众所周知，对于银行这样一个重要的信息系统，包括网上旷工、蠕虫、操作不当等任何网上风险都可能对核心业务系统造成巨大影响，合规性审计是解决这个问题的有效方法。

    近年来，银行IT系统对银行业务的发展起到极大的推进作用。同时，随着银行业务对IT系统的依赖程度越来越高，IT风险对业务风险的影响也越来越大，而IT风险中70%以上属于操作风险，即由人工操作不当（无意或故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对银行业务的安全运营至关重要。

    因此，合规性审计成为被行业推崇的有效方法。就信息安全审计而言，目前主要是合规性审计。信息安全合规性指银行在建设与运行IT系统中的行为需要符合相关的法律、标准、规范、文件精神的要求。
 
    目前以四大银行为代表的国有银行均已制订了成文的信息安全策略。信息安全策略的贯彻执行需要相应的检查手段，信息安全审计作为银行风险控制的主要内容之一，是检查安全策略落实情况的一种手段。

    银行信息安全审计需求

    我们可以从操作风险生命周期的角度分析信息安全审计在操作风险控制中发挥的作用。操作风险成为现实的事件（或者事故）一般经历三个阶段：隐患、诱发、已发生。

    导致存在操作风险隐患的原因有两点：一是信息安全策略本身存在漏洞；二是信息安全策略没有得到很好的贯彻执行，尤其是缺乏相应的技术保障措施。

    诱发操作风险的原因则多种多样。无论是人为的有意越权访问或者无意误操作，还是各种安全事件（病毒感染、蠕虫爆发、恶意程序植入等），都会把风险变成实实在在的损失。

    操作风险发生后表现为安全事件（事故），对事件（事故）的处理通常遵循如上图所示的流程。

  事件（事故）处理流程

    上述流程正好对应于操作风险的三个阶段，见下表。

    信息安全审计正好包含标识事件、分析事件、收集相关证据等活动，从而为策略调整和优化提供依据。它的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析（操作审计），程序行为的记录与分析（日志分析与审计）。

    一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而提高安全性。
 
    当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案（SOX）与巴塞尔协议（Basel）都对风险控制有明确的要求。前者侧重操作风险控制，后者侧重业务风险（金融交易风险）控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。