【正文】 功能進(jìn)行充分測(cè)試，保障系統(tǒng)功能與業(yè)務(wù)目標(biāo)一致；應(yīng)當(dāng)對(duì)信息系統(tǒng)進(jìn)行非功能測(cè)試，保證系統(tǒng)的兼容性、可靠性、通用性、安裝的可操作性，防范在信息系統(tǒng)性能峰值情況下發(fā)生的問(wèn)題。系統(tǒng)變更應(yīng)建立回滾變更的程序，以便于在發(fā)生問(wèn)題的情況下可以恢復(fù)到原始的程序、系統(tǒng)配置和數(shù)據(jù)，在變更遷徙到生產(chǎn)環(huán)境前應(yīng)進(jìn)行回滾程序的試運(yùn)行，以保證回滾程序是有效、可靠的。系統(tǒng)測(cè)試過(guò)程中應(yīng)對(duì)測(cè)試的情況進(jìn)行規(guī)范的記錄，最終形成測(cè)試文檔并進(jìn)行分析。檢查方法、步驟：：1）檢查系統(tǒng)變更的測(cè)試報(bào)告，分析測(cè)試內(nèi)容和測(cè)試步驟是否完整，測(cè)試用例是否充分涵蓋所有業(yè)務(wù)場(chǎng)景；（2）調(diào)閱測(cè)試團(tuán)隊(duì)人員清單，分析測(cè)試團(tuán)隊(duì)人員角色、知識(shí)水平等是否充分，詢問(wèn)相關(guān)負(fù)責(zé)人通過(guò)哪些措施保證測(cè)試團(tuán)隊(duì)的公正性和獨(dú)立性；（3）調(diào)閱測(cè)試方案、測(cè)試用例、測(cè)試記錄等，分析銀行的測(cè)試方案是否完善，測(cè)試計(jì)劃是否完整，測(cè)試環(huán)境是否與生產(chǎn)環(huán)境相隔離，測(cè)試用例是否充分，測(cè)試用例是否有生產(chǎn)數(shù)據(jù)，當(dāng)使用生產(chǎn)數(shù)據(jù)測(cè)試時(shí)是否得到高級(jí)管理層的審批并采取相關(guān)限制及進(jìn)行脫敏處理，測(cè)試執(zhí)行情況記錄是否完整，查看是否有對(duì)充分測(cè)試的審核報(bào)告；（4）調(diào)閱功能測(cè)試記錄，查看系統(tǒng)功能測(cè)試結(jié)果是否與業(yè)務(wù)需求一致；（5）調(diào)閱非功能性測(cè)試報(bào)告或記錄（非功能測(cè)試技術(shù)主要包括：配置和安裝測(cè)試、兼容性和互操作性測(cè)試、文檔和幫助測(cè)試、錯(cuò)誤恢復(fù)測(cè)試、性能測(cè)試、可靠性測(cè)試、保密性測(cè)試、壓力測(cè)試、可用性測(cè)試、容量測(cè)試），分析測(cè)試用例是否充分，測(cè)試結(jié)果是否與業(yè)務(wù)需求一致；（6）檢查是否建立系統(tǒng)變更的回退程序，是否有回退程序的測(cè)試或試運(yùn)行成功的記錄；（7）調(diào)閱系統(tǒng)測(cè)試報(bào)告，檢查系統(tǒng)測(cè)試過(guò)程中是否對(duì)測(cè)試的情況進(jìn)行規(guī)范的記錄，是否形成測(cè)試文檔；對(duì)測(cè)試過(guò)程是否進(jìn)行分析，并提出相應(yīng)修改意見(jiàn)。檢查項(xiàng)2：系統(tǒng)驗(yàn)收基本要求：商業(yè)銀行應(yīng)當(dāng)在系統(tǒng)發(fā)布前對(duì)測(cè)試過(guò)程進(jìn)行充分審查，防止未經(jīng)充分測(cè)試的系統(tǒng)上線運(yùn)行；應(yīng)當(dāng)在系統(tǒng)發(fā)布前對(duì)系統(tǒng)交付物的完整性進(jìn)行檢查，以及對(duì)代碼進(jìn)行檢驗(yàn)；對(duì)打包銷售的系統(tǒng)，應(yīng)要求其提供充分可靠的測(cè)試證明，并進(jìn)行代碼審查；應(yīng)當(dāng)對(duì)系統(tǒng)進(jìn)行一段時(shí)間的試運(yùn)行，及時(shí)發(fā)現(xiàn)試運(yùn)行中存在的問(wèn)題，改正后方可正式上線。檢查方法、步驟：（1）調(diào)閱系統(tǒng)驗(yàn)收記錄和測(cè)試質(zhì)量的評(píng)估報(bào)告，檢查系統(tǒng)發(fā)布前商業(yè)銀行是否對(duì)測(cè)試的過(guò)程和有關(guān)測(cè)試充分進(jìn)行了審查并對(duì)測(cè)試質(zhì)量進(jìn)行了評(píng)估；（2）查看驗(yàn)收記錄中是否對(duì)系統(tǒng)交付物的完整性進(jìn)行了檢查，檢查的內(nèi)容還應(yīng)該包括軟件發(fā)布計(jì)劃、操作手冊(cè)和應(yīng)急預(yù)案等文檔；（3）檢查打包銷售的軟件是否有完整的、充分的和可靠的測(cè)試報(bào)告，是否有對(duì)軟件代碼的審查記錄，特別是對(duì)秘密信道及特洛伊木馬程序?qū)彶?；?）檢查是否有完整的試運(yùn)行報(bào)告、試運(yùn)行記錄、系統(tǒng)錯(cuò)誤修正記錄等，查看系統(tǒng)的試運(yùn)行是否通過(guò)。檢查項(xiàng)3：投產(chǎn)上線基本要求：商業(yè)銀行應(yīng)重視信息系統(tǒng)的投產(chǎn)上線工作，做到以下幾點(diǎn)：（1）包括用戶需求書、功能說(shuō)明書、設(shè)計(jì)說(shuō)明書、技術(shù)與業(yè)務(wù)操作手冊(cè)等在內(nèi)的所有文檔資料在上線前應(yīng)正式歸檔保管；（2）投產(chǎn)上線所用的系統(tǒng)生產(chǎn)環(huán)境已經(jīng)建立并經(jīng)驗(yàn)收測(cè)試證明有效；（3）清除投產(chǎn)上線用的系統(tǒng)生產(chǎn)環(huán)境中的驗(yàn)收測(cè)試數(shù)據(jù)（另行安排生產(chǎn)環(huán)境除外）；（4）完成投產(chǎn)上線計(jì)劃書、上線操作手冊(cè)、回退操作手冊(cè)并經(jīng)驗(yàn)證；（5）有數(shù)據(jù)移植時(shí)還需對(duì)新舊系統(tǒng)中被移植部分?jǐn)?shù)據(jù)的一致性進(jìn)行驗(yàn)證，對(duì)數(shù)據(jù)調(diào)整時(shí)應(yīng)對(duì)調(diào)整過(guò)程完整記錄并請(qǐng)相關(guān)人員簽字；（6）已對(duì)運(yùn)行人員、業(yè)務(wù)管理人員、業(yè)務(wù)操作人員進(jìn)行了培訓(xùn)，開發(fā)人員與運(yùn)行維護(hù)人員已經(jīng)完成了職責(zé)移交。檢查方法、步驟:（1）檢查文檔資料管理系統(tǒng)，確認(rèn)與該信息系統(tǒng)有關(guān)的各類文檔資料已經(jīng)正式歸檔保管，納入生產(chǎn)系統(tǒng)文檔資料管理范圍；（2）與業(yè)務(wù)和技術(shù)人員訪談，了解投產(chǎn)上線的完整過(guò)程，判斷投產(chǎn)上線用的環(huán)境是否在啟用時(shí)已經(jīng)驗(yàn)證有效、測(cè)試業(yè)務(wù)數(shù)據(jù)得到完全清理、被移植到生產(chǎn)環(huán)境的數(shù)據(jù)與在原環(huán)境中數(shù)據(jù)保持一致性；（3）與運(yùn)行人員和開發(fā)維護(hù)人員訪談，了解在投產(chǎn)時(shí)，運(yùn)行人員是否熟悉運(yùn)行操作，維護(hù)人員是否接管維護(hù)職責(zé)，從而判斷是否實(shí)行崗位分離和存在操作風(fēng)險(xiǎn)。 商業(yè)銀行應(yīng)對(duì)系統(tǒng)下線按規(guī)范流程妥善處理，確保下線系統(tǒng)敏感數(shù)據(jù)的安全性和完整性。檢查項(xiàng)1：系統(tǒng)下線基本要求：商業(yè)銀行應(yīng)當(dāng)關(guān)注系統(tǒng)下線工作，并做到以下幾點(diǎn)：（1）下線前，應(yīng)當(dāng)做好充分的論證，證明該信息系統(tǒng)的功能已經(jīng)失效或已有其它系統(tǒng)替代；（2）系統(tǒng)下線應(yīng)有下線計(jì)劃和操作手冊(cè)；（3）確保信息系統(tǒng)的環(huán)境數(shù)據(jù)、客戶數(shù)據(jù)和交易數(shù)據(jù)保存一定時(shí)間，并繼續(xù)實(shí)施安全管理；（4）在對(duì)信息系統(tǒng)設(shè)備留作他用、出賣或銷毀時(shí)，應(yīng)當(dāng)對(duì)其中的信息進(jìn)行刪除等處理，整個(gè)過(guò)程應(yīng)記錄。檢查方法、步驟:（1）調(diào)閱文檔資料管理系統(tǒng)，確認(rèn)是否有下線計(jì)劃和操作手冊(cè)并對(duì)整個(gè)過(guò)程進(jìn)行記錄；（2）與技術(shù)人員訪談并現(xiàn)場(chǎng)抽查部分退出使用的設(shè)備，確認(rèn)系統(tǒng)下線后對(duì)應(yīng)該保留的信息是否進(jìn)行了有效的的保管，該刪除的信息是否得到了徹底銷毀。6. 系統(tǒng)運(yùn)行管理 日常管理商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技部門內(nèi)部的崗位制約，并且應(yīng)從錄用前、任職期間、離職全過(guò)程對(duì)科技人員進(jìn)行管理，以確保員工充分了解其責(zé)任、能夠嚴(yán)格遵守機(jī)構(gòu)的信息安全方針、并確保員工離職后不對(duì)本機(jī)構(gòu)造成損失。檢查項(xiàng)1：職責(zé)分離基本要求：商業(yè)銀行應(yīng)將不相容崗位實(shí)現(xiàn)職責(zé)分離，以降低未授權(quán)訪問(wèn)、無(wú)意識(shí)修改以及故意犯罪給機(jī)構(gòu)帶來(lái)?yè)p失的機(jī)會(huì)。其目標(biāo)是做到在未授權(quán)或未被監(jiān)測(cè)時(shí)，個(gè)人不能擅自訪問(wèn)、修改或使用機(jī)構(gòu)信息資產(chǎn)，并做到事件的啟動(dòng)與其授權(quán)相分離。檢查方法、步驟：（1）訪談科技部門負(fù)責(zé)人及信息科技風(fēng)險(xiǎn)審計(jì)負(fù)責(zé)人，判斷該機(jī)構(gòu)哪些職責(zé)應(yīng)實(shí)現(xiàn)分離。開發(fā)與日常維護(hù)、業(yè)務(wù)與后臺(tái)管理必須實(shí)現(xiàn)分離；（2）調(diào)取該機(jī)構(gòu)崗位職責(zé)及人員名單，驗(yàn)證不相容崗位是否實(shí)現(xiàn)了分離，是否存在崗位分離但人員兼崗的現(xiàn)象；（3）抽取部分應(yīng)用系統(tǒng)，從系統(tǒng)中取得操作系統(tǒng)用戶清單、數(shù)據(jù)庫(kù)用戶清單、應(yīng)用系統(tǒng)用戶清單以及開發(fā)測(cè)試系統(tǒng)的相應(yīng)清單，驗(yàn)證是否存在事實(shí)上的兼崗現(xiàn)象，是否存在開發(fā)人員在生產(chǎn)系統(tǒng)中存在賬戶的現(xiàn)象。檢查項(xiàng)2：值班制度基本要求：商業(yè)銀行應(yīng)制定信息科技運(yùn)行7*24小時(shí)值班制度，每班值班人員不能少于2人，并確保值班人員專人、專職，不能兼任系統(tǒng)維護(hù)人員及開發(fā)人員。值班人員應(yīng)對(duì)系統(tǒng)運(yùn)行情況進(jìn)行全面監(jiān)控，運(yùn)行記錄應(yīng)完善、詳實(shí)。檢查方法、步驟：（1）通過(guò)調(diào)閱信息科技部門崗位、人員名單，確認(rèn)值班人員是否為專人、專職，是否兼任維護(hù)及開發(fā)職能；（2）調(diào)閱值班監(jiān)控登記簿，確認(rèn)是否能夠做到24小時(shí)值班，運(yùn)行監(jiān)控記錄是否完善、詳實(shí)，是否存在無(wú)運(yùn)行監(jiān)控記錄的日期；（3）通過(guò)調(diào)閱值班室視頻記錄，驗(yàn)證能否做到雙人在崗。檢查項(xiàng)3：操作管理基本要求：商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作程序。如在信息科技運(yùn)行手冊(cè)中說(shuō)明值班人員的任務(wù)、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（備份的頻率、范圍和保留周期），嚴(yán)禁值班人員脫離文檔對(duì)生產(chǎn)環(huán)境進(jìn)行操作。檢查方法、步驟：（1）到數(shù)據(jù)中心實(shí)地查看，驗(yàn)證值班室是否保存有較為完整的操作手冊(cè)；（2）對(duì)比值班人員職責(zé)，驗(yàn)證值班室的操作手冊(cè)能否完整覆蓋值班人員的職責(zé)；（3）通過(guò)調(diào)閱值班室視頻記錄，驗(yàn)證是否存在值班人員脫離文檔操作的現(xiàn)象。檢查項(xiàng)4：人員管理基本要求：（1）商業(yè)銀行應(yīng)根據(jù)相關(guān)法律、法規(guī)要求，對(duì)所有求職者進(jìn)行背景驗(yàn)證檢查，該檢查應(yīng)與業(yè)務(wù)要求、接觸信息的類別及已知風(fēng)險(xiǎn)相適應(yīng)；（2）商業(yè)銀行應(yīng)加強(qiáng)對(duì)員工的管理，盡可能減少由于人員因素引起的安全風(fēng)險(xiǎn)，加強(qiáng)對(duì)員工的安全培訓(xùn)，培養(yǎng)員工的安全意識(shí)，使其了解所承擔(dān)的責(zé)任和義務(wù)，并在日常工作中認(rèn)真貫徹機(jī)構(gòu)的信息安全方針；（3）商業(yè)銀行應(yīng)確保員工離職過(guò)程的有序性，并確保其歸還所有設(shè)備，及時(shí)取消其對(duì)系統(tǒng)及信息的訪問(wèn)權(quán)限。組織內(nèi)部職責(zé)和工作變化后應(yīng)及時(shí)調(diào)整系統(tǒng)權(quán)限。檢查方法、步驟：（1）錄取過(guò)程驗(yàn)證。選取部分關(guān)鍵崗位人員名單并調(diào)閱其錄取過(guò)程的文檔，驗(yàn)證錄取前是否查驗(yàn)了以下內(nèi)容：（a）申請(qǐng)人的履歷；（b）相關(guān)學(xué)歷、資質(zhì)；（c）身份證件；（d）其他細(xì)節(jié)，例如信用卡記錄或犯罪記錄。（2）錄取條件驗(yàn)證。調(diào)閱商業(yè)銀行與錄取員工簽署的錄用合同，驗(yàn)證是否包括以下內(nèi)容：（a）是否簽署保密協(xié)議；（b）員工需遵守的法律職責(zé)，例如知識(shí)產(chǎn)權(quán)保護(hù)等；（c）與員工有關(guān)的信息保護(hù)與資產(chǎn)管理職責(zé)；（d）員工違規(guī)所要承受的懲罰；（3）管理職責(zé)驗(yàn)證。調(diào)閱銀行機(jī)構(gòu)有關(guān)安全管理的文件，驗(yàn)證其是否明確定義定義了員工的信息安全責(zé)任，并確保員工了解；（4）信息安全培訓(xùn)驗(yàn)證。調(diào)閱商業(yè)銀行對(duì)員工所進(jìn)行的有關(guān)安全的培訓(xùn)，驗(yàn)證商業(yè)銀行是否定期就本單位信息安全方針、制度等內(nèi)容對(duì)員工進(jìn)行培訓(xùn)，并通過(guò)查閱培訓(xùn)記錄確認(rèn)員工均參加了培訓(xùn)；（5）懲戒過(guò)程驗(yàn)證。調(diào)閱商業(yè)銀行有關(guān)安全管理的文件，驗(yàn)證其是否就員工違規(guī)行為的后果作出規(guī)定，并通過(guò)訪談、查看記錄等多種方式驗(yàn)證相關(guān)懲戒制度是否得到執(zhí)行；（6）驗(yàn)證是否及時(shí)撤銷訪問(wèn)權(quán)限。調(diào)閱商業(yè)銀行相關(guān)制度，驗(yàn)證是否明確了員工離職、調(diào)離、崗位變換等情況下應(yīng)執(zhí)行的相關(guān)操作程序。調(diào)閱部分離職人員名單并抽查部分業(yè)務(wù)系統(tǒng)，驗(yàn)證相關(guān)人員的訪問(wèn)權(quán)限已得到及時(shí)刪除、更改；驗(yàn)證是否及時(shí)歸還信息資產(chǎn)。調(diào)閱商業(yè)銀行相關(guān)制度，驗(yàn)證是否就員工離職、調(diào)離、崗位變換等情況所應(yīng)歸還的信息資產(chǎn)做出明確定義。調(diào)閱部分離職人員名單及相關(guān)離職手續(xù)，驗(yàn)證相關(guān)人員的信息資產(chǎn)已得到及時(shí)歸還。 訪問(wèn)控制策略商業(yè)銀行應(yīng)加強(qiáng)對(duì)物理設(shè)施、數(shù)據(jù)、信息系統(tǒng)以及業(yè)務(wù)過(guò)程的訪問(wèn)控制管理。檢查項(xiàng)1：物理訪問(wèn)控制策略基本要求：商業(yè)銀行應(yīng)將關(guān)鍵或敏感的信息處理設(shè)施放置在安全區(qū)域內(nèi)，并受到安全邊界的保護(hù)，安全邊界應(yīng)包括入口控制，以避免未授權(quán)訪問(wèn)、損壞和干擾，商業(yè)銀行應(yīng)該根據(jù)物理安全區(qū)域的重要性進(jìn)行分級(jí)管理，按照重要性的風(fēng)險(xiǎn)程度提供相當(dāng)?shù)谋Ｗo(hù)。檢查方法、步驟：（1）調(diào)閱其物理（例如機(jī)房）訪問(wèn)控制策略，驗(yàn)證其是否包括以下方面：（a）訪問(wèn)控制權(quán)限定義，對(duì)禁止在物理安全區(qū)域內(nèi)開展的活動(dòng)進(jìn)行限定；（b）訪問(wèn)控制授權(quán)過(guò)程；（c）訪問(wèn)記錄；（d）控制策略定期更新規(guī)定；（2）抽查部分訪問(wèn)控制登記薄，驗(yàn)證以下信息：（a）是否記錄訪問(wèn)者進(jìn)入和離開的日期、時(shí)間和事由，所有的訪問(wèn)者應(yīng)予以監(jiān)督，訪問(wèn)者只能訪問(wèn)特定的、已授權(quán)的目標(biāo)，并應(yīng)向其宣布關(guān)于該區(qū)域的安全要求和應(yīng)急程序說(shuō)明；（b）通過(guò)觀察或調(diào)閱錄像，驗(yàn)證所有訪問(wèn)者是否都佩戴某種形式的可視標(biāo)識(shí)；（c）驗(yàn)證第三方支持人員是否只有在需要時(shí)才能有限制的訪問(wèn)安全區(qū)域或敏感信息處理設(shè)施，這種訪問(wèn)是否被授權(quán)并全程監(jiān)督；（d）調(diào)閱訪問(wèn)權(quán)限修改記錄，驗(yàn)證是否定期審閱權(quán)限的變化；（e）選取部分離職人員名單，驗(yàn)證是否依然存在于已授權(quán)人員名單內(nèi)；（f）隨機(jī)調(diào)取進(jìn)出錄像，驗(yàn)證進(jìn)出人員是否在登記簿中進(jìn)行過(guò)登記；（3）驗(yàn)證是否有門禁系統(tǒng)，不同區(qū)域間是否通過(guò)門禁分割，門禁是否有記錄，對(duì)電子門禁卡的授權(quán)、發(fā)放和注銷是否有明確規(guī)定。檢查項(xiàng)2：邏輯訪問(wèn)控制策略基本要求：商業(yè)銀行的訪問(wèn)控制策略應(yīng)清晰的描述每個(gè)用戶或一組用戶的訪問(wèn)控制規(guī)則和權(quán)力，需要對(duì)訪問(wèn)控制策略有清晰的描述并告知其使用者。檢查方法、步驟：（1）調(diào)閱其信息系統(tǒng)訪問(wèn)控制策略，驗(yàn)證其是否包括以下方面：（a）各個(gè)業(yè)務(wù)系統(tǒng)的安全要求；（b）數(shù)據(jù)的分類與授權(quán)策略；（c）不同系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)控制策略與數(shù)據(jù)分類策略的一致性；（d）訪問(wèn)控制角色的分離，例如訪問(wèn)請(qǐng)求、訪問(wèn)授權(quán)、訪問(wèn)管理；（e）訪問(wèn)要求的正式授權(quán)要求；（f）訪問(wèn)控制的周期性評(píng)審要求；（g）訪問(wèn)權(quán)力的取消；（2）驗(yàn)證商業(yè)銀行訪問(wèn)控制策略是否考慮了以下方面：（a）是否區(qū)分了必須強(qiáng)制執(zhí)行的規(guī)則和有條件執(zhí)行的規(guī)則；（b）是否建立在“未經(jīng)允許，一律禁止”的基礎(chǔ)之上，而不是“未經(jīng)禁止，一切允許”。檢查項(xiàng)3：賬號(hào)及權(quán)限管理基本要求：商業(yè)銀行的業(yè)務(wù)系統(tǒng)應(yīng)保證只有經(jīng)授權(quán)的用戶才能訪問(wèn)，防止非授權(quán)訪問(wèn)。應(yīng)建立正式的程序來(lái)控制對(duì)信息系統(tǒng)和服務(wù)的訪問(wèn)權(quán)限的分配，這些程序應(yīng)涵蓋用戶生存周期的各個(gè)階段（從新用戶注冊(cè)到用戶注銷，例如賬號(hào)申請(qǐng)流程、賬號(hào)注冊(cè)流程、賬號(hào)變更流程、賬號(hào)注銷流程），應(yīng)特別注意對(duì)特權(quán)用戶的分配。檢查方法、步驟：（1）抽查商業(yè)銀行部分重要應(yīng)用系統(tǒng)，通過(guò)調(diào)閱用戶清單和實(shí)際員工名單，核實(shí)以下問(wèn)題：（a）用戶是否使用唯一ID；（b）檢查用戶所擁有的權(quán)力是否與其工作職責(zé)相適應(yīng)；（c）是否有用戶授權(quán)的書面文件；（d）離職或職位變更的用戶是否立即在信息系統(tǒng)中對(duì)權(quán)限進(jìn)行調(diào)整；（e）是否周期性檢驗(yàn)系統(tǒng)中的多余ID；（f）確保不發(fā)放多余的ID。（2）核實(shí)其特權(quán)用戶的管理。（a）通過(guò)訪談了解每個(gè)系統(tǒng)所必須賦予的特權(quán)用戶；（b）是否存在分配特權(quán)用戶的授權(quán)過(guò)程及其記錄；（c）驗(yàn)證銀行應(yīng)用程序是否必須要特權(quán)用戶才能運(yùn)行；（d）特權(quán)用戶應(yīng)避免分配給業(yè)務(wù)人員。（3）驗(yàn)證其口令管理。（a）是否制定有內(nèi)部口令管理規(guī)定，保證口令有一定強(qiáng)度及不易破解；（b）是否以安全方式將初始口令給予用戶，避免用于第三方或不受保護(hù)（明文）電子郵件中；（c）口令不能以不受保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)；（d）用戶是否迅速改變默認(rèn)口令。（4）用戶訪問(wèn)權(quán)限的評(píng)審。（a）是否定期（不能超過(guò)半年）和在任何變更之后（提升、降級(jí)、終止工作），對(duì)用戶訪問(wèn)權(quán)限進(jìn)行評(píng)審；（b）用戶的工作崗位發(fā)生變化，應(yīng)重新評(píng)審和分配用戶的訪問(wèn)權(quán)限；（c）以更加頻繁的時(shí)間間隔評(píng)審特權(quán)用戶的授權(quán)；（d）特權(quán)賬戶的變更應(yīng)在周期性評(píng)審時(shí)記入日志。檢查項(xiàng)4：用戶責(zé)任及終端管理基本要求：商業(yè)銀行應(yīng)加強(qiáng)對(duì)職工的安全培訓(xùn)，使其充分意識(shí)到自身所承擔(dān)的信息安全責(zé)任，加強(qiáng)安全意識(shí)，特別是關(guān)于口令的使用和設(shè)備安全的職責(zé)。遠(yuǎn)程接入用戶應(yīng)當(dāng)加強(qiáng)對(duì)客戶端的安全防護(hù)，防止未授權(quán)用戶非法使用客戶端進(jìn)行遠(yuǎn)程接入。檢查方法、步驟：（1）驗(yàn)證最終用戶口令的使用。抽取部分用戶，驗(yàn)證其密碼是否存在以下現(xiàn)象:（a）是否使用保密口令；（b）是否未經(jīng)批準(zhǔn)保存了口令副本；（c）是否在有跡象表明口令可能受到損害時(shí)變更口令；（d）口令是否具有一定的復(fù)雜性（不能基于別人易于猜出的信息、不容易遭到字典攻擊、避免連續(xù)相同的字符或全數(shù)字、全字母）；（e）系統(tǒng)是否能提醒并強(qiáng)制性要求用戶定期或以訪問(wèn)次數(shù)為基礎(chǔ)變更口令（特權(quán)用戶應(yīng)比常規(guī)口令更頻繁的進(jìn)行更改），并且避免重新使用舊口令或周期性使用舊口令；（f）是否在初次登錄時(shí)更改臨時(shí)口令；（g）是否在任何自動(dòng)登錄過(guò)程中（例如以宏或功能鍵）包含口令；（h）是否存在個(gè)人用戶共享口令現(xiàn)象；（i）是否在不同業(yè)務(wù)系統(tǒng)中使用相同口令。 （j）登錄帳號(hào)若一段時(shí)間不