证券登记结算机构是证券市场的重要组成部分，其信息系统的安全性、可靠性和合规性对于整个证券市场的稳定运行具有重要意义。为了规范证券登记结算机构信息系统审计的内容、方法和要求，保障证券登记结算机构信息系统的安全性、可靠性和合规性，中国证券监督管理委员会和中国期货监督管理委员会联合发布了JR/T 0146.3-2016 证券期货业信息系统审计指南 第3部分：证券登记结算机构。

该标准主要包括信息系统审计的基本原则和方法、证券登记结算机构信息系统的风险评估、证券登记结算机构信息系统的安全控制、证券登记结算机构信息系统的合规性以及证券登记结算机构信息系统审计的报告编制和审计结果的处理等内容。

首先，该标准明确了信息系统审计的基本原则和方法，包括审计目标、审计范围、审计程序、审计证据等。审计目标是指审计人员应当根据审计任务的要求，明确审计的目标和范围，确定审计的重点和难点。审计范围是指审计人员应当根据审计任务的要求，确定审计的对象、时间、空间和内容等。审计程序是指审计人员应当根据审计任务的要求，制定审计计划、开展审计工作、收集审计证据、分析审计结果等。审计证据是指审计人员应当根据审计任务的要求，收集、整理、分析和评价与审计对象相关的信息和数据，以支持审计结论的形成。

其次，该标准明确了证券登记结算机构信息系统的风险评估，包括风险识别、风险评估、风险控制等。风险识别是指审计人员应当根据审计任务的要求，识别证券登记结算机构信息系统存在的各种风险，包括技术风险、管理风险、人为风险等。风险评估是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统存在的各种风险的可能性和影响程度，确定风险的优先级和应对策略。风险控制是指审计人员应当根据审计任务的要求，制定风险控制措施，减少风险的发生和影响。

第三，该标准明确了证券登记结算机构信息系统的安全控制，包括物理安全、逻辑安全、网络安全等。物理安全是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统的物理安全措施，包括机房环境、设备安全、门禁管理等。逻辑安全是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统的逻辑安全措施，包括身份认证、访问控制、数据加密等。网络安全是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统的网络安全措施，包括网络拓扑结构、网络设备配置、网络隔离等。

第四，该标准明确了证券登记结算机构信息系统的合规性，包括法律法规合规、业务合规、信息安全合规等。法律法规合规是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统是否符合相关法律法规的要求，包括证券法、公司法、信息安全法等。业务合规是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统是否符合相关业务规范的要求，包括证券登记、股份转让、股息派发等。信息安全合规是指审计人员应当根据审计任务的要求，评估证券登记结算机构信息系统是否符合相关信息安全标准的要求，包括ISO 27001、GB/T 22239等。

最后，该标准明确了证券登记结算机构信息系统审计的报告编制和审计结果的处理。审计报告应当包括审计目的、审计范围、审计方法、审计结论、审计建议等内容。审计结果应当及时向证券登记结算机构管理层和监管部门报告，并按照相关规定进行处理。

相关标准
GB/T 22239-2019 信息安全技术 个人信息安全规范

GB/T 35273-2017 信息安全技术 信息安全等级保护评定指南

GB/T 22080-2008 信息安全技术 信息安全管理指南

GB/T 25070-2010 信息安全技术 信息安全管理体系实施指南

GB/T 28448-2012 信息安全技术 信息安全管理体系要求