安永-平安IT稽核项目建议书-技术方案-201502

中国平安IT稽核项目建议书

2015年2月声明本建议书中所包含之内容属保密内容，未经安永（中国）企业咨询有限公司正式书面允诺，不得部分或全部复制，不得使用于非法目的，不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。机密

致：平安集团尊敬的领导：您好！首先，十分感谢平安集团稽核监察部（以下简称“贵公司”）给予安永机会，邀请我们对2015年度内审咨询服务项目工作方案进行介绍，安永对此深感荣幸，并且十分重视这个能为贵公司竭诚服务的机会。安永拥有为国内外众多金融行业提供内部审计和风险管理咨询服务的经验，可以更好地满足金融行业客户管理和控制风险的需求。我们有信心基于下列的实力和优势，为贵公司提供优质服务：安永单独设立金融风险服务部，并占有全球内审咨询服务一半的市场份额拥有国内大中型金融机构内部审计，以及风险管理和内部控制体系建设的成功经验拥有国内外先进内审实务和咨询经验的专注为金融机构提供服务的核心团队安永高层对项目的重视及长期服务贵公司的愿望所有合作过的客户给予我们有关项目成果和知识转移的高度评价我们在此向各位进一步介绍安永对贵公司此次内审咨询项目服务需求的理解以及我们的服务方案。我们将本着成本效益的原则，积极结合贵公司的经营目标和文化，通过我们卓越的专业服务协助贵公司完善和优化风险管理与内部审计体系。我们坚信自己是贵公司完成本项目的最佳合作伙伴。如果贵公司希望与我们进一步沟通项目方案的更多细节，请随时与我们联系。

顺颂商祺！

2015年02月25日安永(中国)企业咨询有限公司中国上海市浦东新区世纪大道100号环球金融中心50楼邮政编码:200120电话:+86212228

8888传真:+8621

2228

0610Ernst&Young(China)AdvisoryLimited50thFloorShanghaiWorldFinancialCenter100CenturyAvenuePudongNewAreaChina200120Tel:+862122288888

Fax:+86

2122280610

吴翠蓉金融服务合伙人赵晓京金融服务管理合伙人李敏敏信息科技风险咨询与审计服务合伙人冯绍坤信息科技风险咨询与审计服务合伙人目录2为什么选择安永项目需求解读143IT稽核项目5项目关键成功因素6内审基本方法论项目成员简历项目需求解读1对项目需求的理解及安永的回应

贵公司的需求安永的回应结合外部咨询顾问对行业特点、监管要求、同业经验的了解，制定出切实有效的稽核方案，在检查中全面覆盖被稽核单位的所有流程和模块并突出高风险领域，并能针对发现的问题准确定性和提出有效管理建议；外部咨询顾问能够针对平安的实际情况提供稽核思路、程序和方法，提升项目质量；通过外部咨询顾问的指导和培训，学习到外部咨询顾问的项目管理经验、审计思路和方法，提升内部稽核人员的专业素质和业务技能；IT稽核项目涉及领域广泛，需要涉及的专业内容范围大，技术更新速度快，希望能够从顾问公司处得到学习和提升；通过外部咨询顾问对同行业经验的分享，获取同行业有效经验，通过对行业违规案例或风险事件等信息资源的了解，以达到借鉴行业相关经验以避免类似问题出现的效果。审阅贵公司现有的内部审计方法和流程，分析其与国内、外领先操作方法的差异，结合行业特点、监管要求和同业经验，协助公司建立、完善业界领先、符合公司要求的内部稽核、审计方法体系，突出风险导向的整体思路；根据上述方法体系，协助公司进行有效的风险分析，充分考虑年度具体情况，制定出2015年度审计方案，包括审计思路、风险识别与评估、审计程序与方法、外部法律法规清单等；通过专题培训和共同工作中的实时交流、阶段性总结及研讨，实现向贵公司内部审计团队的知识转移。随着贵司综合金融战略、互联网金融战略的快速推进以及信息技术的不断发展，内各项业务对信息系统的依赖程度日益增强、面临的信息技术和安全风险日益严峻，监管机构和管理层对信息科技风险的管控日益高度重视，并对稽核工作提出了新的工作要求。项目关注重点支付公司及互联网公司面临系统建设、信息安全管控、web安全漏洞等方面风险，同时面临的外部技术及信息安全高速发展的挑战。且由于互联网风险的交叉传播性，一旦出现信息安全事件，短时间内即可能造成严重损失，风险的影响和后果将不断扩大和加深。证监会逐步放宽监管政策，证券行业融资融券、量化高频、资产证券化等业务规模日益攀升，证券公司面临技术风险、交易资金、内幕交易风险。保监会实施放开前端，管住后端的监管新政，保险公司正在逐步拓展投资业务，开展量化交易、股指期货、第三方业务等。养老险年金投资业务已逐步搭建一套投资业务系统平台。需依据保监会监管指引要求针对养老险投资系统平台进行全面检视，及时发现和降低投资业务风险。移动计算的日益发展导致企业界限变得越发模糊不清，也使得IT与用户的距离越来越近，同时与企业的距离却越来越远。互联网、智能手机和平板电脑（以及自带设备办公）的使用使企业的数据在任何地方都可以被访问。需加强对支付公司、互联网公司的移动互联安全检视。内部审计作为公司治理和风险控制的重要部门，需要随着公司的综合金融战略、互联网金融战略，将公司所关注的基本目标作为自己的战略目标，突出对重要领域、重点业务和重大风险的审计覆盖。内部审计需根据相关的监管要求、行业惯例和同业经验，全面识别公司在体制、机制与流程上存在的风险与控制问题，为董事会和管理层决策提供可靠的依据，将风险控制在可接受的水平，促进全公司的风险管理、内部控制和公司治理机制的有效运作，实现内审价值的最大化。一是风险识别水平亟待提高急剧增加的业务量和人员的限制，迫切要求内审部门通过对风险的识别、评估与排序，正确地判断全公司主要业务的风险，并以此确定审计重点，保证审计范围覆盖各重要风险，同时合理地配置审计资源、提高审计效率。二是审计手段亟待创新要求内审部门尽快建立现代化的审计方法和系统，实现从手工到电子、从现场逐个审计到非现场批量审计的转变。进一步提升安全性测试工作的专业度，更有效地控制安全攻击事件对信息系统造成的影响，满足审计和监管要求，促进专业信息安全管理体系的建立。本项目的需求整合和建立一个适合

贵公司需要的内部审计结构，改进内部审计流程和方法内部审计面临的转型挑战职能定位带来新挑战为什么选择安永2安永是国际上最大的管理咨询及审计专业服务机构之一，在国内及国外的排名中均处于同行业前三名的领导地位。安永资产规模雄厚,收益水平同业领先；安永全球的700多家机构遍及全球140多个国家和地区，拥有超过175,000名专业人士。根据国际知名信息技术研究机构Forrester在2013年发布的信息安全咨询公司评估结果。越靠右上角说明该公司的整体信息安全风险咨询能力越强从分析结果可以看出，安永在业内处于第一梯队中的领先者地位安永全球安永简介安永是全球信息安全咨询领域领导者最近的出版物包括：信贷风险管理，流动性问题（根据全球信贷紧缩），以及重要的法规更新如巴赛尔新资本协议。利用我们比其他职业事务所更多的内部审计的经验，安永在全球已经形成了一套行之有效的内部审计执业的知识。我们结合国际内部审计框架和标准，制定了一套结构性的方法来制定标准和评估流程。我们内部审计的经验根据商业周刊，对于全球1000强，作为外部服务的提供商，我们的市场份额接近于50％。安永是第一家提供内部审计服务的职业事务所，早在1990年初期，就有了专职的从事内部审计服务的员工。如今，我们一共有超过10,000名的受过专业训练的从事内部审计服务的员工，这其中大约四分之一专注服务于金融机构。我们所有的员工都是受过完整培训的内部审计师，采用我们全球中心制定的审计方法论、审计工具和培训项目。

我们很自豪地成为了四大中提供内部审计服务的全球行业领袖，我们为全球1000强，500强和100强公司提供内部审计服务，几乎占到了40％的市场份额，比其他任何一家事务所都多。行业中心我们金融服务内部审计专家由全球的3个行业中心支持，分别是：资产管理（伦敦），保险（纽约）和银行与资本市场（纽约）。这些中心设计出针对不同行业的审计方法论，使我们能始终处于行业的前沿。尤为重要的是，这些中心会快速更新一些期刊，帮助我们从事风险和内部审计服务的专业人员注意到我们客户所面对的不断出现的问题。大连北京上海广州深圳香港澳门武汉成都苏州天津杭州厦门青岛华北区（北京）信息安全团队人数：40+华中区（上海、武汉）ITRA团队人数：40+华南区（香港、深圳、广州）信息安全团队人数：30+安永信息安全风险咨询团队安永在大中华区有超过100人的信息安全风险管理咨询顾问，包括来自于中央企业、银行、保险、其他知名的管理咨询公司、电信运营商的信息安全主管等。顾问。顾问有不同的背景专长，技能覆盖信息安全领域的各个方面，例如ISO27001、ISO20000/ITIL、数据防泄密、信息安全规划、源代码安全、开发生命周期安全、运维安全、移动安全、业务连续性、渗透测试技术评估等。我们在中国地区的信息安全风险咨询团队：在中国有超过100位专注于信息安全风险的顾问专家，其中具有ISO27001

LA资质的顾问超过80人。他们拥有下面专业证书资质:ISO27001LAISO20000LAITILexpertCISACISSPCISMCBCPPMP数据泄露防护专家资质国家信息安全等级保护测评师安永信息安全咨询团队信息技术风险管理及内部审计的资质安永部分大中华区客户（信息技术风险和信息安全）上海证券交易所中国金融期货交易所中国银联申银万国证券东方证券诺亚财富中国银行工商银行建设银行招商银行民生银行国家开发银行中国人民保险(PICC)大众银行瑞士银行花旗集团兴业银行支付宝快钱翼支付中国互联网信息中心（CNNIC）中国银联数据盛大网络中国移动微软中国中国体育彩票海尔集团欧莱雅集团康宝莱(中国）迪斯尼联嘉云集团康泰纳仕集团立邦涂料高通（Qualcomm）华三通信(H3C)联发科技奥林巴斯CGV国际影城中华电信广盛(广州)软件宇通集团华晨宝马摩托罗拉天合光能华为控股华为技术源讯香港香港中华电力平安银行宁波银行烟台银行齐鲁银行渣打银行汇丰银行星展银行澳新银行首都银行友利银行瑞银集团国泰金控兆丰金控光大银行恒丰银行民生租赁安盛保险集团金融行业非金融行业证券&互联网行业百度支付宝一号店去哪儿网艺龙网当当网拉手网500彩票网汽车之家苹果谷歌亚马逊惠普英特尔甲骨文脸谱国泰君安证券上海证券中信证券中信建投证券安信证券中银国际证券华林证券西南证券浙商证券陆金所华夏基金华安基金汇添富基金嘉实基金易方达基金富国基金IT审计客户安永在本项目涉及的各个领域均拥有丰富的成功案例1.中国最大的第三方支付公司核心信息系统数据泄漏风险评估（2014）项目描述：项目内容包括核心业务部门工作流程梳理，识别核心数据;核心信息系统审阅，识别敏感数据泄露风险点;核心网络设备IT一般控制审阅；信息系统弱点/漏洞扫描;文件共享系统权限审阅、非合规共享识别;核心B\S应用系统渗透测试;外包业务风险评估以及移动应用终端风险评估。2.国内最大的基于安全芯片的手机支付服务提供商支付交易风险管理体系建设（2014）项目描述：通过数据挖掘与建模的方式，建立客户风险评分体系，提升风险管理的能力，包括提升可疑交易识别精准率、降低可疑交易识别误判率、平衡客户体验与风险管控、降低风险运营的成本。项目主要发挥作用：与互联网支付行业内的优秀风险管理实践对标、使用数据挖掘与建模手段建立客户风险评分体系以及通过培训与现场交流达成知识传递3.某综合类证券公司信息技术全面审计（2014）项目描述：按照“识别、诊断、评估、交付和维持”的方法，为该公司提供满足监管要求的信息技术专项审计服务，审计参考标准包括十余份监管机构颁布的IT治理及内部控制相关指引；通过访谈、穿行测试、控制测试，对监管要求的关注点进行逐条现场测试，全面排查信息系统安全管理的设计和执行漏洞，形成控制缺陷汇总表以及内部审计报告。4.某综合类证券公司网上交易系统技术评估（2013）项目描述：从安全控件测试、本地客户端测试、安全通讯测试、认证管理、会话管理、权限控制、数据验证、隐私保护测试、合规性测试等各个角度对网上交易系统以及移动证券进行安全评估;帮助公司在各类交易系统找到70余个会影响业务安全的高危与中等程度漏洞，10次试图入侵的痕迹。5.某国内领先的电子商务公司在线商城的信息安全评估（2014）项目描述：作为一站式销售服务的电子商务平台，对于IT系统的响应提出了更高的要求，该公司管理团队期望实施全面的信息安全评估。基于业务需求和行业特点，结合OWASP和安永在应用安全方面的经验，对电商系统进行全面的安全测试和诊断，找出已知的或潜在的安全问题及原因。从PCI-DSS和ADSS的安全要求出发进行差距分析，并提供相应的整改建议。6.平安资产管理公司IT内部审计项目（2014）项目描述：项目内容为针对公司各业务条线（投资研究、交易、清算、估值、投资风险绩效管理、风控等）的各个系统的应用控制进行评估，同时根据保监会三大指引评估公司信息技术管理流程控制的有效性，并出具内审报告。内审基本方法论3中国内部审计法律法规介绍《内部审计基本准则》《总则》《一般准则》《作业准则》《报告准则》《内部管理准则》《内部审计具体准则》包含29号具体实施准则：《内部审计实务指南》《内部审计实务指南第1号―建设项目内部审计》《内部审计实务指南第2号―物资采购审计》《内部审计实务指南第3号—审计报告》《内部审计实务指南第4号—高校内部审计》《内部审计实务指南第5号—企业内部经济责任审计指南》《中华人民共和国审计法》（中华人民共和国主席令第48号）《中华人民共和国审计法实施条例》（国务院令第571号）中国内部审计准则(中国内部审计协会）审计法审计计划审计通知书审计证据审计工作底稿内部控制审计舞弊的预防检察和报告审计报告后续审计内部审计督导内部审计与外部审计的协调结果沟通遵循性审计评价外部审计工作质量利用外部专家服务分析性复核风险管理审计审计抽样重要性与审计风险内部审计质量控制人际关系内部审计的控制自我评估法内部审计的独立性与客观性内部审计机构与董事会或最高管理层的关系内部审计机构的管理经济性审计效果性审计效率性审计信息系统审计内部审计人员后续教育中国内部审计法律法规介绍中国保险监督管理委员会关于印发《保险公司内部审计指引（试行）》的通知(保监发[2007]26号),明确料保险公司内部审计工作在以下几方面的基本要求:

机构与人员职责与权限工作机制责任追究2012年4月1日，保监会发文“关于实施《保险稽查审计指引》有关事项的通知”（保监稽查[2012]370号），要求各保险公司、保险资产管理公司对《指引》进行学习。《指引》是保险稽查审计工作发展到一定阶段的产物《指引》构筑了保险稽查审计制度框架体系《指引》既体现了全面性、合规性、技术性、操作性的原则，又有一定的理论性《指引》各手册自颁布之日起实施。各公司稽核审计工作内部流程、制度规范达不到《指引》相关手册标准的，应当在各手册颁布后6个月内完成制度完善相关工作，确保最迟于手册颁布半年后达到标准。太保、人保、国寿、中再、太平、平安等6大集团参与安永的团队也参加了其中的编撰工作《保险公司内部审计指引》与《保险稽查审计指引》

已经颁布的指引(截至2012年12月)：12345《基本手册》《财务分册》《公司层面内部控制手册》《人身保险业务分册》《资金运用分册》主要阐释保险稽查审计的基本理论、程序、标准和实务规范等内容系统介绍了对保险公司财务管理的各个重点领域开展稽查审计的主要方法、实务规范等内容系统介绍了开展公司层面内部控制稽查审计的主要方法和实务操作规范重点讲述人身保险业务稽查审计的思路和方法全面介绍了对保险资金运用开展稽查审计的主要方法和实务操作规范中国内部审计法律法规介绍

《财产保险业务分册》《再保险业务分册》《反洗钱分册》重点讲述财产保险业务稽查审计的思路和方法重点讲述再保险业务稽查审计的思路和方法主要介绍了对反洗钱工作开展稽查审计的主要方法和实务操作规范等内容678《保险稽查审计指引第4号：人身保险业务分册》《保险稽查审计指引第5号：资金运用分册》《保险稽查审计指引第3号：公司层面内部控制手册》《保险稽查审计指引第2号：财务分册》《保险稽查审计指引第1号：基本手册》《保险稽查审计指引第6号：财产保险业务分册》《保险稽查审计指引第7号：再保险业务分册》《保险稽查审计指引第8号：反洗钱分册》关于《保险稽查审计指引》内部审计的角色和定位内部审计的管理与组织架构取决于内审职能在公司中的角色与定位，并与企业的组织架构、审计委员会和管理层对内部审计的预期、企业文化及发展密不可分。因此，没有任何一种内审管理与组织模式是对所有的公司都是最佳的。很多企业的内审职能都在不同程度上扮演着多种角色。随着内部审计职能的角色与定位的不同，其独立性的程度不同，管理架构也会受到相应的影响。咨询与建议内部控制合规独立监督检查内部控制管理咨询与建议内部控制合规独立监督检查内部控制管理高

独立性

低内审工作现状增值型内部审计目前的内部审计只关注于传统的财务信息内部审计的资源不够丰富，以致受资源限制无法制定及时的审计计划内审贡献衡量标准评分将内部审计的目标和组织目标结合提供足够的内审资源发现有价值的问题并设计改进计划以提高风险管理的能力首席财务官和审计委员会评价审计范围的充分性对审计进度进行阶段性的审阅被审单位的管理层设定相应的回应措施时限根据风险评估的结果，重大的风险都被关注了审计计划得到了良好的执行被审单位对审计小组的工作非常满意增值型的内部审计信息技术专项内部审计流程安永的专项审计服务更关注于内部审计的价值创造职能，通过安永的内部审计专业团队，为客户提供增值服务。维持实施设计诊断识别确定内部审计资源确定审计的时间日程制定审计策略制定具体审计方案开展审计需求评估确定关键风险及覆盖范围基于对内审对象的分析确定审计范围开展访谈，进行文档审阅识别主要审计关键点设计详细的审计程序与步骤就设计的审计程序步骤获取审计委员会或审计主管部门的认可穿行测试控制测试样本记录缺陷描述和改进建议对缺陷整改进行优先级排序步骤一步骤三步骤二步骤四步骤五确认审计实施的进度持续的知识转移对公司持续改进的后续支持动态内审的循环识别步骤一11.3制定审计策略与公司指定的审计项目负责人制定关键的审计策略，审计策略应当与公司一段时期内的战略实施计划与执行情况相匹配；确定专项审计的基本范围、各方的权利与职责、汇报路径及报告编制需求等内容；获取审计委员会或其他审计主管机构对审计策略的认可1.4制定具体审计方案

清晰定义审计所需的资源以及审计人员的内部分工制定专门的审计项目管理协调人员与相关被深单位就审计项目的开展计划达成共识明确审计人员的独立性要求确定内部审计资源确定审计的时间日程制定审计策略制定具体审计方案1.2确定审计的时间日程明确时间计划安排并指导和监控整个审计计划的制定程序，确保审计计划可以在规定的时间内顺利完成。1.1确定内部审计资源确定内部审计的参与人员、涉及部门、投入预算等。信息技术专项内部审计流程2.1开展审计需求评估与公司审计机构负责人以及被审计流程相关负责人研讨，并获取下列信息：战略实施计划、经营目标；流程图、流程描述及过往风险评估文档现有风险地图及风险应对策略过往内部控制自我评价结果过往内部控制文档（如：企业内部控制基本规范遵循相关文档）与管理层讨论风险关注点对运营状况进行数据分析明确运营过程中所需遵循的合规性要求2.2确定关键风险及覆盖范围结合公司的战略目标及分解后的经营目标确定审计需覆盖的关键风险点将关键风险点与其所属的风险负责机构或风险负责人相配对对关键风险点进行再评估诊断步骤二开展审计需求评估确定关键风险及覆盖范围基于对内审对象的分析确定审计范围2.3基于对内审对象的分析确定审计范围根据以上对内审对象的风险评估和分析结果，与管理层进行沟通，获得管理层反馈意见，最终确定内审工作范围，审计范围应包括各业务领域和业务流程信息技术专项内部审计流程3.3

设计详细的审计程序与步骤根据审计需求评估及关键风险评估的结果编制具体审计程序与步骤制定审计资源投放计划及项目预算制定被审计单位所需配合的事项清单制定审计资料提供清单3.4获取审计委员会或审计主管部门认可审计计划再评估获取审计委员会及其它审计主管机构对审计计划、程序与步骤的认可设计步骤三开展访谈，进行文档审阅识别主要审计关键点设计详细的审计程序与步骤就设计的审计程序步骤获取审计委员会或审计主管部门的认可3.1

开展访谈，进行文档审阅根据审计需求评估及关键风险评估的结果编制具体审计程序与步骤与内部审计人员和主要利益相关者进行访谈，了解他们对内部审计职能部门表现的看法并关注他们的需求。访谈和文档审阅主要确认公司以下五个关键领域的现状：

内部审计的任务和风险职能作用

内部审计人员的能力审计业务风险评估和审计计划内部审计工作质量复合内部审计发现报告的关联性3.2

识别主要审计关键点对已确定审计对象的关键节点进行分析信息技术专项内部审计流程4.1穿行测试穿行测试指追踪一项流程从最初起源，到其各个操作环节和文档流转，直到这项流程处理完毕穿行测试是为了检验流程描述中的控制点是否真实存在及对有关控制点运作的理解是否正确进行验证和确认实施步骤四穿行测试控制测试样本记录缺陷描述和改进建议对缺陷整改优先级的排序4.2控制测试控制测试的目的是确认公司内部控制的有效性，运行与实施的完整性，并获取充分的证据以支持管理层内控评价有效性的结论控制测试的关键点包括记录控制测试的过程，对控制测试的结果进行分析，处理测试发现的问题4.3样本测试确认抽样范围的全面性，从样本总体中抽取的样本的随机性和有效性，保证样本的选取不受人为因素的影响而有失偏颇4.4缺陷描述和改进建议从整体控制目标实现的角度出发识别并记录缺陷，针对每个控制缺陷项目进行汇总整理并编制包括控制缺陷描述、涉及的岗位及整改方案等内容的缺陷报告，制定缺陷整改计划并跟踪整改落实的进度4.5对缺陷整改优先级的排序根据缺陷的影响程度和可整改性两个维度对缺陷整改进行优先级排序信息技术专项内部审计流程维持步骤五5.1确认审计实施的进度编制审计报告初稿与审计机构负责人共同审阅审计报告初稿对审计的剩余风险进行分析向审计委员会或审计主管机构提交最终审计报告5.3对公司持续改进的后续支持协助公司跟进后续整改情况为公司的具体整改措施提供咨询对公司未来2-5年的持续审计方向提供建议5.2持续的知识转移在项目开展前与开展过程中根据审计阶段性需要为公司审计人员提供关于审计方法论、行业标杆等方面的培训在审计过程中通过共同工作的方式将安永的具体审计方法转移给公司审计团队在项目结束时进行审计效益分析与经验分享确认审计实施的进度持续的知识转移对公司持续改进的后续支持动态内审的循环5.4动态内审的循环内部审计的工作不是一劳永逸的，要达到内审的终极目的，发现运营中隐藏的问题，公司需要持续动态地进行内部审计工作信息技术专项内部审计流程IT稽核项目4项目工作团队架构

安永项目总负责人项目管理办公室项目经理项目小组领导项目管理办公室、具体评审项目计划、召开项目阶段性评审会；审阅项目进度情况汇报、协调项目资源分配；定期向项目发起人和项目领导小组进行汇报等；是项目管理小组的常设机构，负责项目整体进度的监督、项目的推进与协调、发现问题的沟通与跟进、项目资源的合理分配、出现问题的解决等；负责合理分配项目资源、监督项目各项制度要求的执行情况、对项目小组的工作进度进行监督等项目小组日常管理工作等；服从项目经理的工作安排，经项目管理办公室批准，项目经理可以对项目小组成员、任务及时间安排做出调整；在项目实施过程中，各项目小组负责人对项目小组内具体人员、任务及时间安排负责，对小组成员工作进行复核，并确保项目小组工作进度等。平安负责批准项目实施范围、确定项目实施方法、评审项目计划、召开项目阶段性评审会（必要时对项目阶段报告进行评审）；对项目总结报告进行评审、监督项目管理相关制度的执行、对项目进行过程中的重大里程碑和重大变更计划作出决定以及决策项目的整体方向等；领导小组工作小组在安永咨询的协助下开展项目实施范围、项目实施方法、评审项目计划、召开项目阶段性评审会、对项目的实施进行监督等工作；帮助项目的推广与进行。协调项目和推动项目进程，推动本次项目的执行控制与交付；沟通、跟进解决发现的问题；保证项目资源及资源分配；监督项目进度，处理在高层可能出现的冲突等；项目各阶段需要贵方配合的主要工作积极配合安永开展各类访谈和会谈；组织和协助提供所需审阅的支持性文档；组织对应负责人对工作底稿的内容进行反馈和确认，听取工作汇报，提出对下阶段工作的意见；反馈并确认安永提出的项目建设总体目标、基本原则和主要任务；听取总体框架设计汇报，沟通并解决设计主要问题；对于集团公司和各个子公司、各个部门之间的沟通机制提出自身的看法和建议；准备相关资料，供安永咨询团队审阅；与安永讨论并确认关键业务风险及涉及的重要领域/流程，共同探讨项目建设的各类方法；结合公司现阶段的现状，确定项目成果的交付形式对于安永提出的交付品需求提出反馈意见；对于安永提出的流程完善建议和发现问题进行分析和跟踪；了解项目培训计划，确定需要参加培训的各项目机构人员；对工作模板的组成要素提出建议；组织对应负责人对计量模板的内容进行反馈和确认；提出对交付品方案的初步设想和要求；共同讨论确定发现问题的综合定位；成立项目领导小组和项目工作小组，确定项目需要参与部门、机构的清单，以及其在本项目中的职责；确定沟通的方式，项目管理方式和确认模板；制定总体项目计划及安排资源分配；协助安永了解公司对内审项目的预期，共同讨论项目各阶段工作内容和实施重点；最终确定项目范围；项目实施阶段交付品验收阶段项目启动阶段听取项目进展和各阶段工作成果汇报；结合工作成果，提出下阶段工作要求需求；组织有关部门对交付成果进行确认等。4.1平安付智能IT稽核专项IT稽核项目应标方案4.2平安证券IT稽核专项4.3万里通IT稽核专项4.4养老险公司IT稽核专项

4.5增值服务4.1平安付智能IT稽核专项项目需求项目需求安永的回应对应章节1.在线支付系统相关监管合规检查安永整理了人民银行、银联、支付清算协会等国内机构颁布的涉及在线支付系统要求的监管文件，并参照国际PCI-DSS等标准，同时根据安永在互联网和在线支付行业的项目实施经验，特别是长期与支付行业公司在信息安全领域多层次的深入合作，识别了15份重要监管文件作为监管条例评估的范围。基于数据分析的方法，对部分重要业务执行内控的有效性进行分析。平安付智能IT稽核项目–监管合规检查2.在线支付业务系统的安全技术漏洞检查安永将基于成熟的渗透及攻击测试的方法论，对企业在网络，应用及系统方面的漏洞和威胁进行安全测试，方法上综合运用手工测试和工具技术相结合以及漏洞的关联，覆盖以下检查领域：应用与接口安全检查（业务应用安全分析、支付接口安全分析、权限安全等）IT基础设施安全检查应用安全架构审阅平安付智能IT稽核项目–安全技术漏洞检查3.在线支付公司安全运营流程检查依据ISO27001在企业安全运营方面的基本流程控制要求，以及平安付智能在安全运营方面的规范要求和行业内SOC运行的经验，进行相关发现在安全运营流程上的安全分析，具体检查和分析将覆盖以下安全领域：安全运营方针系统开发及运营安全访问控制流程信息安全事件响应流程业务持续性管理平安付智能IT稽核项目–安全运营流程检查4.1平安付智能IT稽核专项项目团队组织架构和主要成员项目管理办公室项目领导小组平安集团项目管理领导小组平安集团项目实施工作小组马红杰项目经理李敏敏合伙人范曦之顾问张仁良高级顾问主力执行团队项目质量控制夏文婷高级经理4.1平安付智能IT稽核专项工作范围机构范围平安付智能技术有限公司监管条例范围整理央行颁布的涉及信息系统要求的监管文件，我们选取15份重要监管文件作为监管条例评估的范围。评估的应用系统范围我们识别了平安付公司重要的应用系统以此作为评估起点，同时将根据非现场工作结果适当调整本次稽核项目的系统范围。报告评估期间自2014年6月1日至2015年06月30日，或根据相关监管条例的要求以及新系统投入使用的时间点调整测试期间。业务范围第三方支付研究研发、开发运营与管理，以及从支付衍生的互联网金融业务4.1平安付智能IT稽核专项工作范围（续）监管条例合规文件名称总则非金融机构支付服务管理办法细则非金融机构支付服务管理办法实施细则分支预付卡关于规范商业预付卡管理的意见单用途商业预付卡管理办法支付机构预付卡业务管理办法备付金支付机构客户备付金存管办法互联网支付支付机构互联网支付业务管理办法支付机构网络支付业务管理办法银行卡收单银行卡收单业务管理办法关于优化和调整银行卡刷卡手续费的通知移动支付中国金融移动支付系列技术标准保护客户资金安全和信息安全中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知（银监发10号）内卡业务银联卡收单机构账户信息安全管理标准（ADSS）外卡业务支付卡行业数据安全标准（PCI-DSS）公安部信息安全等级保护（三级）4.1平安付智能IT稽核专项工作范围（续）评估的应用系统范围在非现场工作期间，我们将根据业务影响、使用范围、使用频率、接口数量以及上报问题和数据修改等维度的数据分析结果，进一步确定公司业务系统重要性/风险等级程度，并最终确认本次稽核范围：测试范围不受限/测试范围受限/测试范围之外的系统支付系统接入前置系统支付网关系统支付订单系统账户平台系统会员/账户体系支付平台门户手机支付客户端电子商城资金结算系统备付金管理系统网银管理系统资金结算及差错管理对账核销系统风险管理系统账户风险管理商户风险管理可疑交易管理反洗钱与反恐怖融资管理4.1平安付智能IT稽核专项监管合规检查—实施方案检查或重新执行（抽样）穿行测试业务观察文件审阅访谈安永的评估方法访谈：访谈被稽核单位管理层和职能部门相关人员，了解控制环境和业务流程的变化。文件审阅：审阅控制环境及业务流程中涉及的重要文档性资料。

业务观察：观察业务流程，确认相关控制得以执行。穿行测试：通过追踪IT管理或交易流程，验证对流程的理解是否准确，并验证相关控制是否按设计的要求执行。抽样检查或重新执行：抽取一定数量的样本，检查相关控制留痕或重新执行控制来验证其运行准确性，以获取控制得以有效执行的合理保证。安永的评估方法4.1平安付智能IT稽核专项监管合规检查—实施方案（续）通过与业务人员的访谈，了解历史事故信息和用户投诉，获取相关系统日志，结合安永在支付业务上的审计和技术经验，利用数据分析方法对部分重要业务执行内控有效性分析。如：资金流与数据流的匹配性校验平安付交易明细银行业务交易明细数据匹配数据匹配银行支付指令明细

匹配字段匹配字段入账匹配字段卡号、金额、流水号退款匹配字段卡号、金额入账匹配字段卡号、金额、流水号退款匹配字段卡号、金额示例4.1平安付智能IT稽核专项安全技术漏洞检查实施方案结合成功的项目经验，安永已形成了完整成熟的渗透及攻击测试的方法论，旨在测试企业在网络，应用及系统方面的漏洞和威胁。我们的测试方法强调手工测试技术以及漏洞关联。这使得我们能够提供客户更多的价值。我们使用商业，开源或自有软件来帮助我们测试，但工具本身并不足够，工具不能够完全模仿攻击者的思维及攻击方式。我们的测试方法是动态与灵活的，使我们能够根据用户的需求及系统环境定制测试活动。4.1平安付智能IT稽核专项安全运营流程检查实施方案结合项目组在合规监管以及安全技术评估上的漏洞，依据ISO27001在企业安全运营方面的基本流程控制要求，以及平安付智能在安全运营方面的规范要求和行业内SOC运行的经验，进行相关发现在安全运营流程上的安全分析，具体检查和分析将覆盖以下安全领域：一、安全方针二、组织信息安全三、资产管理四、人力资源安全五、物理及环境安全六、通信与操作管理八、系统获取、开发与维护七、访问控制九、信息安全事故十、业务持续性管理十一、合规性ISO27001ISMS通用安全管理流程安全运营方针系统开发及运营安全访问控制流程信息安全事件响应流程业务持续性管理等通过安全运营流程的检查，发现除安全技术漏洞之外，企业对安全事件发生前、中、后相应处置流程中的不足或缺陷。4.1平安付智能IT稽核专项项目计划实施周期第一周第二周第三周第四周第五周第六周第七周第八周结束现场10天20天35天审阅书面资料和文档风险评估确定重点评估领域制定项目方案并获审批根据项目方案执行测试审计建议达成一致出具稽核报告下发稽核报告获取反馈意见非现场（2015.6.29-2015.7.24）现场（2015.7.27-2015.8.21）非现场注：本时间表仅为建议时间表。实际项目时间表将根据最终确定的项目范围以及实际情况进行调整。4.1平安付智能IT稽核专项IT稽核项目应标方案4.2平安证券IT稽核专项4.3万里通IT稽核专项4.4养老险公司IT稽核专项

4.5增值服务4.2平安证券公司项目需求项目需求安永的回应对应章节安永对需求的特殊考虑1.信息系统相关监管合规检查安永整理了证监会及行业协会颁布的涉及信息系统要求的监管文件，初步选取了20份重要监管文件作为监管条例评估的范围；同时根据安永在证券行业IT审计的经验以及通过往年IT外部审计对平安证券的了解，初步识别了9个重要的应用系统作为本次稽核项目的审阅范畴证券公司IT稽核项目–监管合规检查平安证券的IT管理于2013年1月从平安科技分离，开始由平安证券的信息技术部自行管理；当前平安证券的IT管理是否符合监管机构制定并颁布的一系列监管制度和规范，是管理层的重点关注领域2.重要业务系统：1）应用控制安全检查2）应用系统业务功能控制检查安永从融资融券、量化高频、资产证券化等业务流程使用的应用系统中识别重要的应用控制进行访谈或穿行测试，涵盖以下几个类型实时校验/编辑检查自动计算系统接口配置控制权限分配安永将对平安证券网站及页面交易系统、PC终端进行深入的安全技术评估，尤其针对新兴技术所带来的威胁；结合安永在以往类似项目的工作经验，安永将通过采用多项技术测试和检查的手段对以下高风险领域进行评估：客户端安全身份认证通信及会话安全权限及业务逻辑控制客户风险提示服务器配置管理证券公司IT稽核项目–交易系统安全评估安永作为平安证券多年的外部审计师，每年对主要的业务支持系统和财务流程支持系统执行了相当数量的应用控制安全检查和应用系统业务功能控制检查，随着证券行业融资融券、量化高频、资产证券化等业务规模日益攀升，证券公司业务系统的应用控制面临着新的风险与新的要求，应用控制是否仍设计有效、执行有效，将是本次稽核项目关注的范畴之一证券公司页面、PC终端一般不纳入年度外部审计的范围，但这些交易系统自身的安全很可能存在一些漏洞，这些漏洞可能导致的安全事故对证券公司的负面影响是重大的，安永计划将证券公司交易系统的安全评估作为本次稽核项目的主要范畴4.2平安证券公司项目团队组织架构和主要成员项目管理办公室技术顾问郭俊成高级经理项目领导小组平安集团项目管理领导小组冯绍坤合伙人平安集团项目实施工作小组罗莹钰项目经理王帅顾问梁颖怡高级顾问主力执行团队技术支持张衡信息安全技术专家4.2平安证券公司监管合规检查—工作范围机构范围平安证券有限责任公司监管条例范围整理证监会及行业协会颁布的涉及信息系统要求的监管文件，我们初步选取20份重要监管文件作为监管条例评估的范围。评估的应用系统范围根据我们在证券行业IT审计的经验以及通过往年IT外部审计对平安证券的了解，我们识别了平安证券重要的应用系统以此作为评估起点，同时将根据非现场工作结果适当调整本次稽核项目的系统范围。报告评估期间从2014年6月1日到2015年6月30日，或根据相关监管条例的要求制定测试期间。4.2平安证券公司监管合规检查—工作范围（续）国内目前负责证券行业监管的机构主要包括中国证券监督管理委员会（以下简称“证监会”）以及中国证券业协会（以下简称“证券业协会”）。我们将以证监会及证券业协会颁布的各种文件为依据，梳理出其中对信息技术监管的要求。根据梳理结果我们将评估平安证券的信息技术管理是否符合监管条例的规定。法律法规部门规章规范性文件法律公告4.2平安证券公司监管合规检查—工作范围（续）监管条例编号文件名称颁发机构1证券期货业信息系统运维管理规范证监会2证券公司集中交易安全管理技术指引证券业协会3转融通业务监督管理试行办法证监会4证券公司融资融券业务试点内部控制指引证监会5证券公司网上证券信息系统技术指引证监会6证券公司信息技术管理规范人民银行

证监会7证券公司分类监管规定（2010年修订）证监会8关于加强证券经纪业务管理的规定证监会9证券期货业信息系统安全等级保护基本要求(试行)证监会10证券期货经营机构信息技术治理工作指引（试行）证券业协会11证券公司风险控制指标动态监控系统指引（试行）证券业协会12证券公司信息隔离墙制度指引证券业协会13证券公司压力测试指引（试行）证券业协会14证券公司客户交易结算资金商业银行第三方存管技术指引证监会15深圳辖区证券公司信息技术治理工作指引深圳证监会16证券公司证券营业部信息技术指引证券业协会17证券期货经营机构信息系统备份能力标准证监会18证券期货业信息安全事件报告与调查处理办法证监会19证券期货业信息安全保障管理办法证监会20证券期货业信息安全事件报告与调查处理办法证监会4.2平安证券公司监管合规检查—工作范围（续）评估的应用系统范围业务支持系统金证集中交易系统量化投资自动化交易系统资产管理系统证券公司恒生资产管理系统证券集合理财TA系统融资融券系统财务支持系统金手指估值系统Oracle财务系统新意法人清算系统在非现场工作期间，我们将根据业务影响、使用范围、使用频率、接口数量以及上报问题和数据修改等维度的数据分析结果，进一步确定公司业务系统重要性/风险等级程度，并最终确认本次稽核范围：测试范围不受限/测试范围受限/测试范围之外的系统4.2平安证券公司监管合规检查—实施方案评估重点领域

我们整理出信息技术监管条例所涉及的领域可以划分为以下部分。我们将根据非现场工作对重大风险领域的评估结果有针对性地选择上述领域进行评估。1

信息技术治理8数据管理2系统开发和变更管理9备份及恢复性测试管理3应用系统安全管理10

日常操作及监控4操作系统和数据库安全11业务连续性、应急管理、灾难恢复5数据中心与物理安全12信息技术外包管理6网络安全13问题与事件管理7用户访问控制14系统性能管理4.2平安证券公司监管合规检查—实施方案（续）安永工作内容监管条例安永工作内容工作成果我们已经梳理的信息技术监管条例总共20份监管文件，其中：证监会颁布的信息技术监管条例12份证监会与人民银行共同颁布的信息技术监管条例1份证券业协会颁布的信息技术监管条例6份深圳证监会颁布的信息技术监管条例1份识别各监管条例的具体工作要求通过访谈和穿行测试了解平安证券当前的相应控制措施对控制措施进行控制测试（测试样本从2014年6月1日到2015年6月30日，或根据监管条例制定审阅期间）根据监管条例要求，对比平安证券当前控制措施的设计及运行与条例要求之间的差距汇总差距，分析差距并提出改进建议协助平安证券制定整改方案《平安证券信息技术监管合规检查发现及建议》4.2平安证券公司监管合规检查—实施方案（续）检查或重新执行（抽样）穿行测试业务观察文件审阅访谈安永的评估方法访谈：访谈被稽核单位管理层和职能部门相关人员，了解控制环境和业务流程的变化。文件审阅：审阅控制环境及业务流程中涉及的重要文档性资料。

业务观察：观察业务流程，确认相关控制得以执行。穿行测试：通过追踪IT管理或交易流程，验证对流程的理解是否准确，并验证相关控制是否按设计的要求执行。抽样检查或重新执行：抽取一定数量的样本，检查相关控制留痕或重新执行控制来验证其运行准确性，以获取控制得以有效执行的合理保证。安永的评估方法4.2平安证券公司应用控制检查—实施方案重大帐户关键领域?关键控制关键业务流程2003FinancialStatementsFinancialStatements财务报表重大帐户关键运营监管关注差异分析整改建议应用系统规划图定义风险控制矩阵流程图，流程描述穿行测试控制测试缺陷分析报告财务报表及重大帐户、关键运营、监管重要流程及相关控制监控及评估哪里会出错关键应用系统风险在应用控制检查中重点覆盖被稽核单位的关键流程和模块，并突出高风险领域，包括但不限于经纪自营业务、融资融券、量化高频、资产证券化业务等。Regulations4.2平安证券公司应用控制检查—实施方案（续）ITGC依赖性变更管理逻辑访问管理安全参数设置接口数据如何流动？如何控制监控接口程序的有效性及及时性？主数据主数据如何安全保存主数据变更如何管理职责分离应用模块分离子功能职责分离依赖性评估依赖于其他控制的应用程序控制管理用户越权谁能越权操作越权操作如何监控运维批处理如何影响相关控制？批处理如何监控？影响业务功能控制有效性的因素我们将对影响业务功能有效性的以下7大因素的考虑，计划执行对于应用控制安全的检查：风险点举例：证券开户系统权限控制存在缺陷，导致客户信息泄露量化交易系统运营安全性、稳定性未得到有效保障，导致量化业务无法持续运行，损失机会成本量化策略系统风险指标的设置与监控流程未满足监管的独立性要求，存在风控指标被误操作或非授权篡改，导致量化交易风险监控失效融资融券系统未自动控制客户融资买入金额不可超出可用保证金余额，导致投资者的维持担保比例缺乏恰当的监控措施，保证金未能覆盖产生的信用风险信息技术管理团队架构及岗位不明确，存在职责冲突，不满足证监会信息技术规范指引要求，存在合规风险4.2平安证券公司交易系统安全评估—工作范围网站及交易系统安全评估范围：网站及页面交易系统：包含平安证券网站以及网页交易系统交易客户端系统针对以上系统我们将进行如下测试：黑盒测试：我们将会以一个外部攻击者的角度对项目范围内的系统进行攻击与渗透测试。测试的范围可能包含：安全通讯测试、认证测试、会话管理测试、权限测试、业务逻辑测试、输入验证测试、隐私保护测试。具体范围有待非现场审计初步评估后确定。应用服务器历史日志审阅，审阅是否有历史被入侵的情况、评估潜在的隐私数据的泄漏情况。基于安永对证券行业交易系统审阅的经验，我们总结了如下风险高发的领域，安永将重点关注：身份认证通信及会话安全权限及业务逻辑控制客户风险提示服务器配置管理4.2平安证券公司交易系统安全评估—实施方案（续）网站及页面交易系统（关注点示例）信息泄漏数据破坏拒绝服务身份仿冒信息收集默认和猜解账

户认证错误提示锁定策略测试认证绕过测试找回密码测试注销和缓存管

理多帐号测试提权测试绕过授权模式

测试多阶段流程测试测试不完全输入处理测试信任边界测试交易逻辑SQL注入测试跨站测试及其他注入测试命令执行测试文件上传测试共享主机测试配置管理测试认证测试权限/业务逻辑测试会话管理测试数据验证测试

会话管理测试Cookie存储方

式测试用户注销登陆

的方式测试注销时会话信

息清除测试会话超时测试遍历测试搜索侦查应用入口识别WEB应用指纹

测试应用发现错误代码分析SSL/TLS测试HTTP方法测试基本结构配置管理测试共享基础架构的分离测试共享Host的应用的分离测试经非现场审计初步评估后，选取下述适当的测试方法完成测试：4.2平安证券公司交易系统安全评估—实施方案（续）项目实施所用工具活动工具端口扫描及踩点NMAP,Google网络应用枚举Nikto,Acunetix漏洞评估及分析Nessus,Appscan,HTTPMethods,OpenSSL,SSLDigger/SSLCheck,Nikto/Wikto,Webrooter,Wireshark基线检查EYMercury网络渗透测试MetasploitFramework,Oraclescan,Hscan,Backtrack应用渗透测试BurpProfessional,WebApplicationAttack&AuditFramework(w3af)弱点研究以及验证,4.2平安证券公司项目计划实施周期第一周第二周第三周第四周第五周第六周第七周第八周结束现场10天20天35天审阅书面资料和文档风险评估确定重点评估领域制定项目方案并获审批根据项目方案执行测试审计建议达成一致出具稽核报告下发稽核报告获取反馈意见非现场（2015.6.29-2015.7.24）现场（2015.7.27-2015.8.21）非现场建议评估期间：2014.6.1-2015.6.30注：本时间表仅为建议时间表。实际项目时间表将根据最终确定的项目范围以及实际情况进行调整。4.1平安付智能IT稽核专项IT稽核项目应标方案4.2平安证券IT稽核专项4.3万里通IT稽核专项4.4养老险公司IT稽核专项

4.5增值服务4.3万里通IT稽核专项项目需求项目需求安永的回应对应章节1.在线业务系统安全技术漏洞检查通过安全检查及业务功能检查的了解，并基于安永对于网上交易风险的深刻理解以及网站的OWASP十大风险，对万里通网上交易系统的应用安全进行安全技术评估。基于数据分析方法对万里通积分平台应用控制、积分对账控制进行有效性检查。我们还将审阅过去三个月Web系统访问日志，通过对历史事件的特征收集，从而发现至今为止可能已经发生的、但平安并未意识到的攻击事件。借助专业的源代码审计工具和成熟的审计方法，发现应用程序深层次的安全漏洞。万里通IT稽核专项–安全技术漏洞检查2.2014~2015年度重大安全漏洞检查针对2014~2015年主流的公共漏洞知识库曝光的安全漏洞，进行逐一测试检查，包括：Struts2远程代码执行漏洞：心脏滴血/HeartbleedGnuTLS的协议漏洞Bash破壳漏洞（ShellShock）POODLE贵宾犬Windows安全通道Tomcat存在远程代码执行漏洞将结合往年的安全发现漏洞的整改执行情况，对历史漏洞的整改情况，进行验证复测和安全分析。万里通IT稽核专项–年度重大漏洞检查4.3万里通IT稽核专项项目团队组织架构和主要成员项目管理办公室项目领导小组平安集团项目管理领导小组平安集团项目实施工作小组马红杰项目经理李敏敏合伙人范曦之顾问张敏高级顾问主力执行团队项目质量控制夏文婷高级经理4.3万里通IT稽核专项安全技术漏洞检查–实施方案

结合成功的项目经验，安永已形成了完整成熟的渗透及攻击测试的方法论，旨在测试企业在网络，应用及系统方面的漏洞和威胁。我们的测试方法强调手工测试技术以及漏洞关联。这使得我们能够提供客户更多的价值。我们使用商业，开源或自有软件来帮助我们测试，但工具本身并不足够，工具不能够完全模仿攻击者的思维及攻击方式。我们的测试方法是动态与灵活的，使我们能够根据用户的需求及系统环境定制测试活动。4.3万里通IT稽核专项安全技术漏洞检查–实施方案（续)

日志收集日志联合分析常见攻击手段特征识别对外Web服务器识别Web服务器用户行为日志收集SQL服务器操作日志收集SQL漏洞跨站点脚本运行重定向、转发身份认证绕过Etc.日志筛选分析，发现至今为止可能已经发生的攻击事件我们通过对现有Web系统访问日志，SQL查询日志的联合查询，并与常见的攻击行为日志特征进行比对分析，从而发现至今为止可能已经发生的攻击事件。针对已经发生的攻击事件，我们将建议优先制定相应的整改方案，修补安全漏洞。4.3万里通IT稽核专项安全技术漏洞检查–实施方案（续)

内建测试条件源代码代码审计工具jTest/Fortify原代码数据(KLOC)代码审计工具报告人工的代码审计代码审计问题总汇EY自定的测试条件人工确认问题代码审计操作指引源代码安全审计以发现应用程序编码过程中造成的安全漏洞为目的，通过源代码静态分析工具进行静态的代码扫描，并且通过手动方式针对发现风险进行分析与统计，并对导致安全漏洞的错误代码进行定位和验证，4.3万里通IT稽核专项年度重大漏洞检查

网络系统应用风险识别风险评估建议与整改发现与验证数据库针对2014~2015年主流的公共漏洞知识库曝光的安全漏洞，进行逐一测试检查，包括：Struts2远程代码执行漏洞：心脏滴血/HeartbleedGnuTLS的协议漏洞Bash破壳漏洞（ShellShock）POODLE贵宾犬Windows安全通道Tomcat存在远程代码执行漏洞将结合往年的安全发现漏洞的整改执行情况，对历史漏洞的整改情况，进行验证复测和安全分析。4.3万里通IT稽核专项项目计划实施周期第一周第二周第三周第四周第五周第六周第七周第八周结束现场10天20天35天审阅书面资料和文档风险评估确定重点评估领域制定项目方案并获审批根据项目方案执行测试审计建议达成一致出具稽核报告下发稽核报告获取反馈意见非现场（2015.5.4-2015.5.29）现场（2015.6.1-2015.6.26）非现场注：本时间表仅为建议时间表。实际项目时间表将根据最终确定的项目范围以及实际情况进行调整。4.1平安付智能IT稽核专项IT稽核项目应标方案4.2平安证券IT稽核专项4.3万里通IT稽核专项4.4养老险公司IT稽核专项

4.5增值服务4.4养老险IT稽核专项项目需求项目需求安永的回应对应章节1.信息系统相关监管合规检查安永整理了保监会颁布的涉及信息系统要求的监管文件，选取了11份重要监管文件作为监管条例评估的范围；同时根据安永在保险行业，特别是资产管理类公司IT审计以及往年针对平安资产管理公司IT稽核的经验，识别了11个重要的应用系统作为本次稽核项目的审阅范畴养老险IT稽核项目–监管合规检查2.重要业务系统的应用控制检查安永根据各主要业务流程，包括投资研究、交易下单，交割清算、估值核算、年金销售以及新业务（如量化投资、股指期货以及第三方业务），识别以下类型的系统应用控制并进行测试：实时校验/编辑检查自动计算系统接口配置控制权限分配养老险IT稽核项目–应用控制检查3.信息安全管控检查从业务终端管控、办公终端管控以及信息隔离墙三个角度检查养老险公司信息安全的管控现状养老险IT稽核项目–信息安全管控检查4.4养老险IT稽核专项项目团队组织架构和主要成员项目管理办公室项目领导小组平安集团项目管理领导小组平安集团项目实施工作小组赵剑澐项目经理李敏敏合伙人朱嘉琪顾问施纯纯高级顾问主力执行团队项目质量控制夏文婷高级经理4.4养老险IT稽核专项监管合规检查—工作范围机构范围平安养老保险股份有限公司监管条例范围整理保监会颁布的涉及信息系统要求的监管文件，我们选取11份重要监管文件作为监管条例评估的范围。评估的应用系统范围我们识别了平安养老保险股份有限公司重要的应用系统以此作为评估起点，同时将根据非现场工作结果适当调整本次稽核项目的系统范围。报告评估期间自2014年4月1日至2015年4月30日，或根据相关监管条例的要求以及新系统投入使用的时间点调整测试期间。业务范围投资管理&年金销售4.4养老险IT稽核专项监管合规检查—工作范围（续）监管条例编号文件名称颁发机构1保险公司信息化工作管理指引（试行）保监会2保险公司信息系统安全管理指引（试行）保监会3保险业信息系统灾难恢复管理指引保监会4《保险稽查审计指引》保监会5保险信息安全风险评估指标体系规范保监会6保险公司内部控制基本准则保监会7保险公司风险管理指引（试行）保监会8保险业重大突发事件应急处理规定保监会9关于开展保险业信息系统安全等级保护定级工作的通知保监会10关于加强保险业突发事件应急管理工作的通知保监会11中国保监会关于发布《保险业IT服务管理基本规范》行业标准的通知保监会4.4养老险IT稽核专项监管合规检查—工作范围（续）评估的应用系统范围投资业务Capstone系统（仅含事后风控模块）HSO32（恒生交易系统）投资数据管理系统投资研究平台系统投资收益及计量投资对账系统HIPO系统（投资核算系统）CDMS（公共数据管理系统）资金管理PCMS（组合资产管理系统）年金销售流程PTS（年金受托运营系统）PAS（年金帐管运营系统）PIS（年金投资运营系统）在非现场工作期间，我们将根据业务影响、使用范围、使用频率、接口数量以及上报问题和数据修改等维度的数据分析结果，进一步确定公司业务系统重要性/风险等级程度，并最终确认本次稽核范围：测试范围不受限/测试范围受限/测试范围之外的系统4.4养老险IT稽核专项监管合规检查—实施方案评估重点领域

我们整理出信息技术监管条例所涉及的领域可以划分为以下部分。我们将根据非现场工作对重大风险领域的评估结果有针对性地选择上述领域进行评估1

信息技术治理8数据管理2系统开发和变更管理9备份及恢复性测试管理3应用系统安全管理10

日常操作及监控4操作系统和数据库安全11业务连续性、应急管理、灾难恢复5数据中心与物理安全12信息技术外包管理6网络安全13问题与事件管理7用户访问控制14系统性能管理4.4养老险IT稽核专项监管合规检查—实施方案（续）检查或重新执行（抽样）穿行测试业务观察文件审阅访谈安永的评估方法访谈：访谈被稽核单位管理层和职能部门相关人员，了解控制环境和业务流程的变化。文件审阅：审阅控制环境及业务流程中涉及的重要文档性资料。

业务观察：观察业务流程，确认相关控制得以执行。穿行测试：通过追踪IT管理或交易流程，验证对流程的理解是否准确，并验证相关控制是否按设计的要求执行。抽样检查或重新执行：抽取一定数量的样本，检查相关控制留痕或重新执行控制来验证其运行准确性，以获取控制得以有效执行的合理保证。安永的评估方法4.4养老险IT稽核专项应用控制检查—实施方案实时校验/编辑检查(Validation/CheckEdit)自动计算(Calculation)系统接口(Interface)配置控制(Configuration)权限分配(Authorization)应用控制的几大类型：4.4养老险IT稽核专项应用控制检查—实施方案（续）通过与业务人员的访谈，结合安永在资产管理行业和保险年金销售行业审计的经验，我们将针对识别出的重要系统应用控制进行测试，以下为部分关键控制示例编辑检查恒生交易系统中的交易金额不能大于组合剩余资金可使用额自动计算HIPO系统会根据预设逻辑（面值*票面日利率*计息天数）正确计算债券应收利息系统接口审批完成后的投资指令正确从恒生交易系统流转至组合资金管理系统配置控制投资经理在恒生交易系统所下投资指令需通过风控检查，且恒生交易系统会自动产生风险提示权限分配仅授权人员拥有恒生交易系统中执行交易的权限4.4养老险IT稽核专项信息安全管控检查—实施方案本次项目将信息安全管控纳入重点关注部分，主要从以下三个方面进行检查：(1)

业务终端管控

业务终端的数据导出控制是否禁用USB、SD卡等方式的数据拷出功能；业务终端电脑的标装情况，是否存在对于业务终端的密码和特权控制；

业务终端的数据保护与传输机制，包括生产环境数据作为测试数据、客户信息等。(2)

办公终端管控终端电脑的标装情况，是否存在非授权软件安装、是否禁用USB、SD卡等方式的数据拷出功能；

网络出口情况，是否存在私自安装的互联网出口，及是否有部署对即时通讯、webmail等进行管理的上网行为管理设备；

数据传输的管理，比如办公邮件归档、share共享等，尤其是针对关键岗位人员的信息管理；

交易人员交易询价使用电话、MSN、QQ等聊天工具的实时监控。(3)信息隔离墙（资管业务）研究、投资、交易实行专人专岗，与其他投资业务严格分离；集中交易独立于投资研究、投资经理与交易人员；

投资管理人员与风险控制、绩效评估人员；不同委托的人、同一委托人不同来源性质的资金、不同产品的资金在信息系统中应分账户管理，独立运作，独立核算；公司是否根据业务需要建立了系统权限管理措施，并检查执行情况；非资管业务人员的权限管理办法，是否能达到有效控制的要求；

获取各系统中资金账户和组合清单和各系统中的权限清单，抽样查看是否在系统中或跨系统中是否存在权限冲突情况，并查看是否有同一人拥有多个账户且权限冲突情况。4.4养老险IT稽核专项项目计划实施周期第一周第二周第三周第四周第五周第六周第七周第八周结束现场10天20天35天审阅书面资料和文档风险评估确定重点评估领域制定项目方案并获审批根据项目方案执行测试审计建议达成一致出具稽核报告下发稽核报告获取反馈意见非现场（2015.5.4-2015.5.29）现场（2015.6.1-2015.6.26）非现场注：本时间表仅为建议