伴随国家金融监管和整改力度的加大，互联网金融行业及其他新型科技金融行业的运作将更加规范和标准，现依据多年的经验和相关金融行业标准规范要求，整理出信息安全审计要点，供参考。
审计依据
《金融机构信息化监管规定》
信息化治理
信息系统建设与运维
基础设施建设与保障
信息安全管理
监督管理
审计证据
审计证据涉及的资料包括但不限于如下：
重要信息系统定级清单及备案证明；等级保护测评报告、整改方案；
据中心选址风险评估报告相关文档，机房建设验收报告；
物理区域访问控制机制文档、访问控制记录，物理安全规章制度；
网络拓扑结构图、网络安全域方案；网络安全设备、网络安全各类文档；
网络审计日志记录；主机审计日志记录；
主机安全防护、访问控制、监控措施等文档；
重要应用系统安全设计方案；
重要应用系统审计日志记录；
数据安全管理制度与流程，数据分级分类管理规范；
数据管理与使用流程，检查数据使用、审批记录；
重要数据审计记录
软件设计文档，密码设备产品相关资质认证记录
外部重大安全风险事件排查记录和应对措施文档
信息安全控制措施执行检查记录；
人员信息化安全培训制度，培训记录。
审计详细指南
信息安全等级保护机制
定级备案——公安定级备案
测评整改——权威评测机构测评
物理安全
机房（数据中心、idc）建设——选址、楼层、规划、边界保护等
机房（数据中心、idc）设施——防雷电、电力供应、防火、防水防潮、防静电、电磁保护、摄像监控等
访问控制——出入防护、区域隔离、准入认证、设备标识、监控警报灯
网络安全
网路结构——网路结构拓扑图
网路防护——边界控制、防火墙、入侵防御、入侵检测等
网路安全审计——流量、行为、授权等
主机安全
主机安全防护——补丁、系统漏洞、恶意代码防范、访问控制、维护管理等
主机安全审计——审计策略开启、访问日志、重要命令行为监控、日志异地保存等
应用安全
应用安全防护——安全控制评估、应用系统账号权限及授权、系统数据校验、系统数据修改、系统数据加密与存储、密钥管理、认证数据保护等
应用安全审计——审计策略开启、访问日志、日志异地保存等
数据安全
数据安全防护——数据的采集、处理、存储、传输、分发、备份、恢复、清理和销毁的管理制度，日志记录等
数据管理与使用——数据加密、数据保密存储、数据完整性保障、数据查阅变更的管控、数据备份与恢复、数据介质消磁销毁等
重要数据安全审计——访问日志、变更日志、重要数据的操作日志、日志异地保存等
密码与算法
国产密码算法——符合国家密码管理规定的密码技术和产品
安全评估与自查
对外部安全风险态势和事件的响应——事件响应与处置的流程、制度、记录等
信息安全控制措施执行情况的检查——检查流程、制度、记录等
信息安全培训——培训记录、培训体系、培训课程等
要求：至少每两年执行一次全面的审计
结束语：以上的要求虽然是传统金融行业的审计范围和标准要求，但在信息安全领域，仍然具备很高的权威性，且对当前的互联网金融行业有非常好的借鉴意义。科技金融的发展，对信息系统的依耐性更强，信息安全也成为重中之重，请从业者务必重视！！！