商业银行信息科技风险
现场检查指南
1
目 录
第一部分 概述 ............................................................................................................................. 12 1. 指南说明 ................................................................................................................................... 13
1.1 目的及适用范围 ............................................................................................................. 13 1.2 编写原则 ......................................................................................................................... 14 1.3 指南框架 ......................................................................................................................... 15 第二部分 科技管理 ..................................................................................................................... 17 2. 信息科技治理 ........................................................................................................................... 18
2.1 董事会及高级管理层 ..................................................................................................... 18
检查项1 :董事会 ........................................................................................................ 18 检查项2 :信息科技管理委员会 ................................................................................ 19 检查项3 :首席信息官(CIO) .................................................................................. 20 2.2 信息科技部门 ................................................................................................................. 21
检查项1 :信息科技部门 ............................................................................................ 21 检查项2 :信息科技战略规划 .................................................................................... 23 2.3 信息科技风险管理部门 ................................................................................................. 24
检查项1 :信息科技风险管理部门 ............................................................................ 24 2.4 信息科技风险审计部门 ................................................................................................. 25
检查项1 :信息科技风险审计部门 ............................................................................ 25 2.5 知识产权保护和信息披露 ............................................................................................. 26
检查项1 :知识产权保护 ............................................................................................ 26 检查项2 :信息披露 .................................................................................................... 26
3. 信息科技风险管理 ................................................................................................................... 28
3.1 风险识别和评估 ............................................................................................................. 28
检查项1 :风险管理策略 ............................................................................................ 28 检查项2 :风险识别与评估 ........................................................................................ 29 3.2 风险防范和检测 ............................................................................................................. 29
检查项1 :风险防范措施 ............................................................................................ 29 检查项2 :风险计量与检测 ........................................................................................ 30
4. 信息安全管理 ........................................................................................................................... 32
4.1 安全管理机制与管理组织 ............................................................................................. 32
检查项1:信息分类和保护体系 .................................................................................. 32 检查项2:安全管理机制 .............................................................................................. 33 检查项3:信息安全策略 .............................................................................................. 34 检查项4:信息安全组织 .............................................................................................. 34 4.2 安全管理制度 ................................................................................................................. 35
检查项1:规章制度 ...................................................................................................... 35 检查项2:制度合规 ...................................................................................................... 36
2
检查项3:制度执行 ...................................................................................................... 37 4.3 人员管理 ......................................................................................................................... 38
检查项1:人员管理 ...................................................................................................... 38 4.4 安全评估报告 ................................................................................................................. 39
检查项1:安全评估报告 .............................................................................................. 39 4.5 宣传、教育和培训 ......................................................................................................... 39
检查项1:宣传、教育和培训 ...................................................................................... 39
5.系统开发、测试与维护 ............................................................................................................. 41
5.1开发管理 .......................................................................................................................... 41
检查项1:管理架构 ...................................................................................................... 41 检查项2:制度建设 ...................................................................................................... 43 检查项3:项目控制体系 .............................................................................................. 44 检查项4:系统开发的操作风险 .................................................................................. 45 检查项5:数据继承和迁移 .......................................................................................... 46 5.2系统测试与上线 .............................................................................................................. 47
检查项1:系统测试 ...................................................................................................... 47 检查项2:系统验收 ...................................................................................................... 49 检查项3:投产上线 ...................................................................................................... 49 5.3系统下线 .......................................................................................................................... 50
检查项1:系统下线 ...................................................................................................... 50
6. 系统运行管理 ........................................................................................................................... 52
6.1 日常管理 ......................................................................................................................... 52
检查项1:职责分离 ...................................................................................................... 52 检查项2:值班制度 ...................................................................................................... 53 检查项3:操作管理 ...................................................................................................... 53 检查项4:人员管理 ...................................................................................................... 54 6.2 访问控制策略 ................................................................................................................. 55
检查项1:物理访问控制策略 ...................................................................................... 55 检查项2:逻辑访问控制策略 ...................................................................................... 56 检查项3:账号及权限管理 .......................................................................................... 57 检查项4:用户责任及终端管理 .................................................................................. 58 检查项5:远程接入的控制 .......................................................................................... 59 6.3 日志管理 ......................................................................................................................... 60
检查项1:审计日志检查 .............................................................................................. 60 检查项2:日志信息的保护 .......................................................................................... 60 检查项3:操作日志的检查 .......................................................................................... 61 检查项4:错误日志的检查 .......................................................................................... 61 6.4系统监控 .......................................................................................................................... 62
检查项1:基础环境监控 .............................................................................................. 62 检查项2:系统性能监控 .............................................................................................. 62 检查项3:系统运行监控 .............................................................................................. 63 检查项4:测评体系 ...................................................................................................... 64 6.5 事件管理 ......................................................................................................................... 65
3