【正文】 28檢查項2 ：風險識別與評估 29 風險防范和檢測 29檢查項1 ：風險防范措施 29檢查項2 ：風險計量與檢測 304. 信息安全管理 32 安全管理機制與管理組織 32檢查項1：信息分類和保護體系 32檢查項2：安全管理機制 33檢查項3：信息安全策略 34檢查項4：信息安全組織 34 安全管理制度 35檢查項1：規(guī)章制度 35檢查項2：制度合規(guī) 36檢查項3：制度執(zhí)行 37 人員管理 38檢查項1：人員管理 38 安全評估報告 39檢查項1：安全評估報告 39 宣傳、教育和培訓 39檢查項1：宣傳、教育和培訓 3測試與維護 41 41檢查項1：管理架構(gòu) 41檢查項2：制度建設 43檢查項3：項目控制體系 44檢查項4：系統(tǒng)開發(fā)的操作風險 45檢查項5：數(shù)據(jù)繼承和遷移 46 47檢查項1：系統(tǒng)測試 47檢查項2：系統(tǒng)驗收 49檢查項3：投產(chǎn)上線 49 50檢查項1：系統(tǒng)下線 506. 系統(tǒng)運行管理 52 日常管理 52檢查項1：職責分離 52檢查項2：值班制度 53檢查項3：操作管理 53檢查項4：人員管理 54 訪問控制策略 55檢查項1：物理訪問控制策略 55檢查項2：邏輯訪問控制策略 56檢查項3：賬號及權限管理 57檢查項4：用戶責任及終端管理 58檢查項5：遠程接入的控制 59 日志管理 60檢查項1：審計日志檢查 60檢查項2：日志信息的保護 60檢查項3：操作日志的檢查 61檢查項4：錯誤日志的檢查 61 62檢查項1：基礎環(huán)境監(jiān)控 62檢查項2：系統(tǒng)性能監(jiān)控 62檢查項3：系統(tǒng)運行監(jiān)控 63檢查項4：測評體系 64 事件管理 65檢查項1：事件報告流程 65檢查項2：事件管理和改進 66檢查項3：服務臺管理 67 67檢查項1：事件分析和問題生成 68檢查項2：臺賬管理 68檢查項3：問題處置 68 容量管理 69檢查項1：容量規(guī)劃 69檢查項2：容量監(jiān)測 70檢查項3：容量變更 70 變更管理 71檢查項1：變更的流程 72檢查項2：變更的評估 72檢查項3：變更的授權 73檢查項4：變更的執(zhí)行 73檢查項5：緊急變更 74檢查項6：重大變更 747. 業(yè)務連續(xù)性管理 76 業(yè)務連續(xù)性管理組織 77檢查項1：董事會及高管層的職責 77檢查項2：業(yè)務連續(xù)性管理組織的建立 78檢查項3：業(yè)務連續(xù)性管理組織職責 79 IT服務連續(xù)性管理 80檢查項1：IT服務連續(xù)性計劃的組織保障 80檢查項2：風險評估及業(yè)務影響分析 81檢查項3：IT服務連續(xù)性計劃的制定 81檢查項4：IT服務連續(xù)性計劃的測試與維護 82檢查項5：IT服務連續(xù)性計劃審計 83檢查項6：IT服務連續(xù)性相關領域的控制 848. 應急管理 85 應急組織 85檢查項1：應急管理團隊 85檢查項2：應急管理職責 86檢查項3：應急管理制度 86 應急預案 87檢查項1：應急預案制訂 87檢查項2：應急預案內(nèi)容 87檢查項3：應急預案更新 89檢查項4：外包服務應急 89檢查項5：應急預案培訓 90 應急保障 90檢查項1：人員保障 90檢查項2：物質(zhì)保障 90檢查項3：技術保障 91檢查項4：溝通保障 91 應急演練 92檢查項1：應急演練的計劃 92檢查項2：應急演練的實施 92檢查項3：應急演練的總結(jié) 93 應急響應 93檢查項1：應急響應流程 93檢查項2：全程記錄處置過程 94檢查項3：應急事件報告 95檢查項4：與第三方溝通 95檢查項5：向新聞媒體通報制度 96檢查項6：應急處置總結(jié) 96 持續(xù)改進 97檢查項1：應急事件評估 97檢查項2：應急響應評估 97檢查項3：應急管理改進 979. 災難恢復管理 99 災難恢復組織架構(gòu) 99檢查項1：災難恢復相關組織架構(gòu) 99 災難恢復策略 101檢查項1：總體控制 101檢查項2：災難恢復策略 101檢查項3：災難備份策略 103檢查項4：外包風險 104 災難恢復預案 105檢查項1：災難恢復預案 105檢查項2：聯(lián)絡與通訊 106檢查項3：教育、培訓和演練 107 107檢查項1：災備策略的評估和維護更新 107檢查項2：災難恢復預案的評估和維護更新 10810. 數(shù)據(jù)管理 109 數(shù)據(jù)管理制度和崗位 109檢查項1: 數(shù)據(jù)管理制度 109檢查項2 ：數(shù)據(jù)管理崗位 110 數(shù)據(jù)備份、恢復策略 110檢查項1：數(shù)據(jù)備份、轉(zhuǎn)儲策略 110檢查項2：數(shù)據(jù)恢復、抽檢策略 111 112檢查項1：介質(zhì)管理 112檢查項2：介質(zhì)的清理和銷毀 11311. 外包管理 114 114檢查項1：外包管理制度 114檢查項2：外包審批流程 114檢查項3：外包協(xié)議 115檢查項4：服務水平協(xié)議 115檢查項5：外包安全保密措施 116檢查項6：外包文檔管理 116 117檢查項1：外包服務商的評估 117檢查項2：外包項目的監(jiān)督管理 11712. 內(nèi)部審計 119 內(nèi)部審計管理 119檢查項1：內(nèi)部審計部門、崗位、人員和職責 119檢查項2：內(nèi)部審計制度和辦法 119 內(nèi)部審計要求 120檢查項1：內(nèi)部審計范圍和頻率 120檢查項2：內(nèi)部審計結(jié)果的有效性 12013. 外部審計 122 外部審計資質(zhì) 122檢查項1：外部審計機構(gòu)的資質(zhì) 122 外部審計要求 122檢查項1：商業(yè)銀行配合外部審計情況 122檢查項2：外部審計有效性 123檢查項3：外審過程中的保密要求 123第三部分 基礎設施 12514. 計算機機房 126 126檢查項1：計算機機房選址 126檢查項2：機房功能分區(qū) 127檢查項3：計算機機房基礎設施建設 127檢查項4：計算機機房的環(huán)境要求 130檢查項5：計算機機房日常維護 131 132檢查項1：計算機機房安全管理 132檢查項2：計算機機房集中監(jiān)控系統(tǒng) 133檢查項3：計算機機房安全區(qū)域訪問控制 134檢查項4：計算機機房運行管理 135 136檢查項1：機房設備的環(huán)境安全 13615. 網(wǎng)絡通訊 137 內(nèi)控管理 137檢查項1：內(nèi)控制度 137檢查項2：人員管理 138檢查項3：訪問控制 138檢查項4：日志管理 139檢查項5：第三方管理 140檢查項6：服務外包 141檢查項7：文檔管理 141檢查項8：風險評估 142 網(wǎng)絡運行維護 143檢查項1：運行監(jiān)控 143檢查項2：性能監(jiān)控 143檢查項3：流量監(jiān)控 144檢查項4：監(jiān)控預警 144檢查項5：性能調(diào)優(yōu) 144檢查項6：事件管理 145檢查項7：運行檢查 145 網(wǎng)絡變更管理 146檢查項1：變更發(fā)起 146檢查項2：變更計劃 147檢查項3：變更測試 147檢查項4：變更審批 147檢查項5：變更實施 148 網(wǎng)絡服務可用性 149檢查項1：容量管理 149檢查項2：冗余管理 149檢查項3：帶外管理 150檢查項4：壓力測試 151檢查項5：應急管理 151 網(wǎng)絡安全技術 151檢查項1：結(jié)構(gòu)安全 151檢查項2：物理安全 153檢查項3：傳輸安全 153檢查項4：訪問控制 154檢查項5：接入安全 155檢查項6：網(wǎng)絡邊界安全 156檢查項7：入侵檢測防范 157檢查項8：惡意代碼防范 158檢查項9：網(wǎng)絡設備防護 158檢查項10：網(wǎng)絡安全測試 160檢查項11：安全審計日志 161檢查項12：安全檢查 16216. 操作系統(tǒng) 163 163檢查項1：管理制度 163檢查項2：賬號、密碼管理 163檢查項3：賬號、密碼管理檢查 165 165檢查項1：訪問控制策略 165檢查項2：用戶登錄行為管理 166檢查項3：登錄失敗日志管理 166檢查項4：最小化訪問 167 168檢查項1：遠程管理制度 168檢查項2：遠程維護管理 169檢查項3：遠程維護審查 169 170檢查項1：系統(tǒng)性能監(jiān)控 170檢查項2：補丁及漏洞管理 170檢查項3：日常維護管理 171檢查項4：系統(tǒng)備份和故障恢復 172檢查項5：病毒及惡意代碼管理 172檢查項6：定時進程設置管理 173檢查項7：系統(tǒng)審計功能 17317. 數(shù)據(jù)庫管理系統(tǒng) 175 175檢查項1：身份認證 175檢查項2：授權控制 176檢查項3：遠程訪問 177檢查項4：安全參數(shù)設置 178 178檢查項1：數(shù)據(jù)安全 178檢查項2：審計功能 179檢查項3：性能管理 180檢查項4：補丁升級 181 181檢查項1：備份和恢復 181檢查項2：連續(xù)性和應急管理 18218. 第三方中間件 184 產(chǎn)品管理 184檢查項1：中間件測試 184檢查項2：中間件管理 184檢查項3：中間件與業(yè)務系統(tǒng)架構(gòu) 185 運行管理 185檢查項1：維護流程和操作手冊 185檢查項2：中間件配置管理 185檢查項3：中間件日志管理的程序 186檢查項4：中間件的性能監(jiān)控 186檢查項5：中間件產(chǎn)生的事件和問題管理 187檢查項6：中間件的變更 187檢查項7：單點故障問題和負載均衡 187檢查項8：壓力測試 188第四部分 應用系統(tǒng) 18919. 應用系統(tǒng) 190 應用系統(tǒng)管理 190檢查項1：業(yè)務管理辦法與操作流程 190檢查項2：重要應用系統(tǒng)評估 190檢查項3：應用系統(tǒng)版本管理 191檢查項4：應用系統(tǒng)培訓教育 192 應用系統(tǒng)操作 192檢查項1：終端用戶管理 192檢查項2：訪問控制與授權管理 193檢查項3：數(shù)據(jù)保密處理 194檢查項4：數(shù)據(jù)完整性處理 195檢查項5：數(shù)據(jù)準確性處理 195檢查項6：日志管理機制 196檢查項7：備份、恢復機制 197檢查項8：文檔資料管理 198檢查項9：內(nèi)部審計的參與 19920. 電子銀行 200 電子銀行業(yè)務合規(guī)性 200檢查項1：電子銀行業(yè)務合規(guī)性 200 電子銀行風險管理體系 201檢查項1：電子銀行風險管理體系 201 電子銀行安全管理 202檢查項1：電子銀行安全策略管理 202檢查項2：電子銀行安全措施 203檢查項3：電子銀行安全監(jiān)控 204檢查項4：電子銀行安全評估 204 電子銀行可用性管理 205檢查項1：電子銀行基礎設施 205檢查項2：電子銀行性能監(jiān)測和評估 205 電子銀行應急管理 206檢查項1： 電子銀行應急預案 206檢查項2：電子銀行應急演練 20721. 銀行卡系統(tǒng) 208 銀行卡系統(tǒng)管理 208檢查項1：銀行卡系統(tǒng)容量的合理規(guī)劃 208檢查項2：銀行卡系統(tǒng)物理設備風險和故障處理 209檢查項3：銀行卡交易監(jiān)控 209檢查項4：賬戶密碼和交易數(shù)據(jù)的存儲和傳輸 210檢查項5：銀行卡系統(tǒng)應急預案 211 終端設備 212檢查項1：自助銀行機具和安裝環(huán)境的物理安全 212檢查項2：自助銀行機具的通信安全 212檢查項3：自助銀行機具的安全裝置 213檢查項4：自助銀行業(yè)務操作流程（機具軟件） 213檢查項5：自助銀行機具的巡查維護 214檢查項6：POS機 214 自助銀行監(jiān)控 215檢查項1：自助銀行設備日常運行的監(jiān)控情況 215檢查項2：監(jiān)控中心和監(jiān)控設備 215檢查項3：自助銀行監(jiān)控發(fā)現(xiàn)問題的處置情況 216檢查項4：自助銀行設施安全評估（信息科技方面） 21622. 第三方存管系統(tǒng) 217 管理架構(gòu)和職責 217檢查項1：管理架構(gòu)與崗位職責分工 217 系統(tǒng)功能 217檢查項1：系統(tǒng)功能 217 系統(tǒng)一般安全與賬戶處理 218檢查項1：賬戶沖正處理 218檢查項2：網(wǎng)絡訪問控制與病毒防范 218 數(shù)據(jù)交換 219檢查項1：數(shù)據(jù)交換安全性 219 運行維護 220檢查項1：運行維護安全性 220 系統(tǒng)備份 220檢查項1：系統(tǒng)備份安全性 220 應急恢復與事故處理 221檢查項1：應急恢復與事故處理流程 221 系統(tǒng)測試 221檢查項1：系統(tǒng)測試 221 臨時派出柜臺 222檢查項1：系統(tǒng)派出柜臺安全性 222附錄 22323. 常用檢查方法 224 問卷與函證 224 訪談 225 查閱 226 觀察 227 測試 227 分析性復核 230 評審 23124. 主要網(wǎng)絡設備常用操作 232 Cisco設備常用操作 232交換機 232路由器 233防火墻 234 H3C設備常用操作 234交換機 234路由器 236防火墻 23725. 主要操作系統(tǒng)常用操作 238 AIX系統(tǒng)檢查常用操作 238 HP/UX系統(tǒng)檢查常用操作 246 Solaris系統(tǒng)檢查常用操作 250 Windows系統(tǒng)檢查常用操作 25126. 主要數(shù)據(jù)庫管理系統(tǒng)常用操作 256 DB2 系統(tǒng)檢查常用操作 256 Sybase 系統(tǒng)檢查常用操作 257 Oracle 系統(tǒng)檢查常用操作 257 Informix 系統(tǒng)檢查常用操作 259 SQL SERVER系統(tǒng)檢查常用