ICS 03.060 A 11 JR 中华人民共和国 金融行业标准 JR/T 0146.5—2016 证券期货业信息系统审计指南 第5部分：证券公司 Securities and futures industry audit g uideline for information system — Part5: Securities companies 2016 - 11 - 08 发布 2016 - 11 - 08 实施 中国证券监督管理委员会 发布JR/T 0146.5 —2016 I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 信息系统审计概述 ................................ ................................ .. 2 附录A（规范性附录） 信息技术治理审计底稿 ................................ ............ 4 附录B（规范性附录） 机房管理审计底稿 ................................ ............... 25 附录C（规范性附录） 网络管理审计底稿 ................................ ............... 35 附录D（规范性附录） 运维管理审计底稿 ................................ ............... 48 附录E（规范性附录） 信息系统安全等级保护相关工作审计底稿 ........................... 69 附录F（规范性附录） 软件正版化审计底稿 ................................ ............. 74 附录G（规范性附录） 集中交易系统审计底稿 ................................ ........... 78 附录H（规范性附录） 网上信息系统审计底稿 ................................ .......... 108 附录I（规范性附录） 第三方存管系统审计底稿 ................................ ........ 144 附录J（规范性附录） 重要信息系统审计底稿 ................................ .......... 173 附录K（规范性附录） A型营业部审计底稿 ................................ ............ 200 附录L（规范性附录） B型营业部审计底稿 ................................ ............ 210 附录M（规范性附录） C型营业部审计底 稿 ................................ ............ 220 附录N（规范性附录） 信息系统托管审计底稿 ................................ .......... 223 附录O（规范性附录） 信息系统调查表 ................................ ................ 259 JR/T 0146.5 —2016 II 前 言 JR/T 0146-2016 《证券期货业信息系统审计指南》 标准按适用对 象分为以下7部分： ——第1部分：证券交易所 ； ——第2部分：期货交易所 ； ——第3部分：证券登记结算 机构； ——第4部分：其他核心机构 ； ——第5部分：证券公司 ； ——第6部分：基金管理公司 ； ——第7部分：期货公司。 本部分为 JR/T 0146.5 -2016《证券期货业信息系统审计指南》的第 5部分。 本部分按照 GB/T 1.1 -2009给出的规则起草。 本部分由全国金融标准化技术委员会 (SAC/TC180 ）提出并 归口。 本部分起草单位：中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券 监督管理委员会纪委监察局，上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、 大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有 限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统 计监测中心有限责任公司、 全国中小企业股份转让系统有限责任公司、 中证信息技术服务有限责任公司， 深圳证券通信有限公司、上海期货信息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份 有限公司、海通证券股份有限公司。 本部分主要起草人：张野、刘铁斌、王东明、陈炜、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、 王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、 赵明、颜梦、李杰、杜佳铠、郭赫然。 JR/T 0146.5 —2016 1 证券期货业信息系统审计指南 第5部分：证券公司 1 范围 本部分给出了证券公司开展信息系统审计的实施 指南。 本部分适用于中华人民共和国境内设立的证券公司及下属公司开展信息系统审计工作 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。本标准将根据规范性 引用文件的最新版本定期更新并发布。 JR/T 0060 —2010 证券期货业信息系统安全等级保护基本要求（试行） JR/T 0067 —2011 证券期货业信息系统安全等级保护测评要求（试行） JR/T 0099 —2012 证券期货业信息系统运维管理规范 JR/T 0112 —2014 证券期货业信息系统审计规范 JR/T 0133 —2015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 审计底稿 information system au dit manuscript 对获取的相关审计证据，实施的审计程序，以及得出的审计结论作出的记录。 3.2 审计程序 audit procedure 在具体的审计过程中采取的行动和步骤。 3.3 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。 3.4 审计证据 audit evidence 审计部门和审计人员获取的，用以证明审计事实真相，形成审计结论的证明材料，包括相关制度、 日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。 JR/T 0146.5 —2016 2 4 信息系统 审计概述 4.1总则 信息系统审计框架由三部分构成：审计输入、审计过程和审计输出。 审计输入包括 JR/T 0112 -2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安 全控制相关的特定审计对象和审计方法， 输出组件包括一组由审计人员使用的用于确定安全控制有效性 的程序化陈述。图 1给出了框架。 图1 概念性框架 审计对象是指审计实施的对象，即审计过程中涉及到的制度文档、各类设备及其安全配置和相关人 员等。制度文档是指针对信息系 统所制定的相关联的文件（如：政策、程序、计划、系统安全需求、功 能规格及建筑设计） 。各类设备是指安装在信息系统之内或边界，能起到特定保护作用的相关部件 （如： 硬件、 软件、固件或物理设施）。 安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。 相关人员或部门，是指应用上述制度、设备及安全配置的人。 审计方法包括：访谈、检查和测试，审计人员通过这些方法试图获取证据。上述三种审计方法（访 谈、检查和测评）的审计结果都用以对安全控制的有效性进行评估。 审计输出是审计报告， 审计报告应给出审计结论： 如果审计结果中没有 不符合项， 则审计结论为 “符 合”；如果审计结果存在不符合项，但所产生的安全问题不会导致信息系统存在高等级安全风险，则审 计结论为“基本符合”；如果审计结果存在不符合项，且所产生的安全问题导致信息系统存在高等级安 全风险，则审计结论为“不符合”。 审计输入