公司网络安全内控管理检查方法及步骤指导.docx

《公司网络安全内控管理检查方法及步骤指导.docx》由会员分享，可在线阅读，更多相关《公司网络安全内控管理检查方法及步骤指导.docx（6页珍藏版）》请在课桌文档上搜索。

1、公司网络安全内控管理检查方法及步骤指导检查项1：内控制度基本要求：网络管理内控制度建设应当纳入全面内控制度框架中;针对网络安全，应重视网络划分、网络隔离、网络访问控制、网络身份认证、网络日志、入侵防范等规章制度的建设，建立健全网络管理相关的内部控制规章制度、技术规范、操作规程等，加强对网络的管理和控制。检查方法、步骤：（1）现场访谈：向商业银行信息科技主管领导、内控合规部和内审部有关人员了解网络安全的内控制度制定、落实情况，内部控制监督、完善程序，相关绩效考核目标，将谈话中的关键内容记入工作底稿；（2）调阅商业银行文件汇编，调阅网络管理方面的规章制度，包括网络划分、网络隔离、网络访问控制、网络

2、身份认证、网络日志、入侵防范等各项规章制度，了解网络安全内控制度执行情况。检查项2：人员管理基本要求：相关工作的人员应符合以下要求：（1）具备良好的职业道德，掌握履行网络系统相关岗位职责所需的专业知识和技能；（2）未经岗前培训或培训不合格者不得上岗，经考核不适宜的工作人员，应及时进行调整；人员变更登记，对调入、调出、调整人员应建立严格的登记制度。检查方法、步骤：（1）调阅人力资源部门相关网络管理人员的信息，查阅相关的人员信息和培训记录以及绩效考核记录；（2）调阅统一授权管理的相关文档资料，查阅网络管理人员的角色、分工和授权情况；（3）查看相关设备的操作日志；（4）调阅值班记录；（5）查阅人员变

3、更登记表。检查项3：访问控制基本要求：（1）应明确网络通信管理部门的职责，根据制度设置相应的岗位职责并配备相关的管理人员。如设置网络基础设施管理、网络监控、网络应用管理、网络用户管理、网络安全保密管理、网络机房管理等岗位，明确岗位职责权限；（2）重要的网络管理岗位应实行A/B角制，对要害岗位的人员，至少有两名人员备用、替换，确保在任何情况下，都不会因人员的缺岗而影响整个系统的正常运行；（3）应落实重要岗位人员强制休假制度；（4）不相容岗位人员分离，防火墙管理员、路由器管理员、交换机管理员等岗位应由不同人员担任；（5）严格执行网络管理人员操作口令管理策略；（6）应及时更改网络设备或相关网络管理系

4、统缺省口令；（7）口令应该定期更换；（8）应对口令周期、存储、长度、加密强度做出明确要求并通过一定的技术手段实现，应避免使用弱口令（注：弱口令是设置过于简单并且非常容易被破解的口令或密码）。科技人员少，信息系统种类不多的中小金融机构，可以不设置独立的网络管理部门，但应设置网络专职管理人员，且不得兼任其它管理员和信息系统安全员，并应积极创造条件，尽早达到上述要求。检查方法、步骤：调阅统一授权管理的相关文档资料，查阅网络管理人员的角色、分工和授权情况，对于建立了统一认证登录管理系统的机构，登录服务器查看相关的权限分配信息。检查口令策略是否执行，实际查看操作人员口令输入情况。检查项4：日志管理基本要

5、求：网络系统日志管理应当纳入日志管理的程序；应当定期对网络日志进行分析，发现问题及时处理。应识别事件和问题的风险等级，高等级的事件和问题应当按照既定的路线进行报告。网络管理人员应负责网络监控记录的日常维护和报警信息的分析和处理工作，密切监视网络运行状态和网络资源非法使用行为。交换机、防火墙、路由器、入侵检测（IDS）等网络设备的通讯日志和访问日志应集中收集，专人保管，并保证日志的完整性和防篡改，相关设备管理员不得接触日志。日志应至少保存一年。信息系统安全员应定期分析网络日志，及时发现非法访问、恶意攻击、越权访问及其它风险隐患。检查方法、步骤：（1）约见网络管理员，询问是否及时处理网络监控记录和

6、报警信息；（2）约见信息系统安全员，询问是否集中收集、保管各类网络日志；（3）检查相关网络设备管理员是否可接触集中保管的电子日志。日志是否能保证完整性和防篡改；（4）调阅网络系统日志，检查日志保存时间是否至少一年；（5）约见信息系统安全员，并调阅相关登记簿，检查是否定期分析网络日志。检查项5：第三方管理基本要求：（1）应与第三方服务供应商订立服务合同，对参数配置等信息的保密做出约束；（2）外部人员访问受控网络区域，应先提出书面申请，批准后由专人全程陪同，并登记备案；（3）对外部人员允许访问的区域、网络设备等内容应进行书面的规定，并按照规定执行。例如外来人员对网络的检查，厂商人员对网络设备维护、

7、更换等行为都要有良好的管理办法（当第三方与网络有接触的时候，地址转换、绑定，不能使用第三方的设备）。检查方法、步骤：检查第三方管理办法，订立的合同，以及有关登记备案情况。检查项6：服务外包基本要求：（1）外包方评估和资质。建立服务外包评估机制，充分审查、评估承包方的经营状况、财务实力、诚信状况、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查；（2）外包合同。与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任；（3）服务外包的信息保密要求。商业银行将敏感的信息系统，以及涉及国家秘密、商业秘密和客户隐私数据的管理与传递等进行外包

8、时，应遵守国家有关法律法规，符合银监会的有关规定，并经过董事会或其他决策机构批准。外包实施前需要报送银监会及其派出机构和法律法规规定需要报告的机构备案。检查方法、步骤：检查外包合同，第三方协议或互惠协议，获得使用的网络软件列表和使用许可，关注其中的条款。检查敏感数据的加密传输控制策略，检查网络工程的外包合同，关注风险点基本要求,具体可参照本手册服务外包管理部分。检查项7：文档管理基本要求：（1）对硬件、应用系统、网络和通讯系统的获取、开发或维护应采用正式的文档化策略；（2）拓扑结构图、各项操作文档、配置文档及备份文档应当完备、齐全；（3）文档应放置在安全场地;（4）重要的操作手册、配置文档、变

9、更文档应该在灾备中心保存备份。检查方法、步骤：检查网络通信系统各项文档是否完备，包括故障处理手册、应急手册、配置手册、配置文档等，检查文档是否及时更新，检查文档的保管情况。检查项8：风险评估基本要求：（1）商业银行应定期对网络安全进行评估；（2）在实施了IT安全控制措施的前提下，仍应定期对剩余风险进行评估；（3）商业银行IT管理部门应根据管理目标对内部或外部审计提出的问题或风险进行整改，减少剩余风险，整改情况应有文档记录，对未进行整改的风险应说明原因并制定后续改进的计划；（4）内部审计部门应进行必要的整改后续跟踪，降低剩余风险。检查方法、步骤：（1）询问管理人员是否定期进行安全评估，了解评估机构的资质和评估的范围，调阅相关的安全评估报告；（2）确认商业银行是否定期进行内部审计，确认中介机构和内部审计部门审计的频率和范围，调阅中介机构和内审部门出具的审计和评估报告,关注其中的风险点；（3）对网络事件或问题的管理是否按照相关制度执行，是否按照业务流程进行，有无违章操作，查看违章操作的处理措施，分析可能存在的风险；（4）确认商业银行是否按照内外部审计要求制定整改措施，并调阅相关文档。对于已经整改的问题查看是否有相关的文字记录，对于未整改的问题，向被查机构了解原因，分析存在的剩余风险；（5）确认对内控制度落实不到位的处理措施，查阅相关责任处理记录。