商业银行信息科技风险现场检查指南

1 商业银行信息科技风险 现场检查指南 2 目 录 第一部分 概述 12 1 指南说明 13 1 1 目的及适用范围 13 1 2 编写原则 14 1 3 指南框架 15 第二部分 科技管理 17 2 信息科技治理 18 2 1 董事会及高级管理层 18 检查项 1 董事会 18 检查项 2 信息科技管理委员会 19 检查项 3 首席信息官 CIO 20 2 2 信息科技部门 21 检查项 1 信息科技部门 21 检查项 2 信息科技战略规划 23 2 3 信息科技风险管理部门 24 检查项 1 信息科技风险管理部门 24 2 4 信息科技风险审计部门 25 检查项 1 信息科技风险审计部门 25 2 5 知识产权保护和信息披露 26 检查项 1 知识产权保护 26 检查项 2 信息披露 26 3 信息科技风险管理 28 3 1 风险识别和评估 28 检查项 1 风险管理策略 28 检查项 2 风险识别与评估 29 3 2 风险防范和检测 29 检查项 1 风险防范措施 29 检查项 2 风险计量与检测 30 4 信息安全管理 32 4 1 安全管理机制与管理组织 32 检查项 1 信息分类和保护体系 32 检查项 2 安全管理机制 33 检查项 3 信息安全策略 34 检查项 4 信息安全组织 34 4 2 安全管理制度 35 检查项 1 规章制度 35 检查项 2 制度合规 36 3 检查项 3 制度执行 37 4 3 人员管理 38 检查项 1 人员管理 38 4 4 安全评估报告 39 检查项 1 安全评估报告 39 4 5 宣传 教育和培训 39 检查项 1 宣传 教育和培训 39 5 系统开发 测试与维护 41 5 1 开发管理 41 检查项 1 管理架构 41 检查项 2 制度建设 43 检查项 3 项目控制体系 44 检查项 4 系统开发的操作风险 45 检查项 5 数据继承和迁移 46 5 2 系统测试与上线 47 检查项 1 系统测试 47 检查项 2 系统验收 49 检查项 3 投产上线 49 5 3 系统下线 50 检查项 1 系统下线 50 6 系统运行管理 52 6 1 日常管理 52 检查项 1 职责分离 52 检查项 2 值班制度 53 检查项 3 操作管理 53 检查项 4 人员管理 54 6 2 访问控制策略 55 检查项 1 物理访问控制策略 55 检查项 2 逻辑访问控制策略 56 检查项 3 账号及权限管理 57 检查项 4 用户责任及终端管理 58 检查项 5 远程接入的控制 59 6 3 日志管理 60 检查项 1 审计日志检查 60 检查项 2 日志信息的保护 60 检查项 3 操作日志的检查 61 检查项 4 错误日志的检查 61 6 4 系统监控 62 检查项 1 基础环境监控 62 检查项 2 系统性能监控 62 检查项 3 系统运行监控 63 检查项 4 测评体系 64 6 5 事件管理 65 4 检查项 1 事件报告流程 65 检查项 2 事件管理和改进 66 检查项 3 服务台管理 67 6 6 问题管理 67 检查项 1 事件分析和问题生成 68 检查项 2 台账管理 68 检查项 3 问题处置 68 6 7 容量管理 69 检查项 1 容量规划 69 检查项 2 容量监测 70 检查项 3 容量变更 70 6 8 变更管理 71 检查项 1 变更的流程 72 检查项 2 变更的评估 72 检查项 3 变更的授权 73 检查项 4 变更的执行 73 检查项 5 紧急变更 74 检查项 6 重大变更 74 7 业务连续性管理 76 7 1 业务连续性管理组织 77 检查项 1 董事会及高管层的职责 77 检查项 2 业务连续性管理组织的建立 78 检查项 3 业务连续性管理组织职责 79 7 2 IT 服务连续性管理 80 检查项 1 IT 服务连续性计划的组织保障 80 检查项 2 风险评估及业务影响分析 81 检查项 3 IT 服务连续性计划的制定 81 检查项 4 IT 服务连续性计划的测试与维护 82 检查项 5 IT 服务连续性计划审计 83 检查项 6 IT 服务连续性相关领域的控制 84 8 应急管理 85 8 1 应急组织 85 检查项 1 应急管理团队 85 检查项 2 应急管理职责 86 检查项 3 应急管理制度 86 8 2 应急预案 87 检查项 1 应急预案制订 87 检查项 2 应急预案内容 87 检查项 3 应急预案更新 89 检查项 4 外包服务应急 89 检查项 5 应急预案培训 90 8 3 应急保障 90 检查项 1 人员保障 90 5 检查项 2 物质保障 90 检查项 3 技术保障 91 检查项 4 沟通保障 91 8 4 应急演练 92 检查项 1 应急演练的计划 92 检查项 2 应急演练的实施 92 检查项 3 应急演练的总结 93 8 5 应急响应 93 检查项 1 应急响应流程 93 检查项 2 全程记录处置过程 94 检查项 3 应急事件报告 95 检查项 4 与第三方沟通 95 检查项 5 向新闻媒体通报制度 96 检查项 6 应急处置总结 96 8 6 持续改进 97 检查项 1 应急事件评估 97 检查项 2 应急响应评估 97 检查项 3 应急管理改进 97 9 灾难恢复管理 99 9 1 灾难恢复组织架构 99 检查项 1 灾难恢复相关组织架构 99 9 2 灾难恢复策略 101 检查项 1 总体控制 101 检查项 2 灾难恢复策略 101 检查项 3 灾难备份策略 103 检查项 4 外包风险 104 9 3 灾难恢复预案 105 检查项 1 灾难恢复预案 105 检查项 2 联络与通讯 106 检查项 3 教育 培训和演练 107 9 4 评估和维护更新 107 检查项 1 灾备策略的评估和维护更新 107 检查项 2 灾难恢复预案的评估和维护更新 108 10 数据管理 109 10 1 数据管理制度和岗位 109 检查项 1 数据管理制度 109 检查项 2 数据管理岗位 110 10 2 数据备份 恢复策略 110 检查项 1 数据备份 转储策略 110 检查项 2 数据恢复 抽检策略 111 10 3 数据存储介质管理 112 检查项 1 介质管理 112 检查项 2 介质的清理和销毁 113 6 11 外包管理 114 11 1 外包管理制度 114 检查项 1 外包管理制度 114 检查项 2 外包审批流程 114 检查项 3 外包协议 115 检查项 4 服务水平协议 115 检查项 5 外包安全保密措施 116 检查项 6 外包文档管理 116 11 2 外包评估和监督 117 检查项 1 外包服务商的评估 117 检查项 2 外包项目的监督管理 117 12 内部审计 119 12 1 内部审计管理 119 检查项 1 内部审计部门 岗位 人员和职责 119 检查项 2 内部审计制度和办法 119 12 2 内部审计要求 120 检查项 1 内部审计范围和频率 120 检查项 2 内部审计结果的有效性 120 13 外部审计 122 13 1 外部审计资质 122 检查项 1 外部审计机构的资质 122 13 2 外部审计要求 122 检查项 1 商业银行配合外部审计情况 122 检查项 2 外部审计有效性 123 检查项 3 外审过程中的保密要求 123 第三部分 基础设施 125 14 计算机机房 126 14 1 计算机机房建设 126 检查项 1 计算机机房选址 126 检查项 2 机房功能分区 127 检查项 3 计算机机房基础设施建设 127 检查项 4 计算机机房的环境要求 130 检查项 5 计算机机房日常维护 131 14 2 计算机机房管理 132 检查项 1 计算机机房安全管理 132 检查项 2 计算机机房集中监控系统 133 检查项 3 计算机机房安全区域访问控制 134 检查项 4 计算机机房运行管理 135 14 3 机房设备管理 136 检查项 1 机房设备的环境安全 136 15 网络通讯 137 15 1 内控管理 137 检查项 1 内控制度 137 7 检查项 2 人员管理 138 检查项 3 访问控制 138 检查项 4 日志管理 139 检查项 5 第三方管理 140 检查项 6 服务外包 141 检查项 7 文档管理 141 检查项 8 风险评估 142 15 2 网络运行维护 143 检查项 1 运行监控 143 检查项 2 性能监控 143 检查项 3 流量监控 144 检查项 4 监控预警 144 检查项 5 性能调优 144 检查项 6 事件管理 145 检查项 7 运行检查 145 15 3 网络变更管理 146 检查项 1 变更发起 146 检查项 2 变更计划 147 检查项 3 变更测试 147 检查项 4 变更审批 147 检查项 5 变更实施 148 15 4 网络服务可用性 149 检查项 1 容量管理 149 检查项 2 冗余管理 149 检查项 3 带外管理 150 检查项 4 压力测试 151 检查项 5 应急管理 151 15 5 网络安全技术 151 检查项 1 结构安全 151 检查项 2 物理安全 153 检查项 3 传输安全 153 检查项 4 访问控制 154 检查项 5 接入安全 155 检查项 6 网络边界安全 156 检查项 7 入侵检测防范 157 检查项 8 恶意代码防范 158 检查项 9 网络设备防护 158 检查项 10 网络安全测试 160 检查项 11 安全审计日志 161 检查项 12 安全检查 162 16 操作系统 163 16 1 账号及密码管理 163 检查项 1 管理制度 163 8 检查项 2 账号 密码管理 163 检查项 3 账号 密码管理检查 165 16 2 系统访问控制 165 检查项 1 访问控制策略 165 检查项 2 用户登录行为管理 166 检查项 3 登录失败日志管理 166 检查项 4 最小化访问 167 16 3 远程接入管理 168 检查项 1 远程管理制度 168 检查项 2 远程维护管理 169 检查项 3 远程维护审查 169 16 4 日常维护 170 检查项 1 系统性能监控 170 检查项 2 补丁及漏洞管理 170 检查项 3 日常维护管理 171 检查项 4 系统备份和故障恢复 172 检查项 5 病毒及恶意代码管理 172 检查项 6 定时进程设置管理 173 检查项 7 系统审计功能 173 17 数据库管理系统 175 17 1 访问控制 175 检查项 1 身份认证 175 检查项 2 授权控制 176 检查项 3 远程访问 177 检查项 4 安全参数设置 178 17 2 日常管理 178 检查项 1 数据安全 178 检查项 2 审计功能 179 检查项 3 性能管理 180 检查项 4 补丁升级 181 17 3 连续性管理 181 检查项 1 备份和恢复 181 检查项 2 连续性和应急管理 182 18 第三方中间件 184 18 1 产品管理 184 检查项 1 中间件测试 184 检查项 2 中间件管理 184 检查项 3 中间件与业务系统架构 185 18 2 运行管理 185 检查项 1 维护流程和操作手册 185 检查项 2 中间件配置管理 185 检查项 3 中间件日志管理的程序 186 检查项 4 中间件的性能监控 186 9 检查项 5 中间件产生的事件和问题管理 187 检查项 6 中间件的变更 187 检查项 7 单点故障问题和负载均衡 187 检查项 8 压力测试 188 第四部分 应用系统 189 19 应用系统 190 19 1 应用系统管理 190 检查项 1 业务管理办法与操作流程 190 检查项 2 重要应用系统评估 190 检查项 3 应用系统版本管理 191 检查项 4 应用系统培训教育 192 19 2 应用系统操作 192 检查项 1 终端用户管理 192 检查项 2 访问控制与授权管理 193 检查项 3 数据保密处理 194 检查项 4 数据完整性处理 195 检查项 5 数据准确性处理 195 检查项 6 日志管理机制 196 检查项 7 备份 恢复机制 197 检查项 8 文档资料管理 198 检查项 9 内部审计的参与 199 20 电子银行 200 20 1 电子银行业务合规性 200 检查项 1 电子银行业务合规性 200 20 2 电子银行风险管理体系 201 检查项 1 电子银行风险管理体系 201 20 3 电子银行安全管理 202 检查项 1 电子银行安全策略管理 202 检查项 2 电子银行安全措施 203 检查项 3 电子银行安全监控 204 检查项 4 电子银行安全评估 204 20 4 电子银行可用性管理 205 检查项 1 电子银行基础设施 205 检查项 2 电子银行性能监测和评估 205 20 5 电子银行应急管理 206 检查项 1 电子银行应急预案 206 检查项 2 电子银行应急演练 207 21 银行卡系统 208 21 1 银行卡系统管理 208 检查项 1 银行卡系统容量的合理规划 208 检查项 2 银行卡系统物理设备风险和故障处理 209 检查项 3 银行卡交易监控 209 检查项 4 账户密码和交易数据的存储和传输 210 10 检查项 5 银行卡系统应急预案 211 21 2 终端设备 212 检查项 1 自助银行机具和安装环境的物理安全 212 检查项 2 自助银行机具的通信安全 212 检查项 3 自助银行机具的安全装置 213 检查项 4 自助银行业务操作流程 机具软件 213 检查项 5 自助银行机具的巡查维护 214 检查项 6 POS 机 214 21 3 自助银行监控 215 检查项 1 自助银行设备日常运行的监控情况 215 检查项 2 监控中心和监控设备 215 检查项 3 自助银行监控发现问题的处置情况 216 检查项 4 自助银行设施安全评估 信息科技方面 216 22 第三方存管系统 217 22 1 管理架构和职责 217 检查项 1 管理架构与岗位职责分工 217 22 2 系统功能 217 检查项 1 系统功能 217 22 3 系统一般安全与账户处理 218 检查项 1 账户冲正处理 218 检查项 2 网络访问控制与病毒防范 218 22 4 数据交换 219 检查项 1 数据交换安全性 219 22 5 运行维护 220 检查项 1 运行维护安全性 220 22 6 系统备份 220 检查项 1 系统备份安全性 220 22 7 应急恢复与事故处理 221 检查项 1 应急恢复与事故处理流程 221 22 8 系统测试 221 检查项 1 系统测试 221 22 9 临时派出柜台 222 检查项 1 系统派出柜台安全性 222 附录 223 23 常用检查方法 224 23 1 问卷与函证 224 23 2 访谈 225 23 3 查阅 226 23 4 观察 227 23 5 测试 227 26 6 分析性复核 230 26 7 评审 231 24 主要网络设备常用操作 232 11 24 1 Cisco 设备常用操作 232 交换机 232 路由器 233 防火墙 234 24 2 H3C 设备常用操作 234 交换机 234 路由器 236 防火墙 237 25 主要操作系统常用操作 238 25 1 AIX 系统检查常用操作 238 25 2 HP UX 系统检查常用操作 246 25 3 Solaris 系统检查常用操作 250 25 4 Windows 系统检查常用操作 251 26 主要数据库管理系统常用操作 256 26 1 DB2 系统检查常用操作 256 26 2 Sybase 系统检查常用操作 257 26 3 Oracle 系统检查常用操作 257 26 4 Informix 系统检查常用操作 259 26 5 SQL SERVER 系统检查常用操作 261 12 第一部分第一部分 概述概述 13 1 1 指南说明指南说明 1 1 目的及适用范围 信息科技与银行业务高度融合 已成为银行业金融机构提高运 营效率 实现经营战略和加快金融创新的重要手段 与此同时 银 行业对信息科技的高度依赖 使得信息科技风险成为影响银行业稳 健运行的主要隐患之一 银监会按照科学发展观要求 与时俱进 大力加强信息科技风险监管 充分利用现场检查这一监管手段 深 入检查银行机构在信息科技治理 风险管理 信息安全 业务连续 性 电子银行等领域的科技风险及管理情况 发现问题 排查隐患 督促银行及时整改 商业银行信息科技风险现场检查工作 既是银 监会深入掌握银行信息化建设 科技管理整体情况的有效方法 也 是对银行机构信息科技风险状况进行准确分析和评价的重要手段 对及时预警风险 提高银行机构信息科技风险管控能力和水平 保 护存款人和公众利益 维护金融体系安全和稳定有着重要的意义 为提高信息科技风险现场检查质量 规范检查行为 银监会在 管法人 管风险 管内控 提高透明度 监管理念指导下 全面 总结信息科技现场检查经验 充分借鉴国外监管机构的检查规范和 最佳实践 编写了 商业银行信息科技风险现场检查指南 以下简 称 指南 指南 编制的主要目的在于 一是明确了商业银行目 前主要的信息科技风险领域 主要风险点 阐明了检查思路和主要 14 方法 帮助检查人员明确检查目标 从而提高信息科技风险现场检 查的有效性和针对性 提升现场检查质量 为银监会及各级派出机 构开展信息科技风险现场检查提供全面和有针对性的指导 二是提 供了评价银行信息科技风险管理各领域状况的参考标准 并提出了 具体的检查要求和步骤 进一步规范了信息科技风险现场检查的程 序 手段和行为 是银监会及各级派出机构实施现场检查工作的一 个重要参考依据和检查指导工具 三是指明了商业银行信息科技风 险防控的重点领域 方向和关键风险点 提出了风险识别 预警和 控制的具体手段 商业银行可以充分借鉴 指南 内的信息科技风 险防控原则和指导思想 应用到银行信息科技建设和管理实践中 成为指导银行全面开展科技风险防控 提升管理能力的有力武器 指南 主要适用于在中华人民共和国境内依法设立的国有商 业银行 股份制商业银行 城市商业银行的信息科技风险现场检查 政策性银行 农村商业银行 农村合作银行 城市信用社 农村信 用社的信息科技风险现场检查 应考虑区域经济水平 机构规模与 公司治理结构差异 按照本指南的风险防控原则 结合实际情况进 行检查 村镇银行 贷款公司 金融资产管理公司 信托公司 财 务公司 金融租赁公司 汽车金融公司 货币经纪公司等其他银行 业金融机构的信息科技风险现场检查可参考本 指南 1 2 编写原则 一 突出风险为本的监管理念 指南 坚持法人监管 风险为 15 本的监管理念 紧扣信息科技风险这一中心 详细说明了商业银行 信息科技风险管理中的 300 多个关键风险点 明确提出了具体的控 制要求和检查方法 步骤 涵盖了商业银行信息科技风险管控的各 个方面和环节 二 坚持分类监管的原则 指南 参照相关行业标准和规范 指出了商业银行信息科技风险控制所应达到的标准 同时兼顾不同 类型银行机构的特点体现分类监管原则 针对不同的被检查主体 在检查目标上有所区别和侧重 以便于监管人员正确把握检查标准 和尺度 对商业银行的指导更具有针对性 三 体现监管引领作用 指南 借鉴了国际银行业信息科技风 险管理和监管的最新理念 也充分吸收了国内先进银行的成功经验 商业银行可以对照 指南 分析差距 将 指南 要求作为持续提 高信息科技风险管控水平的目标 1 3 指南框架 指南 强调 商业银行信息科技风险管理应以科技治理为核 心 通过完善科技治理架构 形成有效内控机制 将信息科技风险 管控理念贯穿于系统开发 测试和运营维护的信息系统生命周期管 理全过程 指南 包含 4 个部分和附录 共 26 章节 第一部分 概述 主要介绍了编制 指南 的目的和适应范围 阐述了 指南 的编 写原则等内容 第二部分 科技管理 包含 12 个章节 提出了对商 16 业银行信息科技治理 信息科技风险管理 信息安全管理 信息系 统生命周期管理 信息系统运行管理 业务连续性管理 应急管理 灾难备份管理 数据管理 外包管理 内部审计 外部审计的基本 要求 检查内容和检查方法 步骤等 第三部分 基础设施 包含 5 个章节 提出了对商业银行计算机房 网络通讯 操作系统 数 据库管理系统 第三方中间件等基础设施的基本要求 检查内容和 检查方法 步骤等 第四部分 应用系统 包含 4 个章节 提出了 对商业银行核心业务系统 电子银行系统 银行卡系统 第三方存 管系统的基本要求 检查内容和检查方法 步骤等 附录包含 4 个章节 收录了常用检查方法和常用操作命令 常 用操作命令包括主要网络设备常用操作命令 主要操作系统常用操 作命令 主要数据库管理系统常用操作命令等 17 第二部分第二部分 科技管理科技管理 18 2 信息科技治理 商业银行的董事会和高级管理层应根据本银行的发展战略 运 用先进管理理念加强信息科技治理 提高信息技术使用效益 推动 商业银行的业务创新 增强核心竞争力和可持续发展能力 提示 在对商业银行的信息科技治理情况进行检查和评价时 可根据银行机构的实际情况 按照分类监管 循序渐进的原则 合 理把握标准与尺度 如 有的银行机构还不具备建立专门信息科技 管理委员会的条件时 可以指定其他委员会暂时代行其职责 也可 以由一个专门的管理协调小组或由一个已存在的机构 例如董事会 承担其职责 又如 在监管部门没有对商业银行首席信息官制度作 出更加明确的规定或银行机构还不具备设立首席信息官的条件时 可以指定一位具有科技从业背景或工作经验的高管人员承担首席信 息官的工作职责 2 1 董事会及高级管理层 检查项检查项 1 1 董事会 董事会 基本要求基本要求 1 董事会应对银行的信息科技治理负有最终责任 2 董事会应及时听取信息科技管理委员会和首席信息官的汇报 了 解主要的信息科技风险 3 信息科技重大事项的决策应经过董事会 审议 19 检查方法 步骤 检查方法 步骤 1 访谈董事会成员 董事会秘书 了解 a 董 事会在银行信息科技管理领域的角色和职责 b 董事会是否了解本 行所面临的主要信息科技风险 c 董事会对信息科技重大事项和决 策职责的界定 以及董事会信息科技重大决策的流程 d 经过董事会 讨论和决议的信息科技重大事项的落实情况 e 董事会如何对信息 科技的建设和管理情况进行监督 2 查阅相关资料 如董事会章程 董事会会议纪要 对重大信息科技事项的审批决议的记录等 对上述 信息进行验证 检查项检查项 2 2 信息科技管理委员会 信息科技管理委员会 基本要求 基本要求 1 银行应建立信息科技管理委员会 该委员会成 员应包括银行高级管理层 信息科技部门和主要业务部门的代表 2 信息科技管理委员会的职责应包括 a 设定全行 IT 战略目标 指导 IT 方面的资金投入 对 IT 规划进行审批 b 合理运用现有资 源 指导信息科技部门提供高质量的 IT 服务 同时要监督 IT 成本 管理情况 c 通过调整 IT 项目和活动的优先级解决资源短缺造成 的冲突 d 确保 IT 战略的及时更新 e 对主要的 IT 政策 标准 原则进行审批 f 对重要的 IT 项目和活动进行监控 g 监督和管 理 IT 绩效 确保达到预期 IT 服务水平 h 对重大 IT 项目进行审 批 3 定期向董事会和高级管理层汇报信息科技战略规划的执行 情况 信息科技预算和实际支出情况 信息科技的整体管理状况 面临的主要风险及其应对措施等 20 检查方法 步骤 检查方法 步骤 1 访谈信息科技管理委员会成员 了解信 息科技管理委员会的主要职责和开展的主要工作 如 a 是否确保信 息科技战略与业务战略的一致性 b 信息科技管理委员会是否了解 本行主要的信息科技风险并制定了应对措施 c 重大信息科技项目 投资的审批情况 e 预算和执行情况 f IT 绩效等 2 调阅信息 科技管理委员会相关文件 如信息科技管理委员会章程 政策 会议纪 要 对重大事项的讨论和审批记录等 对访谈了解到的信息进行验证 3 查阅信息科技管理委员会向董事会和高级管理层的汇报材料和 相关会议记录 了解其向董事会和高级管理层汇报工作的情况 检查项检查项 3 3 首席信息官 首席信息官 CIOCIO 基本要求 基本要求 1 商业银行应建立首席信息官制度 明确其工作 职责及报告路线 2 首席信息官应了解并参与本行业务发展决策 3 首席信息官应负责制定和及时更新信息科技战略 确保信息科 技战略与业务战略保持一致 4 首席信息官应确保信息科技职能 的规范和有效运作 5 首席信息官应领导和协调信息科技部门做 好以下工作 信息科技预算和支出 信息科技政策 标准和流程制 定及执行 信息科技内部控制 专业化研发 信息科技项目管理 信息系统和科技基础设施的建设 维护和运行管理 信息安全管理 应急管理和灾难恢复计划 信息科技外包和信息系统退出等 6 首席信息官应确保信息科技人才队伍具备充分的专业技能 检查方法 步骤 检查方法 步骤 1 访谈首席信息官 关注以下内容 a 银 21 行的信息科技战略及其与业务战略的一致性 b 银行目前面临的主 要信息科技风险和应对策略 c 银行未来 1 3 年的信息科技发展规 划 d 首席信息官开展了哪些主要工作 e 首席信息官如何与高级 管理层 董事会 信息科技管理委员会等保持有效沟通 f 首席信息 官对银行信息科技领域主要问题的了解情况和应对计划 g 首席信 息官如何对信息科技部门的活动和绩效进行监控 2 查阅相关文 档资料 如信息科技部门的汇报资料 董事会 高级管理层汇报资料 会议纪要 信息科技重大决策的审批记录 战略规划 预算执行情况 的分析 风险评估报告等 对访谈了解到的信息进行验证 2 2 信息科技部门 检查项检查项 1 1 信息科技部门 信息科技部门 基本要求 基本要求 1 商业银行应建立与银行业务相适应的信息科技 部门 负责信息科技产品的开发 外包 测试 上线和变更 负责 相应信息系统的运行 维护和安全 为银行提供信息科技业务产品 2 信息科技部门应该根据工作内容 制定完整的内部工作流程和 内控制度 建立与相关职能部门之间的协调配合机制 保证信息科 技工作的有序 高效 3 信息科技部门应定期分析评估信息系统 生命周期各阶段的风险 制定风险防控策略 措施和检查流程 切 实做好信息科技风险管控 4 信息科技部门所配置的信息科技人 员的数量应适应业务及 IT 发展水平 能保证各个信息系统和各项信 22 息科技工作安全持续地运转 信息科技部门应做好科技人员管理 注重科技专业和风险教育 信息科技人员应有良好的品德 职业操 守和信用记录 具备相应的专业知识技能 5 信息科技部门应该 建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍 应做好信息科技开发管理 以及相关的外包服务管理 知识产权管 理和开发环节的风险管理 为银行提供安全的信息科技业务产品 6 信息科技部门应建设好银行信息科技系统安全连续运行的环境 包括场地 设备 网络 系统 数据安全 访问控制和管理制度 等 做好各种环境的监测控制 做好事件 问题管理和变更管理 做好紧急事件应急预案 7 信息科技部门应严格遵守国家各项安 全管理制度 配合风险管理部门 合规部门 业务部门编制各项信 息科技业务产品的操作手册和访问控制制度 协助做好业务部门信 息科技风险控制和安全教育 检查方法 步骤检查方法 步骤 1 调阅信息科技部门的各项工作流程和规 章制度 2 调阅信息科技风险管理政策和制度 3 调阅信息科 技部门的组织结构图 岗位职责说明 4 访谈信息科技部门负责人 内部各条线负责人和信息科技风险管理人员 关注以下内容 a 信息科技部门内部设置了哪些条线 各条线是否实现了必要的职责 分离 如开发团队和运行团队分离 信息科技人员不从事业务操作 有专门的团队开展安全检查等 b 信息科技部门的资源状况 包括 人员是否充足 是否拥有充分的技能 c 问题和风险的报告路线 流程和处置效率 d 信息科技人员的激励机制 e 如何对信息 23 科技人员进行职业道德方面的教育 如何在全行科技职能范围内推进 风险管理和内部控制的理念 f 信息科技人员的任免和招聘 是否 进行背景调查 g 主要岗位是否轮岗 h 信息科技人员的技能培训 情况 i 信息科技人员是否了解本行的信息科技政策 流程 规范 标 准等 检查项检查项 2 2 信息科技战略规划 信息科技战略规划 基本要求基本要求 1 商业银行信息科技战略规划应在充分的市场调 查和技术分析的基础上 由首席信息官 银行高级管理层 科技部 门 风险管理和业务部门共同讨论制定 并经过信息科技管理委员 会审查和批准 并报董事会审议 2 信息科技战略规划应该与业 务发展规划保持一致 为实现银行发展战略提供紧密的信息科技支持 3 信息科技战略规划应包含但不限于 IT 治理建设的规划 关注 于管理组织和制度建设等 应用架构规划 关注于应用系统的建设 信息科技基础设施规划 关注于基础设施建设 4 在银行总体战略 发生变化时 银行信息科技战略规划应及时作出相应的调整 5 银 行应定期更新信息科技战略规划 6 银行高级管理层应对信息科技 战略规划的落实情况进行监督 检查方法 步骤检查方法 步骤 1 调阅信息科技发展战略规划或其他中长 期发展规划 关注相关规划的配合和衔接 2 访谈信息科技管理 部门负责人和相关工作人员 重点关注 a 信息科技发展战略规 划的制定是否有各方面人员参与 是否经过高级管理层审批 b 24 信息科技发展战略规划的内容是否包含了应用架构 基础设施 IT 治 理等方面 c 信息科技发展战略规划完成情况 信息科技工作的 总体状况 信息科技工作的薄弱点和问题 d 信息科技战略规划是 否依据环境变化 总体战略变更等进行调整 2 3 信息科技风险管理部门 检查项检查项 1 1 信息科技风险管理部门 信息科技风险管理部门 基本要求 基本要求 1 商业银行应建立全行信息科技风险管理框架 设立或指定信息科技风险管理部门 明确相应的管理职责 设置必 要的岗位 配置足够的信息科技风险管理人员 2 信息科技风险 管理部门应制定信息科技风险管理大纲 大纲应清楚描述信息科技 风险特点 识别和评估流程 持续的控制措施和报告处理机制 3 信息科技风险管理部门应定期审查各个相关部门和环节的信息 科技风险控制流程和管理制度 定期检查制度的执行情况 防止出 现失控的环节和管理制度老化的情况 4 信息科技风险管理部门 应对重要的信息科技工作环节进行风险识别和评估 定期检查和上 报信息科技风险控制状况 5 信息科技风险管理部门应对全行员 工进行持续的信息科技风险教育 检查方法 步骤检查方法 步骤 1 调阅信息科技风险管理的相关政策 流 程 管理规范 工作手册 以及开展信息科技风险管理的记录 如日 常工作记录 会议纪要和风险评估报告等 2 调阅组织结构图和 25 职责说明 了解信息科技风险管理部门的组织结构和人员的配置情况 3 了解信息科技风险管理部门的工作情况 包括风险管理框架 评估标准 是否定期开展风险评估 风险评估的结果 主要风险和应 对措施等 4 了解信息科技风险管理部门和信息科技部 业务部 门 内审部门和其他相关部门的相互协作情况 5 了解信息科技风 险教育和培训的开展情况 并调阅培训资料和记录等 2 4 信息科技风险审计部门 检查项检查项 1 1 信息科技风险审计部门 信息科技风险审计部门 基本要求 基本要求 1 商业银行应指定专门负责信息科技风险审计的 部门 设置必要的岗位 并配备适量信息科技风险专业审计人员 2 制定信息科技风险审计制度和相应的审计手册 3 应有计划 有侧重点地开展信息科技风险审计工作 4 及时向董事会和监事 会报告信息科技风险审计情况 5 审计发现重大风险隐患应及时 报告 检查方法 步骤 检查方法 步骤 1 访谈信息科技审计部门负责人和工作人 员 了解以下信息 a 信息科技审计职能的定位 工作范围 组织结 构和分工 包括信息科技内审团队内部的分工 以及与其他内审团队 的分工 汇报路线 人员配置 技能 如是否拥有专业资格 等情况 b 信息科技审计计划 关注计划制定过程中是否考虑了风险 并基 于风险状况制定相应计划 c 信息科技审计工作的标准和规范 d 信 26 息科技内审工作的执行情况 包括开展了哪些主要工作 有哪些主要 发现 整改情况等 e 审计结果的汇报和沟通 包括与被审计方的沟 通和落实整改 及与高级管理层和董事会的汇报 f 内审人员的持 续培训情况 2 调阅信息科技审计相关文档 包括 a 信息科技审 计章程或相关制度 b 信息科技审计部组织结构图 职责说明等 c 信息科技风险审计手册或其他标准规范文档 3 调阅商业银行 审计工作计划 工作底稿和审计报告 4 调阅审计发现落实整改 情况的记录 5 调阅培训记录 2 5 知识产权保护和信息披露 检查项检查项 1 1 知识产权保护 知识产权保护 基本要求 基本要求 1 商业银行应按照国家有关知识产权法律 法规 的要求 制定本单位知识产权保护制度 2 应采取有效措施确保 所有员工充分理解知识产权保护制度并遵照执行 3 规范合法软 件的购买和使用 禁止使用盗版软件 4 做好自主开发的信息科 技产品的知识产权保护工作 检查方法 步骤 检查方法 步骤 1 调阅商业银行遵守知识产权法律的相关 制度并审查其内容 2 查阅商业银行的软件清单 检查是否拥有 产权或授权及到期状况 3 查阅外包服务协议和相关文件中是否 有知识产权的保护条款 并检查落实情况 27 检查项检查项 2 2 信息披露 信息披露 基本要求 基本要求 商业银行应依据国家有关法律 法规的要求 按照 监管机构规定的格式和时间 及时规范地披露信息科技风险信息 检查方法 步骤 检查方法 步骤 1 调阅商业银行有关信息科技风险披露的 制度 2 查阅商业银行披露信息科技风险评估结果的记录 3 重点关注信息披露是否符合 商业银行信息披露办法 等有关法律 法规的要求 是否按照监管机构规定的格式和时间及时规范地发布 4 访谈信息科技人员了解信息披露的流程 以及信息披露执行情 况 如科技人员是否了解披露要求 如何确保披露信息的及时和准确 等 28 3 信息科技风险管理 商业银行应制定信息科技风险管理策略 制定风险识别和评估 风险防范措施 对风险进行持续监测 3 1 风险识别和评估 检查项检查项 1 1 风险管理策略 风险管理策略 基本要求基本要求 1 商业银行应制定符合银行总体业务发展规划的 信息科技战略 信息科技运行计划和信息科技风险评估计划 2 应配置足够人力 财力资源 维持稳定 安全的信息科技环境 3 应制定全面的信息科技风险管理策略 包括但不限于 信息分 级与保护 信息系统开发 测试和维护 信息科技运行和维护 访 问控制 物理安全 人员安全 业务连续性计划与应急处置 检查方法 步骤 检查方法 步骤 1 访谈信息科技部门及信息科技风险管理 部门负责人员 了解以下内容 a 信息科技风险管理策略和方法 如 风险框架和分类 评估方法和标准 以及对风险容忍度的界定 b 银行的主要信息科技风险及其应对措施 c 在开展信息科技风险管 理过程中遇到的主要挑战 2 调阅信息科技风险管理文档 如信息 科技风险管理政策和流程 风险评估规范或手册等 29 检查项检查项 2 2 风险识别与评估 风险识别与评估 基本要求基本要求 1 商业银行应制定持续的风险识别和评估流程 确定信息科技风险隐患 2 定期评估信息科技风险对其业务的潜 在影响 对风险进行排序 并确定风险防范措施及所需资源的优先 级别 检查方法 步骤 检查方法 步骤 1 调阅风险识别和评估流程文档 风险评 估报告和相关工作底稿 了解具体工作开展情况 2 与信息科技 风险管理相关人员 如信息科技部门人员和信息科技风险管理部门人 员 访谈 了解信息科技风险评估的过程 信息来源 评估结果 以及 对识别的风险是否制定了应对措施 3 2 风险防范和检测 检查项检查项 1 1 风险防范措施 风险防范措施 基本要求基本要求 1 商业银行应依据信息科技风险管理策略和风险 评估结果 实施全面的风险防范措施 防范措施应包括 制定明确 的信息科技风险管理制度 技术标准和操作规程 并定期进行更新 和公布 2 确定潜在风险区域 并对这些区域进行有效的监控 实现风险及早发现 影响最小化 3 建立适当的控制框架 以便 于检查和平衡风险 定义每个业务级别的控制内容 包括 最高权 限用户审查 控制数据和系统的物理及逻辑访问 访问授权以 必 需知道 和 最小授权 为原则 审批和授权 验证和调节等 30 检查方法 步骤 检查方法 步骤 1 调阅信息科技管理制度 技术标准 操 作规程等文档 并访谈信息科技人员和风险管理人员 了解信息科技 风险控制的主要原则和措施 注 这里应主要关注风险控制的原则 如怎样落实访问控制的最小授权 对风险 安全事件的监控 灾难恢复 的安排等 具体控制的设计和执行情况将在各个领域中进行检查 2 调阅风险监控相关工作记录 如风险评估报告 信息科技各职能 部门关于风险的汇报文档等 访谈风险管理人员 了解对高风险区域 的监控情况 3 了解信息科技职能和风险管理职能如何对主要风险 进行监控 如定期汇总各条线 如运行 开发 测试等 的汇报 对一些 重要事项和指标的持续监测 内外审的发现和建议的落实 问题上报 制度等 检查项检查项 2 2 风险计量与检测 风险计量与检测 基本要求基本要求 1 商业银行应建立持续的信息科技风险计量和检 测机制 其中包括 建立信息科技项目实施前及实施后的评价机制 建立定期检查系统性能的程序和标准 建立信息科技服务投诉和事故 处理的报告机制 建立内部审计 外部审计和监管发现问题的整改处 理机制 安排对服务水平协议的完成情况进行定期审查 定期评估新 技术发展可能造成的影响和已使用软件面临的新威胁 定期进行运行 环境下操作风险和管理控制的检查 定期进行信息科技外包项目的风 险状况评价 2 中资商业银行在境外设立的机构及境内的外资法 人银行 应对境内外监管机构有关信息科技风险监管政策的差异性 31 进行分析并防范由此可能产生的风险 检查方法 步骤 检查方法 步骤 1 调阅有关文档 如风险评估制度和方法 评估报告 关于风险和安全事件的汇报等 了解商业银行是否建立 信息科技风险计量和监测机制 2 访谈相关工作人员 了解中资 商业银行在境外设立的机构及境内的外资法人银行是否对监管政策 的差异性进行了充分分析并采取有效风险防范措施 32 4 信息安全管理 保证信息安全是商业银行的一项重要任务 商业银行应在信息 科技部门内部设置专门的信息安全管理部门或岗位 建立完善的信 息安全管理制度 保证信息的机密性 完整性和可用性 信息安全 涉及到人员 管理 技术等各个方面 本章节主要包含人员安全和 管理安全的检查内容 技术安全方面的检查内容参见第三部分 基 础设施 部分 提示 在对商业银行的信息安全管理进行检查和评价时 可根 据银行机构的实际情况 按照分类监管 循序渐进的原则 合理把 握标准与尺度 如 科技人员少 信息系统种类不多的银行机构 可以不设置单独的安全管理部门 但应设置专职的岗位 信息科技 岗位设置可以彼此兼职 但不相容岗位应分离 做到操作系统管理 员 业务系统管理员及数据库管理员彼此分离 网络管理员和其他 系统管理员彼此分离 批量处理人员和业务数据库管理员彼此分离 4 1 安全管理机制与管理组织 检查项检查项 1 1 信息分类和保护体系 信息分类和保护体系 基本要求 基本要求 商业银行信息科技部门应对各类信息系统进行风险 评估 根据信息系统的重要程度等因素 建立和实施信息系统分类 33 和保护体系 并保证该体系在银行内部的贯彻落实 检查方法 步骤 检查方法 步骤 1 调阅信息系统分类管理制度 查看相关 制度是否建立健全 是否对信息类别和访问人员的范围 级别作出 明确规定 2 检查商业银行是否针对不同的信息系统 制订了不 同的安全防范措施 采取了不同的技术防范手段 3 检查商业银 行是否对信息系统风险进行评估和防范 检查项检查项 2 2 安全管理机制 安全管理机制 基本要求 基本要求 商业银行信息科技部门应落实信息安全管理职能 包括 建立信息安全计划和保持长效的管理机制 提高全体员工信 息安全意识 就安全问题向其他部门提供建议 定期向信息科技管 理委员会提交本行信息安全评估报告等 信息安全管理机制应包括 信息安全标准 策略 实施计划和持续维护计划 检查方法 步骤 检查方法 步骤 1 调阅商业银行信息安全计划或相关文档 检查商业银行是否制订信息安全计划 2 分析信息安全计划 评 估商业银行信息科技部门能否对信息安全进行持续 长期和有效的 管理 确保信息安全和信息系统安全运行 3 检查商业银行信息 科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全 意识 是否就安全问题向其他部门提供安全建议 4 检查商业银 行信息科技部门是否对各类信息和信息系统制订相应的信息安全标 准 是否制订相关的管理策略 是否制订实施计划 是否制订持续 改进 完善计划 通过访谈了解这些管理策略和计划是否有效实施 34 5 调阅信息安全评估报告 检查信息科技部门是否定期对本行信 息安全进行评估 检查项检查项 3 3 信息安全策略 信息安全策略 基本要求 基本要求 商业银行应制订详细的信息安全策略 至少包括以 下内容 信息安全制度管理 信息安全组织管理 资产管理 人员 安全管理 物理与环境安全管理 通信与运营管理 访问控制管理 系统开发与维护管理 信息安全事故管理 业务连续性管理 合规 性管理 检查方法 步骤 检查方法 步骤 1 调阅商业银行信息安全策略 检查是否 制定信息安全策略及其内容是否完整 全面 2 调阅信息安全管 理规定 查看是否制定信息安全管理规定以及是否具有相应的实施 要求和细则 检查项检查项 4 4 信息安全组织 信息安全组织 基本要求 基本要求 商业银行应建立配套的安全管理职能部门 通过管 理机构的岗位设置 人员的分工以及各种资源的配备 为信息系统 的安全管理提供组织上的保障 应设立安全主管 安全管理各个方 面的负责人岗位 并定义各负责人的职责 应根据各个部门和岗位 的职责明确授权审批部门及批准人 对系统投入运行 网络系统接 入和重要资源的访问等关键活动进行审批 安全管理人员应负责定 期进行安全检查 检查内容包括系统日常运行 系统漏洞和数据备 35 份等情况 检查方法 步骤检查方法 步骤 1 调阅相关岗位职责说明文件 检查是否 设立系统管理员 网络管理员 安全管理员等岗位 并定义各个工 作岗位的职责 2 检查是否限制安全管理员不能兼任网络管理员 系统管理员 数据库管理员等 3 查询相关制度文件和审批记录 检查是否根据各个部门和岗位的职责明确授权审批部门及批准人 对系统投入运行 网