1 前言

近年來，銀行IT系統(tǒng)對(duì)銀行業(yè)務(wù)的發(fā)展起到極大的推進(jìn)作用。同時(shí)，隨著銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴程度越來越高，IT風(fēng)險(xiǎn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的影響也越來越大。而IT風(fēng)險(xiǎn)中70%以上屬于操作風(fēng)險(xiǎn)，即由人工操作不當(dāng)（無意或故意）引起的風(fēng)險(xiǎn)。因此，有效地控制IT風(fēng)險(xiǎn)，尤其是操作風(fēng)險(xiǎn)，對(duì)銀行業(yè)務(wù)的安全運(yùn)營(yíng)至關(guān)重要。

國(guó)家信息化專家咨詢委員會(huì)的曲成義委員指出：要確保應(yīng)用安全，安全廠商應(yīng)當(dāng)真正擺脫產(chǎn)品本位的思想，深入到行業(yè)內(nèi)部、對(duì)一些典型應(yīng)用進(jìn)行深入的調(diào)查和研究，從而提出以應(yīng)用為主的新型安全解決方案。

本文正是在這樣一種思路的指導(dǎo)下，對(duì)銀行的信息安全審計(jì)需求進(jìn)行分析，并針對(duì)如何有效地進(jìn)行操作審計(jì)進(jìn)行深入討論。

2 銀行信息安全審計(jì)需求

根據(jù)審計(jì)的目的不同，可以分為合規(guī)性審計(jì)與績(jī)效審計(jì)。就信息安全審計(jì)而言，目前主要是合規(guī)性審計(jì)。

在此，合規(guī)性指銀行的行為需要符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求。而信息安全合規(guī)性則指銀行在建設(shè)與運(yùn)行IT系統(tǒng)中的行為需要符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求。

以下討論的銀行信息安全審計(jì)限于銀行IT系統(tǒng)運(yùn)行的合規(guī)性審計(jì)。

目前以四大銀行為代表的國(guó)有銀行均已制訂了成文的信息安全策略，信息安全策略的貫徹執(zhí)行需要相應(yīng)的檢查手段。信息安全審計(jì)作為銀行風(fēng)險(xiǎn)控制的主要內(nèi)容之一，是檢查安全策略落實(shí)情況的一種手段。

下面從操作風(fēng)險(xiǎn)生命周期的角度淺顯地分析信息安全審計(jì)在操作風(fēng)險(xiǎn)控制中發(fā)揮的作用。

操作風(fēng)險(xiǎn)成為現(xiàn)實(shí)的事件（或者事故）一般需要經(jīng)歷三個(gè)階段：隱患、誘發(fā)、已發(fā)生。

導(dǎo)致存在操作風(fēng)險(xiǎn)隱患的原因有兩點(diǎn)：一是信息安全策略本身存在漏洞，二是信息安全策略沒有得到很好的貫徹執(zhí)行，尤其是缺乏相應(yīng)的技術(shù)保障措施。

誘發(fā)操作風(fēng)險(xiǎn)的原因則多種多樣。無論是人為的有意越權(quán)訪問或者無意誤操作，還是各種安全事件（病毒感染、蠕蟲爆發(fā)、惡意程序植入等），都會(huì)把風(fēng)險(xiǎn)變成實(shí)實(shí)在在的損失。

操作風(fēng)險(xiǎn)發(fā)生后表現(xiàn)為安全事件（事故），對(duì)事件（事故）的處理通常遵循如下圖所示的流程：

事件（事故）處理的一般流程