商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南

商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南/商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南目錄TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc236658743"第一部分概述12HYPERLINK\l"_Toc236658744"1.指南說(shuō)明13HYPERLINK\l"_Toc236658745"1.1目的及適用范圍13HYPERLINK\l"_Toc236658746"1.2編寫(xiě)原則14HYPERLINK\l"_Toc236658747"1.3指南框架15HYPERLINK\l"_Toc236658748"第二部分科技管理17HYPERLINK\l"_Toc236658749"2.信息科技治理18HYPERLINK\l"_Toc236658750"2.1董事會(huì)及高級(jí)管理層18HYPERLINK\l"_Toc236658751"檢查項(xiàng)1：董事會(huì)18HYPERLINK\l"_Toc236658752"檢查項(xiàng)2：信息科技管理委員會(huì)19HYPERLINK\l"_Toc236658753"檢查項(xiàng)3：首席信息官（CIO）20HYPERLINK\l"_Toc236658754"2.2信息科技部門(mén)21HYPERLINK\l"_Toc236658755"檢查項(xiàng)1：信息科技部門(mén)21HYPERLINK\l"_Toc236658756"檢查項(xiàng)2：信息科技戰(zhàn)略規(guī)劃23HYPERLINK\l"_Toc236658757"2.3信息科技風(fēng)險(xiǎn)管理部門(mén)24HYPERLINK\l"_Toc236658758"檢查項(xiàng)1：信息科技風(fēng)險(xiǎn)管理部門(mén)24HYPERLINK\l"_Toc236658759"2.4信息科技風(fēng)險(xiǎn)審計(jì)部門(mén)25HYPERLINK\l"_Toc236658760"檢查項(xiàng)1：信息科技風(fēng)險(xiǎn)審計(jì)部門(mén)25HYPERLINK\l"_Toc236658761"2.5知識(shí)產(chǎn)權(quán)保護(hù)和信息披露26HYPERLINK\l"_Toc236658762"檢查項(xiàng)1：知識(shí)產(chǎn)權(quán)保護(hù)26HYPERLINK\l"_Toc236658763"檢查項(xiàng)2：信息披露26HYPERLINK\l"_Toc236658764"3.信息科技風(fēng)險(xiǎn)管理28HYPERLINK\l"_Toc236658765"3.1風(fēng)險(xiǎn)識(shí)別和評(píng)估28HYPERLINK\l"_Toc236658766"檢查項(xiàng)1：風(fēng)險(xiǎn)管理策略28HYPERLINK\l"_Toc236658767"檢查項(xiàng)2：風(fēng)險(xiǎn)識(shí)別與評(píng)估29HYPERLINK\l"_Toc236658768"3.2風(fēng)險(xiǎn)防范和檢測(cè)29HYPERLINK\l"_Toc236658769"檢查項(xiàng)1：風(fēng)險(xiǎn)防范措施29HYPERLINK\l"_Toc236658770"檢查項(xiàng)2：風(fēng)險(xiǎn)計(jì)量與檢測(cè)30HYPERLINK\l"_Toc236658771"4.信息安全管理32HYPERLINK\l"_Toc236658772"4.1安全管理機(jī)制與管理組織32HYPERLINK\l"_Toc236658773"檢查項(xiàng)1：信息分類(lèi)和保護(hù)體系32HYPERLINK\l"_Toc236658774"檢查項(xiàng)2：安全管理機(jī)制33HYPERLINK\l"_Toc236658775"檢查項(xiàng)3：信息安全策略34HYPERLINK\l"_Toc236658776"檢查項(xiàng)4：信息安全組織34HYPERLINK\l"_Toc236658777"4.2安全管理制度35HYPERLINK\l"_Toc236658778"檢查項(xiàng)1：規(guī)章制度35HYPERLINK\l"_Toc236658779"檢查項(xiàng)2：制度合規(guī)36HYPERLINK\l"_Toc236658780"檢查項(xiàng)3：制度執(zhí)行37HYPERLINK\l"_Toc236658781"4.3人員管理38HYPERLINK\l"_Toc236658782"檢查項(xiàng)1：人員管理38HYPERLINK\l"_Toc236658783"4.4安全評(píng)估報(bào)告39HYPERLINK\l"_Toc236658784"檢查項(xiàng)1：安全評(píng)估報(bào)告39HYPERLINK\l"_Toc236658785"4.5宣傳、教育和培訓(xùn)39HYPERLINK\l"_Toc236658786"檢查項(xiàng)1：宣傳、教育和培訓(xùn)39HYPERLINK\l"_Toc236658787"5.系統(tǒng)開(kāi)發(fā)、測(cè)試與維護(hù)41HYPERLINK\l"_Toc236658788"5.1開(kāi)發(fā)管理41HYPERLINK\l"_Toc236658789"檢查項(xiàng)1：管理架構(gòu)41HYPERLINK\l"_Toc236658790"檢查項(xiàng)2：制度建設(shè)43HYPERLINK\l"_Toc236658791"檢查項(xiàng)3：項(xiàng)目控制體系44HYPERLINK\l"_Toc236658792"檢查項(xiàng)4：系統(tǒng)開(kāi)發(fā)的操作風(fēng)險(xiǎn)45HYPERLINK\l"_Toc236658793"檢查項(xiàng)5：數(shù)據(jù)繼承和遷移46HYPERLINK\l"_Toc236658794"5.2系統(tǒng)測(cè)試與上線47HYPERLINK\l"_Toc236658795"檢查項(xiàng)1：系統(tǒng)測(cè)試47HYPERLINK\l"_Toc236658796"檢查項(xiàng)2：系統(tǒng)驗(yàn)收49HYPERLINK\l"_Toc236658797"檢查項(xiàng)3：投產(chǎn)上線49HYPERLINK\l"_Toc236658798"5.3系統(tǒng)下線50HYPERLINK\l"_Toc236658799"檢查項(xiàng)1：系統(tǒng)下線50HYPERLINK\l"_Toc236658800"6.系統(tǒng)運(yùn)行管理52HYPERLINK\l"_Toc236658801"6.1日常管理52HYPERLINK\l"_Toc236658802"檢查項(xiàng)1：職責(zé)分離52HYPERLINK\l"_Toc236658803"檢查項(xiàng)2：值班制度53HYPERLINK\l"_Toc236658804"檢查項(xiàng)3：操作管理53HYPERLINK\l"_Toc236658805"檢查項(xiàng)4：人員管理54HYPERLINK\l"_Toc236658806"6.2訪問(wèn)控制策略55HYPERLINK\l"_Toc236658807"檢查項(xiàng)1：物理訪問(wèn)控制策略55HYPERLINK\l"_Toc236658808"檢查項(xiàng)2：邏輯訪問(wèn)控制策略56HYPERLINK\l"_Toc236658809"檢查項(xiàng)3：賬號(hào)及權(quán)限管理57HYPERLINK\l"_Toc236658810"檢查項(xiàng)4：用戶責(zé)任及終端管理58HYPERLINK\l"_Toc236658811"檢查項(xiàng)5：遠(yuǎn)程接入的控制59HYPERLINK\l"_Toc236658812"6.3日志管理60HYPERLINK\l"_Toc236658813"檢查項(xiàng)1：審計(jì)日志檢查60HYPERLINK\l"_Toc236658814"檢查項(xiàng)2：日志信息的保護(hù)60HYPERLINK\l"_Toc236658815"檢查項(xiàng)3：操作日志的檢查61HYPERLINK\l"_Toc236658816"檢查項(xiàng)4：錯(cuò)誤日志的檢查61HYPERLINK\l"_Toc236658817"6.4系統(tǒng)監(jiān)控62HYPERLINK\l"_Toc236658818"檢查項(xiàng)1：基礎(chǔ)環(huán)境監(jiān)控62HYPERLINK\l"_Toc236658819"檢查項(xiàng)2：系統(tǒng)性能監(jiān)控62HYPERLINK\l"_Toc236658820"檢查項(xiàng)3：系統(tǒng)運(yùn)行監(jiān)控63HYPERLINK\l"_Toc236658821"檢查項(xiàng)4：測(cè)評(píng)體系64HYPERLINK\l"_Toc236658822"6.5事件管理65HYPERLINK\l"_Toc236658823"檢查項(xiàng)1：事件報(bào)告流程65HYPERLINK\l"_Toc236658824"檢查項(xiàng)2：事件管理和改進(jìn)66HYPERLINK\l"_Toc236658825"檢查項(xiàng)3：服務(wù)臺(tái)管理67HYPERLINK\l"_Toc236658826"6.6問(wèn)題管理67HYPERLINK\l"_Toc236658827"檢查項(xiàng)1：事件分析和問(wèn)題生成68HYPERLINK\l"_Toc236658828"檢查項(xiàng)2：臺(tái)賬管理68HYPERLINK\l"_Toc236658829"檢查項(xiàng)3：?jiǎn)栴}處置68HYPERLINK\l"_Toc236658830"6.7容量管理69HYPERLINK\l"_Toc236658831"檢查項(xiàng)1：容量規(guī)劃69HYPERLINK\l"_Toc236658832"檢查項(xiàng)2：容量監(jiān)測(cè)70HYPERLINK\l"_Toc236658833"檢查項(xiàng)3：容量變更70HYPERLINK\l"_Toc236658834"6.8變更管理71HYPERLINK\l"_Toc236658835"檢查項(xiàng)1：變更的流程72HYPERLINK\l"_Toc236658836"檢查項(xiàng)2：變更的評(píng)估72HYPERLINK\l"_Toc236658837"檢查項(xiàng)3：變更的授權(quán)73HYPERLINK\l"_Toc236658838"檢查項(xiàng)4：變更的執(zhí)行73HYPERLINK\l"_Toc236658839"檢查項(xiàng)5：緊急變更74HYPERLINK\l"_Toc236658840"檢查項(xiàng)6：重大變更74HYPERLINK\l"_Toc236658841"7.業(yè)務(wù)連續(xù)性管理76HYPERLINK\l"_Toc236658842"7.1業(yè)務(wù)連續(xù)性管理組織77HYPERLINK\l"_Toc236658843"檢查項(xiàng)1：董事會(huì)及高管層的職責(zé)77HYPERLINK\l"_Toc236658844"檢查項(xiàng)2：業(yè)務(wù)連續(xù)性管理組織的建立78HYPERLINK\l"_Toc236658845"檢查項(xiàng)3：業(yè)務(wù)連續(xù)性管理組織職責(zé)79HYPERLINK\l"_Toc236658846"7.2IT服務(wù)連續(xù)性管理80HYPERLINK\l"_Toc236658847"檢查項(xiàng)1：IT服務(wù)連續(xù)性計(jì)劃的組織保障80HYPERLINK\l"_Toc236658848"檢查項(xiàng)2：風(fēng)險(xiǎn)評(píng)估及業(yè)務(wù)影響分析81HYPERLINK\l"_Toc236658849"檢查項(xiàng)3：IT服務(wù)連續(xù)性計(jì)劃的制定81HYPERLINK\l"_Toc236658850"檢查項(xiàng)4：IT服務(wù)連續(xù)性計(jì)劃的測(cè)試與維護(hù)82HYPERLINK\l"_Toc236658851"檢查項(xiàng)5：IT服務(wù)連續(xù)性計(jì)劃審計(jì)83HYPERLINK\l"_Toc236658852"檢查項(xiàng)6：IT服務(wù)連續(xù)性相關(guān)領(lǐng)域的控制84HYPERLINK\l"_Toc236658853"8.應(yīng)急管理85HYPERLINK\l"_Toc236658854"8.1應(yīng)急組織85HYPERLINK\l"_Toc236658855"檢查項(xiàng)1：應(yīng)急管理團(tuán)隊(duì)85HYPERLINK\l"_Toc236658856"檢查項(xiàng)2：應(yīng)急管理職責(zé)86HYPERLINK\l"_Toc236658857"檢查項(xiàng)3：應(yīng)急管理制度86HYPERLINK\l"_Toc236658858"8.2應(yīng)急預(yù)案87HYPERLINK\l"_Toc236658859"檢查項(xiàng)1：應(yīng)急預(yù)案制訂87HYPERLINK\l"_Toc236658860"檢查項(xiàng)2：應(yīng)急預(yù)案內(nèi)容87HYPERLINK\l"_Toc236658861"檢查項(xiàng)3：應(yīng)急預(yù)案更新89HYPERLINK\l"_Toc236658862"檢查項(xiàng)4：外包服務(wù)應(yīng)急89HYPERLINK\l"_Toc236658863"檢查項(xiàng)5：應(yīng)急預(yù)案培訓(xùn)90HYPERLINK\l"_Toc236658864"8.3應(yīng)急保障90HYPERLINK\l"_Toc236658865"檢查項(xiàng)1：人員保障90HYPERLINK\l"_Toc236658866"檢查項(xiàng)2：物質(zhì)保障90HYPERLINK\l"_Toc236658867"檢查項(xiàng)3：技術(shù)保障91HYPERLINK\l"_Toc236658868"檢查項(xiàng)4：溝通保障91HYPERLINK\l"_Toc236658869"8.4應(yīng)急演練92HYPERLINK\l"_Toc236658870"檢查項(xiàng)1：應(yīng)急演練的計(jì)劃92HYPERLINK\l"_Toc236658871"檢查項(xiàng)2：應(yīng)急演練的實(shí)施92HYPERLINK\l"_Toc236658872"檢查項(xiàng)3：應(yīng)急演練的總結(jié)93HYPERLINK\l"_Toc236658873"8.5應(yīng)急響應(yīng)93HYPERLINK\l"_Toc236658874"檢查項(xiàng)1：應(yīng)急響應(yīng)流程93HYPERLINK\l"_Toc236658875"檢查項(xiàng)2：全程記錄處置過(guò)程94HYPERLINK\l"_Toc236658876"檢查項(xiàng)3：應(yīng)急事件報(bào)告95HYPERLINK\l"_Toc236658877"檢查項(xiàng)4：與第三方溝通95HYPERLINK\l"_Toc236658878"檢查項(xiàng)5：向新聞媒體通報(bào)制度96HYPERLINK\l"_Toc236658879"檢查項(xiàng)6：應(yīng)急處置總結(jié)96HYPERLINK\l"_Toc236658880"8.6持續(xù)改進(jìn)97HYPERLINK\l"_Toc236658881"檢查項(xiàng)1：應(yīng)急事件評(píng)估97HYPERLINK\l"_Toc236658882"檢查項(xiàng)2：應(yīng)急響應(yīng)評(píng)估97HYPERLINK\l"_Toc236658883"檢查項(xiàng)3：應(yīng)急管理改進(jìn)97HYPERLINK\l"_Toc236658884"9.災(zāi)難恢復(fù)管理99HYPERLINK\l"_Toc236658885"9.1災(zāi)難恢復(fù)組織架構(gòu)99HYPERLINK\l"_Toc236658886"檢查項(xiàng)1：災(zāi)難恢復(fù)相關(guān)組織架構(gòu)99HYPERLINK\l"_Toc236658887"9.2災(zāi)難恢復(fù)策略101HYPERLINK\l"_Toc236658888"檢查項(xiàng)1：總體控制101HYPERLINK\l"_Toc236658889"檢查項(xiàng)2：災(zāi)難恢復(fù)策略101HYPERLINK\l"_Toc236658890"檢查項(xiàng)3：災(zāi)難備份策略103HYPERLINK\l"_Toc236658891"檢查項(xiàng)4：外包風(fēng)險(xiǎn)104HYPERLINK\l"_Toc236658892"9.3災(zāi)難恢復(fù)預(yù)案105HYPERLINK\l"_Toc236658893"檢查項(xiàng)1：災(zāi)難恢復(fù)預(yù)案105HYPERLINK\l"_Toc236658894"檢查項(xiàng)2：聯(lián)絡(luò)與通訊106HYPERLINK\l"_Toc236658895"檢查項(xiàng)3：教育、培訓(xùn)和演練107HYPERLINK\l"_Toc236658896"9.4評(píng)估和維護(hù)更新107HYPERLINK\l"_Toc236658897"檢查項(xiàng)1：災(zāi)備策略的評(píng)估和維護(hù)更新107HYPERLINK\l"_Toc236658898"檢查項(xiàng)2：災(zāi)難恢復(fù)預(yù)案的評(píng)估和維護(hù)更新108HYPERLINK\l"_Toc236658899"10.數(shù)據(jù)管理109HYPERLINK\l"_Toc236658900"10.1數(shù)據(jù)管理制度和崗位109HYPERLINK\l"_Toc236658901"檢查項(xiàng)1:數(shù)據(jù)管理制度109HYPERLINK\l"_Toc236658902"檢查項(xiàng)2：數(shù)據(jù)管理崗位110HYPERLINK\l"_Toc236658903"10.2數(shù)據(jù)備份、恢復(fù)策略110HYPERLINK\l"_Toc236658904"檢查項(xiàng)1：數(shù)據(jù)備份、轉(zhuǎn)儲(chǔ)策略110HYPERLINK\l"_Toc236658905"檢查項(xiàng)2：數(shù)據(jù)恢復(fù)、抽檢策略111HYPERLINK\l"_Toc236658906"10.3數(shù)據(jù)存儲(chǔ)介質(zhì)管理112HYPERLINK\l"_Toc236658907"檢查項(xiàng)1：介質(zhì)管理112HYPERLINK\l"_Toc236658908"檢查項(xiàng)2：介質(zhì)的清理和銷(xiāo)毀113HYPERLINK\l"_Toc236658909"11.外包管理114HYPERLINK\l"_Toc236658910"11.1外包管理制度114HYPERLINK\l"_Toc236658911"檢查項(xiàng)1：外包管理制度114HYPERLINK\l"_Toc236658912"檢查項(xiàng)2：外包審批流程114HYPERLINK\l"_Toc236658913"檢查項(xiàng)3：外包協(xié)議115HYPERLINK\l"_Toc236658914"檢查項(xiàng)4：服務(wù)水平協(xié)議115HYPERLINK\l"_Toc236658915"檢查項(xiàng)5：外包安全保密措施116HYPERLINK\l"_Toc236658916"檢查項(xiàng)6：外包文檔管理116HYPERLINK\l"_Toc236658917"11.2外包評(píng)估和監(jiān)督117HYPERLINK\l"_Toc236658918"檢查項(xiàng)1：外包服務(wù)商的評(píng)估117HYPERLINK\l"_Toc236658919"檢查項(xiàng)2：外包項(xiàng)目的監(jiān)督管理117HYPERLINK\l"_Toc236658920"12.內(nèi)部審計(jì)119HYPERLINK\l"_Toc236658921"12.1內(nèi)部審計(jì)管理119HYPERLINK\l"_Toc236658922"檢查項(xiàng)1：內(nèi)部審計(jì)部門(mén)、崗位、人員和職責(zé)119HYPERLINK\l"_Toc236658923"檢查項(xiàng)2：內(nèi)部審計(jì)制度和辦法119HYPERLINK\l"_Toc236658924"12.2內(nèi)部審計(jì)要求120HYPERLINK\l"_Toc236658925"檢查項(xiàng)1：內(nèi)部審計(jì)范圍和頻率120HYPERLINK\l"_Toc236658926"檢查項(xiàng)2：內(nèi)部審計(jì)結(jié)果的有效性120HYPERLINK\l"_Toc236658927"13.外部審計(jì)122HYPERLINK\l"_Toc236658928"13.1外部審計(jì)資質(zhì)122HYPERLINK\l"_Toc236658929"檢查項(xiàng)1：外部審計(jì)機(jī)構(gòu)的資質(zhì)122HYPERLINK\l"_Toc236658930"13.2外部審計(jì)要求122HYPERLINK\l"_Toc236658931"檢查項(xiàng)1：商業(yè)銀行配合外部審計(jì)情況122HYPERLINK\l"_Toc236658932"檢查項(xiàng)2：外部審計(jì)有效性123HYPERLINK\l"_Toc236658933"檢查項(xiàng)3：外審過(guò)程中的保密要求123HYPERLINK\l"_Toc236658934"第三部分基礎(chǔ)設(shè)施125HYPERLINK\l"_Toc236658935"14.計(jì)算機(jī)機(jī)房126HYPERLINK\l"_Toc236658936"14.1計(jì)算機(jī)機(jī)房建設(shè)126HYPERLINK\l"_Toc236658937"檢查項(xiàng)1：計(jì)算機(jī)機(jī)房選址126HYPERLINK\l"_Toc236658938"檢查項(xiàng)2：機(jī)房功能分區(qū)127HYPERLINK\l"_Toc236658939"檢查項(xiàng)3：計(jì)算機(jī)機(jī)房基礎(chǔ)設(shè)施建設(shè)127HYPERLINK\l"_Toc236658940"檢查項(xiàng)4：計(jì)算機(jī)機(jī)房的環(huán)境要求130HYPERLINK\l"_Toc236658941"檢查項(xiàng)5：計(jì)算機(jī)機(jī)房日常維護(hù)131HYPERLINK\l"_Toc236658942"14.2計(jì)算機(jī)機(jī)房管理132HYPERLINK\l"_Toc236658943"檢查項(xiàng)1：計(jì)算機(jī)機(jī)房安全管理132HYPERLINK\l"_Toc236658944"檢查項(xiàng)2：計(jì)算機(jī)機(jī)房集中監(jiān)控系統(tǒng)133HYPERLINK\l"_Toc236658945"檢查項(xiàng)3：計(jì)算機(jī)機(jī)房安全區(qū)域訪問(wèn)控制134HYPERLINK\l"_Toc236658946"檢查項(xiàng)4：計(jì)算機(jī)機(jī)房運(yùn)行管理135HYPERLINK\l"_Toc236658947"14.3機(jī)房設(shè)備管理136HYPERLINK\l"_Toc236658948"檢查項(xiàng)1：機(jī)房設(shè)備的環(huán)境安全136HYPERLINK\l"_Toc236658949"15.網(wǎng)絡(luò)通訊137HYPERLINK\l"_Toc236658950"15.1內(nèi)控管理137HYPERLINK\l"_Toc236658951"檢查項(xiàng)1：內(nèi)控制度137HYPERLINK\l"_Toc236658952"檢查項(xiàng)2：人員管理138HYPERLINK\l"_Toc236658953"檢查項(xiàng)3：訪問(wèn)控制138HYPERLINK\l"_Toc236658954"檢查項(xiàng)4：日志管理139HYPERLINK\l"_Toc236658955"檢查項(xiàng)5：第三方管理140HYPERLINK\l"_Toc236658956"檢查項(xiàng)6：服務(wù)外包141HYPERLINK\l"_Toc236658957"檢查項(xiàng)7：文檔管理141HYPERLINK\l"_Toc236658958"檢查項(xiàng)8：風(fēng)險(xiǎn)評(píng)估142HYPERLINK\l"_Toc236658959"15.2網(wǎng)絡(luò)運(yùn)行維護(hù)143HYPERLINK\l"_Toc236658960"檢查項(xiàng)1：運(yùn)行監(jiān)控143HYPERLINK\l"_Toc236658961"檢查項(xiàng)2：性能監(jiān)控143HYPERLINK\l"_Toc236658962"檢查項(xiàng)3：流量監(jiān)控144HYPERLINK\l"_Toc236658963"檢查項(xiàng)4：監(jiān)控預(yù)警144HYPERLINK\l"_Toc236658964"檢查項(xiàng)5：性能調(diào)優(yōu)144HYPERLINK\l"_Toc236658965"檢查項(xiàng)6：事件管理145HYPERLINK\l"_Toc236658966"檢查項(xiàng)7：運(yùn)行檢查145HYPERLINK\l"_Toc236658967"15.3網(wǎng)絡(luò)變更管理146HYPERLINK\l"_Toc236658968"檢查項(xiàng)1：變更發(fā)起146HYPERLINK\l"_Toc236658969"檢查項(xiàng)2：變更計(jì)劃147HYPERLINK\l"_Toc236658970"檢查項(xiàng)3：變更測(cè)試147HYPERLINK\l"_Toc236658971"檢查項(xiàng)4：變更審批147HYPERLINK\l"_Toc236658972"檢查項(xiàng)5：變更實(shí)施148HYPERLINK\l"_Toc236658973"15.4網(wǎng)絡(luò)服務(wù)可用性149HYPERLINK\l"_Toc236658974"檢查項(xiàng)1：容量管理149HYPERLINK\l"_Toc236658975"檢查項(xiàng)2：冗余管理149HYPERLINK\l"_Toc236658976"檢查項(xiàng)3：帶外管理150HYPERLINK\l"_Toc236658977"檢查項(xiàng)4：壓力測(cè)試151HYPERLINK\l"_Toc236658978"檢查項(xiàng)5：應(yīng)急管理151HYPERLINK\l"_Toc236658979"15.5網(wǎng)絡(luò)安全技術(shù)151HYPERLINK\l"_Toc236658980"檢查項(xiàng)1：結(jié)構(gòu)安全151HYPERLINK\l"_Toc236658981"檢查項(xiàng)2：物理安全153HYPERLINK\l"_Toc236658982"檢查項(xiàng)3：傳輸安全153HYPERLINK\l"_Toc236658983"檢查項(xiàng)4：訪問(wèn)控制154HYPERLINK\l"_Toc236658984"檢查項(xiàng)5：接入安全155HYPERLINK\l"_Toc236658985"檢查項(xiàng)6：網(wǎng)絡(luò)邊界安全156HYPERLINK\l"_Toc236658986"檢查項(xiàng)7：入侵檢測(cè)防范157HYPERLINK\l"_Toc236658987"檢查項(xiàng)8：惡意代碼防范158HYPERLINK\l"_Toc236658988"檢查項(xiàng)9：網(wǎng)絡(luò)設(shè)備防護(hù)158HYPERLINK\l"_Toc236658989"檢查項(xiàng)10：網(wǎng)絡(luò)安全測(cè)試160HYPERLINK\l"_Toc236658990"檢查項(xiàng)11：安全審計(jì)日志161HYPERLINK\l"_Toc236658991"檢查項(xiàng)12：安全檢查162HYPERLINK\l"_Toc236658992"16.操作系統(tǒng)163HYPERLINK\l"_Toc236658993"16.1賬號(hào)及密碼管理163HYPERLINK\l"_Toc236658994"檢查項(xiàng)1：管理制度163HYPERLINK\l"_Toc236658995"檢查項(xiàng)2：賬號(hào)、密碼管理163HYPERLINK\l"_Toc236658996"檢查項(xiàng)3：賬號(hào)、密碼管理檢查165HYPERLINK\l"_Toc236658997"16.2系統(tǒng)訪問(wèn)控制165HYPERLINK\l"_Toc236658998"檢查項(xiàng)1：訪問(wèn)控制策略165HYPERLINK\l"_Toc236658999"檢查項(xiàng)2：用戶登錄行為管理166HYPERLINK\l"_Toc236659000"檢查項(xiàng)3：登錄失敗日志管理166HYPERLINK\l"_Toc236659001"檢查項(xiàng)4：最小化訪問(wèn)167HYPERLINK\l"_Toc236659002"16.3遠(yuǎn)程接入管理168HYPERLINK\l"_Toc236659003"檢查項(xiàng)1：遠(yuǎn)程管理制度168HYPERLINK\l"_Toc236659004"檢查項(xiàng)2：遠(yuǎn)程維護(hù)管理169HYPERLINK\l"_Toc236659005"檢查項(xiàng)3：遠(yuǎn)程維護(hù)審查169HYPERLINK\l"_Toc236659006"16.4日常維護(hù)170HYPERLINK\l"_Toc236659007"檢查項(xiàng)1：系統(tǒng)性能監(jiān)控170HYPERLINK\l"_Toc236659008"檢查項(xiàng)2：補(bǔ)丁及漏洞管理170HYPERLINK\l"_Toc236659009"檢查項(xiàng)3：日常維護(hù)管理171HYPERLINK\l"_Toc236659010"檢查項(xiàng)4：系統(tǒng)備份和故障恢復(fù)172HYPERLINK\l"_Toc236659011"檢查項(xiàng)5：病毒及惡意代碼管理172HYPERLINK\l"_Toc236659012"檢查項(xiàng)6：定時(shí)進(jìn)程設(shè)置管理173HYPERLINK\l"_Toc236659013"檢查項(xiàng)7：系統(tǒng)審計(jì)功能173HYPERLINK\l"_Toc236659014"17.數(shù)據(jù)庫(kù)管理系統(tǒng)175HYPERLINK\l"_Toc236659015"17.1訪問(wèn)控制175HYPERLINK\l"_Toc236659016"檢查項(xiàng)1：身份認(rèn)證175HYPERLINK\l"_Toc236659017"檢查項(xiàng)2：授權(quán)控制176HYPERLINK\l"_Toc236659018"檢查項(xiàng)3：遠(yuǎn)程訪問(wèn)177HYPERLINK\l"_Toc236659019"檢查項(xiàng)4：安全參數(shù)設(shè)置178HYPERLINK\l"_Toc236659020"17.2日常管理178HYPERLINK\l"_Toc236659021"檢查項(xiàng)1：數(shù)據(jù)安全178HYPERLINK\l"_Toc236659022"檢查項(xiàng)2：審計(jì)功能179HYPERLINK\l"_Toc236659023"檢查項(xiàng)3：性能管理180HYPERLINK\l"_Toc236659024"檢查項(xiàng)4：補(bǔ)丁升級(jí)181HYPERLINK\l"_Toc236659025"17.3連續(xù)性管理181HYPERLINK\l"_Toc236659026"檢查項(xiàng)1：備份和恢復(fù)181HYPERLINK\l"_Toc236659027"檢查項(xiàng)2：連續(xù)性和應(yīng)急管理182HYPERLINK\l"_Toc236659028"18.第三方中間件184HYPERLINK\l"_Toc236659029"18.1產(chǎn)品管理184HYPERLINK\l"_Toc236659030"檢查項(xiàng)1：中間件測(cè)試184HYPERLINK\l"_Toc236659031"檢查項(xiàng)2：中間件管理184HYPERLINK\l"_Toc236659032"檢查項(xiàng)3：中間件與業(yè)務(wù)系統(tǒng)架構(gòu)185HYPERLINK\l"_Toc236659033"18.2運(yùn)行管理185HYPERLINK\l"_Toc236659034"檢查項(xiàng)1：維護(hù)流程和操作手冊(cè)185HYPERLINK\l"_Toc236659035"檢查項(xiàng)2：中間件配置管理185HYPERLINK\l"_Toc236659036"檢查項(xiàng)3：中間件日志管理的程序186HYPERLINK\l"_Toc236659037"檢查項(xiàng)4：中間件的性能監(jiān)控186HYPERLINK\l"_Toc236659038"檢查項(xiàng)5：中間件產(chǎn)生的事件和問(wèn)題管理187HYPERLINK\l"_Toc236659039"檢查項(xiàng)6：中間件的變更187HYPERLINK\l"_Toc236659040"檢查項(xiàng)7：?jiǎn)吸c(diǎn)故障問(wèn)題和負(fù)載均衡187HYPERLINK\l"_Toc236659041"檢查項(xiàng)8：壓力測(cè)試188HYPERLINK\l"_Toc236659042"第四部分應(yīng)用系統(tǒng)189HYPERLINK\l"_Toc236659043"19.應(yīng)用系統(tǒng)190HYPERLINK\l"_Toc236659044"19.1應(yīng)用系統(tǒng)管理190HYPERLINK\l"_Toc236659045"檢查項(xiàng)1：業(yè)務(wù)管理辦法與操作流程190HYPERLINK\l"_Toc236659046"檢查項(xiàng)2：重要應(yīng)用系統(tǒng)評(píng)估190HYPERLINK\l"_Toc236659047"檢查項(xiàng)3：應(yīng)用系統(tǒng)版本管理191HYPERLINK\l"_Toc236659048"檢查項(xiàng)4：應(yīng)用系統(tǒng)培訓(xùn)教育192HYPERLINK\l"_Toc236659049"19.2應(yīng)用系統(tǒng)操作192HYPERLINK\l"_Toc236659050"檢查項(xiàng)1：終端用戶管理192HYPERLINK\l"_Toc236659051"檢查項(xiàng)2：訪問(wèn)控制與授權(quán)管理193HYPERLINK\l"_Toc236659052"檢查項(xiàng)3：數(shù)據(jù)保密處理194HYPERLINK\l"_Toc236659053"檢查項(xiàng)4：數(shù)據(jù)完整性處理195HYPERLINK\l"_Toc236659054"檢查項(xiàng)5：數(shù)據(jù)準(zhǔn)確性處理195HYPERLINK\l"_Toc236659055"檢查項(xiàng)6：日志管理機(jī)制196HYPERLINK\l"_Toc236659056"檢查項(xiàng)7：備份、恢復(fù)機(jī)制197HYPERLINK\l"_Toc236659057"檢查項(xiàng)8：文檔資料管理198HYPERLINK\l"_Toc236659058"檢查項(xiàng)9：內(nèi)部審計(jì)的參與199HYPERLINK\l"_Toc236659059"20.電子銀行200HYPERLINK\l"_Toc236659060"20.1電子銀行業(yè)務(wù)合規(guī)性200HYPERLINK\l"_Toc236659061"檢查項(xiàng)1：電子銀行業(yè)務(wù)合規(guī)性200HYPERLINK\l"_Toc236659062"20.2電子銀行風(fēng)險(xiǎn)管理體系201HYPERLINK\l"_Toc236659063"檢查項(xiàng)1：電子銀行風(fēng)險(xiǎn)管理體系201HYPERLINK\l"_Toc236659064"20.3電子銀行安全管理202HYPERLINK\l"_Toc236659065"檢查項(xiàng)1：電子銀行安全策略管理202HYPERLINK\l"_Toc236659066"檢查項(xiàng)2：電子銀行安全措施203HYPERLINK\l"_Toc236659067"檢查項(xiàng)3：電子銀行安全監(jiān)控204HYPERLINK\l"_Toc236659068"檢查項(xiàng)4：電子銀行安全評(píng)估204HYPERLINK\l"_Toc236659069"20.4電子銀行可用性管理205HYPERLINK\l"_Toc236659070"檢查項(xiàng)1：電子銀行基礎(chǔ)設(shè)施205HYPERLINK\l"_Toc236659071"檢查項(xiàng)2：電子銀行性能監(jiān)測(cè)和評(píng)估205HYPERLINK\l"_Toc236659072"20.5電子銀行應(yīng)急管理206HYPERLINK\l"_Toc236659073"檢查項(xiàng)1：電子銀行應(yīng)急預(yù)案206HYPERLINK\l"_Toc236659074"檢查項(xiàng)2：電子銀行應(yīng)急演練207HYPERLINK\l"_Toc236659075"21.銀行卡系統(tǒng)208HYPERLINK\l"_Toc236659076"21.1銀行卡系統(tǒng)管理208HYPERLINK\l"_Toc236659077"檢查項(xiàng)1：銀行卡系統(tǒng)容量的合理規(guī)劃208HYPERLINK\l"_Toc236659078"檢查項(xiàng)2：銀行卡系統(tǒng)物理設(shè)備風(fēng)險(xiǎn)和故障處理209HYPERLINK\l"_Toc236659079"檢查項(xiàng)3：銀行卡交易監(jiān)控209HYPERLINK\l"_Toc236659080"檢查項(xiàng)4：賬戶密碼和交易數(shù)據(jù)的存儲(chǔ)和傳輸210HYPERLINK\l"_Toc236659081"檢查項(xiàng)5：銀行卡系統(tǒng)應(yīng)急預(yù)案211HYPERLINK\l"_Toc236659082"21.2終端設(shè)備212HYPERLINK\l"_Toc236659083"檢查項(xiàng)1：自助銀行機(jī)具和安裝環(huán)境的物理安全212HYPERLINK\l"_Toc236659084"檢查項(xiàng)2：自助銀行機(jī)具的通信安全212HYPERLINK\l"_Toc236659085"檢查項(xiàng)3：自助銀行機(jī)具的安全裝置213HYPERLINK\l"_Toc236659086"檢查項(xiàng)4：自助銀行業(yè)務(wù)操作流程（機(jī)具軟件）213HYPERLINK\l"_Toc236659087"檢查項(xiàng)5：自助銀行機(jī)具的巡查維護(hù)214HYPERLINK\l"_Toc236659088"檢查項(xiàng)6：POS機(jī)214HYPERLINK\l"_Toc236659089"21.3自助銀行監(jiān)控215HYPERLINK\l"_Toc236659090"檢查項(xiàng)1：自助銀行設(shè)備日常運(yùn)行的監(jiān)控情況215HYPERLINK\l"_Toc236659091"檢查項(xiàng)2：監(jiān)控中心和監(jiān)控設(shè)備215HYPERLINK\l"_Toc236659092"檢查項(xiàng)3：自助銀行監(jiān)控發(fā)現(xiàn)問(wèn)題的處置情況216HYPERLINK\l"_Toc236659093"檢查項(xiàng)4：自助銀行設(shè)施安全評(píng)估（信息科技方面）216HYPERLINK\l"_Toc236659094"22.第三方存管系統(tǒng)217HYPERLINK\l"_Toc236659095"22.1管理架構(gòu)和職責(zé)217HYPERLINK\l"_Toc236659096"檢查項(xiàng)1：管理架構(gòu)與崗位職責(zé)分工217HYPERLINK\l"_Toc236659097"22.2系統(tǒng)功能217HYPERLINK\l"_Toc236659098"檢查項(xiàng)1：系統(tǒng)功能217HYPERLINK\l"_Toc236659099"22.3系統(tǒng)一般安全與賬戶處理218HYPERLINK\l"_Toc236659100"檢查項(xiàng)1：賬戶沖正處理218HYPERLINK\l"_Toc236659101"檢查項(xiàng)2：網(wǎng)絡(luò)訪問(wèn)控制與病毒防范218HYPERLINK\l"_Toc236659102"22.4數(shù)據(jù)交換219HYPERLINK\l"_Toc236659103"檢查項(xiàng)1：數(shù)據(jù)交換安全性219HYPERLINK\l"_Toc236659104"22.5運(yùn)行維護(hù)220HYPERLINK\l"_Toc236659105"檢查項(xiàng)1：運(yùn)行維護(hù)安全性220HYPERLINK\l"_Toc236659106"22.6系統(tǒng)備份220HYPERLINK\l"_Toc236659107"檢查項(xiàng)1：系統(tǒng)備份安全性220HYPERLINK\l"_Toc236659108"22.7應(yīng)急恢復(fù)與事故處理221HYPERLINK\l"_Toc236659109"檢查項(xiàng)1：應(yīng)急恢復(fù)與事故處理流程221HYPERLINK\l"_Toc236659110"22.8系統(tǒng)測(cè)試221HYPERLINK\l"_Toc236659111"檢查項(xiàng)1：系統(tǒng)測(cè)試221HYPERLINK\l"_Toc236659112"22.9臨時(shí)派出柜臺(tái)222HYPERLINK\l"_Toc236659113"檢查項(xiàng)1：系統(tǒng)派出柜臺(tái)安全性222HYPERLINK\l"_Toc236659114"附錄223HYPERLINK\l"_Toc236659115"23.常用檢查方法224HYPERLINK\l"_Toc236659116"23.1問(wèn)卷與函證224HYPERLINK\l"_Toc236659117"23.2訪談225HYPERLINK\l"_Toc236659118"23.3查閱226HYPERLINK\l"_Toc236659119"23.4觀察227HYPERLINK\l"_Toc236659120"23.5測(cè)試227HYPERLINK\l"_Toc236659121"26.6分析性復(fù)核230HYPERLINK\l"_Toc236659122"26.7評(píng)審231HYPERLINK\l"_Toc236659123"24.主要網(wǎng)絡(luò)設(shè)備常用操作232HYPERLINK\l"_Toc236659124"24.1Cisco設(shè)備常用操作232HYPERLINK\l"_Toc236659125"交換機(jī)232HYPERLINK\l"_Toc236659126"路由器233HYPERLINK\l"_Toc236659127"防火墻234HYPERLINK\l"_Toc236659128"24.2H3C設(shè)備常用操作234HYPERLINK\l"_Toc236659129"交換機(jī)234HYPERLINK\l"_Toc236659130"路由器236HYPERLINK\l"_Toc236659131"防火墻237HYPERLINK\l"_Toc236659132"25.主要操作系統(tǒng)常用操作238HYPERLINK\l"_Toc236659133"25.1AIX系統(tǒng)檢查常用操作238HYPERLINK\l"_Toc236659134"25.2HP/UX系統(tǒng)檢查常用操作246HYPERLINK\l"_Toc236659135"25.3Solaris系統(tǒng)檢查常用操作250HYPERLINK\l"_Toc236659136"25.4Windows系統(tǒng)檢查常用操作251HYPERLINK\l"_Toc236659137"26.主要數(shù)據(jù)庫(kù)管理系統(tǒng)常用操作256HYPERLINK\l"_Toc236659138"26.1DB2系統(tǒng)檢查常用操作256HYPERLINK\l"_Toc236659139"26.2Sybase系統(tǒng)檢查常用操作257HYPERLINK\l"_Toc236659140"26.3Oracle系統(tǒng)檢查常用操作257HYPERLINK\l"_Toc236659141"26.4Informix系統(tǒng)檢查常用操作259HYPERLINK\l"_Toc236659142"26.5SQLSERVER系統(tǒng)檢查常用操作261第一部分概述1.指南說(shuō)明1.1目的及適用范圍信息科技與銀行業(yè)務(wù)高度融合，已成為銀行業(yè)金融機(jī)構(gòu)提高運(yùn)營(yíng)效率、實(shí)現(xiàn)經(jīng)營(yíng)戰(zhàn)略和加快金融創(chuàng)新的重要手段。與此同時(shí)，銀行業(yè)對(duì)信息科技的高度依賴，使得信息科技風(fēng)險(xiǎn)成為影響銀行業(yè)穩(wěn)健運(yùn)行的主要隱患之一。銀監(jiān)會(huì)按照科學(xué)發(fā)展觀要求，與時(shí)俱進(jìn)，大力加強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管，充分利用現(xiàn)場(chǎng)檢查這一監(jiān)管手段，深入檢查銀行機(jī)構(gòu)在信息科技治理、風(fēng)險(xiǎn)管理、信息安全、業(yè)務(wù)連續(xù)性、電子銀行等領(lǐng)域的科技風(fēng)險(xiǎn)及管理情況，發(fā)現(xiàn)問(wèn)題、排查隱患，督促銀行及時(shí)整改。商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查工作，既是銀監(jiān)會(huì)深入掌握銀行信息化建設(shè)、科技管理整體情況的有效方法，也是對(duì)銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況進(jìn)行準(zhǔn)確分析和評(píng)價(jià)的重要手段，對(duì)及時(shí)預(yù)警風(fēng)險(xiǎn)，提高銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管控能力和水平，保護(hù)存款人和公眾利益，維護(hù)金融體系安全和穩(wěn)定有著重要的意義。為提高信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查質(zhì)量，規(guī)范檢查行為，銀監(jiān)會(huì)在“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”監(jiān)管理念指導(dǎo)下，全面總結(jié)信息科技現(xiàn)場(chǎng)檢查經(jīng)驗(yàn)，充分借鑒國(guó)外監(jiān)管機(jī)構(gòu)的檢查規(guī)范和最佳實(shí)踐，編寫(xiě)了《商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南》（以下簡(jiǎn)稱《指南》）?！吨改稀肪幹频闹饕康脑谟冢阂皇敲鞔_了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的有效性和針對(duì)性，提升現(xiàn)場(chǎng)檢查質(zhì)量，為銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)開(kāi)展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查提供全面和有針對(duì)性的指導(dǎo)。二是提供了評(píng)價(jià)銀行信息科技風(fēng)險(xiǎn)管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的程序、手段和行為，是銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)檢查工作的一個(gè)重要參考依據(jù)和檢查指導(dǎo)工具。三是指明了商業(yè)銀行信息科技風(fēng)險(xiǎn)防控的重點(diǎn)領(lǐng)域、方向和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，提出了風(fēng)險(xiǎn)識(shí)別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險(xiǎn)防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實(shí)踐中，成為指導(dǎo)銀行全面開(kāi)展科技風(fēng)險(xiǎn)防控、提升管理能力的有力武器?！吨改稀分饕m用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行的信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查。政策性銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社的信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，應(yīng)考慮區(qū)域經(jīng)濟(jì)水平、機(jī)構(gòu)規(guī)模與公司治理結(jié)構(gòu)差異，按照本指南的風(fēng)險(xiǎn)防控原則，結(jié)合實(shí)際情況進(jìn)行檢查。村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車(chē)金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查可參考本《指南》。1.2編寫(xiě)原則一、突出風(fēng)險(xiǎn)為本的監(jiān)管理念?！吨改稀穲?jiān)持法人監(jiān)管、風(fēng)險(xiǎn)為本的監(jiān)管理念，緊扣信息科技風(fēng)險(xiǎn)這一中心，詳細(xì)說(shuō)明了商業(yè)銀行信息科技風(fēng)險(xiǎn)管理中的300多個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，明確提出了具體的控制要求和檢查方法、步驟，涵蓋了商業(yè)銀行信息科技風(fēng)險(xiǎn)管控的各個(gè)方面和環(huán)節(jié)。二、堅(jiān)持分類(lèi)監(jiān)管的原則?！吨改稀穮⒄障嚓P(guān)行業(yè)標(biāo)準(zhǔn)和規(guī)范，指出了商業(yè)銀行信息科技風(fēng)險(xiǎn)控制所應(yīng)達(dá)到的標(biāo)準(zhǔn)，同時(shí)兼顧不同類(lèi)型銀行機(jī)構(gòu)的特點(diǎn)體現(xiàn)分類(lèi)監(jiān)管原則，針對(duì)不同的被檢查主體，在檢查目標(biāo)上有所區(qū)別和側(cè)重，以便于監(jiān)管人員正確把握檢查標(biāo)準(zhǔn)和尺度，對(duì)商業(yè)銀行的指導(dǎo)更具有針對(duì)性。三、體現(xiàn)監(jiān)管引領(lǐng)作用?！吨改稀方梃b了國(guó)際銀行業(yè)信息科技風(fēng)險(xiǎn)管理和監(jiān)管的最新理念，也充分吸收了國(guó)內(nèi)先進(jìn)銀行的成功經(jīng)驗(yàn)，商業(yè)銀行可以對(duì)照《指南》分析差距，將《指南》要求作為持續(xù)提高信息科技風(fēng)險(xiǎn)管控水平的目標(biāo)。1.3指南框架《指南》強(qiáng)調(diào)：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理應(yīng)以科技治理為核心，通過(guò)完善科技治理架構(gòu)，形成有效內(nèi)控機(jī)制，將信息科技風(fēng)險(xiǎn)管控理念貫穿于系統(tǒng)開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)維護(hù)的信息系統(tǒng)生命周期管理全過(guò)程?！吨改稀钒?個(gè)部分和附錄，共26章節(jié)。第一部分“概述”主要介紹了編制《指南》的目的和適應(yīng)范圍、闡述了《指南》的編寫(xiě)原則等內(nèi)容。第二部分“科技管理”包含12個(gè)章節(jié)，提出了對(duì)商業(yè)銀行信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全管理、信息系統(tǒng)生命周期管理、信息系統(tǒng)運(yùn)行管理、業(yè)務(wù)連續(xù)性管理、應(yīng)急管理、災(zāi)難備份管理、數(shù)據(jù)管理、外包管理、內(nèi)部審計(jì)、外部審計(jì)的基本要求、檢查內(nèi)容和檢查方法、步驟等。第三部分“基礎(chǔ)設(shè)施”包含5個(gè)章節(jié)，提出了對(duì)商業(yè)銀行計(jì)算機(jī)房、網(wǎng)絡(luò)通訊、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、第三方中間件等基礎(chǔ)設(shè)施的基本要求、檢查內(nèi)容和檢查方法、步驟等。第四部分“應(yīng)用系統(tǒng)”包含4個(gè)章節(jié)，提出了對(duì)商業(yè)銀行核心業(yè)務(wù)系統(tǒng)、電子銀行系統(tǒng)、銀行卡系統(tǒng)、第三方存管系統(tǒng)的基本要求、檢查內(nèi)容和檢查方法、步驟等。附錄包含4個(gè)章節(jié)，收錄了常用檢查方法和常用操作命令，常用操作命令包括主要網(wǎng)絡(luò)設(shè)備常用操作命令、主要操作系統(tǒng)常用操作命令、主要數(shù)據(jù)庫(kù)管理系統(tǒng)常用操作命令等。第二部分科技管理2.信息科技治理商業(yè)銀行的董事會(huì)和高級(jí)管理層應(yīng)根據(jù)本銀行的發(fā)展戰(zhàn)略，運(yùn)用先進(jìn)管理理念加強(qiáng)信息科技治理，提高信息技術(shù)使用效益，推動(dòng)商業(yè)銀行的業(yè)務(wù)創(chuàng)新，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。提示：在對(duì)商業(yè)銀行的信息科技治理情況進(jìn)行檢查和評(píng)價(jià)時(shí)，可根據(jù)銀行機(jī)構(gòu)的實(shí)際情況，按照分類(lèi)監(jiān)管、循序漸進(jìn)的原則，合理把握標(biāo)準(zhǔn)與尺度。如，有的銀行機(jī)構(gòu)還不具備建立專門(mén)信息科技管理委員會(huì)的條件時(shí)，可以指定其他委員會(huì)暫時(shí)代行其職責(zé)，也可以由一個(gè)專門(mén)的管理協(xié)調(diào)小組或由一個(gè)已存在的機(jī)構(gòu)（例如董事會(huì)）承擔(dān)其職責(zé)。又如：在監(jiān)管部門(mén)沒(méi)有對(duì)商業(yè)銀行首席信息官制度作出更加明確的規(guī)定或銀行機(jī)構(gòu)還不具備設(shè)立首席信息官的條件時(shí)，可以指定一位具有科技從業(yè)背景或工作經(jīng)驗(yàn)的高管人員承擔(dān)首席信息官的工作職責(zé)。2.1董事會(huì)及高級(jí)管理層檢查項(xiàng)1：董事會(huì)基本要求：（1）董事會(huì)應(yīng)對(duì)銀行的信息科技治理負(fù)有最終責(zé)任。(2)董事會(huì)應(yīng)及時(shí)聽(tīng)取信息科技管理委員會(huì)和首席信息官的匯報(bào),了解主要的信息科技風(fēng)險(xiǎn)。(3)信息科技重大事項(xiàng)的決策應(yīng)經(jīng)過(guò)董事會(huì)審議。檢查方法、步驟：(1)訪談董事會(huì)成員/董事會(huì)秘書(shū),了解:(a)董事會(huì)在銀行信息科技管理領(lǐng)域的角色和職責(zé);(b)董事會(huì)是否了解本行所面臨的主要信息科技風(fēng)險(xiǎn);(c)董事會(huì)對(duì)信息科技重大事項(xiàng)和決策職責(zé)的界定,以及董事會(huì)信息科技重大決策的流程;(d)經(jīng)過(guò)董事會(huì)討論和決議的信息科技重大事項(xiàng)的落實(shí)情況;(e)董事會(huì)如何對(duì)信息科技的建設(shè)和管理情況進(jìn)行監(jiān)督。(2)查閱相關(guān)資料,如董事會(huì)章程,董事會(huì)會(huì)議紀(jì)要,對(duì)重大信息科技事項(xiàng)的審批決議的記錄等,對(duì)上述信息進(jìn)行驗(yàn)證。檢查項(xiàng)2：信息科技管理委員會(huì)基本要求：（1）銀行應(yīng)建立信息科技管理委員會(huì),該委員會(huì)成員應(yīng)包括銀行高級(jí)管理層、信息科技部門(mén)和主要業(yè)務(wù)部門(mén)的代表。(2)信息科技管理委員會(huì)的職責(zé)應(yīng)包括:(a)設(shè)定全行IT戰(zhàn)略目標(biāo)，指導(dǎo)IT方面的資金投入，對(duì)IT規(guī)劃進(jìn)行審批；(b)合理運(yùn)用現(xiàn)有資源，指導(dǎo)信息科技部門(mén)提供高質(zhì)量的IT服務(wù)，同時(shí)要監(jiān)督IT成本管理情況；(c)通過(guò)調(diào)整IT項(xiàng)目和活動(dòng)的優(yōu)先級(jí)解決資源短缺造成的沖突；(d)確保IT戰(zhàn)略的及時(shí)更新；(e)對(duì)主要的IT政策、標(biāo)準(zhǔn)、原則進(jìn)行審批；(f)對(duì)重要的IT項(xiàng)目和活動(dòng)進(jìn)行監(jiān)控；(g)監(jiān)督和管理IT績(jī)效，確保達(dá)到預(yù)期IT服務(wù)水平；(h)對(duì)重大IT項(xiàng)目進(jìn)行審批。（3）定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技預(yù)算和實(shí)際支出情況、信息科技的整體管理狀況,面臨的主要風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。檢查方法、步驟：（1）訪談信息科技管理委員會(huì)成員,了解信息科技管理委員會(huì)的主要職責(zé)和開(kāi)展的主要工作。如(a)是否確保信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性;(b)信息科技管理委員會(huì)是否了解本行主要的信息科技風(fēng)險(xiǎn)并制定了應(yīng)對(duì)措施;(c)重大信息科技項(xiàng)目投資的審批情況;(e)預(yù)算和執(zhí)行情況;(f)IT績(jī)效等。(2)調(diào)閱信息科技管理委員會(huì)相關(guān)文件,如信息科技管理委員會(huì)章程/政策,會(huì)議紀(jì)要,對(duì)重大事項(xiàng)的討論和審批記錄等,對(duì)訪談了解到的信息進(jìn)行驗(yàn)證。(3）查閱信息科技管理委員會(huì)向董事會(huì)和高級(jí)管理層的匯報(bào)材料和相關(guān)會(huì)議記錄,了解其向董事會(huì)和高級(jí)管理層匯報(bào)工作的情況。檢查項(xiàng)3：首席信息官（CIO）基本要求：（1）商業(yè)銀行應(yīng)建立首席信息官制度，明確其工作職責(zé)及報(bào)告路線。（2）首席信息官應(yīng)了解并參與本行業(yè)務(wù)發(fā)展決策。（3）首席信息官應(yīng)負(fù)責(zé)制定和及時(shí)更新信息科技戰(zhàn)略,確保信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。（4）首席信息官應(yīng)確保信息科技職能的規(guī)范和有效運(yùn)作。（5）首席信息官應(yīng)領(lǐng)導(dǎo)和協(xié)調(diào)信息科技部門(mén)做好以下工作：信息科技預(yù)算和支出，信息科技政策、標(biāo)準(zhǔn)和流程制定及執(zhí)行，信息科技內(nèi)部控制、專業(yè)化研發(fā)，信息科技項(xiàng)目管理，信息系統(tǒng)和科技基礎(chǔ)設(shè)施的建設(shè)、維護(hù)和運(yùn)行管理，信息安全管理，應(yīng)急管理和災(zāi)難恢復(fù)計(jì)劃，信息科技外包和信息系統(tǒng)退出等。（6）首席信息官應(yīng)確保信息科技人才隊(duì)伍具備充分的專業(yè)技能。檢查方法、步驟：（1）訪談首席信息官，關(guān)注以下內(nèi)容:(a)銀行的信息科技戰(zhàn)略及其與業(yè)務(wù)戰(zhàn)略的一致性;(b)銀行目前面臨的主要信息科技風(fēng)險(xiǎn)和應(yīng)對(duì)策略;(c)銀行未來(lái)1-3年的信息科技發(fā)展規(guī)劃;(d)首席信息官開(kāi)展了哪些主要工作;(e)首席信息官如何與高級(jí)管理層/董事會(huì)/信息科技管理委員會(huì)等保持有效溝通;(f)首席信息官對(duì)銀行信息科技領(lǐng)域主要問(wèn)題的了解情況和應(yīng)對(duì)計(jì)劃;(g)首席信息官如何對(duì)信息科技部門(mén)的活動(dòng)和績(jī)效進(jìn)行監(jiān)控。（2）查閱相關(guān)文檔資料，如信息科技部門(mén)的匯報(bào)資料,董事會(huì)/高級(jí)管理層匯報(bào)資料,會(huì)議紀(jì)要,信息科技重大決策的審批記錄,戰(zhàn)略規(guī)劃,預(yù)算執(zhí)行情況的分析,風(fēng)險(xiǎn)評(píng)估報(bào)告等,對(duì)訪談了解到的信息進(jìn)行驗(yàn)證。2.2信息科技部門(mén)檢查項(xiàng)1：信息科技部門(mén)基本要求：（1）商業(yè)銀行應(yīng)建立與銀行業(yè)務(wù)相適應(yīng)的信息科技部門(mén)，負(fù)責(zé)信息科技產(chǎn)品的開(kāi)發(fā)、外包、測(cè)試、上線和變更，負(fù)責(zé)相應(yīng)信息系統(tǒng)的運(yùn)行、維護(hù)和安全，為銀行提供信息科技業(yè)務(wù)產(chǎn)品。（2）信息科技部門(mén)應(yīng)該根據(jù)工作內(nèi)容，制定完整的內(nèi)部工作流程和內(nèi)控制度，建立與相關(guān)職能部門(mén)之間的協(xié)調(diào)配合機(jī)制，保證信息科技工作的有序、高效。（3）信息科技部門(mén)應(yīng)定期分析評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)防控策略、措施和檢查流程，切實(shí)做好信息科技風(fēng)險(xiǎn)管控。（4）信息科技部門(mén)所配置的信息科技人員的數(shù)量應(yīng)適應(yīng)業(yè)務(wù)及IT發(fā)展水平，能保證各個(gè)信息系統(tǒng)和各項(xiàng)信息科技工作安全持續(xù)地運(yùn)轉(zhuǎn)。信息科技部門(mén)應(yīng)做好科技人員管理，注重科技專業(yè)和風(fēng)險(xiǎn)教育。信息科技人員應(yīng)有良好的品德、職業(yè)操守和信用記錄，具備相應(yīng)的專業(yè)知識(shí)技能。（5）信息科技部門(mén)應(yīng)該建設(shè)一支與銀行信息科技產(chǎn)品開(kāi)發(fā)戰(zhàn)略相適應(yīng)的信息科技開(kāi)發(fā)隊(duì)伍，應(yīng)做好信息科技開(kāi)發(fā)管理，以及相關(guān)的外包服務(wù)管理、知識(shí)產(chǎn)權(quán)管理和開(kāi)發(fā)環(huán)節(jié)的風(fēng)險(xiǎn)管理，為銀行提供安全的信息科技業(yè)務(wù)產(chǎn)品。（6）信息科技部門(mén)應(yīng)建設(shè)好銀行信息科技系統(tǒng)安全連續(xù)運(yùn)行的環(huán)境（包括場(chǎng)地、設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)安全、訪問(wèn)控制和管理制度等），做好各種環(huán)境的監(jiān)測(cè)控制，做好事件、問(wèn)題管理和變更管理，做好緊急事件應(yīng)急預(yù)案。（7）信息科技部門(mén)應(yīng)嚴(yán)格遵守國(guó)家各項(xiàng)安全管理制度，配合風(fēng)險(xiǎn)管理部門(mén)、合規(guī)部門(mén)、業(yè)務(wù)部門(mén)編制各項(xiàng)信息科技業(yè)務(wù)產(chǎn)品的操作手冊(cè)和訪問(wèn)控制制度，協(xié)助做好業(yè)務(wù)部門(mén)信息科技風(fēng)險(xiǎn)控制和安全教育。檢查方法、步驟:（1）調(diào)閱信息科技部門(mén)的各項(xiàng)工作流程和規(guī)章制度。（2）調(diào)閱信息科技風(fēng)險(xiǎn)管理政策和制度。（3）調(diào)閱信息科技部門(mén)的組織結(jié)構(gòu)圖,崗位職責(zé)說(shuō)明。(4)訪談信息科技部門(mén)負(fù)責(zé)人、內(nèi)部各條線負(fù)責(zé)人和信息科技風(fēng)險(xiǎn)管理人員，關(guān)注以下內(nèi)容：（a）信息科技部門(mén)內(nèi)部設(shè)置了哪些條線？各條線是否實(shí)現(xiàn)了必要的職責(zé)分離,如開(kāi)發(fā)團(tuán)隊(duì)和運(yùn)行團(tuán)隊(duì)分離,信息科技人員不從事業(yè)務(wù)操作,有專門(mén)的團(tuán)隊(duì)開(kāi)展安全檢查等；(b)信息科技部門(mén)的資源狀況,包括人員是否充足,是否擁有充分的技能；(c)問(wèn)題和風(fēng)險(xiǎn)的報(bào)告路線、流程和處置效率；(d)信息科技人員的激勵(lì)機(jī)制；(e)如何對(duì)信息科技人員進(jìn)行職業(yè)道德方面的教育,如何在全行科技職能范圍內(nèi)推進(jìn)風(fēng)險(xiǎn)管理和內(nèi)部控制的理念；(f)信息科技人員的任免和招聘,是否進(jìn)行背景調(diào)查;(g)主要崗位是否輪崗;(h)信息科技人員的技能培訓(xùn)情況;(i)信息科技人員是否了解本行的信息科技政策/流程/規(guī)范/標(biāo)準(zhǔn)等。檢查項(xiàng)2：信息科技戰(zhàn)略規(guī)劃基本要求：（1）商業(yè)銀行信息科技戰(zhàn)略規(guī)劃應(yīng)在充分的市場(chǎng)調(diào)查和技術(shù)分析的基礎(chǔ)上，由首席信息官,銀行高級(jí)管理層,科技部門(mén)、風(fēng)險(xiǎn)管理和業(yè)務(wù)部門(mén)共同討論制定，并經(jīng)過(guò)信息科技管理委員會(huì)審查和批準(zhǔn)，并報(bào)董事會(huì)審議。（2）信息科技戰(zhàn)略規(guī)劃應(yīng)該與業(yè)務(wù)發(fā)展規(guī)劃保持一致,為實(shí)現(xiàn)銀行發(fā)展戰(zhàn)略提供緊密的信息科技支持。（3）信息科技戰(zhàn)略規(guī)劃應(yīng)包含但不限于：IT治理建設(shè)的規(guī)劃(關(guān)注于管理組織和制度建設(shè)等),應(yīng)用架構(gòu)規(guī)劃(關(guān)注于應(yīng)用系統(tǒng)的建設(shè)),信息科技基礎(chǔ)設(shè)施規(guī)劃(關(guān)注于基礎(chǔ)設(shè)施建設(shè))。(4)在銀行總體戰(zhàn)略發(fā)生變化時(shí),銀行信息科技戰(zhàn)略規(guī)劃應(yīng)及時(shí)作出相應(yīng)的調(diào)整。(5)銀行應(yīng)定期更新信息科技戰(zhàn)略規(guī)劃。(6)銀行高級(jí)管理層應(yīng)對(duì)信息科技戰(zhàn)略規(guī)劃的落實(shí)情況進(jìn)行監(jiān)督。檢查方法、步驟:（1）調(diào)閱信息科技發(fā)展戰(zhàn)略規(guī)劃或其他中長(zhǎng)期發(fā)展規(guī)劃，關(guān)注相關(guān)規(guī)劃的配合和銜接。（2）訪談信息科技管理部門(mén)負(fù)責(zé)人和相關(guān)工作人員，重點(diǎn)關(guān)注：（a）信息科技發(fā)展戰(zhàn)略規(guī)劃的制定是否有各方面人員參與，是否經(jīng)過(guò)高級(jí)管理層審批；（b）信息科技發(fā)展戰(zhàn)略規(guī)劃的內(nèi)容是否包含了應(yīng)用架構(gòu),基礎(chǔ)設(shè)施,IT治理等方面；（c）信息科技發(fā)展戰(zhàn)略規(guī)劃完成情況、信息科技工作的總體狀況、信息科技工作的薄弱點(diǎn)和問(wèn)題；(d)信息科技戰(zhàn)略規(guī)劃是否依據(jù)環(huán)境變化,總體戰(zhàn)略變更等進(jìn)行調(diào)整。2.3信息科技風(fēng)險(xiǎn)管理部門(mén)檢查項(xiàng)1：信息科技風(fēng)險(xiǎn)管理部門(mén)基本要求：（1）商業(yè)銀行應(yīng)建立全行信息科技風(fēng)險(xiǎn)管理框架，設(shè)立或指定信息科技風(fēng)險(xiǎn)管理部門(mén)，明確相應(yīng)的管理職責(zé)，設(shè)置必要的崗位，配置足夠的信息科技風(fēng)險(xiǎn)管理人員。（2）信息科技風(fēng)險(xiǎn)管理部門(mén)應(yīng)制定信息科技風(fēng)險(xiǎn)管理大綱。大綱應(yīng)清楚描述信息科技風(fēng)險(xiǎn)特點(diǎn)、識(shí)別和評(píng)估流程、持續(xù)的控制措施和報(bào)告處理機(jī)制。（3）信息科技風(fēng)險(xiǎn)管理部門(mén)應(yīng)定期審查各個(gè)相關(guān)部門(mén)和環(huán)節(jié)的信息科技風(fēng)險(xiǎn)控制流程和管理制度，定期檢查制度的執(zhí)行情況，防止出現(xiàn)失控的環(huán)節(jié)和管理制度老化的情況。（4）信息科技風(fēng)險(xiǎn)管理部門(mén)應(yīng)對(duì)重要的信息科技工作環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，定期檢查和上報(bào)信息科技風(fēng)險(xiǎn)控制狀況。（5）信息科技風(fēng)險(xiǎn)管理部門(mén)應(yīng)對(duì)全行員工進(jìn)行持續(xù)的信息科技風(fēng)險(xiǎn)教育。檢查方法、步驟:（1）調(diào)閱信息科技風(fēng)險(xiǎn)管理的相關(guān)政策,流程,管理規(guī)范,工作手冊(cè),以及開(kāi)展信息科技風(fēng)險(xiǎn)管理的記錄,如日常工作記錄、會(huì)議紀(jì)要和風(fēng)險(xiǎn)評(píng)估報(bào)告等。（2）調(diào)閱組織結(jié)構(gòu)圖和職責(zé)說(shuō)明,了解信息科技風(fēng)險(xiǎn)管理部門(mén)的組織結(jié)構(gòu)和人員的配置情況。（3）了解信息科技風(fēng)險(xiǎn)管理部門(mén)的工作情況,包括風(fēng)險(xiǎn)管理框架,評(píng)估標(biāo)準(zhǔn),是否定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估的結(jié)果,主要風(fēng)險(xiǎn)和應(yīng)對(duì)措施等。（4）了解信息科技風(fēng)險(xiǎn)管理部門(mén)和信息科技部,業(yè)務(wù)部門(mén),內(nèi)審部門(mén)和其他相關(guān)部門(mén)的相互協(xié)作情況。(5)了解信息科技風(fēng)險(xiǎn)教育和培訓(xùn)的開(kāi)展情況,并調(diào)閱培訓(xùn)資料和記錄等。2.4信息科技風(fēng)險(xiǎn)審計(jì)部門(mén)檢查項(xiàng)1：信息科技風(fēng)險(xiǎn)審計(jì)部門(mén)基本要求：（1）商業(yè)銀行應(yīng)指定專門(mén)負(fù)責(zé)