【正文】 訪問等記錄；日志信息應(yīng)定期查看和分析。重要生產(chǎn)系統(tǒng)、網(wǎng)絡(luò)設(shè)備的超級(jí)用戶應(yīng)制作密碼信封交由專人管理，進(jìn)行交接和封存登記，密碼信封應(yīng)加蓋騎縫章；各類生產(chǎn)系統(tǒng)密碼信封應(yīng)按系統(tǒng)按用戶分類封存；確保密碼信封的物理安全；在使用時(shí)應(yīng)有明確的授權(quán)機(jī)制。制定針對(duì)使用最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。 機(jī)構(gòu)所有設(shè)備和終端使用總行統(tǒng)一下發(fā)的McaFee防病毒產(chǎn)品并自動(dòng)及時(shí)升級(jí)防病毒代碼庫(kù)；應(yīng)指定專人每天定時(shí)監(jiān)控防病毒情況，每月生成防病毒月報(bào)，針對(duì)發(fā)現(xiàn)病毒爆發(fā)的情況應(yīng)制定相應(yīng)的處理跟蹤和預(yù)警流程。備份數(shù)據(jù)的邏輯安全：備份數(shù)據(jù)應(yīng)確保邏輯網(wǎng)絡(luò)訪問安全；禁止權(quán)限不明和未授權(quán)的訪問、拷貝、篡改和刪除；應(yīng)建立明確的網(wǎng)絡(luò)訪問控制和賬戶控制策略。備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。涉及系統(tǒng)升級(jí)等比較復(fù)雜的生產(chǎn)變更必須制定詳細(xì)的變更方案和操作流程，確保系統(tǒng)安全。生產(chǎn)系統(tǒng)的變更是指各類生產(chǎn)系統(tǒng)、生產(chǎn)環(huán)境的各種變動(dòng)，包括生產(chǎn)系統(tǒng)、生產(chǎn)環(huán)境涉及到的所有的硬件設(shè)備、系統(tǒng)軟件、應(yīng)用軟件（包括應(yīng)用執(zhí)行程序）、工具軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和機(jī)房設(shè)備等。 其目標(biāo)是在系統(tǒng)運(yùn)行過程中，通過系統(tǒng)監(jiān)控，及時(shí)發(fā)現(xiàn)可能存在的問題，確保生產(chǎn)系統(tǒng)的穩(wěn)定和安全。做好生產(chǎn)系統(tǒng)的運(yùn)行和維護(hù)工作，確保系統(tǒng)的正常運(yùn)行。（8）必須做好系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的常規(guī)清理方案，并按方案嚴(yán)格執(zhí)行。（4）對(duì)生產(chǎn)系統(tǒng)進(jìn)行維護(hù)之前，必須有詳細(xì)的維護(hù)操作方案、步驟和維護(hù)目標(biāo)。值班人員應(yīng)把所有可疑故障和實(shí)際發(fā)生的事故記錄下來，并同時(shí)記錄處理過程、處理人、處理時(shí)間、影響業(yè)務(wù)時(shí)間。網(wǎng)點(diǎn)錄像監(jiān)控設(shè)備的日常管理和調(diào)閱應(yīng)由專人負(fù)責(zé)和授權(quán)，應(yīng)覆蓋重要區(qū)域，監(jiān)控?cái)?shù)據(jù)應(yīng)保存達(dá)到一個(gè)月以上。建立設(shè)備維修授權(quán)表，只有得到授權(quán)的維護(hù)人員才能夠?qū)υO(shè)備進(jìn)行維修和保養(yǎng)。A、B、C類機(jī)房的監(jiān)控信息必須到達(dá)保衛(wèi)部門的監(jiān)控室。錄像記錄方式為24小時(shí)實(shí)時(shí)錄像。中心機(jī)房、電池室等空調(diào)區(qū)域應(yīng)配備防漏水裝置并確保漏水報(bào)警裝置的有效性；機(jī)房?jī)?nèi)地面、天花板和墻面應(yīng)杜絕滲漏水隱患。機(jī)房消防系統(tǒng)的滅火介質(zhì)應(yīng)符合機(jī)房要求，定期檢測(cè)消防報(bào)警系統(tǒng)各檢測(cè)點(diǎn)和噴淋介質(zhì)（如鋼瓶壓力等）的有效性；消防開關(guān)應(yīng)設(shè)置為手動(dòng)狀態(tài)；火災(zāi)報(bào)警系統(tǒng)和自動(dòng)滅火系統(tǒng)應(yīng)與門禁系統(tǒng)聯(lián)動(dòng)；中心機(jī)房應(yīng)配備專用空氣呼吸器或氧氣呼吸器。總行、省直分行中心機(jī)房、電池室應(yīng)配備機(jī)房專用精密空調(diào)，省轄行應(yīng)配備精密機(jī)房專用空調(diào)，或能24運(yùn)行、自啟動(dòng)的商用空調(diào)；機(jī)房空調(diào)四周應(yīng)設(shè)置防水隔離壩，并采取足夠的防護(hù)措施以保證防空調(diào)漏水的發(fā)生和及時(shí)報(bào)警；A類、B類機(jī)房精密空調(diào)控制模塊配置應(yīng)為N+1冗余方式。各類監(jiān)控報(bào)警設(shè)備、消防設(shè)備、值班照明、應(yīng)急照明等應(yīng)與機(jī)房設(shè)備采用不同UPS供電。中心機(jī)房配電系統(tǒng)應(yīng)為雙路供電，并設(shè)置防雷擊保護(hù)裝置。機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)。分行中心計(jì)算機(jī)機(jī)房建造完工后，應(yīng)通過有資質(zhì)的質(zhì)檢部門和消防部門以及上級(jí)行的科技部門、審計(jì)部門、保衛(wèi)部門等有關(guān)部門的檢查，并出具檢查報(bào)告。 機(jī)房物理環(huán)境安全審計(jì)計(jì)算機(jī)機(jī)房包括：總行數(shù)據(jù)中心機(jī)房、總行各類生產(chǎn)設(shè)備機(jī)房、省分行、直屬分行、省轄行中心機(jī)房。應(yīng)建立合適的操作流程來保護(hù)計(jì)算機(jī)介質(zhì)（磁帶、軟盤、盒式磁帶）、輸入/輸出數(shù)據(jù)和系統(tǒng)文件免受損壞、盜用和未授權(quán)的訪問。涉及機(jī)密資源的設(shè)備、介質(zhì)等應(yīng)統(tǒng)一編號(hào)，并標(biāo)明備份日期、密級(jí)以及保密期限。信息資產(chǎn)分級(jí)標(biāo)準(zhǔn)級(jí)別取值參考標(biāo)準(zhǔn)描述保密性Confidentiality完整性Integrity可用性Availability一般資產(chǎn)人員/服務(wù)一般資產(chǎn)人員/服務(wù)一般資產(chǎn)人員/服務(wù)5核心商密：包含組織最重要的秘密，關(guān)系組織未來發(fā)展和前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害可以接觸/存取核心商密的人員或服務(wù)完整性價(jià)值極高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)該人員或服務(wù)所擁有的知識(shí)、能力或經(jīng)驗(yàn)對(duì)我行運(yùn)營(yíng)及發(fā)展特別重要可用性價(jià)值非常高，%以上，或系統(tǒng)一次中斷時(shí)間小于10分鐘該類人員或服務(wù)的響應(yīng)要求特別高（要求7*24現(xiàn)場(chǎng)工作）4重要商密：包含組織的重要秘密，其泄露會(huì)使組織的安全和利益受到嚴(yán)重?fù)p害可以接觸/存取重要商密的人員或服務(wù)完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)該人員或服務(wù)所擁有的知識(shí)、能力或經(jīng)驗(yàn)對(duì)我行運(yùn)營(yíng)及發(fā)展非常重要可用性價(jià)值較高，%以上，或系統(tǒng)一次中斷時(shí)間小于30分鐘該類人員或服務(wù)的響應(yīng)要求非常高（要求7*24電話待命，并能在10分鐘內(nèi)趕到現(xiàn)場(chǎng)）3一般商密：包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害可以接觸/存取一般商密的人員或服務(wù)完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)該人員或服務(wù)所擁有的知識(shí)、能力或經(jīng)驗(yàn)對(duì)我行運(yùn)營(yíng)及發(fā)展比較重要可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到99%以上，或系統(tǒng)一次中斷時(shí)間小于60分鐘該類人員或服務(wù)的響應(yīng)要求比較高（要求7*24電話待命，并能在1小時(shí)內(nèi)趕到現(xiàn)場(chǎng)）2內(nèi)部使用：僅包含能在組織內(nèi)部或在組織內(nèi)某一部門內(nèi)公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害可以接觸/存取內(nèi)部信息的人員或服務(wù)完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)該人員或服務(wù)所擁有的知識(shí)、能力或經(jīng)驗(yàn)對(duì)我行運(yùn)營(yíng)及發(fā)展作用一般可用性價(jià)值一般該類人員或服務(wù)的響應(yīng)要求一般（要求7*24電話支持，要求2天內(nèi)趕到現(xiàn)場(chǎng)）1公開：可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等不能接觸/存取任何涉密信息的人員或服務(wù)完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略該人員或服務(wù)所擁有的知識(shí)、能力或經(jīng)驗(yàn)對(duì)我行運(yùn)營(yíng)及發(fā)展可以忽略可用性價(jià)值可以忽略該類人員或服務(wù)的響應(yīng)要求較低交行常用信息資產(chǎn)涉密分級(jí)參考：（1）公開信息：交行宣傳材料、公開的行務(wù)信息、公開的財(cái)務(wù)報(bào)告；（2）內(nèi)部信息：工作動(dòng)態(tài)、行務(wù)信息、操作信息、一般工作人員聯(lián)系方法；（3）一般商密：交行規(guī)劃、計(jì)劃、系統(tǒng)維護(hù)文檔、應(yīng)急預(yù)案、審計(jì)報(bào)告；（4）重要商密：開發(fā)文檔資料、客戶個(gè)人信息、客戶帳務(wù)信息、交易流水、訪問口令、網(wǎng)絡(luò)配置信息、系統(tǒng)日志、維護(hù)日志；（5）核心商密：交行經(jīng)營(yíng)策略、信息安全方案、網(wǎng)絡(luò)拓?fù)?、加解密算法及程序、密鑰。實(shí)物資產(chǎn)指與信息處理相關(guān)的各類固定資產(chǎn)，如計(jì)算機(jī)、網(wǎng)絡(luò)通信設(shè)備、存儲(chǔ)設(shè)備、機(jī)房及機(jī)房設(shè)施等?？傂行畔⒓夹g(shù)管理部是全行信息資產(chǎn)的信息安全歸口管理部門，負(fù)責(zé)制定信息資產(chǎn)的安全保護(hù)策略，監(jiān)控信息資產(chǎn)安全管理的有效性；定期匯總分析全行信息資產(chǎn)保護(hù)情況，向總行信息安全保障領(lǐng)導(dǎo)小組、總行風(fēng)險(xiǎn)管理委員會(huì)和上級(jí)監(jiān)管部門報(bào)告交行信息安全管理狀況。確需外協(xié)單位人員參與產(chǎn)品開發(fā)工作的，必須有交行工作人員全程陪同，并限定外協(xié)單位人員的訪問權(quán)限，嚴(yán)禁外協(xié)單位開發(fā)人員在無(wú)人陪同的情況下進(jìn)入開發(fā)或生產(chǎn)環(huán)境。對(duì)需要外協(xié)單位提供技術(shù)支持的部分，原則上應(yīng)該抽象為相對(duì)獨(dú)立的產(chǎn)品，由外協(xié)單位提供產(chǎn)品服務(wù)。 保密協(xié)議：重要崗位人員應(yīng)與銀行簽訂保密協(xié)議，或在合同中注明保密條款。 人員安全包含安全責(zé)任、人員錄用、保密協(xié)議等方面內(nèi)容員工工作職責(zé)：對(duì)信息技術(shù)人員應(yīng)有明確的工作職責(zé)和崗位操作規(guī)程；應(yīng)將有關(guān)重要工作進(jìn)行職責(zé)分離（如：開發(fā)人員與生產(chǎn)維護(hù)人員分開，系統(tǒng)管理人員與網(wǎng)絡(luò)管理人員分開），相互制約。各級(jí)行應(yīng)定期組織對(duì)本行信息安全員的技術(shù)培訓(xùn)、管理培訓(xùn)和考核?？萍既藛T配置：加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)。 明確信息安全相關(guān)崗位的角色和職責(zé)，其目標(biāo)是降低由于信息安全的角色和責(zé)任混亂導(dǎo)致的人為錯(cuò)誤、盜竊、詐騙或設(shè)備誤用等產(chǎn)生的風(fēng)險(xiǎn)。信息安全保障領(lǐng)導(dǎo)小組的工作職責(zé)是：領(lǐng)導(dǎo)全行信息安全保障工作，研究信息安全保障的形勢(shì)和策略，部署信息安全保障任務(wù)，審查信息安全保障規(guī)劃和信息安全保障重大項(xiàng)目方案，檢查重要業(yè)務(wù)應(yīng)用系統(tǒng)、核心網(wǎng)絡(luò)系統(tǒng)的應(yīng)急預(yù)案及落實(shí)情況，處理重大信息安全事件，定期召開工作例會(huì)，聽取關(guān)于信息安全方面的情況報(bào)告。 組織與人員審計(jì)組織與人員審計(jì)其目標(biāo)就是保證安全工作的人力資源要求。信息安全檢查：信息技術(shù)部門及安全員應(yīng)定期進(jìn)行安全檢查（包含省轄行，分行技術(shù)部，各網(wǎng)點(diǎn)），應(yīng)有詳細(xì)的檢查報(bào)告；對(duì)安全檢查的結(jié)果應(yīng)進(jìn)行后續(xù)風(fēng)險(xiǎn)評(píng)估，建立問題跟蹤和后評(píng)估機(jī)制，相關(guān)文檔資料應(yīng)齊全詳細(xì)。各機(jī)構(gòu)和各崗位人員應(yīng)嚴(yán)格遵從信息安全策略、規(guī)范、操作流程等各項(xiàng)規(guī)章制度。 安全策略的制定IT安全策略制定：制定全面、詳細(xì)、完整的信息安全策略和規(guī)范；信息安全策略應(yīng)涉及以下領(lǐng)域：安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營(yíng)管理、訪問控制管理、系統(tǒng)開發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。根據(jù)每次審計(jì)要求與被審計(jì)對(duì)象情況，可以選擇全部或部分內(nèi)容作為本次審計(jì)內(nèi)容。 .2 IT審計(jì)方式 審計(jì)方式有多重形式，根據(jù)現(xiàn)場(chǎng)審計(jì)情況的不同，采取不同的審計(jì)方式，一般IT審計(jì)方式包括：與分行相關(guān)人員會(huì)談溝通、問卷調(diào)查、數(shù)據(jù)分析、資料查證、現(xiàn)場(chǎng)檢查等多種方式進(jìn)行。完成審計(jì)方案和審計(jì)通知后，按照發(fā)文程序報(bào)總經(jīng)理批準(zhǔn)，并發(fā)送審計(jì)通知。 審計(jì)準(zhǔn)備會(huì) 在現(xiàn)場(chǎng)審計(jì)方案草擬后，分管總經(jīng)理組織審計(jì)小組成員，召開審計(jì)準(zhǔn)備會(huì)。 現(xiàn)場(chǎng)審計(jì)進(jìn)場(chǎng)前準(zhǔn)備工作主要由主審人負(fù)責(zé) 資料收集審計(jì)前需收集被審計(jì)單位相關(guān)資料如下：（1）收集被審計(jì)單位的信息科技和電子渠道業(yè)務(wù)相關(guān)的管理制度、規(guī)定； （2）信息系統(tǒng)安全管理和電子渠道業(yè)務(wù)組織架構(gòu)及其人員名單。對(duì)于風(fēng)險(xiǎn)級(jí)別較高的問題，形成專項(xiàng)報(bào)告，以審計(jì)情況等專報(bào)形式提交給總行高管層,同時(shí)抄送總行相關(guān)管理部門。 IT審計(jì)流程 IT審計(jì)工作程序可劃分四個(gè)階段：審計(jì)準(zhǔn)備階段、審計(jì)實(shí)施階段、審計(jì)總結(jié)階段和審計(jì)追蹤階段。檢查企業(yè)網(wǎng)上銀行、個(gè)人網(wǎng)上銀行和網(wǎng)上支付業(yè)務(wù)操作流程、崗位制約等風(fēng)險(xiǎn)控制情況。檢查信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用和管理等方面是否符合現(xiàn)行的法律規(guī)定以及合同約定的安全要求。檢查應(yīng)用系統(tǒng)開發(fā)的立項(xiàng)、安全需求、測(cè)試、系統(tǒng)文件安全、開發(fā)控制等方面的安全情況。檢查系統(tǒng)運(yùn)行、監(jiān)控、故障處理以及數(shù)據(jù)備份等方面的安全管理。檢查相應(yīng)的管理辦法和管理流程。檢查安全機(jī)構(gòu)工作的有效性。檢查網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、環(huán)境設(shè)施和電子渠道業(yè)務(wù)等方面的管理制度制訂及執(zhí)行情況。（9）負(fù)責(zé)審計(jì)支持系統(tǒng)管理、運(yùn)行維護(hù)工作。計(jì)算機(jī)應(yīng)用的方式也從過去的單點(diǎn)單機(jī)處理方式逐步提高為全國(guó)大集中、24小時(shí)自助銀行、核心業(yè)務(wù)系統(tǒng)處理的方式。目前我行計(jì)算機(jī)應(yīng)用幾乎涵蓋了所有的銀行業(yè)務(wù)，并依靠計(jì)算機(jī)技術(shù)的支持，不斷創(chuàng)新銀行業(yè)務(wù)。（5）對(duì)地區(qū)和省直分行所在地城市審計(jì)部，信息系統(tǒng)安全審計(jì)工作進(jìn)行指導(dǎo)，并對(duì)其報(bào)送的信息系統(tǒng)專項(xiàng)審計(jì)報(bào)告進(jìn)行審閱，提出意見；（6）組織和實(shí)施全行性的信息系統(tǒng)和電子渠道業(yè)務(wù)審計(jì)；（7）負(fù)責(zé)省直分行及部分省轄行IT業(yè)務(wù)及電子渠道業(yè)務(wù)現(xiàn)場(chǎng)審計(jì)；（8）收集、分析、歸納、匯總IT業(yè)務(wù)和電子渠道業(yè)務(wù)審計(jì)信息，撰寫IT業(yè)務(wù)和電子渠道業(yè)務(wù)審計(jì)分析報(bào)告和工作總結(jié)等。 IT審計(jì)范圍按照商業(yè)銀行風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)原則，IT審計(jì)包含科技應(yīng)用和電子渠道業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)控制內(nèi)容，其審計(jì)范圍如下： （1）信息安全策略與制度。檢查信息安全機(jī)構(gòu)和人員配置、職責(zé)及工作情況。檢查信息資產(chǎn)的使用與管理。（5）通信與運(yùn)營(yíng)管理。（7）系統(tǒng)的開發(fā)與維護(hù)。（9）符合性。（11）網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理。（13）太平洋卡制作和使用管理情況。審計(jì)總結(jié)階段工作主要包含：根據(jù)審計(jì)標(biāo)準(zhǔn)程式，對(duì)審計(jì)對(duì)象進(jìn)行評(píng)分，并作總體評(píng)價(jià)；召開審計(jì)分析會(huì)，對(duì)發(fā)現(xiàn)的問題進(jìn)行剖析，并對(duì)確定問題的風(fēng)險(xiǎn)級(jí)別；撰寫審計(jì)報(bào)告，經(jīng)二級(jí)部高級(jí)經(jīng)理審核，并經(jīng)審計(jì)部領(lǐng)導(dǎo)審批后發(fā)送分行?，F(xiàn)場(chǎng)審計(jì)準(zhǔn)備工作主要包含：收集分析與現(xiàn)場(chǎng)審計(jì)范圍相關(guān)的各類資料和數(shù)據(jù)，查找審計(jì)的可疑點(diǎn)，確定審計(jì)重點(diǎn)，制定審計(jì)方案，召開審計(jì)前準(zhǔn)備會(huì)議，審計(jì)方案審批，發(fā)出審計(jì)通知書等。附表2人員崗位及職責(zé)分工表被調(diào)查單位： 填表日期：200 年 月 日 填表人：序號(hào)姓名崗位管理的內(nèi)容備注主管內(nèi)容兼管內(nèi)容 填表說明：該表包含電腦部門所有人員，每人信息填寫一行。擬寫審計(jì)通知書，審計(jì)通知書包括：審計(jì)小組人員、審計(jì)時(shí)間、審計(jì)范圍和審計(jì)主要內(nèi)容，以及需被審計(jì)單位提供的資料清單。 .1 IT審計(jì)依據(jù)審計(jì)依據(jù)包括：年度審計(jì)部工作計(jì)劃，《交通銀行內(nèi)部控制評(píng)價(jià)辦法》，《交通銀行審計(jì)標(biāo)準(zhǔn)程式》的附件7《信息系統(tǒng)安全》，電子渠道業(yè)務(wù)審計(jì)要點(diǎn)，國(guó)家相關(guān)部門制訂的有關(guān)信息系統(tǒng)和電子渠道業(yè)務(wù)的法規(guī)、管理制度、規(guī)定、辦法和指引，交通銀行制訂的信息系統(tǒng)和電子渠道業(yè)務(wù)的各項(xiàng)規(guī)章制度。 電子渠道業(yè)務(wù)審計(jì)內(nèi)容包括：組織與制度建設(shè)、電子渠道風(fēng)險(xiǎn)管理、企業(yè)網(wǎng)上銀行、個(gè)人網(wǎng)上銀行、自助銀行、POS系統(tǒng)、電話銀行、第三方服務(wù)管理、業(yè)務(wù)應(yīng)急管理、數(shù)據(jù)備份管理等方面。信息安全的方針策略是在