2006年度银行业金融机构信息科技风险评价审计要点(共5页)

1、精选优质文档-倾情为你奉上2006年度银行业金融机构信息科技风险评价审计要点前 言 为防范银行业金融机构信息科技风险，保障信息系统运行和操作安全，根据中国银监会银行业金融机构信息系统风险管理指引，提出对银行业金融机构信息科技风险内部和外部审计要点，以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理和控制，强化银行业金融机构作为信息安全第一责任人的责任，建立和完善信息科技风险管理机制，进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围，制定审计计划、实施审计行为并提供审计报告。 一、信息科技治理和组织结构目的：确立信息科技治理、组织结构

2、和相关权责，使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果；在充分考虑银行业金融机构及其服务供应各方的变化的基础上，采取有针对性措施加强信息科技治理和组织结构。 (一)制度建设 1、信息科技管理制度体系的建设情况； 2已发布实施的主要制度规章和管理办法；3管理制度规章和管理办法的制定、审批和修订流程 (二)组织结构 1信息科技管理的领导和决策机构设置，其职能和工作机制； 2长期和短期信息科技发展规划的制定、审批和修订； 3信息科技部门的设置、职责和相互关系，重点包括：系统开发、技术支持、系统操作维护和系统安全； 4专门的技术风险管理部门设

3、置，其职责和工作机制； 5技术风险审计部门或岗位设置，审计频率以及问题纠正机制情况： 6信息科技人员的专业素质和培训情况；7信息科技风险内部审计人员的素质和培训情况。 二、信息安全管理目的：充分考虑与信息科技系统相关的风险，维护金融业务的正常操作：保证被认可的用户能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息；确保数据和系统的完整性、机密性和稳定性等。 (一)信息安全基本要求 l. 信息安全工怍的基本原则、基本规划； 2. 信息安全管理的流程、组织架构和职责分配； 3信息安全的技术体系； 4. 信息安全风险评估和分级控制； 5信息安全的教育培训，包括法规教育、安全知识教育和职

4、业道德教育等。 (二)逻辑访问的风险与控制 1访问控制原则； 2访问授权的授权与核准； 3. 逻辑访问风险的定义、分类和应对措施； 4访问控制软件的使用情况；5磁卡、钥匙和口令密码等重要身份凭证的管理。 (三)网络安全控制 1内网的安全管理(Intranet的接入安全)； 2 外网的安全管理(Internet和Extranet的接入安全)； 3加密技术应用和私钥的管理： 4防火墙的设置、维护和管理：5入侵检测系统。(四)环境的风险和控制1消防及防水设施：2不间断电源保护：3人员疏散计划和通道。(五)物理访问的风险与控制1出入通道锁具的可靠性：2. 摄像监测设施、警报系统和警卫配备；3访客、外包

5、服务人员、勤务人员出入管理规定；4入口数量控制；5计算机终端无人看管时的锁定；6敏感性设施及场所的标识隐匿；7文件柜的锁定和监控(六)软件的风险与控制1软件的病毒防护和管理；2软件的升级和补丁管理；3软件使用许可和授权管理。 三、信息科技项目开发和变更管理 目的：提高信息科技管理效率，实现信息科技对主体业务发展的有效支持保证信息科技与企业战略的协调一致。 (一)项目开发管理 1项目管理的主要规章制度，包括：项目的审批流程，参与部门的职责划分、时间进度和财务预算管理、质量检测、风险评估等； 2项目周期管理的涵盖范围，包括：立项、可行性分析、制定需求、方案设计、程序开发系统测试、系统验收、使用培训

6、、实施操作和维护等；3开发环境、测试环境、生产环境严格分离情况；4. 外部技术资源(包括软件、硬件、服务等)管理，包括申请、测评、购买(合同)、使用等。 (二) 项目变更管理 1变更管理的主要规章制度； 2变更管理的审批授权机制和工作流程：3. 变更管理的登记、备案和存档； (三) 项目资料文档管理体系 1项目资料文档的管理职责； 2资料文档的起草和审批职责； 3资料文档格式标准化规范： 4程序资料文档的完整保存：程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等； 5项目资科文档的完整保存：项目需求、可行性分析、阶段实施记录(启动、计划、设计、开发、测试、实施

7、、后评价等)。 (四) 系统设计开发外包缺陷风险管理 1代码检查； 2文档管理 (包括：功能规则说明书，系统设计规则说明书，操作运行手册)；3. 技术传送 四 、信息系统运行和操作管理 目的：保证当前和规划的信息科技营运体系能够充分满足董事会及高级管理层战略目标实现的需要，围绕战略目标合理配置人力资源、系统设备和管理资料，建立并完善适当的内部控制环境，并依照规范程序有效识别、测量、控制和化解操作风险。 (一) 信息系统运行体系建设情况 1. 信息系统运行体系的组织架构； 2. 信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则； 3. 对于银行核心业务系统的持

8、续性或阶段性监测：响应时间和处理量、系统承载能力、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值，系统使用趋向和容量等。 (二) 操作环境控制和预防性维护情况 1信息科技资产清单登记，包括计算机设备(供贷商和型号)、网络组件、应用和系统软件(品名、发布日期和版本号)、应用处理模式(实时处理、批赴理和延时处理)； 2对信息系统性能和容量的管理： 3 制定反映各类连接物理位置和交互关系的系统图和拓扑图； 4. 信息系统环境控制和预防性维护应对方案，包括：不间断电源、不间断网络通信、物理环境适宜度控制(温度、灰尘湿度等)、计算机连线、消防、防渗水、内部和服务商日常预防性维护的管理等。 (

9、三) 生产变更管理 l. 变更管理的主要准则和规章制度： 2. 变更管理的审批授权机制和工作流程： 3. 变更管理的登记、备案和存档；4. 非计划性紧急变更的实施方案、备份和恢复。 (四). 信息科技操作风险控制措施 1信息系统操作风险控制机制和流程； 2人力资源管理方案：对所有敏感性岗位人员的持续性背景检查，充分的职责分离和岗位轮换，有效避免人员过度流失的政策有效的岗位职权中止规定； 3信息资料档案管理：对信息输出文件的控制和管理(电子和纸质文档的调阅、打印、复制、存放、销毁等)。信息文件的传输管理(网络隔离、加密技术的应用)存储介质废弃和处理，内容的备份和恢复等。 (五) 日志管理 1对网

10、络设备、防火墙、主机、数据库等系统产生的日志实现100%的采集；2. 对采集的日志设定的保存期限；3. 日志资料的安全保护和调阅管理制度；4. 日志监控和管理的岗位和人员设置情况。 五、业务持续性规划 目的：制定并不断完善书面的信息科技系统风险应急处理方案，使信息科技风险管理涵盖整个机构的信息科技系统的管理、维护、重启、恢复等各环节。 (一) 董事会和高级管理层在业务持续性规划中的职责和工作机制1.规划与业务发展策略的一致性； 2.资源和专业人员的配备情况； 3 管理体系架构和风险控制策略制定情况；4. 商业保险的使用和覆盖情况； (二)业务持续性规划的制定和实施 1.业务持续性规划的涵盖范围； 2. 预测性的业务影响分析机制； 3. 业务恢复的组织机构和应对措施；4业务持续性规划中涉及的各类文档和资料管理。 (三) 备份中心的管理与操作 1 备份中心的建设、配置、组织机构和操