银行信息系统技术管理安全检查方案.docx

《银行信息系统技术管理安全检查方案.docx》由会员分享，可在线阅读，更多相关《银行信息系统技术管理安全检查方案.docx（63页珍藏版）》请在课桌文档上搜索。

1、银行信息系统技术管理检查方案技术管理是一个全面而复杂的领域，它涵盖了多个关键组成部分，以确保商业银行在信息技术方面的桓健运作。具体来说,技术管理包含了12个核心部分，每个部分都提出r详细的基本要求、检查内容和检查方法以及实施步骤。首先，信息技术治理部分强调了建立有效的治理结构和决策机制的全要性，确保科技战略与银行整体故略的致性。其次，信息技术风险管理部分关注于识别、评估和控制科技风险，以降低潜在的负面影响.信息安全管理部分则若重丁保护银行的信息资产，防止数据泄露和未授权访问。信息系统生命周期管理部分涉及系统的规划、开发、实施、维护和退役等各个阶段,确保系统能够满足业务需求并持续改进。信息系统运

2、行管理部分关注于H常的系统运行和维护，确保系统的稳定性和性能。业务连续性管理部分则确保在发生突发事件时，银行能够迅速恢耳业务运作，减少损失.应急管理部分则专注于应对突发事件的准备和响应措施。灾难备份管理部分确保在发生大灾难时，关键数据和系统能够迅速恢复，保障业务的连续性。数据管理部分关注于数据的侦星:、安全和合规性,确保数据的有效利用。外包管理部分则涉及对外包服务提供商的管理和监督，确保外包活动符合银行的利益和要求。最后，内部审计和外部审计部分分别关注于对银行内部管理和运营的独立评估，以及接受外部审计机构的监督和评估，确保银行的透明度和介规性。通过这些详细的管理要求和方法，商业银行能够全面提升

3、其信息技术管理水平，确保业务的稳健发展。!信息技术治理商业银行的董事会和高级管理层应根据本银行的发展战略，运用先进管理理念加强信息技术治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续发展能力。1.1 董事会及高缎管理层检查项1:董事会基本要求：（1）董事会应对银行的信息技术治理负有最终贡任。（2）董事会应及时听取信息技术管理委员会和首席信息官的汇报.了解主要的信息技术风险。（3）信息技术重大事项的决策应经过笊事会审议.检查方法、步骤：（1）访谈董事会成员/或事会秘书.了解：（八）董事会在银行信息技术管理领域的角色和职责;（b）亚事会是否了解本行所面临的主要信息技术风险

4、;（C）董事会对信息技术I1.i大事项和决策职责的界定,以及董事会信息技术成大决策的流程:（d）经过董事会讨论和决议的信息技术重大事项的落实情况;（e）董事会如何对信息技术的建设和管理情况进行监督.（2）查阅相关资料,如茶事会章程，董事会会议纪要,对重大信息技术事项的审批决议的记录等,对上述信息进行验证。检查项2,信息技术管理委员会基本要求I（I）银行应建立信息技术管理委抗会,该委苏会成分应包括银行高级管理层、信息技术部门和主要业务部门的代表。（2）信息技术管理委员会的职费应包括：（八）设定全行IT故略目标，指导IT方面的资金投入，对IT规划进行审批；（b）合理运用现有资源，指导信息技术部门提

5、供高质量的IT服务，同时要监督IT成本管理情况：（C）通过调盛IT项目和活动的优先级解决资源短缺造成的冲突：（d）确保IT战略的及时更新：（e）对主要的IT政策,标准、原则进行审批；对应要的IT项目和活动进行监控：（g）监督和管理IT绩效，确保达到预期IT服务水平：（三）对重大IT项目进行审批。定期向重事会和高级管理层汇报信息技术战略规划的执行情况、信息技术预算和实际支出情况、信息技术的整体管理状况，面临的主要风险及其应对措施等。检杳方法、步h（I）访谈信息技术管理委员会成员，J解信息技术管理委员会的主要职责和开展的主要工作。如（八）是否确保信息技术战略与业务战略的致性;（b）信息技术管理委员

6、会是否了解本行主要的信息技术风险并制定了应对措施;（C）重大信息技术项目投资的审批情况;（e）预兑和执行情况;（DIT绩效等。（2）调阅信息技术管理委员会相关文件,如信息技术管理委员会章程/政策.会议纪要.对重大事项的讨论和审批记录等.对访谈了解到的信息进行验证。（3）查阅信息技术管理委员会向董事会和高级管理展的汇报材料和相关会议记录，/解其向董事会和高级管理层汇报工作的情况。检杳项3,首席信息官（C1.o）基本要求：（1）商业银行应建立首席信息官制度，明确其工作职责及报告路线。（2）首席信息官应了解并参与本行业务发展决策。（3）首席信息官应负货制定和及时更新信息技术战略,确保信息技术战略与业

7、务战略保持一致.（4）首席信息官应确保信息技术职能的规范和有效运作。（5首席信息官应领导和协调信息技术部门做好以下工作：信息技术预算和支出，信息技术政策、标准和流程制定及执行，信息技术内部控制、专业化研发，信息技术项目管理，信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难慎夏计划，信息技术外包和信息系统退出等.（6）首席信息H应确保信息技术人才队伍具备充分的专业技能。检查方法、步震：（1）访谈首席信息官，关注以下内容：（八）银行的信息技术战略及其与业务战略的一致性;（b）银行目前面临的主要信息技术风险和应对策略:（C）锹行未来1-3年的信息技术发展规划;首席信息官开展

8、了哪些主要工作;（e）首席信息官如何与高级管理层/董事会/信息技术管理委员会等保持有效沟通;（D苜席信息官对银行信息技术领域主要问烟的了解情况和应对计划;（g）首席信息官如何对信息技术部门的活动和绩效进行监控。（2）查阅相关文档资料，如信息技术部门的汇报资料,董事公/高级管理以汇报资料,会议纪耍，信息技术重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。1.2 信息技京部门检查项1:信息技术部门基本要求I（1）商业银行应建立与银行业务相适应的信息技术部门，负货信息技术产品的开发、外包、测试、上线和变更，负责相应信息系统的运行、维护和安全，为银行提供信

9、息技术业务产品。2）信息技术部门应该根据工作内容，制定完整的内部工作流程和内控制度，建立与相关职能部门之间的协调配合机制,保证信息技术工作的有序、高效。（3）信息技术部门应定期分析评估信息系统生命周期各阶段的风险，制定风降防控策略、措施和检查流程，切实做好信息技术风险管控。（4）信息技术部门所配置的信息技术人i的数珏应适应业务及IT发展水平，能保证各个信息系统和各项信息技术工作安全持续地运转。信息技术部门应做好科技人员管理，注重科技专业和风险教育。信息技术人员应有良好的品第、职业操守和信用记录，具备相应的专业知识技能。（5）信息技术部门应该建设一支与银行信息技术产品开发战略相适应的信息技术开发

10、队伍，应做好信息技术开发管理，以及相关的外包服务管理、知识产权管理和开发环节的风险管理，为银行提供安全的信息技术业务产品。（6）信息技术部门应建设好很行信息技术系统安全连续运行的环境（包括场地、设缶、网络、系统、数据安全、访问控制和管理制度等）,做好各种环境的监测控制，做好事件、问题管理和变更管理，做好紧急事件应急预案。（7）信息技术部门应严格遵守国家各项安全管理制度，配合风险管理部门、合规部门、业务部门编制各项信息技术业务产品的操作手册和访问控制制度，协助做好业务部门信息技术风险控制和安全教育。检查方法、步震：（1）调阅信息技术部门的各项工作流程和规章制度.2）调阅信息技术风险管理政策和制度

11、.（3）调阅信息技术部门的组织结构图,岗位职员说明。（4）访谈信息技术部门负贡人、内部各条线负贪人和信息技术风险管理人员，关注以下内容：（八）信息技术部门内部设置了哪些条线？各条线是否实现了必要的职责分离,如开发团队和运行团队分离,信息技术人员不从事业务操作.有专门的团队开展安全检杳等：（b）信息技术部门的资源状况.包括人员是否充足,是否拥有充分的技能：（C）问题和风险的报告路线、流程和处置效率：（d）信息技术人员的激励机制：如何对信总技术人员进行职业道德方面的教育,如何在全行科技职能范闹内推进风险管理和内部控制的理念：（f）信息技术人员的任免和招聘,是否进行背景调修;（g）主要岗位是否轮岗;

12、（三）信息技术人员的技能培训情况Xi）信息技术人员是否了解本行的信息技术政策/流程/规范/标准等。检查项2,侑息技术战略规划基本要求：（I）商业银行信息技术战略规划应在充分的市场调包和技术分析的基础上，由首席信息官.银行高级管理层，科技部门、风险管理和业务部门共同讨论制定，并经过信息技术管理委田会审查和批准，并报笊事会审议.（2）信息技术战略规划应该与业务发展规划保持一致,为实现很行发展战略提供紧密的信息技术支持。（3）信息技术战略规划应包含但不限于：1T治理建设的规划（关注丁管理组织和制度建设等），应用架构规划（关注下应用系统的建设），信息技术基础设施规划（关注于基础设施建设）。（4）在银行

13、总体战略发生变化时,银行信息技术战略规划应及时作出相应的调整。（5）银行应定期更新信息技术战略规划。（6）银行裔级管理层应对信息技术战略规划的落实情况进行监督.检查方法、步:（1）调阅信息技术发展故略规划或其他中长期发展规划，关注相关规划的配合和衔接，2）访谈信息技术管理部门负送人和相关工作人m,重点关注：（八）信息技术发展战略规划的制定是否有各方面人员参与，是否经过高级管理层审批：（b）信息技术发展战略规划的内容是否包含了应用架构.基础设施JT治理等方面；8）信息技术发展战略规划完成楮况、信息技术工作的总体状况、信息技术工作的薄弱点和问题；（d）信息技术战略规划是否依据环境变化,总体战略变更

14、等进行调整”1.3 信息技术风险管理部门检查项1:信息技术风险管理部门基本要求，（1）商业银行应建立全行信息技术风险管理框架，设立或指定信息技术风险管理部门，明确相应的管理职货，设置必要的岗位，配置足够的信息技术风险管理人员.2）信息技术风险管理部门应制定信息技术风险管理大纲，大纲应清楚描述信息技术风险特点、识别和评估流程、持续的控制措施和报告处理机制。（3）信息技术风险管理部门应定期审查各个相关部门和环节的信息技术风险控制潦程和管理制度，定期检查制度的执行情况，防止出现失控的环节和管理制度老化的情况.（4）信息技术风险管理部门应对IR要的信息技术工作环节进行风险识别和评估，定期检查和上报信息

15、技术风险控制状况。（5）信息技术风险管理部门应对全行协工进行持续的信息技术风险教育。检查方法、步源:（1）调阅信息技术风险管理的相关政策.流程,管理规范,工作手册,以及开展信息技术风险管理的记录，如日常工作记录、会议纪要和风险评估报告等。（2）调阅组织结构图和职责说明,了解信息技术风险管理部门的组织结构和人员的配置情况。（3）了解信息技术风险管理部门的工作情况，包括风险管理框架,评估标准,是否定期开展风险评估，风降评估的结果,主要风险和应对措施等。（4）了解信息技术风险管理部门和信息技术部.业务部门,内审部门和其他和关部门的相互协作情况。（5）了解信息技术风险教育和培训的开展情况,并调阅培训资

16、料和记录等。1.4 信息技术风险审计部门检查项1，信息技术风险审计部门基本要求，（1）商业银行应指定专门负责信息技术风险审汁的部门，设巴必要的岗位，并配备适量信息技术风险专业审计人员。（2）制定信息技术风险审计制度和相应的审计手册.（3）应有计划、有侧重点地开展信息技术风险审计工作.（4）及时向董事会和监事会报告信息技术风险审计情况。5）审计发现重大风嗓险患应及时报告。检查方法、步骤：（1）访谈信息技术审计部门负责人和工作人员，了解以下信息：（八）信息技术审计职能的定位,工作范围,组织结构和分工（包括信息技术内审团队内部的分工,以及与其他内审团队的分工）,汇报路线，人员配置，技能（如是否拥有专

17、业资格）等情况；（b）信息技术审计计划，关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划：（C）信息技术审计工作的标准和规范：（d）信息技术内审工作的执行情况,包括开展/哪些主要工作,有哪些主要发现,整改情况等：（审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报，（f）内审人员的持续培训情况。（2）调阅信息技术审计相关文档,包括:Q）信息技术审计章程或相关制度：（b）信息技术审计部组织结构图.职费说明等；（C）信息技术风险审计手册或其他标准规范文档，（3）调阅商业银行审计工作计划,工作底稿和审计报告。（4）调阅审计发现落实整改情况的记录;0（5）调

18、阅培训记录。1.5 知识产权保护和信息披露检查项1:知识产权保护基本要求：（I）商业银行应按照国家有关知识产权法律、法规的要求，制定本单位知识产权保护制度“（2）应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。（3）规范合法软件的购买和使用，禁止使用盗版软件。（4）做好自主开发的信息技术产品的知识产权保护工作。检壹方法、步（1）调阅商业银行遵守知识产权法律的相关制度并审查其内容。（2）查阅商业银行的软件清单，检查是否拥有产权或授权及到期状况。（3）查阅外包服务协议和相关文件中是否有知识产权的保护条款，并检查落实情况。检查项2,信息披H基本要求：商业银行应依据国家有关法律、法规的要

19、求，按照监管机构规定的格式和时间，及时规范地披露信息技术风险信息。检查方法、步骤：（I）调阅商业银行有关信息技术风险披斑的制度。（2）杳阅商业银行披露信息技术风险评估结果的记录。（3）重点关注信息披露是否符合商业银行信息披苏办法等有关法律、法规的要求，是否按煦监管机构规定的格式和时间及时规范地发布。（4）访谈信息技术人员了解信息披露的流程,以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。2信息技术风险管理商业银行应制定信息技术风险管理策略，制定风险识别和评估、风险防范措施，对风险进行持续监测。2.1 风险识别和评估检查项1，风险管理策略基本要求：（I）商业银行

20、应制定符合侬行息体业务发展规划的信息技术战略、信息技术运行计划和信息技术风险评估计划：（2）应配置足够人力、财力资源，维持稳定、安全的信息技术环境：（3）应制定全面的信息技术风险管理策略，包括但不限于：信息分级与保护，信息系统开发、测试和维护，信息技术运行和维护，访问控制，物理安全，人员安全，业务连续性计划与应急处置“检查方法、步I1.h（1）访谈信息技术部门及信息技术风险管理部门负责人虬了解以下内容：（八）信息技术风险管理策略和方法,如风降框架和分类,评估方法和标准,以及对风险容忍度的界定：（b）银行的主要信息技术风险及其应对措施：（C）在开展信息技术风险管理过程中遇到的主要挑战。（2）调阅

21、信息技术风险管理文档,如信息技术风险管理政策和流程.风险评估规范或手册等。检查项2:风险识别与评估基本要求：（1）商业银行应制定持续的风险识别和评估流程，确定信息技术风险隐患：2）定期评估信息技术风险对其业务的潜在影响，对风险进行排序.并确定风险防范措施及所需资源的优先级别。检查方法、步修；1）调阅风险识别和评估流程文档,风险评估报告和相关工作底稿，r解具体工作开展情况。（2）与信息技术风险管理相关人m（如信息技术部门人员和信息技术风险管理部门人员）访谈,了解信息技术风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。2.2 风险防范和检测检查项1，风险防范措籁基本要求：（

22、1）商业银行应依据信息技术风险管理策略和风险评估结果，实满全面的风险防范措施，防范措施应包括：制定明确的信息技术风险管理制度、技术标准和操作规程，并定刖进行更新和公布：（2）确定潜在风险区域.并对这些区域进行有效的监控，实现风险及早发现、影响最小化；（3）建立适当的控制框架，以便于检直和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户审查，控制数据和系统的物理及逻辑访问，访问授权以“必需知道和最小授权”为原则，审批和授权，验证和调节等。检查方法、步:（1）调阅信息技术管理制度、技术标准、操作规程等文档,并访谈信息技术人力和风险管理人m,r解信息技术风险控制的主要原则和措建.（注:这里应

23、主要关注风险控制的原则,如怎样落实访问控制的最小授权,对风唆/安全事件的监控,灾难快发的安排等，具体控制的设计和执行情况将在各个领域中进行检查。）2）调阅风险监控相关工作记录,如风险评估报告,信息技术各职能部门关于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控情况；（3）了解信息技术职能和风降管理职能如何对主要风险进行监控,如定期汇总各条线（如运行.开发.测试等）的汇报,对一些武要事项和指标的持续监测，内外审的发现和建议的落实,问题上报制度等。检查项2：风险计量与检测基本要求：（1）商业银行应建立持续的信息技术风险计量和检测机制，技中包括：建立信息技术项目实施前及实施后的评价机制.

24、建立定期检查系统性能的程序和标准,建立信息技术服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检杳,定期进行信息技术外包项H的风险状况评价。（2）中资商业银行在境外设立的机构及境内的外资法人银行，应对境内外监管机构有关信息技术风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步（1）调阅有美文档（如风险评估制度和方法,评估报告次于风险和安全事件的汇报等），了解商业银行是否建立信息技术风险计址和监测机制。（2）访

25、谈相关工作人员，了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取仃效风险防范措施。1.2 息安全管理保证信息安全是商业银行的一项重要任务，商业银行应在信息技术部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。提示：在对商业银行的信息安全管理进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，科技人员少、信息系统种类

26、不多的银行机构，可以不设置单独的安全管理部门，但应设理专职的塔位：信息技术岗位设置可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理/和其他系统管理员彼此分离、批任处理人员和业务数据库管理员彼此分离。3.1 安全管理机制与管理组织检查项1：信息分类和保护体系基本要求，商业银行信息技术部门应对各类信息系统进行风险评估，根据信息系统的盎要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。检查方法、步骤，1）调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的范圉、级别作出明确规定：（2）检杳商

27、业银行是否针对不同的信息系统，制订了不同的安全防范措施，采取了不同的技术防范手段：（3）检查商业银行是否对信息系统风险进行评估和防范.检查项2,安全管理机制基本要求，商业银行信息技术部门应落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问睡向其他部门提供建议，定期向信息技术管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。检查方法、步骤：1）调阅商业银行信息安全计划或相关文档，检隹商业银行是否制订信息安全计划。（2）分析信息安全计划，评估商业银行信息技术部门能否对信息安全进行持续、长期和有效

28、的管理，确保信息安全和信息系统安全运行。3）检查商业银行信息技术部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。4）检查商业银行信息技术部门是否对各类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计划。通过访谈f解这些管理策略和计划是否有效实施。（5）调阅信息安全评估报告，检查信息技术部门是否定期对本行信息安全进行评估。检查项土信息安全策略基本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营

29、管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否制定信息安全策略及其内容是否完整、全面.（2）调阅信息安全管理规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则.检查项4,信息安全组织基本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负贡人岗位，并定义各负或人的职贡：应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等

30、关键活动进行审批：安全管理人员应负费定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。检查方法、步骤：1）调阅相关岗位职贲说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职货：（2检查是否限制安全管理员不能兼任网络管理分、系统管理员、数据库管理分等；（3）三询相关制度文件和审批记录，检查是否根据各个部门和岗位的职时明询授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；（4）调阅信息安全检查记录，检隹安全管理员是否定期进行安全检杳，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否及时报告和

31、处理“3.2 安全管理制度检查项h规章制度基本要求：商业银行应对信息安全风险进行分析、评估：应对信息安全管理工作建立相应的管理制度：应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级程度，并进行密级管理：信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敬感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款：重要工作和岗位应制订详尽的管理办法和工作职货：信息安全制度应包括对服务商的货任和义务要求：信息安全事件报告制度和处理流程应清晰明确：信息安全管理制度应

32、注明发布范围，有发文编号和相关部门的收文记录：信息安全制度应及时发布和修订。商业银行应建立完善的信息系统管理制度，管理制度应正式发文予以公布,或收集整理形成制度汇编以便于员工学习掌握。检查方法、步鼻I（1）调阅商业银行信息安全管理相关的会议记录。（2）调阅信息安全相关的制度，查看：（八）是否围绕着风险分析、评估报告开展制度建设，各项制度能否有效防范风险;（b）已有制度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容：（c）是否包含违规的处罚条款；（d）是否包括针对服务商的管理要求，

33、如职贵和义务:（e）是否建立信息安全事件报告制度和处理流程，制度和流程是否清晰和明确；（3）调阅信息安全管理部门职责和工作计划，隹看是否对IR要的信息系统安全管理岗位制定了明确的管理办法和工作职成。（4）信息安全管理负贡人员座谈，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。检杳项2制度合规基本要求：信息安全制度应符合国家有关信息技术管理的法律法规：应符合国家有关信息技术管理的技术标准：应符合银监会有关要求：对于拥有境外机构的银行，其制度也应符合境外监管机构的要求.检查方法、步（1）调阅信息安全制度，检杳：（八）制度是

34、否遵循国家有关信息技术管理的法律法规要求：（b）技术性比较强的信息系统安全制度是否低于国家相关标准规定；（C）审杳其是否与银监会相关办法、要求相冲突.（2）与信息安全管理负货人座谈，了解该银行是否在境外设立分支机构，境外分支机构信息安全制度是否符合所在国、地区监管机构的要求.检查项M制度执行基本要求：信息技术相关工作应严格遵守信息安全制度规定：对违规操作的应根据相应条款进行处罚：被处罚管理部门或个人应对违规操作进行整改：审计部门应对信息安全制度执行情况定期进行审计。检查方法、步（1）与负费信息安全的人员访谈，了解信息安全制度执行情况；（2）调阅银行或部门会议记录，铿君银行或部门是否对日志、视频

35、等记录中出现的违规操作行为进行过认定，并对违规人员或部门进行过处罚：（3）调阅银行或部门会议记录，查看是否对违规操作进行过整改，整改的后续情况如何。对于因制度漏洞造成的风险，是否及时对相关制度进行了修改：（4）调阅内、外部审计资料,查看是否有关于信息安全制度执行情况的审计报告：（5）调阅审计文件，查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求：（6）调阅银行或部门文件，查看是否对审计发现的问题进行过整改落实，后续的整改落实情况是否符合审计要求。3.3 人员管理检查项I:人员管理基本要求：（1）信息技术的闵位设置应合理，应做到分工明确、职贡清晰，至要微位需要相互制约、监督：（2）

36、信息技术人员应无不良记录：信息技术人员的专业知识和业务水平应达到本行要求：应加强对临时聘用或合同制信息技术人力的安全管理措施：（3）应时信息技术人员权限进行分级管理，关键岗位应有ABffJ;应分离不相容岗位人员职贡，不得兼任：（4）信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机要人员管理要求，对涉密人员应卷订保密协议：（5）信息技术人员管理要全面，应包括背景调食、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。检查方法、步骤：1）调阅银行人事制度，/解银行的信息技术岗位设置情况，是否配备了专门的安全管理岗位：（2）与信息技术管理人员和普通员工进行座谈，听取

37、其对信息技术岗位设置的意见.分析岗位设四是否合理：（3）调阅银行人事档案，杳看是否建立了信息技术人员的绩效考核制度，食看信息技术人员是否有不良记录：（4）调阅银行人事档案和与信息技术从业人员进行座谈，了解信息技术人员的专业知识和业务水平：（5）调阅银行人事管理制度或部门人事管理制度，分析是否有针对正式信息技术人员、临时聘用或合同制信息技术人员及顾问制定不同的人事管理制度：（6）调阅信息安全管理的相关制度，确认是否对不同信息技术岗位进行f权限划分和分级管理，并能贯彻落实上述制度和要求.3.4安全评佶报告检查项h安全评估报告基本要求：商业银行应定期对信息系统安全楮况进行评估，并提交安全评估报告。当

38、信息系统发牛.重大变化时，应及时进行信息安全评估。对安全评估中发现的问题，应及时整改.检查方法、步骤：1）调阅安全评估报告，检杳商业银行是否定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后，是否及时进行信息安全评估：（2）检查安全评估是否全面，是否序盖所有信息系统，是否覆盖所有信息安全范围：（3）检查安全评估报告反映的问题是否及时得到处理或改进。3.5宣传、教育和培训检查项h宣传、教育和培训基本要求：高管层、信息安全管理部门负贵人应知晓信息安全政策：限行应加强时客户的佶息安全重要性的宣传教育工作：银行应定期组织历工进行信息系统安全亚要性教育：银行应组织员工学习基本的信息系统安全管理

39、制度：信息技术人员应掌握与其岗位相关的信息安全管理制度。检查方法、步IIh（I）与高管层、信息安全管理部门负贡人座谈，/解是否知晓本银行的信息安全政策：（2）与高管层座谈，了解银行是否对客户进行过信息安全方面的宣传教育，其内容、力度和频度如何：（3）与普通员工座谈，了解是否接受过有关信息安全方面教育：（4）抽杳银行内部部门的学习记录，君是否组织过信息安全防范知识方面的学习培训：（5与普通员工座谈，看是否知晓本银行基本的信息安全制度：（6）调阅信息技术部门的学习记录，看是否对信息技术人员进行过信息安全制度的传达，是否组织过信息安全制度的学习培训：（7与信息技术人员座谈，看是否掌握与其从事岗位相关

40、的信息安全管理制度。4系统开发、测试与维护4.1 开发管理乩好的系统开发管理是一个系统能否稳健运行的必要前提，因此应加强对商业银行系统开发管理工作的检查力度，从而准确评估芬运行系统以及即将上线系统的稳定性和可苑性。通过对商业银行的相关制度、规定、流程以及文档、记录的检查和分析，了解其管理层是否统筹考虑系统开发与信息技术战略规划及业务发展目标的一致性，是否对系统开发的可行性、必要性、成本效益核算以及存在的风嗓等方面进行全面评估，是否建设r合理的开发管理组织框架，是否对开发过程进行了全面的风险管控，以确保系统开发过程的合理、高效和安全。检查项h管理架构基本要求，应建立信息技术管理委员会对信息系统项

41、目建设的审批、授权机制，重大信息系统项目开发应经过银行董事会的批准，并符合该机构的IT战略规划和业务发展目标。信息技术部门应设置独立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统项目开发进行集中管理，系统开发应成立专门的开发建设项目组，具体负负信息系统的开发建设。在系统开发立项审批前，应进行系统开发可行性研究，以控制与信息技术有关的风险.项目开发过程中应定期向首席信息官或1.级管理层汇报项口实施状况。信息系统开发过程应有业务需求部门人员参与，并定期与业务需求部门起审核信息系统开发建设情况，查看是否能够满足生产业务的需要，是否与业务需求相符合，是否对关键业务风险点进行了有效控制。检查方

42、法、步鼻：（I）检查商业银行是否有系统开发的可行性研究、成本效益分析、风险评估等报告，食君是否对项目的可行性、成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规划等进行了深入的分析：（2）阚阅相关会议纪要，查看相关分析结果是否得到信息技术管理委m会的认可，分析信息技术管理委员会是否对系统开发的可行性、必要性以及与IT战略规划和业务发展目标的致有充分认识：（3）对于重大信息系统开发项目，查看是否仃银行董事会批准实施系统开发的记录：（4）调阅重大项目相关开发建设文档，查看是否成立了专门的项目组，具体负贵项目的开发建设。如成立有项目组，调阅项目组相关工作文件，检查项目组是否尽职完成其相关职

43、费：（5）查看是否有项目实施部门定期向信息技术管理委员会报告系统开发进展的报告；（6）杳看商业银行是否设置独立的部门负货系统开发，谢阅部门人员清单及简介（含资质），判断该部门人员的数旦和专业背景对丁其承担的系统开发职货是否充分和适当：（7）调阅项目开发相关文件，隹看信息系统开发过程是否有业务部门人员参与，检杏项目开发过程中开发部门是否与业务部门定期总结信息系统开发建设情况，以确认正在开发的系统是否与业务需求相符合，是否对关键业务风险点进行/有效控制:（8）检查信息系统投产后，实施部门是否组织了对系统的后评价，并根据评估结果及时对系统功能进行调整和优化。检查项2,制度建设基本要求商业银行应制定全

44、面的信息系统开发管理制度和流程，包括但不限下系统的开发流程和组织管理、参与部门的职贡划分,时间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制度和流程，应涵盖信息系统开发的全周期，包括：分析、设计、开发或外购、测试、试运行、部署、维护和退出等，制度和流程应经过而级管理展和相关部门的认可，明确相关部门和人m的职货，并定期进行评估和更新。检查方法、步（1）调阅商业银行系统开发相关的制度和流程，检查其是否明确了管理组织及职责，是否对开发流程管理进行全面的管控。是否建立了质量检测和风险评估机制等：（2）询问相关人员，是否有高级管理层和所有有关部门认可这些制度和潦程的说明，查看相关会议纪要、相

45、关文件的传阅痕迹等；（3）检杳系统开发过程中，相关制度和流程是否得到有效的实施，如是否界定了明确的部门和人员职贡，职费划分是否合理，是否有完整的时间进度管理和财务预算管理，是否耍求实施部门定期向信息技术管理委员会提交重大信息技术项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况等：（4）检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等各环节。检查项3：项目控制体系基本要求：（1）商业银行应制定合理的项目生命周期，加强项目生命周期管理，包括系统分

46、析、设计、开发或外购、测试、试运行、部署、维护和退出；（2）应开展对系统需求和技术架构的管理，使系统需求与业务目标保持一致：（3）应当建立一套符合质量管理标准的质量控制体系，有效控制开发质量：4）应根据项目风险评估，在系统开发过程中落实主要风险点的风险控制措施：（5）系统开发环境与运行环境应当分离，包括网络分离、设备分离、数据分离、人员分离等，防止开发活动时业务运行环境造成风险：（6）系统开发过程中应进行必要的安全控制，应对源代码进行有效管理，对程序源代码进行严格的审查，不应留有“后门”，即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入11和文档中未说明的任何模式的入

47、口。检查方法、步:（1）检查银行是否有信息系统生.命周期管理制度，是否有项目生命周期管理流程和记录：（2）检查系统需求和技术架构的评估文档，看系统需求与业务目标是否保持一致：（3）询问系统开发部门负责人，银行是否建立了系统开发质量控制体系，谢阅其项目旗员控制标准、代码编写规范（软件）以及质量控制检查和监督的记录：（4）检查是否有项目需求和计划的风险评估以及业务的风险点分析.是否有对业务操作环境（如人员素质、操作场所等环境）的相关风险分析，是否有对项目延期的风险、项目进程中发现的风险、项目外包的风险等关键控制点制定风险控制措施，是否有风险控制措施的落实记录和监督记录；（5）检查系统开发环境和运行

48、环境是否分离，网络是否有效隔离，设备是否独立于生产系统，开发人员是否接触生产系统，开发过程中是否使用了生产数据,使用的生产数据是否得到高级管理层的批准并经过脱敏或相关限制：（6）枪食系统开发过程中，是否进行安全控制，是否对源代码进行有效管理和严格的审查，系统所有人口是否都经过安全规则的控制，并在系统开发文档中全部注明.检查项1系统开发的操作风险基本要求，商业银行应当加强对开发队伍的管理，合理选择具备相当专业知识和技术水平的项目经理，并应对技术人员，尤其是外来技术人员的开发行为加强管理，对于外包开发与合作开发的开发方应进行充分调研分析，以保证系统的可毒性：应当加强信息技术项目文档管理和文档版本控

49、制：银行信息技术开发部门应当加强对开发过程的检查，确保开发目标的实现。对以外包和合作开发为主进行信息系统开发建设的银行机构,应特别重视对外来技术人员的开发行为加强管理，时于外包开发与合作开发的开发方应进行充分调研分析，以保证系统的可靠性。检查方法、步（I）询问商业银行对项目开发经理的知识水平要求，查看部分项FI开发经理的资信历史、资格证书、从业经历的调合记录：（2）对于外包开发与合作开发的项目，询问项目管理成员，开发方是否在业内有过针对客户的不良纪录,商业银行是否有对开发方技术实力与人力资源充分性进行分析：（3）检查是否制定了文档管理规范制度，查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册，风险评估报告等项目文档管理是否符合规范，是否进行了文档的版本控制；（