【正文】 專業(yè)資料分享 商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南目 錄第一部分 概述 121. 指南說明 13 目的及適用范圍 13 編寫原則 14 指南框架 15第二部分 科技管理 172. 信息科技治理 18 董事會及高級管理層 18檢查項1 ：董事會 18檢查項2 ：信息科技管理委員會 19檢查項3 ：首席信息官（CIO） 20 信息科技部門 21檢查項1 ：信息科技部門 21檢查項2 ：信息科技戰(zhàn)略規(guī)劃 23 信息科技風(fēng)險管理部門 24檢查項1 ：信息科技風(fēng)險管理部門 24 信息科技風(fēng)險審計部門 25檢查項1 ：信息科技風(fēng)險審計部門 25 知識產(chǎn)權(quán)保護(hù)和信息披露 26檢查項1 ：知識產(chǎn)權(quán)保護(hù) 26檢查項2 ：信息披露 263. 信息科技風(fēng)險管理 28 風(fēng)險識別和評估 28檢查項1 ：風(fēng)險管理策略 28檢查項2 ：風(fēng)險識別與評估 29 風(fēng)險防范和檢測 29檢查項1 ：風(fēng)險防范措施 29檢查項2 ：風(fēng)險計量與檢測 304. 信息安全管理 32 安全管理機(jī)制與管理組織 32檢查項1：信息分類和保護(hù)體系 32檢查項2：安全管理機(jī)制 33檢查項3：信息安全策略 34檢查項4：信息安全組織 34 安全管理制度 35檢查項1：規(guī)章制度 35檢查項2：制度合規(guī) 36檢查項3：制度執(zhí)行 37 人員管理 38檢查項1：人員管理 38 安全評估報告 39檢查項1：安全評估報告 39 宣傳、教育和培訓(xùn) 39檢查項1：宣傳、教育和培訓(xùn) 3測試與維護(hù) 41 41檢查項1：管理架構(gòu) 41檢查項2：制度建設(shè) 43檢查項3：項目控制體系 44檢查項4：系統(tǒng)開發(fā)的操作風(fēng)險 45檢查項5：數(shù)據(jù)繼承和遷移 46 47檢查項1：系統(tǒng)測試 47檢查項2：系統(tǒng)驗收 49檢查項3：投產(chǎn)上線 49 50檢查項1：系統(tǒng)下線 506. 系統(tǒng)運(yùn)行管理 52 日常管理 52檢查項1：職責(zé)分離 52檢查項2：值班制度 53檢查項3：操作管理 53檢查項4：人員管理 54 訪問控制策略 55檢查項1：物理訪問控制策略 55檢查項2：邏輯訪問控制策略 56檢查項3：賬號及權(quán)限管理 57檢查項4：用戶責(zé)任及終端管理 58檢查項5：遠(yuǎn)程接入的控制 59 日志管理 60檢查項1：審計日志檢查 60檢查項2：日志信息的保護(hù) 60檢查項3：操作日志的檢查 61檢查項4：錯誤日志的檢查 61 62檢查項1：基礎(chǔ)環(huán)境監(jiān)控 62檢查項2：系統(tǒng)性能監(jiān)控 62檢查項3：系統(tǒng)運(yùn)行監(jiān)控 63檢查項4：測評體系 64 事件管理 65檢查項1：事件報告流程 65檢查項2：事件管理和改進(jìn) 66檢查項3：服務(wù)臺管理 67 67檢查項1：事件分析和問題生成 68檢查項2：臺賬管理 68檢查項3：問題處置 68 容量管理 69檢查項1：容量規(guī)劃 69檢查項2：容量監(jiān)測 70檢查項3：容量變更 70 變更管理 71檢查項1：變更的流程 72檢查項2：變更的評估 72檢查項3：變更的授權(quán) 73檢查項4：變更的執(zhí)行 73檢查項5：緊急變更 74檢查項6：重大變更 747. 業(yè)務(wù)連續(xù)性管理 76 業(yè)務(wù)連續(xù)性管理組織 77檢查項1：董事會及高管層的職責(zé) 77檢查項2：業(yè)務(wù)連續(xù)性管理組織的建立 78檢查項3：業(yè)務(wù)連續(xù)性管理組織職責(zé) 79 IT服務(wù)連續(xù)性管理 80檢查項1：IT服務(wù)連續(xù)性計劃的組織保障 80檢查項2：風(fēng)險評估及業(yè)務(wù)影響分析 81檢查項3：IT服務(wù)連續(xù)性計劃的制定 81檢查項4：IT服務(wù)連續(xù)性計劃的測試與維護(hù) 82檢查項5：IT服務(wù)連續(xù)性計劃審計 83檢查項6：IT服務(wù)連續(xù)性相關(guān)領(lǐng)域的控制 848. 應(yīng)急管理 85 應(yīng)急組織 85檢查項1：應(yīng)急管理團(tuán)隊 85檢查項2：應(yīng)急管理職責(zé) 86檢查項3：應(yīng)急管理制度 86 應(yīng)急預(yù)案 87檢查項1：應(yīng)急預(yù)案制訂 87檢查項2：應(yīng)急預(yù)案內(nèi)容 87檢查項3：應(yīng)急預(yù)案更新 89檢查項4：外包服務(wù)應(yīng)急 89檢查項5：應(yīng)急預(yù)案培訓(xùn) 90 應(yīng)急保障 90檢查項1：人員保障 90檢查項2：物質(zhì)保障 90檢查項3：技術(shù)保障 91檢查項4：溝通保障 91 應(yīng)急演練 92檢查項1：應(yīng)急演練的計劃 92檢查項2：應(yīng)急演練的實(shí)施 92檢查項3：應(yīng)急演練的總結(jié) 93 應(yīng)急響應(yīng) 93檢查項1：應(yīng)急響應(yīng)流程 93檢查項2：全程記錄處置過程 94檢查項3：應(yīng)急事件報告 95檢查項4：與第三方溝通 95檢查項5：向新聞媒體通報制度 96檢查項6：應(yīng)急處置總結(jié) 96 持續(xù)改進(jìn) 97檢查項1：應(yīng)急事件評估 97檢查項2：應(yīng)急響應(yīng)評估 97檢查項3：應(yīng)急管理改進(jìn) 979. 災(zāi)難恢復(fù)管理 99 災(zāi)難恢復(fù)組織架構(gòu) 99檢查項1：災(zāi)難恢復(fù)相關(guān)組織架構(gòu) 99 災(zāi)難恢復(fù)策略 101檢查項1：總體控制 101檢查項2：災(zāi)難恢復(fù)策略 101檢查項3：災(zāi)難備份策略 103檢查項4：外包風(fēng)險 104 災(zāi)難恢復(fù)預(yù)案 105檢查項1：災(zāi)難恢復(fù)預(yù)案 105檢查項2：聯(lián)絡(luò)與通訊 106檢查項3：教育、培訓(xùn)和演練 107 107檢查項1：災(zāi)備策略的評估和維護(hù)更新 107檢查項2：災(zāi)難恢復(fù)預(yù)案的評估和維護(hù)更新 10810. 數(shù)據(jù)管理 109 數(shù)據(jù)管理制度和崗位 109檢查項1: 數(shù)據(jù)管理制度 109檢查項2 ：數(shù)據(jù)管理崗位 110 數(shù)據(jù)備份、恢復(fù)策略 110檢查項1：數(shù)據(jù)備份、轉(zhuǎn)儲策略 110檢查項2：數(shù)據(jù)恢復(fù)、抽檢策略 111 112檢查項1：介質(zhì)管理 112檢查項2：介質(zhì)的清理和銷毀 11311. 外包管理 114 114檢查項1：外包管理制度 114檢查項2：外包審批流程 114檢查項3：外包協(xié)議 115檢查項4：服務(wù)水平協(xié)議 115檢查項5：外包安全保密措施 116檢查項6：外包文檔管理 116 117檢查項1：外包服務(wù)商的評估 117檢查項2：外包項目的監(jiān)督管理 11712. 內(nèi)部審計 119 內(nèi)部審計管理 119檢查項1：內(nèi)部審計部門、崗位、人員和職責(zé) 119檢查項2：內(nèi)部審計制度和辦法 119 內(nèi)部審計要求 120檢查項1：內(nèi)部審計范圍和頻率 120檢查項2：內(nèi)部審計結(jié)果的有效性 12013. 外部審計 122 外部審計資質(zhì) 122檢查項1：外部審計機(jī)構(gòu)的資質(zhì) 122 外部審計要求 122檢查項1：商業(yè)銀行配合外部審計情況 122檢查項2：外部審計有效性 123檢查項3：外審過程中的保密要求 123第三部分 基礎(chǔ)設(shè)施 12514. 計算機(jī)機(jī)房 126 126檢查項1：計算機(jī)機(jī)房選址 126檢查項2：機(jī)房功能分區(qū) 127檢查項3：計算機(jī)機(jī)房基礎(chǔ)設(shè)施建設(shè) 127檢查項4：計算機(jī)機(jī)房的環(huán)境要求 130檢查項5：計算機(jī)機(jī)房日常維護(hù) 131 132檢查項1：計算機(jī)機(jī)房安全管理 132檢查項2：計算機(jī)機(jī)房集中監(jiān)控系統(tǒng) 133檢查項3：計算機(jī)機(jī)房安全區(qū)域訪問控制 134檢查項4：計算機(jī)機(jī)房運(yùn)行管理 135 136檢查項1：機(jī)房設(shè)備的環(huán)境安全 13615. 網(wǎng)絡(luò)通訊 137 內(nèi)控管理 137檢查項1：內(nèi)控制度 137檢查項2：人員管理 138檢查項3：訪問控制 138檢查項4：日志管理 139檢查項5：第三方管理 140檢查項6：服務(wù)外包 141檢查項7：文檔管理 141檢查項8：風(fēng)險評估 142 網(wǎng)絡(luò)運(yùn)行維護(hù) 143檢查項1：運(yùn)行監(jiān)控 143檢查項2：性能監(jiān)控 143檢查項3：流量監(jiān)控 144檢查項4：監(jiān)控預(yù)警 144檢查項5：性能調(diào)優(yōu) 144檢查項6：事件管理 145檢查項7：運(yùn)行檢查 145 網(wǎng)絡(luò)變更管理 146檢查項1：變更發(fā)起 146檢查項2：變更計劃 147檢查項3：變更測試 147檢查項4：變更審批 147檢查項5：變更實(shí)施 148 網(wǎng)絡(luò)服務(wù)可用性 149檢查項1：容量管理 149檢查項2：冗余管理 149檢查項3：帶外管理 150檢查項4：壓力測試 151檢查項5：應(yīng)急管理 151 網(wǎng)絡(luò)安全技術(shù) 151檢查項1：結(jié)構(gòu)安全 151檢查項2：物理安全 153檢查項3：傳輸安全 153檢查項4：訪問控制 154檢查項5：接入安全 155檢查項6：網(wǎng)絡(luò)邊界安全 156檢查項7：入侵檢測防范 157檢查項8：惡意代碼防范 158檢查項9：網(wǎng)絡(luò)設(shè)備防護(hù) 158檢查項10：網(wǎng)絡(luò)安全測試 160檢查項11：安全審計日志 161檢查項12：安全檢查 16216. 操作系統(tǒng) 163 163檢查項1：管理制度 163檢查項2：賬號、密碼管理 163檢查項3：賬號、密碼管理檢查 165 165檢查項1：訪問控制策略 165檢查項2：用戶登錄行為管理 166檢查項3：登錄失敗日志管理 166檢查項4：最小化訪問 167 168檢查項1：遠(yuǎn)程管理制度 168檢查項2：遠(yuǎn)程維護(hù)管理 169檢查項3：遠(yuǎn)程維護(hù)審查 169 170檢查項1：系統(tǒng)性能監(jiān)控 170檢查項2：補(bǔ)丁及漏洞管理 170檢查項3：日常維護(hù)管理 171檢查項4：系統(tǒng)備份和故障恢復(fù) 172檢查項5：病毒及惡意代碼管理 172檢查項6：定時進(jìn)程設(shè)置管理 173檢查項7：系統(tǒng)審計功能 17317. 數(shù)據(jù)庫管理系統(tǒng) 175 175檢查項1：身份認(rèn)證 175檢查項2：授權(quán)控制 176檢查項3：遠(yuǎn)程訪問 177檢查項4：安全參數(shù)設(shè)置 178 178檢查項1：數(shù)據(jù)安全 178檢查項2：審計功能 179檢查項3：性能管理 180檢查項4：補(bǔ)丁升級 181 181檢查項1：備份和恢復(fù) 181檢查項2：連續(xù)性和應(yīng)急管理 18218. 第三方中間件 184 產(chǎn)品管理 184檢查項1：中間件測試 184檢查項2：中間件管理 184檢查項3：中間件與業(yè)務(wù)系統(tǒng)架構(gòu) 185 運(yùn)行管理 185檢查項1：維護(hù)流程和操作手冊 185檢查項2：中間件配置管理 185檢查項3：中間件日志管理的程序 186檢查項4：中間件的性能監(jiān)控 186檢查項5：中間件產(chǎn)生的事件和問題管理 187檢查項6：中間件的變更 187檢查項7：單點(diǎn)故障問題和負(fù)載均衡 187檢查項8：壓力測試 188第四部分 應(yīng)用系統(tǒng) 18919. 應(yīng)用系統(tǒng) 190 應(yīng)用系統(tǒng)管理 190檢查項1：業(yè)務(wù)管理辦法與操作流程 190檢查項2：重要應(yīng)用系統(tǒng)評估 190檢查項3：應(yīng)用系統(tǒng)版本管理 191檢查項4：應(yīng)用系統(tǒng)培訓(xùn)教育 192 應(yīng)用系統(tǒng)操作 192檢查項1：終端用戶管理 192檢查項2：訪問控制與授權(quán)管理 193檢查項3：數(shù)據(jù)保密處理 194檢查項4：數(shù)據(jù)完整性處理 195檢查項5：數(shù)據(jù)準(zhǔn)確性處理 195檢查項6：日志管理機(jī)制 196檢查項7：備份、恢復(fù)機(jī)制 197檢查項8：文檔資料管理 198檢查項9：內(nèi)部審計的參與 19920. 電子銀行 200 電子銀行業(yè)務(wù)合規(guī)性 200檢查項1：電子銀行業(yè)務(wù)合規(guī)性 200 電子銀行風(fēng)險管理體系 201檢查項1：電子銀行風(fēng)險管理體系 201 電子銀行安全管理 202檢查項1：電子銀行安全策略管理 202檢查項2：電子銀行安全措施 203檢查項3：電子銀行安全監(jiān)控 204檢查項4：電子銀行安全評估 204 電子銀行可用性管理 205檢查項1：電子銀行基礎(chǔ)設(shè)施 205檢查項2：電子銀行性能監(jiān)測和評估 205 電子銀行應(yīng)急管理 206檢查項1： 電子銀行應(yīng)急預(yù)案 206檢查項2：電子銀行應(yīng)急演練 20721. 銀行卡系統(tǒng) 208 銀行卡系統(tǒng)管理 208檢查項1：銀行卡系統(tǒng)容量的合理規(guī)劃 208檢查項2：銀行卡系統(tǒng)物理設(shè)備風(fēng)險和故障處理 209檢查項3：銀行卡交易監(jiān)控 209檢查項4：賬戶密碼和交易數(shù)據(jù)的存儲和傳輸 210檢查項5：銀行卡系統(tǒng)應(yīng)急預(yù)案 211 終端設(shè)備 212檢查項1：自助銀行機(jī)具和安裝環(huán)境的物理安全 212檢查項2：自助銀行機(jī)具的通信安全 212檢查項3：自助銀行機(jī)具的安全裝置 213檢查項4：自助銀行業(yè)務(wù)操作流程（機(jī)具軟件） 213檢查項5：自助銀行機(jī)具的巡查維護(hù) 214檢查項6：POS機(jī) 214 自助銀行監(jiān)控 215檢查項1：自助銀行設(shè)備日常運(yùn)行的監(jiān)控情況 215檢查項2：監(jiān)控中心和監(jiān)控設(shè)備 215檢查項3：自助銀行監(jiān)控發(fā)現(xiàn)問題的處置情況 216檢查項4：自助銀行設(shè)施安全評估（信息科技方面） 21622. 第三方存管系統(tǒng) 217 管理架構(gòu)和職責(zé) 217檢查項1：管理架構(gòu)與崗位職責(zé)分工 217 系統(tǒng)功能 217檢查項1：系統(tǒng)功能 217 系統(tǒng)一般安全與賬戶處理 218檢查項1：賬戶沖正處理 218檢查項2：網(wǎng)絡(luò)訪問控制與病毒防范 218 數(shù)據(jù)交換 219檢查項1：數(shù)據(jù)交換安全性 219 運(yùn)行維護(hù) 220檢查項1：運(yùn)行維護(hù)安全性 220 系統(tǒng)備份 220檢查項1：系統(tǒng)備份安全性 220 應(yīng)急恢復(fù)與事故處理 221檢查項1：應(yīng)急恢復(fù)與事故處理流程 221