浅谈信息安全审计在金融行业的实践

信息安全审计可以使以商业银行为代表的金融行业持续稳定发展，也对其日常运营有积极的影响，相关从业人员需要积极规划三维立体工作框架，规范先进技术的使用方法，构建良好的工作平台，通盘筹划机制建设，有效改善金融维度有待整合、技术方法存在滞后、审计过程存在漏洞、缺乏具体约束机制的现状。一、信息安全审计概述（一）基本概念信息安全审计是一种揭示各类风险的绝佳手段和有力武器，能够在符合规定的基础上，着实改进信息安全现状。根据预先确定的审计依据并在一定的范围内，对文件、记录、技术、访谈等活动进行查访，给出客观的评价，真实体现被审对象满足依据的程度，在探查合规性要求的同时，主要从组织机构、需求管理、制度建设、风险管理、教育培训、事件管理、业务连续性、IT外包、存储介质、数据库、源代码、网络系统等方面入手，帮助组织全面掌控相关工作的有效性、适宜性。该种审计方法适用性较强，在以商业银行为代表的金融行业中，获得了广泛的应用，金融行业凭借对IT的高度依赖，将单独的信息安全审计与相关工作融合，发挥工作联动的优势来加大对数据的保护力度，有效推进等级保护建设和管理体系的完善[1]。（二）商业银行中的应用近年商业银行的信息化脚步逐渐加快，有力促进了相关业务水平的提升，建立起一套运作流畅、适用性强的业务系统，实现前后台分离，为资金清算、风险管理、稽核等工作提供了强有力的技术支撑。在其高度发展的过程中，一系列风险接踵而至，不仅在一定程度上造成了消极的影响，而且会大幅降低工作效率和经济效益。由此可见，固有风险加大、软硬件脆弱性提高、人为失误、账务与机构糅杂、过于强调产品、服务不到位等问题，对商业银行的信息安全发起了不同的挑战。为保证商业银行的基础业务运营，保障行业健康的发展，当务之急是引入信息安全审计，利用独立的系统来检查、控制各类风险，集中处理各种数据，保证前后账务连续性的同时，将前后业务的规划发展相衔接，为后续的推广、整合等工作做好准备，实现良好的风险管控，出具真实的报告，为管理决策提供科学的参照。二、现代金融行业的发展现状（一）金融维度有待整合以商业银行为代表的金融行业发展过程中，会受到不同的风险影响，而适时开展相应的审计工作，可以有效排查各类经营风险，为后续的发展提供改进建议。但在实际中，部分管理人员没有较强的规划意识，未能根据实际业务量和经营水平来实施内审，导致场景、技术、账户、价值链等金融维度的整合出现不同程度的“缩水”。这在一定程度上会使其自身的业务能力水平下降，进而导致全价值链能力的提升速度放缓，无法凭借既有的金融维度来思考未来的规划，不利于可持续发展和经济效益的提高[2]。（二）技术方法存在滞后金融行业在信息安全审计实践中会将主要精力放在数据甄别上，这在一定程度上会造成对人为失误的审查忽视，容易导致人为风险的扩大，而这也成了商业银行发展中的真实缩影。部分银行的工作技术方法存在滞后性，无法有效甄别财务、管理等信息的真实性，也不能准确界定具体操作的合规性，致使信息安全审计沦为了“形式主义”，容易使潜在的风险扩大。（三）审计过程存在漏洞在信息安全审计的过程中，部分人员会选择应用先进技术来进行辅助，保证出具的报告具有科学性，但却忽视了系统的日常维护和平台的定期调试，导致漏洞出现，使出具的报告内容失真。还有一些工作人员的传统思想根深蒂固，未能革新工作理念，仍沿用具有一定滞后性的技术来开展工作，没有注重网络平台的建设和使用，导致工作效率得不到提升，无法为管理者提供真实可靠的决策依据，影响下一步的工作的开展[3]。（四）缺乏具体约束机制面对互联网科技发展和社会的进步，商业银行的审计部门未能积极的完善相应机制，不能应对互联网金融领域的各项挑战，也会在一定程度上限制部门的整体能力提升。缺乏机制的约束，会导致实际行为失去主观控制和客观约束，不利于统计监测和风险的预警，也会使预审机制与其他机制的联合受到影响，长此以往，不利于金融行业的发展和市场经济的稳定。三、信息安全审计在金融行业的实践策略（一）三维立体框架规划金融行业的发展中，普遍存在各种信息安全风险，而顺应经济发展潮流，借用先进的技术来规划信息安全审计的三维立体框架，可以进一步消除发展的内在、外在威胁和各类风险。商业银行要对自身存在的各类固有风险进行明确，从而合理的规划三维立体框架，对金融IT战略规划、分析、细节设计进行自审，将互联网操作系统或平台安全性进行缜密分析，严格审核开发商的相关资质，也要对互联网金融管理方面的工作进行梳理，对不同形式的经济业务进行风险排查，从而得出操作领域和技术领域中存在的缺陷，为自审提供良好的依据。三维立体框架的规划要基于以上风险，并从管理、技术、策略三角度入手研究，重视科学布局，提出具有前瞻性的审查工作理念，对被审目标等因素做全局性的考量，同时加强对人员、制度的管理，充分整合人力资源，加强技术培训力度，完善各岗位的责任制度，不断充实相对匮乏的现有制度体系。注重工作质量提升，借鉴国内外知名商业银行的先进理念，高质量策划和协调活动，消除质量与运营之间的标准差异，利用三维立体框架，扎实推进信息安全审计工作效能提升[4]。（二）规范技术使用方法技术规范乃是信息安全审计主体采取的手段、规则，主要体现于技术方面的应用、监管、算法、控制等内容，通过前期的预处理和采集，为后续的评估、发现、挖掘提供良好的支持。以商业银行为代表的金融行业，需要不断规范技术的使用方法，从具体的工作中来进行数据测试、联审、日志跟踪、平行模拟、抽点转存等，出具书面报告时，要利用控制矩阵模型、确定性模型等技术，综合考虑相关因素，明确金融行业对于技术使用的监管要求，避免触及法律底线，为管理者出具真实的报告。加强专业化模型的研究力度，在网络检测、统计分析、征信监管等方面细化检测、管理手段，以提高行业的自律性。合理运用算法来提高金融行业的信息安全审计的针对性，大力推进技术使用的规范，参照国外的BSS7799标准、ITIL标准等，结合国内出台的各类条例和办法，在实际工作中探索良好的技术使用规范。根据被审对象特点，针对性的采取方法，适当将技术进行融合，在主体的评价和控制的互联等方面提供良好的保障，致力于相关的规范建设，以获得丰硕的成果。（三）构建挖掘审计平台信息安全审计在金融行业的实践，离不开平台的保障，因此，商业银行需要构建挖掘审计平台，积极挖掘平台的设计与运营方法。基于互联网金融来设计符合商业银行发展的平台，利用网络资源的琐碎特点，采取抽样调查的方法来深挖具有特征的数据，来对总体的数据进行特征估计，为信息安全审计做好准备。合理参照Staffware、MQSeries系统的设计理念，发挥金融数据的异构优势，采集构建挖掘审计平台所需的内容，结合Vectus等实际的案例处理系统来丰富平台功能。审计主体需要基于不同的先进网络系统来建立日志数据库，运用转换工具实现数据到特定语言的转化，为资源管理等工作提供良好的平台。在预处理方面，要利用大数据技术来将平台内融入数据生成功能，提高平台的兼容性与功能性，保持审计信息的一致性和共享性。在平台投用阶段，要定期进行调试和维护，利用模型测试法来对平台中的算法、功能、安全等进行测试，结合金融事件监测需求选择科学的建模方法，完成好平台调试和维护，确保相关的审计工作能够有序开展[5]。（四）通盘筹划机制建设无线支付、虚拟货币、网络理财产品的出现，在一定程度上影响了人们的日常生活，也为不同的人群带来了生活便利。但对于商业银行为代表的金融行业来说，则需要面对更多的考验和挑战，所以，应该立足创新，依托内部环境来提高自身的信息安全性，力争建立常态化安全防范机制。要基于信息安全审计，通盘筹划机制的建设，从理念上树立安全意识和防范思想，加强对相关工作的重视程度，深入认识机制建设的重要性，组建相应的内审工作小组，做好自身信息安全的预审，为通盘筹划提供真实的依据和数据。积极构思宏观层面的机制，将各类先进技术从不同维度进行协调，提高工作质量，进而促进机制体系形成；大力从微观层面促进内在工作层级的整合，站在战略高度审视统筹内审的相关工作内容，为取证、评价等工作提供制度保障。积极明确相关部门的职责和权力，按照具体的工作流程来筹划机制建设，确保在信息安全审计的过程中，相关人员的行为能够被有效监督，进而更好地履职，切实解决工作中的难题，使商业银行能够掌握信息安