2014年保險(xiǎn)機(jī)構(gòu)信息化風(fēng)險(xiǎn)監(jiān)管報(bào)表及評(píng)價(jià)體系（現(xiàn)場(chǎng)檢查內(nèi)容匯總）

1、信信息息化化風(fēng)風(fēng)險(xiǎn)險(xiǎn)監(jiān)監(jiān)管管評(píng)評(píng)分分內(nèi)內(nèi)容容共計(jì)項(xiàng)監(jiān)管內(nèi)容，42 項(xiàng)監(jiān)管指標(biāo)，129 項(xiàng)評(píng)價(jià)點(diǎn)。計(jì)算方式如下：監(jiān)管綜合評(píng)分=（監(jiān)管內(nèi)容評(píng)分權(quán)重）監(jiān)管內(nèi)容評(píng)分=（該項(xiàng)監(jiān)管內(nèi)容下監(jiān)管指標(biāo)評(píng)分）監(jiān)管指標(biāo)評(píng)分=（該項(xiàng)監(jiān)管指標(biāo)下評(píng)價(jià)點(diǎn)評(píng)分）信息化風(fēng)險(xiǎn)監(jiān)管綜合評(píng)分中各監(jiān)管內(nèi)容權(quán)重如下：序號(hào) 監(jiān)管內(nèi)容 權(quán)重1信息化治理 15%2信息化風(fēng)險(xiǎn)管理 15%3信息安全20%4信息系統(tǒng)開發(fā)與測(cè)試10%5信息系統(tǒng)運(yùn)行18%6 災(zāi)難恢復(fù)管理 7%7外包與采購(gòu) 5%8互聯(lián)網(wǎng)保險(xiǎn)5%9信息技術(shù)審計(jì)5%對(duì)于以下情況，保監(jiān)會(huì)可視具體情況對(duì)各保險(xiǎn)機(jī)構(gòu)的監(jiān)管綜合評(píng)分扣減10-50 分：（1）未按規(guī)定報(bào)送報(bào)表，存在遲報(bào)、漏報(bào)和弄虛作假

2、的；（2）發(fā)生重大信息安全事件造成重大損失或者社會(huì)影響的；（3）在保監(jiān)會(huì)和相關(guān)信息安全監(jiān)管機(jī)構(gòu)檢查過程中發(fā)現(xiàn)重大風(fēng)險(xiǎn)的。監(jiān)管評(píng)價(jià)結(jié)果主要應(yīng)用在以下三個(gè)方面：1應(yīng)用到保險(xiǎn)機(jī)構(gòu)償付能力二代監(jiān)管體系中2應(yīng)用到行業(yè)信息化日常監(jiān)管工作中3指導(dǎo)和規(guī)范保險(xiǎn)機(jī)構(gòu)信息化風(fēng)險(xiǎn)防范監(jiān)監(jiān)管管評(píng)評(píng)價(jià)價(jià)內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)序序號(hào)號(hào)監(jiān)監(jiān)管管內(nèi)內(nèi)容容監(jiān)監(jiān)管管指指標(biāo)標(biāo)現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查（一） 信息化治理XXZL1信息化目標(biāo)和規(guī)劃XXZL-11.1工作目標(biāo)與規(guī)劃制定XXZL-1-1查看信息化規(guī)劃報(bào)告與審批記錄1.2規(guī)劃實(shí)施與定期評(píng)估XXZL-1-2查看信息化規(guī)劃的實(shí)施方案或階段性報(bào)告相關(guān)文件2信息化治理架構(gòu)XXZL-22.1董事會(huì)

3、職責(zé)XXZL-2-1查看董事會(huì)會(huì)議相關(guān)文件，如會(huì)議紀(jì)要、決議、決策等工作記錄，有信息化重大決策事項(xiàng)，年度信息化工作報(bào)告審閱記錄2.2信息化工作委員會(huì)XXZL-2-2查看組織機(jī)構(gòu)和相關(guān)職責(zé)說明，職責(zé)履行文件，如會(huì)議紀(jì)要、決議、決策等工作記錄2.3首席信息官XXZL-2-3查看首席信息官的職責(zé)履行文件，如OA 文件、會(huì)議紀(jì)要2.4信息技術(shù)部門XXZL-2-4查看組織架構(gòu)及職責(zé)說明，相關(guān)職責(zé)履行文件，如項(xiàng)目建設(shè)、研發(fā)測(cè)試、系統(tǒng)運(yùn)維、安全管理等2.5信息化人員配備XXZL-2-5查看組織架構(gòu)崗位設(shè)置與崗位職責(zé)說明，查看崗位人員配備3信息化發(fā)展環(huán)境XXZL-33.1信息化水平XXZL-3-1應(yīng)用系統(tǒng)清單

4、，包括名稱、支撐的業(yè)務(wù)、覆蓋范圍、上線時(shí)間等3.2信息化工作經(jīng)費(fèi)XXZL-3-2結(jié)合信息化工作規(guī)劃查看信息化工作項(xiàng)目預(yù)算/費(fèi)用表3.3信息化工作考核XXZL-3-3查看信息化工作績(jī)效考核報(bào)告3.4信息技術(shù)能力XXZL-3-4了解技術(shù)研究與應(yīng)用情況 ；獲得國(guó)家/國(guó)際標(biāo)準(zhǔn)認(rèn)證情況；參與行業(yè)技術(shù)標(biāo)準(zhǔn)制定情況3.5信息化人力資源規(guī)劃與培訓(xùn)XXZL-3-5查看信息化人力資源規(guī)劃報(bào)告以及培訓(xùn)考核記錄（二） 信息化風(fēng)險(xiǎn)管理FXGL1信息化風(fēng)險(xiǎn)管理制度FXGL-11.1風(fēng)險(xiǎn)管理制度體系FXGL-1-1查看信息化風(fēng)險(xiǎn)管理制度及修訂情況2信息化風(fēng)險(xiǎn)識(shí)別與控制FXGL-22.1技術(shù)風(fēng)險(xiǎn)FXGL-2-1信息技術(shù)風(fēng)險(xiǎn)識(shí)

5、別記錄，新技術(shù)新產(chǎn)品準(zhǔn)入記錄2.2法律風(fēng)險(xiǎn)FXGL-2-2法律風(fēng)險(xiǎn)審查制度，法律審查記錄，合同文本，內(nèi)部違法案例等2.3聲譽(yù)風(fēng)險(xiǎn)FXGL-2-3與信息技術(shù)有關(guān)的客戶投訴處理和調(diào)解的管理機(jī)制文檔，與信息技術(shù)有關(guān)的聲譽(yù)危機(jī)應(yīng)對(duì)機(jī)制文檔，投訴記錄和處理、調(diào)解的記錄等2.4知識(shí)產(chǎn)權(quán)FXGL-2-4軟硬件產(chǎn)品的使用許可；信息化采購(gòu)與外包合同中對(duì)自主知識(shí)產(chǎn)權(quán)的保護(hù)條款2.5風(fēng)險(xiǎn)提示與發(fā)布FXGL-2-5風(fēng)險(xiǎn)提示制度，風(fēng)險(xiǎn)提示記錄等3信息化風(fēng)險(xiǎn)內(nèi)控FXGL-33.1風(fēng)險(xiǎn)管理策略檢查FXGL-3-1信息化風(fēng)險(xiǎn)管理策略執(zhí)行情況檢查制度、檢查記錄等3.2風(fēng)險(xiǎn)評(píng)估FXGL-3-2信息化風(fēng)險(xiǎn)評(píng)估記錄3.3風(fēng)險(xiǎn)處置FX

6、GL-3-3信息化風(fēng)險(xiǎn)評(píng)估報(bào)告，處置流程，處置記錄等3.4與風(fēng)險(xiǎn)管理部門溝通FXGL-3-4溝通制度，溝通記錄等3.5風(fēng)險(xiǎn)監(jiān)測(cè)和計(jì)量機(jī)制FXGL-3-5風(fēng)險(xiǎn)計(jì)量、監(jiān)測(cè)的方法文檔，風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)，風(fēng)險(xiǎn)庫（三） 信息安全XXAQ1信息安全等級(jí)保護(hù)機(jī)制XXAQ-11.1定級(jí)備案XXAQ-1-1重要信息系統(tǒng)定級(jí)清單及備案證明1.2測(cè)評(píng)整改XXAQ-1-2測(cè)評(píng)報(bào)告、整改方案2物理安全XXAQ-22.1機(jī)房設(shè)施XXAQ-2-1重要機(jī)房建設(shè)驗(yàn)收?qǐng)?bào)告、現(xiàn)場(chǎng)檢查2.2訪問控制XXAQ-2-2檢查物理區(qū)域訪問控制機(jī)制文檔、訪問控制記錄；檢查物理安全規(guī)章制度及措施3網(wǎng)絡(luò)安全XXAQ-33.1網(wǎng)絡(luò)結(jié)構(gòu)XXAQ-3-1檢

7、查網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)安全域方案等3.2網(wǎng)絡(luò)防護(hù)XXAQ-3-2檢查網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)安全各類文檔3.3網(wǎng)絡(luò)安全審計(jì)XXAQ-3-3檢查網(wǎng)絡(luò)審計(jì)日志記錄4主機(jī)安全XXAQ-4-14.1主機(jī)安全防護(hù)XXAQ-4-1檢查主機(jī)安全防護(hù)、訪問控制、監(jiān)控措施等文檔4.2主機(jī)安全審計(jì)XXAQ-4-2檢查主機(jī)審計(jì)日志記錄5應(yīng)用安全XXAQ-55.1應(yīng)用安全防護(hù)XXAQ-5-1檢查重要應(yīng)用系統(tǒng)安全設(shè)計(jì)方案5.2應(yīng)用安全審計(jì)XXAQ-5-2檢查重要應(yīng)用系統(tǒng)審計(jì)日志記錄6數(shù)據(jù)安全XXAQ-66.1數(shù)據(jù)安全防護(hù)XXAQ-6-1檢查數(shù)據(jù)安全管理制度與流程，數(shù)據(jù)分級(jí)分類管理規(guī)范6.2數(shù)據(jù)管理與使用XXAQ-6-2檢查數(shù)據(jù)管理

8、與使用流程，檢查數(shù)據(jù)使用、審批記錄6.3重要數(shù)據(jù)安全審計(jì)XXAQ-6-3檢查重要數(shù)據(jù)審計(jì)記錄7密碼與算法XXAQ-7檢查軟件設(shè)計(jì)文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認(rèn)證情況7.1國(guó)產(chǎn)密碼算法XXAQ-7-1檢查軟件設(shè)計(jì)文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認(rèn)證情況8安全評(píng)估與自查XXAQ-88.1對(duì)外部安全風(fēng)險(xiǎn)態(tài)勢(shì)和事件的響應(yīng)XXAQ-8-1排查記錄和應(yīng)對(duì)措施等8.2信息安全控制措施執(zhí)行情況的檢查XXAQ-8-2檢查記錄9信息安全培訓(xùn)XXAQ-9培訓(xùn)制度，培訓(xùn)記錄(四）信息系統(tǒng)開發(fā)與測(cè)試KFCS1項(xiàng)目管理KFCS-11.1項(xiàng)目管理制度KFCS-1-1檢查項(xiàng)目管理制度，執(zhí)行記錄1.2項(xiàng)目風(fēng)險(xiǎn)評(píng)估KFCS-1-

9、2項(xiàng)目風(fēng)險(xiǎn)識(shí)別評(píng)估制度，風(fēng)險(xiǎn)評(píng)估記錄等1.3項(xiàng)目風(fēng)險(xiǎn)控制KFCS-1-3項(xiàng)目風(fēng)險(xiǎn)控制措施，落實(shí)記錄，文檔管理、版本控制記錄1.4項(xiàng)目群管理KFCS-1-4檢查項(xiàng)目群管理制度，執(zhí)行流程，溝通機(jī)制2開發(fā)管理KFCS-2需求和技術(shù)架構(gòu)評(píng)審報(bào)告等2.1需求和技術(shù)架構(gòu)管理KFCS-2-1需求和技術(shù)架構(gòu)評(píng)審報(bào)告等2.2開發(fā)質(zhì)量保證KFCS-2-2項(xiàng)目質(zhì)量控制標(biāo)準(zhǔn)，質(zhì)量控制檢查和監(jiān)督的記錄，保險(xiǎn)機(jī)構(gòu)獲得的認(rèn)證證書等2.3開發(fā)、測(cè)試、生產(chǎn)環(huán)境相互分離 KFCS-2-3檢查網(wǎng)絡(luò)拓?fù)渑c開發(fā)數(shù)據(jù)來源2.4開發(fā)過程檢查KFCS-2-4檢查記錄等3測(cè)試管理KFCS-33.1測(cè)試的充分性KFCS-3-1測(cè)試記錄、審核報(bào)告

10、等3.2測(cè)試的獨(dú)立性KFCS-3-2開發(fā)與測(cè)試團(tuán)隊(duì)人員清單等3.3功能測(cè)試KFCS-3-3功能測(cè)試記錄，測(cè)試用例及報(bào)告，測(cè)試團(tuán)隊(duì)成員名單等3.4非功能測(cè)試KFCS-3-4測(cè)試記錄、測(cè)試用例、測(cè)試團(tuán)隊(duì)成員名單等3.5安全性測(cè)試KFCS-3-5安全測(cè)試記錄4驗(yàn)收和發(fā)布管理KFCS-44.1系統(tǒng)測(cè)試驗(yàn)收KFCS-4-1驗(yàn)收記錄、測(cè)試質(zhì)量的評(píng)估報(bào)告等4.2系統(tǒng)版本交付物完整性驗(yàn)收KFCS-4-2驗(yàn)收記錄和相關(guān)文檔等4.3試運(yùn)行KFCS-4-3試運(yùn)行記錄、投產(chǎn)報(bào)告、系統(tǒng)錯(cuò)誤修正記錄等4.4發(fā)布管理KFCS-4-4軟件發(fā)布文檔、審批記錄等（五） 信息系統(tǒng)運(yùn)行XTYX1系統(tǒng)管理XTYX-11.1系統(tǒng)賬戶管理

11、XTYX-1-1系統(tǒng)賬戶管理規(guī)定，重要系統(tǒng)賬戶清單，定期清查記錄，超級(jí)賬戶審批記錄、訪問日志等1.2系統(tǒng)性能監(jiān)控XTYX-1-2監(jiān)控系統(tǒng)設(shè)計(jì)方案，系統(tǒng)性能監(jiān)控參數(shù)清單與閾值，報(bào)警記錄與分析報(bào)告1.3日志管理與分析XTYX-1-3日志，定期分析記錄等1.4運(yùn)行報(bào)告XTYX-1-4查看運(yùn)行報(bào)告，報(bào)告上報(bào)至管理層的記錄等2配置與變更管理XTYX-22.1信息系統(tǒng)配置管理XTYX-2-1配置管理制度和流程、配置流程記錄等2.2信息系統(tǒng)變更管理XTYX-2-2變更管理制度，變更記錄，應(yīng)急回退計(jì)劃等3事件管理XTYX-33.1服務(wù)臺(tái)管理XTYX-3-1服務(wù)臺(tái)管理制度，服務(wù)臺(tái)服務(wù)過程記錄文檔等3.2事件與問

12、題管理XTYX-3-2事件與問題管理文檔，問題管理處理過程記錄等4基礎(chǔ)設(shè)施運(yùn)行管理XTYX-44.1物理環(huán)境運(yùn)行管理XTYX-4-1實(shí)地考查機(jī)房和辦公環(huán)境4.2網(wǎng)絡(luò)運(yùn)行管理XTYX-4-2網(wǎng)絡(luò)設(shè)置，監(jiān)控記錄或報(bào)告等4.3設(shè)備和介質(zhì)管理XTYX-4-3設(shè)備和介質(zhì)管理措施，監(jiān)控或檢查記錄等5可用性管理XTYX-55.1信息系統(tǒng)備份恢復(fù)管理XTYX-5-1備份恢復(fù)制度，執(zhí)行記錄等5.2信息系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)排查XTYX-5-2排查記錄等5.3單點(diǎn)故障的排查XTYX-5-3排查機(jī)制、排查記錄等6運(yùn)行維護(hù)管理平臺(tái)XTYX-66.1運(yùn)行維護(hù)管理平臺(tái)XTYX-6-1登錄運(yùn)行維護(hù)管理平臺(tái)查看工單填寫與流轉(zhuǎn)處理情況

13、（六） 災(zāi)難恢復(fù)管理ZNHF1需求分析和策略制定ZNHF-11.1需求分析和風(fēng)險(xiǎn)分析ZNHF-1-1檢查風(fēng)險(xiǎn)分析報(bào)告、業(yè)務(wù)影響分析報(bào)告、業(yè)務(wù)連續(xù)性計(jì)劃等1.2災(zāi)難恢復(fù)范ZNHF-1-2檢查災(zāi)難恢復(fù)范圍1.3災(zāi)難恢復(fù)目標(biāo)ZNHF-1-3重要數(shù)據(jù)備份要求和記錄1.4災(zāi)難恢復(fù)策略ZNHF-1-4檢查災(zāi)難恢復(fù)策略2災(zāi)難恢復(fù)建設(shè)模式選擇與備案ZNHF-22.1災(zāi)難恢復(fù)建設(shè)模式ZNHF-2-1檢查服務(wù)水平協(xié)議、災(zāi)難恢復(fù)服務(wù)商服務(wù)水平驗(yàn)證報(bào)告等。2.2災(zāi)備中心設(shè)立備案ZNHF-2-2備案材料3災(zāi)備中心建設(shè)ZNHF-33.1災(zāi)備中心選址ZNHF-3-1檢查災(zāi)備中心建設(shè)驗(yàn)收?qǐng)?bào)告3.2災(zāi)備中心基礎(chǔ)設(shè)施ZNHF-3

14、-2檢查災(zāi)備中心建設(shè)驗(yàn)收?qǐng)?bào)告清單、文檔等3.3災(zāi)備系統(tǒng)技術(shù)方案ZNHF-3-3檢查災(zāi)難備份系統(tǒng)技術(shù)方案4災(zāi)備中心運(yùn)維ZNHF-44.1運(yùn)維制度與流程ZNHF-4-1檢查制度規(guī)范、操作流程、記錄4.2運(yùn)維隊(duì)伍ZNHF-4-2運(yùn)維人員職責(zé)清單及資質(zhì)證明4.3檢測(cè)維護(hù)ZNHF-4-3檢查檢測(cè)維護(hù)記錄4.4監(jiān)控ZNHF-4-4檢查監(jiān)控記錄5災(zāi)難恢復(fù)預(yù)案建立與演練ZNHF-55.1災(zāi)難恢復(fù)預(yù)案ZNHF-5-1災(zāi)難恢復(fù)預(yù)案5.2預(yù)案演練ZNHF-5-2檢查測(cè)試記錄、演練記錄、評(píng)估報(bào)告等5.3預(yù)案維護(hù)ZNHF-5-3應(yīng)急預(yù)案、更新記錄、審查和批準(zhǔn)記錄6應(yīng)急響應(yīng)和災(zāi)難恢復(fù)ZNHF-66.1預(yù)警機(jī)制的建立ZNH

15、F-6-1檢查組織文檔、處置規(guī)范流程、指揮和牽頭及協(xié)調(diào)條款等6.2信息系統(tǒng)重建方案ZNHF-6-2檢查災(zāi)難損失評(píng)估報(bào)告、修復(fù)重建方案等6.3災(zāi)難恢復(fù)總結(jié)ZNHF-6-3檢查災(zāi)難恢復(fù)報(bào)告、預(yù)案修訂記錄等6.4第三方應(yīng)急管理ZNHF-6-4第三方應(yīng)急溝通機(jī)制和協(xié)議（七） 外包與采購(gòu)?fù)獍c采購(gòu)1信息技術(shù)安全可控能力WBCG-11.1信息技術(shù)外包事項(xiàng)WBCG-1-1檢查信息化工作外包情況1.2信息產(chǎn)品國(guó)產(chǎn)化程度WBCG-1-2檢查信息化工作外包情況2外包與采購(gòu)服務(wù)WBCG-22.1外包與采購(gòu)管理制度WBCG-2-1檢查外包管理制度、規(guī)范、報(bào)告2.2外包與采購(gòu)過程WBCG-2-2外包與采購(gòu)管理制度，過程

16、記錄，違法行為記錄等2.3外包服務(wù)商考核評(píng)估WBCG-2-3投標(biāo)文件，核實(shí)評(píng)估記錄，外包風(fēng)險(xiǎn)評(píng)估報(bào)告，投標(biāo)商成功案例，投標(biāo)商蓋章的證書文件等2.4外包服務(wù)商管理WBCG-2-4檢查合同、服務(wù)水平協(xié)議、滿意度調(diào)查表等3外包軟件開發(fā)WBCG-33.1軟件質(zhì)量檢測(cè)WBCG-3-1檢查測(cè)試驗(yàn)收?qǐng)?bào)告、記錄3.2源代碼審查WBCG-3-2檢查報(bào)告、記錄3.3開發(fā)文檔管理WBCG-3-3檢查文檔、指南、手冊(cè)等（八） 互聯(lián)網(wǎng)保險(xiǎn)HLWBX1技術(shù)資質(zhì)條件HLWBX-11.1網(wǎng)絡(luò)接入地點(diǎn)HLWBX-1-1 查看其域名與IP 地址1.2互聯(lián)網(wǎng)主管部門備案HLWBX-1-2檢查互聯(lián)網(wǎng)信息服務(wù)增值電信業(yè)務(wù)經(jīng)營(yíng)許可證或者

17、網(wǎng)站備案證明1.3第三方平臺(tái)技術(shù)資質(zhì)條HLWBX-1-3 查詢確認(rèn)第三方平臺(tái)的資質(zhì)條件2網(wǎng)站技術(shù)安全保障HLWBX-2自建網(wǎng)站評(píng)估（1）-（7）項(xiàng)評(píng)價(jià)點(diǎn)基于第三方平臺(tái)只評(píng)估第（8）項(xiàng)評(píng)價(jià)點(diǎn)2.1客戶端安全HLWBX-2-1 檢查客戶端軟件（特別是手機(jī)客戶端）的安全性2.2交易認(rèn)證手段HLWBX-2-2 驗(yàn)證業(yè)務(wù)交易身份鑒別和認(rèn)證流程2.3交易請(qǐng)求驗(yàn)證HLWBX-2-3 檢查開發(fā)安全方案2.4網(wǎng)絡(luò)安全防護(hù)HLWBX-2-4 檢查網(wǎng)絡(luò)拓?fù)渑c安全設(shè)備部署配置情況2.5定期風(fēng)險(xiǎn)評(píng)估HLWBX-2-5 檢查風(fēng)險(xiǎn)評(píng)估報(bào)告2.6數(shù)據(jù)安全保護(hù)HLWBX-2-6 檢查風(fēng)險(xiǎn)評(píng)估報(bào)告2.7支付指令安全控制HLWBX

18、-2-7 檢查開發(fā)安全方案，并驗(yàn)證交易支付記錄2.8第三方平臺(tái)網(wǎng)站技術(shù)安全保障HLWBX-2-8 檢查風(fēng)險(xiǎn)評(píng)估報(bào)告，或者第三方安全保障協(xié)議3內(nèi)容安全和風(fēng)險(xiǎn)提示HLWBX-33.1內(nèi)容管理HLWBX-3-1 檢查內(nèi)容發(fā)布和變更審核等流程記錄3.2客戶宣傳和提示HLWBX-3-2 檢查互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)網(wǎng)站安全提示信息3.3假冒網(wǎng)站管理HLWBX-3-3 假冒網(wǎng)站檢查報(bào)告（九） 信息技術(shù)審計(jì)SJ1審計(jì)組織與計(jì)劃SJ-11.1審計(jì)部門SJ-1-1查看保險(xiǎn)機(jī)構(gòu)組織架構(gòu)，查看負(fù)責(zé)信息技術(shù)審計(jì)部門的部門職責(zé)說明1.2信息技術(shù)審計(jì)制度SJ-1-2查看信息技術(shù)審計(jì)管理制度1.3信息技術(shù)審計(jì)計(jì)劃SJ-1-3查看審計(jì)

19、計(jì)劃1.4信息技術(shù)外部審計(jì)SJ-1-4查看外部審計(jì)機(jī)構(gòu)與人員的相關(guān)資質(zhì)2信息技術(shù)一般控制審計(jì)SJ-22.1信息化規(guī)劃及其實(shí)施情況的審計(jì) SJ-2-1查看審計(jì)報(bào)告2.2信息安全審計(jì)SJ-2-2查看審計(jì)報(bào)告2.3對(duì)災(zāi)難恢復(fù)工作的審計(jì)SJ-2-3審計(jì)制度、管理過程記錄和審計(jì)報(bào)告等3信息技術(shù)應(yīng)用控制審計(jì)SJ-33.1信息技術(shù)應(yīng)用控制審計(jì)SJ-3-1查看審計(jì)報(bào)告4信息技術(shù)審計(jì)報(bào)告與備案SJ-44.1向管理層報(bào)告SJ-4-1審計(jì)報(bào)告，管理層確認(rèn)記錄4.2向保監(jiān)會(huì)備案SJ-4-2備案文件5信息技術(shù)審計(jì)監(jiān)控與后續(xù)跟進(jìn)SJ-55.1審計(jì)結(jié)果反饋SJ-5-1內(nèi)部審計(jì)報(bào)告、整改計(jì)劃、整改的相關(guān)文檔等5.2整改計(jì)劃落

20、實(shí)SJ-5-2整改要求、整改計(jì)劃、整改過程文檔等5.3整改跟蹤審計(jì)SJ-5-3后續(xù)審計(jì)意見、管理層確認(rèn)的記錄等分分?jǐn)?shù)數(shù)權(quán)權(quán)重重占占比比100 分15%10 分5 分5 分40 分8 分8 分8 分8 分8 分50 分10 分10 分10 分10 分10 分100 分15%20 分20 分40 分8 分8 分8 分8 分8 分40 分8 分8 分8 分監(jiān)監(jiān)管管評(píng)評(píng)價(jià)價(jià)內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)8 分8 分100 分20%10 分5 分5 分10 分5 分5 分15 分5 分5 分5 分15 分10 分5 分10 分5 分5 分15 分10 分3 分2 分10 分10 分10 分4 分6 分5 分100

21、 分10%50 分10 分20 分15 分5 分20 分4 分3 分5 分8 分20 分4 分4 分4 分4 分4 分10 分2 分2 分3 分3 分100 分18%20 分5 分5 分5 分5 分20 分 10 分 10 分15 分5 分10 分15 分5 分5 分5 分15 分5 分5 分5 分15 分15 分100 分7%20 分5 分5 分5 分5 分10 分5 分5 分20 分5 分5 分10 分20 分5 分5 分5 分5 分20 分6 分10 分4 分10 分4 分2 分2 分2 分100 分5%20 分10 分10 分50 分20 分10 分10 分10 分30 分10 分10

22、 分10 分100 分5%20 分10 分5 分5 分605 分10 分10 分5 分10 分10 分60 分20 分10 分5 分5 分100 分5%25 分5 分6 分4 分10 分20 分5 分10 分5 分15 分15 分10 分2 分8 分30 分10 分10 分10 分監(jiān)監(jiān)管管評(píng)評(píng)價(jià)價(jià)內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)（歸歸類類）信信息息化化管管理理序序號(hào)號(hào)監(jiān)監(jiān)管管內(nèi)內(nèi)容容監(jiān)監(jiān)管管指指標(biāo)標(biāo)（一）信息化治理XXZL1信息化目標(biāo)和規(guī)劃XXZL-11.1工作目標(biāo)與規(guī)劃制定XXZL-1-11.2規(guī)劃實(shí)施與定期評(píng)估XXZL-1-22信息化治理架構(gòu)XXZL-22.1董事會(huì)職責(zé)XXZL-2-12.2信息化工作

23、委員會(huì)XXZL-2-22.3首席信息官XXZL-2-32.4信息技術(shù)部門XXZL-2-42.5信息化人員配備XXZL-2-53信息化發(fā)展環(huán)境XXZL-33.1信息化水平XXZL-3-13.2信息化工作經(jīng)費(fèi)XXZL-3-23.3信息化工作考核XXZL-3-33.4信息技術(shù)能力XXZL-3-43.5信息化人力資源規(guī)劃與培訓(xùn)XXZL-3-5技技術(shù)術(shù)開開發(fā)發(fā)(四）信息系統(tǒng)開發(fā)與測(cè)試KFCS1項(xiàng)目管理KFCS-11.1項(xiàng)目管理制度KFCS-1-11.2項(xiàng)目風(fēng)險(xiǎn)評(píng)估KFCS-1-21.3項(xiàng)目風(fēng)險(xiǎn)控制KFCS-1-31.4項(xiàng)目群管理KFCS-1-42開發(fā)管理KFCS-22.1需求和技術(shù)架構(gòu)管理KFCS-2-

24、12.2開發(fā)質(zhì)量保證KFCS-2-22.3開發(fā)、測(cè)試、生產(chǎn)環(huán)境相互分離KFCS-2-32.4開發(fā)過程檢查KFCS-2-43測(cè)試管理KFCS-33.1測(cè)試的充分性KFCS-3-13.2測(cè)試的獨(dú)立性KFCS-3-23.3功能測(cè)試KFCS-3-33.4非功能測(cè)試KFCS-3-43.5安全性測(cè)試KFCS-3-54驗(yàn)收和發(fā)布管理KFCS-44.1系統(tǒng)測(cè)試驗(yàn)收KFCS-4-14.2系統(tǒng)版本交付物完整性驗(yàn)收KFCS-4-24.3試運(yùn)行KFCS-4-34.4發(fā)布管理KFCS-4-4（七）外包與采購(gòu)?fù)獍c采購(gòu)1信息技術(shù)安全可控能力WBCG-11.1信息技術(shù)外包事項(xiàng)WBCG-1-11.2信息產(chǎn)品國(guó)產(chǎn)化程度WBCG

25、-1-22外包與采購(gòu)服務(wù)WBCG-22.1外包與采購(gòu)管理制度WBCG-2-12.2外包與采購(gòu)過程WBCG-2-22.3外包服務(wù)商考核評(píng)估WBCG-2-32.4外包服務(wù)商管理WBCG-2-43外包軟件開發(fā)WBCG-33.1軟件質(zhì)量檢測(cè)WBCG-3-13.2源代碼審查WBCG-3-23.3開發(fā)文檔管理WBCG-3-3運(yùn)運(yùn)維維管管理理（三）信息安全XXAQ1信息安全等級(jí)保護(hù)機(jī)制XXAQ-11.1定級(jí)備案XXAQ-1-11.2測(cè)評(píng)整改XXAQ-1-22物理安全XXAQ-22.1機(jī)房設(shè)施XXAQ-2-12.2訪問控制XXAQ-2-23網(wǎng)絡(luò)安全XXAQ-33.1網(wǎng)絡(luò)結(jié)構(gòu)XXAQ-3-13.2網(wǎng)絡(luò)防護(hù)XXA

26、Q-3-23.3網(wǎng)絡(luò)安全審計(jì)XXAQ-3-34主機(jī)安全XXAQ-4-14.1主機(jī)安全防護(hù)XXAQ-4-14.2主機(jī)安全審計(jì)XXAQ-4-25應(yīng)用安全XXAQ-55.1應(yīng)用安全防護(hù)XXAQ-5-15.2應(yīng)用安全審計(jì)XXAQ-5-26數(shù)據(jù)安全XXAQ-66.1數(shù)據(jù)安全防護(hù)XXAQ-6-16.2數(shù)據(jù)管理與使用XXAQ-6-26.3重要數(shù)據(jù)安全審計(jì)XXAQ-6-37密碼與算法XXAQ-77.1國(guó)產(chǎn)密碼算法XXAQ-7-18安全評(píng)估與自查XXAQ-88.1對(duì)外部安全風(fēng)險(xiǎn)態(tài)勢(shì)和事件的響應(yīng)XXAQ-8-18.2信息安全控制措施執(zhí)行情況的檢查XXAQ-8-29信息安全培訓(xùn)XXAQ-9（五）信息系統(tǒng)運(yùn)行XTYX

27、1系統(tǒng)管理XTYX-11.1系統(tǒng)賬戶管理XTYX-1-11.2系統(tǒng)性能監(jiān)控XTYX-1-21.3日志管理與分析XTYX-1-31.4運(yùn)行報(bào)告XTYX-1-42配置與變更管理XTYX-22.1信息系統(tǒng)配置管理XTYX-2-12.2信息系統(tǒng)變更管理XTYX-2-23事件管理XTYX-33.1服務(wù)臺(tái)管理XTYX-3-13.2事件與問題管理XTYX-3-24基礎(chǔ)設(shè)施運(yùn)行管理XTYX-44.1物理環(huán)境運(yùn)行管理XTYX-4-14.2網(wǎng)絡(luò)運(yùn)行管理XTYX-4-24.3設(shè)備和介質(zhì)管理XTYX-4-35可用性管理XTYX-55.1信息系統(tǒng)備份恢復(fù)管理XTYX-5-15.2信息系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)排查XTYX-5-25

28、.3單點(diǎn)故障的排查XTYX-5-36運(yùn)行維護(hù)管理平臺(tái)XTYX-66.1運(yùn)行維護(hù)管理平臺(tái)XTYX-6-1（六）災(zāi)難恢復(fù)管理ZNHF1需求分析和策略制定ZNHF-11.1需求分析和風(fēng)險(xiǎn)分析ZNHF-1-11.2災(zāi)難恢復(fù)范ZNHF-1-21.3災(zāi)難恢復(fù)目標(biāo)ZNHF-1-31.4災(zāi)難恢復(fù)策略ZNHF-1-42災(zāi)難恢復(fù)建設(shè)模式選擇與備案ZNHF-22.1災(zāi)難恢復(fù)建設(shè)模式ZNHF-2-12.2災(zāi)備中心設(shè)立備案ZNHF-2-23災(zāi)備中心建設(shè)ZNHF-33.1災(zāi)備中心選址ZNHF-3-13.2災(zāi)備中心基礎(chǔ)設(shè)施ZNHF-3-23.3災(zāi)備系統(tǒng)技術(shù)方案ZNHF-3-34災(zāi)備中心運(yùn)維ZNHF-44.1運(yùn)維制度與流程Z

29、NHF-4-14.2運(yùn)維隊(duì)伍ZNHF-4-24.3檢測(cè)維護(hù)ZNHF-4-34.4監(jiān)控ZNHF-4-45災(zāi)難恢復(fù)預(yù)案建立與演練ZNHF-55.1災(zāi)難恢復(fù)預(yù)案ZNHF-5-15.2預(yù)案演練ZNHF-5-25.3預(yù)案維護(hù)ZNHF-5-36應(yīng)急響應(yīng)和災(zāi)難恢復(fù)ZNHF-66.1預(yù)警機(jī)制的建立ZNHF-6-16.2信息系統(tǒng)重建方案ZNHF-6-26.3災(zāi)難恢復(fù)總結(jié)ZNHF-6-36.4第三方應(yīng)急管理ZNHF-6-4法法律律風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制（二）信息化風(fēng)險(xiǎn)管理FXGL1信息化風(fēng)險(xiǎn)管理制度FXGL-11.1風(fēng)險(xiǎn)管理制度體系FXGL-1-12信息化風(fēng)險(xiǎn)識(shí)別與控制FXGL-22.1技術(shù)風(fēng)險(xiǎn)FXGL-2-12.2法

30、律風(fēng)險(xiǎn)FXGL-2-22.3聲譽(yù)風(fēng)險(xiǎn)FXGL-2-32.4知識(shí)產(chǎn)權(quán)FXGL-2-42.5風(fēng)險(xiǎn)提示與發(fā)布FXGL-2-53信息化風(fēng)險(xiǎn)內(nèi)控FXGL-33.1風(fēng)險(xiǎn)管理策略檢查FXGL-3-13.2風(fēng)險(xiǎn)評(píng)估FXGL-3-23.3風(fēng)險(xiǎn)處置FXGL-3-33.4與風(fēng)險(xiǎn)管理部門溝通FXGL-3-43.5風(fēng)險(xiǎn)監(jiān)測(cè)和計(jì)量機(jī)制FXGL-3-5稽稽核核審審計(jì)計(jì)（九）信息技術(shù)審計(jì)SJ1審計(jì)組織與計(jì)劃SJ-11.1審計(jì)部門SJ-1-11.2信息技術(shù)審計(jì)制度SJ-1-21.3信息技術(shù)審計(jì)計(jì)劃SJ-1-31.4信息技術(shù)外部審計(jì)SJ-1-42信息技術(shù)一般控制審計(jì)SJ-22.1信息化規(guī)劃及其實(shí)施情況的審計(jì)SJ-2-12.2信息

31、安全審計(jì)SJ-2-22.3對(duì)災(zāi)難恢復(fù)工作的審計(jì)SJ-2-33信息技術(shù)應(yīng)用控制審計(jì)SJ-33.1信息技術(shù)應(yīng)用控制審計(jì)SJ-3-14信息技術(shù)審計(jì)報(bào)告與備案SJ-44.1向管理層報(bào)告SJ-4-14.2向保監(jiān)會(huì)備案SJ-4-25信息技術(shù)審計(jì)監(jiān)控與后續(xù)跟進(jìn)SJ-55.1審計(jì)結(jié)果反饋SJ-5-15.2整改計(jì)劃落實(shí)SJ-5-25.3整改跟蹤審計(jì)SJ-5-3互互聯(lián)聯(lián)網(wǎng)網(wǎng)業(yè)業(yè)務(wù)務(wù)（八）互聯(lián)網(wǎng)保險(xiǎn)HLWBX1技術(shù)資質(zhì)條件HLWBX-11.1網(wǎng)絡(luò)接入地點(diǎn)HLWBX-1-11.2互聯(lián)網(wǎng)主管部門備案HLWBX-1-21.3第三方平臺(tái)技術(shù)資質(zhì)條HLWBX-1-32網(wǎng)站技術(shù)安全保障HLWBX-2自建網(wǎng)站基于第三方平臺(tái)2.1

32、客戶端安全HLWBX-2-12.2交易認(rèn)證手段HLWBX-2-22.3交易請(qǐng)求驗(yàn)證HLWBX-2-32.4網(wǎng)絡(luò)安全防護(hù)HLWBX-2-42.5定期風(fēng)險(xiǎn)評(píng)估HLWBX-2-52.6數(shù)據(jù)安全保護(hù)HLWBX-2-62.7支付指令安全控制HLWBX-2-72.8第三方平臺(tái)網(wǎng)站技術(shù)安全保障HLWBX-2-83內(nèi)容安全和風(fēng)險(xiǎn)提示HLWBX-33.1內(nèi)容管理HLWBX-3-13.2客戶宣傳和提示HLWBX-3-23.3假冒網(wǎng)站管理HLWBX-3-3現(xiàn)現(xiàn)場(chǎng)場(chǎng)檢檢查查分分?jǐn)?shù)數(shù)權(quán)權(quán)重重占占比比100 分15%10 分查看信息化規(guī)劃報(bào)告與審批記錄5 分查看信息化規(guī)劃的實(shí)施方案或階段性報(bào)告相關(guān)文件5 分40 分查看董

33、事會(huì)會(huì)議相關(guān)文件，如會(huì)議紀(jì)要、決議、決策等工作記錄，有信息化重大決策事項(xiàng)，年度信息化工作報(bào)告審閱記錄8 分查看組織機(jī)構(gòu)和相關(guān)職責(zé)說明，職責(zé)履行文件，如會(huì)議紀(jì)要、決議、決策等工作記錄8 分查看首席信息官的職責(zé)履行文件，如OA 文件、會(huì)議紀(jì)要8 分查看組織架構(gòu)及職責(zé)說明，相關(guān)職責(zé)履行文件，如項(xiàng)目建設(shè)、研發(fā)測(cè)試、系統(tǒng)運(yùn)維、安全管理等8 分查看組織架構(gòu)崗位設(shè)置與崗位職責(zé)說明，查看崗位人員配備8 分50 分應(yīng)用系統(tǒng)清單，包括名稱、支撐的業(yè)務(wù)、覆蓋范圍、上線時(shí)間等10 分結(jié)合信息化工作規(guī)劃查看信息化工作項(xiàng)目預(yù)算/費(fèi)用表10 分查看信息化工作績(jī)效考核報(bào)告10 分了解技術(shù)研究與應(yīng)用情況 ；獲得國(guó)家/國(guó)際標(biāo)準(zhǔn)認(rèn)

34、證情況；參與行業(yè)技術(shù)標(biāo)準(zhǔn)制定情況10 分查看信息化人力資源規(guī)劃報(bào)告以及培訓(xùn)考核記錄10 分100 分10%50 分檢查項(xiàng)目管理制度，執(zhí)行記錄10 分項(xiàng)目風(fēng)險(xiǎn)識(shí)別評(píng)估制度，風(fēng)險(xiǎn)評(píng)估記錄等20 分項(xiàng)目風(fēng)險(xiǎn)控制措施，落實(shí)記錄，文檔管理、版本控制記錄15 分檢查項(xiàng)目群管理制度，執(zhí)行流程，溝通機(jī)制5 分需求和技術(shù)架構(gòu)評(píng)審報(bào)告等20 分需求和技術(shù)架構(gòu)評(píng)審報(bào)告等4 分項(xiàng)目質(zhì)量控制標(biāo)準(zhǔn)，質(zhì)量控制檢查和監(jiān)督的記錄，保險(xiǎn)機(jī)構(gòu)獲得的認(rèn)證證書等3 分檢查網(wǎng)絡(luò)拓?fù)渑c開發(fā)數(shù)據(jù)來源5 分監(jiān)監(jiān)管管評(píng)評(píng)價(jià)價(jià)內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)（歸歸類類）信信息息化化管管理理技技術(shù)術(shù)開開發(fā)發(fā)檢查記錄等8 分20 分測(cè)試記錄、審核報(bào)告等4 分開發(fā)

35、與測(cè)試團(tuán)隊(duì)人員清單等4 分功能測(cè)試記錄，測(cè)試用例及報(bào)告，測(cè)試團(tuán)隊(duì)成員名單等4 分測(cè)試記錄、測(cè)試用例、測(cè)試團(tuán)隊(duì)成員名單等4 分安全測(cè)試記錄4 分10 分驗(yàn)收記錄、測(cè)試質(zhì)量的評(píng)估報(bào)告等2 分驗(yàn)收記錄和相關(guān)文檔等2 分試運(yùn)行記錄、投產(chǎn)報(bào)告、系統(tǒng)錯(cuò)誤修正記錄等3 分軟件發(fā)布文檔、審批記錄等3 分100 分5%20 分檢查信息化工作外包情況10 分檢查信息化工作外包情況10 分50 分檢查外包管理制度、規(guī)范、報(bào)告20 分外包與采購(gòu)管理制度，過程記錄，違法行為記錄等10 分投標(biāo)文件，核實(shí)評(píng)估記錄，外包風(fēng)險(xiǎn)評(píng)估報(bào)告，投標(biāo)商成功案例，投標(biāo)商蓋章的證書文件等10 分檢查合同、服務(wù)水平協(xié)議、滿意度調(diào)查表等10 分

36、30 分檢查測(cè)試驗(yàn)收?qǐng)?bào)告、記錄10 分檢查報(bào)告、記錄10 分檢查文檔、指南、手冊(cè)等10 分100 分20%10 分重要信息系統(tǒng)定級(jí)清單及備案證明5 分測(cè)評(píng)報(bào)告、整改方案5 分10 分重要機(jī)房建設(shè)驗(yàn)收?qǐng)?bào)告、現(xiàn)場(chǎng)檢查5 分檢查物理區(qū)域訪問控制機(jī)制文檔、訪問控制記錄；檢查物理安全規(guī)章制度及措施5 分15 分檢查網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)安全域方案等5 分檢查網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)安全各類文檔5 分檢查網(wǎng)絡(luò)審計(jì)日志記錄5 分15 分檢查主機(jī)安全防護(hù)、訪問控制、監(jiān)控措施等文檔10 分檢查主機(jī)審計(jì)日志記錄5 分10 分檢查重要應(yīng)用系統(tǒng)安全設(shè)計(jì)方案5 分檢查重要應(yīng)用系統(tǒng)審計(jì)日志記錄5 分15 分檢查數(shù)據(jù)安全管理制度與流程，

37、數(shù)據(jù)分級(jí)分類管理規(guī)范10 分檢查數(shù)據(jù)管理與使用流程，檢查數(shù)據(jù)使用、審批記錄3 分檢查重要數(shù)據(jù)審計(jì)記錄2 分檢查軟件設(shè)計(jì)文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認(rèn)證情況10 分檢查軟件設(shè)計(jì)文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認(rèn)證情況10 分運(yùn)運(yùn)維維管管理理10 分排查記錄和應(yīng)對(duì)措施等4 分檢查記錄6 分培訓(xùn)制度，培訓(xùn)記錄5 分100 分18%20 分系統(tǒng)賬戶管理規(guī)定，重要系統(tǒng)賬戶清單，定期清查記錄，超級(jí)賬戶審批記錄、訪問日志等5 分監(jiān)控系統(tǒng)設(shè)計(jì)方案，系統(tǒng)性能監(jiān)控參數(shù)清單與閾值，報(bào)警記錄與分析報(bào)告5 分日志，定期分析記錄等5 分查看運(yùn)行報(bào)告，報(bào)告上報(bào)至管理層的記錄等5 分20 分配置管理制度和流程、配置流程記錄等 10 分變更管理制度，變更記錄，應(yīng)急回退計(jì)劃等 10 分15 分服務(wù)臺(tái)管理制度，服務(wù)臺(tái)服務(wù)過程記錄文檔等5 分事件與問題管理文檔，問題管理處理過程記錄等10 分15 分實(shí)地考查機(jī)房和辦公環(huán)境5 分網(wǎng)絡(luò)設(shè)置，監(jiān)控記錄或報(bào)告等5 分設(shè)備和介質(zhì)管理措施，監(jiān)控或檢查記錄等5 分15 分備份恢復(fù)制度，執(zhí)行記錄等5 分排查記錄等5 分排查機(jī)制、排查記錄等5 分15 分登錄運(yùn)行維護(hù)管理平臺(tái)查看工單填寫與流