商业银行信息科技风险现场检查指南_商业银行现场检查手册
商业银行信息科技风险现场检查指南由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“商业银行现场检查手册”。
商业银行信息科技风险
现场检查指南
目 录
第一部分 概述.............................................................................................................................12 1.指南说明...................................................................................................................................13 1.1 目的及适用范围.............................................................................................................13 1.2 编写原则.........................................................................................................................14 1.3 指南框架.........................................................................................................................15 第二部分 科技管理.....................................................................................................................17 2.信息科技治理...........................................................................................................................18 2.1 董事会及高级管理层.....................................................................................................18 检查项1 :董事会........................................................................................................18 检查项2 :信息科技管理委员会................................................................................19 检查项3 :首席信息官(CIO)..................................................................................20 2.2 信息科技部门.................................................................................................................21 检查项1 :信息科技部门............................................................................................21 检查项2 :信息科技战略规划....................................................................................23 2.3 信息科技风险管理部门.................................................................................................24 检查项1 :信息科技风险管理部门............................................................................24 2.4 信息科技风险审计部门.................................................................................................25 检查项1 :信息科技风险审计部门............................................................................25 2.5 知识产权保护和信息披露.............................................................................................26 检查项1 :知识产权保护............................................................................................26 检查项2 :信息披露....................................................................................................26 3.信息科技风险管理...................................................................................................................28 3.1 风险识别和评估.............................................................................................................28 检查项1 :风险管理策略............................................................................................28 检查项2 :风险识别与评估........................................................................................29 3.2 风险防范和检测.............................................................................................................29 检查项1 :风险防范措施............................................................................................29 检查项2 :风险计量与检测........................................................................................30 4.信息安全管理...........................................................................................................................32 4.1 安全管理机制与管理组织.............................................................................................32 检查项1:信息分类和保护体系..................................................................................32 检查项2:安全管理机制..............................................................................................33 检查项3:信息安全策略..............................................................................................34 检查项4:信息安全组织..............................................................................................34 4.2 安全管理制度.................................................................................................................35 检查项1:规章制度......................................................................................................35 检查项2:制度合规......................................................................................................36 2 检查项3:制度执行......................................................................................................37 4.3 人员管理.........................................................................................................................38 检查项1:人员管理......................................................................................................38 4.4 安全评估报告.................................................................................................................39 检查项1:安全评估报告..............................................................................................39 4.5 宣传、教育和培训.........................................................................................................39 检查项1:宣传、教育和培训......................................................................................39 5.系统开发、测试与维护.............................................................................................................41 5.1开发管理..........................................................................................................................41 检查项1:管理架构......................................................................................................41 检查项2:制度建设......................................................................................................43 检查项3:项目控制体系..............................................................................................44 检查项4:系统开发的操作风险..................................................................................45 检查项5:数据继承和迁移..........................................................................................46 5.2系统测试与上线..............................................................................................................47 检查项1:系统测试......................................................................................................47 检查项2:系统验收......................................................................................................49 检查项3:投产上线......................................................................................................49 5.3系统下线..........................................................................................................................50 检查项1:系统下线......................................................................................................50 6.系统运行管理...........................................................................................................................52 6.1 日常管理.........................................................................................................................52 检查项1:职责分离......................................................................................................52 检查项2:值班制度......................................................................................................53 检查项3:操作管理......................................................................................................53 检查项4:人员管理......................................................................................................54 6.2 访问控制策略.................................................................................................................55 检查项1:物理访问控制策略......................................................................................55 检查项2:逻辑访问控制策略......................................................................................56 检查项3:账号及权限管理..........................................................................................57 检查项4:用户责任及终端管理..................................................................................58 检查项5:远程接入的控制..........................................................................................59 6.3 日志管理.........................................................................................................................60 检查项1:审计日志检查..............................................................................................60 检查项2:日志信息的保护..........................................................................................60 检查项3:操作日志的检查..........................................................................................61 检查项4:错误日志的检查..........................................................................................61 6.4系统监控..........................................................................................................................62 检查项1:基础环境监控..............................................................................................62 检查项2:系统性能监控..............................................................................................62 检查项3:系统运行监控..............................................................................................63 检查项4:测评体系......................................................................................................64 6.5 事件管理.........................................................................................................................65 3 检查项1:事件报告流程..............................................................................................65 检查项2:事件管理和改进..........................................................................................66 检查项3:服务台管理..................................................................................................67 6.6问题管理..........................................................................................................................67 检查项1:事件分析和问题生成..................................................................................68 检查项2:台账管理......................................................................................................68 检查项3:问题处臵......................................................................................................68 6.7 容量管理.........................................................................................................................69 检查项1:容量规划......................................................................................................69 检查项2:容量监测......................................................................................................70 检查项3:容量变更......................................................................................................70 6.8 变更管理.........................................................................................................................71 检查项1:变更的流程..................................................................................................72 检查项2:变更的评估..................................................................................................72 检查项3:变更的授权..................................................................................................73 检查项4:变更的执行..................................................................................................73 检查项5:紧急变更......................................................................................................74 检查项6:重大变更......................................................................................................74 7.业务连续性管理.......................................................................................................................76 7.1 业务连续性管理组织.....................................................................................................77 检查项1:董事会及高管层的职责..............................................................................77 检查项2:业务连续性管理组织的建立......................................................................78 检查项3:业务连续性管理组织职责..........................................................................79 7.2 IT服务连续性管理........................................................................................................80 检查项1:IT服务连续性计划的组织保障.................................................................80 检查项2:风险评估及业务影响分析..........................................................................81 检查项3:IT服务连续性计划的制定.........................................................................81 检查项4:IT服务连续性计划的测试与维护.............................................................82 检查项5:IT服务连续性计划审计.............................................................................83 检查项6:IT服务连续性相关领域的控制.................................................................84 8.应急管理...................................................................................................................................85 8.1 应急组织.........................................................................................................................85 检查项1:应急管理团队..............................................................................................85 检查项2:应急管理职责..............................................................................................86 检查项3:应急管理制度..............................................................................................86 8.2 应急预案.........................................................................................................................87 检查项1:应急预案制订..............................................................................................87 检查项2:应急预案内容..............................................................................................87 检查项3:应急预案更新..............................................................................................89 检查项4:外包服务应急..............................................................................................89 检查项5:应急预案培训..............................................................................................90 8.3 应急保障.........................................................................................................................90 检查项1:人员保障......................................................................................................90 4 检查项2:物质保障......................................................................................................90 检查项3:技术保障......................................................................................................91 检查项4:沟通保障......................................................................................................91 8.4 应急演练.........................................................................................................................92 检查项1:应急演练的计划..........................................................................................92 检查项2:应急演练的实施..........................................................................................92 检查项3:应急演练的总结..........................................................................................93 8.5 应急响应.........................................................................................................................93 检查项1:应急响应流程..............................................................................................93 检查项2:全程记录处臵过程......................................................................................94 检查项3:应急事件报告..............................................................................................95 检查项4:与第三方沟通..............................................................................................95 检查项5:向新闻媒体通报制度..................................................................................96 检查项6:应急处臵总结..............................................................................................96 8.6 持续改进.........................................................................................................................97 检查项1:应急事件评估..............................................................................................97 检查项2:应急响应评估..............................................................................................97 检查项3:应急管理改进..............................................................................................97 9.灾难恢复管理...........................................................................................................................99 9.1 灾难恢复组织架构.........................................................................................................99 检查项1:灾难恢复相关组织架构..............................................................................99 9.2 灾难恢复策略...............................................................................................................101 检查项1:总体控制....................................................................................................101 检查项2:灾难恢复策略............................................................................................101 检查项3:灾难备份策略............................................................................................103 检查项4:外包风险....................................................................................................104 9.3 灾难恢复预案...............................................................................................................105 检查项1:灾难恢复预案............................................................................................105 检查项2:联络与通讯................................................................................................106 检查项3:教育、培训和演练....................................................................................107 9.4评估和维护更新............................................................................................................107 检查项1:灾备策略的评估和维护更新....................................................................107 检查项2:灾难恢复预案的评估和维护更新............................................................108 10.数据管理...............................................................................................................................109 10.1 数据管理制度和岗位.................................................................................................109 检查项1: 数据管理制度............................................................................................109 检查项2 :数据管理岗位..........................................................................................110 10.2 数据备份、恢复策略.................................................................................................110 检查项1:数据备份、转储策略................................................................................110 检查项2:数据恢复、抽检策略................................................................................111 10.3数据存储介质管理......................................................................................................112 检查项1:介质管理....................................................................................................112 检查项2:介质的清理和销毁....................................................................................113 5 11.外包管理...............................................................................................................................114 11.1外包管理制度..............................................................................................................114 检查项1:外包管理制度............................................................................................114 检查项2:外包审批流程............................................................................................114 检查项3:外包协议....................................................................................................115 检查项4:服务水平协议............................................................................................115 检查项5:外包安全保密措施....................................................................................116 检查项6:外包文档管理............................................................................................116 11.2外包评估和监督..........................................................................................................117 检查项1:外包服务商的评估....................................................................................117 检查项2:外包项目的监督管理................................................................................117 12.内部审计...............................................................................................................................119 12.1 内部审计管理.............................................................................................................119 检查项1:内部审计部门、岗位、人员和职责........................................................119 检查项2:内部审计制度和办法................................................................................119 12.2 内部审计要求.............................................................................................................120 检查项1:内部审计范围和频率................................................................................120 检查项2:内部审计结果的有效性............................................................................120 13.外部审计...............................................................................................................................122 13.1 外部审计资质.............................................................................................................122 检查项1:外部审计机构的资质................................................................................122 13.2 外部审计要求.............................................................................................................122 检查项1:商业银行配合外部审计情况....................................................................122 检查项2:外部审计有效性........................................................................................123 检查项3:外审过程中的保密要求............................................................................123 第三部分 基础设施...................................................................................................................125 14.计算机机房...........................................................................................................................126 14.1计算机机房建设..........................................................................................................126 检查项1:计算机机房选址........................................................................................126 检查项2:机房功能分区............................................................................................127 检查项3:计算机机房基础设施建设........................................................................127 检查项4:计算机机房的环境要求............................................................................130 检查项5:计算机机房日常维护................................................................................131 14.2计算机机房管理..........................................................................................................132 检查项1:计算机机房安全管理................................................................................132 检查项2:计算机机房集中监控系统........................................................................133 检查项3:计算机机房安全区域访问控制................................................................134 检查项4:计算机机房运行管理................................................................................135 14.3机房设备管理..............................................................................................................136 检查项1:机房设备的环境安全................................................................................136 15.网络通讯...............................................................................................................................137 15.1 内控管理.....................................................................................................................137 检查项1:内控制度....................................................................................................137 6 检查项2:人员管理....................................................................................................138 检查项3:访问控制....................................................................................................138 检查项4:日志管理....................................................................................................139 检查项5:第三方管理................................................................................................140 检查项6:服务外包....................................................................................................141 检查项7:文档管理....................................................................................................141 检查项8:风险评估....................................................................................................142 15.2 网络运行维护.............................................................................................................143 检查项1:运行监控....................................................................................................143 检查项2:性能监控....................................................................................................143 检查项3:流量监控....................................................................................................144 检查项4:监控预警....................................................................................................144 检查项5:性能调优....................................................................................................144 检查项6:事件管理....................................................................................................145 检查项7:运行检查....................................................................................................145 15.3 网络变更管理.............................................................................................................146 检查项1:变更发起....................................................................................................146 检查项2:变更计划....................................................................................................147 检查项3:变更测试....................................................................................................147 检查项4:变更审批....................................................................................................147 检查项5:变更实施....................................................................................................148 15.4 网络服务可用性.........................................................................................................149 检查项1:容量管理....................................................................................................149 检查项2:冗余管理....................................................................................................149 检查项3:带外管理....................................................................................................150 检查项4:压力测试....................................................................................................151 检查项5:应急管理....................................................................................................151 15.5 网络安全技术.............................................................................................................151 检查项1:结构安全....................................................................................................151 检查项2:物理安全....................................................................................................153 检查项3:传输安全....................................................................................................153 检查项4:访问控制....................................................................................................154 检查项5:接入安全....................................................................................................155 检查项6:网络边界安全............................................................................................156 检查项7:入侵检测防范............................................................................................157 检查项8:恶意代码防范............................................................................................158 检查项9:网络设备防护............................................................................................158 检查项10:网络安全测试..........................................................................................160 检查项11:安全审计日志..........................................................................................161 检查项12:安全检查..................................................................................................162 16.操作系统...............................................................................................................................163 16.1账号及密码管理..........................................................................................................163 检查项1:管理制度....................................................................................................163 7 检查项2:账号、密码管理........................................................................................163 检查项3:账号、密码管理检查................................................................................165 16.2系统访问控制..............................................................................................................165 检查项1:访问控制策略............................................................................................165 检查项2:用户登录行为管理....................................................................................166 检查项3:登录失败日志管理....................................................................................166 检查项4:最小化访问................................................................................................167 16.3远程接入管理..............................................................................................................168 检查项1:远程管理制度............................................................................................168 检查项2:远程维护管理............................................................................................169 检查项3:远程维护审查............................................................................................169 16.4日常维护.......................................................................................................................170 检查项1:系统性能监控............................................................................................170 检查项2:补丁及漏洞管理........................................................................................170 检查项3:日常维护管理............................................................................................171 检查项4:系统备份和故障恢复................................................................................172 检查项5:病毒及恶意代码管理................................................................................172 检查项6:定时进程设臵管理....................................................................................173 检查项7:系统审计功能............................................................................................173 17.数据库管理系统...................................................................................................................175 17.1访问控制.......................................................................................................................175 检查项1:身份认证....................................................................................................175 检查项2:授权控制....................................................................................................176 检查项3:远程访问....................................................................................................177 检查项4:安全参数设臵............................................................................................178 17.2日常管理.......................................................................................................................178 检查项1:数据安全....................................................................................................178 检查项2:审计功能....................................................................................................179 检查项3:性能管理....................................................................................................180 检查项4:补丁升级....................................................................................................181 17.3连续性管理...................................................................................................................181 检查项1:备份和恢复................................................................................................181 检查项2:连续性和应急管理....................................................................................182 18.第三方中间件.......................................................................................................................184 18.1 产品管理.....................................................................................................................184 检查项1:中间件测试................................................................................................184 检查项2:中间件管理................................................................................................184 检查项3:中间件与业务系统架构............................................................................185 18.2 运行管理.....................................................................................................................185 检查项1:维护流程和操作手册................................................................................185 检查项2:中间件配臵管理........................................................................................185 检查项3:中间件日志管理的程序............................................................................186 检查项4:中间件的性能监控....................................................................................186 8 检查项5:中间件产生的事件和问题管理................................................................187 检查项6:中间件的变更............................................................................................187 检查项7:单点故障问题和负载均衡........................................................................187 检查项8:压力测试....................................................................................................188 第四部分 应用系统...................................................................................................................189 19.应用系统...............................................................................................................................190 19.1 应用系统管理.............................................................................................................190 检查项1:业务管理办法与操作流程........................................................................190 检查项2:重要应用系统评估....................................................................................190 检查项3:应用系统版本管理....................................................................................191 检查项4:应用系统培训教育....................................................................................192 19.2 应用系统操作.............................................................................................................192 检查项1:终端用户管理............................................................................................192 检查项2:访问控制与授权管理................................................................................193 检查项3:数据保密处理............................................................................................194 检查项4:数据完整性处理........................................................................................195 检查项5:数据准确性处理........................................................................................195 检查项6:日志管理机制............................................................................................196 检查项7:备份、恢复机制........................................................................................197 检查项8:文档资料管理............................................................................................198 检查项9:内部审计的参与........................................................................................199 20.电子银行...............................................................................................................................200 20.1 电子银行业务合规性.................................................................................................200 检查项1:电子银行业务合规性................................................................................200 20.2 电子银行风险管理体系.............................................................................................201 检查项1:电子银行风险管理体系............................................................................201 20.3 电子银行安全管理.....................................................................................................202 检查项1:电子银行安全策略管理............................................................................202 检查项2:电子银行安全措施....................................................................................203 检查项3:电子银行安全监控....................................................................................204 检查项4:电子银行安全评估....................................................................................204 20.4 电子银行可用性管理.................................................................................................205 检查项1:电子银行基础设施....................................................................................205 检查项2:电子银行性能监测和评估........................................................................205 20.5 电子银行应急管理.....................................................................................................206 检查项1: 电子银行应急预案..................................................................................206 检查项2:电子银行应急演练....................................................................................207 21.银行卡系统...........................................................................................................................208 21.1 银行卡系统管理.........................................................................................................208 检查项1:银行卡系统容量的合理规划....................................................................208 检查项2:银行卡系统物理设备风险和故障处理....................................................209 检查项3:银行卡交易监控........................................................................................209 检查项4:账户密码和交易数据的存储和传输........................................................210 9 检查项5:银行卡系统应急预案................................................................................211 21.2 终端设备.....................................................................................................................212 检查项1:自助银行机具和安装环境的物理安全....................................................212 检查项2:自助银行机具的通信安全........................................................................212 检查项3:自助银行机具的安全装臵........................................................................213 检查项4:自助银行业务操作流程(机具软件)....................................................213 检查项5:自助银行机具的巡查维护........................................................................214 检查项6:POS机.........................................................................................................214 21.3 自助银行监控.............................................................................................................215 检查项1:自助银行设备日常运行的监控情况........................................................215 检查项2:监控中心和监控设备................................................................................215 检查项3:自助银行监控发现问题的处臵情况........................................................216 检查项4:自助银行设施安全评估(信息科技方面)............................................216 22.第三方存管系统...................................................................................................................217 22.1 管理架构和职责.........................................................................................................217 检查项1:管理架构与岗位职责分工........................................................................217 22.2 系统功能.....................................................................................................................217 检查项1:系统功能....................................................................................................217 22.3 系统一般安全与账户处理.........................................................................................218 检查项1:账户冲正处理............................................................................................218 检查项2:网络访问控制与病毒防范........................................................................218 22.4 数据交换.....................................................................................................................219 检查项1:数据交换安全性........................................................................................219 22.5 运行维护.....................................................................................................................220 检查项1:运行维护安全性........................................................................................220 22.6 系统备份.....................................................................................................................220 检查项1:系统备份安全性........................................................................................220 22.7 应急恢复与事故处理.................................................................................................221 检查项1:应急恢复与事故处理流程........................................................................221 22.8 系统测试.....................................................................................................................221 检查项1:系统测试....................................................................................................221 22.9 临时派出柜台.............................................................................................................222 检查项1:系统派出柜台安全性................................................................................222 附录...............................................................................................................................................223 23.常用检查方法.......................................................................................................................224 23.1 问卷与函证.................................................................................................................224 23.2 访谈.............................................................................................................................225 23.3 查阅.............................................................................................................................226 23.4 观察.............................................................................................................................227 23.5 测试.............................................................................................................................227 26.6 分析性复核.................................................................................................................230 26.7 评审.............................................................................................................................231 24.主要网络设备常用操作.......................................................................................................232 10 24.1 Cisco设备常用操作..................................................................................................232 交换机...........................................................................................................................232 路由器...........................................................................................................................233 防火墙...........................................................................................................................234 24.2 H3C设备常用操作......................................................................................................234 交换机...........................................................................................................................234 路由器...........................................................................................................................236 防火墙...........................................................................................................................237 25.主要操作系统常用操作.......................................................................................................238 25.1 AIX系统检查常用操作..............................................................................................238 25.2 HP/UX系统检查常用操作..........................................................................................246 25.3 Solaris系统检查常用操作......................................................................................250 25.4 Windows系统检查常用操作......................................................................................251 26.主要数据库管理系统常用操作...........................................................................................256 26.1 DB2 系统检查常用操作.............................................................................................256 26.2 Sybase 系统检查常用操作.......................................................................................257 26.3 Oracle 系统检查常用操作.......................................................................................257 26.4 Informix 系统检查常用操作...................................................................................259 26.5 SQL SERVER系统检查常用操作................................................................................261
第一部分 概述
1.指南说明
1.1 目的及适用范围
信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮 13 助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。
1.2 编写原则
一、突出风险为本的监管理念。《指南》坚持法人监管、风险为本的监管理念,紧扣信息科技风险这一中心,详细说明了商业银行信息科技风险管理中的300多个关键风险点,明确提出了具体的控制要求和检查方法、步骤,涵盖了商业银行信息科技风险管控的各个方面和环节。
二、坚持分类监管的原则。《指南》参照相关行业标准和规范,指出了商业银行信息科技风险控制所应达到的标准,同时兼顾不同类型银行机构的特点体现分类监管原则,针对不同的被检查主体,在检查目标上有所区别和侧重,以便于监管人员正确把握检查标准和尺度,对商业银行的指导更具有针对性。
三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念,也充分吸收了国内先进银行的成功经验,商业银行可以对照《指南》分析差距,将《指南》要求作为持续提高信息科技风险管控水平的目标。
1.3 指南框架
《指南》强调:商业银行信息科技风险管理应以科技治理为核心,通过完善科技治理架构,形成有效内控机制,将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。
《指南》包含4个部分和附录,共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节,提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节,提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节,提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。
附录包含4个章节,收录了常用检查方法和常用操作命令,常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。
第二部分 科技管理
2.信息科技治理
商业银行的董事会和高级管理层应根据本银行的发展战略,运用先进管理理念加强信息科技治理,提高信息技术使用效益,推动商业银行的业务创新,增强核心竞争力和可持续发展能力。
提示:在对商业银行的信息科技治理情况进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,有的银行机构还不具备建立专门信息科技管理委员会的条件时,可以指定其他委员会暂时代行其职责,也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担其职责。又如:在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时,可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。
2.1 董事会及高级管理层
检查项1 :董事会
基本要求:(1)董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。检查方法、步骤:(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
检查项2 :信息科技管理委员会
基本要求:(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2)信息科技管理委员会的职责应包括:(a)设定全行IT战略目标,指导IT方面的资金投入,对IT规划进行审批;(b)合理运用现有资源,指导信息科技部门提供高质量的IT服务,同时要监督IT成本管理情况;(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突;(d)确保IT战略的及时更新;(e)对主要的IT政策、标准、原则进行审批;(f)对重要的IT项目和活动进行监控;(g)监督和管理IT绩效,确保达到预期IT服务水平;(h)对重大IT项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。检查方法、步骤:(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。
检查项3 :首席信息官(CIO)
基本要求:(1)商业银行应建立首席信息官制度,明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作:信息科技预算和支出,信息科技政策、标准和流程制定及执行,信息科技内部控制、专业化研发,信息科技项目管理,信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难恢复计划,信息科技外包和信息系统退出等。(6)首席信息官应确保信息科技人才队伍具备充分的专业技能。
检查方法、步骤:(1)访谈首席信息官,关注以下内容:(a)银行的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;(f)首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进行监控。(2)查阅相关文档资料,如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。
2.2 信息科技部门
检查项1 :信息科技部门
基本要求:(1)商业银行应建立与银行业务相适应的信息科技部门,负责信息科技产品的开发、外包、测试、上线和变更,负责相应信息系统的运行、维护和安全,为银行提供信息科技业务产品。(2)信息科技部门应该根据工作内容,制定完整的内部工作流程和内控制度,建立与相关职能部门之间的协调配合机制,保证信息科技工作的有序、高效。(3)信息科技部门应定期分析评估信息系统生命周期各阶段的风险,制定风险防控策略、措施和检查流程,切实做好信息科技风险管控。(4)信息科技部门所配臵的信息科技人员的数量应适应业务及IT发展水平,能保证各个信息系统和各项信息科技工作安全 21 持续地运转。信息科技部门应做好科技人员管理,注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录,具备相应的专业知识技能。(5)信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍,应做好信息科技开发管理,以及相关的外包服务管理、知识产权管理和开发环节的风险管理,为银行提供安全的信息科技业务产品。(6)信息科技部门应建设好银行信息科技系统安全连续运行的环境(包括场地、设备、网络、系统、数据安全、访问控制和管理制度等),做好各种环境的监测控制,做好事件、问题管理和变更管理,做好紧急事件应急预案。(7)信息科技部门应严格遵守国家各项安全管理制度,配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度,协助做好业务部门信息科技风险控制和安全教育。
检查方法、步骤:(1)调阅信息科技部门的各项工作流程和规章制度。(2)调阅信息科技风险管理政策和制度。(3)调阅信息科技部门的组织结构图,岗位职责说明。(4)访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员,关注以下内容:(a)信息科技部门内部设臵了哪些条线?各条线是否实现了必要的职责分离,如开发团队和运行团队分离, 信息科技人员不从事业务操作, 有专门的团队开展安全检查等;(b)信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能;(c)问题和风险的报告路线、流程和处臵效率;(d)信息科技人员的激励机制;(e)如何对信息科技人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内部控制的理念;(f)信息科技人员的任免和招聘,是否进行背景调查;(g)主要岗位是否轮岗;(h)信息科技人员的技能培训情况;(i)信息科技人员是否了解本行的信息科技政策/流程/规范/标准等。
检查项2 :信息科技战略规划
基本要求:(1)商业银行信息科技战略规划应在充分的市场调查和技术分析的基础上,由首席信息官, 银行高级管理层, 科技部门、风险管理和业务部门共同讨论制定,并经过信息科技管理委员会审查和批准,并报董事会审议。(2)信息科技战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息科技支持。(3)信息科技战略规划应包含但不限于:IT治理建设的规划(关注于管理组织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时,银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进行监督。
检查方法、步骤:(1)调阅信息科技发展战略规划或其他中长期发展规划,关注相关规划的配合和衔接。(2)访谈信息科技管理部门负责人和相关工作人员,重点关注:(a)信息科技发展战略规划的制定是否有各方面人员参与,是否经过高级管理层审批;(b)信息科技发展战略规划的内容是否包含了应用架构,基础设施,IT治理等方面;(c)信息科技发展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题;(d)信息科技战略规划是否依据环境变化,总体战略变更等进行调整。
2.3 信息科技风险管理部门
检查项1 :信息科技风险管理部门
基本要求:(1)商业银行应建立全行信息科技风险管理框架,设立或指定信息科技风险管理部门,明确相应的管理职责,设臵必要的岗位,配臵足够的信息科技风险管理人员。(2)信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。(3)信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度,定期检查制度的执行情况,防止出现失控的环节和管理制度老化的情况。(4)信息科技风险管理部门应对重要的信息科技工作环节进行风险识别和评估,定期检查和上报信息科技风险控制状况。(5)信息科技风险管理部门应对全行员工进行持续的信息科技风险教育。
检查方法、步骤:(1)调阅信息科技风险管理的相关政策, 流程,管理规范, 工作手册,以及开展信息科技风险管理的记录, 如日常工作记录、会议纪要和风险评估报告等。(2)调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配臵情况。(3)了解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标 24 准,是否定期开展风险评估, 风险评估的结果,主要风险和应对措施等。(4)了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的开展情况,并调阅培训资料和记录等。
2.4 信息科技风险审计部门
检查项1 :信息科技风险审计部门
基本要求:(1)商业银行应指定专门负责信息科技风险审计的部门,设臵必要的岗位,并配备适量信息科技风险专业审计人员。(2)制定信息科技风险审计制度和相应的审计手册。(3)应有计划、有侧重点地开展信息科技风险审计工作。(4)及时向董事会和监事会报告信息科技风险审计情况。(5)审计发现重大风险隐患应及时报告。
检查方法、步骤:(1)访谈信息科技审计部门负责人和工作人员, 了解以下信息:(a)信息科技审计职能的定位, 工作范围,组织结构和分工(包括信息科技内审团队内部的分工,以及与其他内审团队的分工),汇报路线, 人员配臵, 技能(如是否拥有专业资格)等情况;(b)信息科技审计计划, 关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划;(c)信息科技审计工作的标准和规范;(d)信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等;(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。(f)内审人员的持续培 25 训情况。(2)调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度;(b)信息科技审计部组织结构图,职责说明等;(c)信息科技风险审计手册或其他标准规范文档。(3)调阅商业银行审计工作计划、工作底稿和审计报告。(4)调阅审计发现落实整改情况的记录。(5)调阅培训记录。
2.5 知识产权保护和信息披露
检查项1 :知识产权保护
基本要求:(1)商业银行应按照国家有关知识产权法律、法规的要求,制定本单位知识产权保护制度。(2)应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。(3)规范合法软件的购买和使用,禁止使用盗版软件。(4)做好自主开发的信息科技产品的知识产权保护工作。
检查方法、步骤:(1)调阅商业银行遵守知识产权法律的相关制度并审查其内容。(2)查阅商业银行的软件清单,检查是否拥有产权或授权及到期状况。(3)查阅外包服务协议和相关文件中是否有知识产权的保护条款,并检查落实情况。
检查项2 :信息披露
基本要求:商业银行应依据国家有关法律、法规的要求,按照监管机构规定的格式和时间,及时规范地披露信息科技风险信息。
检查方法、步骤:(1)调阅商业银行有关信息科技风险披露的制度。(2)查阅商业银行披露信息科技风险评估结果的记录。(3)重点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法规的要求,是否按照监管机构规定的格式和时间及时规范地发布。(4)访谈信息科技人员了解信息披露的流程, 以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。
3.信息科技风险管理
商业银行应制定信息科技风险管理策略,制定风险识别和评估、风险防范措施,对风险进行持续监测。
3.1 风险识别和评估
检查项1 :风险管理策略
基本要求:(1)商业银行应制定符合银行总体业务发展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划;(2)应配臵足够人力、财力资源,维持稳定、安全的信息科技环境;(3)应制定全面的信息科技风险管理策略,包括但不限于:信息分级与保护,信息系统开发、测试和维护,信息科技运行和维护,访问控制,物理安全,人员安全,业务连续性计划与应急处臵。
检查方法、步骤:(1)访谈信息科技部门及信息科技风险管理部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定;(b)银行的主要信息科技风险及其应对措施;(c)在开展信息科技风险管理过程中遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管理政策和流程, 风险评估规范或手册等。检查项2 :风险识别与评估
基本要求:(1)商业银行应制定持续的风险识别和评估流程,确定信息科技风险隐患;(2)定期评估信息科技风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别。
检查方法、步骤:(1)调阅风险识别和评估流程文档,风险评估报告和相关工作底稿,了解具体工作开展情况。(2)与信息科技风险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员)访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。
3.2 风险防范和检测
检查项1 :风险防范措施
基本要求:(1)商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:制定明确的信息科技风险管理制度、技术标准和操作规程,并定期进行更新和公布;(2)确定潜在风险区域,并对这些区域进行有效的监控,实现风险及早发现、影响最小化;(3)建立适当的控制框架,以便于检查和平衡风险。定义每个业务级别的控制内容,包括:最高权限用户审查,控制数据和系统的物理及逻辑访问,访问授权以“必需知道”和“最小授权”为原则,审批和授权,验证和调节等。
检查方法、步骤:(1)调阅信息科技管理制度、技术标准、操作 29 规程等文档,并访谈信息科技人员和风险管理人员,了解信息科技风险控制的主要原则和措施.(注:这里应主要关注风险控制的原则, 如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等,具体控制的设计和执行情况将在各个领域中进行检查。)(2)调阅风险监控相关工作记录,如风险评估报告,信息科技各职能部门关于风险的汇报文档等.访谈风险管理人员,了解对高风险区域的监控情况;(3)了解信息科技职能和风险管理职能如何对主要风险进行监控,如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指标的持续监测, 内外审的发现和建议的落实,问题上报制度等。
检查项2 :风险计量与检测
基本要求:(1)商业银行应建立持续的信息科技风险计量和检测机制,其中包括:建立信息科技项目实施前及实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检查,定期进行信息科技外包项目的风险状况评价。(2)中资商业银行在境外设立的机构及境内的外资法人银行,应对境内外监管机构有关信息科技风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步骤:(1)调阅有关文档(如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等),了解商业银行是否建立信息科技风险计量和监测机制。(2)访谈相关工作人员,了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取有效风险防范措施。
4.信息安全管理
保证信息安全是商业银行的一项重要任务,商业银行应在信息科技部门内部设臵专门的信息安全管理部门或岗位,建立完善的信息安全管理制度,保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面,本章节主要包含人员安全和管理安全的检查内容,技术安全方面的检查内容参见第三部分“基础设施”部分。
提示:在对商业银行的信息安全管理进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,科技人员少、信息系统种类不多的银行机构,可以不设臵单独的安全管理部门,但应设臵专职的岗位;信息科技岗位设臵可以彼此兼职,但不相容岗位应分离,做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。
4.1 安全管理机制与管理组织
检查项1:信息分类和保护体系
基本要求:商业银行信息科技部门应对各类信息系统进行风险评估,根据信息系统的重要程度等因素,建立和实施信息系统分类和保护体系,并保证该体系在银行内部的贯彻落实。
检查方法、步骤:(1)调阅信息系统分类管理制度,查看相关制度是否建立健全,是否对信息类别和访问人员的范围、级别作出明确规定;(2)检查商业银行是否针对不同的信息系统,制订了不同的安全防范措施,采取了不同的技术防范手段;(3)检查商业银行是否对信息系统风险进行评估和防范。
检查项2:安全管理机制
基本要求:商业银行信息科技部门应落实信息安全管理职能。包括:建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,定期向信息科技管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
检查方法、步骤:(1)调阅商业银行信息安全计划或相关文档,检查商业银行是否制订信息安全计划。(2)分析信息安全计划,评估商业银行信息科技部门能否对信息安全进行持续、长期和有效的管理,确保信息安全和信息系统安全运行。(3)检查商业银行信息科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识,是否就安全问题向其他部门提供安全建议。(4)检查商业银行信息科技部门是否对各类信息和信息系统制订相应的信息安全标准,是否制订相关的管理策略,是否制订实施计划,是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。(5)调阅信息安全评估报告,检查信息科技部门是否定期对本行信息安全进行评
估。检查项3:信息安全策略
基本要求:商业银行应制订详细的信息安全策略,至少包括以下内容:信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。
检查方法、步骤:(1)调阅商业银行信息安全策略,检查是否制定信息安全策略及其内容是否完整、全面。(2)调阅信息安全管理规定,查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。
检查项4:信息安全组织
基本要求:商业银行应建立配套的安全管理职能部门,通过管理机构的岗位设臵、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;安全管理人员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
检查方法、步骤:(1)调阅相关岗位职责说明文件,检查是否设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗 34 位的职责;(2)检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等;(3)查询相关制度文件和审批记录,检查是否根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;(4)调阅信息安全检查记录,检查安全管理员是否定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况,检查结果是否及时报告和处理。
4.2 安全管理制度
检查项1:规章制度
基本要求:商业银行应对信息安全风险进行分析、评估;应对信息安全管理工作建立相应的管理制度;应要求管理人员或操作人员严格执行管理制度,各项操作符合制度要求;应注明安全管理制度密级程度,并进行密级管理;信息安全制度建设应全面涵盖信息系统的安全风险点,如:用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款;重要工作和岗位应制订详尽的管理办法和工作职责;信息安全制度应包括对服务商的责任和义务要求;信息安全事件报告制度和处理流程应清晰明确;信息安全管理制度应注明发布范围,有发文编号和相关部门的收文记录;信息安全制度应及时发布和修订。
商业银行应建立完善的信息系统管理制度,管理制度应正式发文予以公布,或收集整理形成制度汇编以便于员工学习掌握。
检查方法、步骤:(1)调阅商业银行信息安全管理相关的会议记录。(2)调阅信息安全相关的制度,查看:(a)是否围绕着风险分析、评估报告开展制度建设,各项制度能否有效防范风险;(b)已有制度是否涵盖信息系统的各项风险点,包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容;(c)是否包含违规的处罚条款;(d)是否包括针对服务商的管理要求,如职责和义务;(e)是否建立信息安全事件报告制度和处理流程,制度和流程是否清晰和明确;(3)调阅信息安全管理部门职责和工作计划,查看是否对重要的信息系统安全管理岗位制定了明确的管理办法和工作职责。(4)信息安全管理负责人员座谈,了解近期信息安全方面的重大(管理、安全、人事等方面)事件,检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。
检查项2:制度合规
基本要求:信息安全制度应符合国家有关信息科技管理的法律法规;应符合国家有关信息科技管理的技术标准;应符合银监会有关要求;对于拥有境外机构的银行,其制度也应符合境外监管机构的要求。
检查方法、步骤:(1)调阅信息安全制度,检查:(a)制度是否遵循国家有关信息科技管理的法律法规要求;(b)技术性比较强的信
息系统安全制度是否低于国家相关标准规定;(c)审查其是否与银监会相关办法、要求相冲突。(2)与信息安全管理负责人座谈,了解该银行是否在境外设立分支机构,境外分支机构信息安全制度是否符合所在国、地区监管机构的要求。
检查项3:制度执行
基本要求:信息科技相关工作应严格遵守信息安全制度规定;对违规操作的应根据相应条款进行处罚;被处罚管理部门或个人应对违规操作进行整改;审计部门应对信息安全制度执行情况定期进行审计。
检查方法、步骤:(1)与负责信息安全的人员访谈,了解信息安全制度执行情况;(2)调阅银行或部门会议记录,查看银行或部门是否对日志、视频等记录中出现的违规操作行为进行过认定,并对违规人员或部门进行过处罚;(3)调阅银行或部门会议记录,查看是否对违规操作进行过整改,整改的后续情况如何。对于因制度漏洞造成的风险,是否及时对相关制度进行了修改:(4)调阅内、外部审计资料,查看是否有关于信息安全制度执行情况的审计报告;(5)调阅审计文件,查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求;(6)调阅银行或部门文件,查看是否对审计发现的问题进行过整改落实,后续的整改落实情况是否符合审计要求。
4.3 人员管理
检查项1:人员管理
基本要求:(1)信息科技的岗位设臵应合理,应做到分工明确、职责清晰,重要岗位需要相互制约、监督;(2)信息科技人员应无不良记录;信息科技人员的专业知识和业务水平应达到本行要求;应加强对临时聘用或合同制信息科技人员的安全管理措施;(3)应对信息科技人员权限进行分级管理,关键岗位应有AB角;应分离不相容岗位人员职责,不得兼任;(4)信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机要人员管理要求,对涉密人员应签订保密协议;(5)信息科技人员管理要全面,应包括背景调查、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。
检查方法、步骤:(1)调阅银行人事制度,了解银行的信息科技岗位设臵情况,是否配备了专门的安全管理岗位;(2)与信息科技管理人员和普通员工进行座谈,听取其对信息科技岗位设臵的意见,分析岗位设臵是否合理;(3)调阅银行人事档案,查看是否建立了信息科技人员的绩效考核制度,查看信息科技人员是否有不良记录;(4)调阅银行人事档案和与信息科技从业人员进行座谈,了解信息科技人员的专业知识和业务水平;(5)调阅银行人事管理制度或部门人事管理制度,分析是否有针对正式信息科技人员、临时聘用或合同制信息科技人员及顾问制定不同的人事管理制度;(6)调阅信息安全管理的38 相关制度,确认是否对不同信息科技岗位进行了权限划分和分级管理,并能贯彻落实上述制度和要求。
4.4 安全评估报告
检查项1:安全评估报告
基本要求:商业银行应定期对信息系统安全情况进行评估,并提交安全评估报告。当信息系统发生重大变化时,应及时进行信息安全评估。对安全评估中发现的问题,应及时整改。
检查方法、步骤:(1)调阅安全评估报告,检查商业银行是否定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后,是否及时进行信息安全评估:(2)检查安全评估是否全面,是否覆盖所有信息系统,是否覆盖所有信息安全范围;(3)检查安全评估报告反映的问题是否及时得到处理或改进。4.5 宣传、教育和培训
检查项1:宣传、教育和培训
基本要求:高管层、信息安全管理部门负责人应知晓信息安全政策;银行应加强对客户的信息安全重要性的宣传教育工作;银行应定期组织员工进行信息系统安全重要性教育;银行应组织员工学习基本的信息系统安全管理制度;信息科技人员应掌握与其岗位相关的信息安全管理制度。
检查方法、步骤:(1)与高管层、信息安全管理部门负责人座谈,了解是否知晓本银行的信息安全政策;(2)与高管层座谈,了解银行是否对客户进行过信息安全方面的宣传教育,其内容、力度和频度如何;(3)与普通员工座谈,了解是否接受过有关信息安全方面教育;(4)抽查银行内部部门的学习记录,看是否组织过信息安全防范知识方面的学习培训;(5)与普通员工座谈,看是否知晓本银行基本的信息安全制度;(6)调阅信息科技部门的学习记录,看是否对信息科技人员进行过信息安全制度的传达,是否组织过信息安全制度的学习培训;(7)与信息科技人员座谈,看是否掌握与其从事岗位相关的信息安全管理制度。
5.系统开发、测试与维护
5.1开发管理
良好的系统开发管理是一个系统能否稳健运行的必要前提,因此应加强对商业银行系统开发管理工作的检查力度,从而准确评估各运行系统以及即将上线系统的稳定性和可靠性。通过对商业银行的相关制度、规定、流程以及文档、记录的检查和分析,了解其管理层是否统筹考虑系统开发与信息科技战略规划及业务发展目标的一致性,是否对系统开发的可行性、必要性、成本效益核算以及存在的风险等方面进行全面评估,是否建设了合理的开发管理组织框架,是否对开发过程进行了全面的风险管控,以确保系统开发过程的合理、高效和安全。
检查项1:管理架构
基本要求:应建立信息科技管理委员会对信息系统项目建设的审批、授权机制,重大信息系统项目开发应经过银行董事会的批准,并符合该机构的IT战略规划和业务发展目标。信息科技部门应设臵独立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统项目开发进行集中管理,系统开发应成立专门的开发建设项目组,具体负责信息系统的开发建设。在系统开发立项审批前,应进行系统开发可行性研究,以控制与信息科技有关的风险。项目开发过程中应定 41 期向首席信息官或高级管理层汇报项目实施状况。信息系统开发过程应有业务需求部门人员参与,并定期与业务需求部门一起审核信息系统开发建设情况,查看是否能够满足生产业务的需要,是否与业务需求相符合,是否对关键业务风险点进行了有效控制。
检查方法、步骤:(1)检查商业银行是否有系统开发的可行性研究、成本效益分析、风险评估等报告,查看是否对项目的可行性、成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规划等进行了深入的分析;(2)调阅相关会议纪要,查看相关分析结果是否得到信息科技管理委员会的认可,分析信息科技管理委员会是否对系统开发的可行性、必要性以及与IT战略规划和业务发展目标的一致有充分认识;(3)对于重大信息系统开发项目,查看是否有银行董事会批准实施系统开发的记录;(4)调阅重大项目相关开发建设文档,查看是否成立了专门的项目组,具体负责项目的开发建设。如成立有项目组,调阅项目组相关工作文件,检查项目组是否尽职完成其相关职责;(5)查看是否有项目实施部门定期向信息科技管理委员会报告系统开发进展的报告;(6)查看商业银行是否设臵独立的部门负责系统开发,调阅部门人员清单及简介(含资质),判断该部门人员的数量和专业背景对于其承担的系统开发职责是否充分和适当;(7)调阅项目开发相关文件,查看信息系统开发过程是否有业务部门人员参与,检查项目开发过程中开发部门是否与业务部门定期总结信息系统开发建设情况,以确认正在开发的系统是否与业务需求相符合,是否对关键业务风险点进行了有效控制;(8)检查信息系统投产后,实施
部门是否组织了对系统的后评价,并根据评估结果及时对系统功能进行调整和优化。
检查项2:制度建设
基本要求:商业银行应制定全面的信息系统开发管理制度和流程,包括但不限于系统的开发流程和组织管理、参与部门的职责划分、时间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制度和流程,应涵盖信息系统开发的全周期,包括:分析、设计、开发或外购、测试、试运行、部署、维护和退出等,制度和流程应经过高级管理层和相关部门的认可,明确相关部门和人员的职责,并定期进行评估和更新。
检查方法、步骤:(1)调阅商业银行系统开发相关的制度和流程,检查其是否明确了管理组织及职责,是否对开发流程管理进行全面的管控。是否建立了质量检测和风险评估机制等;(2)询问相关人员,是否有高级管理层和所有有关部门认可这些制度和流程的说明,查看相关会议纪要、相关文件的传阅痕迹等;(3)检查系统开发过程中,相关制度和流程是否得到有效的实施,如是否界定了明确的部门和人员职责,职责划分是否合理,是否有完整的时间进度管理和财务预算管理,是否要求实施部门定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况等;(4)检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可行性分
析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等各环节。
检查项3:项目控制体系
基本要求:(1)商业银行应制定合理的项目生命周期,加强项目生命周期管理,包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出;(2)应开展对系统需求和技术架构的管理,使系统需求与业务目标保持一致;(3)应当建立一套符合质量管理标准的质量控制体系,有效控制开发质量;(4)应根据项目风险评估,在系统开发过程中落实主要风险点的风险控制措施;(5)系统开发环境与运行环境应当分离,包括网络分离、设备分离、数据分离、人员分离等,防止开发活动对业务运行环境造成风险;(6)系统开发过程中应进行必要的安全控制,应对源代码进行有效管理,对程序源代码进行严格的审查,不应留有“后门”,即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。
检查方法、步骤:(1)检查银行是否有信息系统生命周期管理制度,是否有项目生命周期管理流程和记录;(2)检查系统需求和技术架构的评估文档,看系统需求与业务目标是否保持一致;(3)询问系统开发部门负责人,银行是否建立了系统开发质量控制体系,调阅其项目质量控制标准、代码编写规范(软件)以及质量控制检查和监督的记录;(4)检查是否有项目需求和计划的风险评估以及业务的风险
点分析,是否有对业务操作环境(如人员素质、操作场所等环境)的相关风险分析,是否有对项目延期的风险、项目进程中发现的风险、项目外包的风险等关键控制点制定风险控制措施,是否有风险控制措施的落实记录和监督记录;(5)检查系统开发环境和运行环境是否分离,网络是否有效隔离,设备是否独立于生产系统,开发人员是否接触生产系统,开发过程中是否使用了生产数据,使用的生产数据是否得到高级管理层的批准并经过脱敏或相关限制;(6)检查系统开发过程中,是否进行安全控制,是否对源代码进行有效管理和严格的审查,系统所有入口是否都经过安全规则的控制,并在系统开发文档中全部注明。
检查项4:系统开发的操作风险
基本要求:商业银行应当加强对开发队伍的管理,合理选择具备相当专业知识和技术水平的项目经理,并应对技术人员,尤其是外来技术人员的开发行为加强管理,对于外包开发与合作开发的开发方应进行充分调研分析,以保证系统的可靠性;应当加强信息科技项目文档管理和文档版本控制;银行信息科技开发部门应当加强对开发过程的检查,确保开发目标的实现。对以外包和合作开发为主进行信息系统开发建设的银行机构,应特别重视对外来技术人员的开发行为加强管理,对于外包开发与合作开发的开发方应进行充分调研分析,以保证系统的可靠性。
检查方法、步骤:(1)询问商业银行对项目开发经理的知识水平
要求,查看部分项目开发经理的资信历史、资格证书、从业经历的调查记录;(2)对于外包开发与合作开发的项目,询问项目管理成员,开发方是否在业内有过针对客户的不良纪录,商业银行是否有对开发方技术实力与人力资源充分性进行分析;(3)检查是否制定了文档管理规范制度,查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册,风险评估报告等项目文档管理是否符合规范,是否进行了文档的版本控制;(4)检查银行是否有系统开发过程的检查记录,是否对系统完整性、恶意代码和后门程序进行了检查。
检查项5:数据继承和迁移
基本要求:信息系统升级变更,应特别重视对历史数据的继承和迁移。应合理规划数据结构,并进行数据兼容性分析,防止因兼容性不够而造成历史数据的无法使用和继承,进而影响业务生产和客户利益。信息系统升级变更前,应制订详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证。商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。
检查方法、步骤:(1)检查是否进行新旧系统业务数据兼容程度分析,并形成书面报告;(2)检查业务系统上线前,是否制订详细的数据迁移计划,数据迁移计划是否严密;(3)检查业务系统上线或升级前,是否进行过数据迁移测试和数据有效性、兼容程度验证;有数据移植时,检查是否针对新旧系统中被移植部分数据的一致性进行过
验证,对数据调整时,是否对调整过程进行了完整记录并由相关人员签字;(4)检查是否制定了相关制度、标准和流程,以保证信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。
5.2系统测试与上线
充分的系统测试和周密的上线程序是保障系统正常稳定运行的重要环节,商业银行应该确保充分的系统测试和具备完善系统上线程序的管理,以确保系统的测试结果是可信的,上线流程是完善的。通过对相关制度、流程和程序的检查,分析商业银行在系统测试和上线过程是否存在缺陷,从而对各系统做出合理的评估,避免系统测试不充分上线,或上线程序不周密,导致系统风险,造成损失。
检查项1:系统测试
基本要求:商业银行应为所有的主要变更建立充分的测试体系(如:系统单元测试、系统集成测试、系统验收测试、用户测试、预演、数据转换的验证、平行测试等)以保证系统测试的完整和充分;商业银行应建立完善的测试团队,并确保测试工作的公正性和独立性;应当确保充分,完整的系统测试;测试环境应与生产环境相隔离;应当对信息系统功能进行充分测试,保障系统功能与业务目标一致;应当对信息系统进行非功能测试,保证系统的兼容性、可靠性、通用性、安装的可操作性,防范在信息系统性能峰值情况下发生的问题。系统变更应建立回滚变更的程序,以便于在发生问题的情况下可以恢 47 复到原始的程序、系统配臵和数据,在变更迁徙到生产环境前应进行回滚程序的试运行,以保证回滚程序是有效、可靠的。系统测试过程中应对测试的情况进行规范的记录,最终形成测试文档并进行分析。
检查方法、步骤::1)检查系统变更的测试报告,分析测试内容和测试步骤是否完整,测试用例是否充分涵盖所有业务场景;(2)调阅测试团队人员清单,分析测试团队人员角色、知识水平等是否充分,询问相关负责人通过哪些措施保证测试团队的公正性和独立性;(3)调阅测试方案、测试用例、测试记录等,分析银行的测试方案是否完善,测试计划是否完整,测试环境是否与生产环境相隔离,测试用例是否充分,测试用例是否有生产数据,当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理,测试执行情况记录是否完整,查看是否有对充分测试的审核报告;(4)调阅功能测试记录,查看系统功能测试结果是否与业务需求一致;(5)调阅非功能性测试报告或记录(非功能测试技术主要包括:配臵和安装测试、兼容性和互操作性测试、文档和帮助测试、错误恢复测试、性能测试、可靠性测试、保密性测试、压力测试、可用性测试、容量测试),分析测试用例是否充分,测试结果是否与业务需求一致;(6)检查是否建立系统变更的回退程序,是否有回退程序的测试或试运行成功的记录;(7)调阅系统测试报告,检查系统测试过程中是否对测试的情况进行规范的记录,是否形成测试文档;对测试过程是否进行分析,并提出相应修改意见。
检查项2:系统验收
基本要求:商业银行应当在系统发布前对测试过程进行充分审查,防止未经充分测试的系统上线运行;应当在系统发布前对系统交付物的完整性进行检查,以及对代码进行检验;对打包销售的系统,应要求其提供充分可靠的测试证明,并进行代码审查;应当对系统进行一段时间的试运行,及时发现试运行中存在的问题,改正后方可正式上线。
检查方法、步骤:(1)调阅系统验收记录和测试质量的评估报告,检查系统发布前商业银行是否对测试的过程和有关测试充分进行了审查并对测试质量进行了评估;(2)查看验收记录中是否对系统交付物的完整性进行了检查,检查的内容还应该包括软件发布计划、操作手册和应急预案等文档;(3)检查打包销售的软件是否有完整的、充分的和可靠的测试报告,是否有对软件代码的审查记录,特别是对秘密信道及特洛伊木马程序审查;(4)检查是否有完整的试运行报告、试运行记录、系统错误修正记录等,查看系统的试运行是否通过。
检查项3:投产上线
基本要求:商业银行应重视信息系统的投产上线工作,做到以下几点:(1)包括用户需求书、功能说明书、设计说明书、技术与业务操作手册等在内的所有文档资料在上线前应正式归档保管;(2)投产上线所用的系统生产环境已经建立并经验收测试证明有效;(3)清除 49 投产上线用的系统生产环境中的验收测试数据(另行安排生产环境除外);(4)完成投产上线计划书、上线操作手册、回退操作手册并经验证;(5)有数据移植时还需对新旧系统中被移植部分数据的一致性进行验证,对数据调整时应对调整过程完整记录并请相关人员签字;(6)已对运行人员、业务管理人员、业务操作人员进行了培训,开发人员与运行维护人员已经完成了职责移交。
检查方法、步骤:(1)检查文档资料管理系统,确认与该信息系统有关的各类文档资料已经正式归档保管,纳入生产系统文档资料管理范围;(2)与业务和技术人员访谈,了解投产上线的完整过程,判断投产上线用的环境是否在启用时已经验证有效、测试业务数据得到完全清理、被移植到生产环境的数据与在原环境中数据保持一致性;(3)与运行人员和开发维护人员访谈,了解在投产时,运行人员是否熟悉运行操作,维护人员是否接管维护职责,从而判断是否实行岗位分离和存在操作风险。
5.3系统下线
商业银行应对系统下线按规范流程妥善处理,确保下线系统敏感数据的安全性和完整性。
检查项1:系统下线
基本要求:商业银行应当关注系统下线工作,并做到以下几点:(1)下线前,应当做好充分的论证,证明该信息系统的功能已经失 50
