操作風(fēng)險(xiǎn)發(fā)生后表現(xiàn)為安全事件（事故），對(duì)事件（事故）的處理通常遵循如上圖所示的流程。

事件（事故）處理流程

信息安全審計(jì)正好包含標(biāo)識(shí)事件、分析事件、收集相關(guān)證據(jù)等活動(dòng)，從而為策略調(diào)整和優(yōu)化提供依據(jù)。它的范圍至少應(yīng)該包括：安全策略的一致性檢查，人工操作的記錄與分析（操作審計(jì)），程序行為的記錄與分析（日志分析與審計(jì)）。

一般來(lái)說(shuō)，信息安全審計(jì)的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn)。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系，基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn)，從而提高安全性。

當(dāng)前信息安全審計(jì)主要為合規(guī)性審計(jì)。對(duì)銀行來(lái)說(shuō)，這意味著要符合所有適用的法案、條約等。例如薩班斯-奧克斯利法案（SOX）與巴塞爾協(xié)議（Basel）都對(duì)風(fēng)險(xiǎn)控制有明確的要求。前者側(cè)重操作風(fēng)險(xiǎn)控制，后者側(cè)重業(yè)務(wù)風(fēng)險(xiǎn)（金融交易風(fēng)險(xiǎn)）控制。如前所述，由于銀行業(yè)務(wù)對(duì)IT系統(tǒng)的依賴性越來(lái)越高，操作風(fēng)險(xiǎn)導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的案例屢見(jiàn)不鮮，因此有效地控制操作風(fēng)險(xiǎn)是業(yè)務(wù)風(fēng)險(xiǎn)控制的重要內(nèi)容。

銀行信息安全審計(jì)實(shí)現(xiàn)

信息安全審計(jì)的實(shí)現(xiàn)必須與信息安全策略的制訂與落實(shí)緊密結(jié)合在一起，才能有效地控制風(fēng)險(xiǎn)。銀行信息安全審計(jì)的實(shí)現(xiàn)需要考慮如下因素：

1.制訂信息安全策略所依據(jù)的標(biāo)準(zhǔn)（如ISO/IEC 17799）；

2.IT系統(tǒng)中實(shí)際執(zhí)行的訪問(wèn)控制策略（如交換機(jī)與路由器的ACL、防火墻的規(guī)則等）；

3.在安全策略中規(guī)定但未落實(shí)到技術(shù)措施的安全策略（如口令更換周期、口令強(qiáng)度、不可共同賬號(hào)、最小授權(quán)等）；

4.安全事件（病毒感染、蠕蟲(chóng)傳播、惡意程序植入等）對(duì)信息安全（機(jī)密性、完整性以及可用性）的破壞；

5.盜版軟件、企業(yè)機(jī)密信息在網(wǎng)絡(luò)上的傳播與濫用；

6.安全策略中未明確規(guī)定但隱含的與法律要求一致的內(nèi)容。

因此，可以分析出銀行信息安全審計(jì)可以考慮如下方法：

1.行為記錄：記錄所有進(jìn)入、離開(kāi)特定物理區(qū)域、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進(jìn)行的各種操作（業(yè)務(wù)訪問(wèn)、系統(tǒng)維護(hù)、策略配置等）；

2.日志審計(jì)：采集、分析IT系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫(kù)、可管理的網(wǎng)絡(luò)設(shè)備等）自身的日志；

3.網(wǎng)絡(luò)活動(dòng)審計(jì)：采集網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)協(xié)議解析還原網(wǎng)絡(luò)活動(dòng)并記錄；

4.對(duì)重點(diǎn)監(jiān)控對(duì)象（如存放有機(jī)密文件的辦公PC）進(jìn)行細(xì)粒度的行為（擊鍵、文件讀寫(xiě)、拷貝等）記錄與分析。

顯然，上述幾種方法只能獨(dú)立地滿足不同的審計(jì)要求，尚不足以構(gòu)成完整的IT審計(jì)體系。因此，需要采用合適的技術(shù)將各種不同的審計(jì)方法整合在一起，形成獨(dú)立、完整的綜合審計(jì)平臺(tái)，從而建立一個(gè)行為不可抵賴，數(shù)據(jù)可靠、完整的IT審計(jì)體系。這些也正是信息安全企業(yè)的價(jià)值和義務(wù)所在。

多易