第1页 / 共264页
第2页 / 共264页
第3页 / 共264页
第4页 / 共264页
第5页 / 共264页
第6页 / 共264页
第7页 / 共264页
第8页 / 共264页
银行业金融机构信息科技风险现场检查指南.pdf
商业银行信息科技风险
现场检查指南
1
目 录
第一部分 概述 ............................................................................................................................. 12
1. 指南说明 ................................................................................................................................... 13
1.1 目的及适用范围 ............................................................................................................. 13
1.2 编写原则 ......................................................................................................................... 14
1.3 指南框架 ......................................................................................................................... 15
第二部分 科技管理 ..................................................................................................................... 17
2. 信息科技治理 ........................................................................................................................... 18
2.1 董事会及高级管理层 ..................................................................................................... 18
检查项 1 :董事会 ........................................................................................................ 18
检查项 2 :信息科技管理委员会 ................................................................................ 19
检查项 3 :首席信息官(CIO) .................................................................................. 20
2.2 信息科技部门 ................................................................................................................. 21
检查项 1 :信息科技部门 ............................................................................................ 21
检查项 2 :信息科技战略规划 .................................................................................... 23
2.3 信息科技风险管理部门 ................................................................................................. 24
检查项 1 :信息科技风险管理部门 ............................................................................ 24
2.4 信息科技风险审计部门 ................................................................................................. 25
检查项 1 :信息科技风险审计部门 ............................................................................ 25
2.5 知识产权保护和信息披露 ............................................................................................. 26
检查项 1 :知识产权保护 ............................................................................................ 26
检查项 2 :信息披露 .................................................................................................... 26
3. 信息科技风险管理 ................................................................................................................... 28
3.1 风险识别和评估 ............................................................................................................. 28
检查项 1 :风险管理策略 ............................................................................................ 28
检查项 2 :风险识别与评估 ........................................................................................ 29
3.2 风险防范和检测 ............................................................................................................. 29
检查项 1 :风险防范措施 ............................................................................................ 29
检查项 2 :风险计量与检测 ........................................................................................ 30
4. 信息安全管理 ........................................................................................................................... 32
4.1 安全管理机制与管理组织 ............................................................................................. 32
检查项 1:信息分类和保护体系 .................................................................................. 32
检查项 2:安全管理机制 .............................................................................................. 33
检查项 3:信息安全策略 .............................................................................................. 34
检查项 4:信息安全组织 .............................................................................................. 34
4.2 安全管理制度 ................................................................................................................. 35
检查项 1:规章制度 ...................................................................................................... 35
检查项 2:制度合规 ...................................................................................................... 36
2
检查项 3:制度执行 ...................................................................................................... 37
4.3 人员管理 ......................................................................................................................... 38
检查项 1:人员管理 ...................................................................................................... 38
4.4 安全评估报告 ................................................................................................................. 39
检查项 1:安全评估报告 .............................................................................................. 39
4.5 宣传、教育和培训 ......................................................................................................... 39
检查项 1:宣传、教育和培训 ...................................................................................... 39
5.系统开发、测试与维护 ............................................................................................................. 41
5.1 开发管理 .......................................................................................................................... 41
检查项 1:管理架构 ...................................................................................................... 41
检查项 2:制度建设 ...................................................................................................... 43
检查项 3:项目控制体系 .............................................................................................. 44
检查项 4:系统开发的操作风险 .................................................................................. 45
检查项 5:数据继承和迁移 .......................................................................................... 46
5.2 系统测试与上线 .............................................................................................................. 47
检查项 1:系统测试 ...................................................................................................... 47
检查项 2:系统验收 ...................................................................................................... 49
检查项 3:投产上线 ...................................................................................................... 49
5.3 系统下线 .......................................................................................................................... 50
检查项 1:系统下线 ...................................................................................................... 50
6. 系统运行管理 ........................................................................................................................... 52
6.1 日常管理 ......................................................................................................................... 52
检查项 1:职责分离 ...................................................................................................... 52
检查项 2:值班制度 ...................................................................................................... 53
检查项 3:操作管理 ...................................................................................................... 53
检查项 4:人员管理 ...................................................................................................... 54
6.2 访问控制策略 ................................................................................................................. 55
检查项 1:物理访问控制策略 ...................................................................................... 55
检查项 2:逻辑访问控制策略 ...................................................................................... 56
检查项 3:账号及权限管理 .......................................................................................... 57
检查项 4:用户责任及终端管理 .................................................................................. 58
检查项 5:远程接入的控制 .......................................................................................... 59
6.3 日志管理 ......................................................................................................................... 60
检查项 1:审计日志检查 .............................................................................................. 60
检查项 2:日志信息的保护 .......................................................................................... 60
检查项 3:操作日志的检查 .......................................................................................... 61
检查项 4:错误日志的检查 .......................................................................................... 61
6.4 系统监控 .......................................................................................................................... 62
检查项 1:基础环境监控 .............................................................................................. 62
检查项 2:系统性能监控 .............................................................................................. 62
检查项 3:系统运行监控 .............................................................................................. 63
检查项 4:测评体系 ...................................................................................................... 64
6.5 事件管理 ......................................................................................................................... 65
3
检查项 1:事件报告流程 .............................................................................................. 65
检查项 2:事件管理和改进 .......................................................................................... 66
检查项 3:服务台管理 .................................................................................................. 67
6.6 问题管理 .......................................................................................................................... 67
检查项 1:事件分析和问题生成 .................................................................................. 68
检查项 2:台账管理 ...................................................................................................... 68
检查项 3:问题处置 ...................................................................................................... 68
6.7 容量管理 ......................................................................................................................... 69
检查项 1:容量规划 ...................................................................................................... 69
检查项 2:容量监测 ...................................................................................................... 70
检查项 3:容量变更 ...................................................................................................... 70
6.8 变更管理 ......................................................................................................................... 71
检查项 1:变更的流程 .................................................................................................. 72
检查项 2:变更的评估 .................................................................................................. 72
检查项 3:变更的授权 .................................................................................................. 73
检查项 4:变更的执行 .................................................................................................. 73
检查项 5:紧急变更 ...................................................................................................... 74
检查项 6:重大变更 ...................................................................................................... 74
7. 业务连续性管理 ....................................................................................................................... 76
7.1 业务连续性管理组织 ..................................................................................................... 77
检查项 1:董事会及高管层的职责 .............................................................................. 77
检查项 2:业务连续性管理组织的建立 ...................................................................... 78
检查项 3:业务连续性管理组织职责 .......................................................................... 79
7.2 IT 服务连续性管理 ........................................................................................................ 80
检查项 1:IT 服务连续性计划的组织保障 ................................................................. 80
检查项 2:风险评估及业务影响分析 .......................................................................... 81
检查项 3:IT 服务连续性计划的制定 ......................................................................... 81
检查项 4:IT 服务连续性计划的测试与维护 ............................................................. 82
检查项 5:IT 服务连续性计划审计 ............................................................................. 83
检查项 6:IT 服务连续性相关领域的控制 ................................................................. 84
8. 应急管理 ................................................................................................................................... 85
8.1 应急组织 ......................................................................................................................... 85
检查项 1:应急管理团队 .............................................................................................. 85
检查项 2:应急管理职责 .............................................................................................. 86
检查项 3:应急管理制度 .............................................................................................. 86
8.2 应急预案 ......................................................................................................................... 87
检查项 1:应急预案制订 .............................................................................................. 87
检查项 2:应急预案内容 .............................................................................................. 87
检查项 3:应急预案更新 .............................................................................................. 89
检查项 4:外包服务应急 .............................................................................................. 89
检查项 5:应急预案培训 .............................................................................................. 90
8.3 应急保障 ......................................................................................................................... 90
检查项 1:人员保障 ...................................................................................................... 90
4
检查项 2:物质保障 ...................................................................................................... 90
检查项 3:技术保障 ...................................................................................................... 91
检查项 4:沟通保障 ...................................................................................................... 91
8.4 应急演练 ......................................................................................................................... 92
检查项 1:应急演练的计划 .......................................................................................... 92
检查项 2:应急演练的实施 .......................................................................................... 92
检查项 3:应急演练的总结 .......................................................................................... 93
8.5 应急响应 ......................................................................................................................... 93
检查项 1:应急响应流程 .............................................................................................. 93
检查项 2:全程记录处置过程 ...................................................................................... 94
检查项 3:应急事件报告 .............................................................................................. 95
检查项 4:与第三方沟通 .............................................................................................. 95
检查项 5:向新闻媒体通报制度 .................................................................................. 96
检查项 6:应急处置总结 .............................................................................................. 96
8.6 持续改进 ......................................................................................................................... 97
检查项 1:应急事件评估 .............................................................................................. 97
检查项 2:应急响应评估 .............................................................................................. 97
检查项 3:应急管理改进 .............................................................................................. 97
9. 灾难恢复管理 ........................................................................................................................... 99
9.1 灾难恢复组织架构 ......................................................................................................... 99
检查项 1:灾难恢复相关组织架构 .............................................................................. 99
9.2 灾难恢复策略 ............................................................................................................... 101
检查项 1:总体控制 .................................................................................................... 101
检查项 2:灾难恢复策略 ............................................................................................ 101
检查项 3:灾难备份策略 ............................................................................................ 103
检查项 4:外包风险 .................................................................................................... 104
9.3 灾难恢复预案 ............................................................................................................... 105
检查项 1:灾难恢复预案 ............................................................................................ 105
检查项 2:联络与通讯 ................................................................................................ 106
检查项 3:教育、培训和演练 .................................................................................... 107
9.4 评估和维护更新 ............................................................................................................ 107
检查项 1:灾备策略的评估和维护更新 .................................................................... 107
检查项 2:灾难恢复预案的评估和维护更新 ............................................................ 108
10. 数据管理 ............................................................................................................................... 109
10.1 数据管理制度和岗位 ................................................................................................. 109
检查项 1: 数据管理制度 ............................................................................................ 109
检查项 2 :数据管理岗位 .......................................................................................... 110
10.2 数据备份、恢复策略 ................................................................................................. 110
检查项 1:数据备份、转储策略 ................................................................................ 110
检查项 2:数据恢复、抽检策略 ................................................................................ 111
10.3 数据存储介质管理 ...................................................................................................... 112
检查项 1:介质管理 .................................................................................................... 112
检查项 2:介质的清理和销毁 .................................................................................... 113
5
11. 外包管理 ............................................................................................................................... 114
11.1 外包管理制度 .............................................................................................................. 114
检查项 1:外包管理制度 ............................................................................................ 114
检查项 2:外包审批流程 ............................................................................................ 114
检查项 3:外包协议 .................................................................................................... 115
检查项 4:服务水平协议 ............................................................................................ 115
检查项 5:外包安全保密措施 .................................................................................... 116
检查项 6:外包文档管理 ............................................................................................ 116
11.2 外包评估和监督 .......................................................................................................... 117
检查项 1:外包服务商的评估 .................................................................................... 117
检查项 2:外包项目的监督管理 ................................................................................ 117
12. 内部审计 ............................................................................................................................... 119
12.1 内部审计管理 ............................................................................................................. 119
检查项 1:内部审计部门、岗位、人员和职责 ........................................................ 119
检查项 2:内部审计制度和办法 ................................................................................ 119
12.2 内部审计要求 ............................................................................................................. 120
检查项 1:内部审计范围和频率 ................................................................................ 120
检查项 2:内部审计结果的有效性 ............................................................................ 120
13. 外部审计 ............................................................................................................................... 122
13.1 外部审计资质 ............................................................................................................. 122
检查项 1:外部审计机构的资质 ................................................................................ 122
13.2 外部审计要求 ............................................................................................................. 122
检查项 1:商业银行配合外部审计情况 .................................................................... 122
检查项 2:外部审计有效性 ........................................................................................ 123
检查项 3:外审过程中的保密要求 ............................................................................ 123
第三部分 基础设施 ................................................................................................................... 125
14. 计算机机房 ........................................................................................................................... 126
14.1 计算机机房建设 .......................................................................................................... 126
检查项 1:计算机机房选址 ........................................................................................ 126
检查项 2:机房功能分区 ............................................................................................ 127
检查项 3:计算机机房基础设施建设 ........................................................................ 127
检查项 4:计算机机房的环境要求 ............................................................................ 130
检查项 5:计算机机房日常维护 ................................................................................ 131
14.2 计算机机房管理 .......................................................................................................... 132
检查项 1:计算机机房安全管理 ................................................................................ 132
检查项 2:计算机机房集中监控系统 ........................................................................ 133
检查项 3:计算机机房安全区域访问控制 ................................................................ 134
检查项 4:计算机机房运行管理 ................................................................................ 135
14.3 机房设备管理 .............................................................................................................. 136
检查项 1:机房设备的环境安全 ................................................................................ 136
15. 网络通讯 ............................................................................................................................... 137
15.1 内控管理 ..................................................................................................................... 137
检查项 1:内控制度 .................................................................................................... 137
6
检查项 2:人员管理 .................................................................................................... 138
检查项 3:访问控制 .................................................................................................... 138
检查项 4:日志管理 .................................................................................................... 139
检查项 5:第三方管理 ................................................................................................ 140
检查项 6:服务外包 .................................................................................................... 141
检查项 7:文档管理 .................................................................................................... 141
检查项 8:风险评估 .................................................................................................... 142
15.2 网络运行维护 ............................................................................................................. 143
检查项 1:运行监控 .................................................................................................... 143
检查项 2:性能监控 .................................................................................................... 143
检查项 3:流量监控 .................................................................................................... 144
检查项 4:监控预警 .................................................................................................... 144
检查项 5:性能调优 .................................................................................................... 144
检查项 6:事件管理 .................................................................................................... 145
检查项 7:运行检查 .................................................................................................... 145
15.3 网络变更管理 ............................................................................................................. 146
检查项 1:变更发起 .................................................................................................... 146
检查项 2:变更计划 .................................................................................................... 147
检查项 3:变更测试 .................................................................................................... 147
检查项 4:变更审批 .................................................................................................... 147
检查项 5:变更实施 .................................................................................................... 148
15.4 网络服务可用性 ......................................................................................................... 149
检查项 1:容量管理 .................................................................................................... 149
检查项 2:冗余管理 .................................................................................................... 149
检查项 3:带外管理 .................................................................................................... 150
检查项 4:压力测试 .................................................................................................... 151
检查项 5:应急管理 .................................................................................................... 151
15.5 网络安全技术 ............................................................................................................. 151
检查项 1:结构安全 .................................................................................................... 151
检查项 2:物理安全 .................................................................................................... 153
检查项 3:传输安全 .................................................................................................... 153
检查项 4:访问控制 .................................................................................................... 154
检查项 5:接入安全 .................................................................................................... 155
检查项 6:网络边界安全 ............................................................................................ 156
检查项 7:入侵检测防范 ............................................................................................ 157
检查项 8:恶意代码防范 ............................................................................................ 158
检查项 9:网络设备防护 ............................................................................................ 158
检查项 10:网络安全测试 .......................................................................................... 160
检查项 11:安全审计日志 .......................................................................................... 161
检查项 12:安全检查 .................................................................................................. 162
16. 操作系统 ............................................................................................................................... 163
16.1 账号及密码管理 .......................................................................................................... 163
检查项 1:管理制度 .................................................................................................... 163
7
检查项 2:账号、密码管理 ........................................................................................ 163
检查项 3:账号、密码管理检查 ................................................................................ 165
16.2 系统访问控制 .............................................................................................................. 165
检查项 1:访问控制策略 ............................................................................................ 165
检查项 2:用户登录行为管理 .................................................................................... 166
检查项 3:登录失败日志管理 .................................................................................... 166
检查项 4:最小化访问 ................................................................................................ 167
16.3 远程接入管理 .............................................................................................................. 168
检查项 1:远程管理制度 ............................................................................................ 168
检查项 2:远程维护管理 ............................................................................................ 169
检查项 3:远程维护审查 ............................................................................................ 169
16.4 日常维护 ....................................................................................................................... 170
检查项 1:系统性能监控 ............................................................................................ 170
检查项 2:补丁及漏洞管理 ........................................................................................ 170
检查项 3:日常维护管理 ............................................................................................ 171
检查项 4:系统备份和故障恢复 ................................................................................ 172
检查项 5:病毒及恶意代码管理 ................................................................................ 172
检查项 6:定时进程设置管理 .................................................................................... 173
检查项 7:系统审计功能 ............................................................................................ 173
17. 数据库管理系统 ................................................................................................................... 175
17.1 访问控制 ....................................................................................................................... 175
检查项 1:身份认证 .................................................................................................... 175
检查项 2:授权控制 .................................................................................................... 176
检查项 3:远程访问 .................................................................................................... 177
检查项 4:安全参数设置 ............................................................................................ 178
17.2 日常管理 ....................................................................................................................... 178
检查项 1:数据安全 .................................................................................................... 178
检查项 2:审计功能 .................................................................................................... 179
检查项 3:性能管理 .................................................................................................... 180
检查项 4:补丁升级 .................................................................................................... 181
17.3 连续性管理 ................................................................................................................... 181
检查项 1:备份和恢复 ................................................................................................ 181
检查项 2:连续性和应急管理 .................................................................................... 182
18. 第三方中间件 ....................................................................................................................... 184
18.1 产品管理 ..................................................................................................................... 184
检查项 1:中间件测试 ................................................................................................ 184
检查项 2:中间件管理 ................................................................................................ 184
检查项 3:中间件与业务系统架构 ............................................................................ 185
18.2 运行管理 ..................................................................................................................... 185
检查项 1:维护流程和操作手册 ................................................................................ 185
检查项 2:中间件配置管理 ........................................................................................ 185
检查项 3:中间件日志管理的程序 ............................................................................ 186
检查项 4:中间件的性能监控 .................................................................................... 186
8
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
