浅谈信息安全审计在金融行业的实践

2021-11-24杨颖卓

大众投资指南 2021年28期

杨颖卓

（福建漳州农村商业银行股份有限公司，福建漳州 363000）

信息安全审计可以使以商业银行为代表的金融行业持续稳定发展，也对其日常运营有积极的影响，相关从业人员需要积极规划三维立体工作框架，规范先进技术的使用方法，构建良好的工作平台，通盘筹划机制建设，有效改善金融维度有待整合、技术方法存在滞后、审计过程存在漏洞、缺乏具体约束机制的现状。

一、信息安全审计概述

（一）基本概念

信息安全审计是一种揭示各类风险的绝佳手段和有力武器，能够在符合规定的基础上，着实改进信息安全现状。根据预先确定的审计依据并在一定的范围内，对文件、记录、技术、访谈等活动进行查访，给出客观的评价，真实体现被审对象满足依据的程度，在探查合规性要求的同时，主要从组织机构、需求管理、制度建设、风险管理、教育培训、事件管理、业务连续性、IT外包、存储介质、数据库、源代码、网络系统等方面入手，帮助组织全面掌控相关工作的有效性、适宜性。该种审计方法适用性较强，在以商业银行为代表的金融行业中，获得了广泛的应用，金融行业凭借对IT的高度依赖，将单独的信息安全审计与相关工作融合，发挥工作联动的优势来加大对数据的保护力度，有效推进等级保护建设和管理体系的完善[1]。

（二）商业银行中的应用

近年商业银行的信息化脚步逐渐加快，有力促进了相关业务水平的提升，建立起一套运作流畅、适用性强的业务系统，实现前后台分离，为资金清算、风险管理、稽核等工作提供了强有力的技术支撑。在其高度发展的过程中，一系列风险接踵而至，不仅在一定程度上造成了消极的影响，而且会大幅降低工作效率和经济效益。由此可见，固有风险加大、软硬件脆弱性提高、人为失误、账务与机构糅杂、过于强调产品、服务不到位等问题，对商业银行的信息安全发起了不同的挑战。为保证商业银行的基础业务运营，保障行业健康的发展，当务之急是引入信息安全审计，利用独立的系统来检查、控制各类风险，集中处理各种数据，保证前后账务连续性的同时，将前后业务的规划发展相衔接，为后续的推广、整合等工作做好准备，实现良好的风险管控，出具真实的报告，为管理决策提供科学的参照。

二、现代金融行业的发展现状

（一）金融维度有待整合

以商业银行为代表的金融行业发展过程中，会受到不同的风险影响，而适时开展相应的审计工作，可以有效排查各类经营风险，为后续的发展提供改进建议。但在实际中，部分管理人员没有较强的规划意识，未能根据实际业务量和经营水平来实施内审，导致场景、技术、账户、价值链等金融维度的整合出现不同程度的“缩水”。这在一定程度上会使其自身的业务能力水平下降，进而导致全价值链能力的提升速度放缓，无法凭借既有的金融维度来思考未来的规划，不利于可持续发展和经济效益的提高[2]。

（二）技术方法存在滞后

金融行业在信息安全审计实践中会将主要精力放在数据甄别上，这在一定程度上会造成对人为失误的审查忽视，容易导致人为风险的扩大，而这也成了商业银行发展中的真实缩影。部分银行的工作技术方法存在滞后性，无法有效甄别财务、管理等信息的真实性，也不能准确界定具体操作的合规性，致使信息安全审计沦为了“形式主义”，容易使潜在的风险扩大。

（三）审计过程存在漏洞

在信息安全审计的过程中，部分人员会选择应用先进技术来进行辅助，保证出具的报告具有科学性，但却忽视了系统的日常维护和平台的定期调试，导致漏洞出现，使出具的报告内容失真。还有一些工作人员的传统思想根深蒂固，未能革新工作理念，仍沿用具有一定滞后性的技术来开展工作，没有注重网络平台的建设和使用，导致工作效率得不到提升，无法为管理者提供真实可靠的决策依据，影响下一步的工作的开展[3]。

（四）缺乏具体约束机制

面对互联网科技发展和社会的进步，商业银行的审计部门未能积极的完善相应机制，不能应对互联网金融领域的各项挑战，也会在一定程度上限制部门的整体能力提升。缺乏机制的约束，会导致实际行为失去主观控制和客观约束，不利于统计监测和风险的预警，也会使预审机制与其他机制的联合受到影响，长此以往，不利于金融行业的发展和市场经济的稳定。

三、信息安全审计在金融行业的实践策略

（一）三维立体框架规划

金融行业的发展中，普遍存在各种信息安全风险，而顺应经济发展潮流，借用先进的技术来规划信息安全审计的三维立体框架，可以进一步消除发展的内在、外在威胁和各类风险。商业银行要对自身存在的各类固有风险进行明确，从而合理的规划三维立体框架，对金融IT战略规划、分析、细节设计进行自审，将互联网操作系统或平台安全性进行缜密分析，严格审核开发商的相关资质，也要对互联网金融管理方面的工作进行梳理，对不同形式的经济业务进行风险排查，从而得出操作领域和技术领域中存在的缺陷，为自审提供良好的依据。三维立体框架的规划要基于以上风险，并从管理、技术、策略三角度入手研究，重视科学布局，提出具有前瞻性的审查工作理念，对被审目标等因素做全局性的考量，同时加强对人员、制度的管理，充分整合人力资源，加强技术培训力度，完善各岗位的责任制度，不断充实相对匮乏的现有制度体系。注重工作质量提升，借鉴国内外知名商业银行的先进理念，高质量策划和协调活动，消除质量与运营之间的标准差异，利用三维立体框架，扎实推进信息安全审计工作效能提升[4]。

（二）规范技术使用方法

技术规范乃是信息安全审计主体采取的手段、规则，主要体现于技术方面的应用、监管、算法、控制等内容，通过前期的预处理和采集，为后续的评估、发现、挖掘提供良好的支持。以商业银行为代表的金融行业，需要不断规范技术的使用方法，从具体的工作中来进行数据测试、联审、日志跟踪、平行模拟、抽点转存等，出具书面报告时，要利用控制矩阵模型、确定性模型等技术，综合考虑相关因素，明确金融行业对于技术使用的监管要求，避免触及法律底线，为管理者出具真实的报告。加强专业化模型的研究力度，在网络检测、统计分析、征信监管等方面细化检测、管理手段，以提高行业的自律性。合理运用算法来提高金融行业的信息安全审计的针对性，大力推进技术使用的规范，参照国外的BSS7799标准、ITIL标准等，结合国内出台的各类条例和办法，在实际工作中探索良好的技术使用规范。根据被审对象特点，针对性的采取方法，适当将技术进行融合，在主体的评价和控制的互联等方面提供良好的保障，致力于相关的规范建设，以获得丰硕的成果。

（三）构建挖掘审计平台

信息安全审计在金融行业的实践，离不开平台的保障，因此，商业银行需要构建挖掘审计平台，积极挖掘平台的设计与运营方法。基于互联网金融来设计符合商业银行发展的平台，利用网络资源的琐碎特点，采取抽样调查的方法来深挖具有特征的数据，来对总体的数据进行特征估计，为信息安全审计做好准备。合理参照Staffware、MQ Series系统的设计理念，发挥金融数据的异构优势，采集构建挖掘审计平台所需的内容，结合Vectus等实际的案例处理系统来丰富平台功能。审计主体需要基于不同的先进网络系统来建立日志数据库，运用转换工具实现数据到特定语言的转化，为资源管理等工作提供良好的平台。在预处理方面，要利用大数据技术来将平台内融入数据生成功能，提高平台的兼容性与功能性，保持审计信息的一致性和共享性。在平台投用阶段，要定期进行调试和维护，利用模型测试法来对平台中的算法、功能、安全等进行测试，结合金融事件监测需求选择科学的建模方法，完成好平台调试和维护，确保相关的审计工作能够有序开展[5]。

（四）通盘筹划机制建设

无线支付、虚拟货币、网络理财产品的出现，在一定程度上影响了人们的日常生活，也为不同的人群带来了生活便利。但对于商业银行为代表的金融行业来说，则需要面对更多的考验和挑战，所以，应该立足创新，依托内部环境来提高自身的信息安全性，力争建立常态化安全防范机制。要基于信息安全审计，通盘筹划机制的建设，从理念上树立安全意识和防范思想，加强对相关工作的重视程度，深入认识机制建设的重要性，组建相应的内审工作小组，做好自身信息安全的预审，为通盘筹划提供真实的依据和数据。积极构思宏观层面的机制，将各类先进技术从不同维度进行协调，提高工作质量，进而促进机制体系形成；大力从微观层面促进内在工作层级的整合，站在战略高度审视统筹内审的相关工作内容，为取证、评价等工作提供制度保障。积极明确相关部门的职责和权力，按照具体的工作流程来筹划机制建设，确保在信息安全审计的过程中，相关人员的行为能够被有效监督，进而更好地履职，切实解决工作中的难题，使商业银行能够掌握信息安全保障成效的同时，根据实际需要来构建适合自身发展的机制，进而推动行业进步。