商业银行信息科技风险
现场检查指南
1
目 录
第一部分 概述 ............................................................................................................................. 12
1. 指南说明 ................................................................................................................................... 13
1.1 目的及适用范围 ............................................................................................................. 13
1.2 编写原则 ......................................................................................................................... 14
1.3 指南框架 ......................................................................................................................... 15
第二部分 科技管理 ..................................................................................................................... 17
2. 信息科技治理 ........................................................................................................................... 18
2.1 董事会及高级管理层 ..................................................................................................... 18
检查项 1 :董事会 ........................................................................................................ 18
检查项 2 :信息科技管理委员会 ................................................................................ 19
检查项 3 :首席信息官(CIO) .................................................................................. 20
2.2 信息科技部门 ................................................................................................................. 21
检查项 1 :信息科技部门 ............................................................................................ 21
检查项 2 :信息科技战略规划 .................................................................................... 23
2.3 信息科技风险管理部门 ................................................................................................. 24
检查项 1 :信息科技风险管理部门 ............................................................................ 24
2.4 信息科技风险审计部门 ................................................................................................. 25
检查项 1 :信息科技风险审计部门 ............................................................................ 25
2.5 知识产权保护和信息披露 ............................................................................................. 26
检查项 1 :知识产权保护 ............................................................................................ 26
检查项 2 :信息披露 .................................................................................................... 26
3. 信息科技风险管理 ................................................................................................................... 28
3.1 风险识别和评估 ............................................................................................................. 28
检查项 1 :风险管理策略 ............................................................................................ 28
检查项 2 :风险识别与评估 ........................................................................................ 29
3.2 风险防范和检测 ............................................................................................................. 29
检查项 1 :风险防范措施 ............................................................................................ 29
检查项 2 :风险计量与检测 ........................................................................................ 30
4. 信息安全管理 ........................................................................................................................... 32
4.1 安全管理机制与管理组织 ............................................................................................. 32
检查项 1:信息分类和保护体系 .................................................................................. 32
检查项 2:安全管理机制 .............................................................................................. 33
检查项 3:信息安全策略 .............................................................................................. 34
检查项 4:信息安全组织 .............................................................................................. 34
4.2 安全管理制度 ................................................................................................................. 35
检查项 1:规章制度 ...................................................................................................... 35
检查项 2:制度合规 ...................................................................................................... 36
2
检查项 3:制度执行 ...................................................................................................... 37
4.3 人员管理 ......................................................................................................................... 38
检查项 1:人员管理 ...................................................................................................... 38
4.4 安全评估报告 ................................................................................................................. 39
检查项 1:安全评估报告 .............................................................................................. 39
4.5 宣传、教育和培训 ......................................................................................................... 39
检查项 1:宣传、教育和培训 ...................................................................................... 39
5.系统开发、测试与维护 ............................................................................................................. 41
5.1 开发管理 .......................................................................................................................... 41
检查项 1:管理架构 ...................................................................................................... 41
检查项 2:制度建设 ...................................................................................................... 43
检查项 3:项目控制体系 .............................................................................................. 44
检查项 4:系统开发的操作风险 .................................................................................. 45
检查项 5:数据继承和迁移 .......................................................................................... 46
5.2 系统测试与上线 .............................................................................................................. 47
检查项 1:系统测试 ...................................................................................................... 47
检查项 2:系统验收 ...................................................................................................... 49
检查项 3:投产上线 ...................................................................................................... 49
5.3 系统下线 .......................................................................................................................... 50
检查项 1:系统下线 ...................................................................................................... 50
6. 系统运行管理 ........................................................................................................................... 52
6.1 日常管理 ......................................................................................................................... 52
检查项 1:职责分离 ...................................................................................................... 52
检查项 2:值班制度 ...................................................................................................... 53
检查项 3:操作管理 ...................................................................................................... 53
检查项 4:人员管理 ...................................................................................................... 54
6.2 访问控制策略 ................................................................................................................. 55
检查项 1:物理访问控制策略 ...................................................................................... 55
检查项 2:逻辑访问控制策略 ...................................................................................... 56
检查项 3:账号及权限管理 .......................................................................................... 57
检查项 4:用户责任及终端管理 .................................................................................. 58
检查项 5:远程接入的控制 .......................................................................................... 59
6.3 日志管理 ......................................................................................................................... 60
检查项 1:审计日志检查 .............................................................................................. 60
检查项 2:日志信息的保护 .......................................................................................... 60
检查项 3:操作日志的检查 .......................................................................................... 61
检查项 4:错误日志的检查 .......................................................................................... 61
6.4 系统监控 .......................................................................................................................... 62
检查项 1:基础环境监控 .............................................................................................. 62
检查项 2:系统性能监控 .............................................................................................. 62
检查项 3:系统运行监控 .............................................................................................. 63
检查项 4:测评体系 ...................................................................................................... 64
6.5 事件管理 ......................................................................................................................... 65
3
检查项 1:事件报告流程 .............................................................................................. 65
检查项 2:事件管理和改进 .......................................................................................... 66
检查项 3:服务台管理 .................................................................................................. 67
6.6 问题管理 .......................................................................................................................... 67
检查项 1:事件分析和问题生成 .................................................................................. 68
检查项 2:台账管理 ...................................................................................................... 68
检查项 3:问题处置 ...................................................................................................... 68
6.7 容量管理 ......................................................................................................................... 69
检查项 1:容量规划 ...................................................................................................... 69
检查项 2:容量监测 ...................................................................................................... 70
检查项 3:容量变更 ...................................................................................................... 70
6.8 变更管理 ......................................................................................................................... 71
检查项 1:变更的流程 .................................................................................................. 72
检查项 2:变更的评估 .................................................................................................. 72
检查项 3:变更的授权 .................................................................................................. 73
检查项 4:变更的执行 .................................................................................................. 73
检查项 5:紧急变更 ...................................................................................................... 74
检查项 6:重大变更 ...................................................................................................... 74
7. 业务连续性管理 ....................................................................................................................... 76
7.1 业务连续性管理组织 ..................................................................................................... 77
检查项 1:董事会及高管层的职责 .............................................................................. 77
检查项 2:业务连续性管理组织的建立 ...................................................................... 78
检查项 3:业务连续性管理组织职责 .......................................................................... 79
7.2 IT 服务连续性管理 ........................................................................................................ 80
检查项 1:IT 服务连续性计划的组织保障 ................................................................. 80
检查项 2:风险评估及业务影响分析 .......................................................................... 81
检查项 3:IT 服务连续性计划的制定 ......................................................................... 81
检查项 4:IT 服务连续性计划的测试与维护 ............................................................. 82
检查项 5:IT 服务连续性计划审计 ............................................................................. 83
检查项 6:IT 服务连续性相关领域的控制 ................................................................. 84
8. 应急管理 ................................................................................................................................... 85
8.1 应急组织 ......................................................................................................................... 85
检查项 1:应急管理团队 .............................................................................................. 85
检查项 2:应急管理职责 .............................................................................................. 86
检查项 3:应急管理制度 .............................................................................................. 86
8.2 应急预案 ......................................................................................................................... 87
检查项 1:应急预案制订 .............................................................................................. 87
检查项 2:应急预案内容 .............................................................................................. 87
检查项 3:应急预案更新 .............................................................................................. 89
检查项 4:外包服务应急 .............................................................................................. 89
检查项 5:应急预案培训 .............................................................................................. 90
8.3 应急保障 ......................................................................................................................... 90
检查项 1:人员保障 ...................................................................................................... 90
4
检查项 2:物质保障 ...................................................................................................... 90
检查项 3:技术保障 ...................................................................................................... 91
检查项 4:沟通保障 ...................................................................................................... 91
8.4 应急演练 ......................................................................................................................... 92
检查项 1:应急演练的计划 .......................................................................................... 92
检查项 2:应急演练的实施 .......................................................................................... 92
检查项 3:应急演练的总结 .......................................................................................... 93
8.5 应急响应 ......................................................................................................................... 93
检查项 1:应急响应流程 .............................................................................................. 93
检查项 2:全程记录处置过程 ...................................................................................... 94
检查项 3:应急事件报告 .............................................................................................. 95
检查项 4:与第三方沟通 .............................................................................................. 95
检查项 5:向新闻媒体通报制度 .................................................................................. 96
检查项 6:应急处置总结 .............................................................................................. 96
8.6 持续改进 ......................................................................................................................... 97
检查项 1:应急事件评估 .............................................................................................. 97
检查项 2:应急响应评估 .............................................................................................. 97
检查项 3:应急管理改进 .............................................................................................. 97
9. 灾难恢复管理 ........................................................................................................................... 99
9.1 灾难恢复组织架构 ......................................................................................................... 99
检查项 1:灾难恢复相关组织架构 .............................................................................. 99
9.2 灾难恢复策略 ............................................................................................................... 101
检查项 1:总体控制 .................................................................................................... 101
检查项 2:灾难恢复策略 ............................................................................................ 101
检查项 3:灾难备份策略 ............................................................................................ 103
检查项 4:外包风险 .................................................................................................... 104
9.3 灾难恢复预案 ............................................................................................................... 105
检查项 1:灾难恢复预案 ............................................................................................ 105
检查项 2:联络与通讯 ................................................................................................ 106
检查项 3:教育、培训和演练 .................................................................................... 107
9.4 评估和维护更新 ............................................................................................................ 107
检查项 1:灾备策略的评估和维护更新 .................................................................... 107
检查项 2:灾难恢复预案的评估和维护更新 ............................................................ 108
10. 数据管理 ............................................................................................................................... 109
10.1 数据管理制度和岗位 ................................................................................................. 109
检查项 1: 数据管理制度 ............................................................................................ 109
检查项 2 :数据管理岗位 .......................................................................................... 110
10.2 数据备份、恢复策略 ................................................................................................. 110
检查项 1:数据备份、转储策略 ................................................................................ 110
检查项 2:数据恢复、抽检策略 ................................................................................ 111
10.3 数据存储介质管理 ...................................................................................................... 112
检查项 1:介质管理 .................................................................................................... 112
检查项 2:介质的清理和销毁 .................................................................................... 113
5
11. 外包管理 ............................................................................................................................... 114
11.1 外包管理制度 .............................................................................................................. 114
检查项 1:外包管理制度 ............................................................................................ 114
检查项 2:外包审批流程 ............................................................................................ 114
检查项 3:外包协议 .................................................................................................... 115
检查项 4:服务水平协议 ............................................................................................ 115
检查项 5:外包安全保密措施 .................................................................................... 116
检查项 6:外包文档管理 ............................................................................................ 116
11.2 外包评估和监督 .......................................................................................................... 117
检查项 1:外包服务商的评估 .................................................................................... 117
检查项 2:外包项目的监督管理 ................................................................................ 117
12. 内部审计 ............................................................................................................................... 119
12.1 内部审计管理 ............................................................................................................. 119
检查项 1:内部审计部门、岗位、人员和职责 ........................................................ 119
检查项 2:内部审计制度和办法 ................................................................................ 119
12.2 内部审计要求 ............................................................................................................. 120
检查项 1:内部审计范围和频率 ................................................................................ 120
检查项 2:内部审计结果的有效性 ............................................................................ 120
13. 外部审计 ............................................................................................................................... 122
13.1 外部审计资质 ............................................................................................................. 122
检查项 1:外部审计机构的资质 ................................................................................ 122
13.2 外部审计要求 ............................................................................................................. 122
检查项 1:商业银行配合外部审计情况 .................................................................... 122
检查项 2:外部审计有效性 ........................................................................................ 123
检查项 3:外审过程中的保密要求 ............................................................................ 123
第三部分 基础设施 ................................................................................................................... 125
14. 计算机机房 ........................................................................................................................... 126
14.1 计算机机房建设 .......................................................................................................... 126
检查项 1:计算机机房选址 ........................................................................................ 126
检查项 2:机房功能分区 ............................................................................................ 127
检查项 3:计算机机房基础设施建设 ........................................................................ 127
检查项 4:计算机机房的环境要求 ............................................................................ 130
检查项 5:计算机机房日常维护 ................................................................................ 131
14.2 计算机机房管理 .......................................................................................................... 132
检查项 1:计算机机房安全管理 ................................................................................ 132
检查项 2:计算机机房集中监控系统 ........................................................................ 133
检查项 3:计算机机房安全区域访问控制 ................................................................ 134
检查项 4:计算机机房运行管理 ................................................................................ 135
14.3 机房设备管理 .............................................................................................................. 136
检查项 1:机房设备的环境安全 ................................................................................ 136
15. 网络通讯 ............................................................................................................................... 137
15.1 内控管理 ..................................................................................................................... 137
检查项 1:内控制度 .................................................................................................... 137
6
检查项 2:人员管理 .................................................................................................... 138
检查项 3:访问控制 .................................................................................................... 138
检查项 4:日志管理 .................................................................................................... 139
检查项 5:第三方管理 ................................................................................................ 140
检查项 6:服务外包 .................................................................................................... 141
检查项 7:文档管理 .................................................................................................... 141
检查项 8:风险评估 .................................................................................................... 142
15.2 网络运行维护 ............................................................................................................. 143
检查项 1:运行监控 .................................................................................................... 143
检查项 2:性能监控 .................................................................................................... 143
检查项 3:流量监控 .................................................................................................... 144
检查项 4:监控预警 .................................................................................................... 144
检查项 5:性能调优 .................................................................................................... 144
检查项 6:事件管理 .................................................................................................... 145
检查项 7:运行检查 .................................................................................................... 145
15.3 网络变更管理 ............................................................................................................. 146
检查项 1:变更发起 .................................................................................................... 146
检查项 2:变更计划 .................................................................................................... 147
检查项 3:变更测试 .................................................................................................... 147
检查项 4:变更审批 .................................................................................................... 147
检查项 5:变更实施 .................................................................................................... 148
15.4 网络服务可用性 ......................................................................................................... 149
检查项 1:容量管理 .................................................................................................... 149
检查项 2:冗余管理 .................................................................................................... 149
检查项 3:带外管理 .................................................................................................... 150
检查项 4:压力测试 .................................................................................................... 151
检查项 5:应急管理 .................................................................................................... 151
15.5 网络安全技术 ............................................................................................................. 151
检查项 1:结构安全 .................................................................................................... 151
检查项 2:物理安全 .................................................................................................... 153
检查项 3:传输安全 .................................................................................................... 153
检查项 4:访问控制 .................................................................................................... 154
检查项 5:接入安全 .................................................................................................... 155
检查项 6:网络边界安全 ............................................................................................ 156
检查项 7:入侵检测防范 ............................................................................................ 157
检查项 8:恶意代码防范 ............................................................................................ 158
检查项 9:网络设备防护 ............................................................................................ 158
检查项 10:网络安全测试 .......................................................................................... 160
检查项 11:安全审计日志 .......................................................................................... 161
检查项 12:安全检查 .................................................................................................. 162
16. 操作系统 ............................................................................................................................... 163
16.1 账号及密码管理 .......................................................................................................... 163
检查项 1:管理制度 .................................................................................................... 163
7
检查项 2:账号、密码管理 ........................................................................................ 163
检查项 3:账号、密码管理检查 ................................................................................ 165
16.2 系统访问控制 .............................................................................................................. 165
检查项 1:访问控制策略 ............................................................................................ 165
检查项 2:用户登录行为管理 .................................................................................... 166
检查项 3:登录失败日志管理 .................................................................................... 166
检查项 4:最小化访问 ................................................................................................ 167
16.3 远程接入管理 .............................................................................................................. 168
检查项 1:远程管理制度 ............................................................................................ 168
检查项 2:远程维护管理 ............................................................................................ 169
检查项 3:远程维护审查 ............................................................................................ 169
16.4 日常维护 ....................................................................................................................... 170
检查项 1:系统性能监控 ............................................................................................ 170
检查项 2:补丁及漏洞管理 ........................................................................................ 170
检查项 3:日常维护管理 ............................................................................................ 171
检查项 4:系统备份和故障恢复 ................................................................................ 172
检查项 5:病毒及恶意代码管理 ................................................................................ 172
检查项 6:定时进程设置管理 .................................................................................... 173
检查项 7:系统审计功能 ............................................................................................ 173
17. 数据库管理系统 ................................................................................................................... 175
17.1 访问控制 ....................................................................................................................... 175
检查项 1:身份认证 .................................................................................................... 175
检查项 2:授权控制 .................................................................................................... 176
检查项 3:远程访问 .................................................................................................... 177
检查项 4:安全参数设置 ............................................................................................ 178
17.2 日常管理 ....................................................................................................................... 178
检查项 1:数据安全 .................................................................................................... 178
检查项 2:审计功能 .................................................................................................... 179
检查项 3:性能管理 .................................................................................................... 180
检查项 4:补丁升级 .................................................................................................... 181
17.3 连续性管理 ................................................................................................................... 181
检查项 1:备份和恢复 ................................................................................................ 181
检查项 2:连续性和应急管理 .................................................................................... 182
18. 第三方中间件 ....................................................................................................................... 184
18.1 产品管理 ..................................................................................................................... 184
检查项 1:中间件测试 ................................................................................................ 184
检查项 2:中间件管理 ................................................................................................ 184
检查项 3:中间件与业务系统架构 ............................................................................ 185
18.2 运行管理 ..................................................................................................................... 185
检查项 1:维护流程和操作手册 ................................................................................ 185
检查项 2:中间件配置管理 ........................................................................................ 185
检查项 3:中间件日志管理的程序 ............................................................................ 186
检查项 4:中间件的性能监控 .................................................................................... 186
8