商业银行分支机构信息科技风险快速巡查单

1、 PAGE PAGE 15 / 15商业银行分支机构信息科技风险快速巡查单文档版本V1.0一、基本信息巡查承担机构： 被巡查机构：巡查目的： 巡查员：巡查日期：二、巡查方法现场巡查以访谈、实地查看为主，抽样查阅资料、安全测试为辅，其中抽样规则原则上定义为：文档或记录类型的资料，如会议记录、演练记录等，抽样数以近三个月巡查项总数 的 5为抽样基准；如出现小数点，以四舍五入取整数；如果计算出的抽样数小于2255设备类、系统类原则上抽样5台（套，同时注意样本分布结构；3三、巡查内容：第一部分：组织架构1. 信息科技风险“三道防线”是否完整？1. 信息科技风险“三道防线”是否完整？风险控制部负责整体信

2、息科技风险: 是 否科技部负责信息科技工作日常防范:审计部承担信息科技审计职能: 是是否否备注（事实依据：巡查方法：巡查方法：访谈需关注的问题（根据需要填写）:2. 高管层在信息科技工作中履职是否到位？2. 高管层在信息科技工作中履职是否到位？有主管科技工作的行级领导:有无高管层对监管部门的监管制度较为了解:进行信息科技重大投入决策:是 否是否审阅信息科技年度工作报告和工作计划：是审阅信息科技风险评估报告并组织制定风险控制策略：是否否审阅信息科技审计报告并督促整改：是 否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:3. 是否建立完整的信息安全管理组织架构，并正常开展工作？

3、3. 是否建立完整的信息安全管理组织架构，并正常开展工作？设立信息安全岗位负责机构信息安全的日常管理工作：是 否定期开展信息安全管理开展工作并有相应的文档资料：是 否制定信息安全责任制度：员工信息安全职责明确：有无是否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:4. 科技岗位设置是否符合规定？4. 科技岗位设置是否符合规定？信息技术部科室、岗位设置按照总行要求进行：是 否项目维护人员有角设置：是 否关键业务操作（如：重要密码输入、重要参数修改等）采用双人进行：是 否信息科技运行与系统开发和维护分离：是 否备注（事实依据巡查方法：访谈需关注的问题（根据需要填写）:5. 是否

4、进行人员安全管理？5. 是否进行人员安全管理？招聘新员工时，要求技术人员具备良好的职业道德，并掌握履行信息系统相关岗位职责所需的专业知识和技能：是 否技术人员未经岗前培训或培训不合格者不得上岗：是 否经考核不合格的技术人员，和时进行调整：是 否与重要岗位人员签订保密协议：是当技术人员调离重要岗位时按保密协议对其设置脱密期，并进行审查：是否否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:6.制度落实情况如何？以适当的方式将监管部门和上级行的信息科技工作要求传达给所有员工：是 否根据监管部门和上级行的制度要求制订适合实际的操作流程和实施细则：是 否6.制度落实情况如何？以适当的

5、方式将监管部门和上级行的信息科技工作要求传达给所有员工：是 否根据监管部门和上级行的制度要求制订适合实际的操作流程和实施细则：是 否总行或分行对制度的落实情况定期进行检查,有详细的检查报告：定期对技术人员进行信息安全教育培训,如：防病毒、网络攻击等： 员工熟悉和了解各自岗位的信息安全要求：是 否是 否是 否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:7.是否确保软件产品在授权准许下使用？是否备注（事实依据巡查方法：抽样需关注的问题（根据需要填写）:第二部分：机房管理1.1.新(改)建机房建设是否符合规定？ 可行性报告：有无向监管部门报告：是 否获得总行的批复：是 否获得总

6、行的批复：是 否通过有资质的质检部门和消防部门等有关部门的检查验收：是 否按照功能区域实现不同等级的物理分区：是 否备注（事实依据：巡查方法：实地查看和查阅资料需关注的问题（根据需要填写）:2.2.机房监控是否有效？电视监控录像的保存时间达到 3 个月：是 否监控覆盖哪些重要场所：主机房网络机房电源室运行、监控值班室中心机房走道外门部分业务部门的重要机房（银行卡打卡室、SWIFT 室） 摄像头电源由UPS 专线供电：是 否重要场所监控是否无死角：是 否备注（事实依据：巡查方法：实地查看和抽样需关注的问题（根据需要填写）:3.3.机房网络布线是否整齐？机柜上方和地板下方用线槽整齐：是 否机柜内线

7、整理整齐：是 否机房各类布线贴有标签：是 否标签内容规范：是 否标签位置合理：是 否备注（事实依据：巡查方法：实地查看需关注的问题（根据需要填写）:4.4.中心机房是否落实值班要求？24是 否科技部门已安排 7*24 小时在行值班：是 否值班人员记录所有可疑故障和实际发生的事故，并同时记录处理过程、处理人、处理时间、影响业务时间：是 否出入机房已实行审批登记：是 否出入机房已实行审批登记：是 否机房运行值班人员与开发、维护人员分离：是 否值班人员定期进行巡检：是 否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:5.机房是否实行门禁管理？制、读卡等门禁管理工作统一管理：是 否

8、5.机房是否实行门禁管理？制、读卡等门禁管理工作统一管理：是 否生产机房采用门禁系统：进入生产机房实行书面授权：是 否是 否外来人员进入机房采取的控制措施：严格授权专人陪同固定区域规定时间禁止摄影、录像、录音或其他记录设备备注（事实依据巡查方法：访谈需关注的问题（根据需要填写）:6.机房是否实行消防安全管理？消防报警系统是否年检并有证书：是 否配备灭火器并按规定定期检查灭火器材：是 否定期进行消防演练和培训并保存相关记录：是 否使用何种类型的消防灭火器材（在备注栏填写具体型号备注（事实依据：巡查方法：访谈和实地查看需关注的问题（根据需要填写）:7.机房照明是否有保障？机房内有应急照明：是 否应

9、急照明接入UPS：是 否机房内视频监控的区域有值班照明：是 否视频监控区域值班照明接入UPS：是 否备注（事实依据：巡查方法：实地查看9.机房其他供电情况是否可用？9.机房其他供电情况是否可用？发电机功率能保证对机房UPS 供电：是 否未配备发电机使用其他供电保障措施或方案（备注填写供电保障措施：是 否备注（事实依据： 巡查方法：需关注的问题（根据需要填写）:需关注的问题（根据需要填写）:8.8.机房 UPS 供电是否有保障？机房配电系统为双路供电： 是 否UPS 为机房设备供电专用： 是 否供电系统设置防雷击保护装置：是 否UPS配备模式： N+12N+1UPS 供电范围：主机系统网络通讯设

10、备值班照明应急照明UPS 负载小于有效输出功率的 80%：是 否UPS 满载后备时间大于 30 分钟：是 否UPS 电池定期放电检测:是 否UPS备注（事实依据：巡查方法：访谈和实地查看需关注的问题（根据需要填写）:发电机定期保养（备注填写本季度保养的时间和内容：是否发电机定期进行切换演练：是 否发电机切换演练有记录：是否发电机为机房UPS 供电备份专用： 是 否10.10.机房空调管理是否符合要求？机房温度控制在 22左右：是 否机房湿度在 45%-65%： 是 否发电机为机房UPS 供电备份专用：是 否发电机是否为机房空调供电：是 否B 类机房精密空调控制模块配置是N+1 冗余方式：是 否

11、定时检查机房温度和湿度：是否空调设备有专业公司进行维护保养：是否备注（事实依据：巡查方法：访谈和实地查看需关注的问题（根据需要填写）:漏水报警装置正常工作：是否设置防鼠害的有关措施：是否备注（事实依据：巡查方法：访谈和实地查看需关注的问题（根据需要填写）:11.机房其他防护设施是否符合要求？11.机房其他防护设施是否符合要求？机房内地面、天花板和墙面有无渗漏水：有无1.运维管理是否符合安全要求？1.运维管理是否符合安全要求？非正常工作时间进出工作场所经过批准且有相关记录： 有无禁止异地远程维护生产系统和生产数据（除总行之外：是备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:2

12、.是否实施变更管理？变更管理有严格的授权办法、操作流程： 有无生产变更在非工作时段或业务空闲时段进行：是生产变更有书面计划：否是 否变更经过测试、审批、上线、验收：是 否生产变更双人操作、复核：是 否有无有无备注（事实依据：巡查方法：访谈和抽样需关注的问题需关注的问题（根据需要填写）:3.是否实施备份管理？前置机和重要信息系统的操作系统、日志、应用程序、数据库、生产数据、配置信息定期进3.是否实施备份管理？前置机和重要信息系统的操作系统、日志、应用程序、数据库、生产数据、配置信息定期进行备份：是否定期对备份的可用性进行检查或抽查并做记录：是否备份的传送、存放、使用和销毁符合规定：是 否备注（事

13、实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:4.是否实施网络管理？制定网络运行管理的相关规定、操作流程：是否规范记录或者监控网络配置修改等维护修改操作：是否各部门计算机经相关部门批准后方可接入国际互联网：是 否本机构与总行、网点、灾备中心通讯线路有备份：有无本机构与重要外联单位（如银联等）通讯线路有备份：有无定期检查备份通讯线路：是 否网络故障有记录和原因分析：有无备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:5.是否实施安全产品管理？安全专用产品属于总行统一选型：是否安全专用产品和时进行升级和维护并登记备案：是否使用总行统一的网络防病毒产品：是 否所有 wi

14、ndows 终端和服务器均安装病毒防护软件：有无定期进行防病毒软件升级：是否建立病毒发现响应策略和处理流程：部署安装IDS，控制台正常：是 否是否对 IDS 日志记录进行分析：是 否本机构与外联单位网络边界部署防火墙：是 否备注（事实依据备注（事实依据： 巡查方法：需关注的问题（根据需要填写）:6.6.是否实施设备管理？存储机密、秘密资源设备维修、更换或报废时：删除数据拆除涉密部件废弃、销毁含机密资源或秘密资源的介质有审批手续和登记记录：有不使用互联网计算机处理涉密材料和储存秘密级以上文件：是否离开办公座位时，工作桌面上所有内部资料、存有机密或敏感信息的磁盘或其他可移动介质等妥善锁入文件柜中或

15、存放在指定的保险箱中，并锁定计算机：移动存储设备使用符合规定：是否是否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:7.是否采取措施避免信息泄露？不存在敏感信息泄漏的现象（IP等：是否生产系统设置带密码的屏幕保护：是否系统无人使用时，处于锁定状态：是否采用专人监控，屏幕密码保护等措施：是否网点自助区不存在网线、端口外露的现象：是否备注（事实依据：巡查方法：访谈和实地查看需关注的问题（根据需要填写）:对公共开放区域的信息设备采取有效的保护控制措对公共开放区域的信息设备采取有效的保护控制措（如网点营业厅等公开区域的设备是否1.1.是否建立多部门一体的应急处理指挥体系？建立了突发

16、事件管理小组以负责管理突发事件:是 否突发事件管理小组成员包括机构业务、科技和保障部门人员:是 否建立突发事件管理指挥中心，为突发事件管理小组提供必要的工作场地和设施:是否建立突发事件恢复工作小组，并在所有的重要环节指定了替补人员：是否备注（事实依据：巡查方法：访谈需关注的问题（根据需要填写）:2.是否制定应急预案并定期演练？制定相关技术应急预案和操作流程:是 否2.是否制定应急预案并定期演练？制定相关技术应急预案和操作流程:是 否应急预案符合重要信息系统突发事件应急管理规范要求:是 否制定业务恢复优先级列表:是 否与总行相关联系人建立了正式的沟通联络机制：是 否（商业合作伙伴、服务提供商等）

17、:是 否应急预案定期进行演练（备注（事实依据：巡查方法：访谈和调阅资料需关注的问题（根据需要填写）:3.是否对重要信息进行有效管理？对重要业务进行业务应急恢复时需要的重要信息进行了明确定义或非电子介质上的信息（各业务应用数据库和渠道日志等对认定的重要信息档案实行有效备份和异地保管:是 否严格控制重要信息档案的调取，保证其对业务抢修时的可靠性:是 否备注（事实依据巡查方法：访谈需关注的问题（根据需要填写）:4.是否对应急预案进行测试与更新？每年至少对重要系统的应急预案进行一次测试，是否留有相关记录（包括测试方案、测试环境、测试流程和测试结果）:境、测试流程和测试结果）:检查应急预案中主要联络方式

18、是否和时得到更新:是是否否应急预案文档备份实行异地保管:是 否备注（事实依据：巡查方法：访谈需关注的问题（根据需要填写）:5.5.是否对重大突发事件进行管理？建立了重要安全事件上报制度和流程:是 否对重大突发事件进行记录:是 否备注（事实依据： 巡查方法：需关注的问题（根据需要填写）:第五部分：外包管理1.1.是否建立外包管理机制？建立外包管理制度:是明确界定允许外包的内容、范围和活动:是否否重要信息科技外包协议经过信息科技风险管理部门、法律部门的审批:是 否备注（事实依据：巡查方法：访谈和抽样需关注的问题（根据需要填写）:2.2.是否进行外包人员管理？外包人员进场前学习关于外包人员管理的规章

19、制度，并签署保密承诺书:是 否完整统计外包人员信息:是 否定期对外包人员的履职情况进行检:是 对违反保密义务、工作规范或有其他重大违规行为的外包人员坚决辞:是 否外包人员设备（如：自带的计算机、便携机、移动通信设备、集线器等）行网络:是 否备注（事实依据备注（事实依据： 巡查方法：需关注的问题（根据需要填写）:3.3.自助设备的维护是否经过授权并严格管理？严格控制将自助设备交第三方（外公司）来进行维护:是第三方维护合约、维护的内容、采取的安全措施是否详细到位:是第三方进行维护时由本行人员陪同:否否:是 否是否限制对重要数据进行访问:是 否备注（事实依据：巡查方法：访谈需关注的问题（根据需要填写）:全措施:是否在将安全设备维护外包前，得到相关业务部门的同意:是否备注（事实依据：巡查方法：访谈需关注的问题