(hù)體系，能較好地解決信息技術(shù)審計(jì)中遇到的常見問題，不僅增加了人民銀行信息技術(shù)審計(jì)建議的準(zhǔn)確性，而且由于標(biāo)準(zhǔn)統(tǒng)一，等級(jí)明確，審計(jì)成果具有普適性，能夠在較大范圍內(nèi)具有指導(dǎo)意義。

（作者單位：中國(guó)人民銀行淮南市中心支行，郵政編碼：232000，電子郵箱：zffzoe@163.com）