文库搜索
切换导航
首页
频道
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
首页
联系我们
国家标准目录
国际ISO标准目录
行业标准目录
地方标准目录
批量下载
ICS 03.060 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0146.6—2016 证券期货业信息系统审计指南 第 6 部分:基金管理公司 Securities and futures industry audit guideline for information system — Part6: Fund management companies 2016 - 11 - 08 发布 中国证券监督管理委员会 2016 - 11 - 08 实施 发 布 JR/T 0146.6—2016 目 次 前言 ................................................................................ II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 信息系统审计概述 .................................................................. 1 附录 A(规范性附录) 信息技术治理审计底稿 ............................................ 4 附录 B(规范性附录) 机房管理审计底稿 ............................................... 24 附录 C(规范性附录) 网络管理审计底稿 ............................................... 34 附录 D(规范性附录) 运维管理审计底稿 ............................................... 46 附录 E(规范性附录) 信息系统安全等级保护相关工作审计底稿 ........................... 67 附录 F(规范性附录) 软件正版化审计底稿 ............................................. 72 附录 G(规范性附录) 网上信息系统审计底稿 ........................................... 76 附录 H(规范性附录) 重要信息系统审计底稿 .......................................... 108 附录 I(规范性附录) 信息系统托管审计底稿 .......................................... 135 附录 J(规范性附录) 信息系统调查表 ................................................ 170 I JR/T 0146.6—2016 前 言 JR/T 0146-2016《证券期货业信息系统审计指南》标准按适用对象分为以下7部分: ——第 1 部分:证券交易所; ——第 2 部分:期货交易所; ——第 3 部分:证券登记结算机构; ——第 4 部分:其他核心机构; ——第 5 部分:证券公司; ——第 6 部分:基金管理公司; ——第 7 部分:期货公司。 本部分为JR/T 0146.6-2016《证券期货业信息系统审计指南》的第6部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由全国金融标准化技术委员会(SAC/TC180)提出并归口。 本部分起草单位:中国证券监督管理委员会信息中心、中国证券监督管理委员会会计部、中国证券 监督管理委员会纪委监察局,上海证券交易所、深圳证券交易所、上海期货交易所、郑州商品交易所、 大连商品交易所、中国金融期货交易所、中国证券登记结算有限责任公司、中国证券投资者保护基金有 限责任公司、中国证券金融股份有限公司、中国期货市场监控中心有限责任公司、中证资本市场运行统 计监测中心有限责任公司、全国中小企业股份转让系统有限责任公司、中证信息技术服务有限责任公司, 深圳证券通信有限公司、上海期货信息技术有限公司、大连飞创信息技术有限公司、国泰君安证券股份 有限公司、海通证券股份有限公司。 本部分主要起草人:张野、刘铁斌、王东明、陈炜、陈建斌、金浦芳、蒲晓明、龚定贵、陈国红、 王欣、吕德旭、焦东亮、丛日权、吴忠华、马维杰、孙立、周桉、黄韦、徐楠、李毅、吴宁、朱家根、 赵明、颜梦、李杰、杜佳铠、郭赫然。 II JR/T 0146.6—2016 证券期货业信息系统审计指南 第 6 部分:基金管理公司 1 范围 本部分给出了基金管理公司开展信息系统审计的实施指南。 本部分适用于中华人民共和国境内设立的基金管理公司及下属公司开展信息系统审计工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。本标准将根据规范性 引用文件的最新版本定期更新并发布。 JR/T 0060—2010 证券期货业信息系统安全等级保护基本要求(试行) JR/T 0067—2011 证券期货业信息系统安全等级保护测评要求(试行) JR/T 0099—2012 证券期货业信息系统运维管理规范 JR/T 0112—2014 证券期货业信息系统审计规范 JR/T 0133—2015 证券期货业信息系统托管基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 审计底稿 information system audit manuscript 对获取的相关审计证据,实施的审计程序,以及得出的审计结论作出的记录。 3.2 审计程序 audit procedure 在具体的审计过程中采取的行动和步骤。 3.3 审计结论 audit conclusion 在具体的审计过程中提出的应由被审计单位执行的审计建议和审计意见或决定。 3.4 审计证据 audit evidence 审计部门和审计人员获取的,用以证明审计事实真相,形成审计结论的证明材料,包括相关制度、 日志文件、配置文件、运维记录、测评报告、商业合同、各种统计数据等。 4 信息系统审计概述 1 JR/T 0146.6—2016 4.1 总则 信息系统审计框架由三部分构成:审计输入、审计过程和审计输出。 审计输入包括JR/T 0112-2014的附录A、附录B、附录C。过程组件为一组与输入组件中所标识的安 全控制相关的特定审计对象和审计方法,输出组件包括一组由审计人员使用的用于确定安全控制有效性 的程序化陈述。图1给出了框架。 JR/T 0112-2014 附录 A、B、C 证券期货业信息 系统审计规范 审计输入 审计方法 访谈 检查 测试 审计对象 制度文档 各类设备 安全配置 相关人员 审计规程(步骤) 访谈规程(步骤) 检查规程(步骤) 测试规程(步骤) 审计输出 审计过程 图1 概念性框架 审计对象是指审计实施的对象,即审计过程中涉及到的制度文档、各类设备及其安全配置和相关人 员等。制度文档是指针对信息系统所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功 能规格及建筑设计)。各类设备是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如: 硬件、软件、固件或物理设施)。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。 相关人员或部门,是指应用上述制度、设备及安全配置的人。 审计方法包括:访谈、检查和测试,审计人员通过这些方法试图获取证据。上述三种审计方法(访 谈、检查和测评)的审计结果都用以对安全控制的有效性进行评估。 审计输出是审计报告,审计报告应给出审计结论:如果审计结果中没有不符合项,则审计结论为“符 合”;如果审计结果存在不符合项,但所产生的安全问题不会导致信息系统存在高等级安全风险,则审 计结论为“基本符合”;如果审计结果存在不符合项,且所产生的安全问题导致信息系统存在高等级安 全风险,则审计结论为“不符合”。 2 JR/T 0146.6—2016 4.2 使用方法 本标准附录A至附录I分别描述了信息技术治理、机房管理、网络管理、运维管理、信息系统安全等 级保护相关工作、软件正版化、网上信息系统、重要信息系统、信息系统托管的审计方法。附录J给出 了实施信息系统审计时需要的调查数据。 审计实施时,审计人员需参考附录A至附录J,完成信息系统审计工作。对于机房管理、网络管理, 需每一个机房给出完整的审计底稿。对于重要信息系统,需审计包括但不限于等级保护二级及以上系统, 并对每一个重要信息系统给出完整的审计底稿。对于信息系统托管,需每一个提供托管服务的机房给出 完整的审计底稿。 审计过程中,审计人员需注意对审计记录和证据的采集、处理、存储和销毁,保护其在审计期间免 遭破坏、更改或遗失,并保守秘密。 3 JR/T 0146.6—2016 AA 附 录 A (规范性附录) 信息技术治理审计底稿 表A.1至表A.2给出了信息技术治理审计的程序、内容及相关记录要求。 表A.1 信息技术治理审计底稿 被审计部门: 索引号:XXJSZL 审计主题:信息技术治理 审计年度: 审计结论、意见及建议: 编制人: 年 月 日 (部门盖章) 复核意见: 复核人: 年 月 日 (部门盖章) 被审计部门意见: 年 月 日 (部门盖章) 4 JR/T 0146.6—2016 表 A.1 信息技术治理审计底稿(续) 审计证据列表: 5 JR/T 0146.6—2016 表A.2 序号 审计项 1. 制度和文档管理 1.1. 管理制度 是否制定信息安全工作的 1.1.1. 略,查看文件是否明确机构安全工作的总体 否□ 目标、范围、原则和安全框架等。 不适用□ 是否建立交付管理、配置管 检查运维管理制度是否涵盖交付管理、配置 是□ 理、值班管理、监控管理、 管理、值班管理、监控管理、设备和软件管 否□ 关联单位关系管理等制度。 理、关联单位关系管理等制度。 不适用□
JR-T 0146.6-2016 证券期货业信息系统审计指南 第6部分:基金管理公司
文档预览
中文文档
210 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助8元下载(无需注册)
温馨提示:本文档共210页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助8元下载
本文档由 思安 于
2022-10-19 07:28:12
上传分享
举报
下载
原文档
(2.4 MB)
分享
友情链接
NY-T 3630.1-2020 农药利用率田间测定方法第1部分%3A大田作物茎叶喷雾的农药沉积利用率测定方法-诱惑红指示剂法.pdf
GB-T 6946-2008 钢丝绳铝合金压制接头.pdf
GB-T 38303-2019 农业社会化服务 农民技能培训规范.pdf
GB-T 26507-2019 石油天然气钻采设备 地面油气混输泵.pdf
GB-T 13343-2008 矿用三牙轮钻头.pdf
GB-T 28258-2012 制药机械产品分类及编码.pdf
GB-Z 42759-2023 智慧城市 人工智能技术应用场景分类指南.pdf
GB-T 33511-2017 机械振动 桥梁动态测试与检测测量结果的评估.pdf
DB3310-T 93-2022 公共数据授权运营指南 台州市.pdf
法律法规 唐山市人民代表大会常务委员会关于第二批废止地方性法规中若干行政许可规定的决定.pdf
GB-T 25068.3-2022 信息技术 安全技术 网络安全 第3部分:面向网络接入场景的威胁、设计技术和控制.pdf
GB-T 20279-2015 信息安全技术 网络和终端隔离产权安全技术要求.pdf
T-SUCA 008.3—2022 显示系统视觉舒适度 第2-2部分:平板显示-蓝光测量方法.pdf
GB-T 37043-2018 智慧城市 术语.pdf
GB-T 35278-2017 信息安全技术 移动终端安全保护技术要求.pdf
GMT0104-2021 云服务器密码机技术规范.pdf
GB-T 14982-2008 粘土质耐火泥浆.pdf
信通院 大模型治理蓝皮报告 2023年 ——从规则走向实践.pdf
NIST.SP.800-53r5 Security and Privacy Controls for Information Systems and Organizations.pdf
信通院 数据中心智能化运维发展研究报告 2023年.pdf
1
/
3
210
评价文档
赞助8元 点击下载(2.4 MB)
回到顶部
×
微信扫码支付
8
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。