商业银行信息科技风险现场检查指南之欧阳学创编

欧阳学创编欧阳学创编欧阳学创编欧阳学创编商业银行信息科技风险时间：2021.03.03创作：欧阳学现场检查指南目录第一部分概述指南说明目的及适用范围信息科技与银行业务高度融合，已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时，银行业对信息科技的高度依赖，使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求，与时俱进，大力加强信息科技风险监管，充分利用现场检查这一监管手段，深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况，发现问题、排查隐患，督促银行及时整改。商业银行信息科技风险现场检查工作，既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法，也是对银行机构信息科技风险状况进行准确分析和评价的重要手段，对及时预警风险，提高银行机构信息科技风险管控能力和水平，保护存款人和公众利益，维护金融体系安全和稳定有着重要的意义。为提高信息科技风险现场检查质量，规范检查行为，银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下，全面总结信息科技现场检查经验，充分借鉴国外监管机构的检查规范和最佳实践，编写了《商业银行信息科技风险现场检查指南》（以下简称《指南》）。《指南》编制的主要目的在于：一是明确了商业银行目前主要的信息科技风险领域、主要风险点，阐明了检查思路和主要方法，帮助检查人员明确检查目标，从而提高信息科技风险现场检查的有效性和针对性，提升现场检查质量，为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准，并提出了具体的检查要求和步骤，进一步规范了信息科技风险现场检查的程序、手段和行为，是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点，提出了风险识别、预警和控制的具体手段，商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想，应用到银行信息科技建设和管理实践中，成为指导银行全面开展科技风险防控、提升管理能力的有力武器。《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查，应考虑区域经济水平、机构规模与公司治理结构差异，按照本指南的风险防控原则，结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。编写原则一、突出风险为本的监管理念。《指南》坚持法人监管、风险为本的监管理念，紧扣信息科技风险这一中心，详细说明了商业银行信息科技风险管理中的300多个关键风险点，明确提出了具体的控制要求和检查方法、步骤，涵盖了商业银行信息科技风险管控的各个方面和环节。二、坚持分类监管的原则。《指南》参照相关行业标准和规范，指出了商业银行信息科技风险控制所应达到的标准，同时兼顾不同类型银行机构的特点体现分类监管原则，针对不同的被检查主体，在检查目标上有所区别和侧重，以便于监管人员正确把握检查标准和尺度，对商业银行的指导更具有针对性。三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念，也充分吸收了国内先进银行的成功经验，商业银行可以对照《指南》分析差距，将《指南》要求作为持续提高信息科技风险管控水平的目标。指南框架《指南》强调：商业银行信息科技风险管理应以科技治理为核心，通过完善科技治理架构，形成有效内控机制，将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。《指南》包含4个部分和附录，共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节，提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节，提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节，提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。附录包含4个章节，收录了常用检查方法和常用操作命令，常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。第二部分科技管理信息科技治理商业银行的董事会和高级管理层应根据本银行的发展战略，运用先进管理理念加强信息科技治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续发展能力。提示：在对商业银行的信息科技治理情况进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，有的银行机构还不具备建立专门信息科技管理委员会的条件时，可以指定其他委员会暂时代行其职责，也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担其职责。又如：在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时，可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。董事会及高级管理层检查项1：董事会基本要求：(1)董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:⑶董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险；。)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程；(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。检查项2：信息科技管理委员会基本要求：(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2)信息科技管理委员会的职责应包括:(a)设定全行IT战略目标，指导IT方面的资金投入，对IT规划进行审批；(b)合理运用现有资源，指导信息科技部门提供高质量的IT服务，同时要监督IT成本管理情况；©通过调整IT项目和活动的优先级解决资源短缺造成的冲突；⑼确保IT战略的及时更新；(e)对主要的IT政策、标准、原则进行审批；⑴对重要的IT项目和活动进行监控；(g)监督和管理IT绩效，确保达到预期IT服务水平；(⑴对重大IT项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况,面临的主要风险及其应对措施等。检查方法、步骤：(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(@)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。检查项3:首席信息官(CIO)基本要求：(1)商业银行应建立首席信息官制度，明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作：信息科技预算和支出，信息科技政策、标准和流程制定及执行，信息科技内部控制、专业化研发，信息科技项目管理，信息系统和科技基础设施的建设、维护和运行管理，信息安全管理，应急管理和灾难恢复计划，信息科技外包和信息系统退出等。（6）首席信息官应确保信息科技人才队伍具备充分的专业技能。检查方法、步骤：（1）访谈首席信息官，关注以下内容:⑶银行的信息科技战略及其与业务战略的一致性；（b）银行目前面临的主要信息科技风险和应对策略；。）银行未来1-3年的信息科技发展规划;9）首席信息官开展了哪些主要工作;（。）首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;（f）首席信息官对银行信息科技领域主要问题的了解情况和应对计划；&）首席信息官如何对信息科技部门的活动和绩效进行监控。（2）查阅相关文档资料，如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要,信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。信息科技部门检查项1：信息科技部门基本要求：（1）商业银行应建立与银行业务相适应的信息科技部门，负责信息科技产品的开发、外包、测试、上线和变更，负责相应信息系统的运行、维护和安全，为银行提供信息科技业务产品。（2）信息科技部门应该根据工作内容，制定完整的内部工作流程和内控制度，建立与相关职能部门之间的协调配合机制，保证信息科技工作的有序、高效。（3）信息科技部门应定期分析评估信息系统生命周期各阶段的风险，制定风险防控策略、措施和检查流程，切实做好信息科技风险管控。（4）信息科技部门所配置的信息科技人员的数量应适应业务及IT发展水平，能保证各个信息系统和各项信息科技工作安全持续地运转。信息科技部门应做好科技人员管理，注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录，具备相应的专业知识技能。（5）信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍，应做好信息科技开发管理，以及相关的外包服务管理、知识产权管理和开发环节的风险管理，为银行提供安全的信息科技业务产品。（6）信息科技部门应建设好银行信息科技系统安全连续运行的环境（包括场地、设备、网络、系统、数据安全、访问控制和管理制度等），做好各种环境的监测控制，做好事件、问题管理和变更管理，做好紧急事件应急预案。（7）信息科技部门应严格遵守国家各项安全管理制度，配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度，协助做好业务部门信息科技风险控制和安全教育。检查方法、步骤:（1）调阅信息科技部门的各项工作流程和规章制度。（2）调阅信息科技风险管理政策和制度。（3）调阅信息科技部门的组织结构图,岗位职责说明。（4）访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员，关注以下内容：（4）信息科技部门内部设置了哪些条线？各条线是否实现了必要的职责分离,如开发团队和运行团队分离,信息科技人员不从事业务操作，有专门的团队开展安全检查等；（b）信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能；（c）问题和风险的报告路线、流程和处置效率；（d）信息科技人员的激励机制；⑥如何对信息科技人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内部控制的理念；⑴信息科技人员的任免和招聘,是否进行背景调查;仁）主要岗位是否轮岗；山）信息科技人员的技能培训情况;（。信息科技人员是否了解本行的信息科技政策/流程/规范/标准等。检查项2：信息科技战略规划基本要求：（1）商业银行信息科技战略规划应在充分的市场调查和技术分析的基础上，由首席信息官,银行高级管理层,科技部门、风险管理和业务部门共同讨论制定，并经过信息科技管理委员会审查和批准，并报董事会审议。(2)信息科技战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息科技支持。(3)信息科技战略规划应包含但不限于：IT治理建设的规划(关注于管理组织和制度建设等),应用架构规划(关注于应用系统的建设),信息科技基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时,银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进行监督。检查方法、步骤:(1)调阅信息科技发展战略规划或其他中长期发展规划，关注相关规划的配合和衔接。(2)访谈信息科技管理部门负责人和相关工作人员，重点关注：(a)信息科技发展战略规划的制定是否有各方面人员参与，是否经过高级管理层审批；(b)信息科技发展战略规划的内容是否包含了应用架构，基础设施,IT治理等方面；(c)信息科技发展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题；(d)信息科技战略规划是否依据环境变化,总体战略变更等进行调整。信息科技风险管理部门检查项1：信息科技风险管理部门基本要求：(1)商业银行应建立全行信息科技风险管理框架，设立或指定信息科技风险管理部门，明确相应的管理职责，设置必要的岗位，配置足够的信息科技风险管理人员。(2)信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。(3)信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度，定期检查制度的执行情况，防止出现失控的环节和管理制度老化的情况。(4)信息科技风险管理部门应对重要的信息科技工作环节进行风险识别和评估，定期检查和上报信息科技风险控制状况。（5）信息科技风险管理部门应对全行员工进行持续的信息科技风险教育。检查方法、步骤:（1）调阅信息科技风险管理的相关政策,流程,管理规范,工作手册,以及开展信息科技风险管理的记录,如日常工作记录、会议纪要和风险评估报告等。（2）调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配置情况。（3）了解信息科技风险管理部门的工作情况,包括风险管理框架,评估标准,是否定期开展风险评估,风险评估的结果,主要风险和应对措施等。（4）了解信息科技风险管理部门和信息科技部,业务部门,内审部门和其他相关部门的相互协作情况。（5）了解信息科技风险教育和培训的开展情况,并调阅培训资料和记录等。信息科技风险审计部门检查项1：信息科技风险审计部门基本要求：（1）商业银行应指定专门负责信息科技风险审计的部门，设置必要的岗位，并配备适量信息科技风险专业审计人员。（2）制定信息科技风险审计制度和相应的审计手册。（3）应有计划、有侧重点地开展信息科技风险审计工作。（4）及时向董事会和监事会报告信息科技风险审计情况。（5）审计发现重大风险隐患应及时报告。检查方法、步骤：（1）访谈信息科技审计部门负责人和工作人员，了解以下信息:（@）信息科技审计职能的定位,工作范围,组织结构和分工（包括信息科技内审团队内部的分工,以及与其他内审团队的分工）,汇报路线,人员配置,技能（如是否拥有专业资格）等情况；（切信息科技审计计划,关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划；9）信息科技审计工作的标准和规范；9）信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等；（e）审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。⑴内审人员的持续培训情况。（2）调阅信息科技审计相关文档,包括:四）信息科技审计章程或相关制度；9）信息科技审计部组织结构图，职责说明等；。）信息科技风险审计手册或其他标准规范文档。（3）调阅商业银行审计工作计划、工作底稿和审计报告。（4）调阅审计发现落实整改情况的记录;。（5）调阅培训记录。知识产权保护和信息披露检查项1：知识产权保护基本要求：（1）商业银行应按照国家有关知识产权法律、法规的要求，制定本单位知识产权保护制度。（2）应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。（3）规范合法软件的购买和使用，禁止使用盗版软件。（4）做好自主开发的信息科技产品的知识产权保护工作。检查方法、步骤：（1）调阅商业银行遵守知识产权法律的相关制度并审查其内容。（2）查阅商业银行的软件清单，检查是否拥有产权或授权及到期状况。（3）查阅外包服务协议和相关文件中是否有知识产权的保护条款，并检查落实情况。检查项2：信息披露基本要求：商业银行应依据国家有关法律、法规的要求，按照监管机构规定的格式和时间，及时规范地披露信息科技风险信息。检查方法、步骤：（1）调阅商业银行有关信息科技风险披露的制度。（2）查阅商业银行披露信息科技风险评估结果的记录。（3）重点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法规的要求，是否按照监管机构规定的格式和时间及时规范地发布。（4）访谈信息科技人员了解信息披露的流程,以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。信息科技风险管理商业银行应制定信息科技风险管理策略，制定风险识别和评估、风险防范措施，对风险进行持续监测。风险识别和评估检查项1：风险管理策略基本要求：（1）商业银行应制定符合银行总体业务发展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划；（2）应配置足够人力、财力资源，维持稳定、安全的信息科技环境；（3）应制定全面的信息科技风险管理策略，包括但不限于：信息分级与保护，信息系统开发、测试和维护，信息科技运行和维护，访问控制，物理安全，人员安全，业务连续性计划与应急处置。检查方法、步骤：（1）访谈信息科技部门及信息科技风险管理部门负责人员,了解以下内容血）信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定；（b）银行的主要信息科技风险及其应对措施；（c）在开展信息科技风险管理过程中遇到的主要挑战。（2）调阅信息科技风险管理文档,如信息科技风险管理政策和流程,风险评估规范或手册等。检查项2：风险识别与评估基本要求：（1）商业银行应制定持续的风险识别和评估流程，确定信息科技风险隐患；（2）定期评估信息科技风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别。检查方法、步骤：（1）调阅风险识别和评估流程文档，风险评估报告和相关工作底稿，了解具体工作开展情况。（2）与信息科技风险管理相关人员（如信息科技部门人员和信息科技风险管理部门人员）访谈,了解信息科技风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。风险防范和检测检查项1：风险防范措施基本要求：（1）商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：制定明确的信息科技风险管理制度、技术标准和操作规程，并定期进行更新和公布；（2）确定潜在风险区域，并对这些区域进行有效的监控，实现风险及早发现、影响最小化；（3）建立适当的控制框架，以便于检查和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户审查，控制数据和系统的物理及逻辑访问，访问授权以“必需知道”和“最小授权”为原则，审批和授权，验证和调节等。检查方法、步骤：（1）调阅信息科技管理制度、技术标准、操作规程等文档,并访谈信息科技人员和风险管理人员,了解信息科技风险控制的主要原则和措施.（注:这里应主要关注风险控制的原则,如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等，具体控制的设计和执行情况将在各个领域中进行检查。）（2）调阅风险监控相关工作记录,如风险评估报告,信息科技各职能部门关于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控情况；（3）了解信息科技职能和风险管理职能如何对主要风险进行监控,如定期汇总各条线（如运行,开发,测试等）的汇报,对一些重要事项和指标的持续监测,内外审的发现和建议的落实,问题上报制度等。检查项2：风险计量与检测基本要求：（1）商业银行应建立持续的信息科技风险计量和检测机制，其中包括：建立信息科技项目实施前及实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检查,定期进行信息科技外包项目的风险状况评价。（2）中资商业银行在境外设立的机构及境内的外资法人银行，应对境内外监管机构有关信息科技风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步骤：（1）调阅有关文档（如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等），了解商业银行是否建立信息科技风险计量和监测机制。（2）访谈相关工作人员，了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取有效风险防范措施。信息安全管理保证信息安全是商业银行的一项重要任务，商业银行应在信息科技部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。提示：在对商业银行的信息安全管理进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不设置单独的安全管理部门，但应设置专职的岗位；信息科技岗位设置可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。安全管理机制与管理组织检查项1：信息分类和保护体系基本要求：商业银行信息科技部门应对各类信息系统进行风险评估，根据信息系统的重要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。检查方法、步骤：（1）调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的范围、级别作出明确规定；（2）检查商业银行是否针对不同的信息系统，制订了不同的安全防范措施，采取了不同的技术防范手段；（3）检查商业银行是否对信息系统风险进行评估和防范。检查项2：安全管理机制基本要求：商业银行信息科技部门应落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，定期向信息科技管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。检查方法、步骤：（1）调阅商业银行信息安全计划或相关文档，检查商业银行是否制订信息安全计划。（2）分析信息安全计划，评估商业银行信息科技部门能否对信息安全进行持续、长期和有效的管理，确保信息安全和信息系统安全运行。（3）检查商业银行信息科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。（4）检查商业银行信息科技部门是否对各类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。（5）调阅信息安全评估报告，检查信息科技部门是否定期对本行信息安全进行评估。检查项3：信息安全策略基本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否制定信息安全策略及其内容是否完整、全面。（2）调阅信息安全管理规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。检查项4：信息安全组织基本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；安全管理人员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。检查方法、步骤：（1）调阅相关岗位职责说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；（2）检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等；（3）查询相关制度文件和审批记录，检查是否根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；（4）调阅信息安全检查记录，检查安全管理员是否定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否及时报告和处理。安全管理制度检查项1：规章制度基本要求：商业银行应对信息安全风险进行分析、评估；应对信息安全管理工作建立相应的管理制度；应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级程度，并进行密级管理；信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款；重要工作和岗位应制订详尽的管理办法和工作职责；信息安全制度应包括对服务商的责任和义务要求；信息安全事件报告制度和处理流程应清晰明确；信息安全管理制度应注明发布范围，有发文编号和相关部门的收文记录；信息安全制度应及时发布和修订。商业银行应建立完善的信息系统管理制度，管理制度应正式发文予以公布，或收集整理形成制度汇编以便于员工学习掌握。检查方法、步骤：（1）调阅商业银行信息安全管理相关的会议记录。（2）调阅信息安全相关的制度，查看：⑶是否围绕着风险分析、评估报告开展制度建设，各项制度能否有效防范风险；（b）已有制度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容；（c）是否包含违规的处罚条款；（d）是否包括针对服务商的管理要求，如职责和义务；（e）是否建立信息安全事件报告制度和处理流程，制度和流程是否清晰和明确；(3)调阅信息安全管理部门职责和工作计划，查看是否对重要的信息系统安全管理岗位制定了明确的管理办法和工作职责。(4)信息安全管理负责人员座谈，了解近期信息安全方面的重大(管理、安全、人事等方面)事件，检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。检查项2：制度合规基本要求