淺談信息安全審計在金融行業(yè)的實踐

楊穎卓

（福建漳州農(nóng)村商業(yè)銀行股份有限公司，福建 漳州 363000）

信息安全審計可以使以商業(yè)銀行為代表的金融行業(yè)持續(xù)穩(wěn)定發(fā)展，也對其日常運營有積極的影響，相關從業(yè)人員需要積極規(guī)劃三維立體工作框架，規(guī)范先進技術的使用方法，構建良好的工作平臺，通盤籌劃機制建設，有效改善金融維度有待整合、技術方法存在滯后、審計過程存在漏洞、缺乏具體約束機制的現(xiàn)狀。

一、信息安全審計概述

（一）基本概念

信息安全審計是一種揭示各類風險的絕佳手段和有力武器，能夠在符合規(guī)定的基礎上，著實改進信息安全現(xiàn)狀。根據(jù)預先確定的審計依據(jù)并在一定的范圍內(nèi)，對文件、記錄、技術、訪談等活動進行查訪，給出客觀的評價，真實體現(xiàn)被審對象滿足依據(jù)的程度，在探查合規(guī)性要求的同時，主要從組織機構、需求管理、制度建設、風險管理、教育培訓、事件管理、業(yè)務連續(xù)性、IT外包、存儲介質、數(shù)據(jù)庫、源代碼、網(wǎng)絡系統(tǒng)等方面入手，幫助組織全面掌控相關工作的有效性、適宜性。該種審計方法適用性較強，在以商業(yè)銀行為代表的金融行業(yè)中，獲得了廣泛的應用，金融行業(yè)憑借對IT的高度依賴，將單獨的信息安全審計與相關工作融合，發(fā)揮工作聯(lián)動的優(yōu)勢來加大對數(shù)據(jù)的保護力度，有效推進等級保護建設和管理體系的完善[1]。

（二）商業(yè)銀行中的應用

近年商業(yè)銀行的信息化腳步逐漸加快，有力促進了相關業(yè)務水平的提升，建立起一套運作流暢、適用性強的業(yè)務系統(tǒng)，實現(xiàn)前后臺分離，為資金清算、風險管理、稽核等工作提供了強有力的技術支撐。在其高度發(fā)展的過程中，一系列風險接踵而至，不僅在一定程度上造成了消極的影響，而且會大幅降低工作效率和經(jīng)濟效益。由此可見，固有風險加大、軟硬件脆弱性提高、人為失誤、賬務與機構糅雜、過于強調產(chǎn)品、服務不到位等問題，對商業(yè)銀行的信息安全發(fā)起了不同的挑戰(zhàn)。為保證商業(yè)銀行的基礎業(yè)務運營，保障行業(yè)健康的發(fā)展，當務之急是引入信息安全審計，利用獨立的系統(tǒng)來檢查、控制各類風險，集中處理各種數(shù)據(jù)，保證前后賬務連續(xù)性的同時，將前后業(yè)務的規(guī)劃發(fā)展相銜接，為后續(xù)的推廣、整合等工作做好準備，實現(xiàn)良好的風險管控，出具真實的報告，為管理決策提供科學的參照。

二、現(xiàn)代金融行業(yè)的發(fā)展現(xiàn)狀

（一）金融維度有待整合

以商業(yè)銀行為代表的金融行業(yè)發(fā)展過程中，會受到不同的風險影響，而適時開展相應的審計工作，可以有效排查各類經(jīng)營風險，為后續(xù)的發(fā)展提供改進建議。但在實際中，部分管理人員沒有較強的規(guī)劃意識，未能根據(jù)實際業(yè)務量和經(jīng)營水平來實施內(nèi)審，導致場景、技術、賬戶、價值鏈等金融維度的整合出現(xiàn)不同程度的“縮水”。這在一定程度上會使其自身的業(yè)務能力水平下降，進而導致全價值鏈能力的提升速度放緩，無法憑借既有的金融維度來思考未來的規(guī)劃，不利于可持續(xù)發(fā)展和經(jīng)濟效益的提高[2]。

（二）技術方法存在滯后

金融行業(yè)在信息安全審計實踐中會將主要精力放在數(shù)據(jù)甄別上，這在一定程度上會造成對人為失誤的審查忽視，容易導致人為風險的擴大，而這也成了商業(yè)銀行發(fā)展中的真實縮影。部分銀行的工作技術方法存在滯后性，無法有效甄別財務、管理等信息的真實性，也不能準確界定具體操作的合規(guī)性，致使信息安全審計淪為了“形式主義”，容易使?jié)撛诘娘L險擴大。

（三）審計過程存在漏洞

在信息安全審計的過程中，部分人員會選擇應用先進技術來進行輔助，保證出具的報告具有科學性，但卻忽視了系統(tǒng)的日常維護和平臺的定期調試，導致漏洞出現(xiàn)，使出具的報告內(nèi)容失真。還有一些工作人員的傳統(tǒng)思想根深蒂固，未能革新工作理念，仍沿用具有一定滯后性的技術來開展工作，沒有注重網(wǎng)絡平臺的建設和使用，導致工作效率得不到提升，無法為管理者提供真實可靠的決策依據(jù)，影響下一步的工作的開展[3]。

（四）缺乏具體約束機制

面對互聯(lián)網(wǎng)科技發(fā)展和社會的進步，商業(yè)銀行的審計部門未能積極的完善相應機制，不能應對互聯(lián)網(wǎng)金融領域的各項挑戰(zhàn)，也會在一定程度上限制部門的整體能力提升。缺乏機制的約束，會導致實際行為失去主觀控制和客觀約束，不利于統(tǒng)計監(jiān)測和風險的預警，也會使預審機制與其他機制的聯(lián)合受到影響，長此以往，不利于金融行業(yè)的發(fā)展和市場經(jīng)濟的穩(wěn)定。

三、信息安全審計在金融行業(yè)的實踐策略

（一）三維立體框架規(guī)劃

金融行業(yè)的發(fā)展中，普遍存在各種信息安全風險，而順應經(jīng)濟發(fā)展潮流，借用先進的技術來規(guī)劃信息安全審計的三維立體框架，可以進一步消除發(fā)展的內(nèi)在、外在威脅和各類風險。商業(yè)銀行要對自身存在的各類固有風險進行明確，從而合理的規(guī)劃三維立體框架，對金融IT戰(zhàn)略規(guī)劃、分析、細節(jié)設計進行自審，將互聯(lián)網(wǎng)操作系統(tǒng)或平臺安全性進行縝密分析，嚴格審核開發(fā)商的相關資質，也要對互聯(lián)網(wǎng)金融管理方面的工作進行梳理，對不同形式的經(jīng)濟業(yè)務進行風險排查，從而得出操作領域和技術領域中存在的缺陷，為自審提供良好的依據(jù)。三維立體框架的規(guī)劃要基于以上風險，并從管理、技術、策略三角度入手研究，重視科學布局，提出具有前瞻性的審查工作理念，對被審目標等因素做全局性的考量，同時加強對人員、制度的管理，充分整合人力資源，加強技術培訓力度，完善各崗位的責任制度，不斷充實相對匱乏的現(xiàn)有制度體系。注重工作質量提升，借鑒國內(nèi)外知名商業(yè)銀行的先進理念，高質量策劃和協(xié)調活動，消除質量與運營之間的標準差異，利用三維立體框架，扎實推進信息安全審計工作效能提升[4]。

（二）規(guī)范技術使用方法

技術規(guī)范乃是信息安全審計主體采取的手段、規(guī)則，主要體現(xiàn)于技術方面的應用、監(jiān)管、算法、控制等內(nèi)容，通過前期的預處理和采集，為后續(xù)的評估、發(fā)現(xiàn)、挖掘提供良好的支持。以商業(yè)銀行為代表的金融行業(yè)，需要不斷規(guī)范技術的使用方法，從具體的工作中來進行數(shù)據(jù)測試、聯(lián)審、日志跟蹤、平行模擬、抽點轉存等，出具書面報告時，要利用控制矩陣模型、確定性模型等技術，綜合考慮相關因素，明確金融行業(yè)對于技術使用的監(jiān)管要求，避免觸及法律底線，為管理者出具真實的報告。加強專業(yè)化模型的研究力度，在網(wǎng)絡檢測、統(tǒng)計分析、征信監(jiān)管等方面細化檢測、管理手段，以提高行業(yè)的自律性。合理運用算法來提高金融行業(yè)的信息安全審計的針對性，大力推進技術使用的規(guī)范，參照國外的BSS7799標準、ITIL標準等，結合國內(nèi)出臺的各類條例和辦法，在實際工作中探索良好的技術使用規(guī)范。根據(jù)被審對象特點，針對性的采取方法，適當將技術進行融合，在主體的評價和控制的互聯(lián)等方面提供良好的保障，致力于相關的規(guī)范建設，以獲得豐碩的成果。

（三）構建挖掘審計平臺

信息安全審計在金融行業(yè)的實踐，離不開平臺的保障，因此，商業(yè)銀行需要構建挖掘審計平臺，積極挖掘平臺的設計與運營方法?；诨ヂ?lián)網(wǎng)金融來設計符合商業(yè)銀行發(fā)展的平臺，利用網(wǎng)絡資源的瑣碎特點，采取抽樣調查的方法來深挖具有特征的數(shù)據(jù)，來對總體的數(shù)據(jù)進行特征估計，為信息安全審計做好準備。合理參照Staffware、MQ Series系統(tǒng)的設計理念，發(fā)揮金融數(shù)據(jù)的異構優(yōu)勢，采集構建挖掘審計平臺所需的內(nèi)容，結合Vectus等實際的案例處理系統(tǒng)來豐富平臺功能。審計主體需要基于不同的先進網(wǎng)絡系統(tǒng)來建立日志數(shù)據(jù)庫，運用轉換工具實現(xiàn)數(shù)據(jù)到特定語言的轉化，為資源管理等工作提供良好的平臺。在預處理方面，要利用大數(shù)據(jù)技術來將平臺內(nèi)融入數(shù)據(jù)生成功能，提高平臺的兼容性與功能性，保持審計信息的一致性和共享性。在平臺投用階段，要定期進行調試和維護，利用模型測試法來對平臺中的算法、功能、安全等進行測試，結合金融事件監(jiān)測需求選擇科學的建模方法，完成好平臺調試和維護，確保相關的審計工作能夠有序開展[5]。

（四）通盤籌劃機制建設

無線支付、虛擬貨幣、網(wǎng)絡理財產(chǎn)品的出現(xiàn)，在一定程度上影響了人們的日常生活，也為不同的人群帶來了生活便利。但對于商業(yè)銀行為代表的金融行業(yè)來說，則需要面對更多的考驗和挑戰(zhàn)，所以，應該立足創(chuàng)新，依托內(nèi)部環(huán)境來提高自身的信息安全性，力爭建立常態(tài)化安全防范機制。要基于信息安全審計，通盤籌劃機制的建設，從理念上樹立安全意識和防范思想，加強對相關工作的重視程度，深入認識機制建設的重要性，組建相應的內(nèi)審工作小組，做好自身信息安全的預審，為通盤籌劃提供真實的依據(jù)和數(shù)據(jù)。積極構思宏觀層面的機制，將各類先進技術從不同維度進行協(xié)調，提高工作質量，進而促進機制體系形成；大力從微觀層面促進內(nèi)在工作層級的整合，站在戰(zhàn)略高度審視統(tǒng)籌內(nèi)審的相關工作內(nèi)容，為取證、評價等工作提供制度保障。積極明確相關部門的職責和權力，按照具體的工作流程來籌劃機制建設，確保在信息安全審計的過程中，相關人員的行為能夠被有效監(jiān)督，進而更好地履職，切實解決工作中的難題，使商業(yè)銀行能夠掌握信息安全保障成效的同時，根據(jù)實際需要來構建適合自身發(fā)展的機制，進而推動行業(yè)進步。

四、結束語

總而言之，信息安全審計在金融行業(yè)的實踐，不能脫離實際而空談戰(zhàn)略，需要腳踏實地，結合行業(yè)發(fā)展趨勢來探索實踐方法。熟悉國內(nèi)外有關技術標準的規(guī)范，準確研判金融行業(yè)發(fā)展趨勢，拓展新思路、樹立新理念，積極營造安全和諧的行業(yè)發(fā)展環(huán)境，保障金融領域的生態(tài)健康，切實推進商業(yè)銀行自身的健康發(fā)展。