2016年招商银行信息科技现场检查项目

招商银行,2016年招商银行信息科技现场检查项目,2,非常感谢招商银行（后简称“贵行”）向普华永道发出的有关信息科技风险暨2016年招商银行信息科技现场检查项目的邀请。我们非常荣幸可以按照贵行的要求提交本建议书。贵行一直对银行信息化工作非常重视，并在国内银行中保持领先地位，确保了银行业务持续发展。贵行投入运行的信息科技生产系统承担着每天数百万笔金融业务的运行。贵行总行内审部期望藉由本项目委托专业机构，联合开展信息科技现场检查工作，将在加强信息科技运维管理，保证信息科技系统的正常运转，降低业务运作风险方面发挥极为重要的作用。作为贵行的合作伙伴，以及全球最大的会计师事务所和专业服务机构，我们期待利用我们在信息科技审计和咨询方面的专业知识，以及与贵行多年的合作经验，协助贵行实现项目目标。本投标书并不构成正式的服务合同。如果贵行同意本投标书，普华永道将根据我们的标准业务条款以及与贵行商定的工作范围和服务费用拟定业务约定书，作为正式的服务合同。我们热切期待与贵行就本项目的实施进行深入讨论。我们诚挚地希望能获得与贵行合作的机会，我们将以普华永道一贯的优质服务、出众品质回馈贵行。我们真诚地期待与贵行携手迎接这个富有重要意义的项目！有关本投标书的任何问题，敬请垂询：合伙人杨丰禹先生（电话：）高级经理郑永先生（电话：）。期待与您的合作！顺颂商祺!杨丰禹(合伙人)2016年3月7日,序言,3,技术商务部分对照表,4,目录第一章：对贵行的需求理解及普华永道的服务理念第二章：项目整体工作计划及思路第三章：项目组织结构和职责分工第四章：具体实施方案阶段1-项目计划第四章：具体实施方案阶段2-项目执行第五章：服务计划与承诺第六章：质量保证计划附录一：核心团队成员简历附录二：普华永道的能力和经验附录三：技术商务部分附表附件一：投标函附件二：经年检的企业法人营业执照及相关证明附件三：法定代表人证明书/法定代表人授权书附件四：服务商参与本项目人员的详细资料及证明附件五：同类产品重点大客户案例附件六：商务条款响应/偏离表合同的期限和终止合同的期限和终止附件七：近年发生的诉讼及仲裁情况附件八：投标人组织架构附件九：资格证明材料详细请见文档附件九：资格证明材料附件十：反商业贿赂承诺书,保密条款此计划书内容包括有关普华永道的商业及财务机密。因此，除非获得普华永道的书面同意，否则所有刋载在此计划书的资料不能透露给任何非有关于评审该项目的人士或公司。此外，此计划书的所有数据絶不能透露给任何普华永道的竞争者。如果接受方不同意以上保密条款，接受方应立即退回此计划书予普华永道。,目录检索需要update,目录,普化永道的服务理念,1,6,1.1项目目标依据总行信息科技管理制度和规范、监管机构要求、国内外最佳实践、同行业的先进经验，结合已有总/分行信息科技风险检查标准，制订一套适用于总/分行的信息科技现场检查标准，建立信息科技现场检查的方法、工作程序和工作模板，全面涵盖信息科技相关的组织人员、管理流程和技术设施，作为招行信息科技工作检查的依据和工具，并具有日常操作的规范指导性。对本年度所选取的42家国内分行（包括北京、上海、广州、沈阳、哈尔滨、西安、乌鲁木齐、天津、济南、武汉、长沙、合肥、南昌、南京、杭州、宁波、成都、重庆、昆明、南宁、福州、深圳、大连、东莞、佛山、贵阳、海口、呼和号特、兰州、青岛、厦门、石家庄、苏州、太原、西宁、银川、长春、郑州、无锡、温州、泉州、唐山）和2家海外分行（包括卢森堡、伦敦）执行信息科技现场检查，全面了解分行信息科技管理流程、技术配置等情况，评估和识别分行信息科技工作的管理漏洞和技术缺陷，并根据招行的情况提供专家整改建议和方案，从而加强分行信息科技管控水平，全面提升招行的整体信息科技风险管理水平。执行总行信息科技风险检查，全面了解开发、测试、运行维护等信息科技管理流程情况，评估总行信息科技工作的漏洞和缺陷，并提出针对性建议。,第一章：对贵行的需求理解及普华永道的服务理念,7,以业务为导向，信息科技和业务相结合普华永道风险和内部控制服务部定位为信息科技管理、业务流程完善和内部控制提升，拥有信息科技、业务流程和内部控制这三者相结合的实践和经验。行业认知和专业方法胜于人海战术我们具备丰富的商业银行及金融机构服务经验，在信息科技风险管理、内部控制的服务项目经验将是本项目成功的最大保障。,行业认知和专业技能并重多技能的专业团队为贵行筹建的项目团队成员包括信息科技风险管理、网银信息安全技术及银行业务专家。质量是我们始终坚持为客户服务的首要宗旨强有力的项目管理能力和质量审阅机制将是保证项目质量高质量交付的最佳保证。持续的知识转移和交流除在项目过程中进行项目计划的知识转移计划、专题培训方案，我们将随时根据行业变动和信息技术风险的趋势，为贵行提供交流性质的建议,促进风险控制理念融入信息化工作根据信息科技管理和科技风险管理的双维度需求，普华永道将信息科技管理和科技风险管理看做不可分割的整体，我们希望通过本次项目促进二者的价值互现，实现双赢的解决方案。,1.2普华永道本次项目服务的理念,整体工作计划及思路,2,9,项目启动计划书总/分行信息科技现场检查标准总/分行风险评估标准、风险框架总/分行信息科技现场检查工作方法、工作程序和工作模板,44家分行信息科技现场检查报告,交付物,时间及具体工作,工作步骤,总行专项检查报告,这样的铺排看起来不好，你帮我想想有什么更好的展示方式呈现文中内容？,2.1项目整体工作计划及思路,10,请根据铺排时间画时间轴，总行总共是8周时间，分行总共是44周时间,项目时间安排,组织架构和职责分工,3,12,3.1项目团队构成根据银监会及贵公司的要求，结合我们以往的经验，信息科技风险检查标准、风险评估、总/分行信息科技现场检查工作均要求经验丰富的专业人员进行。鉴于以上原因，并考虑到这类项目的重要性，我们特别建立了一支拥有丰富风险管理和行业经验的，主要由合伙人、资深经理和高级顾问组成的项目团队。,郑先生在金融行业IT咨询和服务有着丰富经验。郑先生是中国注册一级建造师（通信与广电）、PMP和CertifiedAIXsystemadministrator。,郑永高级经理,周女士在银行、保险、期货等金融行业信息系统审计、内部控制审计等方面拥有约7年的专业经验，曾参与到大型银行和保险集团的信息科技审计项目等服务。,周玲经理,郭雅婷高级顾问,郭女士曾经作为核心成员为多家银行和保险公司提供过信息系统审计、资金业务专项审计、内部控制测试及流程优化等服务,张杨高级顾问,张先生协助项目团队为客户提供一体化的风险管理及内部控制体系建设、内部控制自评价服务，对包括内部环境、经营管理和主要业务在内的各个专项领域进行全面梳理。,汤颖欣高级顾问,汤女士曾经作为核心成员为多家金融机构及央企等提供过信息内部控制审计和咨询等服务。,刘女士在金融集团、互联网金融、银行和保险等行业信息系统审计、合规咨询等方面具有8年的专业经验，曾参与到大型银行和保险集团的内部审计职能建设和优化等服务；刘女士是注册内部审计师(CIA),刘晓丽专家指导,请按照图中模板，添加如下人员的汇报层级和项目人员描述PhilipYang(项目主管合伙人)CimiLeung（项目第二合伙人）wingzheng（项目管理高级经理）LianYang（项目执行高级经理）ashleyliu（项目经理）Jolinzhou（项目经理）Tracywu（项目经理）RachelXiu（项目经理）Amyliu（高级顾问）Winniewang（高级顾问）AndrewYang（高级顾问）,第三章：项目组织结构和职责分工,13,专业资格中国注册一级建造师（通信与广电证书编号：0263417）PMP(ProjectManagementProfessional证书编号：77362)CertifiedAIXsystemadministrator本项目中担任角色项目总监行业经验郑先生是金融业信息系统资深架构师（ITA），拥有20余年金融行业IT咨询及服务经验。专注于提供金融业信息系统整体解决方案，风险管理及内部控制提升服务。涉及的行业主要包括银行、保险、证券等。在金融行业信息系统架构、运维、内部控制、风险评估及管控等方面具有丰富的经验。主要项目及客户招商银行、中国农业银行、建设银行、工商银行、中国银行、交通银行、广发银行、渣打银行、汇丰银行等。,请用这ppt的模板，包括页眉页脚去更新所有其他页面的格式,附件1.团队核心成员简历,14,本项目中担任角色招商银行大客户经理行业经验周女士在金融行业的银行信息系统审计、项目质量管理保证、银行风险管理及内部控制方面的咨询等领域拥有近7年的服务经验。曾为多家不同类型的国有四大银行、国内大型股份制银行、金融证券公司等提供信息系统评估、风险管理、内部控制和业务流程优化等的咨询服务。主要项目及客户平安银行、中国银行、中国建设银行、平安集团、南洋商业银行、广西北部湾银行、厦门国际银行、桂林银行、大新银行、摩根期货、乾坤期货等,附件1.团队核心成员简历,15,专业资格国际注册内审师本项目中担任角色专家指导行业经验刘晓莉女士现任普华永道的风险管理与内部控制服务部经理，具有8年保险及银行业相关工作经验。对银行业内部控制审计、法律政策合规、信息系统审计均有丰富的实践与咨询经验。在普华永道工作期间，刘晓莉女士先后参予过数家大型保险公司及银行的信息系统审计、内部控制审计及咨询服务，及其他风险管理、内部控制相关的咨询服务。主要项目及客户中国银行、农业银行、平安银行、广发银行、平安集团、太平集团、微众银行、广西北部湾银行、桂林银行、大新银行、开泰银行、台湾玉山银行等。,附件1.团队核心成员简历,16,专业资格CISA（国际信息系统审计师）本项目中担任角色高级顾问行业经验郭女士是普华永道风险管理及内部控制服务部门的高级顾问。她拥有5年的IT安全和系统审计、内部审计以及内部控制咨询等服务经验，主要项目及客户深圳发展银行、平安银行、中国银行、中国平安保险(集团),附件1.团队核心成员简历,17,专业资格CISA（国际信息系统审计师）本项目中担任角色顾问行业经验张先生在金融行业的财务审计、内部控制审计、信息系统审计等领域拥有近3年的服务经验。张先生在普华永道工作期间，张扬作为现场工作小组主要成员，为大型国有银行，大型央企、股份制银行、外资商业银行、信托等金融机构提供IT风险评估与信息系统审计服务。主要项目及客户中国华南地区某股份制商业银行FATCA合规咨询项目；某澳门银行FATCA合规咨询项目；数家金融机构的内部控制咨询服务；数家商业银行的信息系统审计服务；大型央企客户关系管理系统内部控制咨询服务；大型物流企业业务目标转型咨询项目。,附件1.团队核心成员简历,18,需更新,3.2项目团队构成主要成员经验及专业认证汇总,具体实施方案阶段1项目计划,4,20,第四章：具体实施方案,21,4.1.2建立项目管理办公室,22,项目管理方法融合到项目实施的阶段普华永道标准的项目管理与变更管理方法，具体项目管理方法论如下图所示,普华永道会在考虑客户需求及最佳实践的基础上为项目定制特有的管理方式,项目管理方法融合到项目实施的阶段,23,服务计划与进度保证,具体实施方案阶段2项目执行,4,25,第四章：具体实施方案阶段2-项目执行4.2.1优化总行/分行的信息科技风险评价体系梳理招行新增制度和信息科技监管指引及人民银行风险提示函，对总/分行现有信息科技检查标准进行优化。总行/分行的信息科技风险评价体系将包括如下主要的三部分工作：优化信息科技风险检查标准优化总/分行信息科技风险评估优化总/分行信息科技现场检查工作方法、程序及模板4.2.2总/分行信息科技风险评估对总分行信息科技风险进行全面的梳理，结合招行风险管理现状以及内外审计要求、监管要求以及行业最佳标准等内容，完善总分行信息科技管理风险清单。同时完善风险评估标准，从专业角度提出评估标准建议，完成风险评估工作。4.2.3执行分行信息科技现场检查信息科技现场检查，全面了解分行信息科技管理流程、技术配置等情况，评估和识别分行信息科技工作的管理漏洞和技术缺陷，并根据招行的情况提供专家整改建议和方案，从而加强分行信息科技管控水平，全面提升招行的整体信息科技风险管理水平。4.2.4.执行总行信息科技现场检查执行总行信息科技风险专项检查，专项检查覆盖：开发与测试、运行维护、信息安全、信息科技外包风险、应急管理等领域，评估总行信息科技工作的漏洞和缺陷，完成15个专项检查工作，并提出针对性建议。,第四章：具体实施方案,26,梳理信息科技风险检查标准我们将应用普华永道信息科技风险管理的体系框架，帮助公司梳理一套适用于总/分行的信息科技风险检查标准。普华永道信息科技风险管理的体系框架，是基于对整个信息化工作生命周期和价值链的最佳实践而建立的。信息科技风险监控、评估和持续改进对于信息化工作整体的持续提升具有重要作用。我们认为一个完整的信息科技风险管理工作应涵盖以下领域：,梳理信息科技风险检查标准,27,明确界定IT活动的风险管理职责,目标:从IT服务全生命周期出发，深入分析各项IT活动流程中涉及风险管理和控制的职责，采用RACI方法将这些职责明确划分到光大银行各职能部门和各相关岗位，并与光大银行的奖惩机制进行对应，以便这些职责能够得到有效落实和执行。工作思路:从三道防线入手，确保IT风险管理采取恰当的职责分工,28,第一道防线关注于识别与评估信息资产相关风险，并采取适当的控制措施来防范风险，该道防线包含下列角色：信息资产所有人业务系统所有人第二道防线确保相关人员对IT风险管理流程的持续性遵循，以及对遵循情况进行定期评估和监督，这道防线包含下列角色：IT风险管理岗各相关IT岗位第三道防线为高级管理层和审计委员会对IT风险管理的持续性关注，这道防线包含下列角色IT风险管理委员会高级管理层审计委员会工作内容:,29,针对上面所述的信息科技风险管理工作的领域，普华永道制定了信息科技风险评估框架，该框架能够协助识别并分析相关信息科技威胁及风险，包含了战略、战术、运营和财务等管理活动。信息科技威胁及相关风险可能会影响企业目标的实现，进行IT风险评估的目的，是识别企业面临的风险，评估潜在风险的影响和可能性，从而定义并实施控制，以有效的降低、去除并管理这些风险的影响。根据普华永道对各个国际标准和最佳实践的深入理解，我们认为IT风险在范围上可以归纳为以下这些类型，这也同时构成了普华针对信息科技风险的评估框架。,英文替换成中文,信息科技风险评估框架-普华方法论介绍,30,一个涵盖各相关业务条线的IT风险管理组织结构矩阵,工作成果样例:,31,2.一个采用RACI方法制定的IT风险管理职责具体分工的样例,32,信息科技风险评估框架具体风险类型,33,3.4信息科技风险评估-来源与遵循依据,根据招行的需求，我们将依据普华永道信息科技风险评估框架，同时参考以下多种规范和国际最佳实践，使得我们的评估工作更适用于监管要求和IT管理需求,34,工作思路,35,工作内容,36,信息科技风险评估,37,工作成果样例,1.IT风险管理流程体系示例以指引中列示的IT管理领域为例，将其对应至Cobit框架的具体流程。,38,工作成果样例,39,2.信息技术风险类别示例,2.信息技术风险类别示例以（三）信息系统开发、测试和维护为例，展示风险类别示例如下：,40,信息科技风险评估-范围根据商业银行信息科技风险管理指引、商业银行信息科技风险-现场检查指南、银行业金融机构重要信息系统投产及变更管理办法、银行业外包风险管理指引等银监局印发的指引和办法进行信息技术风险评估。根据银监会的监管要求，我们建议的评估范围包括但不限于以下领域：,信息科技风险评估范围,41,信息科技风险评估评估模板,42,四月2016,新增,5.风险汇报模板,43,四月2016,新增,RCSA报告评估总结模板,44,四月2016,新增,待续。,45,四月2016,46,信息科技风险评估-常用的检查方法,信息科技风险评估-常用的检查方法,47,试点现场检查分行选择考虑因素及其项目实施优化,我们建议在选择试点检查的分行时，考虑不同的业务风险情况并根据试点结果完善工作模板及工具并编制及优化分行信息科技现场检查标准和分行信息科技现场检查工作方法、工作程序和工作模板,试点现场检查分行选择考虑因素及其项目实施优化,48,信息科技风险评估-评估领域的具体工作由整体入手，全面审阅风险状况考虑到合规的需求及信息科技风险评估工作现状，我们将由信息科技风险整体评估入手，进行全面、系统的整体评估，确保所有信息科技风险相关领域均得到涵盖。突出重点，有针对性地、深入审阅关键风险领域依据上一阶段的深入理解及风险分析结合，综合考虑贵行的实际情况及需求，结合银监会的商业银行信息科技风险管理指引、国际通用的IT风险管理最佳实践及规划，以及普华永道信息科技风险评估和管理的体系框架等而展开全面、整体评估。这一项评估工作是基于对整个信息化工作生命周期和价值链的最佳实践而建立的。关注并加强总行与分行风险管理的协同性和一致性我们将制订一套适用于总、分行信息科技现场检查的检查标准，并完善现有的检查工作流程和模板，注意加强总/分行在信息科技风险管理中的协同性和一致性，减少总分行在应付不同需求时的反复沟通从而提高信息科技风险管理的工作效率。,信息科技风险评估评估领域的具体工作,49,4.2.2分行信息科技现场检查,4.2.2.1分行信息科技现场检查工作安排,建议的检查路线规划选择方案方便进行沟通，尽快转到一个地点，联合办公选择两个城市之间的最短距离,该图画请根据44个分行地点更新,对本年度所选取的16家分行（包括深圳、北京、上海、广州、武汉、沈阳、杭州、南京、西安、昆明、信用卡中心、青岛、成都、福州、苏州、宁波）执行信息科技现场检查，全面了解分行信息科技管理流程、技术配置等情况，评估和识别分行信息科技工作的管理漏洞和技术缺陷。我们将根据前期工作所确定的检查计划，组织项目团队进入选定的分行现场，对分行信息科技相关的组织人员、管理流程、系统运作现状和技术设施进行检查，全面评估分行信息科技工作与总行要求、监管要求和最佳实践之间的差距，识别信息科技管理漏洞和技术缺陷。,4.2.2.1分行信息科技现场检查工作安排,50,根据约定范围内的风险点，对控制相关人员进行访谈并对关键控制进行穿行测试，评估现有控制的设计及实施的有效性。具体方法如下图所示：,工作方法,51,（1）信息科技治理信息科技治理中的管理职责设置及履职；信息科技部门的制度建设情况、岗位设置、职责界线划分及履职适当性；信息科技的组织结构；内部检查部门相关岗位设置及职责安排；信息科技人员、信息科技内部检查人员素质和培训情况；知识产权管理等。（2）信息科技风险管理信息科技风险管理部门设置及职责安排；信息科技战略、信息科技运行计划和信息科技管理风险检查计划；全面的信息科技风险管理策略；持续的风险识别和检查流程；信息科技风险计量和检测机制；稳定、安全的信息科技环境的保障等。（3）信息安全信息安全培训、信息安全管理职能安排、信息安全体系、政策、流程、方法及组织结构，物理安全、数据安全、操作系统及应用系统安全，日志管理、终端设备的安全、用户认证和访问控制、网络安全、加密技术等。（4）信息系统开发、测试和维护程序开发管理制度、项目发起、分析与设计、开发业务需求管理、测试验收及文档管理等（5）信息科技运行环境状况、对第三方人员的控制、岗位设置、痕迹管理、事故管理、系统与数据安全、变更管理流程及执行、日志管理、电子设备管理、业务系统监控、操作风险控制等。（6）业务连续性管理业务连续性规划，规划的检查、更新与演练，业务系统备份和管理等。,常规检查核心内容,52,（二）拔高检查内容（1）除上述合规检查内容外，本次项目的检查工作国标检查内容应参照ISO20000、ISO27001、ITIL、CMMI、COBIT等国际管理标准及最佳实践，对信息科技部管理流程建设、管理标准化建设、风险控制体系建设、绩效管理体系建设等方面进行检查，并依据我行长期信息科技发展规划，结合实际发展现状，对未来我行信息科技建设提出建议；（2）最后根据检查结果对纳入检查范围内的流程进行内控评分，对总分行对于信息系统运维的遵行性进行量化，作为管理的依据。,（二）拔高检查内容,53,专项检查,在合规检查工作的基础上，我们将挑选13个专项的信息科技风险实施专项检查，并提出改进建议。专项检查总体步骤：,（1）在开展本次专项检查前，编制招商银行总行信息科技外包风险专项检查工作计划,说明相关的检查依据、检查范围、及详细工作计划。（2）开展本次专项检查前，编制招商银行总行信息专项科技外包专项检查矩阵，结合检查依据及检查范围，逐条列示检查要点及相应的检查方法等信息。（3）在检查过程中应详细记录检查过程，并形成相应的检查工作底稿，底稿应包含监管法规信息、相应控制点信息、风险信息、检查方法、检查样本、检查过程、检查结论等。（4）在完成专项检查后，应对检查结果出具专项检查报告，并提出可落地的解决方案。,54,执行总行信息科技风险专项检查，专项检查覆盖：开发与测试、运行维护、信息安全、信息科技外包风险、应急管理等领域，评估总行信息科技工作的漏洞和缺陷，完成15个专项检查工作，并提出针对性建议。具体包括：,1总行信息系统专项检查2总行信息安全专项检查3总行信息科技运行专项检查（信息科技运维误操作检查）4总行软件开发生命周期专项检查5总行业务连续性管理专项检查6信息科技风险合规检查7信息科技外包管理专项检查8数据安全专项检查9信息访问控制专项检查10数据保护、防泄漏专项检查11源代码安全专项检查12手机银行系统层面的信息安全13客户信息安全专项检查我们将针对上述每项专项阐述具体的核心工作内容,4.2.3总行信息科技现场检查,55,具体的检查方法分4步，下面对这4步进行了详述：差距分析：通过从制度、执行等方面进行全方位评估分行信息科技工作与总行要求、监管要求和最佳实践之间的差距风险及控制分析：在了解现状的基础上，从“风险”和“控制”两个维度，对分行信息科技相关的组织人员、管理流程、系统运作现状和技术设施进行检查和分析识别贵公司目前所面临的威胁和可能被威胁利用的脆弱点，找出信息科技管理漏洞和技术缺陷,从信息科技管理的角度和结合了贵行的信息科技风险管理目标，针对关键流程进行独立测试和评估。以及进行深度分析，提出整改建议。,现场检查方法,如下图所示，业务循环中使用到信息系统的部分会产生信息处理风险，与系统相关的控制活动能降低信息处理风险带来的影响。,57,各项专项检查阐述,58,四月2016,59,2.2信息科技外包风险管理专项检查（一）主要检查内容。检查范围包括但不限于：（1）信息科技外包战略（2）外包风险管理机制（3）外包风险评估（4）外包服务提供商管理（5）外包信息安全管理（6）外包服务应急管理,2.2信息科技外包风险管理专项检查,4.2.3.1总行信息安全专项检查,60,我们的方法论是以ISO27001为主线，并整合了我国各有关监管机构颁布的信息科技安全指引、要求及准则，而形成的为企业量身定制的信息安全体系建设方案。,4.2.3.1总行信息安全专项检查,61,我们的评估旨在生成对贵公司与ISO27001:2005总体蓝图相关的理解本评估阶段的成果将提供：目前流程与ISO标准的缺口理解技术和物理安全景观详细视图，包括对贵公司有益的改进建议通过使用本方法，而非传统的缺口分析，我们能够更好地应用对总行信息安全的理解。使用本方法的优点在于这些信息可以被用作“标杆”，能够提供每年同比比较的功能。审阅信息安全基本要求：信息安全工作的基本原则、基本规划；信息安全管理的流程、组织架构和职责分配；信息安全风险评估和分级控制；信息安全的教育培训，包括法规教育、安全知识教育和职业道德教育等；评估逻辑访问的风险与控制：访问控制原则；访问授权的授权与核准；逻辑访问风险的定义、分类和应对措施；访问控制软件的使用情况；口令密码等重要身份凭证的管理等；评估环境的风险和控制：消防及防水设施；不间断电源保护；人员疏散计划和通道等；评估物理访问的风险与控制：出入通道锁具的可靠性；摄像监测设施、警报系统和警卫配备；访客、外包服务人员、勤务人员出入管理规定；入口数量控制；计算机终端无人看管时的锁定；敏感性设施及场所的标识隐匿；文件柜的锁定和监控等；评估软件的风险与控制：软件的病毒防护和管理；软件的升级和补丁管理；软件使用许可和授权管理等。,CMB总行信息安全专项检查,62,根据项目的目标，以及符合ISO17799的最佳实践，我们制定了以下专项检查。后续页面我们将详细列举检查项目。,信息,客户记录,人事记录,法律记录,ISO17799信息安全管理,信息安全方针,通信安全,安全组织,资产分级控制,人事安全,物理安全,合规性,连续运营计划,系统开发,访问控制,new,整体工作方法,63,01,02,04,03,访谈、调研,记录及分析,汇报、总结,设计、讨论,人员,流程,技术,CMB总行信息安全专项检查,new,CMB总行信息安全专项检查,new,CMB总行信息安全专项检查,new,66,信息科技风险管理检查专项,检查IT风险的管理职责界定情况,通过端到端的流程评估各个相关部门和人员在IT风险管理过程中的角色和职责,new,67,IT风险的管理职责部分的工作内容和成果示例,按照银监会商业银行信息科技风险管理指引中要求的IT风险管理组织架构，参考业界的最佳实践，并结合IT风险管理体系建设的工作成果，检查IT风险管理组织架构和角色；按照银监会商业银行信息科技风险管理指引中要求的IT风险管理组织架构，参考业界的最佳实践，并结合IT风险管理体系建设的工作成果，采用RACI的方法检查IT风险管理组织架构各角色的职责分工；将最优的IT风险管理组织架构以及职责分工与现有的操作风险管理架构以及IT管理架构做对照和分析，识别和评估差距；根据差距分析的结果，对现有操作风险管理和IT管理架构的角色以及职责分工进行修订和整改；将IT风险的管理职责分工与绩效考评以及奖惩机制进行对应。,涵盖各相关业务条线的IT风险管理组织结构矩阵,采用RACI方法制定的IT风险管理职责具体分工,请修改框框文字中的“设计”为检查,new,信息科技风险管理检查专项,68,统一的IT风险管理体系框架,IT风险管理体系框架包括IT风险分类、风险指标和控制要求。,我们将基于RiskIT框架、银监会指引和IT风险管理相关行业标准及最佳实践，检查贵行的IT风险分类框架，确保该框架将为后续的IT风险控制自评估（）和关键风险指标（）工作提供IT分类的基础。,IT风险指标将包括定性指标和定量指标。其中定性指标将主要用于IT风险控制自评估，定量指标将作为IT关键风险指标（KRI）用于补充完善贵行现有的操作风险KRI库。,每个IT风险点将与1个或多个控制相联系。对应于各个风险指标，我们将帮助贵行识别已有的控制，并提出控制设计方面的改进建议。,IT风险分类,风险指标,控制要求,new,信息科技风险管理检查专项,69,IT风险管理体系框架成果示例,IT风险项目开发和维护,new,普华永道的IT风险管理体系框架是基于各个主流IT风险管理相关标准和指引而建立的，并包括超过300个对IT风险的标准定义，我们可以结合RiskIT及银监会指引，帮助光大银行量身定制适合的IT风险管理体系框架。,信息科技风险管理检查专项,第70页,建立IT风险控制评估体系,IT风险控制评估是所有IT风险相关部门和人员共同的责任。正确理解和实施IT风险控制自我评估的关键在于：IT风险控制评估是一个管理IT相关风险与控制的工具，保证管理层和IT风险管理人员共同对风险进行控制。在实施IT风险控制评估的过程中，不仅要考虑发现的问题如何改进，促进各部门更有效地履行责任，还要使控制措施便于理解，使高级管理层更了解管理的情况以及风险。对管理部门而言，IT风险控制评估可以反映当前管理控制中存在的问题，也向高层管理部门表明他们对现存内部控制的态度，明确了管理责任。IT风险控制评估成功的关键在于“自我评估”，要求与检查问题有关的人员都参与到控制或风险的评估过程中，通过讨论进而能够深层次理解自身的职责，同时了解其他部门的流程与职责，加强部门间的合作和互动。,3.项目方案,new,信息科技风险管理检查专项,第71页,IT风险控制自评估的工作内容,按照银监会商业银行信息科技风险管理指引中要求的领域，参考业界的最佳实践，并结合贵行的实际情况，识别并记录所有IT流程，形成IT风险管理的流程清单；针对所识别的每个流程，识别和记录IT风险点，形成IT风险管理的风险点全集；从参与者、威胁类型、事件类型、信息资产/资源、时间、风险大小、发生可能性等各方面入手对风险进行评估；,审阅光大银行现有信息科技管理制度，识别已有控制；评估已有控制是否能够全面的覆盖风险点全集；对于未覆盖的风险，设计相应的控制并对信息科技管理制度进行更新，此过程应参考银监会商业银行信息科技风险管理指引中指明的控制内容；根据上述方法，从光大银行IT风险管理的角度出发，制定IT风险自评估操作指引；设计自评估测试方案模板；以电子银行为例，执行试点评估；完成上述工作成果在操作风险管理系统中的部署工作，实现RCSA的全程在线作业，如果光大银行的现有系统无法满足要求，则提出适当的解决方案建议及系统改进建议。,3.项目方案,框框文字变为可编辑,new,信息科技风险管理检查专项,第72页,IT风险控制自评估的样本成果,IT风险管理流程体系,IT风险控制自评估模板,RCSA报告评估总结模板,风险汇报模板,IT风险自评估职责分工模板,3.项目方案,new,信息科技风险管理检查专项,第73页,构建IT关键风险指标体系,ITKRI的构建基本思路与操作风险KRI识别和管理方法基本一致，包括ITKRI的识别、评估、管理和应用四大部分：,3.项目方案,new,信息科技风险管理检查专项,第74页,IT关键风险指标的成果示例,ITKRI总体管理组织架构,IT风险指标库,指标定义模板,IT风险关键风险关系示意图,3.项目方案,new,信息科技风险管理检查专项,信息系统应用控制审计的两个基本概念,COBITFramework将应用程序控制目标分为以下五个大类：数据准备(DataOrigination/AuthorisationControls)数据录入(DataInputControls)数据处理(DataProcessingControls)数据输出(DataOutputControls)边界控制(BoundaryControls),应用程序控制目标,普华永道的应用程序审计方法中提出的信息处理目标包括CAVR，分别是：Completeness完整性Accuracy准确性Validity有效性RestrictedAccess访问限制,信息处理目标,应用控制测试专项,new,应用控制测试专项,76,信息系统审计,信息系统一般控制,应用控制和财务数据的关系,new,应用控制测试专项,77,信息系统审计,信息系统应用控制审计主要步骤,new,应用控制测试专项,78,信息系统审计,信息系统应用控制审计主要内容,new,应用控制测试专项,79,信息系统审计,信息系统应用控制审计主要内容(续),new,应用控制测试专项,80,普华永道应用控制审计方法从业务流程及风险的识别和评估出发，确定流程中的信息处理风险。同时，将围绕着信息处理流程，对自动控制进行测试，同时关注手工控制的合理有效性，评估控制是否实现信息处理目标（C-完整性、A-准确性、V-有效性、R-受限访问）。同时，应用控制审计方法中，将从操作管理、访问控制、接口管理和参数管理四个基础控制领域对系统控制有效性进行评估。,应用控制测试专项,new,应用控制测试专项,81,应用控制测试专项,根据我们的审计经验和业内实践，应用控制测试将分为业务流程应用控制及基础控制两个部分展开：业务流程应用控制以银行的重要风险为出发点，结合招商银行自身实际情况，确定相关的重要业务流程。(诸如:对公存款储蓄业务对公贷款业务分行特色业务等)对招商银行核心系统的分析测试，以银行的重要风险为出发点，结合招商银行自身实际情况，确定相关的重要业务流程。(诸如:对公存款储蓄业务对公贷款业务分行特色业务等)选取重要业务流程核心系统关键业务流程，结合如下表一（对公存款业务核心业务及关键自动控制）所示的关键控制矩阵，进行由柜台图形前端到分行前置、总行前置到系统后台的业务流程应用控制的穿行测试，例如对公存款业务由柜台操作至后台入账的业务流程应用控制穿行测试；,new,应用控制测试专项,82,对公存款业务核心业务及关键自动控制矩阵：,new,应用控制测试专项,83,new,应用控制测试专项,84,new,应用控制测试专项,85,new,应用控制测试专项,4.2.3.2总行信息科技运行专项检查,86,4.2.3.2总行信息科技运行专项检查,LinapendingWing总材料,87,信息系统运行体系建设情况：信息系统运行体系的组织架构；信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则；对于银行核心业务系统的持续性或阶段性监测等；操作环境控制和预防性维护情况：信息科技资产清单登记，如计算机设备、网络组件、应用和系统软件、应用处理模式；对信息系统性能和容量的管理；制定反映各类连接物理位置和交互关系的系统图和拓扑图；信息系统环境控制和预防性维护应对方案等；信息科技操作风险控制措施：信息系统操作风险控制机制和流程；人力资源管理方案；信息资料档案管理：对信息输出文件的控制和管理；信息文件的传输管理、存储介质废弃和处理，内容的备份和恢复等；日志管理：对网络设置、防火墙、主机、数据库等系统产生的日志采集；对采集的日志设定的保存期限；日志资料的安全保护和调阅管理制度；日志监控和管理的岗位和人员设置情况等；日常运维风险控制等；数据中心内的各项支持系统运行的操作环境控制和预防性维护措施；目前信息科技操作风险管理流程能否合理地减低系统事故人员数据意外销毁等风险。,jacky,88,评估设计、开发或外购、测试、试运行、部署、维护及退出等方面:审阅项目周期管理的涵盖范围，如立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等；开发环境、测试环境、生产环境严格分离情况；外部技术资源管理，包括申请、测评、购买（合同）、使用等；,4.2.3.3总行软件开发生命周期专项检查,开发生命周期优化,整体思路,89,目前应对相应风险的做法,根本原因分析及现行做法,原因及差距分析,管理建议,人员,流程,技术,软件质量管理体系持续优化（IDEAL）,a,b,c,SDLC常见风险,软件质量事件（缺陷）分析,软件质量管理体系持续优化,流程不是固化的，应是不断发展优化的|建立一个持续性不断自我优化的流程优化机制,新增,90,人员,流程,技术,团队组织架构不合理风险：业务需求分析、开发、测试及质量保护、发布及故障管理等团队组织架构外包质量及外包人员管理风险：外包开发人员工作质量管理、稳定性管理等外包风险管理领域未被适当管理的风险培训与沟通开发人员与运维人员的职责、权限交集开发人员编码水平、规范未能有效控制,宏观层面风险：治理层面的关注内容；业务战略对应用开发的需求差距；开发及效益风险：整体开发模式及效益制度风险：规划、研发、发布、监控及回顾等关键SDLC组件（领域）的总体规范、流程及管控现状外包风险：外包开发人员入职、测试、时（日）报填写及工作量跟踪、外包结算等流程开发过程中的系统架构协调机制不足，未对涉及系统间模块间的接口及调用关系进行有效管理开发和业务部门未对可接受的风险水平建立有效控制策略开发制度及流程细化及完善，如：开发评审、代码复查、非功能设计、接口规范、版本管理等业务需求的提出口径不规范、不全面，造成开发团队的理解差异及后续需求持续变化及提升，未有需求重要性排序、评估及正式评审机制长远建立IT部开发的独立结算、价值体现机制,技术风险：整体开发技术（架构）使用的先进性与业界趋势对比系统体系设计和开发过程中可能对所选择的新技术体系理解不足，对存在的缺陷考虑不足对系统采用的安全技术控制措施考虑不足未有效采用自动化的编译和部署工具，支持系统持续集成和测试,未来项目执行过程中可能关注的各个方面,开发生命周期优化,新增,91,发现各种类型缺陷发生的概率,掌握缺陷集中的区域,明晰缺陷发展趋势,了解缺陷产生主要原因,缺陷分析,改进软件开发,降低缺陷数量,提高软件质量,有针对性地提出遏制缺陷发生的措施,缺陷分析,缺陷分析,SDLC流程的优化,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,92,重新梳理“严重程度”、“优先级”、“缺陷类型”等缺陷属性关键要素，并提供各取值的定义和示例。减少分歧、提高缺陷属性准确性。,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,93,帕累托法则(2/8法则)操作步骤：针对分析的目标和分析对象，选取分析对象的相关属性，该属性需有统一的定义和分类；统计属性分类的个数，并从高到低进行排序；统计该属性的总个数，计算各不同分类在总数中所占的比重；根据不同分类在总数中所占的比重，统计分类的累积比重；找出累计比重达到80%的前几项分类，即已找出后续缺陷分析的对象。,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,94,统一缺陷管理,管理层面：基于管理角度的分析及汇报,运维缺陷,系统测试,性能测试,技术层面：缺陷记录、跟踪、处理,缺陷分析和汇报,处理活动时间要求,软件预期,分歧处理,业务测试,验证测试,清晰定义：梳理并确定了部分软件预期清晰过程：管理过程包括：记录、审核、处理、验证、关闭”，且可裁剪。明确人员：不完整、不准确、不清晰、不一致“的需求缺陷由业务人员和需求人员共同处理。完善缺陷属性。,业务人员,缺陷,建议,缺陷,管理对象:测试过程中发现的缺陷和建议，运维环节发现的缺陷。缺陷及建议若无特殊说明，采取统一管理方式。,活动的时间要求：原则上，缺陷最长遗留个月、建议最长遗留个月；超过时限后应该修复或者丢弃。分歧响应时间。运维缺陷处理周期。完善”缺陷分析汇报“等流程相关的要求.,举实际的例子来作说明SDLC-缺陷管理,开发生命周期优化,新增,95,根据我们的经验，在一个IT成熟度相对较高的企业，特别是金融企业，其系统开发生命周期的各阶段控制相对较为完善，在其重要系统上线前，均针对该系统进行了有关源代码的自动测试工作，主要包括对源代码的功能性测试。因此，基于风险为导向的审计思想指导，我们将执行针对高风险业务对应模块源代码的审阅。审阅项目变更管理流程：变更管理的主要规章制度；变更管理的审批授权机制和工作流程；变更管理的登记、备案和存档等；审阅项目资料文档管理体系：项目资料文档的管理职责；资料文档的起草和审批职责；资料文档格式标准化规范；程序资料文档的完整保存：程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等；项目资料文档的完整保存：项目需求、可行性分析、阶段实施记录等；评估是否存在系统设计开发外包缺陷风险管理：代码检查；文档管理；技术传送等；评估对系统变更、升级项目进行抽样检查，评估其控制流程的执行有效性，评估内容包括其授权、跟踪、用户验收测试、程序投产执行等。,96,源代码审阅我们首先将会对贵公司的设计文档和规格说明书进行审阅以获取对系统开发流程的认识，从而确定贵公司对于源代码安全开发（如下面所述）建立了充分且合适的策略和标准。我们会通过对特定程序/系统开发人员的访谈，确定贵公司程序/系统开发人员对此类策略和标准有充分的理解并严格执行：输入确认外部数据源，包括行参数、网络接口、环境变量和用户控制文件访问控制访问默认设置为限制访问，或某功能限制访问；但应进一步设置哪些访问是允许的，哪些是受限的注意编译器警告在编译代码时应使用编译器的最严格警告配置，开发人员应通过修改代码清除所有编译警告遵从最小权限原则所有进程都应用最小权限去执行任务，任何暂时权限提升都应在最短时间内终止净化发送至其他系统的数据净化所有的发送至整合子系统的数据，如命令行和相关数据库，因为潜在攻击者可能通过使用SQL、命令行或其他植入攻击方法调用未被使用的功能另外，在将编译过的代码移植到生产环境前，我们还会通过安全接受性测试对相关的策略和流程进行审阅以确定是否存在有效的质量控制，能够识别并消除缺陷。,源代码安全审阅,新增,97,源代码审阅（续）,我们将使用如下图所示的普华永道所拥有的源代码审阅方案：步骤1.1：自动扫描配置及执行自动扫描我们首先会配置并执行自动源代码分析工具来对代码进行扫描并识别潜在缺陷。自动扫描工具的使用能够提高审阅效率并保证覆盖整个系统。自动扫描的结果将会与我们的测试计划结合，帮助我们在第二步人工扫描中确认和消除错误。在此步骤，我们需要贵公司协助提供一份系统原程序代码以及其所述库以供自动扫描。我们在此步骤可能用到的工具有：FortifySourceCodeAnalyser,OunceLabs或AppScanSourceEdition,配置及执行自动扫描,建立人工扫描测试计划,执行及验证扫描结果,消除误判,执行人工业务逻辑测试,步骤1:自动扫描,步骤2:人工扫描,风险评估,应用穿行测试,威胁分析,源代码安全审阅,新增,98,源代码审阅（续）,步骤1.2自动扫描建立人工扫描工作测试计划我们会将从自动扫描工具中得到的结果放在我们的普华永道所拥有的源代码审阅工作方案中“PwCProprietarySourceCodeReviewWorkProgram”（简称为：工作方案），此工作方案中包含全面的工作步骤清单以通过人工工作步骤确认安全漏洞。此工作方案基于风险导向，并根据初步的自动扫描的结果以及通过访谈等途径了解到的内容对贵公司情况做个性化配置。此工作步骤是可以重复进行的，因为自动扫描的结果中可能会存在某些误判，我们会通过人工的方式重新确认是否确实为安全缺陷。另外，工作方案会一直被完善直到所有的误判都通过人工工作程序清除。步骤2.1人工扫描执行及确认扫描结果我们会使用已制定的工作计划对源代码进行人工扫描。我们确定源代码安全缺陷的比较典型的工作有：危险功能的使用危险方式中特定的功能行为（不管其如何被使用，如Java中的“gets()”）。有害的代码特定程序有可能导致错误甚至成为软件本身的缺陷（如网页应用中基于socket的通信的使用）。未验证的输入数据任何在处理前不能得到确认的输入数据都可能导致严重的安全隐患，如SQL和命令行植入。遗留调试代码调试代码可能会无意中在应用程序中留下切入点。这类切入点可能会为恶意入侵者所使用而进入程序。,源代码安全审阅,新增,99,源代码审阅（续）,系统信息泄露某些冗余系统信息或携带启示性信息，而被有恶意的入侵者利用达到了解软件结构建立侵入计划的目的。不充分的错误处理忽略错误处理可能导致整个软件进入不可预料的状态，也可能会在软件上留下潜