证券公司IT内部审计工作指引(2012)

（1）营业部是否有2种以上行情 揭示与分析系统 （2）如果通过互联网为现场客户 提供网上交易行情，可以算是一 种行情揭示与分析系统，但最低 是否达到25%的客户覆盖率 （3）电话委托线路是否不低于30 线/万户合格资金账户 （1）检查技术人员配备情况及全 体员工培训记录 （2）检查是否制定各项管理制度 （3）检查制度的落实情况，是否 配备1名专职1名兼职技术人员， 是否有机房出入登记，是否有关 键设备维护档案，网络管理、数 据管理和技术文档管理是否规范
□是 □否 □是 □否 □是 □否
□是 □否
系 统 运 维
安 全 保 障
（5）是否建立规范管理系统运维 日志 （1）营业部是否对外互联或设立 网站，是否经公司批准
（2）处理交易业务的计算机终 端，应专机专用，严禁接入互联 网
（3）是否部署局域网上网行为管 理系统，对客户及员工的上网行 为进行记录和审计，防止从业人 员利用营业部网络及设备进行证 券交易 （4）是否采取措施：限制客户计 算机接入证券营业部网络，防止 客户利用证券营业部网络访问非 法网站 （5）是否建立信息系统的应急预 案，是否每年至少进行2次的应急 演练，发生技术故障是否上报和 及时处理 小 结
□是 □否
□是 □否 □是 □否 □是 □否
□是 □否 □是 □否
□是 □否 □是 □否
□是 □否
（1）检查用户权限、系统和关键 设备密码如何管理，是否符合规 （2）检查系统测试方案和记录情 况 （3）检查系统变更的方案、和应 急预案，系统变更是否有测试记 录，是否有出现过故障 (4)访谈营业部系统维护员了解监 控体系，是否完善
□是 □否
□是 □否
□是 □否 □是 □否 □是 □否 □是 □否
□是 □否 □是 □否
□是 □否
（8）配线架和跳线是否统一编 号，标记清晰，跳线整齐；市电 和UPS的插座面板是否有明确的颜 色标识或标签 （9）机房是否安装防火防盗门和 门禁系统 （10）水、电、空调关键基础设 施是否有24小时实时监控报警系 网 络 通 信
2012年证券公司信息系统审计工作指引（营业部信息系统）
公司名： 审计人员： 复核人员（项目负责人）： 审计时间：
审计分类
基 础 设 施
审计项目
审计方法
审计结果
□是 □否
审计过程
单项评价
整改建议
（1）机房位置、防雷、接地、电 （1）机房应避让屋顶、地下室、 磁辐射是否达到相应规范 易漏水、易漏雨、易火灾处。 （2）直流地小于2欧姆，交流地4 欧姆。 （2）营业部机房是否承重600公 查看营业部机房相关证明文件 斤每平方米以上 （1）检查机房是否设置设备和辅 （3）机房是否设置设备区域和辅 助设备区域，UPS电源区域和机房 助设备区域 其他区域是否隔离 （1）机房是否安装独立空调，是 否有一用一备或多用一备或多用 （4）机房空调设备的效能是否良 多备的方式。如使用大楼物业空 好，是否有备用空调设备，机房 调，是否有相关材料证明提供 温度、湿度是否符合要求 7*24小时服务，并由营业部自主 管理。 （5）机房电力供应是否有一定余 (1)检查是否配备UPS，是否定期 量，是否配备UPS,是否配备或租 检查且未超过使用年限 用发电机，是否能保证机房设备 （2）是否配备或租用发电机，是 运转和不低于25%的现场交易，是 否定期进行检查和演练 否配备应急照明装置 （3）是否与物业公司以及发电机 租赁公司签订电力保障协议 （4)计算如发生故障是否能保证 机房设备运转和不低于25%的现场 交易 （5）是否配备应急照明装置 （6）承载集中交易和网上交易的 （1）检查与物业公司签订的双路 营业部机房，是否采用双路供电 供电协议 （2）检查是否使用同城两个变电 站或一个变电站的两条不同线路 （1）现场检查机房设备间是否有 （7）机房是否有气体消防设备 气体消防设备
（5）检查系统运维日志，是否齐 全，是否记录详细 （1）访谈员工是否有对外互联或 设立网站 （2）如有对外互联或设立网站， 检查审批程序 （1）检查接入互联网收取证券资 讯的主机、接入互联网建立VPN通 信备份线路的终端等，是否专机 专用 （2）上述主机是否采取部署双网 卡、安装防火墙等安全措施 （1）检查上网行为管理系统记录 日志和审计日志
（1）检查跳线是否整齐，标记清 晰；市电和ups插座面板是否有明 显区分 （1）检查机房是否安装防火防盗 门和门禁系统 （1）抽查历史监控记录
□是 □否
□是 □否 □是 □否 □是 □否
（1）营业部的链路结构、主要设 （1）检查主要设备的利用率和容 备、网络带宽、运行稳定性等是 量 否满足业务需要 (2)营业部与总部之间，是否使用 不同运营商或不同介质的2条以上 通信线路建立可靠联接 （3）局域网的结构设置是否合 理，与网络拓扑图是否一致，主 要网络设备是否有备机 (1)检查与运营商签订的协议 （2）检查光纤转换器等关键通讯 设备是否存在单点故障 （1）局域网的结构设置与网络拓 扑图对照，检查是否有不一致， 检查主要网络设备的备份情况 （1）访谈了解局域网安全域的划 （4）局域网是否合理划分安全 分和隔离情况，是否合理划分核 域，各安全域有效隔离 心网、客户网和非交易业务的办 公网等安全域 （1）检查是否部署防病毒、防木 马、防恶意代码在内的系统安全 防护软件，检查病毒代码是否及 （5）是否部署系统安全防护软 时更新 件，并及时升级代码 （2）检查机房值班记录，是否对 关键系统设备的病毒查杀日志进 行定期检查 （1）应用系统是否具备足够的健 （1）访谈系统维护员，了解应用 壮性，系统处理能力是否具有一 系统的健壮性和系统处理能力 定的冗余度 （2）应用系统的关键硬件设备是 （2）访谈系统维护员了解关键硬 否 建 立 备 份 机 制 ， 避 免 单 点 故 件设备是否备份，硬件是否存在 障，提高系统可用性 老Байду номын сангаас问题
□是 □否
□是 □否
□是 □否
□是 □否
应 用 系 统
□是 □否
□是 □否
应 用 系 统
（3）行情揭示与分析系统、委托 系统等是否满足相应要求
人 员 及 制 度 管 理
系 统 运 维
（1）技术人员配备及相关人员的 资历是否满足监管要求。 （2）是否定期对营业部员工进行 IT知识培训，确保所有员工具备 基本的计算机知识和信息安全保 密知识 （3）是否建立机房管理制度，机 房出入是否登记管理。 （4）是否建立网络管理制度，配 置管理、访问控制、安全审计等 是否规范。 （5）是否建立设备管理制度，关 键设备是否建立维护档案。 （6）是否建立数据管理制度，数 据的备份、存放、调阅、销毁等 是否规范。 （7）是否建立技术文档管理制 度，文档的收集、更新、保管、 借阅等是否规范。 （1）用户权限、系统和关键设备 密码管理是否规范 （2）系统测试是否有详细方案和 记录 （3）系统变更是否有详细方案和 应急预案，是否经过严格的测试 （4）是否建立完善的监控体系
□是 □否 □是 □否
□是 □否
（1）检查营业部采用的措施，评 价其效果
□是 □否
（1）检查营业部的应急预案、应 急演练记录、上报记录 （2）访谈员工，了解应急预案的 演练情况，发生技术故障的情况
□是 □否