




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、前言信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的 重要手段。银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维 系整个银行业的安全和金融体系的稳定具有至关重要的作用。银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做 出重要批示和指示,明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、 管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制 度建设和风险监控,确保银行业信息系统安全稳定。在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的 新形势下,
2、银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路, 突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息 科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性 地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管 的基础框架,全面展开信息科技风险的监管工作。按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加 强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资 源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工
3、作组”,又在上 海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工 作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式 的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。手册的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、 河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加手册编写工作;银监会各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。 整个手册内容融合了银
4、监系统内信息科技人员的经验和智慧,汇聚了银监会各部门与各 银监局的宝贵意见和建议,应属于银监会系统及科技人员共同努力的成果和结晶。在此,向 所有参与工作的单位和个人致以诚挚的谢意!编写人员目 录第一部分 概述. 21. 银行信息科技风险及其监管 . 21.1 银行信息科技风险 .21.2 银行信息科技风险特点 .21.3 风险成因分析 .31.4 信息科技风险监管意义 .42. 现场检查一般流程 . 52.1 现场检查准备阶段 .52.2 现场检查实施阶段 .72.3 现场检查后续阶段 .83. 常用检查方法 . 9第二部分科技管理. 114. 科技治理 . 114.1 董事会及高管层 .11
5、检查项 1 :董事会和高级管理层. 114.2 信息科技工作的管理机构 .12检查项 1 :全行信息科技工作的管理机构 . 124.3 信息科技部门 .13检查项 1 :信息科技部门. 134.4 信息科技战略规划 .15检查项 1 :信息科技战略规划. 154.5 信息科技风险管理部门 .15检查项 1 :信息科技风险管理部门 . 154.6 信息科技风险审计 .16检查项 1 :信息科技风险审计机制 . 164.7 知识产权保护 .17检查项 1 :敉识产权制度. 174.8 信息披露 .17检查项 1 :信息披露 . 175. 连续性管理 . 185.1 信息系统连续性组织 .18 检查
6、项 1:系统连续性管理组织. 18 检查项 2:系统连续性管理组织职责 . 19 检查项 3:系统连续性计划编制、维护. 20 检查项 4:系统连续性计划编制、维护职责 . 20 检查项 5:系统连续性计划执行组织 . 20 检查项 6:系统连续性计划执行组织职责 . 21 检查项 7:人员变动管理. 225.2 信息系统连续性计划 .22 检查项 1:系统连续性计划 . 22 检查项 2:测试及持续更新 . 24 检查项 3:信息系统连续性计划管理 . 25 检查项 4:系统连续性计划培训. 25 检查项 5:系统连续性计划审计. 256. 应急管理 . 266.1 应急组织 .26 检查项
7、 1:应急管理团队. 26 检查项 2:应急管理职责. 27 检查项 3:应急管理制度. 276.2 应急预案 .27检查项 1:应急预案制订. 27检查项 2:应急预案内容. 28检查项 3:应急预案更新. 29 检查项 4:外包服务应急. 29 检查项 5:应急培训. 296.3 应急演练 .30 检查项 1:应急演练前 . 30 检查项 2:应急演练过程. 30 检查项 3:应急演练后 . 306.4 应急响应 .31 检查项 1:应急响应流程. 31 检查项 3:应急事件报告. 32 检查项 4:与第三方沟通. 32 检查项 5 :向新闻媒体通报制度. 32 检查项 6:应急处置总结.
8、 336.5 应急保障 .33 检查项 1:人员保障. 33 检查项 2:物质保障. 33 检查项 3:技术保障. 34 检查项 4:沟通保障. 346.6 持续改进 .34 检查项 1:应急事件评估、改进. 34 检查项 2:应急响应评估. 35 检查项 3:应急管理评估. 35 检查项 4:纳入全面风险管理机制 . 357. 信息系统安全管理 . 357.1 安全管理组织 .36检查项 1:管理目标. 36检查项 2:人员风险. 367.2 安全管理制度 .37 检查项 1:规章制度. 37 检查项 2:制度合规. 38 查项 3:制度执行. 38 检查项 4:宣传和教育培训 . 39 检
9、查项 5:事件响应和处理 . 398. 外包管理 . 408.1 服务外包管理制度 .40 检查项 1:服务外包管理制度 . 40 检查项 2:对重要外包项目评估. 41 检查项 3:外包安全保密措施 . 418.2 服务外包管理风险评估 .41 检查项 1:对服务外包商评估 . 41 检查项 2:对服务外包商审查 . 428.3 服务外包审批 .42检查项 1:服务外包审批流程 . 428.4 服务外包应急响应 .42 检查项 1:服务外包应急计划 . 42 检查项 2:服务外包商联络机制. 43 检查项 3:服务外包应急演练 . 438.5 外包合同 .43 检查项 1:外包合同. 43
10、检查项 2:服务外包商访问权限. 44 检查项 3:外包服务法律风险 . 448.6 服务外包文档的完备性 .45检查项 1:服务外包文档. 459. 审计监督 . 459.1 内部审计 .45 检查项 1:信息科技审计制度 . 45 检查项 2:内部审计的范围、频率 . 46 检查项 3:审计质量控制. 46 检查项 4:审计结果的有效性和持续性. 479.2 外部审计 .47检查项 1:内部审计与外部审计的协调. 4710. 开发变更管理 . 4810.1 开发管理.48 检查项 1:制度建设. 48 检查项 2:管理架构. 49 检查项 3:项目控制体系. 49 检查项 4:系统开发的操
11、作风险. 5010.2 系统测试与上线.50 检查项 1:系统测试. 51 检查项 2:系统验收. 51 检查项 3:系统上线. 5210.3 系统升级变更.52 检查项 1:制度建设. 52 检查项 2:管理架构. 53 检查项 3:测试体系. 53 检查项 4:紧急变更控制措施 . 5410.4 系统下线.54 检查项 1: 制度和流程建设 . 54 检查项 2: 操作管理 . 5511. 系统运行管理 . 5511.1 日常运行管理 .55检查项 1:运行部门和岗位设置. 55 检查项 2:信息科技部门人员管理 . 55 检查项 3:信息科技部门人员培训 . 56 检查项 4:系统用户的
12、管理 . 56 检查项 5:系统性能的监控 . 56 检查项 6:信息系统配置的管理. 57 检查项 7:系统设置参数的更改. 57 检查项 8:设备和介质的生命周期管理. 57 检查项 9:日志管理. 57 检查项 10:问题管理. 58 检查项 11:服务台管理 . 58 检查项 12:呼叫中心. 58 检查项 13:桌面管理. 5911.2 日常运行的监督 .59 检查项 1:规章制度及信息安全控制执行情况的检查. 59 检查项 2:运行报告. 5911.3 可靠性运行管理 .60 检查项 1:单点故障的排查 . 60 检查项 2:信息系统漏洞导致业务失控的风险排查. 60 检查项 3:
13、数据的管理 . 6011.4 安全运行管理 .60 检查项 1:对已获敉的外部安全问题信息的反应 . 61 检查项 2:信息安全事件的响应. 61 检查项 3:信息安全设备的完备性 . 61 检查项 4:信息安全的管理工具. 61 检查项 5:病毒的检测和预防 . 6211.5 保密运行管理 .62检查项 1:数字签名和认敃的安全性 . 62 检查项 2:口令的管理 . 62 检查项 3:交易的验敃 . 63 检查项 4:数据的加密 . 6312. 灾难备份管理 . 6312.1 灾难恢复的总体控制 .64检查项 1:灾难恢复的规划 . 6412.2 灾难恢复的组织机构 .64 检查项 1:灾难恢复的组织机构. 64 检查项 2:灾难恢复领导小组职责 . 64 检查项 3:灾难恢复规划实施小组职责. 65 检查项 4:灾难恢复日常运行小组职责. 6512.
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 单招考试往年试题及答案
- 政治科高考重大热点问题简析
- 行政查房考核方案(3篇)
- 大学生暑期生活总结
- 日照银行面试试题及答案
- 购销合同补充协议书范文
- 辽宁省考行测试题及答案
- 卫生院健康体检活动的精准服务与个性化方案
- 铁矿企业的市场营销与品牌推广考核试卷
- 肥料在农业面源污染防治中的贡献考核试卷
- 深圳2025年深圳市住房公积金管理中心员额人员招聘8人笔试历年参考题库附带答案详解
- 2025CSCOCSCO宫颈癌的诊疗指南更新
- 委托投资协议范本
- 厂房物业托管协议书
- 2022联合国电子政务调查报告(中文版)
- 物业费结算及社区养老服务机构合作协议
- 2025人工智能工程师笔试题及答案
- 语文中考文学类文本托物言志专题复习教学设计
- 安徽省合肥市2025届高三下学期5月教学质量检测(三模)英语试卷(含音频)
- 贵州国企招聘2025贵州乌江煤层气勘探开发有限公司招聘16人笔试参考题库附带答案详解
- 放射科出科试题 及答案
评论
0/150
提交评论