【正文】 操作進行過整改，整改的后續(xù)情況如何。 人員管理檢查項1：人員管理基本要求：（1）信息科技的崗位設置應合理，應做到分工明確、職責清晰，重要崗位需要相互制約、監(jiān)督；（2）信息科技人員應無不良記錄；信息科技人員的專業(yè)知識和業(yè)務水平應達到本行要求；應加強對臨時聘用或合同制信息科技人員的安全管理措施；（3）應對信息科技人員權限進行分級管理，關鍵崗位應有AB角；應分離不相容崗位人員職責，不得兼任；（4）信息安全管理崗位應配備專職安全管理員。檢查方法、步驟：（1）調閱銀行人事制度，了解銀行的信息科技崗位設置情況，是否配備了專門的安全管理崗位；（2）與信息科技管理人員和普通員工進行座談，聽取其對信息科技崗位設置的意見，分析崗位設置是否合理；（3）調閱銀行人事檔案，查看是否建立了信息科技人員的績效考核制度，查看信息科技人員是否有不良記錄；（4）調閱銀行人事檔案和與信息科技從業(yè)人員進行座談，了解信息科技人員的專業(yè)知識和業(yè)務水平；（5）調閱銀行人事管理制度或部門人事管理制度，分析是否有針對正式信息科技人員、臨時聘用或合同制信息科技人員及顧問制定不同的人事管理制度；（6）調閱信息安全管理的相關制度，確認是否對不同信息科技崗位進行了權限劃分和分級管理，并能貫徹落實上述制度和要求。當信息系統(tǒng)發(fā)生重大變化時，應及時進行信息安全評估。檢查方法、步驟：（1）調閱安全評估報告，檢查商業(yè)銀行是否定期對信息系統(tǒng)安全進行評估。 宣傳、教育和培訓檢查項1：宣傳、教育和培訓基本要求：高管層、信息安全管理部門負責人應知曉信息安全政策；銀行應加強對客戶的信息安全重要性的宣傳教育工作；銀行應定期組織員工進行信息系統(tǒng)安全重要性教育；銀行應組織員工學習基本的信息系統(tǒng)安全管理制度；信息科技人員應掌握與其崗位相關的信息安全管理制度。、測試與維護良好的系統(tǒng)開發(fā)管理是一個系統(tǒng)能否穩(wěn)健運行的必要前提，因此應加強對商業(yè)銀行系統(tǒng)開發(fā)管理工作的檢查力度，從而準確評估各運行系統(tǒng)以及即將上線系統(tǒng)的穩(wěn)定性和可靠性。檢查項1：管理架構基本要求：應建立信息科技管理委員會對信息系統(tǒng)項目建設的審批、授權機制，重大信息系統(tǒng)項目開發(fā)應經過銀行董事會的批準，并符合該機構的IT戰(zhàn)略規(guī)劃和業(yè)務發(fā)展目標。在系統(tǒng)開發(fā)立項審批前，應進行系統(tǒng)開發(fā)可行性研究，以控制與信息科技有關的風險。信息系統(tǒng)開發(fā)過程應有業(yè)務需求部門人員參與，并定期與業(yè)務需求部門一起審核信息系統(tǒng)開發(fā)建設情況，查看是否能夠滿足生產業(yè)務的需要，是否與業(yè)務需求相符合，是否對關鍵業(yè)務風險點進行了有效控制。如成立有項目組，調閱項目組相關工作文件，檢查項目組是否盡職完成其相關職責；（5）查看是否有項目實施部門定期向信息科技管理委員會報告系統(tǒng)開發(fā)進展的報告；（6）查看商業(yè)銀行是否設置獨立的部門負責系統(tǒng)開發(fā)，調閱部門人員清單及簡介（含資質），判斷該部門人員的數(shù)量和專業(yè)背景對于其承擔的系統(tǒng)開發(fā)職責是否充分和適當；（7）調閱項目開發(fā)相關文件，查看信息系統(tǒng)開發(fā)過程是否有業(yè)務部門人員參與，檢查項目開發(fā)過程中開發(fā)部門是否與業(yè)務部門定期總結信息系統(tǒng)開發(fā)建設情況，以確認正在開發(fā)的系統(tǒng)是否與業(yè)務需求相符合，是否對關鍵業(yè)務風險點進行了有效控制；（8）檢查信息系統(tǒng)投產后，實施部門是否組織了對系統(tǒng)的后評價，并根據(jù)評估結果及時對系統(tǒng)功能進行調整和優(yōu)化。商業(yè)銀行制定的制度和流程，應涵蓋信息系統(tǒng)開發(fā)的全周期，包括：分析、設計、開發(fā)或外購、測試、試運行、部署、維護和退出等，制度和流程應經過高級管理層和相關部門的認可，明確相關部門和人員的職責，并定期進行評估和更新。是否建立了質量檢測和風險評估機制等；（2）詢問相關人員，是否有高級管理層和所有有關部門認可這些制度和流程的說明，查看相關會議紀要、相關文件的傳閱痕跡等；（3）檢查系統(tǒng)開發(fā)過程中，相關制度和流程是否得到有效的實施，如是否界定了明確的部門和人員職責，職責劃分是否合理，是否有完整的時間進度管理和財務預算管理，是否要求實施部門定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況等；（4）檢查商業(yè)銀行制定的制度和流程是否涵蓋了信息系統(tǒng)開發(fā)的立項、可行性分析、制定需求、方案設計、程序開發(fā)、系統(tǒng)測試、系統(tǒng)驗收、使用培訓、實施操作和維護等各環(huán)節(jié)。檢查方法、步驟：（1）檢查銀行是否有信息系統(tǒng)生命周期管理制度，是否有項目生命周期管理流程和記錄；（2）檢查系統(tǒng)需求和技術架構的評估文檔，看系統(tǒng)需求與業(yè)務目標是否保持一致；（3）詢問系統(tǒng)開發(fā)部門負責人，銀行是否建立了系統(tǒng)開發(fā)質量控制體系，調閱其項目質量控制標準、代碼編寫規(guī)范（軟件）以及質量控制檢查和監(jiān)督的記錄；（4）檢查是否有項目需求和計劃的風險評估以及業(yè)務的風險點分析,是否有對業(yè)務操作環(huán)境（如人員素質、操作場所等環(huán)境）的相關風險分析，是否有對項目延期的風險、項目進程中發(fā)現(xiàn)的風險、項目外包的風險等關鍵控制點制定風險控制措施，是否有風險控制措施的落實記錄和監(jiān)督記錄；（5）檢查系統(tǒng)開發(fā)環(huán)境和運行環(huán)境是否分離，網絡是否有效隔離，設備是否獨立于生產系統(tǒng)，開發(fā)人員是否接觸生產系統(tǒng)，開發(fā)過程中是否使用了生產數(shù)據(jù),使用的生產數(shù)據(jù)是否得到高級管理層的批準并經過脫敏或相關限制；（6）檢查系統(tǒng)開發(fā)過程中，是否進行安全控制，是否對源代碼進行有效管理和嚴格的審查，系統(tǒng)所有入口是否都經過安全規(guī)則的控制，并在系統(tǒng)開發(fā)文檔中全部注明。對以外包和合作開發(fā)為主進行信息系統(tǒng)開發(fā)建設的銀行機構，應特別重視對外來技術人員的開發(fā)行為加強管理，對于外包開發(fā)與合作開發(fā)的開發(fā)方應進行充分調研分析，以保證系統(tǒng)的可靠性。檢查項5：數(shù)據(jù)繼承和遷移基本要求：信息系統(tǒng)升級變更，應特別重視對歷史數(shù)據(jù)的繼承和遷移。信息系統(tǒng)升級變更前，應制訂詳細的數(shù)據(jù)遷移計劃，并提前進行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗證。檢查方法、步驟：（1）檢查是否進行新舊系統(tǒng)業(yè)務數(shù)據(jù)兼容程度分析，并形成書面報告；（2）檢查業(yè)務系統(tǒng)上線前，是否制訂詳細的數(shù)據(jù)遷移計劃，數(shù)據(jù)遷移計劃是否嚴密；（3）檢查業(yè)務系統(tǒng)上線或升級前，是否進行過數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容程度驗證；有數(shù)據(jù)移植時，檢查是否針對新舊系統(tǒng)中被移植部分數(shù)據(jù)的一致性進行過驗證，對數(shù)據(jù)調整時，是否對調整過程進行了完整記錄并由相關人員簽字；（4）檢查是否制定了相關制度、標準和流程，以保證信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、安全性和可用性。通過對相關制度、流程和程序的檢查，分析商業(yè)銀行在系統(tǒng)測試和上線過程是否存在缺陷，從而對各系統(tǒng)做出合理的評估，避免系統(tǒng)測試不充分上線，或上線程序不周密，導致系統(tǒng)風險，造成損失。系統(tǒng)變更應建立回滾變更的程序，以便于在發(fā)生問題的情況下可以恢復到原始的程序、系統(tǒng)配置和數(shù)據(jù)，在變更遷徙到生產環(huán)境前應進行回滾程序的試運行，以保證回滾程序是有效、可靠的。檢查方法、步驟：：1）檢查系統(tǒng)變更的測試報告，分析測試內容和測試步驟是否完整，測試用例是否充分涵蓋所有業(yè)務場景；（2）調閱測試團隊人員清單，分析測試團隊人員角色、知識水平等是否充分，詢問相關負責人通過哪些措施保證測試團隊的公正性和獨立性；（3）調閱測試方案、測試用例、測試記錄等，分析銀行的測試方案是否完善，測試計劃是否完整，測試環(huán)境是否與生產環(huán)境相隔離，測試用例是否充分，測試用例是否有生產數(shù)據(jù)，當使用生產數(shù)據(jù)測試時是否得到高級管理層的審批并采取相關限制及進行脫敏處理，測試執(zhí)行情況記錄是否完整，查看是否有對充分測試的審核報告；（4）調閱功能測試記錄，查看系統(tǒng)功能測試結果是否與業(yè)務需求一致；（5）調閱非功能性測試報告或記錄（非功能測試技術主要包括：配置和安裝測試、兼容性和互操作性測試、文檔和幫助測試、錯誤恢復測試、性能測試、可靠性測試、保密性測試、壓力測試、可用性測試、容量測試），分析測試用例是否充分，測試結果是否與業(yè)務需求一致；（6）檢查是否建立系統(tǒng)變更的回退程序，是否有回退程序的測試或試運行成功的記錄；（7）調閱系統(tǒng)測試報告，檢查系統(tǒng)測試過程中是否對測試的情況進行規(guī)范的記錄，是否形成測試文檔；對測試過程是否進行分析，并提出相應修改意見。檢查方法、步驟：（1）調閱系統(tǒng)驗收記錄和測試質量的評估報告，檢查系統(tǒng)發(fā)布前商業(yè)銀行是否對測試的過程和有關測試充分進行了審查并對測試質量進行了評估；（2）查看驗收記錄中是否對系統(tǒng)交付物的完整性進行了檢查，檢查的內容還應該包括軟件發(fā)布計劃、操作手冊和應急預案等文檔；（3）檢查打包銷售的軟件是否有完整的、充分的和可靠的測試報告，是否有對軟件代碼的審查記錄，特別是對秘密信道及特洛伊木馬程序審查；（4）檢查是否有完整的試運行報告、試運行記錄、系統(tǒng)錯誤修正記錄等，查看系統(tǒng)的試運行是否通過。檢查方法、步驟:（1）檢查文檔資料管理系統(tǒng)，確認與該信息系統(tǒng)有關的各類文檔資料已經正式歸檔保管，納入生產系統(tǒng)文檔資料管理范圍；（2）與業(yè)務和技術人員訪談，了解投產上線的完整過程，判斷投產上線用的環(huán)境是否在啟用時已經驗證有效、測試業(yè)務數(shù)據(jù)得到完全清理、被移植到生產環(huán)境的數(shù)據(jù)與在原環(huán)境中數(shù)據(jù)保持一致性；（3）與運行人員和開發(fā)維護人員訪談，了解在投產時，運行人員是否熟悉運行操作，維護人員是否接管維護職責，從而判斷是否實行崗位分離和存在操作風險。檢查項1：系統(tǒng)下線基本要求：商業(yè)銀行應當關注系統(tǒng)下線工作，并做到以下幾點：（1）下線前，應當做好充分的論證，證明該信息系統(tǒng)的功能已經失效或已有其它系統(tǒng)替代；（2）系統(tǒng)下線應有下線計劃和操作手冊；（3）確保信息系統(tǒng)的環(huán)境數(shù)據(jù)、客戶數(shù)據(jù)和交易數(shù)據(jù)保存一定時間，并繼續(xù)實施安全管理；（4）在對信息系統(tǒng)設備留作他用、出賣或銷毀時，應當對其中的信息進行刪除等處理，整個過程應記錄。6. 系統(tǒng)運行管理 日常管理商業(yè)銀行應將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內部的崗位制約，并且應從錄用前、任職期間、離職全過程對科技人員進行管理，以確保員工充分了解其責任、能夠嚴格遵守機構的信息安全方針、并確保員工離職后不對本機構造成損失。其目標是做到在未授權或未被監(jiān)測時，個人不能擅自訪問、修改或使用機構信息資產，并做到事件的啟動與其授權相分離。開發(fā)與日常維護、業(yè)務與后臺管理必須實現(xiàn)分離；（2）調取該機構崗位職責及人員名單，驗證不相容崗位是否實現(xiàn)了分離，是否存在崗位分離但人員兼崗的現(xiàn)象；（3）抽取部分應用系統(tǒng)，從系統(tǒng)中取得操作系統(tǒng)用戶清單、數(shù)據(jù)庫用戶清單、應用系統(tǒng)用戶清單以及開發(fā)測試系統(tǒng)的相應清單，驗證是否存在事實上的兼崗現(xiàn)象，是否存在開發(fā)人員在生產系統(tǒng)中存在賬戶的現(xiàn)象。值班人員應對系統(tǒng)運行情況進行全面監(jiān)控，運行記錄應完善、詳實。檢查項3：操作管理基本要求：商業(yè)銀行應制定詳盡的信息科技運行操作程序。檢查方法、步驟：（1）到數(shù)據(jù)中心實地查看，驗證值班室是否保存有較為完整的操作手冊；（2）對比值班人員職責，驗證值班室的操作手冊能否完整覆蓋值班人員的職責；（3）通過調閱值班室視頻記錄，驗證是否存在值班人員脫離文檔操作的現(xiàn)象。組織內部職責和工作變化后應及時調整系統(tǒng)權限。選取部分關鍵崗位人員名單并調閱其錄取過程的文檔，驗證錄取前是否查驗了以下內容：（a）申請人的履歷；（b）相關學歷、資質；（c）身份證件；（d）其他細節(jié)，例如信用卡記錄或犯罪記錄。調閱商業(yè)銀行與錄取員工簽署的錄用合同，驗證是否包括以下內容：（a）是否簽署保密協(xié)議；（b）員工需遵守的法律職責，例如知識產權保護等；（c）與員工有關的信息保護與資產管理職責；（d）員工違規(guī)所要承受的懲罰；（3）管理職責驗證。調閱商業(yè)銀行對員工所進行的有關安全的培訓，驗證商業(yè)銀行是否定期就本單位信息安全方針、制度等內容對員工進行培訓，并通過查閱培訓記錄確認員工均參加了培訓；（5）懲戒過程驗證。調閱商業(yè)銀行相關制度，驗證是否明確了員工離職、調離、崗位變換等情況下應執(zhí)行的相關操作程序。調閱商業(yè)銀行相關制度，驗證是否就員工離職、調離、崗位變換等情況所應歸還的信息資產做出明確定義。 訪問控制策略商業(yè)銀行應加強對物理設施、數(shù)據(jù)、信息系統(tǒng)以及業(yè)務過程的訪問控制管理。檢查方法、步驟：（1）調閱其物理（例如機房）訪問控制策略，驗證其是否包括以下方面：（a）訪問控制權限定義，對禁止在物理安全區(qū)域內開展的活動進行限定；（b）訪問控制授權過程；（c）訪問記錄；（d）控制策略定期更新規(guī)定；（2）抽查部分訪問控制登記薄，驗證以下信息：（a）是否記錄訪問者進入和離開的日期、時間和事由，所有的訪問者應予以監(jiān)督，訪問者只能訪問特定的、已授權的目標，并應向其宣布關于該區(qū)域的安全要求和應急程序說明；（b）通過觀察或調閱錄像，驗證所有訪問者是否都佩戴某種形式的可視標識；（c）驗證第三方支持人員是否只有在需要時才能有限制的訪問安全區(qū)域或敏感信息處理設施，這種訪問是否被授權并全程監(jiān)督；（d）調閱訪問權限修改記錄，驗證是否定期審閱權限的變化；（e）選取部分離職人員名單，驗證是否依然存在于已授權人員名單內；（f）隨機調取進出錄像，驗證進出人員是否在登記簿中進行過登記；（3）驗證是否有門禁系統(tǒng)，不同區(qū)域間是否通過門禁分割，門禁是否有記錄，對電子門禁卡的授權、發(fā)放和注銷是否有明確規(guī)定。檢查方法、步驟：（1）調閱其信息系統(tǒng)訪問控制策略，驗證其是否包括以下方面：（a）各個業(yè)務系統(tǒng)的安全要求；（b）數(shù)據(jù)的分類與授權策略；（c）不同系統(tǒng)和網絡的訪問控制策略與數(shù)據(jù)分類策略的一致性；（d）訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；（e）訪問要求的正式授權要求；（f）訪問控制的周期性評審要求；（g）訪問權力的取消；（2）驗證商業(yè)銀行訪問控制策略是否考慮了以下方面：（a）是否區(qū)分了必須強制執(zhí)行的規(guī)則和有條件執(zhí)行的規(guī)則；（b）是否建立在“未經允許，一律禁止”的基礎之上，而不是“未經禁止，一切允許”。應建立正式的程序來控制對信息系統(tǒng)和服務的訪問權限的分配，這些程序應涵蓋用戶生存周期的各個階段（從新用戶注冊到用戶注銷，例如賬號申請流程、賬號注冊流程、賬號變更流程、賬號注銷流程），應特別注意對特權用戶的分配。（2）核實其特權用戶的管理。（3）驗證其口令管理。（4）用戶訪問權限的評審。檢查項4：用戶責任及終端管理基本要求：商業(yè)銀行應加強對職工的安全培訓，使其充分意識到自身所承擔的信息安全責任，加強安全意識，特別是關于口令的使用和設備安全的職責。檢查方法、步驟：（1）驗證最終用戶口令的使用。 （j）登錄帳號若一