商业银行的的信息科技风险的现场检查指南

《商业银行的的信息科技风险的现场检查指南》由会员分享，可在线阅读，更多相关《商业银行的的信息科技风险的现场检查指南（249页珍藏版）》请在装配图网上搜索。

1、商业银行信息科技风险现场检查指南目 录第一局部概述121. 指南说明131.1 目的与适用X围131.2 编写原如此141.3 指南框架15第二局部科技管理172. 信息科技治理182.1 董事会与高级管理层18检查项1 ：董事会18检查项2 ：信息科技管理委员会19检查项3 ：首席信息官CIO202.2 信息科技部门21检查项1 ：信息科技部门21检查项2 ：信息科技战略规划232.3 信息科技风险管理部门24检查项1 ：信息科技风险管理部门242.4 信息科技风险审计部门25检查项1 ：信息科技风险审计部门252.5 保护和信息披露26检查项1 ：保护26检查项2 ：信息披露263. 信息

2、科技风险管理283.1 风险识别和评估28检查项1 ：风险管理策略28检查项2 ：风险识别与评估293.2 风险防X和检测29检查项1 ：风险防X措施29检查项2 ：风险计量与检测304. 信息安全管理324.1 安全管理机制与管理组织32检查项1：信息分类和保护体系32检查项2：安全管理机制33检查项3：信息安全策略34检查项4：信息安全组织344.2 安全管理制度35检查项1：规章制度35检查项2：制度合规36检查项3：制度执行374.3 人员管理38检查项1：人员管理384.4 安全评估报告39检查项1：安全评估报告394.5 宣传、教育和培训39检查项1：宣传、教育和培训395.系统开

3、发、测试与维护415.1开发管理41检查项1：管理架构41检查项2：制度建设43检查项3：项目控制体系44检查项4：系统开发的操作风险45检查项5：数据继承和迁移465.2系统测试与上线47检查项1：系统测试47检查项2：系统验收49检查项3：投产上线495.3系统下线50检查项1：系统下线506. 系统运行管理526.1 日常管理52检查项1：职责别离52检查项2：值班制度53检查项3：操作管理53检查项4：人员管理546.2 访问控制策略55检查项1：物理访问控制策略55检查项2：逻辑访问控制策略56检查项3：账号与权限管理57检查项4：用户责任与终端管理58检查项5：远程接入的控制596

4、.3 日志管理60检查项1：审计日志检查60检查项2：日志信息的保护60检查项3：操作日志的检查61检查项4：错误日志的检查616.4系统监控62检查项1：根底环境监控62检查项2：系统性能监控62检查项3：系统运行监控63检查项4：测评体系646.5 事件管理65检查项1：事件报告流程65检查项2：事件管理和改良66检查项3：服务台管理676.6问题管理67检查项1：事件分析和问题生成68检查项2：台账管理68检查项3：问题处置686.7 容量管理69检查项1：容量规划69检查项2：容量监测70检查项3：容量变更706.8 变更管理71检查项1：变更的流程72检查项2：变更的评估72检查项3

5、：变更的授权73检查项4：变更的执行73检查项5：紧急变更74检查项6：重大变更747. 业务连续性管理767.1业务连续性管理组织77检查项1：董事会与高管层的职责77检查项2：业务连续性管理组织的建立78检查项3：业务连续性管理组织职责797.2 IT服务连续性管理80检查项1：IT服务连续性计划的组织保障80检查项2：风险评估与业务影响分析81检查项3：IT服务连续性计划的制定81检查项4：IT服务连续性计划的测试与维护82检查项5：IT服务连续性计划审计83检查项6：IT服务连续性相关领域的控制848. 应急管理858.1 应急组织85检查项1：应急管理团队85检查项2：应急管理职责8

6、6检查项3：应急管理制度868.2 应急预案87检查项1：应急预案制订87检查项2：应急预案内容87检查项3：应急预案更新89检查项4：外包服务应急89检查项5：应急预案培训908.3 应急保障90检查项1：人员保障90检查项2：物质保障90检查项3：技术保障91检查项4：沟通保障918.4 应急演练92检查项1：应急演练的计划92检查项2：应急演练的实施92检查项3：应急演练的总结938.5 应急响应93检查项1：应急响应流程93检查项2：全程记录处置过程94检查项3：应急事件报告95检查项4：与第三方沟通95检查项5：向新闻媒体通报制度96检查项6：应急处置总结968.6 持续改良97检查

7、项1：应急事件评估97检查项2：应急响应评估97检查项3：应急管理改良979. 灾难恢复管理999.1 灾难恢复组织架构99检查项1：灾难恢复相关组织架构999.2 灾难恢复策略101检查项1：总体控制101检查项2：灾难恢复策略101检查项3：灾难备份策略103检查项4：外包风险1049.3 灾难恢复预案105检查项1：灾难恢复预案105检查项2：联络与通讯106检查项3：教育、培训和演练1079.4评估和维护更新107检查项1：灾备策略的评估和维护更新107检查项2：灾难恢复预案的评估和维护更新10810. 数据管理10910.1 数据管理制度和岗位109检查项1: 数据管理制度109检查

8、项2 ：数据管理岗位11010.2 数据备份、恢复策略110检查项1：数据备份、转储策略110检查项2：数据恢复、抽检策略11110.3数据存储介质管理112检查项1：介质管理112检查项2：介质的清理和销毁11311. 外包管理11411.1外包管理制度114检查项1：外包管理制度114检查项2：外包审批流程114检查项3：外包协议115检查项4：服务水平协议115检查项5：外包安全某某措施116检查项6：外包文档管理11611.2外包评估和监视117检查项1：外包服务商的评估117检查项2：外包项目的监视管理11712. 内部审计11912.1 内部审计管理119检查项1：内部审计部门、岗

9、位、人员和职责119检查项2：内部审计制度和方法11912.2 内部审计要求120检查项1：内部审计X围和频率120检查项2：内部审计结果的有效性12013. 外部审计12213.1 外部审计资质122检查项1：外部审计机构的资质12213.2 外部审计要求122检查项1：商业银行配合外部审计情况122检查项2：外部审计有效性123检查项3：外审过程中的某某要求123第三局部根底设施12514. 计算机机房12614.1计算机机房建设126检查项1：计算机机房选址126检查项2：机房功能分区127检查项3：计算机机房根底设施建设127检查项4：计算机机房的环境要求130检查项5：计算机机房日常

10、维护13114.2计算机机房管理132检查项1：计算机机房安全管理132检查项2：计算机机房集中监控系统133检查项3：计算机机房安全区域访问控制134检查项4：计算机机房运行管理13514.3机房设备管理136检查项1：机房设备的环境安全13615. 网络通讯13715.1 内控管理137检查项1：内控制度137检查项2：人员管理138检查项3：访问控制138检查项4：日志管理139检查项5：第三方管理140检查项6：服务外包141检查项7：文档管理141检查项8：风险评估14215.2 网络运行维护143检查项1：运行监控143检查项2：性能监控143检查项3：流量监控144检查项4：监控

11、预警144检查项5：性能调优144检查项6：事件管理145检查项7：运行检查14515.3 网络变更管理146检查项1：变更发起146检查项2：变更计划147检查项3：变更测试147检查项4：变更审批147检查项5：变更实施14815.4 网络服务可用性149检查项1：容量管理149检查项2：冗余管理149检查项3：带外管理150检查项4：压力测试151检查项5：应急管理15115.5 网络安全技术151检查项1：结构安全151检查项2：物理安全153检查项3：传输安全153检查项4：访问控制154检查项5：接入安全155检查项6：网络边界安全156检查项7：入侵检测防X157检查项8：恶意代

12、码防X158检查项9：网络设备防护158检查项10：网络安全测试160检查项11：安全审计日志161检查项12：安全检查16216. 操作系统16316.1账号与密码管理163检查项1：管理制度163检查项2：账号、密码管理163检查项3：账号、密码管理检查16516.2系统访问控制165检查项1：访问控制策略165检查项2：用户登录行为管理166检查项3：登录失败日志管理166检查项4：最小化访问16716.3远程接入管理168检查项1：远程管理制度168检查项2：远程维护管理169检查项3：远程维护审查16916.4日常维护170检查项1：系统性能监控170检查项2：补丁与漏洞管理170检

13、查项3：日常维护管理171检查项4：系统备份和故障恢复172检查项5：病毒与恶意代码管理172检查项6：定时进程设置管理173检查项7：系统审计功能17317. 数据库管理系统17517.1访问控制175检查项1：身份认证175检查项2：授权控制176检查项3：远程访问177检查项4：安全参数设置17817.2日常管理178检查项1：数据安全178检查项2：审计功能179检查项3：性能管理180检查项4：补丁升级18117.3连续性管理181检查项1：备份和恢复181检查项2：连续性和应急管理18218. 第三方中间件18418.1 产品管理184检查项1：中间件测试184检查项2：中间件管理

14、184检查项3：中间件与业务系统架构18518.2 运行管理185检查项1：维护流程和操作手册185检查项2：中间件配置管理185检查项3：中间件日志管理的程序186检查项4：中间件的性能监控186检查项5：中间件产生的事件和问题管理187检查项6：中间件的变更187检查项7：单点故障问题和负载均衡187检查项8：压力测试188第四局部应用系统18919. 应用系统19019.1 应用系统管理190检查项1：业务管理方法与操作流程190检查项2：重要应用系统评估190检查项3：应用系统版本管理191检查项4：应用系统培训教育19219.2 应用系统操作192检查项1：终端用户管理192检查项2

15、：访问控制与授权管理193检查项3：数据某某处理194检查项4：数据完整性处理195检查项5：数据准确性处理195检查项6：日志管理机制196检查项7：备份、恢复机制197检查项8：文档资料管理198检查项9：内部审计的参与19920. 电子银行20020.1 电子银行业务合规性200检查项1：电子银行业务合规性20020.2 电子银行风险管理体系201检查项1：电子银行风险管理体系20120.3 电子银行安全管理202检查项1：电子银行安全策略管理202检查项2：电子银行安全措施203检查项3：电子银行安全监控204检查项4：电子银行安全评估20420.4 电子银行可用性管理205检查项1：

16、电子银行根底设施205检查项2：电子银行性能监测和评估20520.5 电子银行应急管理206检查项1：电子银行应急预案206检查项2：电子银行应急演练20721. 银行卡系统20821.1 银行卡系统管理208检查项1：银行卡系统容量的合理规划208检查项2：银行卡系统物理设备风险和故障处理209检查项3：银行卡交易监控209检查项4：账户密码和交易数据的存储和传输210检查项5：银行卡系统应急预案21121.2 终端设备212检查项1：自助银行机具和安装环境的物理安全212检查项2：自助银行机具的通信安全212检查项3：自助银行机具的安全装置213检查项4：自助银行业务操作流程机具软件213

17、检查项5：自助银行机具的巡查维护214检查项6：POS机21421.3 自助银行监控215检查项1：自助银行设备日常运行的监控情况215检查项2：监控中心和监控设备215检查项3：自助银行监控发现问题的处置情况216检查项4：自助银行设施安全评估信息科技方面21622. 第三方存管系统21722.1 管理架构和职责217检查项1：管理架构与岗位职责分工21722.2 系统功能217检查项1：系统功能21722.3 系统一般安全与账户处理218检查项1：账户冲正处理218检查项2：网络访问控制与病毒防X21822.4 数据交换219检查项1：数据交换安全性21922.5 运行维护220检查项1：

18、运行维护安全性22022.6 系统备份220检查项1：系统备份安全性22022.7 应急恢复与事故处理221检查项1：应急恢复与事故处理流程22122.8 系统测试221检查项1：系统测试22122.9 临时派出柜台222检查项1：系统派出柜台安全性222附录22323. 常用检查方法22423.1 问卷与函证22423.2 访谈22523.3 查阅22623.4 观察22723.5 测试22726.6 分析性复核23026.7 评审23124. 主要网络设备常用操作23224.1 Cisco设备常用操作232交换机232路由器233防火墙23424.2 H3C设备常用操作234交换机234路

19、由器236防火墙23725. 主要操作系统常用操作23825.1 AIX系统检查常用操作23825.2 HP/UX系统检查常用操作24625.3 Solaris系统检查常用操作25025.4 Windows系统检查常用操作25126. 主要数据库管理系统常用操作25626.1 DB2 系统检查常用操作25626.2 Sybase 系统检查常用操作25726.3 Oracle 系统检查常用操作25726.4 Informix 系统检查常用操作25926.5 SQL SERVER系统检查常用操作261第一局部 概述1. 指南说明1.1 目的与适用X围信息科技与银行业务高度融合，已成为银行业金融机构

20、提高运营效率、实现经营战略和加快金融创新的重要。与此同时，银行业对信息科技的高度依赖，使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学开展观要求，与时俱进，大力加强信息科技风险监管，充分利用现场检查这一监管，深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险与管理情况，发现问题、排查隐患，督促银行与时整改。商业银行信息科技风险现场检查工作，既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法，也是对银行机构信息科技风险状况进展准确分析和评价的重要，对与时预警风险，提高银行机构信息科技风险管控能力和水平，保护存款人和公众利益，维护

21、金融体系安全和稳定有着重要的意义。为提高信息科技风险现场检查质量，规X检查行为，银监会在“管法人、管风险、管内控、提高透明度监管理念指导下，全面总结信息科技现场检查经验，充分借鉴国外监管机构的检查规X和最优实践，编写了商业银行信息科技风险现场检查指南以下简称指南。指南编制的主要目的在于：一是明确了商业银行目前主要的信息科技风险领域、主要风险点，说明了检查思路和主要方法，帮助检查人员明确检查目标，从而提高信息科技风险现场检查的有效性和针对性，提升现场检查质量，为银监会与各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准，并提出了具

22、体的检查要求和步骤，进一步规X了信息科技风险现场检查的程序、和行为，是银监会与各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点，提出了风险识别、预警和控制的具体，商业银行可以充分借鉴指南内的信息科技风险防控原如此和指导思想，应用到银行信息科技建设和管理实践中，成为指导银行全面开展科技风险防控、提升管理能力的有力武器。指南主要适用于在中华人民某某国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查，应考虑区域

23、经济水平、机构规模与公司治理结构差异，按照本指南的风险防控原如此，结合实际情况进展检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本指南。1.2 编写原如此一、突出风险为本的监管理念。指南坚持法人监管、风险为本的监管理念，紧扣信息科技风险这一中心，详细说明了商业银行信息科技风险管理中的300多个关键风险点，明确提出了具体的控制要求和检查方法、步骤，涵盖了商业银行信息科技风险管控的各个方面和环节。二、坚持分类监管的原如此。指南参照相关行业标准和规X，指出了商业银行信息科技风险控制所应达到的标准

24、，同时兼顾不同类型银行机构的特点表现分类监管原如此，针对不同的被检查主体，在检查目标上有所区别和侧重，以便于监管人员正确把握检查标准和尺度，对商业银行的指导更具有针对性。三、表现监管引领作用。指南借鉴了国际银行业信息科技风险管理和监管的最新理念，也充分吸收了国内先进银行的成功经验，商业银行可以对照指南分析差距，将指南要求作为持续提高信息科技风险管控水平的目标。1.3 指南框架指南强调：商业银行信息科技风险管理应以科技治理为核心，通过完善科技治理架构，形成有效内控机制，将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。指南包含4个局部和附录，共26章节。第一局部“

25、概述主要介绍了编制指南的目的和适应X围、阐述了指南的编写原如此等内容。第二局部“科技管理包含12个章节，提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的根本要求、检查内容和检查方法、步骤等。第三局部“根底设施包含5个章节，提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等根底设施的根本要求、检查内容和检查方法、步骤等。第四局部“应用系统包含4个章节，提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的根本要求、检查内

26、容和检查方法、步骤等。附录包含4个章节，收录了常用检查方法和常用操作命令，常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。第二局部 科技管理2. 信息科技治理商业银行的董事会和高级管理层应根据本银行的开展战略，运用先进管理理念加强信息科技治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续开展能力。提示：在对商业银行的信息科技治理情况进展检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原如此，合理把握标准与尺度。如，有的银行机构还不具备建立专门信息科技管理委员会的条件时，可以指定其他委员会暂时代行其职责

27、，也可以由一个专门的管理协调小组或由一个已存在的机构例如董事会承当其职责。又如：在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时，可以指定一位具有科技从业背景或工作经验的高管人员承当首席信息官的工作职责。2.1 董事会与高级管理层检查项1 ：董事会根本要求：1董事会应对银行的信息科技治理负有最终责任。 (2)董事会应与时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。 检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会

28、是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以与董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进展监视。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进展验证。检查项2 ：信息科技管理委员会根本要求：1银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2) 信息科技管理委员会的职责应包括:(a)设定全行IT战略目标，指导IT方面的资金投入，对IT规划进展审批；(b)合理运

29、用现有资源，指导信息科技部门提供高质量的IT服务，同时要监视IT本钱管理情况；(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突；(d)确保IT战略的与时更新；(e)对主要的IT政策、标准、原如此进展审批；(f)对重要的IT项目和活动进展监控；(g)监视和管理IT绩效，确保达到预期IT服务水平；(h)对重大IT项目进展审批。3定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险与其应对措施等。检查方法、步骤：1访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略

30、与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进展验证。(3查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。检查项3 ：首席信息官CIO根本要求：1商业银行应建立首席信息官制度，明确其工作职责与报告路线。2首席信息官应了解并参与本行业务开展决策。3首席信息官应负责制定和与时更新信息科技

31、战略,确保信息科技战略与业务战略保持一致。4首席信息官应确保信息科技职能的规X和有效运作。5首席信息官应领导和协调信息科技部门做好以下工作：信息科技预算和支出，信息科技政策、标准和流程制定与执行，信息科技内部控制、专业化研发，信息科技项目管理，信息系统和科技根底设施的建设、维护和运行管理，信息安全管理，应急管理和灾难恢复计划，信息科技外包和信息系统退出等。6首席信息官应确保信息科技人才队伍具备充分的专业技能。检查方法、步骤：1访谈首席信息官，关注以下内容:(a)银行的信息科技战略与其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技开展规划;(

32、d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;(f) 首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进展监控。2查阅相关文档资料，如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进展验证。 2.2 信息科技部门检查项1 ：信息科技部门根本要求：1商业银行应建立与银行业务相适应的信息科技部门，负责信息科技产品的开发、外包、测试、上线和变更，负责相应信息系统的运行、维护

33、和安全，为银行提供信息科技业务产品。2信息科技部门应该根据工作内容，制定完整的内部工作流程和内控制度，建立与相关职能部门之间的协调配合机制，保证信息科技工作的有序、高效。3信息科技部门应定期分析评估信息系统生命周期各阶段的风险，制定风险防控策略、措施和检查流程，切实做好信息科技风险管控。4信息科技部门所配置的信息科技人员的数量应适应业务与IT开展水平，能保证各个信息系统和各项信息科技工作安全持续地运转。信息科技部门应做好科技人员管理，注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录，具备相应的专业知识技能。5信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科

34、技开发队伍，应做好信息科技开发管理，以与相关的外包服务管理、管理和开发环节的风险管理，为银行提供安全的信息科技业务产品。6信息科技部门应建设好银行信息科技系统安全连续运行的环境包括场地、设备、网络、系统、数据安全、访问控制和管理制度等，做好各种环境的监测控制，做好事件、问题管理和变更管理，做好紧急事件应急预案。7信息科技部门应严格遵守国家各项安全管理制度，配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度，协助做好业务部门信息科技风险控制和安全教育。检查方法、步骤:1调阅信息科技部门的各项工作流程和规章制度。2调阅信息科技风险管理政策和制度。3调阅信息科技部门

35、的组织结构图,岗位职责说明。(4)访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员，关注以下内容：a信息科技部门内部设置了哪些条线？各条线是否实现了必要的职责别离,如开发团队和运行团队别离, 信息科技人员不从事业务操作, 有专门的团队开展安全检查等；(b) 信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能；(c)问题和风险的报告路线、流程和处置效率； (d) 信息科技人员的激励机制；(e)如何对信息科技人员进展职业道德方面的教育,如何在全行科技职能X围内推进风险管理和内部控制的理念；(f)信息科技人员的任免和招聘,是否进展背景调查;(g)主要岗位是否轮岗;(h)信息科

36、技人员的技能培训情况;(i)信息科技人员是否了解本行的信息科技政策/流程/规X/标准等。检查项2 ：信息科技战略规划根本要求：1商业银行信息科技战略规划应在充分的市场调查和技术分析的根底上，由首席信息官, 银行高级管理层, 科技部门、风险管理和业务部门共同讨论制定，并经过信息科技管理委员会审查和批准，并报董事会审议。2信息科技战略规划应该与业务开展规划保持一致,为实现银行开展战略提供严密的信息科技支持。3信息科技战略规划应包含但不限于：IT治理建设的规划(关注于管理组织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技根底设施规划(关注于根底设施建设)。(4)在银行总体战略发生

37、变化时,银行信息科技战略规划应与时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进展监视。检查方法、步骤:1调阅信息科技开展战略规划或其他中长期开展规划，关注相关规划的配合和衔接。2访谈信息科技管理部门负责人和相关工作人员，重点关注：a信息科技开展战略规划的制定是否有各方面人员参与，是否经过高级管理层审批；b信息科技开展战略规划的内容是否包含了应用架构,根底设施,IT治理等方面；c信息科技开展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题；(d)信息科技战略规划是否依据环境变化,总体战略变更等进展调整。2.3 信息

38、科技风险管理部门检查项1 ：信息科技风险管理部门根本要求：1商业银行应建立全行信息科技风险管理框架，设立或指定信息科技风险管理部门，明确相应的管理职责，设置必要的岗位，配置足够的信息科技风险管理人员。2信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。3信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度，定期检查制度的执行情况，防止出现失控的环节和管理制度老化的情况。4信息科技风险管理部门应对重要的信息科技工作环节进展风险识别和评估，定期检查和上报信息科技风险控制状况。5信息科技风险管理部

39、门应对全行员工进展持续的信息科技风险教育。检查方法、步骤:1调阅信息科技风险管理的相关政策, 流程,管理规X, 工作手册,以与开展信息科技风险管理的记录, 如日常工作记录、会议纪要和风险评估报告等。2调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配置情况。3了解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标准,是否认期开展风险评估, 风险评估的结果,主要风险和应对措施等。4了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的开展情况,并调阅培训资料和记录等。2.4 信息科技风险审计部门检查

40、项1 ：信息科技风险审计部门根本要求：1商业银行应指定专门负责信息科技风险审计的部门，设置必要的岗位，并配备适量信息科技风险专业审计人员。2制定信息科技风险审计制度和相应的审计手册。3应有计划、有侧重点地开展信息科技风险审计工作。4与时向董事会和监事会报告信息科技风险审计情况。5审计发现重大风险隐患应与时报告。检查方法、步骤：1访谈信息科技审计部门负责人和工作人员, 了解以下信息:(a)信息科技审计职能的定位, 工作X围,组织结构和分工(包括信息科技内审团队内部的分工,以与与其他内审团队的分工),汇报路线, 人员配置, 技能 (如是否拥有专业资格)等情况；(b)信息科技审计计划, 关注计划制定

41、过程中是否考虑了风险,并基于风险状况制定相应计划；(c)信息科技审计工作的标准和规X；(d)信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等；(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,与与高级管理层和董事会的汇报。(f)内审人员的持续培训情况。(2)调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度；(b)信息科技审计部组织结构图,职责说明等；(c)信息科技风险审计手册或其他标准规X文档。3调阅商业银行审计工作计划、工作底稿和审计报告。4调阅审计发现落实整改情况的记录;。(5) 调阅培训记录。2.5 保护和信息披露检查项1 ：保护根

42、本要求：1商业银行应按照国家有关法律、法规的要求，制定本单位保护制度。2应采取有效措施确保所有员工充分理解保护制度并遵照执行。3规X合法软件的购置和使用，禁止使用盗版软件。4做好自主开发的信息科技产品的保护工作。检查方法、步骤：1调阅商业银行遵守法律的相关制度并审查其内容。2查阅商业银行的软件清单，检查是否拥有产权或授权与到期状况。3查阅外包服务协议和相关文件中是否有的保护条款，并检查落实情况。 检查项2 ：信息披露根本要求：商业银行应依据国家有关法律、法规的要求，按照监管机构规定的格式和时间，与时规X地披露信息科技风险信息。检查方法、步骤：1调阅商业银行有关信息科技风险披露的制度。2查阅商业

43、银行披露信息科技风险评估结果的记录。3重点关注信息披露是否符合商业银行信息披露方法等有关法律、法规的要求，是否按照监管机构规定的格式和时间与时规X地发布。(4) 访谈信息科技人员了解信息披露的流程, 以与信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的与时和准确等。3. 信息科技风险管理商业银行应制定信息科技风险管理策略，制定风险识别和评估、风险防X措施，对风险进展持续监测。3.1 风险识别和评估检查项1 ：风险管理策略根本要求：1商业银行应制定符合银行总体业务开展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划；2应配置足够人力、财力资源，维持稳定、安全的信息科技环

44、境；3应制定全面的信息科技风险管理策略，包括但不限于：信息分级与保护，信息系统开发、测试和维护，信息科技运行和维护，访问控制，物理安全，人员安全，业务连续性计划与应急处置。检查方法、步骤：1访谈信息科技部门与信息科技风险管理部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以与对风险容忍度的界定；(b) 银行的主要信息科技风险与其应对措施；(c)在开展信息科技风险管理过程中遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管理政策和流程, 风险评估规X或手册等。检查项2 ：风险识别与评估根本要求：1商业银行应制定持续的风险识别和评估流程

45、，确定信息科技风险隐患；2定期评估信息科技风险对其业务的潜在影响，对风险进展排序，并确定风险防X措施与所需资源的优先级别。检查方法、步骤：1调阅风险识别和评估流程文档，风险评估报告和相关工作底稿，了解具体工作开展情况。2与信息科技风险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员)访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以与对识别的风险是否制定了应对措施。3.2 风险防X和检测检查项1 ：风险防X措施根本要求：1商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防X措施。防X措施应包括：制定明确的信息科技风险管理制度、技术标准和操作规程，并定期进展更新

46、和公布；2确定潜在风险区域，并对区域进展有效的监控，实现风险与早发现、影响最小化；3建立适当的控制框架，以便于检查和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户审查，控制数据和系统的物理与逻辑访问，访问授权以“必需知道和“最小授权为原如此，审批和授权，验证和调节等。检查方法、步骤：1调阅信息科技管理制度、技术标准、操作规程等文档,并访谈信息科技人员和风险管理人员,了解信息科技风险控制的主要原如此和措施.(注:这里应主要关注风险控制的原如此, 如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等，具体控制的设计和执行情况将在各个领域中进展检查。)2调阅风险监控相关工

47、作记录,如风险评估报告,信息科技各职能部门关于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控情况；(3)了解信息科技职能和风险管理职能如何对主要风险进展监控,如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指标的持续监测, 内外审的发现和建议的落实,问题上报制度等。检查项2 ：风险计量与检测根本要求：1商业银行应建立持续的信息科技风险计量和检测机制，其中包括：建立信息科技项目实施前与实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进展定期审查

48、,定期评估新技术开展可能造成的影响和已使用软件面临的新威胁,定期进展运行环境下操作风险和管理控制的检查,定期进展信息科技外包项目的风险状况评价。2中资商业银行在境外设立的机构与境内的外资法人银行，应对境内外监管机构有关信息科技风险监管政策的差异性进展分析并防X由此可能产生的风险。检查方法、步骤：1调阅有关文档(如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等)，了解商业银行是否建立信息科技风险计量和监测机制。2访谈相关工作人员，了解中资商业银行在境外设立的机构与境内的外资法人银行是否对监管政策的差异性进展了充分分析并采取有效风险防X措施。4. 信息安全管理保证信息安全是商业银行的一项

49、重要任务，商业银行应在信息科技部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的某某性、完整性和可用性。信息安全涉与到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三局部“根底设施局部。提示：在对商业银行的信息安全管理进展检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原如此，合理把握标准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不设置单独的安全管理部门，但应设置专职的岗位；信息科技岗位设置可以彼此兼职，但不相容岗位应别离，做到操作系统管理员、业务系统管理员与数据库管理员彼此别离、

50、网络管理员和其他系统管理员彼此别离、批量处理人员和业务数据库管理员彼此别离。4.1 安全管理机制与管理组织检查项1：信息分类和保护体系根本要求：商业银行信息科技部门应对各类信息系统进展风险评估，根据信息系统的重要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。检查方法、步骤：1调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的X围、级别作出明确规定；2检查商业银行是否针对不同的信息系统，制订了不同的安全防X措施，采取了不同的技术防X；3检查商业银行是否对信息系统风险进展评估和防X。检查项2：安全管理机制根本要求：商业银行信息科技部门应

51、落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，定期向信息科技管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。检查方法、步骤：1调阅商业银行信息安全计划或相关文档，检查商业银行是否制订信息安全计划。2分析信息安全计划，评估商业银行信息科技部门能否对信息安全进展持续、长期和有效的管理，确保信息安全和信息系统安全运行。3检查商业银行信息科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。4检查商业银行信息科技部门是否对各

52、类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改良、完善计划。通过访谈了解管理策略和计划是否有效实施。5调阅信息安全评估报告，检查信息科技部门是否认期对本行信息安全进展评估。检查项3：信息安全策略根本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。检查方法、步骤：1调阅商业银行信息安全策略，检查是否制定信息安全策略与其内容是否完整、全面。2调阅信息安全管理规定，查

53、看是否制定信息安全管理规定以与是否具有相应的实施要求和细如此。检查项4：信息安全组织根本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以与各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应根据各个部门和岗位的职责明确授权审批部门与批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进展审批；安全管理人员应负责定期进展安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。检查方法、步骤：1调阅相关岗位职责说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义

54、各个工作岗位的职责；2检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等；3查询相关制度文件和审批记录，检查是否根据各个部门和岗位的职责明确授权审批部门与批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进展审批； 4调阅信息安全检查记录，检查安全管理员是否认期进展安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否与时报告和处理。4.2 安全管理制度检查项1：规章制度根本要求：商业银行应对信息安全风险进展分析、评估；应对信息安全管理工作建立相应的管理制度；应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级

55、程度，并进展密级管理；信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款；重要工作和岗位应制订详尽的管理方法和工作职责；信息安全制度应包括对服务商的责任和义务要求；信息安全事件报告制度和处理流程应清晰明确；信息安全管理制度应注明发布X围，有发文编号和相关部门的收文记录；信息安全制度应与时发布和修订。商业银行应建立完善的信息系统管理制度，管理制度应正式发文予以公布，或收集整理形成制度汇编以便于员工学习掌握。检查方法、步骤：1调阅商业银行信息

56、安全管理相关的会议记录。2调阅信息安全相关的制度，查看：(a)是否围绕着风险分析、评估报告开展制度建设，各项制度能否有效防X风险；b已有制度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容；c是否包含违规的处罚条款；d是否包括针对服务商的管理要求，如职责和义务；e是否建立信息安全事件报告制度和处理流程，制度和流程是否清晰和明确；(3)调阅信息安全管理部门职责和工作计划，查看是否对重要的信息系统安全管理岗位制定了明确的管理方法和工作职责。4信息安全管理负责人员座谈，了解近期信息安全方

57、面的重大管理、安全、人事等方面事件，检查是否已经针对上述事件对信息安全制度进展了与时修订和颁布实施。检查项2：制度合规根本要求：信息安全制度应符合国家有关信息科技管理的法律法规；应符合国家有关信息科技管理的技术标准；应符合银监会有关要求；对于拥有境外机构的银行，其制度也应符合境外监管机构的要求。检查方法、步骤：1调阅信息安全制度，检查：a制度是否遵循国家有关信息科技管理的法律法规要求；b技术性比拟强的信息系统安全制度是否低于国家相关标准规定；c审查其是否与银监会相关方法、要求相冲突。2与信息安全管理负责人座谈，了解该银行是否在境外设立分支机构，境外分支机构信息安全制度是否符合所在国、地区监管机

58、构的要求。检查项3：制度执行根本要求：信息科技相关工作应严格遵守信息安全制度规定；对违规操作的应根据相应条款进展处罚；被处罚管理部门或个人应对违规操作进展整改；审计部门应对信息安全制度执行情况定期进展审计。检查方法、步骤：1与负责信息安全的人员访谈，了解信息安全制度执行情况；2调阅银行或部门会议记录，查看银行或部门是否对日志、视频等记录中出现的违规操作行为进展过认定，并对违规人员或部门进展过处罚；3调阅银行或部门会议记录，查看是否对违规操作进展过整改，整改的后续情况如何。对于因制度漏洞造成的风险，是否与时对相关制度进展了修改：4调阅内、外部审计资料，查看是否有关于信息安全制度执行情况的审计报告

59、；5调阅审计文件，查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求；6调阅银行或部门文件，查看是否对审计发现的问题进展过整改落实，后续的整改落实情况是否符合审计要求。4.3 人员管理检查项1：人员管理根本要求：1信息科技的岗位设置应合理，应做到分工明确、职责清晰，重要岗位需要相互制约、监视；2信息科技人员应无不良记录；信息科技人员的专业知识和业务水平应达到本行要求；应加强对临时聘用或合同制信息科技人员的安全管理措施；3应对信息科技人员权限进展分级管理，关键岗位应有AB角；应别离不相容岗位人员职责，不得兼任；4信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机

60、要人员管理要求，对涉密人员应签订某某协议；5信息科技人员管理要全面，应包括背景调查、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。检查方法、步骤：1调阅银行人事制度，了解银行的信息科技岗位设置情况，是否配备了专门的安全管理岗位；2与信息科技管理人员和普通员工进展座谈，听取其对信息科技岗位设置的意见，分析岗位设置是否合理；3调阅银行人事档案，查看是否建立了信息科技人员的绩效考核制度，查看信息科技人员是否有不良记录；4调阅银行人事档案和与信息科技从业人员进展座谈，了解信息科技人员的专业知识和业务水平；5调阅银行人事管理制度或部门人事管理制度，分析是否有针对正式信息科技人员、临时聘用或

61、合同制信息科技人员与顾问制定不同的人事管理制度；6调阅信息安全管理的相关制度，确认是否对不同信息科技岗位进展了权限划分和分级管理，并能贯彻落实上述制度和要求。4.4 安全评估报告检查项1：安全评估报告根本要求：商业银行应定期对信息系统安全情况进展评估，并提交安全评估报告。当信息系统发生重大变化时，应与时进展信息安全评估。对安全评估中发现的问题，应与时整改。检查方法、步骤：1调阅安全评估报告，检查商业银行是否认期对信息系统安全进展评估。如果信息系统发生重大变化或升级后，是否与时进展信息安全评估：2检查安全评估是否全面，是否覆盖所有信息系统，是否覆盖所有信息安全X围；3检查安全评估报告反映的问题是

62、否与时得到处理或改良。4.5 宣传、教育和培训检查项1：宣传、教育和培训根本要求：高管层、信息安全管理部门负责人应知晓信息安全政策；银行应加强对客户的信息安全重要性的宣传教育工作；银行应定期组织员工进展信息系统安全重要性教育；银行应组织员工学习根本的信息系统安全管理制度；信息科技人员应掌握与其岗位相关的信息安全管理制度。检查方法、步骤：1与高管层、信息安全管理部门负责人座谈，了解是否知晓本银行的信息安全政策；2与高管层座谈，了解银行是否对客户进展过信息安全方面的宣传教育，其内容、力度和频度如何；3与普通员工座谈，了解是否承受过有关信息安全方面教育；4抽查银行内部部门的学习记录，看是否组织过信息安全防X知识方面的学习培训；