金融行業(yè)是現(xiàn)代服務(wù)業(yè)的重要組成部分，它通過溝通全部社會的經(jīng)濟運動而成為現(xiàn)代經(jīng)濟的核心。

近年來，隨著金融信息化過程的不斷推動，信息技巧在金融業(yè)務(wù)中起著越來越重要的作用，越來越多的金融業(yè)務(wù)流程依附信息技巧�，F(xiàn)代金融行業(yè)在組織結(jié)構(gòu)、業(yè)務(wù)流程、業(yè)務(wù)開辟以及客戶服務(wù)等方面，日益體現(xiàn)出以知識和信息為基礎(chǔ)的特點。但隨著信息系統(tǒng)在金融行業(yè)業(yè)務(wù)運營中的作用越來越重要，金融行業(yè)信息系統(tǒng)所面臨的要挾和風(fēng)險也越來越大，外部黑客或不法分子虎視眈眈，內(nèi)部違規(guī)或犯法事件正呈上升趨勢。

據(jù)CSI盤算機犯法調(diào)查，在有預(yù)謀的信息犯法中，80%以上是內(nèi)部人員作案。要想基本解決內(nèi)部人員違規(guī)或作案問題，進而完善信息科技內(nèi)部把持系統(tǒng)，只有加強信息科技審計制度才是治本之法。

安全審計產(chǎn)品安排在金融行業(yè)的價值所在

據(jù)懂得，目前缺乏有效的審計手段是信息科技監(jiān)管所面臨的最大問題，“服務(wù)在網(wǎng)內(nèi)，監(jiān)管在網(wǎng)外”，數(shù)據(jù)在信息系統(tǒng)內(nèi)被每秒上千次的主動化處理，而審計時卻只能靠人工進行檢查，檢查的范疇、深度等都非常有限，這使得審計監(jiān)管的力度和深度難以保證，也是很多違規(guī)或犯法事件產(chǎn)生很長時間后才被發(fā)明重要原因之一。

因此，必需要通過安排安全審計產(chǎn)品，實時監(jiān)測數(shù)據(jù)在信息系統(tǒng)內(nèi)的操作，發(fā)明違規(guī)操作立即報警，并保存記錄操作過程以備將來查詢?nèi)∽C，實現(xiàn)“服務(wù)在網(wǎng)內(nèi)，監(jiān)管在網(wǎng)內(nèi)”的目標(biāo)，從而使得信息科技內(nèi)控系統(tǒng)進一步完善。

除此之外，國家、金融監(jiān)管機構(gòu)在信息科技監(jiān)管請求中也都明白提出要實現(xiàn)安全審計功效。國家等級保護相干標(biāo)準(zhǔn)中請求二級以上信息系統(tǒng)中的網(wǎng)絡(luò)層面、主機層面和利用層面均請求進行安全審計，同時也明白請求了審計的范疇、審計內(nèi)容等。銀監(jiān)會19號文中也明白提出“把持所有生產(chǎn)系統(tǒng)的運動日志，以支撐有效的審計、安全論證分析和預(yù)防訛詐”。國外信息安全方面的標(biāo)準(zhǔn)或最佳實踐（如ISO13335、ISO27001、SP800）等也請求對用戶行動、系統(tǒng)操作進行審計。

對于安全審計產(chǎn)品而言，其通過對IT系統(tǒng)中相干信息的收集、分析和報告，來判定現(xiàn)有IT安全把持的有效性，檢查IT系統(tǒng)的誤用和濫用行動，驗證當(dāng)前安全策略的合規(guī)性，獲取犯法和違規(guī)的證據(jù)。

那么，總體來說，安排安全審計系統(tǒng)能夠帶來什么樣的價值呢？

（1）滿足合規(guī)性請求，順利通過IT審計

目前，越來越多的單位面臨一種或者幾種合規(guī)性請求。比如，在美國上市的公司及其下屬分子公司就面臨SOX法案的合規(guī)性請求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性請求；政府的行政事業(yè)單位或者國有企業(yè)則有遵守等級保護的合規(guī)性請求。

安全審計系統(tǒng)有助于完善組織的IT內(nèi)控與審計系統(tǒng)，從而滿足各種合規(guī)性請求，并且使組織能夠順利通過IT審計。

（2）有效減少核心信息資產(chǎn)的損壞和泄漏

對單位的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個要害系統(tǒng)上（如數(shù)據(jù)庫服務(wù)器、利用服務(wù)器等），通過應(yīng)用安全審計系統(tǒng)，能夠加強對這些要害系統(tǒng)的審計，從而有效地減少對核心信息資產(chǎn)的損壞和泄漏。

（3）追蹤溯源，便于事后追查原因與界定義務(wù)

審計監(jiān)控系統(tǒng)能夠完整的詮釋義務(wù)認定系統(tǒng)。通過穩(wěn)固而成熟的審計技巧，可以建立起一個行動不可抵賴、數(shù)據(jù)可靠，完整并且強有力的義務(wù)認定系統(tǒng)。

通過從不同層面對支付系統(tǒng)中各種設(shè)備的操作和管理行動，包含本地操作和遠程操作的綜合審計，可以很好的將上述行動記錄下來，并且長時間保存，可以達到很好的達到審計監(jiān)控目標(biāo)，從而有效進行義務(wù)認定。

（4）實現(xiàn)獨立審計與三權(quán)分立，完善IT內(nèi)控機制

從內(nèi)控的角度來看，IT系統(tǒng)的應(yīng)用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。在三權(quán)分立的基礎(chǔ)上實行內(nèi)控與審計，有效地把持操作風(fēng)險（包含業(yè)務(wù)操作風(fēng)險與運維操作風(fēng)險等）。安全審計實現(xiàn)獨立的審計與三權(quán)分立，完善IT內(nèi)控機制。