【正文】 28檢查項(xiàng)2 ：風(fēng)險識別與評估 29 風(fēng)險防范和檢測 29檢查項(xiàng)1 ：風(fēng)險防范措施 29檢查項(xiàng)2 ：風(fēng)險計(jì)量與檢測 304. 信息安全管理 32 安全管理機(jī)制與管理組織 32檢查項(xiàng)1：信息分類和保護(hù)體系 32檢查項(xiàng)2：安全管理機(jī)制 33檢查項(xiàng)3：信息安全策略 34檢查項(xiàng)4：信息安全組織 34 安全管理制度 35檢查項(xiàng)1：規(guī)章制度 35檢查項(xiàng)2：制度合規(guī) 36檢查項(xiàng)3：制度執(zhí)行 37 人員管理 38檢查項(xiàng)1：人員管理 38 安全評估報告 39檢查項(xiàng)1：安全評估報告 39 宣傳、教育和培訓(xùn) 39檢查項(xiàng)1：宣傳、教育和培訓(xùn) 3測試與維護(hù) 41 41檢查項(xiàng)1：管理架構(gòu) 41檢查項(xiàng)2：制度建設(shè) 43檢查項(xiàng)3：項(xiàng)目控制體系 44檢查項(xiàng)4：系統(tǒng)開發(fā)的操作風(fēng)險 45檢查項(xiàng)5：數(shù)據(jù)繼承和遷移 46 47檢查項(xiàng)1：系統(tǒng)測試 47檢查項(xiàng)2：系統(tǒng)驗(yàn)收 49檢查項(xiàng)3：投產(chǎn)上線 49 50檢查項(xiàng)1：系統(tǒng)下線 506. 系統(tǒng)運(yùn)行管理 52 日常管理 52檢查項(xiàng)1：職責(zé)分離 52檢查項(xiàng)2：值班制度 53檢查項(xiàng)3：操作管理 53檢查項(xiàng)4：人員管理 54 訪問控制策略 55檢查項(xiàng)1：物理訪問控制策略 55檢查項(xiàng)2：邏輯訪問控制策略 56檢查項(xiàng)3：賬號及權(quán)限管理 57檢查項(xiàng)4：用戶責(zé)任及終端管理 58檢查項(xiàng)5：遠(yuǎn)程接入的控制 59 日志管理 60檢查項(xiàng)1：審計(jì)日志檢查 60檢查項(xiàng)2：日志信息的保護(hù) 60檢查項(xiàng)3：操作日志的檢查 61檢查項(xiàng)4：錯誤日志的檢查 61 62檢查項(xiàng)1：基礎(chǔ)環(huán)境監(jiān)控 62檢查項(xiàng)2：系統(tǒng)性能監(jiān)控 62檢查項(xiàng)3：系統(tǒng)運(yùn)行監(jiān)控 63檢查項(xiàng)4：測評體系 64 事件管理 65檢查項(xiàng)1：事件報告流程 65檢查項(xiàng)2：事件管理和改進(jìn) 66檢查項(xiàng)3：服務(wù)臺管理 67 67檢查項(xiàng)1：事件分析和問題生成 68檢查項(xiàng)2：臺賬管理 68檢查項(xiàng)3：問題處置 68 容量管理 69檢查項(xiàng)1：容量規(guī)劃 69檢查項(xiàng)2：容量監(jiān)測 70檢查項(xiàng)3：容量變更 70 變更管理 71檢查項(xiàng)1：變更的流程 72檢查項(xiàng)2：變更的評估 72檢查項(xiàng)3：變更的授權(quán) 73檢查項(xiàng)4：變更的執(zhí)行 73檢查項(xiàng)5：緊急變更 74檢查項(xiàng)6：重大變更 747. 業(yè)務(wù)連續(xù)性管理 76 業(yè)務(wù)連續(xù)性管理組織 77檢查項(xiàng)1：董事會及高管層的職責(zé) 77檢查項(xiàng)2：業(yè)務(wù)連續(xù)性管理組織的建立 78檢查項(xiàng)3：業(yè)務(wù)連續(xù)性管理組織職責(zé) 79 IT服務(wù)連續(xù)性管理 80檢查項(xiàng)1：IT服務(wù)連續(xù)性計(jì)劃的組織保障 80檢查項(xiàng)2：風(fēng)險評估及業(yè)務(wù)影響分析 81檢查項(xiàng)3：IT服務(wù)連續(xù)性計(jì)劃的制定 81檢查項(xiàng)4：IT服務(wù)連續(xù)性計(jì)劃的測試與維護(hù) 82檢查項(xiàng)5：IT服務(wù)連續(xù)性計(jì)劃審計(jì) 83檢查項(xiàng)6：IT服務(wù)連續(xù)性相關(guān)領(lǐng)域的控制 848. 應(yīng)急管理 85 應(yīng)急組織 85檢查項(xiàng)1：應(yīng)急管理團(tuán)隊(duì) 85檢查項(xiàng)2：應(yīng)急管理職責(zé) 86檢查項(xiàng)3：應(yīng)急管理制度 86 應(yīng)急預(yù)案 87檢查項(xiàng)1：應(yīng)急預(yù)案制訂 87檢查項(xiàng)2：應(yīng)急預(yù)案內(nèi)容 87檢查項(xiàng)3：應(yīng)急預(yù)案更新 89檢查項(xiàng)4：外包服務(wù)應(yīng)急 89檢查項(xiàng)5：應(yīng)急預(yù)案培訓(xùn) 90 應(yīng)急保障 90檢查項(xiàng)1：人員保障 90檢查項(xiàng)2：物質(zhì)保障 90檢查項(xiàng)3：技術(shù)保障 91檢查項(xiàng)4：溝通保障 91 應(yīng)急演練 92檢查項(xiàng)1：應(yīng)急演練的計(jì)劃 92檢查項(xiàng)2：應(yīng)急演練的實(shí)施 92檢查項(xiàng)3：應(yīng)急演練的總結(jié) 93 應(yīng)急響應(yīng) 93檢查項(xiàng)1：應(yīng)急響應(yīng)流程 93檢查項(xiàng)2：全程記錄處置過程 94檢查項(xiàng)3：應(yīng)急事件報告 95檢查項(xiàng)4：與第三方溝通 95檢查項(xiàng)5：向新聞媒體通報制度 96檢查項(xiàng)6：應(yīng)急處置總結(jié) 96 持續(xù)改進(jìn) 97檢查項(xiàng)1：應(yīng)急事件評估 97檢查項(xiàng)2：應(yīng)急響應(yīng)評估 97檢查項(xiàng)3：應(yīng)急管理改進(jìn) 979. 災(zāi)難恢復(fù)管理 99 災(zāi)難恢復(fù)組織架構(gòu) 99檢查項(xiàng)1：災(zāi)難恢復(fù)相關(guān)組織架構(gòu) 99 災(zāi)難恢復(fù)策略 101檢查項(xiàng)1：總體控制 101檢查項(xiàng)2：災(zāi)難恢復(fù)策略 101檢查項(xiàng)3：災(zāi)難備份策略 103檢查項(xiàng)4：外包風(fēng)險 104 災(zāi)難恢復(fù)預(yù)案 105檢查項(xiàng)1：災(zāi)難恢復(fù)預(yù)案 105檢查項(xiàng)2：聯(lián)絡(luò)與通訊 106檢查項(xiàng)3：教育、培訓(xùn)和演練 107 107檢查項(xiàng)1：災(zāi)備策略的評估和維護(hù)更新 107檢查項(xiàng)2：災(zāi)難恢復(fù)預(yù)案的評估和維護(hù)更新 10810. 數(shù)據(jù)管理 109 數(shù)據(jù)管理制度和崗位 109檢查項(xiàng)1: 數(shù)據(jù)管理制度 109檢查項(xiàng)2 ：數(shù)據(jù)管理崗位 110 數(shù)據(jù)備份、恢復(fù)策略 110檢查項(xiàng)1：數(shù)據(jù)備份、轉(zhuǎn)儲策略 110檢查項(xiàng)2：數(shù)據(jù)恢復(fù)、抽檢策略 111 112檢查項(xiàng)1：介質(zhì)管理 112檢查項(xiàng)2：介質(zhì)的清理和銷毀 11311. 外包管理 114 114檢查項(xiàng)1：外包管理制度 114檢查項(xiàng)2：外包審批流程 114檢查項(xiàng)3：外包協(xié)議 115檢查項(xiàng)4：服務(wù)水平協(xié)議 115檢查項(xiàng)5：外包安全保密措施 116檢查項(xiàng)6：外包文檔管理 116 117檢查項(xiàng)1：外包服務(wù)商的評估 117檢查項(xiàng)2：外包項(xiàng)目的監(jiān)督管理 11712. 內(nèi)部審計(jì) 119 內(nèi)部審計(jì)管理 119檢查項(xiàng)1：內(nèi)部審計(jì)部門、崗位、人員和職責(zé) 119檢查項(xiàng)2：內(nèi)部審計(jì)制度和辦法 119 內(nèi)部審計(jì)要求 120檢查項(xiàng)1：內(nèi)部審計(jì)范圍和頻率 120檢查項(xiàng)2：內(nèi)部審計(jì)結(jié)果的有效性 12013. 外部審計(jì) 122 外部審計(jì)資質(zhì) 122檢查項(xiàng)1：外部審計(jì)機(jī)構(gòu)的資質(zhì) 122 外部審計(jì)要求 122檢查項(xiàng)1：商業(yè)銀行配合外部審計(jì)情況 122檢查項(xiàng)2：外部審計(jì)有效性 123檢查項(xiàng)3：外審過程中的保密要求 123第三部分 基礎(chǔ)設(shè)施 12514. 計(jì)算機(jī)機(jī)房 126 126檢查項(xiàng)1：計(jì)算機(jī)機(jī)房選址 126檢查項(xiàng)2：機(jī)房功能分區(qū) 127檢查項(xiàng)3：計(jì)算機(jī)機(jī)房基礎(chǔ)設(shè)施建設(shè) 127檢查項(xiàng)4：計(jì)算機(jī)機(jī)房的環(huán)境要求 130檢查項(xiàng)5：計(jì)算機(jī)機(jī)房日常維護(hù) 131 132檢查項(xiàng)1：計(jì)算機(jī)機(jī)房安全管理 132檢查項(xiàng)2：計(jì)算機(jī)機(jī)房集中監(jiān)控系統(tǒng) 133檢查項(xiàng)3：計(jì)算機(jī)機(jī)房安全區(qū)域訪問控制 134檢查項(xiàng)4：計(jì)算機(jī)機(jī)房運(yùn)行管理 135 136檢查項(xiàng)1：機(jī)房設(shè)備的環(huán)境安全 13615. 網(wǎng)絡(luò)通訊 137 內(nèi)控管理 137檢查項(xiàng)1：內(nèi)控制度 137檢查項(xiàng)2：人員管理 138檢查項(xiàng)3：訪問控制 138檢查項(xiàng)4：日志管理 139檢查項(xiàng)5：第三方管理 140檢查項(xiàng)6：服務(wù)外包 141檢查項(xiàng)7：文檔管理 141檢查項(xiàng)8：風(fēng)險評估 142 網(wǎng)絡(luò)運(yùn)行維護(hù) 143檢查項(xiàng)1：運(yùn)行監(jiān)控 143檢查項(xiàng)2：性能監(jiān)控 143檢查項(xiàng)3：流量監(jiān)控 144檢查項(xiàng)4：監(jiān)控預(yù)警 144檢查項(xiàng)5：性能調(diào)優(yōu) 144檢查項(xiàng)6：事件管理 145檢查項(xiàng)7：運(yùn)行檢查 145 網(wǎng)絡(luò)變更管理 146檢查項(xiàng)1：變更發(fā)起 146檢查項(xiàng)2：變更計(jì)劃 147檢查項(xiàng)3：變更測試 147檢查項(xiàng)4：變更審批 147檢查項(xiàng)5：變更實(shí)施 148 網(wǎng)絡(luò)服務(wù)可用性 149檢查項(xiàng)1：容量管理 149檢查項(xiàng)2：冗余管理 149檢查項(xiàng)3：帶外管理 150檢查項(xiàng)4：壓力測試 151檢查項(xiàng)5：應(yīng)急管理 151 網(wǎng)絡(luò)安全技術(shù) 151檢查項(xiàng)1：結(jié)構(gòu)安全 151檢查項(xiàng)2：物理安全 153檢查項(xiàng)3：傳輸安全 153檢查項(xiàng)4：訪問控制 154檢查項(xiàng)5：接入安全 155檢查項(xiàng)6：網(wǎng)絡(luò)邊界安全 156檢查項(xiàng)7：入侵檢測防范 157檢查項(xiàng)8：惡意代碼防范 158檢查項(xiàng)9：網(wǎng)絡(luò)設(shè)備防護(hù) 158檢查項(xiàng)10：網(wǎng)絡(luò)安全測試 160檢查項(xiàng)11：安全審計(jì)日志 161檢查項(xiàng)12：安全檢查 16216. 操作系統(tǒng) 163 163檢查項(xiàng)1：管理制度 163檢查項(xiàng)2：賬號、密碼管理 163檢查項(xiàng)3：賬號、密碼管理檢查 165 165檢查項(xiàng)1：訪問控制策略 165檢查項(xiàng)2：用戶登錄行為管理 166檢查項(xiàng)3：登錄失敗日志管理 166檢查項(xiàng)4：最小化訪問 167 168檢查項(xiàng)1：遠(yuǎn)程管理制度 168檢查項(xiàng)2：遠(yuǎn)程維護(hù)管理 169檢查項(xiàng)3：遠(yuǎn)程維護(hù)審查 169 170檢查項(xiàng)1：系統(tǒng)性能監(jiān)控 170檢查項(xiàng)2：補(bǔ)丁及漏洞管理 170檢查項(xiàng)3：日常維護(hù)管理 171檢查項(xiàng)4：系統(tǒng)備份和故障恢復(fù) 172檢查項(xiàng)5：病毒及惡意代碼管理 172檢查項(xiàng)6：定時進(jìn)程設(shè)置管理 173檢查項(xiàng)7：系統(tǒng)審計(jì)功能 17317. 數(shù)據(jù)庫管理系統(tǒng) 175 175檢查項(xiàng)1：身份認(rèn)證 175檢查項(xiàng)2：授權(quán)控制 176檢查項(xiàng)3：遠(yuǎn)程訪問 177檢查項(xiàng)4：安全參數(shù)設(shè)置 178 178檢查項(xiàng)1：數(shù)據(jù)安全 178檢查項(xiàng)2：審計(jì)功能 179檢查項(xiàng)3：性能管理 180檢查項(xiàng)4：補(bǔ)丁升級 181 181檢查項(xiàng)1：備份和恢復(fù) 181檢查項(xiàng)2：連續(xù)性和應(yīng)急管理 18218. 第三方中間件 184 產(chǎn)品管理 184檢查項(xiàng)1：中間件測試 184檢查項(xiàng)2：中間件管理 184檢查項(xiàng)3：中間件與業(yè)務(wù)系統(tǒng)架構(gòu) 185 運(yùn)行管理 185檢查項(xiàng)1：維護(hù)流程和操作手冊 185檢查項(xiàng)2：中間件配置管理 185檢查項(xiàng)3：中間件日志管理的程序 186檢查項(xiàng)4：中間件的性能監(jiān)控 186檢查項(xiàng)5：中間件產(chǎn)生的事件和問題管理 187檢查項(xiàng)6：中間件的變更 187檢查項(xiàng)7：單點(diǎn)故障問題和負(fù)載均衡 187檢查項(xiàng)8：壓力測試 188第四部分 應(yīng)用系統(tǒng) 18919. 應(yīng)用系統(tǒng) 190 應(yīng)用系統(tǒng)管理 190檢查項(xiàng)1：業(yè)務(wù)管理辦法與操作流程 190檢查項(xiàng)2：重要應(yīng)用系統(tǒng)評估 190檢查項(xiàng)3：應(yīng)用系統(tǒng)版本管理 191檢查項(xiàng)4：應(yīng)用系統(tǒng)培訓(xùn)教育 192 應(yīng)用系統(tǒng)操作 192檢查項(xiàng)1：終端用戶管理 192檢查項(xiàng)2：訪問控制與授權(quán)管理 193檢查項(xiàng)3：數(shù)據(jù)保密處理 194檢查項(xiàng)4：數(shù)據(jù)完整性處理 195檢查項(xiàng)5：數(shù)據(jù)準(zhǔn)確性處理 195檢查項(xiàng)6：日志管理機(jī)制 196檢查項(xiàng)7：備份、恢復(fù)機(jī)制 197檢查項(xiàng)8：文檔資料管理 198檢查項(xiàng)9：內(nèi)部審計(jì)的參與 19920. 電子銀行 200 電子銀行業(yè)務(wù)合規(guī)性 200檢查項(xiàng)1：電子銀行業(yè)務(wù)合規(guī)性 200 電子銀行風(fēng)險管理體系 201檢查項(xiàng)1：電子銀行風(fēng)險管理體系 201 電子銀行安全管理 202檢查項(xiàng)1：電子銀行安全策略管理 202檢查項(xiàng)2：電子銀行安全措施 203檢查項(xiàng)3：電子銀行安全監(jiān)控 204檢查項(xiàng)4：電子銀行安全評估 204 電子銀行可用性管理 205檢查項(xiàng)1：電子銀行基礎(chǔ)設(shè)施 205檢查項(xiàng)2：電子銀行性能監(jiān)測和評估 205 電子銀行應(yīng)急管理 206檢查項(xiàng)1： 電子銀行應(yīng)急預(yù)案 206檢查項(xiàng)2：電子銀行應(yīng)急演練 20721. 銀行卡系統(tǒng) 208 銀行卡系統(tǒng)管理 208檢查項(xiàng)1：銀行卡系統(tǒng)容量的合理規(guī)劃 208檢查項(xiàng)2：銀行卡系統(tǒng)物理設(shè)備風(fēng)險和故障處理 209檢查項(xiàng)3：銀行卡交易監(jiān)控 209檢查項(xiàng)4：賬戶密碼和交易數(shù)據(jù)的存儲和傳輸 210檢查項(xiàng)5：銀行卡系統(tǒng)應(yīng)急預(yù)案 211 終端設(shè)備 212檢查項(xiàng)1：自助銀行機(jī)具和安裝環(huán)境的物理安全 212檢查項(xiàng)2：自助銀行機(jī)具的通信安全 212檢查項(xiàng)3：自助銀行機(jī)具的安全裝置 213檢查項(xiàng)4：自助銀行業(yè)務(wù)操作流程（機(jī)具軟件） 213檢查項(xiàng)5：自助銀行機(jī)具的巡查維護(hù) 214檢查項(xiàng)6：POS機(jī) 214 自助銀行監(jiān)控 215檢查項(xiàng)1：自助銀行設(shè)備日常運(yùn)行的監(jiān)控情況 215檢查項(xiàng)2：監(jiān)控中心和監(jiān)控設(shè)備 215檢查項(xiàng)3：自助銀行監(jiān)控發(fā)現(xiàn)問題的處置情況 216檢查項(xiàng)4：自助銀行設(shè)施安全評估（信息科技方面） 21622. 第三方存管系統(tǒng) 217 管理架構(gòu)和職責(zé) 217檢查項(xiàng)1：管理架構(gòu)與崗位職責(zé)分工 217 系統(tǒng)功能 217檢查項(xiàng)1：系統(tǒng)功能 217 系統(tǒng)一般安全與賬戶處理 218檢查項(xiàng)1：賬戶沖正處理 218檢查項(xiàng)2：網(wǎng)絡(luò)訪問控制與病毒防范 218 數(shù)據(jù)交換 219檢查項(xiàng)1：數(shù)據(jù)交換安全性 219 運(yùn)行維護(hù) 220檢查項(xiàng)1：運(yùn)行維護(hù)安全性 220 系統(tǒng)備份 220檢查項(xiàng)1：系統(tǒng)備份安全性 220 應(yīng)急恢復(fù)與事故處理 221檢查項(xiàng)1：應(yīng)急恢復(fù)與事故處理流程 221 系統(tǒng)測試 221檢查項(xiàng)1：系統(tǒng)測試 221 臨時派出柜臺 222檢查項(xiàng)1：系統(tǒng)派出柜臺安全性 222附錄 22323. 常用檢查方法 224 問卷與函證 224 訪談 225 查閱 226 觀察 227 測試 227 分析性復(fù)核 230 評審 23124. 主要網(wǎng)絡(luò)設(shè)備常用操作 232 Cisco設(shè)備常用操作 232交換機(jī) 232路由器 233防火墻 234 H3C設(shè)備常用操作 234交換機(jī) 234路由器 236防火墻 23725. 主要操作系統(tǒng)常用操作 238 AIX系統(tǒng)檢查常用操作 238 HP/UX系統(tǒng)檢查常用操作 246 Solaris系統(tǒng)檢查常用操作 250 Windows系統(tǒng)檢查常用操作 25126. 主要數(shù)據(jù)庫管理系統(tǒng)常用操作 256 DB2 系統(tǒng)檢查常用操作 256 Sybase 系統(tǒng)檢查常用操作 257 Oracle 系統(tǒng)檢查常用操作 257 Informix 系統(tǒng)檢查常用操作 259 SQL SERVER系統(tǒng)檢查常用