【正文】 檢查方法、步驟：（1）驗證最終用戶口令的使用。（4）用戶訪問權(quán)限的評審。（2）核實其特權(quán)用戶的管理。檢查方法、步驟：（1）調(diào)閱其信息系統(tǒng)訪問控制策略，驗證其是否包括以下方面：（a）各個業(yè)務(wù)系統(tǒng)的安全要求；（b）數(shù)據(jù)的分類與授權(quán)策略；（c）不同系統(tǒng)和網(wǎng)絡(luò)的訪問控制策略與數(shù)據(jù)分類策略的一致性；（d）訪問控制角色的分離，例如訪問請求、訪問授權(quán)、訪問管理；（e）訪問要求的正式授權(quán)要求；（f）訪問控制的周期性評審要求；（g）訪問權(quán)力的取消；（2）驗證商業(yè)銀行訪問控制策略是否考慮了以下方面：（a）是否區(qū)分了必須強制執(zhí)行的規(guī)則和有條件執(zhí)行的規(guī)則；（b）是否建立在“未經(jīng)允許，一律禁止”的基礎(chǔ)之上，而不是“未經(jīng)禁止，一切允許”。 訪問控制策略商業(yè)銀行應(yīng)加強對物理設(shè)施、數(shù)據(jù)、信息系統(tǒng)以及業(yè)務(wù)過程的訪問控制管理。調(diào)閱商業(yè)銀行相關(guān)制度，驗證是否明確了員工離職、調(diào)離、崗位變換等情況下應(yīng)執(zhí)行的相關(guān)操作程序。調(diào)閱商業(yè)銀行與錄取員工簽署的錄用合同，驗證是否包括以下內(nèi)容：（a）是否簽署保密協(xié)議；（b）員工需遵守的法律職責(zé)，例如知識產(chǎn)權(quán)保護等；（c）與員工有關(guān)的信息保護與資產(chǎn)管理職責(zé)；（d）員工違規(guī)所要承受的懲罰；（3）管理職責(zé)驗證。組織內(nèi)部職責(zé)和工作變化后應(yīng)及時調(diào)整系統(tǒng)權(quán)限。檢查項3：操作管理基本要求：商業(yè)銀行應(yīng)制定詳盡的信息科技運行操作程序。開發(fā)與日常維護、業(yè)務(wù)與后臺管理必須實現(xiàn)分離；（2）調(diào)取該機構(gòu)崗位職責(zé)及人員名單，驗證不相容崗位是否實現(xiàn)了分離，是否存在崗位分離但人員兼崗的現(xiàn)象；（3）抽取部分應(yīng)用系統(tǒng)，從系統(tǒng)中取得操作系統(tǒng)用戶清單、數(shù)據(jù)庫用戶清單、應(yīng)用系統(tǒng)用戶清單以及開發(fā)測試系統(tǒng)的相應(yīng)清單，驗證是否存在事實上的兼崗現(xiàn)象，是否存在開發(fā)人員在生產(chǎn)系統(tǒng)中存在賬戶的現(xiàn)象。6. 系統(tǒng)運行管理 日常管理商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約，并且應(yīng)從錄用前、任職期間、離職全過程對科技人員進行管理，以確保員工充分了解其責(zé)任、能夠嚴格遵守機構(gòu)的信息安全方針、并確保員工離職后不對本機構(gòu)造成損失。檢查方法、步驟:（1）檢查文檔資料管理系統(tǒng)，確認與該信息系統(tǒng)有關(guān)的各類文檔資料已經(jīng)正式歸檔保管，納入生產(chǎn)系統(tǒng)文檔資料管理范圍；（2）與業(yè)務(wù)和技術(shù)人員訪談，了解投產(chǎn)上線的完整過程，判斷投產(chǎn)上線用的環(huán)境是否在啟用時已經(jīng)驗證有效、測試業(yè)務(wù)數(shù)據(jù)得到完全清理、被移植到生產(chǎn)環(huán)境的數(shù)據(jù)與在原環(huán)境中數(shù)據(jù)保持一致性；（3）與運行人員和開發(fā)維護人員訪談，了解在投產(chǎn)時，運行人員是否熟悉運行操作，維護人員是否接管維護職責(zé)，從而判斷是否實行崗位分離和存在操作風(fēng)險。檢查方法、步驟：：1）檢查系統(tǒng)變更的測試報告，分析測試內(nèi)容和測試步驟是否完整，測試用例是否充分涵蓋所有業(yè)務(wù)場景；（2）調(diào)閱測試團隊人員清單，分析測試團隊人員角色、知識水平等是否充分，詢問相關(guān)負責(zé)人通過哪些措施保證測試團隊的公正性和獨立性；（3）調(diào)閱測試方案、測試用例、測試記錄等，分析銀行的測試方案是否完善，測試計劃是否完整，測試環(huán)境是否與生產(chǎn)環(huán)境相隔離，測試用例是否充分，測試用例是否有生產(chǎn)數(shù)據(jù)，當(dāng)使用生產(chǎn)數(shù)據(jù)測試時是否得到高級管理層的審批并采取相關(guān)限制及進行脫敏處理，測試執(zhí)行情況記錄是否完整，查看是否有對充分測試的審核報告；（4）調(diào)閱功能測試記錄，查看系統(tǒng)功能測試結(jié)果是否與業(yè)務(wù)需求一致；（5）調(diào)閱非功能性測試報告或記錄（非功能測試技術(shù)主要包括：配置和安裝測試、兼容性和互操作性測試、文檔和幫助測試、錯誤恢復(fù)測試、性能測試、可靠性測試、保密性測試、壓力測試、可用性測試、容量測試），分析測試用例是否充分，測試結(jié)果是否與業(yè)務(wù)需求一致；（6）檢查是否建立系統(tǒng)變更的回退程序，是否有回退程序的測試或試運行成功的記錄；（7）調(diào)閱系統(tǒng)測試報告，檢查系統(tǒng)測試過程中是否對測試的情況進行規(guī)范的記錄，是否形成測試文檔；對測試過程是否進行分析，并提出相應(yīng)修改意見。通過對相關(guān)制度、流程和程序的檢查，分析商業(yè)銀行在系統(tǒng)測試和上線過程是否存在缺陷，從而對各系統(tǒng)做出合理的評估，避免系統(tǒng)測試不充分上線，或上線程序不周密，導(dǎo)致系統(tǒng)風(fēng)險，造成損失。信息系統(tǒng)升級變更前，應(yīng)制訂詳細的數(shù)據(jù)遷移計劃，并提前進行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗證。對以外包和合作開發(fā)為主進行信息系統(tǒng)開發(fā)建設(shè)的銀行機構(gòu)，應(yīng)特別重視對外來技術(shù)人員的開發(fā)行為加強管理，對于外包開發(fā)與合作開發(fā)的開發(fā)方應(yīng)進行充分調(diào)研分析，以保證系統(tǒng)的可靠性。是否建立了質(zhì)量檢測和風(fēng)險評估機制等；（2）詢問相關(guān)人員，是否有高級管理層和所有有關(guān)部門認可這些制度和流程的說明，查看相關(guān)會議紀要、相關(guān)文件的傳閱痕跡等；（3）檢查系統(tǒng)開發(fā)過程中，相關(guān)制度和流程是否得到有效的實施，如是否界定了明確的部門和人員職責(zé)，職責(zé)劃分是否合理，是否有完整的時間進度管理和財務(wù)預(yù)算管理，是否要求實施部門定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當(dāng)包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況等；（4）檢查商業(yè)銀行制定的制度和流程是否涵蓋了信息系統(tǒng)開發(fā)的立項、可行性分析、制定需求、方案設(shè)計、程序開發(fā)、系統(tǒng)測試、系統(tǒng)驗收、使用培訓(xùn)、實施操作和維護等各環(huán)節(jié)。如成立有項目組，調(diào)閱項目組相關(guān)工作文件，檢查項目組是否盡職完成其相關(guān)職責(zé)；（5）查看是否有項目實施部門定期向信息科技管理委員會報告系統(tǒng)開發(fā)進展的報告；（6）查看商業(yè)銀行是否設(shè)置獨立的部門負責(zé)系統(tǒng)開發(fā)，調(diào)閱部門人員清單及簡介（含資質(zhì)），判斷該部門人員的數(shù)量和專業(yè)背景對于其承擔(dān)的系統(tǒng)開發(fā)職責(zé)是否充分和適當(dāng)；（7）調(diào)閱項目開發(fā)相關(guān)文件，查看信息系統(tǒng)開發(fā)過程是否有業(yè)務(wù)部門人員參與，檢查項目開發(fā)過程中開發(fā)部門是否與業(yè)務(wù)部門定期總結(jié)信息系統(tǒng)開發(fā)建設(shè)情況，以確認正在開發(fā)的系統(tǒng)是否與業(yè)務(wù)需求相符合，是否對關(guān)鍵業(yè)務(wù)風(fēng)險點進行了有效控制；（8）檢查信息系統(tǒng)投產(chǎn)后，實施部門是否組織了對系統(tǒng)的后評價，并根據(jù)評估結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。在系統(tǒng)開發(fā)立項審批前，應(yīng)進行系統(tǒng)開發(fā)可行性研究，以控制與信息科技有關(guān)的風(fēng)險。、測試與維護良好的系統(tǒng)開發(fā)管理是一個系統(tǒng)能否穩(wěn)健運行的必要前提，因此應(yīng)加強對商業(yè)銀行系統(tǒng)開發(fā)管理工作的檢查力度，從而準(zhǔn)確評估各運行系統(tǒng)以及即將上線系統(tǒng)的穩(wěn)定性和可靠性。檢查方法、步驟：（1）調(diào)閱安全評估報告，檢查商業(yè)銀行是否定期對信息系統(tǒng)安全進行評估。檢查方法、步驟：（1）調(diào)閱銀行人事制度，了解銀行的信息科技崗位設(shè)置情況，是否配備了專門的安全管理崗位；（2）與信息科技管理人員和普通員工進行座談，聽取其對信息科技崗位設(shè)置的意見，分析崗位設(shè)置是否合理；（3）調(diào)閱銀行人事檔案，查看是否建立了信息科技人員的績效考核制度，查看信息科技人員是否有不良記錄；（4）調(diào)閱銀行人事檔案和與信息科技從業(yè)人員進行座談，了解信息科技人員的專業(yè)知識和業(yè)務(wù)水平；（5）調(diào)閱銀行人事管理制度或部門人事管理制度，分析是否有針對正式信息科技人員、臨時聘用或合同制信息科技人員及顧問制定不同的人事管理制度；（6）調(diào)閱信息安全管理的相關(guān)制度，確認是否對不同信息科技崗位進行了權(quán)限劃分和分級管理，并能貫徹落實上述制度和要求。檢查方法、步驟：（1）與負責(zé)信息安全的人員訪談，了解信息安全制度執(zhí)行情況；（2）調(diào)閱銀行或部門會議記錄，查看銀行或部門是否對日志、視頻等記錄中出現(xiàn)的違規(guī)操作行為進行過認定，并對違規(guī)人員或部門進行過處罰；（3）調(diào)閱銀行或部門會議記錄，查看是否對違規(guī)操作進行過整改，整改的后續(xù)情況如何。檢查項2：制度合規(guī)基本要求：信息安全制度應(yīng)符合國家有關(guān)信息科技管理的法律法規(guī)；應(yīng)符合國家有關(guān)信息科技管理的技術(shù)標(biāo)準(zhǔn)；應(yīng)符合銀監(jiān)會有關(guān)要求；對于擁有境外機構(gòu)的銀行，其制度也應(yīng)符合境外監(jiān)管機構(gòu)的要求。商業(yè)銀行應(yīng)建立完善的信息系統(tǒng)管理制度，管理制度應(yīng)正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學(xué)習(xí)掌握。應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動進行審批；安全管理人員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。檢查項3：信息安全策略基本要求：商業(yè)銀行應(yīng)制訂詳細的信息安全策略，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。（3）檢查商業(yè)銀行信息科技部門是否組織培訓(xùn)和宣傳教育等活動以提高全體員工信息安全意識，是否就安全問題向其他部門提供安全建議。包括：建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，定期向信息科技管理委員會提交本行信息安全評估報告等。如，科技人員少、信息系統(tǒng)種類不多的銀行機構(gòu)，可以不設(shè)置單獨的安全管理部門，但應(yīng)設(shè)置專職的崗位；信息科技崗位設(shè)置可以彼此兼職，但不相容崗位應(yīng)分離，做到操作系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員及數(shù)據(jù)庫管理員彼此分離、網(wǎng)絡(luò)管理員和其他系統(tǒng)管理員彼此分離、批量處理人員和業(yè)務(wù)數(shù)據(jù)庫管理員彼此分離。（2）訪談相關(guān)工作人員，了解中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資法人銀行是否對監(jiān)管政策的差異性進行了充分分析并采取有效風(fēng)險防范措施。)（2）調(diào)閱風(fēng)險監(jiān)控相關(guān)工作記錄,如風(fēng)險評估報告,，了解對高風(fēng)險區(qū)域的監(jiān)控情況；(3)了解信息科技職能和風(fēng)險管理職能如何對主要風(fēng)險進行監(jiān)控,如定期匯總各條線(如運行,開發(fā),測試等)的匯報,對一些重要事項和指標(biāo)的持續(xù)監(jiān)測, 內(nèi)外審的發(fā)現(xiàn)和建議的落實,問題上報制度等。 風(fēng)險防范和檢測檢查項1 ：風(fēng)險防范措施 基本要求：（1）商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果，實施全面的風(fēng)險防范措施。(2)調(diào)閱信息科技風(fēng)險管理文檔,如信息科技風(fēng)險管理政策和流程, 風(fēng)險評估規(guī)范或手冊等。(4) 訪談信息科技人員了解信息披露的流程, 以及信息披露執(zhí)行情況,如科技人員是否了解披露要求,如何確保披露信息的及時和準(zhǔn)確等。 檢查項2 ：信息披露 基本要求：商業(yè)銀行應(yīng)依據(jù)國家有關(guān)法律、法規(guī)的要求，按照監(jiān)管機構(gòu)規(guī)定的格式和時間，及時規(guī)范地披露信息科技風(fēng)險信息。（4）做好自主開發(fā)的信息科技產(chǎn)品的知識產(chǎn)權(quán)保護工作。(5) 調(diào)閱培訓(xùn)記錄。(f)內(nèi)審人員的持續(xù)培訓(xùn)情況。（3）應(yīng)有計劃、有側(cè)重點地開展信息科技風(fēng)險審計工作。（4）了解信息科技風(fēng)險管理部門和信息科技部, 業(yè)務(wù)部門, 內(nèi)審部門和其他相關(guān)部門的相互協(xié)作情況。（5）信息科技風(fēng)險管理部門應(yīng)對全行員工進行持續(xù)的信息科技風(fēng)險教育。（2）信息科技風(fēng)險管理部門應(yīng)制定信息科技風(fēng)險管理大綱。(6)銀行高級管理層應(yīng)對信息科技戰(zhàn)略規(guī)劃的落實情況進行監(jiān)督。（2）信息科技戰(zhàn)略規(guī)劃應(yīng)該與業(yè)務(wù)發(fā)展規(guī)劃保持一致,為實現(xiàn)銀行發(fā)展戰(zhàn)略提供緊密的信息科技支持。(g)主要崗位是否輪崗。檢查方法、步驟:（1）調(diào)閱信息科技部門的各項工作流程和規(guī)章制度。信息科技人員應(yīng)有良好的品德、職業(yè)操守和信用記錄，具備相應(yīng)的專業(yè)知識技能。（2）信息科技部門應(yīng)該根據(jù)工作內(nèi)容，制定完整的內(nèi)部工作流程和內(nèi)控制度，建立與相關(guān)職能部門之間的協(xié)調(diào)配合機制，保證信息科技工作的有序、高效。(f) 首席信息官對銀行信息科技領(lǐng)域主要問題的了解情況和應(yīng)對計劃。(b)銀行目前面臨的主要信息科技風(fēng)險和應(yīng)對策略。（4）首席信息官應(yīng)確保信息科技職能的規(guī)范和有效運作。(3）查閱信息科技管理委員會向董事會和高級管理層的匯報材料和相關(guān)會議記錄,了解其向董事會和高級管理層匯報工作的情況。(c)重大信息科技項目投資的審批情況。（3）定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技預(yù)算和實際支出情況、信息科技的整體管理狀況, 面臨的主要風(fēng)險及其應(yīng)對措施等。(e)董事會如何對信息科技的建設(shè)和管理情況進行監(jiān)督。 檢查方法、步驟：(1)訪談董事會成員/董事會秘書,了解:(a)董事會在銀行信息科技管理領(lǐng)域的角色和職責(zé)。又如：在監(jiān)管部門沒有對商業(yè)銀行首席信息官制度作出更加明確的規(guī)定或銀行機構(gòu)還不具備設(shè)立首席信息官的條件時，可以指定一位具有科技從業(yè)背景或工作經(jīng)驗的高管人員承擔(dān)首席信息官的工作職責(zé)。附錄包含4個章節(jié)，收錄了常用檢查方法和常用操作命令，常用操作命令包括主要網(wǎng)絡(luò)設(shè)備常用操作命令、主要操作系統(tǒng)常用操作命令、主要數(shù)據(jù)庫管理系統(tǒng)常用操作命令等。第一部分“概述”主要介紹了編制《指南》的目的和適應(yīng)范圍、闡述了《指南》的編寫原則等內(nèi)容。三、體現(xiàn)監(jiān)管引領(lǐng)作用。 編寫原則一、突出風(fēng)險為本的監(jiān)管理念。三是指明了商業(yè)銀行信息科技風(fēng)險防控的重點領(lǐng)域、方向和關(guān)鍵風(fēng)險點，提出了風(fēng)險識別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實踐中，成為指導(dǎo)銀行全面開展科技風(fēng)險防控、提升管理能力的有力武器。商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查工作，既是銀監(jiān)會深入掌握銀行信息化建設(shè)、科技管理整體情況的有效方法，也是對銀行機構(gòu)信息科技風(fēng)險狀況進行準(zhǔn)確分析和評價的重要手段，對及時預(yù)警風(fēng)險，提高銀行機構(gòu)信息科技風(fēng)險管控能力和水平，保護存款人和公眾利益，維護金融體系安全和穩(wěn)定有著重要的意義。 專業(yè)資料分享 商業(yè)銀行信息科技風(fēng)險現(xiàn)場檢查指南目 錄第一部分 概述 121. 指南說明 13 目的及適用范圍 13 編寫原則 14 指南框架 15第二部分 科技管理 172. 信息科技治理 18 董事會及高級管理層 18檢查項1 ：董事會 18檢查項2 ：信息科技管理委員會 19檢查項3 ：首席信息官（CIO） 20 信息科技部門 21檢查項1 ：信息科技部門 21檢查項2 ：信息科技戰(zhàn)略規(guī)劃 23 信息科技風(fēng)險管理部門 24檢查項1 ：信息科技風(fēng)險管理部門 24 信息科技風(fēng)險審計部門 25檢查項1 ：信息科技風(fēng)險審計部門 25 知識產(chǎn)權(quán)保護和信息披露 26檢查項1 ：知識產(chǎn)權(quán)保護 26檢查項2 ：信息披露 263. 信息科技風(fēng)險管理 28 風(fēng)險識別和評估 28檢查項1 ：風(fēng)險管理策略