銀行信息安全管理檢查步驟方法及方案

銀行信息安全管理檢查步驟方法及方案保證信息安全是商業(yè)銀行的一項重要任務，商業(yè)銀行應在信息技術部門內部設置專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機密性、完整性和可用性。信息安全涉及到人員、管理、技術等各個方面，本章節(jié)主要包含人員安全和管理安全的檢查內容，技術安全方面的檢查內容參見第三部分“基礎設施”部分。提示：在對商業(yè)銀行的信息安全管理進行檢查和評價時，可根據銀行機構的實際情況，按照分類監(jiān)管、循序漸進的原則，合理把握標準與尺度。如，科技人員少、信息系統(tǒng)種類不多的銀行機構，可以不設置單獨的安全管理部門，但應設置專職的崗位；信息技術崗位設置可以彼此兼職，但不相容崗位應分離，做到操作系統(tǒng)管理員、業(yè)務系統(tǒng)管理員及數(shù)據庫管理員彼此分離、網絡管理員和其他系統(tǒng)管理員彼此分離、批量處理人員和業(yè)務數(shù)據庫管理員彼此分離。3.1安全管理機制與管理組織檢查項1：信息分類和保護體系基本要求：商業(yè)銀行信息技術部門應對各類信息系統(tǒng)進行風險評估，根據信息系統(tǒng)的重要程度等因素，建立和實施信息系統(tǒng)分類和保護體系，并保證該體系在銀行內部的貫徹落實。檢查方法、步驟：（1）調閱信息系統(tǒng)分類管理制度，查看相關制度是否建立健全，是否對信息類別和訪問人員的范圍、級別作出明確規(guī)定；（2）檢查商業(yè)銀行是否針對不同的信息系統(tǒng)，制訂了不同的安全防范措施，采取了不同的技術防范手段；（3）檢查商業(yè)銀行是否對信息系統(tǒng)風險進行評估和防范。檢查項2：安全管理機制基本要求：商業(yè)銀行信息技術部門應落實信息安全管理職能。包括：建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，定期向信息技術管理委員會提交本行信息安全評估報告等。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。檢查方法、步驟：（1）調閱商業(yè)銀行信息安全計劃或相關文檔，檢查商業(yè)銀行是否制訂信息安全計劃。（2）分析信息安全計劃，評估商業(yè)銀行信息技術部門能否對信息安全進行持續(xù)、長期和有效的管理，確保信息安全和信息系統(tǒng)安全運行。（3）檢查商業(yè)銀行信息技術部門是否組織培訓和宣傳教育等活動以提高全體員工信息安全意識，是否就安全問題向其他部門提供安全建議。（4）檢查商業(yè)銀行信息技術部門是否對各類信息和信息系統(tǒng)制訂相應的信息安全標準，是否制訂相關的管理策略，是否制訂實施計劃，是否制訂持續(xù)改進、完善計劃。通過訪談了解這些管理策略和計劃是否有效實施。（5）調閱信息安全評估報告，檢查信息技術部門是否定期對本行信息安全進行評估。檢查項3：信息安全策略基本要求：商業(yè)銀行應制訂詳細的信息安全策略，至少包括以下內容：信息安全制度管理、信息安全組織管理、資產管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務連續(xù)性管理、合規(guī)性管理。檢查方法、步驟：（1）調閱商業(yè)銀行信息安全策略，檢查是否制定信息安全策略及其內容是否完整、全面。（2）調閱信息安全管理規(guī)定，查看是否制定信息安全管理規(guī)定以及是否具有相應的實施要求和細則。檢查項4：信息安全組織基本要求：商業(yè)銀行應建立配套的安全管理職能部門，通過管理機構的崗位設置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障。應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；安全管理人員應負責定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據備份等情況。檢查方法、步驟：（1）調閱相關崗位職責說明文件，檢查是否設立系統(tǒng)管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；（2）檢查是否限制安全管理員不能兼任網絡管理員、系統(tǒng)管理員、數(shù)據庫管理員等；（3）查詢相關制度文件和審批記錄，檢查是否根據各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；（4）調閱信息安全檢查記錄，檢查安全管理員是否定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據備份等情況，檢查結果是否及時報告和處理。3.2安全管理制度檢查項1：規(guī)章制度基本要求：商業(yè)銀行應對信息安全風險進行分析、評估；應對信息安全管理工作建立相應的管理制度；應要求管理人員或操作人員嚴格執(zhí)行管理制度，各項操作符合制度要求；應注明安全管理制度密級程度，并進行密級管理；信息安全制度建設應全面涵蓋信息系統(tǒng)的安全風險點，如：用戶管理、物理安全、網絡安全、操作系統(tǒng)安全、數(shù)據庫安全、各類業(yè)務系統(tǒng)安全、客戶端安全、病毒防護、敏感數(shù)據保護、文檔管理等內容。信息安全制度應包含違規(guī)處罰條款；重要工作和崗位應制訂詳盡的管理辦法和工作職責；信息安全制度應包括對服務商的責任和義務要求；信息安全事件報告制度和處理流程應清晰明確；信息安全管理制度應注明發(fā)布范圍，有發(fā)文編號和相關部門的收文記錄；信息安全制度應及時發(fā)布和修訂。商業(yè)銀行應建立完善的信息系統(tǒng)管理制度，管理制度應正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學習掌握。檢查方法、步驟：（1）調閱商業(yè)銀行信息安全管理相關的會議記錄。（2）調閱信息安全相關的制度，查看：(a)是否圍繞著風險分析、評估報告開展制度建設，各項制度能否有效防范風險；（b）已有制度是否涵蓋信息系統(tǒng)的各項風險點，包括用戶管理、物理安全、網絡安全、操作系統(tǒng)安全、數(shù)據庫安全、各類業(yè)務應用系統(tǒng)安全、客戶端安全、病毒防護、敏感數(shù)據保護、文檔管理等內容；（c）是否包含違規(guī)的處罰條款；（d）是否包括針對服務商的管理要求，如職責和義務；（e）是否建立信息安全事件報告制度和處理流程，制度和流程是否清晰和明確；(3)調閱信息安全管理部門職責和工作計劃，查看是否對重要的信息系統(tǒng)安全管理崗位制定了明確的管理辦法和工作職責。（4）信息安全管理負責人員座談，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，檢查是否已經針對上述事件對信息安全制度進行了及時修訂和頒布實施。檢查項2：制度合規(guī)基本要求：信息安全制度應符合國家有關信息技術管理的法律法規(guī)；應符合國家有關信息技術管理的技術標準；應符合銀監(jiān)會有關要求；對于擁有境外機構的銀行，其制度也應符合境外監(jiān)管機構的要求。檢查方法、步驟：（1）調閱信息安全制度，檢查：（a）制度是否遵循國家有關信息技術管理的法律法規(guī)要求；（b）技術性比較強的信息系統(tǒng)安全制度是否低于國家相關標準規(guī)定；（c）審查其是否與銀監(jiān)會相關辦法、要求相沖突。（2）與信息安全管理負責人座談，了解該銀行是否在境外設立分支機構，境外分支機構信息安全制度是否符合所在國、地區(qū)監(jiān)管機構的要求。檢查項3：制度執(zhí)行基本要求：信息技術相關工作應嚴格遵守信息安全制度規(guī)定；對違規(guī)操作的應根據相應條款進行處罰；被處罰管理部門或個人應對違規(guī)操作進行整改；審計部門應對信息安全制度執(zhí)行情況定期進行審計。檢查方法、步驟：（1）與負責信息安全的人員訪談，了解信息安全制度執(zhí)行情況；（2）調閱銀行或部門會議記錄，查看銀行或部門是否對日志、視頻等記錄中出現(xiàn)的違規(guī)操作行為進行過認定，并對違規(guī)人員或部門進行過處罰；（3）調閱銀行或部門會議記錄，查看是否對違規(guī)操作進行過整改，整改的后續(xù)情況如何。對于因制度漏洞造成的風險，是否及時對相關制度進行了修改：（4）調閱內、外部審計資料，查看是否有關于信息安全制度執(zhí)行情況的審計報告；（5）調閱審計文件，查看對信息安全制度執(zhí)行情況的審計頻度和審計內容是否符合銀行要求；（6）調閱銀行或部門文件，查看是否對審計發(fā)現(xiàn)的問題進行過整改落實，后續(xù)的整改落實情況是否符合審計要求。3.3人員管理檢查項1：人員管理基本要求：（1）信息技術的崗位設置應合理，應做到分工明確、職責清晰，重要崗位需要相互制約、監(jiān)督；（2）信息技術人員應無不良記錄；信息技術人員的專業(yè)知識和業(yè)務水平應達到本行要求；應加強對臨時聘用或合同制信息技術人員的安全管理措施；（3）應對信息技術人員權限進行分級管理，關鍵崗位應有AB角；應分離不相容崗位人員職責，不得兼任；（4）信息安全管理崗位應配備專職安全管理員。關鍵區(qū)域或部位的安全管理員應符合機要人員管理要求，對涉密人員應簽訂保密協(xié)議；（5）信息技術人員管理要全面，應包括背景調查、人員招聘、上崗培訓、安全培訓、人員離崗審查、強制休假等方面。檢查方法、步驟：（1）調閱銀行人事制度，了解銀行的信息技術崗位設置情況，是否配備了專門的安全管理崗位；（2）與信息技術管理人員和普通員工進行座談，聽取其對信息技術崗位設置的意見，分析崗位設置是否合理；（3）調閱銀行人事檔案，查看是否建立了信息技術人員的績效考核制度，查看信息技術人員是否有不良記錄；（4）調閱銀行人事檔案和與信息技術從業(yè)人員進行座談，了解信息技術人員的專業(yè)知識和業(yè)務水平；（5）調閱銀行人事管理制度或部門人事管理制度，分析是否有針對正式信息技術人員、臨時聘用或合同制信息技術人員及顧問制定不同的人事管理制度；（6）調閱信息安全管理的相關制度，確認是否對不同信息技術崗位進行了權限劃分和分級管理，并能貫徹落實上述制度和要求。3.4安全評估報告檢查項1：安全評估報告基本要求：商業(yè)銀行應定期對信息系統(tǒng)安全情況進行評估，并提交安全評估報告。當信息系統(tǒng)發(fā)生重大變化時，應及時進行信息安全評估。對安全評估中發(fā)現(xiàn)的問題，應及時整改。檢查方法、步驟：（1）調閱安全評估報告，檢查商業(yè)銀行是否定期對信息系統(tǒng)安全進行評估。如果信息系統(tǒng)發(fā)生重大變化或升級后，是否及時進行信息安全評估：（2）檢查安全評估是否全面，是否覆蓋所有信息系統(tǒng)，是否覆蓋所有信息安全范圍；（3）檢查安全評估報告反映的問題是否及時得到處理或改進。3.5宣傳、教育和培訓檢查項1：宣傳、教育和培訓基本要求：高管層、信息安全管理部門負責人應知曉信息安全政策；銀行應加強對客戶的信息安全重要性的宣傳教育工作；銀行應定期組織員工進行信息系統(tǒng)安全重要性教育；銀行應組織員工學習基本的信息系統(tǒng)安全管理制度；信息技術人員應掌握與其崗位相關的信息安全管理制度。檢查方法、步驟：（1）與高管層、信息安全管理部門負責人座談，了解是否知曉本銀行的信息安全政策；（2）與高管層座談，了解銀