【文章內(nèi)容簡介】 規(guī)劃的制定是否有各方面人員參與，是否經(jīng)過高級管理層審批；（b）信息科技發(fā)展戰(zhàn)略規(guī)劃的內(nèi)容是否包含了應(yīng)用架構(gòu),基礎(chǔ)設(shè)施,IT治理等方面；（c）信息科技發(fā)展戰(zhàn)略規(guī)劃完成情況、信息科技工作的總體狀況、信息科技工作的薄弱點和問題；(d)信息科技戰(zhàn)略規(guī)劃是否依據(jù)環(huán)境變化,總體戰(zhàn)略變更等進行調(diào)整。 信息科技風(fēng)險管理部門檢查項1 ：信息科技風(fēng)險管理部門 基本要求：（1）商業(yè)銀行應(yīng)建立全行信息科技風(fēng)險管理框架，設(shè)立或指定信息科技風(fēng)險管理部門，明確相應(yīng)的管理職責(zé)，設(shè)置必要的崗位，配置足夠的信息科技風(fēng)險管理人員。（2）信息科技風(fēng)險管理部門應(yīng)制定信息科技風(fēng)險管理大綱。大綱應(yīng)清楚描述信息科技風(fēng)險特點、識別和評估流程、持續(xù)的控制措施和報告處理機制。（3）信息科技風(fēng)險管理部門應(yīng)定期審查各個相關(guān)部門和環(huán)節(jié)的信息科技風(fēng)險控制流程和管理制度，定期檢查制度的執(zhí)行情況，防止出現(xiàn)失控的環(huán)節(jié)和管理制度老化的情況。（4）信息科技風(fēng)險管理部門應(yīng)對重要的信息科技工作環(huán)節(jié)進行風(fēng)險識別和評估，定期檢查和上報信息科技風(fēng)險控制狀況。（5）信息科技風(fēng)險管理部門應(yīng)對全行員工進行持續(xù)的信息科技風(fēng)險教育。檢查方法、步驟:（1）調(diào)閱信息科技風(fēng)險管理的相關(guān)政策, 流程,管理規(guī)范, 工作手冊,以及開展信息科技風(fēng)險管理的記錄, 如日常工作記錄、會議紀要和風(fēng)險評估報告等。（2）調(diào)閱組織結(jié)構(gòu)圖和職責(zé)說明,了解信息科技風(fēng)險管理部門的組織結(jié)構(gòu)和人員的配置情況。（3）了解信息科技風(fēng)險管理部門的工作情況, 包括風(fēng)險管理框架,評估標準,是否定期開展風(fēng)險評估, 風(fēng)險評估的結(jié)果,主要風(fēng)險和應(yīng)對措施等。（4）了解信息科技風(fēng)險管理部門和信息科技部, 業(yè)務(wù)部門, 內(nèi)審部門和其他相關(guān)部門的相互協(xié)作情況。(5)了解信息科技風(fēng)險教育和培訓(xùn)的開展情況,并調(diào)閱培訓(xùn)資料和記錄等。 信息科技風(fēng)險審計部門檢查項1 ：信息科技風(fēng)險審計部門 基本要求：（1）商業(yè)銀行應(yīng)指定專門負責(zé)信息科技風(fēng)險審計的部門，設(shè)置必要的崗位，并配備適量信息科技風(fēng)險專業(yè)審計人員。（2）制定信息科技風(fēng)險審計制度和相應(yīng)的審計手冊。（3）應(yīng)有計劃、有側(cè)重點地開展信息科技風(fēng)險審計工作。（4）及時向董事會和監(jiān)事會報告信息科技風(fēng)險審計情況。（5）審計發(fā)現(xiàn)重大風(fēng)險隱患應(yīng)及時報告。檢查方法、步驟：（1）訪談信息科技審計部門負責(zé)人和工作人員, 了解以下信息:(a)信息科技審計職能的定位, 工作范圍,組織結(jié)構(gòu)和分工(包括信息科技內(nèi)審團隊內(nèi)部的分工,以及與其他內(nèi)審團隊的分工),匯報路線, 人員配置, 技能 (如是否擁有專業(yè)資格)等情況；(b)信息科技審計計劃, 關(guān)注計劃制定過程中是否考慮了風(fēng)險,并基于風(fēng)險狀況制定相應(yīng)計劃；(c)信息科技審計工作的標準和規(guī)范；(d)信息科技內(nèi)審工作的執(zhí)行情況,包括開展了哪些主要工作,有哪些主要發(fā)現(xiàn),整改情況等；(e)審計結(jié)果的匯報和溝通,包括與被審計方的溝通和落實整改,及與高級管理層和董事會的匯報。(f)內(nèi)審人員的持續(xù)培訓(xùn)情況。(2)調(diào)閱信息科技審計相關(guān)文檔,包括:(a)信息科技審計章程或相關(guān)制度；(b)信息科技審計部組織結(jié)構(gòu)圖,職責(zé)說明等；(c)信息科技風(fēng)險審計手冊或其他標準規(guī)范文檔。（3）調(diào)閱商業(yè)銀行審計工作計劃、工作底稿和審計報告。（4）調(diào)閱審計發(fā)現(xiàn)落實整改情況的記錄。(5) 調(diào)閱培訓(xùn)記錄。 知識產(chǎn)權(quán)保護和信息披露檢查項1 ：知識產(chǎn)權(quán)保護 基本要求：（1）商業(yè)銀行應(yīng)按照國家有關(guān)知識產(chǎn)權(quán)法律、法規(guī)的要求，制定本單位知識產(chǎn)權(quán)保護制度。（2）應(yīng)采取有效措施確保所有員工充分理解知識產(chǎn)權(quán)保護制度并遵照執(zhí)行。（3）規(guī)范合法軟件的購買和使用，禁止使用盜版軟件。（4）做好自主開發(fā)的信息科技產(chǎn)品的知識產(chǎn)權(quán)保護工作。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行遵守知識產(chǎn)權(quán)法律的相關(guān)制度并審查其內(nèi)容。（2）查閱商業(yè)銀行的軟件清單，檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。（3）查閱外包服務(wù)協(xié)議和相關(guān)文件中是否有知識產(chǎn)權(quán)的保護條款，并檢查落實情況。 檢查項2 ：信息披露 基本要求：商業(yè)銀行應(yīng)依據(jù)國家有關(guān)法律、法規(guī)的要求，按照監(jiān)管機構(gòu)規(guī)定的格式和時間，及時規(guī)范地披露信息科技風(fēng)險信息。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行有關(guān)信息科技風(fēng)險披露的制度。（2）查閱商業(yè)銀行披露信息科技風(fēng)險評估結(jié)果的記錄。（3）重點關(guān)注信息披露是否符合《商業(yè)銀行信息披露辦法》等有關(guān)法律、法規(guī)的要求，是否按照監(jiān)管機構(gòu)規(guī)定的格式和時間及時規(guī)范地發(fā)布。(4) 訪談信息科技人員了解信息披露的流程, 以及信息披露執(zhí)行情況,如科技人員是否了解披露要求,如何確保披露信息的及時和準確等。3. 信息科技風(fēng)險管理商業(yè)銀行應(yīng)制定信息科技風(fēng)險管理策略，制定風(fēng)險識別和評估、風(fēng)險防范措施，對風(fēng)險進行持續(xù)監(jiān)測。 風(fēng)險識別和評估檢查項1 ：風(fēng)險管理策略基本要求：（1）商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)發(fā)展規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風(fēng)險評估計劃；（2）應(yīng)配置足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境；（3）應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于：信息分級與保護，信息系統(tǒng)開發(fā)、測試和維護，信息科技運行和維護，訪問控制，物理安全，人員安全，業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置。檢查方法、步驟：（1）訪談信息科技部門及信息科技風(fēng)險管理部門負責(zé)人員,了解以下內(nèi)容:(a)信息科技風(fēng)險管理策略和方法,如風(fēng)險框架和分類,評估方法和標準,以及對風(fēng)險容忍度的界定；(b) 銀行的主要信息科技風(fēng)險及其應(yīng)對措施；(c)在開展信息科技風(fēng)險管理過程中遇到的主要挑戰(zhàn)。(2)調(diào)閱信息科技風(fēng)險管理文檔,如信息科技風(fēng)險管理政策和流程, 風(fēng)險評估規(guī)范或手冊等。檢查項2 ：風(fēng)險識別與評估 基本要求：（1）商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險識別和評估流程，確定信息科技風(fēng)險隱患；（2）定期評估信息科技風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進行排序，并確定風(fēng)險防范措施及所需資源的優(yōu)先級別。檢查方法、步驟：（1）調(diào)閱風(fēng)險識別和評估流程文檔，風(fēng)險評估報告和相關(guān)工作底稿，了解具體工作開展情況。（2）與信息科技風(fēng)險管理相關(guān)人員(如信息科技部門人員和信息科技風(fēng)險管理部門人員)訪談, 了解信息科技風(fēng)險評估的過程,信息來源,評估結(jié)果,以及對識別的風(fēng)險是否制定了應(yīng)對措施。 風(fēng)險防范和檢測檢查項1 ：風(fēng)險防范措施 基本要求：（1）商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果，實施全面的風(fēng)險防范措施。防范措施應(yīng)包括：制定明確的信息科技風(fēng)險管理制度、技術(shù)標準和操作規(guī)程，并定期進行更新和公布；（2）確定潛在風(fēng)險區(qū)域，并對這些區(qū)域進行有效的監(jiān)控，實現(xiàn)風(fēng)險及早發(fā)現(xiàn)、影響最小化；（3）建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險。定義每個業(yè)務(wù)級別的控制內(nèi)容，包括：最高權(quán)限用戶審查，控制數(shù)據(jù)和系統(tǒng)的物理及邏輯訪問，訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則，審批和授權(quán)，驗證和調(diào)節(jié)等。檢查方法、步驟：（1）調(diào)閱信息科技管理制度、技術(shù)標準、操作規(guī)程等文檔,并訪談信息科技人員和風(fēng)險管理人員,了解信息科技風(fēng)險控制的主要原則和措施.(注:這里應(yīng)主要關(guān)注風(fēng)險控制的原則, 如怎樣落實訪問控制的最小授權(quán),對風(fēng)險/安全事件的監(jiān)控,災(zāi)難恢復(fù)的安排等，具體控制的設(shè)計和執(zhí)行情況將在各個領(lǐng)域中進行檢查。)（2）調(diào)閱風(fēng)險監(jiān)控相關(guān)工作記錄,如風(fēng)險評估報告,，了解對高風(fēng)險區(qū)域的監(jiān)控情況；(3)了解信息科技職能和風(fēng)險管理職能如何對主要風(fēng)險進行監(jiān)控,如定期匯總各條線(如運行,開發(fā),測試等)的匯報,對一些重要事項和指標的持續(xù)監(jiān)測, 內(nèi)外審的發(fā)現(xiàn)和建議的落實,問題上報制度等。檢查項2 ：風(fēng)險計量與檢測基本要求：（1）商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險計量和檢測機制，其中包括：建立信息科技項目實施前及實施后的評價機制,建立定期檢查系統(tǒng)性能的程序和標準,建立信息科技服務(wù)投訴和事故處理的報告機制,建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制,安排對服務(wù)水平協(xié)議的完成情況進行定期審查,定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅,定期進行運行環(huán)境下操作風(fēng)險和管理控制的檢查,定期進行信息科技外包項目的風(fēng)險狀況評價。（2）中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資法人銀行，應(yīng)對境內(nèi)外監(jiān)管機構(gòu)有關(guān)信息科技風(fēng)險監(jiān)管政策的差異性進行分析并防范由此可能產(chǎn)生的風(fēng)險。檢查方法、步驟：（1）調(diào)閱有關(guān)文檔(如風(fēng)險評估制度和方法,評估報告,關(guān)于風(fēng)險和安全事件的匯報等)，了解商業(yè)銀行是否建立信息科技風(fēng)險計量和監(jiān)測機制。（2）訪談相關(guān)工作人員，了解中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資法人銀行是否對監(jiān)管政策的差異性進行了充分分析并采取有效風(fēng)險防范措施。4. 信息安全管理保證信息安全是商業(yè)銀行的一項重要任務(wù)，商業(yè)銀行應(yīng)在信息科技部門內(nèi)部設(shè)置專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機密性、完整性和可用性。信息安全涉及到人員、管理、技術(shù)等各個方面，本章節(jié)主要包含人員安全和管理安全的檢查內(nèi)容，技術(shù)安全方面的檢查內(nèi)容參見第三部分“基礎(chǔ)設(shè)施”部分。提示：在對商業(yè)銀行的信息安全管理進行檢查和評價時，可根據(jù)銀行機構(gòu)的實際情況，按照分類監(jiān)管、循序漸進的原則，合理把握標準與尺度。如，科技人員少、信息系統(tǒng)種類不多的銀行機構(gòu)，可以不設(shè)置單獨的安全管理部門，但應(yīng)設(shè)置專職的崗位；信息科技崗位設(shè)置可以彼此兼職，但不相容崗位應(yīng)分離，做到操作系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員及數(shù)據(jù)庫管理員彼此分離、網(wǎng)絡(luò)管理員和其他系統(tǒng)管理員彼此分離、批量處理人員和業(yè)務(wù)數(shù)據(jù)庫管理員彼此分離。 安全管理機制與管理組織檢查項1：信息分類和保護體系基本要求：商業(yè)銀行信息科技部門應(yīng)對各類信息系統(tǒng)進行風(fēng)險評估，根據(jù)信息系統(tǒng)的重要程度等因素，建立和實施信息系統(tǒng)分類和保護體系，并保證該體系在銀行內(nèi)部的貫徹落實。檢查方法、步驟：（1）調(diào)閱信息系統(tǒng)分類管理制度，查看相關(guān)制度是否建立健全，是否對信息類別和訪問人員的范圍、級別作出明確規(guī)定；（2）檢查商業(yè)銀行是否針對不同的信息系統(tǒng)，制訂了不同的安全防范措施，采取了不同的技術(shù)防范手段；（3）檢查商業(yè)銀行是否對信息系統(tǒng)風(fēng)險進行評估和防范。檢查項2：安全管理機制基本要求：商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能。包括：建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，定期向信息科技管理委員會提交本行信息安全評估報告等。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全計劃或相關(guān)文檔，檢查商業(yè)銀行是否制訂信息安全計劃。（2）分析信息安全計劃，評估商業(yè)銀行信息科技部門能否對信息安全進行持續(xù)、長期和有效的管理，確保信息安全和信息系統(tǒng)安全運行。（3）檢查商業(yè)銀行信息科技部門是否組織培訓(xùn)和宣傳教育等活動以提高全體員工信息安全意識，是否就安全問題向其他部門提供安全建議。（4）檢查商業(yè)銀行信息科技部門是否對各類信息和信息系統(tǒng)制訂相應(yīng)的信息安全標準，是否制訂相關(guān)的管理策略，是否制訂實施計劃，是否制訂持續(xù)改進、完善計劃。通過訪談了解這些管理策略和計劃是否有效實施。（5）調(diào)閱信息安全評估報告，檢查信息科技部門是否定期對本行信息安全進行評估。檢查項3：信息安全策略基本要求：商業(yè)銀行應(yīng)制訂詳細的信息安全策略，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全策略，檢查是否制定信息安全策略及其內(nèi)容是否完整、全面。（2）調(diào)閱信息安全管理規(guī)定，查看是否制定信息安全管理規(guī)定以及是否具有相應(yīng)的實施要求和細則。檢查項4：信息安全組織基本要求：商業(yè)銀行應(yīng)建立配套的安全管理職能部門，通過管理機構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障。應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批；安全管理人員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。檢查方法、步驟：（1）調(diào)閱相關(guān)崗位職責(zé)說明文件，檢查是否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)；（2）檢查是否限制安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等；（3）查詢相關(guān)制度文件和審批記錄，檢查是否根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批； （4）調(diào)閱信息安全檢查記錄，檢查安全管理員是否定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查結(jié)果是否及時報告和處理。 安全管理制度檢查項1：規(guī)章制度基本要求：商業(yè)銀行應(yīng)對信息安全風(fēng)險進行分析、評估；應(yīng)對信息安全管理工作建立相應(yīng)的管理制度；應(yīng)要求管理人員或操作人員嚴格執(zhí)行管理制度，各項操作符合制度要求；應(yīng)注明安全管理制度密級程度，并進行密級管理；信息安全制度建設(shè)應(yīng)全面涵蓋信息系統(tǒng)的安全風(fēng)險點，如：用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、各類業(yè)務(wù)系統(tǒng)安全、客戶端安全、病毒防護、敏感數(shù)據(jù)保護、文檔管理等內(nèi)容。信息安全制度應(yīng)包含違規(guī)處罰條款；重要工作和崗位應(yīng)制訂詳盡的管理辦法和工作職責(zé)；信息安全制度應(yīng)包括對服務(wù)商的責(zé)任和義務(wù)要求；信息安全事件報告制度和處理流程應(yīng)清晰明確；信息安全管理制度應(yīng)注明發(fā)布范圍，有發(fā)文編號和相關(guān)部門的收文記錄；信息安全制度應(yīng)及時發(fā)布和修訂。商業(yè)銀行應(yīng)建立完善的信息系統(tǒng)管理制度，管理制度應(yīng)正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學(xué)習(xí)掌握。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全管理相關(guān)的會議記錄。（2）調(diào)閱信息安全相關(guān)的制度，查看：(a)是否圍繞著風(fēng)險分析、評估報告開展制度建設(shè)，各項制度能否有效防范風(fēng)險；（b）已有制度是否涵蓋信息系統(tǒng)的各項風(fēng)險點，包括用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、各類業(yè)務(wù)應(yīng)用系統(tǒng)安全、客戶端安全、病毒防護、敏感數(shù)據(jù)保護、文檔管理等內(nèi)容；（c）是否包含違規(guī)的處罰條款；（d）是否包括針對服務(wù)商的管理要求，如職責(zé)和義務(wù)；（e）是否建立信息安全事件報告制度和處理流程，制度和流程是否清晰和明確；