银行业金融机构信息科技风险监管现场检查手.doc

银行业金融机构信息科技风险监管现场检查手银行业金融机构信息科技风险监管现场检查手册 2011年08月04日前言 信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖，决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。银监会党委对信息科技风险监管工作高度重视，刘明康主席多次召开专项工作会议并做出重要批示和指示，明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念，把信息科技风险纳入银行总体风险监管框架，切实加强制度建设和风险监控，确保银行业信息系统安全稳定。在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下，银监会坚持“风险为本”的监管原则，提出了信息科技风险功能性监管的新思路，突出“制度先行”，完善监管框架，借鉴和吸收国际先进标准及业界最佳实践，不断丰富信息科技风险监管方式方法，制定了一系列的监管规范，结合奥运保障开展现场检查，并针对性地发出有关风险提示，建立非现场监管体系和监管评级体系，从而构建了信息科技风险监管的基础框架，全面展开信息科技风险的监管工作。按照郭利根副主席提出的“集成资源，形成信息科技风险监管合力”和“搞好规划，全面加强信息科技风险监管制度建设”要求，银监会强化机制建设、优化资源配置，整合科技人力资源，集中全国银监会系统科技骨干力量，在北京成立了信息科技监管“专项工作组”，又在上海、深圳两地分别成立信息科技风险监管工作室，按照统一调度、统一指挥、统一培训的工作原则，制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举，形成了矩阵式的监管工作模式，快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。手册的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干，参加手册编写工作；银监会各部门与各银监局提出了许多宝贵意见；上海银监局为编写工作提供了大量支持和保障工作。整个手册内容融合了银监系统内信息科技人员的经验和智慧，汇聚了银监会各部门与各银监局的宝贵意见和建议，应属于银监会系统及科技人员共同努力的成果和结晶。在此，向所有参与工作的单位和个人致以诚挚的谢意！ 目录 第一部分概述 2 1. 银行信息科技风险及其监管. 2 1.1 银行信息科技风险.2 1.2 银行信息科技风险特点2 1.3 风险成因分析.3 1.4 信息科技风险监管意义4 2. 现场检查一般流程 5 2.1 现场检查准备阶段.5 2.2 现场检查实施阶段.7 2.3 现场检查后续阶段.8 3. 常用检查方法. 9 第二部分 科技管理 11 4. 科技治理. 11 4.1 董事会及高管层.11 检查项1 ：董事会和高级管理层.11 4.2 信息科技工作的管理机构12 检查项1 ：全行信息科技工作的管理机构.12 4.3 信息科技部门.13 检查项1 ：信息科技部门.13 4.4 信息科技战略规划15 检查项1 ：信息科技战略规划15 4.5 信息科技风险管理部门.15 检查项1 ：信息科技风险管理部门.15 4.6 信息科技风险审计16 检查项1 ：信息科技风险审计机制.16 4.7 知识产权保护.17 检查项1 ：知识产权制度.17 4.8 信息披露.17 检查项1 ：信息披露.17 5. 连续性管理. 18 5.1 信息系统连续性组织.18 检查项1：系统连续性管理组织.18 检查项2：系统连续性管理组织职责.19 检查项3：系统连续性计划编制、维护.20 检查项4：系统连续性计划编制、维护职责20 检查项5：系统连续性计划执行组织.20 检查项6：系统连续性计划执行组织职责.21 检查项7：人员变动管理22 5.2 信息系统连续性计划.22 检查项1：系统连续性计划.22 检查项2：测试及持续更新.24 检查项3：信息系统连续性计划管理.25 检查项4：系统连续性计划培训.25 检查项5：系统连续性计划审计.25 6. 应急管理. 26 6.1 应急组织.26 检查项1：应急管理团队26 检查项2：应急管理职责27 检查项3：应急管理制度27 6.2 应急预案.27 检查项1：应急预案制订27 检查项2：应急预案内容28 检查项3：应急预案更新29 检查项4：外包服务应急29 检查项5：应急培训.29 6.3 应急演练.30 检查项1：应急演练前30 检查项2：应急演练过程30 检查项3：应急演练后30 6.4 应急响应.31 检查项1：应急响应流程31 检查项3：应急事件报告32 检查项4：与第三方沟通32 检查项5 ：向新闻媒体通报制度.32 检查项6：应急处置总结33 6.5 应急保障.33 检查项1：人员保障.33 检查项2：物质保障.33 检查项3：技术保障.34 检查项4：沟通保障.34 6.6 持续改进.34 检查项1：应急事件评估、改进.34 检查项2：应急响应评估35 检查项3：应急管理评估35 检查项4：纳入全面风险管理机制35 7. 信息系统安全管理. 35 7.1 安全管理组织.36 检查项1：管理目标.36 检查项2：人员风险.36 7.2 安全管理制度.37 检查项1：规章制度.37 检查项2：制度合规.38 查项3：制度执行.38 检查项4：宣传和教育培训.39 检查项5：事件响应和处理.39 8. 外包管理. 40 8.1 服务外包管理制度40 检查项1：服务外包管理制度.40 检查项2：对重要外包项目评估.41 检查项3：外包安全保密措施.41 8.2 服务外包管理风险评估.41 检查项1：对服务外包商评估.41 检查项2：对服务外包商审查.42 8.3 服务外包审批.42 检查项1：服务外包审批流程.42 8.4 服务外包应急响应42 检查项1：服务外包应急计划.42 检查项2：服务外包商联络机制.43 检查项3：服务外包应急演练.43 8.5 外包合同.43 检查项1：外包合同.43 检查项2：服务外包商访问权限.44 检查项3：外包服务法律风险.44 8.6 服务外包文档的完备性.45 检查项1：服务外包文档45 9. 审计监督. 45 9.1 内部审计.45 检查项1：信息科技审计制度.45 检查项2：内部审计的范围、频率46 检查项3：审计质量控制46 检查项4：审计结果的有效性和持续性.47 9.2 外部审计.47 检查项1：内部审计与外部审计的协调.47 10. 开发变更管理. 48 10.1 开发管理.48 检查项1：制度建设.48 检查项2：管理架构.49 检查项3：项目控制体系49 检查项4：系统开发的操作风险.50 10.2 系统测试与上线.50 检查项1：系统测试.51 检查项2：系统验收.51 检查项3：系统上线.52 10.3 系统升级变更.52 检查项1：制度建设.52 检查项2：管理架构.53 检查项3：测试体系.53 检查项4：紧急变更控制措施.54 10.4 系统下线.54 检查项1： 制度和流程建设54 检查项2： 操作管理.55 11. 系统运行管理. 55 11.1 日常运行管理55 检查项1：运行部门和岗位设置.55 检查项2：信息科技部门人员管理55 检查项3：信息科技部门人员培训56 检查项4：系统用户的管理.56 检查项5：系统性能的监控.56 检查项6：信息系统配置的管理.57 检查项7：系统设置参数的更改.57 检查项8：设备和介质的生命周期管理.57 检查项9：日志管理.57 检查项10：问题管理.58 检查项11：服务台管理.58 检查项12：呼叫中心.58 检查项13：桌面管理.59 11.2 日常运行的监督.59 检查项1：规章制度及信息安全控制执行情况的检查.59 检查项2：运行报告.59 11.3 可靠性运行管理.60 检查项1：单点故障的排查.60 检查项2：信息系统漏洞导致业务失控的风险排查.60 检查项3：数据的管理60 11.4 安全运行管理60 检查项1：对已获知的外部安全问题信息的反应.61 检查项2：信息安全事件的响应.61 检查项3：信息安全设备的完备性61 检查项4：信息安全的管理工具.61 检查项5：病毒的检测和预防.62 11.5 保密运行管理62 检查项1：数字签名和认证的安全性.62 检查项2：口令的管理62 检查项3：交易的验证63 检查项4：数据的加密63 12. 灾难备份管理. 63 12.1 灾难恢复的总体控制64 检查项1：灾难恢复的规划.64 12.2 灾难恢复的组织机构64 检查项1：灾难恢复的组织机构.64 检查项2：灾难恢复领导小组职责64 检查项3：灾难恢复规划实施小组职责.65 检查项4：灾难恢复日常运行小组职责.65 12.3 灾难恢复的规划过程65 检查项1：业务影响分析65 检查项2：联络与通讯66 检查项3：灾备系统中的外包风险67 12.4 灾难恢复的实施过程67 检查项1：灾难恢复策略的制定.67 检查项2：灾难恢复策略实现.69 检查项3：灾难恢复预案的实现.69 12.5 灾难恢复的维护更新过程.70 检查项1：教育、培训和演练.70 检查项2：灾难恢复的管理和持续更新.70 13. 数据管理 71 13.1 数据管理制度和岗位71 检查项1: 数据管理的制度71 检查项2 ：数据管理的岗位72 检查项1：数据备份策略72 检查项2：数据恢复、抽检策略.73 13.3 数据存储介质及文档的管理74 检查项1：介质管理.74 检查项2：介质的清理和销毁.74 检查项3：系统文档管理75 14. 机房管理 77 14.1 物理环境/计算机机房业务连续性.77 检查项1：计算机机房运行管理.77 检查项2：计算机机房选址.78 检查项3：计算机机房基础设施有效性.78 检查项4：计算机机房日常维护.80 检查项5：机房功能分区80 检查项6：应急预案及演练.81 14.2 物理环境/计算机机房安全.81 检查项1：物理环境/计算机机房安全管理81 检查项2：计算机机房的环境安全管理.82 检查项3：计算机机房集中监控系统.83 检查项4：计算机机房安全区域访问控制.83 检查项5：机房设备安全84 15. 网络通信 85 15.1 内控管理.85 检查项1：内控制度.85 检查项2：人员管理.86 检查项3：授权管理.86 检查项4：口令管理.86 检查项5：第三方管理87 检查项6：服务外包.87 检查项7：文档管理.87 检查项8：审计和检查88 检查项9：风险评估.89 检查项10：剩余风险控制.89 15.2 运行维护.89 检查项1：运行监控.89 检查项2：性能监控.90 检查项3：流量监控.90 检查项4：性能调优.90 检查项5：监控预警.90 检查项6：事件管理.91 检查项7：运行检查.91 15.3 网络变更管理92 检查项1：变更计划.92 检查项2：变更审批.92 检查项3：配置和策略变更.92 检查项4：设备变更.93 检查项5：变更测试.93 15.4 网络服务连续性.93 检查项1：连续性计划93 检查项2：业务影响分析94 检查项3：应急管理.94 检查项4：容量管理.94 检查项5：冗余管理.94 检查项6：带外管理.95 检查项7：压力测试.95 检查项8：应急演练.96 检查项9：灾备要求.96 检查项10：服务中断的管理96 15.5 网络安全.96 检查项1：结构安全.96 检查项2：物理安全.97 检查项3：传输安全.98 检查项4：访问控制.98 检查项5：接入安全.99 检查项6：网络边界安全.100 检查项7：入侵检测防范.100 检查项8：恶意代码防范.101 检查项9：网络设备防护.101 检查项10：网络安全测试.103 检查项11：安全检查103 检查项12：安全审计日志.103 16. 主机设备. 104 16.1 设备安全.104 检查项1：实体和环境安全104 检查项2：可靠性及状态监控（硬件维护协议、版本升级、硬件的备件） .105 检查项3：设备电磁防护.105 16.2 运行安全105 检查项1：安全监控（主动防护，定期检测）.105 检查项2：操作及维护.106 检查项3：恶意代码防护.107 检查项4：时钟同步.107 检查项5：电缆安全.107 检查项6：备份与故障恢复108 17. 操作系统. 108 17.1 操作系统日常维护.108 检查项1：日常维护管理.108 17.2 用户、密码设置及根系统管理109 检查项1： root 用户及密码管理109 检查项2： root 用户及密码设置110 检查项3： root 登录失败记录管理.111 检查项4： su 命令失败记录管理.111 检查项5： 定时保护管理.111 检查项6： root 是否只能在某设备上注册112 检查项7： 根文件系统自动清理设置管理112 检查项8： 其他特权用户管理.112 检查项9： 用户UID 管理情况113 检查项10：配置文件管理.113 检查项11：用户目录管理.114 17.3 主机文件系统安全.114 检查项1：文件系统目录权限配置管理114 检查项2： 参数“umask”配置管理.115 检查项3： 应用目录权限配置管理.115 17.4 主机系统访问控制.115 检查项1： 登录失败日志管理.115 检查项2： UNIX 通信服务管理.116 检查项3： NFS 目录共享管理116 检查项4： HTTP 服务管理.117 检查项5： FTP 对主机的访问管理.118 检查项6： Telnet 网络服务管理118 检查项7： 远程访问控制策略管理.119 17.5 主机系统工作情况.120 检查项1： 系统进程数量管理.120 检查项2： 系统容量管理.120 检查项3： 定时进程设置情况管理.121 检查项4： 定时进程Cron 日志管理122 17.6 HACMP 设置情况.122 检查项1： HACMP 维护切换管理122 检查项2：其他高可靠性方案管理.123 17.7 Windows 系统安全策略设置是否合理124 检查项1： 信息安全政策管理.124 检查项2： 安全选项设置管理.124 检查项3： 日志策略设置管理.125 检查项4： 硬盘分区格式管理.126 17.8 Windows 日常管理.126 检查项1：版本管理.126 检查项2：补丁管理.126 检查项3：软件管理.126 检查项4： 登录密码、屏幕保护密码管理127 检查项5： 机器命名、工作组设置管理.127 检查项6： IP 地址管理.127 18. 数据库管理系统. 127 检查项1：访问控制.128 检查项2：身份认证.128 检查项3：数据安全.129 检查项4：网络安全.129 检查项5：审计策略.130 检查项6：备份和恢复.130 检查项7：性能管理.130 检查项8：连续性和应急管理.131 19. 第三方中间件产品 132 19.1 产品管理132 检查项1：中间件产品准入132 检查项2：中间件软件管理目录.132 检查项3：中间件产品与业务系统架构132 19.2 运行管理133 检查项1：维护流程和操作手册.133 检查项2：中间件产品配置管理.133 检查项3：中间件产品日志管理的程序133 检查项4：中间件产品的性能监控.133 检查项5：中间件产品产生的事件和问题管理.134 检查项6：中间件产品的变更.134 19.3 安全管理134 检查项1：中间件产品安全措施和认证134 检查项2：中间件产品的访问认证机制135 检查项3：中间件产品的管理控制台135 检查项4：单点故障问题和负载均衡135 19.4 灾备系统136 检查项1：中间件产品应急处理预案136 检查项2：中间件产品灾备系统.136 19.5 多应用中间件产品风险136 检查项1：业务流程管理.136 检查项2：应用关联管理.136 检查项3：压力测试.137 19.6 数据库中间件产品风险137 检查项1：数据库访问控制信息的保护137 第四部分 应用系统. 139 20. 应用系统. 139 20.1 应用系统管理.139 检查项1：应用系统管理制度.139 检查项2：应用系统分类保护.139 检查项3：重要应用系统应具有审计功能.140 检查项4：应用系统版本管理.140 检查项5：应用系统培训教育.141 20.2 应用系统安全.141 检查项1：终端用户管理.141 检查项2：访问控制.142 检查项3：保密机制.142 检查项4：数据完整性.143 检查项5：数据准确性.143 检查项6：监督制约分级授权.144 检查项7：日志管理机制.144 检查项8：备份、恢复机制145 21. 电子银行. 146 21.1 电子银行业务合规性.146 检查项1：电子银行业务合规性.146 21.2 电子银行风险管理组织体系及制度体系.147 检查项1：组织体系及制度体系.147 21.3 电子银行安全管理.147 检查项1：电子银行安全策略管理.147 检查项2：电子银行安全基础设施.148 检查项3：电子银行安全监控.148 检查项4：电子银行安全评估.149 21.4 电子银行可用性管理.149 检查项1：电子银行基础设施（网络设备、通讯线路、