JR_T 0146.4-2016证券期货业信息系统审计指南 第4部分：其他核心机构.pdf

ICS 03. 060A 11JR中华人民共和国金融行业标准JR/T 0146.4—2016证券期货业信息系统审计指南第4部分：其他核心机构Securities and futures industry audit guideline for information systemPart4: The other core corporations2016-11-08发布2016-1108实施中国证券监督管理委员会发布 JR/T 0146.4—2016表A.1信息技术治理审计底稿（续）审计证据列表： JR/T 0146. 42016表 6.2重要信息系统审计底稿（续）序号中计项审计程序审计结论备注a)检查主要应用系统设计和验收文档，查看是否有服务水平最小值的设定，当系统的服4. 9. 6.是否能够对系统服务水平务水平降低到预先设定的最小值时，系统报是口降低到预先规定的最小值警;香口选行检测和报警。b)测试主要应用系统，可试图使服务水平降不适用口低到预先规定的最小值，验证系统是否能够正确检测并报警。是否提供服务优先级设定4. 9. 7.功能，并在安装后根据安检查主要应用系统设计和验收文档，查看是是口全策略设定访问账户或请否能根据安全策略设定主体的服务优先级，求进程的优先级，根据优根抵优先毁分配系统资源。不适用口先级分配系统资源。4. 10.数据安全a)检查设计、验收文档或源代码，查看其是否有关于保护通信完整性的说明，如果有则通过互联网、卫星网进行查看是否有根据校验码判断对方数据有效4. 10. 1.信时，是否采用密码技性，以及敏列（Hash）密码计算报文校验码是口术保证通信过程中数据的的描速；香口完整性。b)对于通过互联网、卫星网进行通信的系不适用口统，通过截包分析，检查通信报文是否经过加密保护。是否能够检测到系统管理如果主要主机操作系统能够进行远程管理，数据、鉴别信息和重要业则应查看应用系统的设计、验收文格或源代4. 10. 2.务数据在传输过程中完整码，查看是否有关于能检测系统管理数据、是口性受到破坏，并在检测到鉴别信息和重要业务数据传输过程中完整完整性错误时采取必要的性受到破坏，并在检测到完整性错误时采取不适用口恢复措施.必要的恢复措施的描述是否采用加密或其他保护4. 10. 3.措施实现系统管理数据、检查主要应用系统设计文档，查看鉴别信息是口鉴别信息和重要业务数据是否采用加密或其他有效措施实现存储保存储保密性密性.不适用口4. 11.备份能力是否至少每天备份数据a)检查“表K.4-数据备份情况"，查看数据次：备份介质应当在本地备份记录，确认开户、交易、行情、转账、4. 11. 1.机房、同城及异地安全可登记、存管、结算、查询和相关业务办理的是口靠存放：每周至少对数据数据等重重要数据每日在本地、同城、异地备份进行一次有效性验备份：不适用口证。b)查看数据有效性验证记录，确认每周对数据备份选行了一次有效性验证。95 JR/T 0146. 42016表G.2重要信息系统审计底稿（续）序号审计程序中计结论备注实时信息系统灾难应对能检查“表K.4-系统备份能力"，查看实时信力是否满是：信息系统恢息系统灾难应对能力达标证明材料（包括：4. 11. 2.复时间目标RTO小于3小灾难备份系统建设情况、备份策略、应急演是口时；信息系统恢复点目标练记录等)，判断实时信息系统灾难应对能否口RPO小于1分钟；备份系力是否满足：RTO小于3小时：信息系统恢不适用口统具有满足业务需求的处复点目标RP0小于1分钟：备份系统具有满理能力。足业务需求的处理能力。非实时信息系统灾难应对检查“表K.4-系统备份能力"，查看非实时能力是否满足：信息系统信息系统灾难应对能力达标证明材料（包恢复时间目标RTO小于64. 11. 3.括：灾难备份系统建设情况、名备份策略、应是口小时：信息系统恢复点目急演综记录等），判断非实时信息系统灾难香口标RPO等于0秒；备份系应对能力是否满足：RTO小于6小时：信息不适用口统具有满足业务需求的处系统恢复点目标BPO等于0秒：备份系统具理能力。有满足业务需求的处理能力。，实时信息系统故障应对检查“表K.4-系统备份能力"，查看实时信能力是否满足：信息系统息系统故障应对能力达标证明材料（包括：4. 11. 4.恢复时间目标RTO小于3灾难备份系统建设情况、备份策略、应急演是口分钟：信息系统恢复点目练记录等)，判断实时信息系统故障应对能否口标RPO小于30秒：备份系力是否满足：RTO小于3分钟：信息系统恢不适用口统具有满是业务需求的处复点目标RP0小于30秒：备份系统具有满理能力。足业务需求的处理能力。丰实时信息系统故障应检查“表K.4-系统备份能力"，查看非实时对能力是否满足：信息系信息系统故障应对能力达标证明材料（包4.