銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引

1、.銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 第一章 總則  第一條 為有效防范銀行業(yè)金融機構(gòu)運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風險，促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行，根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)，制定本指引。    第二條 本指引適用于銀行業(yè)金融機構(gòu)。     本指引所稱銀行業(yè)金融機構(gòu)，是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構(gòu)以及政策性銀行。     在中華人民共和

2、國境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司、財務(wù)公司、金融租賃公司、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）及其派出機構(gòu)批準設(shè)立的其他金融機構(gòu)，適用本指引規(guī)定。     第三條 本指引所稱信息系統(tǒng)，是指銀行業(yè)金融機構(gòu)運用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。     第四條 本指引所稱信息系統(tǒng)風險，是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及退出過程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。     第五條 信息系統(tǒng)風險管理的目標是通過建立有效的機制

3、，實現(xiàn)對信息系統(tǒng)風險的識別、計量、評價、預警和控制，推動銀行業(yè)金融機構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力。  第二章 機構(gòu)職責  第六條 銀行業(yè)金融機構(gòu)應(yīng)建立有效的信息系統(tǒng)風險管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機制，防范和控制信息系統(tǒng)風險。    第七條 銀行業(yè)金融機構(gòu)應(yīng)認真履行下列信息系統(tǒng)管理職責：    （一）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標準，落實銀監(jiān)會相關(guān)監(jiān)管要求；     （二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風險管理崗位責任制度，并監(jiān)督

4、落實；    （三）負責組織對本機構(gòu)信息系統(tǒng)風險進行檢查、評估、分析，及時向本機構(gòu)專門委員會和銀監(jiān)會及其派出機構(gòu)報送相關(guān)的管理信息；    （四）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預案快速響應(yīng)；    （五）每年經(jīng)董事會或其他決策機構(gòu)審查后向銀監(jiān)會及其派出機構(gòu)報送信息系統(tǒng)風險管理的年度報告；     （六）做好本機構(gòu)信息系統(tǒng)審計工作；     （七）配合銀監(jiān)會及其派出機構(gòu)做好信息系統(tǒng)風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改； 

5、;   （八）組織本機構(gòu)信息系統(tǒng)從業(yè)人員進行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓；     （九）開展與信息系統(tǒng)風險管理相關(guān)的其他工作。     第八條 銀行業(yè)金融機構(gòu)的董事會或其他決策機構(gòu)負責信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風險監(jiān)督管理；信息科技管理委員會、風險管理委員會或其他負責風險監(jiān)督的專業(yè)委員會應(yīng)制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項目建設(shè)，定期評估、報告本機構(gòu)信息系統(tǒng)風險狀況，為決策層提供建議，采取相應(yīng)的風險控制措施。    第九條 銀行業(yè)金融機構(gòu)法定代表人或主要負責人是本機構(gòu)信息系統(tǒng)風險管理責任人。

6、     第十條 銀行業(yè)金融機構(gòu)應(yīng)設(shè)立信息科技部門，統(tǒng)一負責本機構(gòu)信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和監(jiān)控，提供日?？萍挤?wù)和運行技術(shù)支持；建立或明確專門信息系統(tǒng)風險管理部門，建立、健全信息系統(tǒng)風險管理規(guī)章、制度，并協(xié)助業(yè)務(wù)部門及信息科技部門嚴格執(zhí)行，提供相關(guān)的監(jiān)管信息；設(shè)立審計部門或?qū)ｉT審計崗位，建立健全信息系統(tǒng)風險審計制度，配備適量的合格人員進行信息系統(tǒng)風險審計。    第十一條 銀行業(yè)金融機構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求：    （一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關(guān)崗位職責所需的專業(yè)知識和技

7、能；     （二）未經(jīng)崗前培訓或培訓不合格者不得上崗；經(jīng)考核不適宜的工作人員，應(yīng)及時進行調(diào)整。    第十二條 銀行業(yè)金融機構(gòu)應(yīng)加強信息系統(tǒng)風險管理的專業(yè)隊伍建設(shè)，建立人才激勵機制，適應(yīng)信息技術(shù)的發(fā)展。     第十三條 銀行業(yè)金融機構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風險狀況。   第三章總體風險控制  第十四條 總體風險是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風險。     第十五條 銀行業(yè)金融機構(gòu)應(yīng)

8、根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風險管理策略，按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估，并實施有效控制。     第十六條 銀行業(yè)金融機構(gòu)應(yīng)采取措施防范自然災(zāi)害、運行環(huán)境變化等產(chǎn)生的安全威脅，防止各類突發(fā)事故和惡意攻擊。    第十七條 銀行業(yè)金融機構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責權(quán)限，建立制約機制，實行最小授權(quán)。    第十八條 在境外設(shè)立的我國銀行業(yè)金融機構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機構(gòu)，應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風險。

9、0;    第十九條 銀行業(yè)金融機構(gòu)應(yīng)嚴格執(zhí)行國家信息安全相關(guān)標準，參照有關(guān)國際準則，積極推進信息安全標準化，實行信息安全等級保護。     第二十條 銀行業(yè)金融機構(gòu)應(yīng)加強對信息系統(tǒng)的評估和測試，及時進行修補和更新，以保證信息系統(tǒng)的安全性、完整性。    第二十一條 銀行業(yè)金融機構(gòu)信息系統(tǒng)數(shù)據(jù)中心機房應(yīng)符合國家有關(guān)計算機場地、環(huán)境、供配電等技術(shù)標準。全國性數(shù)據(jù)中心至少應(yīng)達到國家A類機房標準，省域數(shù)據(jù)中心至少應(yīng)達到國家B類機房標準，省域以下數(shù)據(jù)中心至少應(yīng)達到C類機房標準。數(shù)據(jù)中心機房應(yīng)實行嚴格的門禁管理措施，未經(jīng)授權(quán)不得進入。

10、    第二十二條 銀行業(yè)金融機構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護，使用正版軟件，加強軟件版本管理，優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護本機構(gòu)信息化成果。    第二十三條 銀行業(yè)金融機構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等應(yīng)嚴格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標準。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當?shù)膫淦穫浼?#160;    第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相

11、關(guān)的標準和規(guī)范設(shè)計、建設(shè)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴格線路租用合同管理，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運行。     第二十五條 銀行業(yè)金融機構(gòu)應(yīng)加強網(wǎng)絡(luò)安全管理。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實施隔離；加強無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風險。    第二十六條 銀行業(yè)金融機構(gòu)應(yīng)加強信息系統(tǒng)加

12、密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。密鑰、密碼應(yīng)定期更改。    第二十七條 銀行業(yè)金融機構(gòu)應(yīng)加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環(huán)節(jié)的有效管理，不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù)；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫，采用適當?shù)臄?shù)據(jù)加密技術(shù)以保護敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性、保密性。     第二十八條 銀行業(yè)金融機構(gòu)應(yīng)對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏

13、、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，嚴格審批和登記手續(xù)。     第二十九條 銀行業(yè)金融機構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預案，并定期演練、評審和修訂。省域以下數(shù)據(jù)中心至少實現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實現(xiàn)異地數(shù)據(jù)實時備份，全國性數(shù)據(jù)中心實現(xiàn)異地災(zāi)備。    第三十條 銀行業(yè)金融機構(gòu)應(yīng)加強對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時應(yīng)嚴格授權(quán)。信息系統(tǒng)的技術(shù)文檔資料包括：系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運行、維護過程中形成的各類技術(shù)資料。重要數(shù)據(jù)包括：交

14、易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶數(shù)據(jù)，以及產(chǎn)生的報表數(shù)據(jù)等。     第三十一條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)可能影響客戶服務(wù)時，應(yīng)以適當方式告知客戶。  第四章研發(fā)風險控制  第三十二條 研發(fā)風險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險。    第三十三條 銀行業(yè)金融機構(gòu)信息系統(tǒng)研發(fā)前應(yīng)成立項目工作小組，重大項目還應(yīng)成立項目領(lǐng)導小組，并指定負責人。項目領(lǐng)導小組負責項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負責整個項目的開發(fā)工作。 

15、0;   第三十四條 項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識，小組負責人需具備組織領(lǐng)導能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進度。     第三十五條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門根據(jù)本機構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略，在充分進行市場調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項目可行性報告。    第三十六條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據(jù)項目需求編制項目功能說明書。     第三十七條 銀行業(yè)金融機構(gòu)信息科技部門依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說

16、明書，設(shè)計和編碼應(yīng)符合項目功能說明書的要求。     第三十八條 銀行業(yè)金融機構(gòu)應(yīng)建立獨立的測試環(huán)境，以保證測試的完整性和準確性。測試至少應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試、適應(yīng)性測試。測試不得直接使用生產(chǎn)數(shù)據(jù)。     第三十九條 銀行業(yè)金融機構(gòu)信息科技部門應(yīng)根據(jù)測試結(jié)果修補系統(tǒng)的功能和缺陷，提高系統(tǒng)的整體質(zhì)量。     第四十條 銀行業(yè)金融機構(gòu)業(yè)務(wù)人員、技術(shù)人員應(yīng)根據(jù)職責范圍分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃，并進行演練。    第

17、四十一條 開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認并歸檔保存。     第四十二條 項目驗收應(yīng)出具由相關(guān)負責人簽字的項目驗收報告，驗收不合格不得投產(chǎn)使用。  第五章運行維護風險控制  第四十三條 運行維護風險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險。    第四十四條 銀行業(yè)金融機構(gòu)信息系統(tǒng)運行與維護應(yīng)實行職責分離，運行人員應(yīng)實行專職，不得由其他人員兼任。運行人員應(yīng)按操作規(guī)程巡檢和操作。維護人員應(yīng)按授權(quán)和維護規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護，除應(yīng)急外，其他

18、維護應(yīng)在非工作時間進行。    第四十五條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的運行應(yīng)符合以下要求：    （一）制定詳細的運行值班操作表，包括規(guī)定巡檢時間，操作范圍、內(nèi)容、辦法、命令以及負責人員等信息；    （二）提供常見和簡便的操作菜單或命令，如信息系統(tǒng)的啟動或停止、運行日志的查詢等；    （三）提供機房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運行、系統(tǒng)運行等監(jiān)控信息；    （四）記錄運行值班過程中所有現(xiàn)象、操作過程等信息。     第四十六條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的維護應(yīng)符合以下要求

19、：    （一）除對信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護外，對軟件或數(shù)據(jù)的維護必須通過特定的應(yīng)用程序進行，添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端，不得對數(shù)據(jù)庫進行直接操作；    （二）具備各種詳細的日志信息，包括交易日志和審計日志等，以便維護和審計；     （三）提供維護的統(tǒng)計和報表打印功能。     第四十七條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求：     （一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，并遵循流程實施控制和管理；變更前應(yīng)明確應(yīng)急和回退方

20、案，無授權(quán)不得進行變更操作；    （二）根據(jù)變更需求、變更方案、變更內(nèi)容核實清單等相關(guān)文檔審核變更的正確性、安全性和合法性；    （三）應(yīng)采用軟件工具精確判斷變更的真實位置和內(nèi)容，形成變更內(nèi)容核實清單，實現(xiàn)真實、有效、全面的檢驗；     （四）軟件版本變更后應(yīng)保留初始版本和所有歷史版本，保留所有歷史的變更內(nèi)容核實清單。     第四十八條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，應(yīng)組織對系統(tǒng)的后評價，并根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。   第四十九條 銀行業(yè)金融機構(gòu)應(yīng)對機

21、房環(huán)境設(shè)施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預案，有實時交易服務(wù)的數(shù)據(jù)中心應(yīng)實行24小時值班。     第五十條 銀行業(yè)金融機構(gòu)應(yīng)實行事件報告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件，應(yīng)即時上報并處理，必要時啟動應(yīng)急處理預案。  第六章外包風險控制  第五十一條 外包風險是指銀行業(yè)金融機構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風險。    第五十二條 銀行業(yè)金融機構(gòu)在進行信息系統(tǒng)外包時，應(yīng)根據(jù)風險控制和實際需要，合理確定外包的原

22、則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關(guān)規(guī)章制度，制定相應(yīng)的風險防范措施。    第五十三條 銀行業(yè)金融機構(gòu)應(yīng)建立健全外包承包方評估機制，充分審查、評估承包方的經(jīng)營狀況、財務(wù)實力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實際風險控制與責任承擔水平，并進行必要的盡職調(diào)查。評估工作可委托經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì)，具有相關(guān)專業(yè)經(jīng)驗的獨立機構(gòu)完成。    第五十四條 銀行業(yè)金融機構(gòu)應(yīng)當與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責任。    第五十五條 銀行業(yè)金融機構(gòu)應(yīng)充分認識外包服務(wù)

23、對信息系統(tǒng)風險控制的直接和間接影響，并將其納入總體安全策略和風險控制之中。     第五十六條 銀行業(yè)金融機構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風險評估與監(jiān)測程序，審慎管理外包產(chǎn)生的風險，提高本機構(gòu)對外包管理的能力。    第五十七條 銀行業(yè)金融機構(gòu)的信息系統(tǒng)外包風險管理應(yīng)當符合風險管理標準和策略，并應(yīng)建立針對外包風險的應(yīng)急計劃。    第五十八條 銀行業(yè)金融機構(gòu)應(yīng)與外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更，保證外包服務(wù)不間斷的應(yīng)急預案。     第五十九條

24、 銀行業(yè)金融機構(gòu)將敏感的信息系統(tǒng)，以及其他涉及國家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進行外包時，應(yīng)遵守國家有關(guān)法律法規(guī)，符合銀監(jiān)會的有關(guān)規(guī)定，經(jīng)過董事會或其他決策機構(gòu)批準，并在實施外包前報銀監(jiān)會及其派出機構(gòu)和法律法規(guī)規(guī)定需要報告的機構(gòu)備案。  第七章審計  第六十條 銀行業(yè)金融機構(gòu)內(nèi)設(shè)審計部門負責本機構(gòu)信息系統(tǒng)審計，也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì)的中介機構(gòu)進行信息系統(tǒng)外部審計。    第六十一條 信息系統(tǒng)風險審計應(yīng)包括：總體風險審計、系統(tǒng)審閱和專項風險審計。    第六十二條 總體風險審計是指對本機構(gòu)所有信息系統(tǒng)共有的

25、公共部分進行審計，實施總體風險控制。根據(jù)信息系統(tǒng)的總體風險狀況確定審計頻率，但至少每3年審計一次。    第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)、運行及退出的全過程進行審計，分投產(chǎn)前與投產(chǎn)后的審閱。    第六十四條 投產(chǎn)前的系統(tǒng)審閱是指審計人員采用非現(xiàn)場形式，對信息項目開發(fā)過程中所提交的有關(guān)文檔資料進行審閱，指出其中存在的風險，了解是否具有相應(yīng)的控制措施，并提出評價和建議的過程。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置、正確性、連貫性、完整性、可審計性和及時性等內(nèi)容。    投產(chǎn)前的系統(tǒng)審閱重點： &#

26、160;   （一）被外界成功攻破的可能性；     （二）在內(nèi)部安全控制方面的設(shè)計漏洞與缺陷；    （三）項目開發(fā)管理方面的問題；    （四）效率與效能；    （五）功能、設(shè)計和工作流程是否符合法律、法規(guī)和內(nèi)部控制方面的規(guī)定并有連續(xù)兼容性；    （六）其他需重點審閱的內(nèi)容。     第六十五條 投產(chǎn)前的系統(tǒng)審閱文檔資料包括：     （一）項目可行性報告；    （二）項目需求說明書；    （三）項目功能說明書（包括業(yè)務(wù)與技術(shù)方面存在的風險及控制辦法）；    （四）項目總體技術(shù)框架；    （五）項目設(shè)計說明書；    （六）項目實施計劃；    （七）與第三方簽訂的外包協(xié)議；    （八）測試計劃及驗收報告；     （九）投產(chǎn)計劃；     （十