【正文】 檢查項2：變更計劃 147檢查項3：變更測試 147檢查項4：變更審批 147檢查項5：變更實施 148 網(wǎng)絡服務可用性 149檢查項1：容量管理 149檢查項2：冗余管理 149檢查項3：帶外管理 150檢查項4：壓力測試 151檢查項5：應急管理 151 網(wǎng)絡安全技術(shù) 151檢查項1：結(jié)構(gòu)安全 151檢查項2：物理安全 153檢查項3：傳輸安全 153檢查項4：訪問控制 154檢查項5：接入安全 155檢查項6：網(wǎng)絡邊界安全 156檢查項7：入侵檢測防范 157檢查項8：惡意代碼防范 158檢查項9：網(wǎng)絡設備防護 158檢查項10：網(wǎng)絡安全測試 160檢查項11：安全審計日志 161檢查項12：安全檢查 16216. 操作系統(tǒng) 163 163檢查項1：管理制度 163檢查項2：賬號、密碼管理 163檢查項3：賬號、密碼管理檢查 165 165檢查項1：訪問控制策略 165檢查項2：用戶登錄行為管理 166檢查項3：登錄失敗日志管理 166檢查項4：最小化訪問 167 168檢查項1：遠程管理制度 168檢查項2：遠程維護管理 169檢查項3：遠程維護審查 169 170檢查項1：系統(tǒng)性能監(jiān)控 170檢查項2：補丁及漏洞管理 170檢查項3：日常維護管理 171檢查項4：系統(tǒng)備份和故障恢復 172檢查項5：病毒及惡意代碼管理 172檢查項6：定時進程設置管理 173檢查項7：系統(tǒng)審計功能 17317. 數(shù)據(jù)庫管理系統(tǒng) 175 175檢查項1：身份認證 175檢查項2：授權(quán)控制 176檢查項3：遠程訪問 177檢查項4：安全參數(shù)設置 178 178檢查項1：數(shù)據(jù)安全 178檢查項2：審計功能 179檢查項3：性能管理 180檢查項4：補丁升級 181 181檢查項1：備份和恢復 181檢查項2：連續(xù)性和應急管理 18218. 第三方中間件 184 產(chǎn)品管理 184檢查項1：中間件測試 184檢查項2：中間件管理 184檢查項3：中間件與業(yè)務系統(tǒng)架構(gòu) 185 運行管理 185檢查項1：維護流程和操作手冊 185檢查項2：中間件配置管理 185檢查項3：中間件日志管理的程序 186檢查項4：中間件的性能監(jiān)控 186檢查項5：中間件產(chǎn)生的事件和問題管理 187檢查項6：中間件的變更 187檢查項7：單點故障問題和負載均衡 187檢查項8：壓力測試 188第四部分 應用系統(tǒng) 18919. 應用系統(tǒng) 190 應用系統(tǒng)管理 190檢查項1：業(yè)務管理辦法與操作流程 190檢查項2：重要應用系統(tǒng)評估 190檢查項3：應用系統(tǒng)版本管理 191檢查項4：應用系統(tǒng)培訓教育 192 應用系統(tǒng)操作 192檢查項1：終端用戶管理 192檢查項2：訪問控制與授權(quán)管理 193檢查項3：數(shù)據(jù)保密處理 194檢查項4：數(shù)據(jù)完整性處理 195檢查項5：數(shù)據(jù)準確性處理 195檢查項6：日志管理機制 196檢查項7：備份、恢復機制 197檢查項8：文檔資料管理 198檢查項9：內(nèi)部審計的參與 19920. 電子銀行 200 電子銀行業(yè)務合規(guī)性 200檢查項1：電子銀行業(yè)務合規(guī)性 200 電子銀行風險管理體系 201檢查項1：電子銀行風險管理體系 201 電子銀行安全管理 202檢查項1：電子銀行安全策略管理 202檢查項2：電子銀行安全措施 203檢查項3：電子銀行安全監(jiān)控 204檢查項4：電子銀行安全評估 204 電子銀行可用性管理 205檢查項1：電子銀行基礎設施 205檢查項2：電子銀行性能監(jiān)測和評估 205 電子銀行應急管理 206檢查項1： 電子銀行應急預案 206檢查項2：電子銀行應急演練 20721. 銀行卡系統(tǒng) 208 銀行卡系統(tǒng)管理 208檢查項1：銀行卡系統(tǒng)容量的合理規(guī)劃 208檢查項2：銀行卡系統(tǒng)物理設備風險和故障處理 209檢查項3：銀行卡交易監(jiān)控 209檢查項4：賬戶密碼和交易數(shù)據(jù)的存儲和傳輸 210檢查項5：銀行卡系統(tǒng)應急預案 211 終端設備 212檢查項1：自助銀行機具和安裝環(huán)境的物理安全 212檢查項2：自助銀行機具的通信安全 212檢查項3：自助銀行機具的安全裝置 213檢查項4：自助銀行業(yè)務操作流程（機具軟件） 213檢查項5：自助銀行機具的巡查維護 214檢查項6：POS機 214 自助銀行監(jiān)控 215檢查項1：自助銀行設備日常運行的監(jiān)控情況 215檢查項2：監(jiān)控中心和監(jiān)控設備 215檢查項3：自助銀行監(jiān)控發(fā)現(xiàn)問題的處置情況 216檢查項4：自助銀行設施安全評估（信息科技方面） 21622. 第三方存管系統(tǒng) 217 管理架構(gòu)和職責 217檢查項1：管理架構(gòu)與崗位職責分工 217 系統(tǒng)功能 217檢查項1：系統(tǒng)功能 217 系統(tǒng)一般安全與賬戶處理 218檢查項1：賬戶沖正處理 218檢查項2：網(wǎng)絡訪問控制與病毒防范 218 數(shù)據(jù)交換 219檢查項1：數(shù)據(jù)交換安全性 219 運行維護 220檢查項1：運行維護安全性 220 系統(tǒng)備份 220檢查項1：系統(tǒng)備份安全性 220 應急恢復與事故處理 221檢查項1：應急恢復與事故處理流程 221 系統(tǒng)測試 221檢查項1：系統(tǒng)測試 221 臨時派出柜臺 222檢查項1：系統(tǒng)派出柜臺安全性 222附錄 22323. 常用檢查方法 224 問卷與函證 224 訪談 225 查閱 226 觀察 227 測試 227 分析性復核 230 評審 23124. 主要網(wǎng)絡設備常用操作 232 Cisco設備常用操作 232交換機 232路由器 233防火墻 234 H3C設備常用操作 234交換機 234路由器 236防火墻 23725. 主要操作系統(tǒng)常用操作 238 AIX系統(tǒng)檢查常用操作 238 HP/UX系統(tǒng)檢查常用操作 246 Solaris系統(tǒng)檢查常用操作 250 Windows系統(tǒng)檢查常用操作 25126. 主要數(shù)據(jù)庫管理系統(tǒng)常用操作 256 DB2 系統(tǒng)檢查常用操作 256 Sybase 系統(tǒng)檢查常用操作 257 Oracle 系統(tǒng)檢查常用操作 257 Informix 系統(tǒng)檢查常用操作 259 SQL SERVER系統(tǒng)檢查常用操作 261第一部分 概述1. 指南說明 目的及適用范圍信息科技與銀行業(yè)務高度融合，已成為銀行業(yè)金融機構(gòu)提高運營效率、實現(xiàn)經(jīng)營戰(zhàn)略和加快金融創(chuàng)新的重要手段。三是指明了商業(yè)銀行信息科技風險防控的重點領(lǐng)域、方向和關(guān)鍵風險點，提出了風險識別、預警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風險防控原則和指導思想，應用到銀行信息科技建設和管理實踐中，成為指導銀行全面開展科技風險防控、提升管理能力的有力武器。三、體現(xiàn)監(jiān)管引領(lǐng)作用。附錄包含4個章節(jié)，收錄了常用檢查方法和常用操作命令，常用操作命令包括主要網(wǎng)絡設備常用操作命令、主要操作系統(tǒng)常用操作命令、主要數(shù)據(jù)庫管理系統(tǒng)常用操作命令等。 檢查方法、步驟：(1)訪談董事會成員/董事會秘書,了解:(a)董事會在銀行信息科技管理領(lǐng)域的角色和職責。（3）定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技預算和實際支出情況、信息科技的整體管理狀況, 面臨的主要風險及其應對措施等。(3）查閱信息科技管理委員會向董事會和高級管理層的匯報材料和相關(guān)會議記錄,了解其向董事會和高級管理層匯報工作的情況。(b)銀行目前面臨的主要信息科技風險和應對策略。（2）信息科技部門應該根據(jù)工作內(nèi)容，制定完整的內(nèi)部工作流程和內(nèi)控制度，建立與相關(guān)職能部門之間的協(xié)調(diào)配合機制，保證信息科技工作的有序、高效。檢查方法、步驟:（1）調(diào)閱信息科技部門的各項工作流程和規(guī)章制度。（2）信息科技戰(zhàn)略規(guī)劃應該與業(yè)務發(fā)展規(guī)劃保持一致,為實現(xiàn)銀行發(fā)展戰(zhàn)略提供緊密的信息科技支持。（2）信息科技風險管理部門應制定信息科技風險管理大綱。（4）了解信息科技風險管理部門和信息科技部, 業(yè)務部門, 內(nèi)審部門和其他相關(guān)部門的相互協(xié)作情況。(f)內(nèi)審人員的持續(xù)培訓情況。（4）做好自主開發(fā)的信息科技產(chǎn)品的知識產(chǎn)權(quán)保護工作。(4) 訪談信息科技人員了解信息披露的流程, 以及信息披露執(zhí)行情況,如科技人員是否了解披露要求,如何確保披露信息的及時和準確等。 風險防范和檢測檢查項1 ：風險防范措施 基本要求：（1）商業(yè)銀行應依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。（2）訪談相關(guān)工作人員，了解中資商業(yè)銀行在境外設立的機構(gòu)及境內(nèi)的外資法人銀行是否對監(jiān)管政策的差異性進行了充分分析并采取有效風險防范措施。包括：建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，定期向信息科技管理委員會提交本行信息安全評估報告等。檢查項3：信息安全策略基本要求：商業(yè)銀行應制訂詳細的信息安全策略，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務連續(xù)性管理、合規(guī)性管理。商業(yè)銀行應建立完善的信息系統(tǒng)管理制度，管理制度應正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學習掌握。檢查方法、步驟：（1）與負責信息安全的人員訪談，了解信息安全制度執(zhí)行情況；（2）調(diào)閱銀行或部門會議記錄，查看銀行或部門是否對日志、視頻等記錄中出現(xiàn)的違規(guī)操作行為進行過認定，并對違規(guī)人員或部門進行過處罰；（3）調(diào)閱銀行或部門會議記錄，查看是否對違規(guī)操作進行過整改，整改的后續(xù)情況如何。檢查方法、步驟：（1）調(diào)閱安全評估報告，檢查商業(yè)銀行是否定期對信息系統(tǒng)安全進行評估。在系統(tǒng)開發(fā)立項審批前，應進行系統(tǒng)開發(fā)可行性研究，以控制與信息科技有關(guān)的風險。是否建立了質(zhì)量檢測和風險評估機制等；（2）詢問相關(guān)人員，是否有高級管理層和所有有關(guān)部門認可這些制度和流程的說明，查看相關(guān)會議紀要、相關(guān)文件的傳閱痕跡等；（3）檢查系統(tǒng)開發(fā)過程中，相關(guān)制度和流程是否得到有效的實施，如是否界定了明確的部門和人員職責，職責劃分是否合理，是否有完整的時間進度管理和財務預算管理，是否要求實施部門定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關(guān)鍵人員或供應商的變更以及主要費用支出情況等；（4）檢查商業(yè)銀行制定的制度和流程是否涵蓋了信息系統(tǒng)開發(fā)的立項、可行性分析、制定需求、方案設計、程序開發(fā)、系統(tǒng)測試、系統(tǒng)驗收、使用培訓、實施操作和維護等各環(huán)節(jié)。信息系統(tǒng)升級變更前，應制訂詳細的數(shù)據(jù)遷移計劃，并提前進行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗證。檢查方法、步驟：：1）檢查系統(tǒng)變更的測試報告，分析測試內(nèi)容和測試步驟是否完整，測試用例是否充分涵蓋所有業(yè)務場景；（2）調(diào)閱測試團隊人員清單，分析測試團隊人員角色、知識水平等是否充分，詢問相關(guān)負責人通過哪些措施保證測試團隊的公正性和獨立性；（3）調(diào)閱測試方案、測試用例、測試記錄等，分析銀行的測試方案是否完善，測試計劃是否完整，測試環(huán)境是否與生產(chǎn)環(huán)境相隔離，測試用例是否充分，測試用例是否有生產(chǎn)數(shù)據(jù)，當使用生產(chǎn)數(shù)據(jù)測試時是否得到高級管理層的審批并采取相關(guān)限制及進行脫敏處理，測試執(zhí)行情況記錄是否完整，查看是否有對充分測試的審核報告；（4）調(diào)閱功能測試記錄，查看系統(tǒng)功能測試結(jié)果是否與業(yè)務需求一致；（5）調(diào)閱非功能性測試報告或記錄（非功能測試技術(shù)主要包括：配置和安裝測試、兼容性和互操作性測試、文檔和幫助測試、錯誤恢復測試、性能測試、可靠性測試、保密性測試、壓力測試、可用性測試、容量測試），分析測試用例是否充分，測試結(jié)果是否與業(yè)務需求一致；（6）檢查是否建立系統(tǒng)變更的回退程序，是否有回退程序的測試或試運行成功的記錄；（7）調(diào)閱系統(tǒng)測試報告，檢查系統(tǒng)測試過程中是否對測試的情況進行規(guī)范的記錄，是否形成測試文檔；對測試過程是否進行分析，并提出相應修改意見。6. 系統(tǒng)運行管理 日常管理商業(yè)銀行應將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約，并且應從錄用前、任職期間、離職全過程對科技人員進行管理，以確保員工充分了解其責任、能夠嚴格遵守機構(gòu)的信息安全方針、并確保員工離職后不對本機構(gòu)造成損失。檢查項3：操作管理基本要求：商業(yè)銀行應制定詳盡的信息科技運行操作程序。調(diào)閱商業(yè)銀行與錄取員工簽署的錄用合同，驗證是否包括以下內(nèi)容：（a）是否簽署保密協(xié)議；（b）員工需遵守的法律職責，例如知識產(chǎn)權(quán)保護等；（c）與員工有關(guān)的信息保護與資產(chǎn)管理職責；（d）員工違規(guī)所要承受的懲罰；（3）管理職責驗證。 訪問控制策略商業(yè)銀行應加強對物理設施、數(shù)據(jù)、信息系統(tǒng)以及業(yè)務過程的訪問控制管理。（2）核實其特權(quán)用戶的管理。檢查方法、步驟：（1）驗證最終用戶口令的使用。（4）用戶訪問權(quán)限的評審。檢查方法、步驟：（1）調(diào)閱其信息系統(tǒng)訪問控制策略，驗證其是否包括以下方面：（a）各個業(yè)務系統(tǒng)的安全要求；（b）數(shù)據(jù)的分類與授權(quán)策略；（c）不同系統(tǒng)和網(wǎng)絡的訪問控制策略與數(shù)據(jù)分類策略的一致性；（d）訪問控制角色的分離，例如訪問請求、訪問授權(quán)、訪問管理；（e）訪問要求的正式授權(quán)要求；（f）訪問控制的周期性評審要求；（g）訪問權(quán)力的取消；（2）驗證商業(yè)銀行訪問控制策略是否考慮了以下方面：（a）是否區(qū)分了必須強制執(zhí)行的規(guī)則和有條件執(zhí)行的規(guī)則；（b）是否建立在“未經(jīng)允許，一律禁止”的基礎之上，而不是“未經(jīng)禁止，一切允許”。調(diào)閱商業(yè)銀行相關(guān)制度，驗證是否明確了員工離職、調(diào)離、崗位變換等情況下應執(zhí)行的相關(guān)操作程序。組織內(nèi)部職責和工作變化后應及時調(diào)整系統(tǒng)權(quán)限。開發(fā)與日常維護、業(yè)務與后臺管理必須實現(xiàn)分離；（2）調(diào)取該機構(gòu)崗位職