JR-T 0146.3-2016 证券期货业信息系统审计指南 第3部分：证券登记结算机构.pdf

1、ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0146.32016 证券期货业信息系统审计指南 第 3 部分：证券登记结算机构 Securities and futures industry audit guideline for information system Part 3:Securities depository and clearing corporation 2016-11-08 发布 2016-11-08 实施 中国证券监督管理委员会 发 布JR/T 0146.32016 I 目 次 前言.II 1 范围.1 2 规范性引

2、用文件.1 3 术语和定义.1 4 信息系统审计概述.2 附录 A（规范性附录）信息技术治理审计底稿.4 附录 B（规范性附录）机房管理审计底稿.24 附录 C（规范性附录）网络管理审计底稿.35 附录 D（规范性附录）运维管理审计底稿.48 附录 E（规范性附录）信息系统安全等级保护相关工作审计底稿.66 附录 F（规范性附录）软件正版化审计底稿.71 附录 G（规范性附录）登记结算系统审计底稿.75 附录 H（规范性附录）重要信息系统审计底稿.104 附录 I（规范性附录）信息系统建设合规审计底稿.134 附录 J（规范性附录）信息系统应用绩效审计底稿.146 附录 K（规范性附录）信息系

3、统托管审计底稿.152 附录 L（规范性附录）信息系统调查表.188 JR/T 0146.32016 II 前 言 JR/T 0146-2016证券期货业信息系统审计指南标准按适用对象分为以下7部分：第 1 部分：证券交易所；第 2 部分：期货交易所；第 3 部分：证券登记结算机构；第 4 部分：其他核心机构；第 5 部分：证券公司；第 6 部分：基金管理公司；第 7 部分；期货公司。本部分为JR/T 0146.3-2016证券期货业信息系统审计指南的第3部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由全国金融标准化技术委员会(SAC/TC180）提出并归口。本部分起草单位：

4、中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券监督管理委员会纪委监察局，上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统计监测中心有限责任公司、全国中小企业股份转让系统有限责任公司、中证信息技术服务有限责任公司，深圳证券通信有限公司、上海期货信息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份有限公司、海通证券股份有限公司。本部分主要起草人：张野、刘铁斌、王东明、陈炜、

5、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、赵明、颜梦、李杰、杜佳铠、郭赫然。JR/T 0146.32016 1 证券期货业信息系统审计指南 第 3 部分：证券登记结算机构 1 范围 本部分给出了证券登记结算机构展信息系统审计的实施指南。本部分适用于中华人民共和国境内设立的证券登记结算机构开展信息系统审计工作。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。本标准将根据规范性引用文

6、件的最新版本定期更新并发布。JR/T 00602010 证券期货业信息系统安全等级保护基本要求（试行）JR/T 00672011 证券期货业信息系统安全等级保护测评要求（试行）JR/T 00992012 证券期货业信息系统运维管理规范 JR/T 01122014 证券期货业信息系统审计规范 JR/T 01332015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。3.1 审计底稿 information system audit manuscript 对获取的相关审计证据，实施的审计程序，以及得出的审计结论作出的记录。3.2 审计程序 audit procedur

7、e 在具体的审计过程中采取的行动和步骤。3.3 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。3.4 审计证据 audit evidence 审计部门和审计人员获取的，用以证明审计事实真相，形成审计结论的证明材料，包括相关制度、日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。JR/T 0146.32016 2 4 信息系统审计概述 4.1 总则 信息系统审计框架由三部分构成：审计输入、审计过程和审计输出。审计输入包括JR/T 0112-2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安全控

8、制相关的特定审计对象和审计方法，输出组件包括一组由审计人员使用的用于确定安全控制有效性的程序化陈述。图1给出了框架。图1 概念性框架 审计对象是指审计实施的对象，即审计过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。制度文档是指针对信息系统所制定的相关联的文件（如：政策、程序、计划、系统安全需求、功能规格及建筑设计）。各类设备是指安装在信息系统之内或边界，能起到特定保护作用的相关部件（如：硬件、软件、固件或物理设施）。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门，是指应用上述制度、设备及安全配置的人。审计方法包括：访谈、检查和测试，审计人员通过这些方法

9、试图获取证据。上述三种审计方法（访谈、检查和测评）的审计结果都用以对安全控制的有效性进行评估。审计输出是审计报告，审计报告应给出审计结论：如果审计结果中没有不符合项，则审计结论为“符合”；如果审计结果存在不符合项，但所产生的安全问题不会导致信息系统存在高等级安全风险，则审计结论为“基本符合”；如果审计结果存在不符合项，且所产生的安全问题导致信息系统存在高等级安全风险，则审计结论为“不符合”。审计输入审计输入 审计输出审计输出 审计过程审计过程 审计方法审计方法 访谈 检查 测试 审计对象审计对象 制度文档 各类设备 安全配置 相关人员 JR/T 0JR/T 0112112-20201414附录

10、附录 A、B、C 证券期货业信息证券期货业信息系统审计规范系统审计规范 审计规程（步骤）审计规程（步骤）访谈规程（步骤）检查规程（步骤）测试规程（步骤）JR/T 0146.32016 3 4.2 使用方法 本标准附录A至附录K分别描述了信息技术治理、机房管理、网络管理、运维管理、信息系统安全等级保护相关工作、软件正版化、交易系统、重要信息系统、信息系统建设合规、信息系统应用绩效、信息系统托管的审计方法。附录L给出了实施信息系统审计时需要的调查数据。审计实施时，审计人员需参考附录A至附录L，完成信息系统审计工作。对于机房管理、网络管理，需每一个机房给出完整的审计底稿。对于重要信息系统，需审计包括

11、但不限于等级保护二级及以上系统，并对每一个重要信息系统给出完整的审计底稿。对于信息系统托管，需每一个提供托管服务的机房给出完整的审计底稿。审计过程中，审计人员需注意对审计记录和证据的采集、处理、存储和销毁，保护其在审计期间免遭破坏、更改或遗失，并保守秘密。JR/T 0146.32016 4 A A 附 录 A（规范性附录）信息技术治理审计底稿 表A.1至表A.2给出了信息技术治理审计的程序、内容及相关记录要求。表A.1 信息技术治理审计底稿 被审计部门：索引号：XXJSZL 审计主题：信息技术治理 审计年度：审计结论、意见及建议：编制人：年 月 日 （部门盖章）复核意见：复核人：年 月 日 （

12、部门盖章）被审计部门意见：年 月 日 （部门盖章）JR/T 0146.32016 5 表 A.1 息技术治理审计底稿（续）审计证据列表：JR/T 0146.32016 6 表A.2 信息技术治理审计底稿 序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.制度和文档管理制度和文档管理 1.1.1.1.管理制度管理制度 1.1.1.是否制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等。检查公司信息安全工作的总体方针和安全策略，查看文件是否明确机构安全工作的总体目标、范围、原则和安全框架等。是 否 不适用 1.1.2.是否建立交付管

13、理、配置管理、值班管理、监控管理、关联单位关系管理等制度。检查运维管理制度是否涵盖交付管理、配置管理、值班管理、监控管理、关联单位关系管理等制度。是 否 不适用 1.1.3.是否根据行业规划和本机构发展战略，制定信息化与信息安全发展规划，满足业务发展和信息安全管理的需要。检查信息化与信息安全发展规划，判断是否规划中根据行业规划和本机构发展战略，制定信息化与信息安全发展规划，满足业务发展和信息安全管理的需要。是 否 不适用 1.1.4.是否建立供应商管理制度，对供应商支持运维服务的相关活动进行统一管理。检查供应商管理制度，查看是否有对供应商支持运维服务的相关活动进行统一管理的规定。是 否 不适用

14、 1.1.5.是否制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。a)检查是否制定信息安全审核和检查制度；b)检查安全审核和安全检查报告，确定是否定期按照程序进行安全审核和安全检查活动。是 否 不适用 1.1.6.是否制定有关管理规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限 a)访谈负责人员调岗和离职管理的人事管理人员，询问员工离岗是否遵循严格的调离手续，离岗员工的访问权限是否及时终止；b)IT技术人员岗位管理相关制度中是否包含制定有关管理规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限；c)抽查审计期内离岗员工的离岗记录，

15、是否具有按照离岗程序办理调离手续的记录，对应的权限取消记录是否留痕；d)抽查审计期内离岗员工使用的主要系统中的用户权限列表，离岗员工使用的账号是否已禁用或取消。是 否 不适用 1.1.7.是否建立机房安全管理制度，对有关机房设备和人员出入，供电，空调，消防，安防等基础设施的运行维护，机房工作人员等进行规范管理 a)是否有机房安全管理制度；b)查看其内容是否覆盖机房设备和人员出入（含物品带进/带出），供电、空调、消防、安防等基础设施的运行维护及机房工作人员管理。是 否 不适用 JR/T 0146.32016 7 表 A.2 信息技术治理审计底稿（续）序号序号 审计项审计项 审计程序审计程序 审计

16、结论审计结论 备注备注 1.1.8.是否指定专门部门负责信息系统的安全建设总体规划、制定近期和长期安全建设计划。a)检查IT组织构架管理，是否指定专门部门负责信息系统的安全建设总体规划、制定近期和长期安全建设计划；b)检查信息系统的安全建设总体规划、近期和长期安全建设计划文档 是 否 不适用 1.1.9.是否制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。检查是否有软件开发方面的管理制度，查看文件是否明确软件设计、开发、测试、验收过程的控制方法和人员行为准则，是否明确哪些开发活动应经过授权、审批等。是 否 不适用 1.1.10.是否制定工程实施管理制度，明确实施过程的控制方法和

17、人员行为准则。检查工程实施管理制度，查看其是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容。是 否 不适用 1.1.11.是否建立运维值班管理制度，对日常操作、监控管理、事件处理、问题处理、数据和介质管理、机房管理、安全管理、应急处置进行规范。检查运维值班管理制度，判断是否对日常操作、监控管理、事件处理、问题处理、数据和介质管理、机房管理、安全管理、应急处置进行规范。是 否 不适用 1.1.12.是否建立文档管理制度，对文档的分类、命名规则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。a)检查是否建立文档管理制度；b)是否对文档的分类、命名规

18、则、编写人、审批人、版本、敏感性标识、发布时间、存放方式、修订记录、废止等做出规定。是 否 不适用 1.1.13.是否建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。a)检查是否建立资产安全管理制度；b)资产安全管理制度是否规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。是 否 不适用 1.1.14.是否建立介质安全管理制度，明确责任人，对介质的存放环境、使用、维护和销毁等方面作出规定。a)是否建立介质安全管理制度；b)制度中明确责任人，对介质的存放环境、使用、维护和销毁等方面作出规定。是 否 不适用 1.1.15.是否建立信息

19、系统数据管理制度，对在线和离线数据的使用、备份、存放、保护及恢复验证等活动进行规范。a)检查是否建立信息系统数据管理制度；b)数据管理制度是否对在线和离线数据的使用、备份、存放、保护及恢复验证等活动进行规范。是 否 不适用 JR/T 0146.32016 8 表 A.2 信息技术治理审计底稿（续）序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.16.是否建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。a)文档审阅，是否建立了基于申报、审批和专人负责的设备安全管理制度；b)文档审阅，设备安全管理

20、是否对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。是 否 不适用 1.1.17.是否建立配套设施、软硬件维护方面的管理制度，明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。a)文档审阅，是否建立了配套设施、软硬件维护方面的管理制度；b)文档审阅，设备管理制度是否明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。是 否 不适用 1.1.18.是否建立计算机相关设备和软件管理制度，对设备和软件的验证性测试、出入库、安装、盘点、维修（升级）、报废等进行规范。a)文档审阅，是否建立了计算机相关设备和软件管理制度；b)文档审阅，管理制度是否对设备和

21、软件的验证性测试、出入库、安装、盘点、维修（升级）、报废等进行规范。是 否 不适用 1.1.19.是否建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告。a)文档审阅是否建立变更管理制度；b)系统发生变更前，是否向主管领导申请；c)变更和变更方案是否经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告。是 否 不适用 1.1.20.是否建立检查审计制度，对运维制度的执行情况和运维工作开展情况定期进行检查和审计，以督促运维工作持续改进。a)检查是否有与 IT 检查审计相关的管理制度，查看其是否要求对 IT

22、运维制度的执行情况和运维工作开展情况定期进行检查和审计；b)检查审计期内的 IT 检查和审计记录，是否每年至少每年进行一次 IT 运维审计。是 否 不适用 1.1.21.是否建立辅助的人工巡检制度，规定巡检内容、频度、人员等。巡检内容应覆盖电力、空调、消防、安防等机房设施，主机、网络、通信、安全等设备的运行状况。巡检结果应及时记录，如遇异常应及时处理，并按规定要求进行报告。检查 IT 运维管理方面的制度，查看制度中是否包括人工巡检方面的内容，是否明确巡检内容、频度、人员、报告等要求，巡检内容是否覆盖审计项中列示的内容。是 否 不适用 JR/T 0146.32016 9 表 A.2 信息技术治理

23、审计底稿（续）序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.22.是否建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定。a)查看是否有网络安全管理制度，覆盖网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面；b)访谈网络管理员，了解是否知悉网络安全管理的相关规定。是 否 不适用 1.1.23.是否建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定。a)访谈负责信息技术规划和信息安全管理的跨部门机构负责人，检查其是否清楚信息安全管理职责；b)检查其是否有信息

24、安全的管理制度文档，是否对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定。是 否 不适用 1.1.24.是否建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。a)访谈安全管理员，了解其是否知道密码使用的相关规定；b)查看国家密码管理局批准使用的密码技术和产品列表，检查是否使用符合国家密码管理规定的密码技术和产品。是 否 不适用 1.1.25.是否建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。检查是否建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。是 否 不适用 1.

25、1.26.是否针对信息系统备份能力的运行制定专项管理制度和操作流程。检查信息技术部门是否针对信息系统备份能力的运行制定专项管理制度和操作流程，查看其内容是否覆盖数据备份、故障备份和灾难备份等方面。是 否 不适用 1.1.27.是否建立问题管理制度，对运维活动中发现的问题进行根本解决，并建立问题库。查看问题管理制度，是否对运维活动中发现的问题建立问题库。是 否 不适用 1.1.28.是否建立软件资产管理制度，或将软件资产纳入本单位资产管理体系，对软件采购、安装、升级等工作流程有严格管理。a)访谈信息技术负责人，是否将软件资产纳入资产管理体系，并对软件采购、安装、升级等流程进行管理；b)检查固定资

26、产管理办法，是否包含软件购置、安装、升级等流程。是 否 不适用 JR/T 0146.32016 10 表 A.2 信息技术治理审计底稿（续）序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 1.1.29.是否制定安全事件报告和处置管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责。a)检查是否有安全事件报告和处置管理制度，查看其是否明确安全事件的级别，明确不同级别安全事件的报告和处置方式等内容；b)检查安全事件处理记录，查看其是否记录引发安全事件的原因，是否记录事件处理过程，是否与管理规定的处理要求一致等。是 否 不适用 1.1.30.是否建立

27、保密制度，并定期或不定期的对保密制度执行情况进行检查或考核。a)检查安全保密制度；b)检查是否对安全保密制度执行情况进行检查或考核，并查看检查记录或考核记录。是 否 不适用 1.2.1.2.评审评审修订修订 1.2.1.是否组织相关人员对制定的安全管理制度进行论证和审定。a)访谈安全主管，询问是否组织相关人员对制定的安全管理制度进行论证和审定；b)检查安全管理制度评审记录，查看是否有相关人员的评审意见。是 否 不适用 1.2.2.信息安全领导小组每年至少组织一次安全管理制度体系的合理性和适用性审定。a)访谈信息安全领导小组负责人，询问信息安全领导小组是否每年至少一次对安全管理制度体系的合理性和

28、适用性进行审定；b)检查安全管理制度体系的评审记录，是否记录了相关人员的评审意见，是否至少每年对安全管理制度体系进行评审。是 否 不适用 1.2.3.每年或在发生重大变更时对安全管理制度进行检查，对存在不足或需要改进的安全管理制度进行修订。a)检查安全管理制度的检查或评审记录，判断是否至少每年或在发生重大变更时，对安全管理制度进行检查；b)检查安全管理制度的修订记录，判断是否对存在不足或需要改进的安全管理制度进行了修订。是 否 不适用 1.2.4.是否建立运维管理制度和操作流程的制定、发布、维护和更新的机制。至少每年一次评审、修订运维管理制度和操作流程。a)检查运维管理制度和操作流程维护办法，

29、是否有关于制定、发布、维护和更新的规定；b)检查评审、修订运维管理制度和操作流程的记录，是否每年对运维管理制度和操作流程进行了评审、修订。是 否 不适用 1.2.5.是否明确需要定期修订的安全管理制度，并指定负责人或负责部门负责制度的日常维护。a)检查是否具有需要定期修订的安全管理制度列表，查看列表是否注明修订周期；b)询问负责制度的日常维护部门的的负责人，了解对需要定期修订的安全管理制度进行修订的周期；c)检查修订记录是否对存在不足或需要改进的安全管理制度进行了修订。是 否 不适用 JR/T 0146.32016 11 表 A.2 信息技术治理审计底稿（续）序号序号 审计项审计项 审计程序审

30、计程序 审计结论审计结论 备注备注 1.2.6.是否根据安全管理制度的相应密级确定评审和修订的操作范围。a)访谈安全主管，询问评审和修订有密级的安全管理制度时对参加评审和修订的人员是否考虑到相应保密要求；b)检查评审和修订记录，判断是否根据安全管理制度的相应密级进行评审和修订。是 否 不适用 1.3.1.3.日常日常操作操作 1.3.1.是否对运维过程中涉及的各类文档进行分类管理，可按照制度文档、技术文档、合同文档、审批记录、日志记录等进行分类，并统一存放。a)检查文档管理制度；b)检查实际文档；c)判断是否对运维过程中涉及的各类文档进行分类管理。是 否 不适用 1.3.2.是否对超范围、超权

31、限使用文档时，保存相关审批、使用记录。检查超范围、超权限使用文档审批和使用记录。是 否 不适用 1.4.1.4.制定制定发布发布 1.4.1.安全管理制度是否通过正式、有效的方式发布。检查安全管理制度的收发登记记录，判断安全管理制度是否能够发布到相关人员手中。是 否 不适用 1.4.2.安全管理制度是否注明发布范围，并对收发文进行登记。a)检查安全管理制度是否是注明发布范围；b)检查安全管理制度的收发文登记记录。是 否 不适用 1.4.3.是否规范文档的发布管理，对文档的版本进行控制。文档标识敏感性、使用范围、使用权限、审批权限等。文档在使用时能读取、使用最新版本，防止作废文件的逾期使用。a)

32、检查文档管理制度；b)检查实际文档；c)判断是否对文档的版本进行控制。d)是否标识文档敏感性、使用范围、使用权限、审批权限等。是 否 不适用 1.4.4.有密级的安全管理制度，是否注明安全管理制度密级，并进行密级管理。a)访谈安全主管，询问对有密级的管理制度是否注明密级，采取相应措施有效管理；b)检查涉密文件登记记录，确认按照相关规定管理有密级的安全管理制度。是 否 不适用 2.2.供应商管理供应商管理 2.1.是否确保安全服务商的选择符合国家、行业的有关规定。访谈安全管理员，询问安全服务商是否通过国家、行业认可的信息安全资质认证。是 否 不适用 JR/T 0146.32016 12 表 A.

33、2 信息技术治理审计底稿（续）序号序号 审计项审计项 审计程序审计程序 审计结论审计结论 备注备注 2.2.是否与选定的安全服务商签订与安全相关的协议，对合作方服务人员提出明确的信息安全要求。检查与安全服务商签订的安全责任合同书或保密协议等文档，查看其内容是否包含保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。是 否 不适用 2.3.是否在与供应商签订的合同中明确其应承担的责任、义务，并约定服务要求和范围等内容。检查与供应商签订的合同，查看是否明确其应承担的责任、义务，并约定服务要求和范围等内容。是 否 不适用 2.4.是否与供应商签署保密协议，不得泄露所服务机构的保密信息，并要求供应商签署承诺书，承诺产品不存在恶意代码或未授权的功能，不提供违反我国法律法规的功能模块，并符合证券期货行业有关技术规范和技术指引。a)检查供应商签署的保密协议，查看是否禁止供应商泄露所服务机构的保