ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0146.6—2016 证券期货业信息系统审计指南 第 6 部分：基金管理公司 Securities and futures industry audit guideline for information system — Part6: Fund management companies 2016 - 11 - 08 发布 中国证券监督管理委员会 2016 - 11 - 08 实施 发 布 JR/T 0146.6—2016 目 次 前言 ................................................................................ II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 信息系统审计概述 .................................................................. 1 附录 A（规范性附录） 信息技术治理审计底稿 ............................................ 4 附录 B（规范性附录） 机房管理审计底稿 ............................................... 24 附录 C（规范性附录） 网络管理审计底稿 ............................................... 34 附录 D（规范性附录） 运维管理审计底稿 ............................................... 46 附录 E（规范性附录） 信息系统安全等级保护相关工作审计底稿 ........................... 67 附录 F（规范性附录） 软件正版化审计底稿 ............................................. 72 附录 G（规范性附录） 网上信息系统审计底稿 ........................................... 76 附录 H（规范性附录） 重要信息系统审计底稿 .......................................... 108 附录 I（规范性附录） 信息系统托管审计底稿 .......................................... 135 附录 J（规范性附录） 信息系统调查表 ................................................ 170 I JR/T 0146.6—2016 前 言 JR/T 0146-2016《证券期货业信息系统审计指南》标准按适用对象分为以下7部分： ——第 1 部分：证券交易所； ——第 2 部分：期货交易所； ——第 3 部分：证券登记结算机构； ——第 4 部分：其他核心机构； ——第 5 部分：证券公司； ——第 6 部分：基金管理公司； ——第 7 部分：期货公司。 本部分为JR/T 0146.6-2016《证券期货业信息系统审计指南》的第6部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由全国金融标准化技术委员会(SAC/TC180）提出并归口。 本部分起草单位：中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券 监督管理委员会纪委监察局，上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、 大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有 限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统 计监测中心有限责任公司、全国中小企业股份转让系统有限责任公司、中证信息技术服务有限责任公司， 深圳证券通信有限公司、上海期货信息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份 有限公司、海通证券股份有限公司。 本部分主要起草人：张野、刘铁斌、王东明、陈炜、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、 王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、 赵明、颜梦、李杰、杜佳铠、郭赫然。 II JR/T 0146.6—2016 证券期货业信息系统审计指南 第 6 部分：基金管理公司 1 范围 本部分给出了基金管理公司开展信息系统审计的实施指南。 本部分适用于中华人民共和国境内设立的基金管理公司及下属公司开展信息系统审计工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。本标准将根据规范性 引用文件的最新版本定期更新并发布。 JR/T 0060—2010 证券期货业信息系统安全等级保护基本要求（试行） JR/T 0067—2011 证券期货业信息系统安全等级保护测评要求（试行） JR/T 0099—2012 证券期货业信息系统运维管理规范 JR/T 0112—2014 证券期货业信息系统审计规范 JR/T 0133—2015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 审计底稿 information system audit manuscript 对获取的相关审计证据，实施的审计程序，以及得出的审计结论作出的记录。 3.2 审计程序 audit procedure 在具体的审计过程中采取的行动和步骤。 3.3 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。 3.4 审计证据 audit evidence 审计部门和审计人员获取的，用以证明审计事实真相，形成审计结论的证明材料，包括相关制度、 日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。 4 信息系统审计概述 1 JR/T 0146.6—2016 4.1 总则 信息系统审计框架由三部分构成：审计输入、审计过程和审计输出。 审计输入包括JR/T 0112-2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安 全控制相关的特定审计对象和审计方法，输出组件包括一组由审计人员使用的用于确定安全控制有效性 的程序化陈述。图1给出了框架。 JR/T 0112-2014 附录 A、B、C 证券期货业信息 系统审计规范 审计输入 审计方法 访谈 检查 测试 审计对象 制度文档 各类设备 安全配置 相关人员 审计规程（步骤） 访谈规程（步骤） 检查规程（步骤） 测试规程（步骤） 审计输出 审计过程 图1 概念性框架 审计对象是指审计实施的对象，即审计过程中涉及到的制度文档、各类设备及其安全配置和相关人 员等。制度文档是指针对信息系统所制定的相关联的文件（如：政策、程序、计划、系统安全需求、功 能规格及建筑设计）。各类设备是指安装在信息系统之内或边界，能起到特定保护作用的相关部件（如： 硬件、软件、固件或物理设施）。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。 相关人员或部门，是指应用上述制度、设备及安全配置的人。 审计方法包括：访谈、检查和测试，审计人员通过这些方法试图获取证据。上述三种审计方法（访 谈、检查和测评）的审计结果都用以对安全控制的有效性进行评估。 审计输出是审计报告，审计报告应给出审计结论：如果审计结果中没有不符合项，则审计结论为“符 合”；如果审计结果存在不符合项，但所产生的安全问题不会导致信息系统存在高等级安全风险，则审 计结论为“基本符合”；如果审计结果存在不符合项，且所产生的安全问题导致信息系统存在高等级安 全风险，则审计结论为“不符合”。 2 JR/T 0146.6—2016 4.2 使用方法 本标准附录A至附录I分别描述了信息技术治理、机房管理、网络管理、运维管理、信息系统安全等 级保护相关工作、软件正版化、网上信息系统、重要信息系统、信息系统托管的审计方法。附录J给出 了实施信息系统审计时需要的调查数据。 审计实施时，审计人员需参考附录A至附录J，完成信息系统审计工作。对于机房管理、网络管理， 需每一个机房给出完整的审计底稿。对于重要信息系统，需审计包括但不限于等级保护二级及以上系统， 并对每一个重要信息系统给出完整的审计底稿。对于信息系统托管，需每一个提供托管服务的机房给出 完整的审计底稿。 审计过程中，审计人员需注意对审计记录和证据的采集、处理、存储和销毁，保护其在审计期间免 遭破坏、更改或遗失，并保守秘密。 3 JR/T 0146.6—2016 AA 附 录 A （规范性附录） 信息技术治理审计底稿 表A.1至表A.2给出了信息技术治理审计的程序、内容及相关记录要求。 表A.1 信息技术治理审计底稿 被审计部门： 索引号：XXJSZL 审计主题：信息技术治理 审计年度： 审计结论、意见及建议： 编制人： 年 月 日 （部门盖章） 复核意见： 复核人： 年 月 日 （部门盖章） 被审计部门意见： 年 月 日 （部门盖章） 4 JR/T 0146.6—2016 表 A.1 信息技术治理审计底稿（续） 审计证据列表： 5 JR/T 0146.6—2016 表A.2 序号 审计项 1. 制度和文档管理 1.1. 管理制度 是否制定信息安全工作的 1.1.1. 略，查看文件是否明确机构安全工作的总体 否□ 目标、范围、原则和安全框架等。 不适用□ 是否建立交付管理、配置管 检查运维管理制度是否涵盖交付管理、配置 是□ 理、值班管理、监控管理、 管理、值班管理、监控管理、设备和软件管 否□ 关联单位关系管理等制度。 理、关联单位关系管理等制度。 不适用□