淺談信息安全審計在金融行業的實踐

楊穎卓

（福建漳州農村商業銀行股份有限公司，福建 漳州 363000）

信息安全審計可以使以商業銀行為代表的金融行業持續穩定發展，也對其日常運營有積極的影響，相關從業人員需要積極規劃三維立體工作框架，規范先進技術的使用方法，構建良好的工作平臺，通盤籌劃機制建設，有效改善金融維度有待整合、技術方法存在滯后、審計過程存在漏洞、缺乏具體約束機制的現狀。

一、信息安全審計概述

（一）基本概念

信息安全審計是一種揭示各類風險的絕佳手段和有力武器，能夠在符合規定的基礎上，著實改進信息安全現狀。根據預先確定的審計依據并在一定的范圍內，對文件、記錄、技術、訪談等活動進行查訪，給出客觀的評價，真實體現被審對象滿足依據的程度，在探查合規性要求的同時，主要從組織機構、需求管理、制度建設、風險管理、教育培訓、事件管理、業務連續性、IT外包、存儲介質、數據庫、源代碼、網絡系統等方面入手，幫助組織全面掌控相關工作的有效性、適宜性。該種審計方法適用性較強，在以商業銀行為代表的金融行業中，獲得了廣泛的應用，金融行業憑借對IT的高度依賴，將單獨的信息安全審計與相關工作融合，發揮工作聯動的優勢來加大對數據的保護力度，有效推進等級保護建設和管理體系的完善[1]。

（二）商業銀行中的應用

近年商業銀行的信息化腳步逐漸加快，有力促進了相關業務水平的提升，建立起一套運作流暢、適用性強的業務系統，實現前后臺分離，為資金清算、風險管理、稽核等工作提供了強有力的技術支撐。在其高度發展的過程中，一系列風險接踵而至，不僅在一定程度上造成了消極的影響，而且會大幅降低工作效率和經濟效益。由此可見，固有風險加大、軟硬件脆弱性提高、人為失誤、賬務與機構糅雜、過于強調產品、服務不到位等問題，對商業銀行的信息安全發起了不同的挑戰。為保證商業銀行的基礎業務運營，保障行業健康的發展，當務之急是引入信息安全審計，利用獨立的系統來檢查、控制各類風險，集中處理各種數據，保證前后賬務連續性的同時，將前后業務的規劃發展相銜接，為后續的推廣、整合等工作做好準備，實現良好的風險管控，出具真實的報告，為管理決策提供科學的參照。

二、現代金融行業的發展現狀

（一）金融維度有待整合

以商業銀行為代表的金融行業發展過程中，會受到不同的風險影響，而適時開展相應的審計工作，可以有效排查各類經營風險，為后續的發展提供改進建議。但在實際中，部分管理人員沒有較強的規劃意識，未能根據實際業務量和經營水平來實施內審，導致場景、技術、賬戶、價值鏈等金融維度的整合出現不同程度的“縮水”。這在一定程度上會使其自身的業務能力水平下降，進而導致全價值鏈能力的提升速度放緩，無法憑借既有的金融維度來思考未來的規劃，不利于可持續發展和經濟效益的提高[2]。

（二）技術方法存在滯后

金融行業在信息安全審計實踐中會將主要精力放在數據甄別上，這在一定程度上會造成對人為失誤的審查忽視，容易導致人為風險的擴大，而這也成了商業銀行發展中的真實縮影。部分銀行的工作技術方法存在滯后性，無法有效甄別財務、管理等信息的真實性，也不能準確界定具體操作的合規性，致使信息安全審計淪為了“形式主義”，容易使潛在的風險擴大。

（三）審計過程存在漏洞

在信息安全審計的過程中，部分人員會選擇應用先進技術來進行輔助，保證出具的報告具有科學性，但卻忽視了系統的日常維護和平臺的定期調試，導致漏洞出現，使出具的報告內容失真。還有一些工作人員的傳統思想根深蒂固，未能革新工作理念，仍沿用具有一定滯后性的技術來開展工作，沒有注重網絡平臺的建設和使用，導致工作效率得不到提升，無法為管理者提供真實可靠的決策依據，影響下一步的工作的開展[3]。

（四）缺乏具體約束機制

面對互聯網科技發展和社會的進步，商業銀行的審計部門未能積極的完善相應機制，不能應對互聯網金融領域的各項挑戰，也會在一定程度上限制部門的整體能力提升。缺乏機制的約束，會導致實際行為失去主觀控制和客觀約束，不利于統計監測和風險的預警，也會使預審機制與其他機制的聯合受到影響，長此以往，不利于金融行業的發展和市場經濟的穩定。

三、信息安全審計在金融行業的實踐策略

（一）三維立體框架規劃

金融行業的發展中，普遍存在各種信息安全風險，而順應經濟發展潮流，借用先進的技術來規劃信息安全審計的三維立體框架，可以進一步消除發展的內在、外在威脅和各類風險。商業銀行要對自身存在的各類固有風險進行明確，從而合理的規劃三維立體框架，對金融IT戰略規劃、分析、細節設計進行自審，將互聯網操作系統或平臺安全性進行縝密分析，嚴格審核開發商的相關資質，也要對互聯網金融管理方面的工作進行梳理，對不同形式的經濟業務進行風險排查，從而得出操作領域和技術領域中存在的缺陷，為自審提供良好的依據。三維立體框架的規劃要基于以上風險，并從管理、技術、策略三角度入手研究，重視科學布局，提出具有前瞻性的審查工作理念，對被審目標等因素做全局性的考量，同時加強對人員、制度的管理，充分整合人力資源，加強技術培訓力度，完善各崗位的責任制度，不斷充實相對匱乏的現有制度體系。注重工作質量提升，借鑒國內外知名商業銀行的先進理念，高質量策劃和協調活動，消除質量與運營之間的標準差異，利用三維立體框架，扎實推進信息安全審計工作效能提升[4]。

（二）規范技術使用方法

技術規范乃是信息安全審計主體采取的手段、規則，主要體現于技術方面的應用、監管、算法、控制等內容，通過前期的預處理和采集，為后續的評估、發現、挖掘提供良好的支持。以商業銀行為代表的金融行業，需要不斷規范技術的使用方法，從具體的工作中來進行數據測試、聯審、日志跟蹤、平行模擬、抽點轉存等，出具書面報告時，要利用控制矩陣模型、確定性模型等技術，綜合考慮相關因素，明確金融行業對于技術使用的監管要求，避免觸及法律底線，為管理者出具真實的報告。加強專業化模型的研究力度，在網絡檢測、統計分析、征信監管等方面細化檢測、管理手段，以提高行業的自律性。合理運用算法來提高金融行業的信息安全審計的針對性，大力推進技術使用的規范，參照國外的BSS7799標準、ITIL標準等，結合國內出臺的各類條例和辦法，在實際工作中探索良好的技術使用規范。根據被審對象特點，針對性的采取方法，適當將技術進行融合，在主體的評價和控制的互聯等方面提供良好的保障，致力于相關的規范建設，以獲得豐碩的成果。

（三）構建挖掘審計平臺

信息安全審計在金融行業的實踐，離不開平臺的保障，因此，商業銀行需要構建挖掘審計平臺，積極挖掘平臺的設計與運營方法。基于互聯網金融來設計符合商業銀行發展的平臺，利用網絡資源的瑣碎特點，采取抽樣調查的方法來深挖具有特征的數據，來對總體的數據進行特征估計，為信息安全審計做好準備。合理參照Staffware、MQ Series系統的設計理念，發揮金融數據的異構優勢，采集構建挖掘審計平臺所需的內容，結合Vectus等實際的案例處理系統來豐富平臺功能。審計主體需要基于不同的先進網絡系統來建立日志數據庫，運用轉換工具實現數據到特定語言的轉化，為資源管理等工作提供良好的平臺。在預處理方面，要利用大數據技術來將平臺內融入數據生成功能，提高平臺的兼容性與功能性，保持審計信息的一致性和共享性。在平臺投用階段，要定期進行調試和維護，利用模型測試法來對平臺中的算法、功能、安全等進行測試，結合金融事件監測需求選擇科學的建模方法，完成好平臺調試和維護，確保相關的審計工作能夠有序開展[5]。

（四）通盤籌劃機制建設

無線支付、虛擬貨幣、網絡理財產品的出現，在一定程度上影響了人們的日常生活，也為不同的人群帶來了生活便利。但對于商業銀行為代表的金融行業來說，則需要面對更多的考驗和挑戰，所以，應該立足創新，依托內部環境來提高自身的信息安全性，力爭建立常態化安全防范機制。要基于信息安全審計，通盤籌劃機制的建設，從理念上樹立安全意識和防范思想，加強對相關工作的重視程度，深入認識機制建設的重要性，組建相應的內審工作小組，做好自身信息安全的預審，為通盤籌劃提供真實的依據和數據。積極構思宏觀層面的機制，將各類先進技術從不同維度進行協調，提高工作質量，進而促進機制體系形成；大力從微觀層面促進內在工作層級的整合，站在戰略高度審視統籌內審的相關工作內容，為取證、評價等工作提供制度保障。積極明確相關部門的職責和權力，按照具體的工作流程來籌劃機制建設，確保在信息安全審計的過程中，相關人員的行為能夠被有效監督，進而更好地履職，切實解決工作中的難題，使商業銀行能夠掌握信息安全保障成效的同時，根據實際需要來構建適合自身發展的機制，進而推動行業進步。

四、結束語

總而言之，信息安全審計在金融行業的實踐，不能脫離實際而空談戰略，需要腳踏實地，結合行業發展趨勢來探索實踐方法。熟悉國內外有關技術標準的規范，準確研判金融行業發展趨勢，拓展新思路、樹立新理念，積極營造安全和諧的行業發展環境，保障金融領域的生態健康，切實推進商業銀行自身的健康發展。