商业银行信息科技风险现场检查指南.doc
《商业银行信息科技风险现场检查指南.doc》由会员分享,可在线阅读,更多相关《商业银行信息科技风险现场检查指南.doc(266页珍藏版)》请在三一办公上搜索。
1、商业银行信息科技风险现场检查指南目 录第一部分 概述121. 指南说明131.1 目的及适用范围131.2 编写原则141.3 指南框架15第二部分 科技管理172. 信息科技治理182.1 董事会及高级管理层18检查项1 :董事会18检查项2 :信息科技管理委员会19检查项3 :首席信息官(CIO)202.2 信息科技部门21检查项1 :信息科技部门21检查项2 :信息科技战略规划232.3 信息科技风险管理部门24检查项1 :信息科技风险管理部门242.4 信息科技风险审计部门25检查项1 :信息科技风险审计部门252.5 知识产权保护和信息披露26检查项1 :知识产权保护26检查项2 :
2、信息披露263. 信息科技风险管理283.1 风险识别和评估28检查项1 :风险管理策略28检查项2 :风险识别与评估293.2 风险防范和检测29检查项1 :风险防范措施29检查项2 :风险计量与检测304. 信息安全管理324.1 安全管理机制与管理组织32检查项1:信息分类和保护体系32检查项2:安全管理机制33检查项3:信息安全策略34检查项4:信息安全组织344.2 安全管理制度35检查项1:规章制度35检查项2:制度合规36检查项3:制度执行374.3 人员管理38检查项1:人员管理384.4 安全评估报告39检查项1:安全评估报告394.5 宣传、教育和培训39检查项1:宣传、教
3、育和培训395.系统开发、测试与维护415.1开发管理41检查项1:管理架构41检查项2:制度建设43检查项3:项目控制体系44检查项4:系统开发的操作风险45检查项5:数据继承和迁移465.2系统测试与上线47检查项1:系统测试47检查项2:系统验收49检查项3:投产上线495.3系统下线50检查项1:系统下线506. 系统运行管理526.1 日常管理52检查项1:职责分离52检查项2:值班制度53检查项3:操作管理53检查项4:人员管理546.2 访问控制策略55检查项1:物理访问控制策略55检查项2:逻辑访问控制策略56检查项3:账号及权限管理57检查项4:用户责任及终端管理58检查项5
4、:远程接入的控制596.3 日志管理60检查项1:审计日志检查60检查项2:日志信息的保护60检查项3:操作日志的检查61检查项4:错误日志的检查616.4系统监控62检查项1:基础环境监控62检查项2:系统性能监控62检查项3:系统运行监控63检查项4:测评体系646.5 事件管理65检查项1:事件报告流程65检查项2:事件管理和改进66检查项3:服务台管理676.6问题管理67检查项1:事件分析和问题生成68检查项2:台账管理68检查项3:问题处置686.7 容量管理69检查项1:容量规划69检查项2:容量监测70检查项3:容量变更706.8 变更管理71检查项1:变更的流程72检查项2:
5、变更的评估72检查项3:变更的授权73检查项4:变更的执行73检查项5:紧急变更74检查项6:重大变更747. 业务连续性管理767.1 业务连续性管理组织77检查项1:董事会及高管层的职责77检查项2:业务连续性管理组织的建立78检查项3:业务连续性管理组织职责797.2 IT服务连续性管理80检查项1:IT服务连续性计划的组织保障80检查项2:风险评估及业务影响分析81检查项3:IT服务连续性计划的制定81检查项4:IT服务连续性计划的测试与维护82检查项5:IT服务连续性计划审计83检查项6:IT服务连续性相关领域的控制848. 应急管理858.1 应急组织85检查项1:应急管理团队85
6、检查项2:应急管理职责86检查项3:应急管理制度868.2 应急预案87检查项1:应急预案制订87检查项2:应急预案内容87检查项3:应急预案更新89检查项4:外包服务应急89检查项5:应急预案培训908.3 应急保障90检查项1:人员保障90检查项2:物质保障90检查项3:技术保障91检查项4:沟通保障918.4 应急演练92检查项1:应急演练的计划92检查项2:应急演练的实施92检查项3:应急演练的总结938.5 应急响应93检查项1:应急响应流程93检查项2:全程记录处置过程94检查项3:应急事件报告95检查项4:与第三方沟通95检查项5:向新闻媒体通报制度96检查项6:应急处置总结96
7、8.6 持续改进97检查项1:应急事件评估97检查项2:应急响应评估97检查项3:应急管理改进979. 灾难恢复管理999.1 灾难恢复组织架构99检查项1:灾难恢复相关组织架构999.2 灾难恢复策略101检查项1:总体控制101检查项2:灾难恢复策略101检查项3:灾难备份策略103检查项4:外包风险1049.3 灾难恢复预案105检查项1:灾难恢复预案105检查项2:联络与通讯106检查项3:教育、培训和演练1079.4评估和维护更新107检查项1:灾备策略的评估和维护更新107检查项2:灾难恢复预案的评估和维护更新10810. 数据管理10910.1 数据管理制度和岗位109检查项1:
8、 数据管理制度109检查项2 :数据管理岗位11010.2 数据备份、恢复策略110检查项1:数据备份、转储策略110检查项2:数据恢复、抽检策略11110.3数据存储介质管理112检查项1:介质管理112检查项2:介质的清理和销毁11311. 外包管理11411.1外包管理制度114检查项1:外包管理制度114检查项2:外包审批流程114检查项3:外包协议115检查项4:服务水平协议115检查项5:外包安全保密措施116检查项6:外包文档管理11611.2外包评估和监督117检查项1:外包服务商的评估117检查项2:外包项目的监督管理11712. 内部审计11912.1 内部审计管理119检
9、查项1:内部审计部门、岗位、人员和职责119检查项2:内部审计制度和办法11912.2 内部审计要求120检查项1:内部审计范围和频率120检查项2:内部审计结果的有效性12013. 外部审计12213.1 外部审计资质122检查项1:外部审计机构的资质12213.2 外部审计要求122检查项1:商业银行配合外部审计情况122检查项2:外部审计有效性123检查项3:外审过程中的保密要求123第三部分 基础设施12514. 计算机机房12614.1计算机机房建设126检查项1:计算机机房选址126检查项2:机房功能分区127检查项3:计算机机房基础设施建设127检查项4:计算机机房的环境要求13
10、0检查项5:计算机机房日常维护13114.2计算机机房管理132检查项1:计算机机房安全管理132检查项2:计算机机房集中监控系统133检查项3:计算机机房安全区域访问控制134检查项4:计算机机房运行管理13514.3机房设备管理136检查项1:机房设备的环境安全13615. 网络通讯13715.1 内控管理137检查项1:内控制度137检查项2:人员管理138检查项3:访问控制138检查项4:日志管理139检查项5:第三方管理140检查项6:服务外包141检查项7:文档管理141检查项8:风险评估14215.2 网络运行维护143检查项1:运行监控143检查项2:性能监控143检查项3:流
11、量监控144检查项4:监控预警144检查项5:性能调优144检查项6:事件管理145检查项7:运行检查14515.3 网络变更管理146检查项1:变更发起146检查项2:变更计划147检查项3:变更测试147检查项4:变更审批147检查项5:变更实施14815.4 网络服务可用性149检查项1:容量管理149检查项2:冗余管理149检查项3:带外管理150检查项4:压力测试151检查项5:应急管理15115.5 网络安全技术151检查项1:结构安全151检查项2:物理安全153检查项3:传输安全153检查项4:访问控制154检查项5:接入安全155检查项6:网络边界安全156检查项7:入侵检测
12、防范157检查项8:恶意代码防范158检查项9:网络设备防护158检查项10:网络安全测试160检查项11:安全审计日志161检查项12:安全检查16216. 操作系统16316.1账号及密码管理163检查项1:管理制度163检查项2:账号、密码管理163检查项3:账号、密码管理检查16516.2系统访问控制165检查项1:访问控制策略165检查项2:用户登录行为管理166检查项3:登录失败日志管理166检查项4:最小化访问16716.3远程接入管理168检查项1:远程管理制度168检查项2:远程维护管理169检查项3:远程维护审查16916.4日常维护170检查项1:系统性能监控170检查项
13、2:补丁及漏洞管理170检查项3:日常维护管理171检查项4:系统备份和故障恢复172检查项5:病毒及恶意代码管理172检查项6:定时进程设置管理173检查项7:系统审计功能17317. 数据库管理系统17517.1访问控制175检查项1:身份认证175检查项2:授权控制176检查项3:远程访问177检查项4:安全参数设置17817.2日常管理178检查项1:数据安全178检查项2:审计功能179检查项3:性能管理180检查项4:补丁升级18117.3连续性管理181检查项1:备份和恢复181检查项2:连续性和应急管理18218. 第三方中间件18418.1 产品管理184检查项1:中间件测试
14、184检查项2:中间件管理184检查项3:中间件与业务系统架构18518.2 运行管理185检查项1:维护流程和操作手册185检查项2:中间件配置管理185检查项3:中间件日志管理的程序186检查项4:中间件的性能监控186检查项5:中间件产生的事件和问题管理187检查项6:中间件的变更187检查项7:单点故障问题和负载均衡187检查项8:压力测试188第四部分 应用系统18919. 应用系统19019.1 应用系统管理190检查项1:业务管理办法与操作流程190检查项2:重要应用系统评估190检查项3:应用系统版本管理191检查项4:应用系统培训教育19219.2 应用系统操作192检查项1
15、:终端用户管理192检查项2:访问控制与授权管理193检查项3:数据保密处理194检查项4:数据完整性处理195检查项5:数据准确性处理195检查项6:日志管理机制196检查项7:备份、恢复机制197检查项8:文档资料管理198检查项9:内部审计的参与19920. 电子银行20020.1 电子银行业务合规性200检查项1:电子银行业务合规性20020.2 电子银行风险管理体系201检查项1:电子银行风险管理体系20120.3 电子银行安全管理202检查项1:电子银行安全策略管理202检查项2:电子银行安全措施203检查项3:电子银行安全监控204检查项4:电子银行安全评估20420.4 电子银
16、行可用性管理205检查项1:电子银行基础设施205检查项2:电子银行性能监测和评估20520.5 电子银行应急管理206检查项1: 电子银行应急预案206检查项2:电子银行应急演练20721. 银行卡系统20821.1 银行卡系统管理208检查项1:银行卡系统容量的合理规划208检查项2:银行卡系统物理设备风险和故障处理209检查项3:银行卡交易监控209检查项4:账户密码和交易数据的存储和传输210检查项5:银行卡系统应急预案21121.2 终端设备212检查项1:自助银行机具和安装环境的物理安全212检查项2:自助银行机具的通信安全212检查项3:自助银行机具的安全装置213检查项4:自助
17、银行业务操作流程(机具软件)213检查项5:自助银行机具的巡查维护214检查项6:POS机21421.3 自助银行监控215检查项1:自助银行设备日常运行的监控情况215检查项2:监控中心和监控设备215检查项3:自助银行监控发现问题的处置情况216检查项4:自助银行设施安全评估(信息科技方面)21622. 第三方存管系统21722.1 管理架构和职责217检查项1:管理架构与岗位职责分工21722.2 系统功能217检查项1:系统功能21722.3 系统一般安全与账户处理218检查项1:账户冲正处理218检查项2:网络访问控制与病毒防范21822.4 数据交换219检查项1:数据交换安全性2
18、1922.5 运行维护220检查项1:运行维护安全性22022.6 系统备份220检查项1:系统备份安全性22022.7 应急恢复与事故处理221检查项1:应急恢复与事故处理流程22122.8 系统测试221检查项1:系统测试22122.9 临时派出柜台222检查项1:系统派出柜台安全性222附录22323. 常用检查方法22423.1 问卷与函证22423.2 访谈22523.3 查阅22623.4 观察22723.5 测试22726.6 分析性复核23026.7 评审23124. 主要网络设备常用操作23224.1 Cisco设备常用操作232交换机232路由器233防火墙23424.2
19、H3C设备常用操作234交换机234路由器236防火墙23725. 主要操作系统常用操作23825.1 AIX系统检查常用操作23825.2 HP/UX系统检查常用操作24625.3 Solaris系统检查常用操作25025.4 Windows系统检查常用操作25126. 主要数据库管理系统常用操作25626.1 DB2 系统检查常用操作25626.2 Sybase 系统检查常用操作25726.3 Oracle 系统检查常用操作25726.4 Informix 系统检查常用操作25926.5 SQL SERVER系统检查常用操作261第一部分 概述1. 指南说明1.1 目的及适用范围信息科技与
20、银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息
21、科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了商业银行信息科技风险现场检查指南(以下简称指南)。指南编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了
22、评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴指南内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。指南主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商业银行 信息 科技 风险 现场 检查 指南
链接地址:https://www.31ppt.com/p-4928526.html