信息安全审计的范围至少应该包括：

　　1、安全策略的一致性检查

　　2、人工操作的记录与分析(操作审计)

　　3、程序行为的记录与分析(日志分析与审计)

　　一般来说，信息安全审计的主要依据为信息安全管理相关的标准。例如ISO/IEC 17799、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险(尤其是操作风险)，从而提高安全性。

　　当前信息安全审计主要为合规性审计。对银行来说，这意味着要符合所有适用的法案、条约等。例如萨班斯-奥克斯利法案(SOx Act)与巴塞尔协议(Basel)都对风险控制有明确的要求。其中前者侧重操作风险控制，后者侧重业务风险(金融交易风险)控制。如前所述，由于银行业务对IT系统的依赖性越来越高，操作风险导致业务风险的案例屡见不鲜，因此有效地控制操作风险是业务风险控制的重要内容。

　　银行信息安全审计的实现

　　信息安全审计不能离开信息安全策略而独立存在，因此信息安全审计的实现必须与信息安全策略的制订与落实紧密结合在一起，才能有效地控制风险。

　　因此，银行信息安全审计的实现需要考虑如下因素：

　　1、制订信息安全策略所依据的标准(如ISO/IEC 17799);

　　2、IT系统中实际执行的访问控制策略(如交换机与路由器的ACL、防火墙的规则等);

　　3、在安全策略中规定但未落实到技术措施的安全策略(如口令更换周期、口令强度、不可共同账号、最小授权等);

　　4、安全事件(病毒感染、蠕虫传播、恶意程序植入等)对信息安全(机密性、完整性以及可用性)的破坏;

　　5、盗版软件、企业机密信息在网络上的传播与滥用;

　　6、安全策略中未明确规定但隐含的与法律要求一致的内容。

　　相应地，银行信息安全审计可以考虑如下实现方法：

　　1、行为记录：记录所有进入、离开特定物理区域、IT系统区域的信息以及在IT系统中进行的各种操作(业务访问、系统维护、策略配置等);

　　2、日志审计：采集、分析IT系统(操作系统、数据库、可管理的网络设备等)自身的日志;

　　3、网络活动审计：采集网络数据包，通过协议解协还原网络活动并记录;

　　4、对重点监控对象(如存放有机密文件的办公PC)进行细粒度的行为(击键、文件读写、拷贝等)记录与分析。

　　显然，上述几种方法只能独立地满足不同的审计要求，尚不足以构成完整的IT审计体系。因此，需要采用合适的技术将各种不同的审计方法整合在一起，形成独立、完整的综合审计平台。从而建立一个行为不可抵赖，数据可靠、完整的IT审计体系，全面增强事件(事故)的标识、分析、收集证据以及策略调整等环节，有效地追查事故原因并辅助界定责任。

　　结束语

　　在合规性使命越来越紧迫的驱动下，银行信息安全审计正在逐渐成为银行业务风险(尤其是操作风险)控制的重要内容之一。银行信息安全审计必须建立在功能完整、技术可靠的综合审计平台之上，相对独立地运行，发挥监督与促进作用，从而有效地控制IT相关的操作风险。