银行信息系统技术管理安全检查方案

银行信息系统技术管理检查方案技术管理是一个全面而复杂的领域，它涵盖了多个关键组成部分，以确保商业银行在信息技术方面的稳健运作。具体来说，技术管理包含了12个核心部分，每个部分都提出了详细的基本要求、检查内容和检查方法以及实施步骤。首先，信息技术治理部分强调了建立有效的治理结构和决策机制的重要性，确保科技战略与银行整体战略的一致性。其次，信息技术风险管理部分关注于识别、评估和控制科技风险，以降低潜在的负面影响。信息安全管理部分则着重于保护银行的信息资产，防止数据泄露和未授权访问。信息系统生命周期管理部分涉及系统的规划、开发、实施、维护和退役等各个阶段，确保系统能够满足业务需求并持续改进。信息系统运行管理部分关注于日常的系统运行和维护，确保系统的稳定性和性能。业务连续性管理部分则确保在发生突发事件时，银行能够迅速恢复业务运作，减少损失。应急管理部分则专注于应对突发事件的准备和响应措施。灾难备份管理部分确保在发生重大灾难时，关键数据和系统能够迅速恢复，保障业务的连续性。数据管理部分关注于数据的质量、安全和合规性，确保数据的有效利用。外包管理部分则涉及对外包服务提供商的管理和监督，确保外包活动符合银行的利益和要求。最后，内部审计和外部审计部分分别关注于对银行内部管理和运营的独立评估，以及接受外部审计机构的监督和评估，确保银行的透明度和合规性。通过这些详细的管理要求和方法，商业银行能够全面提升其信息技术管理水平，确保业务的稳健发展。1信息技术治理商业银行的董事会和高级管理层应根据本银行的发展战略，运用先进管理理念加强信息技术治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续发展能力。1.1董事会及高级管理层检查项1：董事会基本要求：（1）董事会应对银行的信息技术治理负有最终责任。(2)董事会应及时听取信息技术管理委员会和首席信息官的汇报,了解主要的信息技术风险。(3)信息技术重大事项的决策应经过董事会审议。检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息技术管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息技术风险;(c)董事会对信息技术重大事项和决策职责的界定,以及董事会信息技术重大决策的流程;(d)经过董事会讨论和决议的信息技术重大事项的落实情况;(e)董事会如何对信息技术的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息技术事项的审批决议的记录等,对上述信息进行验证。检查项2：信息技术管理委员会基本要求：（1）银行应建立信息技术管理委员会,该委员会成员应包括银行高级管理层、信息技术部门和主要业务部门的代表。(2)信息技术管理委员会的职责应包括:(a)设定全行IT战略目标，指导IT方面的资金投入，对IT规划进行审批；(b)合理运用现有资源，指导信息技术部门提供高质量的IT服务，同时要监督IT成本管理情况；(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突；(d)确保IT战略的及时更新；(e)对主要的IT政策、标准、原则进行审批；(f)对重要的IT项目和活动进行监控；(g)监督和管理IT绩效，确保达到预期IT服务水平；(h)对重大IT项目进行审批。（3）定期向董事会和高级管理层汇报信息技术战略规划的执行情况、信息技术预算和实际支出情况、信息技术的整体管理状况,面临的主要风险及其应对措施等。检查方法、步骤：（1）访谈信息技术管理委员会成员,了解信息技术管理委员会的主要职责和开展的主要工作。如(a)是否确保信息技术战略与业务战略的一致性;(b)信息技术管理委员会是否了解本行主要的信息技术风险并制定了应对措施;(c)重大信息技术项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息技术管理委员会相关文件,如信息技术管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3）查阅信息技术管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。检查项3：首席信息官（CIO）基本要求：（1）商业银行应建立首席信息官制度，明确其工作职责及报告路线。（2）首席信息官应了解并参与本行业务发展决策。（3）首席信息官应负责制定和及时更新信息技术战略,确保信息技术战略与业务战略保持一致。（4）首席信息官应确保信息技术职能的规范和有效运作。（5）首席信息官应领导和协调信息技术部门做好以下工作：信息技术预算和支出，信息技术政策、标准和流程制定及执行，信息技术内部控制、专业化研发，信息技术项目管理，信息系统和科技基础设施的建设、维护和运行管理，信息安全管理，应急管理和灾难恢复计划，信息技术外包和信息系统退出等。（6）首席信息官应确保信息技术人才队伍具备充分的专业技能。检查方法、步骤：（1）访谈首席信息官，关注以下内容:(a)银行的信息技术战略及其与业务战略的一致性;(b)银行目前面临的主要信息技术风险和应对策略;(c)银行未来1-3年的信息技术发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息技术管理委员会等保持有效沟通;(f)首席信息官对银行信息技术领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息技术部门的活动和绩效进行监控。（2）查阅相关文档资料，如信息技术部门的汇报资料,董事会/高级管理层汇报资料,会议纪要,信息技术重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。1.2信息技术部门检查项1：信息技术部门基本要求：（1）商业银行应建立与银行业务相适应的信息技术部门，负责信息技术产品的开发、外包、测试、上线和变更，负责相应信息系统的运行、维护和安全，为银行提供信息技术业务产品。（2）信息技术部门应该根据工作内容，制定完整的内部工作流程和内控制度，建立与相关职能部门之间的协调配合机制，保证信息技术工作的有序、高效。（3）信息技术部门应定期分析评估信息系统生命周期各阶段的风险，制定风险防控策略、措施和检查流程，切实做好信息技术风险管控。（4）信息技术部门所配置的信息技术人员的数量应适应业务及IT发展水平，能保证各个信息系统和各项信息技术工作安全持续地运转。信息技术部门应做好科技人员管理，注重科技专业和风险教育。信息技术人员应有良好的品德、职业操守和信用记录，具备相应的专业知识技能。（5）信息技术部门应该建设一支与银行信息技术产品开发战略相适应的信息技术开发队伍，应做好信息技术开发管理，以及相关的外包服务管理、知识产权管理和开发环节的风险管理，为银行提供安全的信息技术业务产品。（6）信息技术部门应建设好银行信息技术系统安全连续运行的环境（包括场地、设备、网络、系统、数据安全、访问控制和管理制度等），做好各种环境的监测控制，做好事件、问题管理和变更管理，做好紧急事件应急预案。（7）信息技术部门应严格遵守国家各项安全管理制度，配合风险管理部门、合规部门、业务部门编制各项信息技术业务产品的操作手册和访问控制制度，协助做好业务部门信息技术风险控制和安全教育。检查方法、步骤:（1）调阅信息技术部门的各项工作流程和规章制度。（2）调阅信息技术风险管理政策和制度。（3）调阅信息技术部门的组织结构图,岗位职责说明。(4)访谈信息技术部门负责人、内部各条线负责人和信息技术风险管理人员，关注以下内容：（a）信息技术部门内部设置了哪些条线？各条线是否实现了必要的职责分离,如开发团队和运行团队分离,信息技术人员不从事业务操作,有专门的团队开展安全检查等；(b)信息技术部门的资源状况,包括人员是否充足,是否拥有充分的技能；(c)问题和风险的报告路线、流程和处置效率；(d)信息技术人员的激励机制；(e)如何对信息技术人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内部控制的理念；(f)信息技术人员的任免和招聘,是否进行背景调查;(g)主要岗位是否轮岗;(h)信息技术人员的技能培训情况;(i)信息技术人员是否了解本行的信息技术政策/流程/规范/标准等。检查项2：信息技术战略规划基本要求：（1）商业银行信息技术战略规划应在充分的市场调查和技术分析的基础上，由首席信息官,银行高级管理层,科技部门、风险管理和业务部门共同讨论制定，并经过信息技术管理委员会审查和批准，并报董事会审议。（2）信息技术战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息技术支持。（3）信息技术战略规划应包含但不限于：IT治理建设的规划(关注于管理组织和制度建设等),应用架构规划(关注于应用系统的建设),信息技术基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时,银行信息技术战略规划应及时作出相应的调整。(5)银行应定期更新信息技术战略规划。(6)银行高级管理层应对信息技术战略规划的落实情况进行监督。检查方法、步骤:（1）调阅信息技术发展战略规划或其他中长期发展规划，关注相关规划的配合和衔接。（2）访谈信息技术管理部门负责人和相关工作人员，重点关注：（a）信息技术发展战略规划的制定是否有各方面人员参与，是否经过高级管理层审批；（b）信息技术发展战略规划的内容是否包含了应用架构,基础设施,IT治理等方面；（c）信息技术发展战略规划完成情况、信息技术工作的总体状况、信息技术工作的薄弱点和问题；(d)信息技术战略规划是否依据环境变化,总体战略变更等进行调整。1.3信息技术风险管理部门检查项1：信息技术风险管理部门基本要求：（1）商业银行应建立全行信息技术风险管理框架，设立或指定信息技术风险管理部门，明确相应的管理职责，设置必要的岗位，配置足够的信息技术风险管理人员。（2）信息技术风险管理部门应制定信息技术风险管理大纲。大纲应清楚描述信息技术风险特点、识别和评估流程、持续的控制措施和报告处理机制。（3）信息技术风险管理部门应定期审查各个相关部门和环节的信息技术风险控制流程和管理制度，定期检查制度的执行情况，防止出现失控的环节和管理制度老化的情况。（4）信息技术风险管理部门应对重要的信息技术工作环节进行风险识别和评估，定期检查和上报信息技术风险控制状况。（5）信息技术风险管理部门应对全行员工进行持续的信息技术风险教育。检查方法、步骤:（1）调阅信息技术风险管理的相关政策,流程,管理规范,工作手册,以及开展信息技术风险管理的记录,如日常工作记录、会议纪要和风险评估报告等。（2）调阅组织结构图和职责说明,了解信息技术风险管理部门的组织结构和人员的配置情况。（3）了解信息技术风险管理部门的工作情况,包括风险管理框架,评估标准,是否定期开展风险评估,风险评估的结果,主要风险和应对措施等。（4）了解信息技术风险管理部门和信息技术部,业务部门,内审部门和其他相关部门的相互协作情况。(5)了解信息技术风险教育和培训的开展情况,并调阅培训资料和记录等。1.4信息技术风险审计部门检查项1：信息技术风险审计部门基本要求：（1）商业银行应指定专门负责信息技术风险审计的部门，设置必要的岗位，并配备适量信息技术风险专业审计人员。（2）制定信息技术风险审计制度和相应的审计手册。（3）应有计划、有侧重点地开展信息技术风险审计工作。（4）及时向董事会和监事会报告信息技术风险审计情况。（5）审计发现重大风险隐患应及时报告。检查方法、步骤：（1）访谈信息技术审计部门负责人和工作人员,了解以下信息:(a)信息技术审计职能的定位,工作范围,组织结构和分工(包括信息技术内审团队内部的分工,以及与其他内审团队的分工),汇报路线,人员配置,技能(如是否拥有专业资格)等情况；(b)信息技术审计计划,关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划；(c)信息技术审计工作的标准和规范；(d)信息技术内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等；(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。(f)内审人员的持续培训情况。(2)调阅信息技术审计相关文档,包括:(a)信息技术审计章程或相关制度；(b)信息技术审计部组织结构图,职责说明等；(c)信息技术风险审计手册或其他标准规范文档。（3）调阅商业银行审计工作计划、工作底稿和审计报告。（4）调阅审计发现落实整改情况的记录;。(5)调阅培训记录。1.5知识产权保护和信息披露检查项1：知识产权保护基本要求：（1）商业银行应按照国家有关知识产权法律、法规的要求，制定本单位知识产权保护制度。（2）应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。（3）规范合法软件的购买和使用，禁止使用盗版软件。（4）做好自主开发的信息技术产品的知识产权保护工作。检查方法、步骤：（1）调阅商业银行遵守知识产权法律的相关制度并审查其内容。（2）查阅商业银行的软件清单，检查是否拥有产权或授权及到期状况。（3）查阅外包服务协议和相关文件中是否有知识产权的保护条款，并检查落实情况。检查项2：信息披露基本要求：商业银行应依据国家有关法律、法规的要求，按照监管机构规定的格式和时间，及时规范地披露信息技术风险信息。检查方法、步骤：（1）调阅商业银行有关信息技术风险披露的制度。（2）查阅商业银行披露信息技术风险评估结果的记录。（3）重点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法规的要求，是否按照监管机构规定的格式和时间及时规范地发布。(4)访谈信息技术人员了解信息披露的流程,以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。

2信息技术风险管理商业银行应制定信息技术风险管理策略，制定风险识别和评估、风险防范措施，对风险进行持续监测。2.1风险识别和评估检查项1：风险管理策略基本要求：（1）商业银行应制定符合银行总体业务发展规划的信息技术战略、信息技术运行计划和信息技术风险评估计划；（2）应配置足够人力、财力资源，维持稳定、安全的信息技术环境；（3）应制定全面的信息技术风险管理策略，包括但不限于：信息分级与保护，信息系统开发、测试和维护，信息技术运行和维护，访问控制，物理安全，人员安全，业务连续性计划与应急处置。检查方法、步骤：（1）访谈信息技术部门及信息技术风险管理部门负责人员,了解以下内容:(a)信息技术风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定；(b)银行的主要信息技术风险及其应对措施；(c)在开展信息技术风险管理过程中遇到的主要挑战。(2)调阅信息技术风险管理文档,如信息技术风险管理政策和流程,风险评估规范或手册等。检查项2：风险识别与评估基本要求：（1）商业银行应制定持续的风险识别和评估流程，确定信息技术风险隐患；（2）定期评估信息技术风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别。检查方法、步骤：（1）调阅风险识别和评估流程文档，风险评估报告和相关工作底稿，了解具体工作开展情况。（2）与信息技术风险管理相关人员(如信息技术部门人员和信息技术风险管理部门人员)访谈,了解信息技术风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。2.2风险防范和检测检查项1：风险防范措施基本要求：（1）商业银行应依据信息技术风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：制定明确的信息技术风险管理制度、技术标准和操作规程，并定期进行更新和公布；（2）确定潜在风险区域，并对这些区域进行有效的监控，实现风险及早发现、影响最小化；（3）建立适当的控制框架，以便于检查和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户审查，控制数据和系统的物理及逻辑访问，访问授权以“必需知道”和“最小授权”为原则，审批和授权，验证和调节等。检查方法、步骤：（1）调阅信息技术管理制度、技术标准、操作规程等文档,并访谈信息技术人员和风险管理人员,了解信息技术风险控制的主要原则和措施.(注:这里应主要关注风险控制的原则,如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等，具体控制的设计和执行情况将在各个领域中进行检查。)（2）调阅风险监控相关工作记录,如风险评估报告,信息技术各职能部门关于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控情况；(3)了解信息技术职能和风险管理职能如何对主要风险进行监控,如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指标的持续监测,内外审的发现和建议的落实,问题上报制度等。检查项2：风险计量与检测基本要求：（1）商业银行应建立持续的信息技术风险计量和检测机制，其中包括：建立信息技术项目实施前及实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息技术服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检查,定期进行信息技术外包项目的风险状况评价。（2）中资商业银行在境外设立的机构及境内的外资法人银行，应对境内外监管机构有关信息技术风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步骤：（1）调阅有关文档(如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等)，了解商业银行是否建立信息技术风险计量和监测机制。（2）访谈相关工作人员，了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取有效风险防范措施。

3.信息安全管理保证信息安全是商业银行的一项重要任务，商业银行应在信息技术部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。提示：在对商业银行的信息安全管理进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不设置单独的安全管理部门，但应设置专职的岗位；信息技术岗位设置可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。3.1安全管理机制与管理组织检查项1：信息分类和保护体系基本要求：商业银行信息技术部门应对各类信息系统进行风险评估，根据信息系统的重要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。检查方法、步骤：（1）调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的范围、级别作出明确规定；（2）检查商业银行是否针对不同的信息系统，制订了不同的安全防范措施，采取了不同的技术防范手段；（3）检查商业银行是否对信息系统风险进行评估和防范。检查项2：安全管理机制基本要求：商业银行信息技术部门应落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，定期向信息技术管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。检查方法、步骤：（1）调阅商业银行信息安全计划或相关文档，检查商业银行是否制订信息安全计划。（2）分析信息安全计划，评估商业银行信息技术部门能否对信息安全进行持续、长期和有效的管理，确保信息安全和信息系统安全运行。（3）检查商业银行信息技术部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。（4）检查商业银行信息技术部门是否对各类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。（5）调阅信息安全评估报告，检查信息技术部门是否定期对本行信息安全进行评估。检查项3：信息安全策略基本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否制定信息安全策略及其内容是否完整、全面。（2）调阅信息安全管理规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。检查项4：信息安全组织基本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；安全管理人员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。检查方法、步骤：（1）调阅相关岗位职责说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；（2）检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等；（3）查询相关制度文件和审批记录，检查是否根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；（4）调阅信息安全检查记录，检查安全管理员是否定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否及时报告和处理。3.2安全管理制度检查项1：规章制度基本要求：商业银行应对信息安全风险进行分析、评估；应对信息安全管理工作建立相应的管理制度；应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级程度，并进行密级管理；信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款；重要工作和岗位应制订详尽的管理办法和工作职责；信息安全制度应包括对服务商的责任和义务要求；信息安全事件报告制度和处理流程应清晰明确；信息安全管理制度应注明发布范围，有发文编号和相关部门的收文记录；信息安全制度应及时发布和修订。商业银行应建立完善的信息系统管理制度，管理制度应正式发文予以公布，或收集整理形成制度汇编以便于员工学习掌握。检查方法、步骤：（1）调阅商业银行信息安全管理相关的会议记录。（2）调阅信息安全相关的制度，查看：(a)是否围绕着风险分析、评估报告开展制度建设，各项制度能否有效防范风险；（b）已有制度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容；（c）是否包含违规的处罚条款；（d）是否包括针对服务商的管理要求，如职责和义务；（e）是否建立信息安全事件报告制度和处理流程，制度和流程是否清晰和明确；(3)调阅信息安全管理部门职责和工作计划，查看是否对重要的信息系统安全管理岗位制定了明确的管理办法和工作职责。（4）信息安全管理负责人员座谈，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。检查项2：制度合规基本要求：信息安全制度应符合国家有关信息技术管理的法律法规；应符合国家有关信息技术管理的技术标准；应符合银监会有关要求；对于拥有境外机构的银行，其制度也应符合境外监管机构的要求。检查方法、步骤：（1）调阅信息安全制度，检查：（a）制度是否遵循国家有关信息技术管理的法律法规要求；（b）技术性比较强的信息系统安全制度是否低于国家相关标准规定；（c）审查其是否与银监会相关办法、要求相冲突。（2）与信息安全管理负责人座谈，了解该银行是否在境外设立分支机构，境外分支机构信息安全制度是否符合所在国、地区监管机构的要求。检查项3：制度执行基本要求：信息技术相关工作应严格遵守信息安全制度规定；对违规操作的应根据相应条款进行处罚；被处罚管理部门或个人应对违规操作进行整改；审计部门应对信息安全制度执行情况定期进行审计。检查方法、步骤：（1）与负责信息安全的人员访谈，了解信息安全制度执行情况；（2）调阅银行或部门会议记录，查看银行或部门是否对日志、视频等记录中出现的违规操作行为进行过认定，并对违规人员或部门进行过处罚；（3）调阅银行或部门会议记录，查看是否对违规操作进行过整改，整改的后续情况如何。对于因制度漏洞造成的风险，是否及时对相关制度进行了修改：（4）调阅内、外部审计资料，查看是否有关于信息安全制度执行情况的审计报告；（5）调阅审计文件，查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求；（6）调阅银行或部门文件，查看是否对审计发现的问题进行过整改落实，后续的整改落实情况是否符合审计要求。3.3人员管理检查项1：人员管理基本要求：（1）信息技术的岗位设置应合理，应做到分工明确、职责清晰，重要岗位需要相互制约、监督；（2）信息技术人员应无不良记录；信息技术人员的专业知识和业务水平应达到本行要求；应加强对临时聘用或合同制信息技术人员的安全管理措施；（3）应对信息技术人员权限进行分级管理，关键岗位应有AB角；应分离不相容岗位人员职责，不得兼任；（4）信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机要人员管理要求，对涉密人员应签订保密协议；（5）信息技术人员管理要全面，应包括背景调查、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。检查方法、步骤：（1）调阅银行人事制度，了解银行的信息技术岗位设置情况，是否配备了专门的安全管理岗位；（2）与信息技术管理人员和普通员工进行座谈，听取其对信息技术岗位设置的意见，分析岗位设置是否合理；（3）调阅银行人事档案，查看是否建立了信息技术人员的绩效考核制度，查看信息技术人员是否有不良记录；（4）调阅银行人事档案和与信息技术从业人员进行座谈，了解信息技术人员的专业知识和业务水平；（5）调阅银行人事管理制度或部门人事管理制度，分析是否有针对正式信息技术人员、临时聘用或合同制信息技术人员及顾问制定不同的人事管理制度；（6）调阅信息安全管理的相关制度，确认是否对不同信息技术岗位进行了权限划分和分级管理，并能贯彻落实上述制度和要求。3.4安全评估报告检查项1：安全评估报告基本要求：商业银行应定期对信息系统安全情况进行评估，并提交安全评估报告。当信息系统发生重大变化时，应及时进行信息安全评估。对安全评估中发现的问题，应及时整改。检查方法、步骤：（1）调阅安全评估报告，检查商业银行是否定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后，是否及时进行信息安全评估：（2）检查安全评估是否全面，是否覆盖所有信息系统，是否覆盖所有信息安全范围；（3）检查安全评估报告反映的问题是否及时得到处理或改进。3.5宣传、教育和培训检查项1：宣传、教育和培训基本要求：高管层、信息安全管理部门负责人应知晓信息安全政策；银行应加强对客户的信息安全重要性的宣传教育工作；银行应定期组织员工进行信息系统安全重要性教育；银行应组织员工学习基本的信息系统安全管理制度；信息技术人员应掌握与其岗位相关的信息安全管理制度。检查方法、步骤：（1）与高管层、信息安全管理部门负责人座谈，了解是否知晓本银行的信息安全政策；（2）与高管层座谈，了解银行是否对客户进行过信息安全方面的宣传教育，其内容、力度和频度如何；（3）与普通员工座谈，了解是否接受过有关信息安全方面教育；（4）抽查银行内部部门的学习记录，看是否组织过信息安全防范知识方面的学习培训；（5）与普通员工座谈，看是否知晓本银行基本的信息安全制度；（6）调阅信息技术部门的学习记录，看是否对信息技术人员进行过信息安全制度的传达，是否组织过信息安全制度的学习培训；（7）与信息技术人员座谈，看是否掌握与其从事岗位相关的信息安全管理制度。4系统开发、测试与维护4.1开发管理良好的系统开发管理是一个系统能否稳健运行的必要前提，因此应加强对商业银行系统开发管理工作的检查力度，从而准确评估各运行系统以及即将上线系统的稳定性和可靠性。通过对商业银行的相关制度、规定、流程以及文档、记录的检查和分析，了解其管理层是否统筹考虑系统开发与信息技术战略规划及业务发展目标的一致性，是否对系统开发的可行性、必要性、成本效益核算以及存在的风险等方面进行全面评估，是否建设了合理的开发管理组织框架，是否对开发过程进行了全面的风险管控，以确保系统开发过程的合理、高效和安全。检查项1：管理架构基本要求：应建立信息技术管理委员会对信息系统项目建设的审批、授权机制，重大信息系统项目开发应经过银行董事会的批准，并符合该机构的IT战略规划和业务发展目标。信息技术部门应设置独立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统项目开发进行集中管理，系统开发应成立专门的开发建设项目组，具体负责信息系统的开发建设。在系统开发立项审批前，应进行系统开发可行性研究，以控制与信息技术有关的风险。项目开发过程中应定期向首席信息官或高级管理层汇报项目实施状况。信息系统开发过程应有业务需求部门人员参与，并定期与业务需求部门一起审核信息系统开发建设情况，查看是否能够满足生产业务的需要，是否与业务需求相符合，是否对关键业务风险点进行了有效控制。检查方法、步骤：（1）检查商业银行是否有系统开发的可行性研究、成本效益分析、风险评估等报告，查看是否对项目的可行性、成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规划等进行了深入的分析；（2）调阅相关会议纪要，查看相关分析结果是否得到信息技术管理委员会的认可，分析信息技术管理委员会是否对系统开发的可行性、必要性以及与IT战略规划和业务发展目标的一致有充分认识；（3）对于重大信息系统开发项目，查看是否有银行董事会批准实施系统开发的记录；（4）调阅重大项目相关开发建设文档，查看是否成立了专门的项目组，具体负责项目的开发建设。如成立有项目组，调阅项目组相关工作文件，检查项目组是否尽职完成其相关职责；（5）查看是否有项目实施部门定期向信息技术管理委员会报告系统开发进展的报告；（6）查看商业银行是否设置独立的部门负责系统开发，调阅部门人员清单及简介（含资质），判断该部门人员的数量和专业背景对于其承担的系统开发职责是否充分和适当；（7）调阅项目开发相关文件，查看信息系统开发过程是否有业务部门人员参与，检查项目开发过程中开发部门是否与业务部门定期总结信息系统开发建设情况，以确认正在开发的系统是否与业务需求相符合，是否对关键业务风险点进行了有效控制；（8）检查信息系统投产后，实施部门是否组织了对系统的后评价，并根据评估结果及时对系统功能进行调整和优化。检查项2：制度建设基本要求：商业银行应制定全面的信息系统开发管理制度和流程，包括但不限于系统的开发流程和组织管理、参与部门的职责划分、时间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制度和流程，应涵盖信息系统开发的全周期，包括：分析、设计、开发或外购、测试、试运行、部署、维护和退出等，制度和流程应经过高级管理层和相关部门的认可，明确相关部门和人员的职责，并定期进行评估和更新。检查方法、步骤：（1）调阅商业银行系统开发相关的制度和流程，检查其是否明确了管理组织及职责，是否对开发流程管理进行全面的管控。是否建立了质量检测和风险评估机制等；（2）询问相关人员，是否有高级管理层和所有有关部门认可这些制度和流程的说明，查看相关会议纪要、相关文件的传阅痕迹等；（3）检查系统开发过程中，相关制度和流程是否得到有效的实施，如是否界定了明确的部门和人员职责，职责划分是否合理，是否有完整的时间进度管理和财务预算管理，是否要求实施部门定期向信息技术管理委员会提交重大信息技术项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况等；（4）检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等各环节。检查项3：项目控制体系基本要求：（1）商业银行应制定合理的项目生命周期，加强项目生命周期管理，包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出；（2）应开展对系统需求和技术架构的管理，使系统需求与业务目标保持一致；（3）应当建立一套符合质量管理标准的质量控制体系，有效控制开发质量；（4）应根据项目风险评估，在系统开发过程中落实主要风险点的风险控制措施；（5）系统开发环境与运行环境应当分离，包括网络分离、设备分离、数据分离、人员分离等，防止开发活动对业务运行环境造成风险；（6）系统开发过程中应进行必要的安全控制，应对源代码进行有效管理，对程序源代码进行严格的审查，不应留有“后门”，即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。检查方法、步骤：（1）检查银行是否有信息系统生命周期管理制度，是否有项目生命周期管理流程和记录；（2）检查系统需求和技术架构的评估文档，看系统需求与业务目标是否保持一致；（3）询问系统开发部门负责人，银行是否建立了系统开发质量控制体系，调阅其项目质量控制标准、代码编写规范（软件）以及质量控制检查和监督的记录；（4）检查是否有项目需求和计划的风险评估以及业务的风险点分析,是否有对业务操作环境（如人员素质、操作场所等环境）的相关风险分析，是否有对项目延期的风险、项目进程中发现的风险、项目外包的风险等关键控制点制定风险控制措施，是否有风险控制措施的落实记录和监督记录；（5）检查系统开发环境和运行环境是否分离，网络是否有效隔离，设备是否独立于生产系统，开发人员是否接触生产系统，开发过程中是否使用了生产数据,使用的生产数据是否得到高级管理层的批准并经过脱敏或相关限制；（6）检查系统开发过程中，是否进行安全控制，是否对源代码进行有效管理和严格的审查，系统所有入口是否都经过安全规则的控制，并在系统开发文档中全部注明。检查项4：系统开发的操作风险基本要求：商业银行应当加强对开发队伍的管理，合理选择具备相当专业知识和技术水平的项目经理，并应对技术人员，尤其是外来技术人员的开发行为加强管理，对于外包开发与合作开发的开发方应进行充分调研分析，以保证系统的可靠性；应当加强信息技术项目文档管理和文档版本控制；银行信息技术开发部门应当加强对开发过程的检查，确保开发目标的实现。对以外包和合作开发为主进行信息系统开发建设的银行机构，应特别重视对外来技术人员的开发行为加强管理，对于外包开发与合作开发的开发方应进行充分调研分析，以保证系统的可靠性。检查方法、步骤：（1）询问商业银行对项目开发经理的知识水平要求，查看部分项目开发经理的资信历史、资格证书、从业经历的调查记录；（2）对于外包开发与合作开发的项目，询问项目管理成员，开发方是否在业内有过针对客户的不良纪录,商业银行是否有对开发方技术实力与人力资源充分性进行分析；（3）检查是否制定了文档管理规范制度，查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册，风险评估报告等项目文档管理是否符合规范，是否进行了文档的版本控制；（4）检查银行是否有系统开发过程的检查记录，是否对系统完整性、恶意代码和后门程序进行了检查。检查项5：数据继承和迁移基本要求：信息系统升级变更，应特别重视对历史数据的继承和迁移。应合理规划数据结构，并进行数据兼容性分析，防止因兼容性不够而造成历史数据的无法使用和继承，进而影响业务生产和客户利益。信息系统升级变更前，应制订详细的数据迁移计划，并提前进行数据迁移测试和数据有效性、兼容性验证。商业银行应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。检查方法、步骤：（1）检查是否进行新旧系统业务数据兼容程度分析，并形成书面报告；（2）检查业务系统上线前，是否制订详细的数据迁移计划，数据迁移计划是否严密；（3）检查业务系统上线或升级前，是否进行过数据迁移测试和数据有效性、兼容程度验证；有数据移植时，检查是否针对新旧系统中被移植部分数据的一致性进行过验证，对数据调整时，是否对调整过程进行了完整记录并由相关人员签字；（4）检查是否制定了相关制度、标准和流程，以保证信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。4.2系统测试与上线充分的系统测试和周密的上线程序是保障系统正常稳定运行的重要环节，商业银行应该确保充分的系统测试和具备完善系统上线程序的管理，以确保系统的测试结果是可信的，上线流程是完善的。通过对相关制度、流程和程序的检查，分析商业银行在系统测试和上线过程是否存在缺陷，从而对各系统做出合理的评估，避免系统测试不充分上线，或上线程序不周密，导致系统风险，造成损失。检查项1：系统测试基本要求：商业银行应为所有的主要变更建立充分的测试体系（如：系统单元测试、系统集成测试、系统验收测试、用户测试、预演、数据转换的验证、平行测试等）以保证系统测试的完整和充分；商业银行应建立完善的测试团队，并确保测试工作的公正性和独立性；应当确保充分，完整的系统测试；测试环境应与生产环境相隔离；应当对信息系统功能进行充分测试，保障系统功能与业务目标一致；应当对信息系统进行非功能测试，保证系统的兼容性、可靠性、通用性、安装的可操作性，防范在信息系统性能峰值情况下发生的问题。系统变更应建立回滚变更的程序，以便于在发生问题的情况下可以恢复到原始的程序、系统配置和数据，在变更迁徙到生产环境前应进行回滚程序的试运行，以保证回滚程序是有效、可靠的。系统测试过程中应对测试的情况进行规范的记录，最终形成测试文档并进行分析。检查方法、步骤：：1）检查系统变更的测试报告，分析测试内容和测试步骤是否完整，测试用例是否充分涵盖所有业务场景；（2）调阅测试团队人员清单，分析测试团队人员角色、知识水平等是否充分，询问相关负责人通过哪些措施保证测试团队的公正性和独立性；（3）调阅测试方案、测试用例、测试记录等，分析银行的测试方案是否完善，测试计划是否完整，测试环境是否与生产环境相隔离，测试用例是否充分，测试用例是否有生产数据，当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理，测试执行情况记录是否完整，查看是否有对充分测试的审核报告；（4）调阅功能测试记录，查看系统功能测试结果是否与业务需求一致；（5）调阅非功能性测试报告或记录（非功能测试技术主要包括：配置和安装测试、兼容性和互操作性测试、文档和帮助测试、错误恢复测试、性能测试、可靠性测试、保密性测试、压力测试、可用性测试、容量测试），分析测试用例是否充分，测试结果是否与业务需求一致；（6）检查是否建立系统变更的回退程序，是否有回退程序的测试或试运行成功的记录；（7）调阅系统测试报告，检查系统测试过程中是否对测试的情况进行规范的记录，是否形成测试文档；对测试过程是否进行分析，并提出相应修改意见。检查项2：系统验收基本要求：商业银行应当在系统发布前对测试过程进行充分审查，防止未经充分测试的系统上线运行；应当在系统发布前对系统交付物的完整性进行检查，以及对代码进行检验；对打包销售的系统，应要求其提供充分可靠的测试证明，并进行代码审查；应当对系统进行一段时间的试运行，及时发现试运行中存在的问题，改正后方可正式上线。检查方法、步骤：（1）调阅系统验收记录和测试质量的评估报告，检查系统发布前商业银行是否对测试的过程和有关测试充分进行了审查并对测试质量进行了评估；（2）查看验收记录中是否对系统交付物的完整性进行了检查，检查的内容还应该包括软件发布计划、操作手册和应急预案等文档；（3）检查打包销售的软件是否有完整的、充分的和可靠的测试报告，是否有对软件代码的审查记录，特别是对秘密信道及特洛伊木马程序审查；（4）检查是否有完整的试运行报告、试运行记录、系统错误修正记录等，查看系统的试运行是否通过。检查项3：投产上线基本要求：商业银行应重视信息系统的投产上线工作，做到以下几点：（1）包括用户需求书、功能说明书、设计说明书、技术与业务操作手册等在内的所有文档资料在上线前应正式归档保管；（2）投产上线所用的系统生产环境已经建立并经验收测试证明有效；（3）清除投产上线用的系统生产环境中的验收测试数据（另行安排生产环境除外）；（4）完成投产上线计划书、上线操作手册、回退操作手册并经验证；（5）有数据移植时还需对新旧系统中被移植部分数据的一致性进行验证，对数据调整时应对调整过程完整记录并请相关人员签字；（6）已对运行人员、业务管理人员、业务操作人员进行了培训，开发人员与运行维护人员已经完成了职责移交。检查方法、步骤:（1）检查文档资料管理系统，确认与该信息系统有关的各类文档资料已经正式归档保管，纳入生产系统文档资料管理范围；（2）与业务和技术人员访谈，了解投产上线的完整过程，判断投产上线用的环境是否在启用时已经验证有效、测试业务数据得到完全清理、被移植到生产环境的数据与在原环境中数据保持一致性；（3）与运行人员和开发维护人员访谈，了解在投产时，运行人员是否熟悉运行操作，维护人员是否接管维护职责，从而判断是否实行岗位分离和存在操作风险。4.3系统下线商业银行应对系统下线按规范流程妥善处理，确保下线系统敏感数据的安全性和完整性。检查项1：系统下线基本要求：商业银行应当关注系统下线工作，并做到以下几点：（1）下线前，应当做好充分的论证，证明该信息系统的功能已经失效或已有其它系统替代；（2）系统下线应有下线计划和操作手册；（3）确保信息系统的环境数据、客户数据和交易数据保存一定时间，并继续实施安全管理；（4）在对信息系统设备留作他用、出卖或销毁时，应当对其中的信息进行删除等处理，整个过程应记录。检查方法、步骤:（1）调阅文档资料管理系统，确认是否有下线计划和操作手册并对整个过程进行记录；（2）与技术人员访谈并现场抽查部分退出使用的设备，确认系统下线后对应该保留的信息是否进行了有效的的保管，该删除的信息是否得到了彻底销毁。

6.系统运行管理6.1日常管理商业银行应将信息技术运行与系统开发和维护分离，确保信息技术部门内部的岗位制约，并且应从录用前、任职期间、离职全过程对科技人员进行管理，以确保员工充分了解其责任、能够严格遵守机构的信息安全方针、并确保员工离职后不对本机构造成损失。检查项1：职责分离基本要求：商业银行应将不相容岗位实现职责分离，以降低未授权访问、无意识修改以及故意犯罪给机构带来损失的机会。其目标是做到在未授权或未被监测时，个人不能擅自访问、修改或使用机构信息资产，并做到事件的启动与其授权相分离。检查方法、步骤：（1）访谈科技部门负责人及信息技术风险审计负责人，判断该机构哪些职责应实现分离。开发与日常维护、业务与后台管理必须实现分离；（2）调取该机构岗位职责及人员名单，验证不相容岗位是否实现了分离，是否存在岗位分离但人员兼岗的现象；（3）抽取部分应用系统，从系统中取得操作系统用户清单、数据库用户清单、应用系统用户清单以及开发测试系统的相应清单，验证是否存在事实上的兼岗现象，是否存在开发人员在生产系统中存在账户的现象。检查项2：值班制度基本要求：商业银行应制定信息技术运行7*24小时值班制度，每班值班人员不能少于2人，并确保值班人员专人、专职，不能兼任系统维护人员及开发人员。值班人员应对系统运行情况进行全面监控，运行记录应完善、详实。检查方法、步骤：（1）通过调阅信息技术部门岗位、人员名单，确认值班人员是否为专人、专职，是否兼任维护及开发职能；（2）调阅值班监控登记簿，确认是否能够做到24小时值班，运行监控记录是否完善、详实，是否存在无运行监控记录的日期；（3）通过调阅值班室视频记录，验证能否做到双人在岗。检查项3：操作管理基本要求：商业银行应制定详尽的信息技术运行操作程序。如在信息技术运行手册中说明值班人员的任务、执行步骤，以及生产与开发环境中数据、软件的现场及非现场备份流程和要求（备份的频率、范围和保留周期），严禁值班人员脱离文档对生产环境进行操作。检查方法、步骤：（1）到数据中心实地查看，验证值班室是否保存有较为完整的操作手册；（2）对比值班人员职责，验证值班室的操作手册能否完整覆盖值班人员的职责；（3）通过调阅值班室视频记录，验证是否存在值班人员脱离文档操作的现象。检查项4：人员管理基本要求：（1）商业银行应根据相关法律、法规要求，对所有求职者进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适应；（2）商业银行应加强对员工的管理，尽可能减少由于人员因素引起的安全风险，加强对员工的安全培训，培养员工的安全意识，使其了解所承担的责任和义务，并在日常工作中认真贯彻机构的信息安全方针；（3）商业银行应确保员工离职过程的有序性，并确保其归还所有设备，及时取消其对系统及信息的访问权限。组织内部职责和工作变化后应及时调整系统权限。检查方法、步骤：（1）录取过程验证。选取部分关键岗位人员名单并调阅其录取过程的文档，验证录取前是否查验了以下内容：（a）申请人的履历；（b）相关学历、资质；（c）身份证件；（d）其他细节，例如信用卡记录或犯罪记录;（2）录取条件验证。调阅商业银行与录取员工签署的录用合同，验证是否包括以下内容：（a）是否签署保密协议；（b）员工需遵守的法律职责，例如知识产权保护等；（c）与员工有关的信息保护与资产管理职责；（d）员工违规所要承受的惩罚；（3）管理职责验证。调阅银行机构有关安全管理的文件，验证其是否明确定义定义了员工的信息安全责任，并确保员工了解；（4）信息安全培训验证。调阅商业银行对员工所进行的有关安全的培训，验证商业银行是否定期就本单位信息安全方针、制度等内容对员工进行培训，并通过查阅培训记录确认员工均参加了培训；（5）惩戒过程验证。调阅商业银行有关安全管理的文件，验证其是否就员工违规行为的后果作出规定，并通过访谈、查看记录等多种方式验证相关惩戒制度是否得到执行；（6）验证是否及时撤销访问权限。调阅商业银行相关制度，验证是否明确了员工离职、调离、岗位变换等情况下应执行的相关操作程序。调阅部分离职人员名单并抽查部分业务系统，验证相关人员的访问权限已得到及时删除、更改；验证是否及时归还信息资产。调阅商业银行相关制度，验证是否就员工离职、调离、岗位变换等情况所应归还的信息资产做出明确定义。调阅部分离职人员名单及相关离职手续，验证相关人员的信息资产已得到及时归还。6.2访问控制策略商业银行应加强对物理设施、数据、信息系统以及业务过程的访问控制管理。检查项1：物理访问控制策略基本要求：商业银行应将关键或敏感的信息处理设施放置在安全区域内，并受到安全边界的保护，安全边界应包括入口控制，以避免未授权访问、损坏和干扰，商业银行应该根据物理安全区域的重要性进行分级管理，按照重要性的风险程度提供相当的保护。检查方法、步骤：（1）调阅其物理（例如机房）访问控制策略，验证其是否包括以下方面：（a）访问控制权限定义，对禁止在物理安全区域内开展的活动进行限定；（b）访问控制授权过程；（c）访问记录；（d）控制策略定期更新规定；（2）抽查部分访问控制登记薄，验证以下信息：（a）是否记录访问者进入和离开的日期、时间和事由，所有的访问者应予以监督，访问者只能访问特定的、已授权的目标，并应向其宣布关于该区域的安全要求和应急程序说明；（b）通过观察或调阅录像，验证所有访问者是否都佩戴某种形式的可视标识；（c）验证第三方支持人员是否只有在需要时才能有限制的访问安全区域或敏感信息处理设施，这种访问是否被授权并全程监督；（d）调阅访问权限修改记录，验证是否定期审阅权限的变化；（e）选取部分离职人员名单，验证是否依然存在于已授权人员名单内；（f）随机调取进出录像，验证进出人员是否在登记簿中进行过登记；（3）验证是否有门禁系统，不同区域间是否通过门禁分割，门禁是否有记录，对电子门禁卡的授权、发放和注销是否有明确规定。检查项2：逻辑访问控制策略基本要求：商业银行的访问控制策略应清晰的描述每个用户或一组用户的访问控制规则和权力，需要对访问控制策略有清晰的描述并告知其使用者。检查方法、步骤：（1）调阅其信息系统访问控制策略，验证其是否包括以下方面：（a）各个业务系统的安全要求；（b）数据的分类与授权策略；（c）不同系统和网络的访问控制策略与数据分类策略的一致性；（d）访问控制角色的分离，例如访问请求、访问授权、访问管理；（e）访问要求的正式授权要求；（f）访问控制的周期性评审要求；（g）访问权力的取消；（2）验证商业银行访问控制策略是否考虑了以下方面：（a）是否区分了必须强制执行的规则和有条件执行的规则；（b）是否建立在“未经允许，一律禁止”的基础之上，而不是“未经禁止，一切允许”。检查项3：账号及权限管理基本要求：商业银行的业务系统应保证只有经授权的用户才能访问，防止非授权访问。应建立正式的程序来控制对信息系统和服务的访问权限的分配，这些程序应涵盖用户生存周期的各个阶段（从新用户注册到用户注销，例如账号申请流程、账号注册流程、账号变更流程、账号注销流程），应特别注意对特权用户的分配。检查方法、步骤：（1）抽查商业银行部分重要应用系统，通过调阅用户清单和实际员工名单，核实以下问题：（a）用户是否使用唯一ID；（b）检查用户所拥有的权力是否与其工作职责相适应；（c）是否有用户授权的书面文件；（d）离职或职位变更的用户是否立即在信息系统中对权限进行调整；（e）是否周期性检验系统中的多余ID；（f）确保不发放多余的ID;（2）核实其特权用户的管理。（a）通过访谈了解每个系统所必须赋予的特权用户；（b）是否存在分配特权用户的授权过程及其记录；（c）验证银行应用程序是否必须要特权用户才能运行；（d）特权用户应避免分配给业务人员;（3）验证其口令管理。（a）是否制定有内部口令管理规定，保证口令有一定强度及不易破解；（b）是否以安全方式将初始口令给予用户，避免用于第三方或不受保护（明文）电子邮件中；（c）口令不能以不受保护的形式存储在计算机系统内；（d）用户是否迅速改变默认口令;（4）用户访问权限的评审。（a）是否定期（不能超过半年）和在任何变更之后（提升、降级、终止工作），对用户访问权限进行评审；（b）用户的工作岗位发生变化，应重新评审和分配用户的访问权限；（c）以更加频繁的时间间隔评审特权用户的授权；（d）特权账户的变更应在周期性评审时记入日志。检查项4：用户责任及终端管理基本要求：商业银行应加强对职工的安全培训，使其充分意识到自身所承担的信息安全责任，加强安全意识，特别是关于口令的使用和设备安全的职责。远程接入用户应当加强对客户端的安全防护，防止未授权用户非法使用客户端进行远程接入。检查方法、步骤：（1）验证最终用户口令的使用。抽取部分用户，验证其密码是否存在以下现象:（a）是否使用保密口令；（b）是否未经批准保存了口令副本；（c）是否在有迹象表明口令可能受到损害时变更口令；（d）口令是否具有一定的复杂性（不能基于别人易于猜出的信息、不容易遭到字典攻击、避免连续相同的字符或全数字、全字母）；（e）系统是否能提醒并强制性要求用户定期或以访问次数为基础变更口令（特权用户应比常规口令更频繁的进行更改），并且避免重新使用旧口令或周期性使用旧口令；（f）是否在初次登录时更改临时口令；（g）是否在任何自动登录过程中（例如以宏或功能键）包含口令；（h）是否存在个人用户共享口令现象；（i）是否在不同业务系统中使用相同口令;（j）登录帐号若一段时间不使用，系统是否能自动锁定帐号；（k）系统是否对密码反复尝试错误的次数进行了限制；（2）验证无人值守设备的保护情况。（a）用户离开时，是否终止有效会话，或利用一种合适的锁定机制保障安全（例如有口令的屏保程序）；（b）当不使用设备时，利用带钥匙的锁或等价措施来保护PC或终端不被未授权使用;（3）桌面和屏幕清空策略。（a）当无人值守时，计算机和终端用户应注销或使用口令、令牌或类似的用户认证机制对屏幕和键盘进行保护；（b）应防止复印机、扫描仪、数字相机的未授权使用；（c）包含敏感或分类信息的文件应立即从打印机中清除。检查项5：远程接入的控制基本要求：商业银行应加强对远程接入的管理，只有在安全和控制措施到位并符合组织安全策略原则的情况下，才能授权远程工作活动。远程工作场地应防止设备和信息被盗、未授权泄露信息、远程访问滥用。远程工作应由管理层授权和控制。检查方法、步骤：调阅相关远程访问管理制度和相关访问记录，验证以下内容:（1）通信是否安全，是否远程访问了内部敏感信息；（2）远程访问人员的家人、朋友是否有可能未授权访问信息资源；（3）远程访问的网络环境是否使用无线网络；（4）访问过程中是否有防病毒软件和防火墙保护；（5）远程访问是否每次都有相应的授权记录；（6）远程访问是否保存有用于事后审计的日志资料；（7）当远程工作活动停止时，是否及时撤销授权；（8）是否对客户端连接服务进行访问时间段限制；（9）客户端在登录前是否显示警告信息，描述未授权的访问可能导致的后果。6.3日志管理商业银行应按照有关法律法规要求保存交易记录，采取必要的程序和技术，确保存档数据的完整性，满足安全保存和可恢复的要求。检查项1：审计日志检查基本要求：商业银行应记录用户活动以及信息安全事件日志，并按照约定的期限进行保留，以支持将来的调查和访问控制审查。检查方法、步骤：调阅商业银行相关审计及交易日志，验证其是否包含以下内容:（1）用户ID；（2）日期、时间和关键事件的细节，例如登录和退出；（3）终端用户身份或位置；（4）成功和被拒绝的对系统的访问记录；（5）成功和被拒绝的对数据以及其他资源的访问记录；（6）系统配置的变化；（7）特权的使用；（8）系统工具和应用的使用；（9）访问的文件和访问类型；（10）网络地址和协议；（11）访问控制系统引发的报警；（12）防护系统的激活和停用，例如防病毒系统和入侵检测系统。检查项2：日志信息的保护基本要求：商业银行应保护日志设施和日志信息免受破坏和未授权的访问，以确保日志的可恢复。检查方法、步骤：（1）调阅商业银行日志信息，验证是否存在以下情况:（a）日志信息被编辑或删除；（b）日志保存介质耗尽，或者不能记录事件以及自身覆盖重写。（2）调阅商业银行日志恢复记录，检查日志是否能够顺利恢复，对于不能恢复的情况，是否进行了必要的跟进。检查项3：操作日志的检查基本要求：商业银行应记录系统管理员和系统操作员的活动。系统管理员和操作员日志须定期评审。检查方法、步骤：（1）调阅商业银行日志信息，验证是否存在以下信息:（a）事件（成功的或失败的）发生的时间；（b）关于事件（例如处理的文件）或故障（发生的差错和采取的纠正措施）的信息；（c）涉及的账号和管理员或操作员；（d）涉及的过程;（2）调阅日志审查记录，核实相关日志是否被定期评审。检查项4：错误日志的检查基本要求：商业银行应记录并分析错误日志，并采取适当的措施。检查方法、步骤：调阅商业银行错误日志，验证是否完整的记录信息处理、应用系统以及通信系统的问题，对于所记录的故障应有明确的处理。主要包括:（1）评审故障日志，确保已满意地解决故障；（2）评审纠正措施，以确保控制未被损害，并对所采取的动作予以充分授权；（3）日志的分析应由能够胜任的职员进行。6.4系统监控商业银行应建立连续监控基础环境、信息系统性能的相关程序，及时、完整地报告例外情况；该程序应提供预警功能，在例外情况对系统性能造成影响前对其进行识别和修正。检查项1：基础环境监控基本要求：商业银行应建立IT基础环境（如温湿度、消防、防水、空调、电力）监控机制，加强日常巡检，确保记录清晰、分析及时，能够及时发现基础环境出现的问题并采取及时、适当措施进行处置。检查方法、步骤：（1）调阅商业银行基础环境监控相关制度，验证商业银行是否建立了相关制度，相关制度是否明确规定了基础环境监测相关内容;（2）调阅商业银行日常巡检登记簿，验证商业银行是否按照相关制度严格进行监控、登记簿登记内容是否完整;（3）调阅商业银行故障记录，并对比日常巡查登记簿，验证该行是否能够及时发现基础环境中出现的问题；（4）通过实地查看，检查商业银行IT基础环境是否满足要求。检查项2：系统性能监控基本要求：商业银行应建立系统性能（如网络、主机等）监控机制，通过人工与自动化监控系统相结合方式加强日常巡检，确保记录清晰、分析及时，能够及时发现系统性能出现的问题并采取适当处置措施。检查方法、步骤：（1）调阅商业银行系统性能监控相关制度，验证商业银行是否建立了相关制度，相关制度是否明确规定了系统性能监测相关内容;（2）调阅商业银行日常巡检登记簿，验证商业银行是否按照相关制度严格进行监控、登记簿登记是否完整;（3）实地查看监控系统，验证其监测内容是否完善，监控指标能否完整反映线路质量、通信设备的处理能力和网络服务质量，如误码率、主机的CPU、内存、端口的使用率、吞吐量、传输和时延、响应时间等指标；（4）通过查询商业银行系统故障记录验证监控的有效性。商业银行应当能够在监测到性能异常时及时产生告警，及时确定当前系统中哪些部件的性能正在下降或已经降低，哪些部件在满负荷或超负荷运行;（5）参照事件管理处置流程，验证商业银行在监测到系统性能异常后能否及时处置。检查项3：系统运行监控基本要求：商业银行应建立应用系统运行状况（如交易系统、渠道系统等）监控机制，通过人工与自动化监控系统相结合方式加强日常巡检，确保记录清晰、分析及时，能够及时发现系统性能出现的问题并采取适当措施进行处置，确保对业务的影响降低到最小。检查方法、步骤：（1）调阅商业银行应用系统监控相关制度，验证商业银行是否建立了相关制度，相关制度是否明确定义了应用系统监测内容;（2）调阅商业银行日常巡检登记簿，验证商业银行是否按照相关制度严格进行监控、登记簿登记是否完整;（3）实地查看监控系统，验证其监测内容是否完善。监控指标能否完整反映系统运行状态、并发用户数量、异常交易等;（4）实地查看数据中心网管工作站、系统性能监视屏、系统资源监视屏、会话连接监视屏、应用错误监视屏是否有专人负责监控;（5）通过查询商业银行系统故障记录验证监控的有效性。商业银行应当能够在监测到应用中断等异常时及时产生告警;（6）参照事件管理处置流程，验证商业银行在监测到应用异常后能否及时处置。检查项4：测评体系基本要求：（1）商业银行应制定主机设备维护指标考评体系，指标考评体系应当至少包括以下内容:（a）主机设备的平均无故障运行时间；（b）主机设备的故障修复时间；（c）主机设备的故障恢复时间；（d）主机设备的故障发生率（次数和频度）；（e）对设备发生故障的类型统计；（f）评估主机设备故障对业务连续性的影响；（g）主机设备厂商的技术支持提供能力;（2）商业银行应当指定人员负责监督和执行该考评体系；（3）考评的结果应当至少反映到对主机设备供应商的选择。检查方法、步骤：（1）调阅商业银行相关文档，验证是否建立了针对系统运行的测评体系;（2）调阅该行测评文档，验证测评内容是否覆盖到上述基本要求的内容;（3）通过访谈及文档查阅，验证针对测评指标不达标的方面是否进行了及时处置;（4）验证是否指定人员负责系统测评考核工作。6.5事件管理事件(Event)可被定义为任何可察觉和可识别的、对IT基础设施管理或者IT正常服务造成影响的现象。事件管理的目标是在最短的时间内，在尽可能小地影响业务服务的情况下，尽快恢复信息系统正常服务，并记录事件及处理过程。检查项1：事件报告流程基本要求：商业银行应建立信息系统事件报告、应答和分类机制，在接到事件报告后立即采取措施，并按照相关制度及时通知相关方。检查方法、步骤：调阅商业银行有关事件的管理制度，查看历史事件处置记录，验证是否实现以下要求:（1）事件发生后采取正确的行为：（a）立即记录下所有重要细节（如冲突类型、发生的故障、屏幕上的信息、异常行为等）；（b）自身不要采取任何行动，立即依照商业银行事件处理流程向相关联系人报告；（c）如符合重大事件管理规定等文件规定的情况，立即向银监会等机构进行报告；（2）事件的报告清楚、完整的记录下事件中的所有行为；（3）采取合适的反馈机制，以确保在事件处理完成后，能够将处理结果通知事件报告方及相关方。检查项2：事件管理和改进基本要求：商业银行接到信息系统事件的报告后，应立即明确责任，按照规程进行有效处理，并制定一个连续的改进过程对事件进行响应、监视、评估和总体管理。检查方法、步骤：（1）调阅商业银行相关事件管理规定及流程，验证是否建立了合适的机制以处理不同类型的信息系统突发事件。包括：（a）信息系统服务中断；（b）恶意代码；（c）拒绝服务攻击；（d）不完善或不准确的业务数据导致的错误；（e）违背保密性和完整性的行为；（2）验证相关规定和流程是否还包括以下方面：（a）事件原因的分析和确认；（b）遏制事件再次发生的策略；（c）向银监会等政府机关报告发生的行为；（3）调阅商业银行历史事件处置记录，验证是否收集、保护审计踪迹和类似的证据以应用于：（a）内部问题分析；（b）用作将来的司法证据；（c）同软件和服务供应商谈判赔偿时使用；（4）调阅信息系统安全事件报告制度和处理流程规定，查看是否对信息安全管理部门和信息技术人员进行过职责划分，职责划分是否清晰；（5）与信息安全管理人员座谈，了解是否进行过信息系统安全事件应急响应流程演练，是否知晓演练内容和要求；（6）调阅信息系统安全事件报告制度和处理流程规定，查看演练内容、流程和频度是否符合信息安全制度的要求；（7）审计部门是否对信息系统安全事件响应演练进行过审计评估。信息安全管理部门是否根据审计结果进行过整改。检查项3：服务台管理基本要求：商业银行应当建立信息技术服务台，为行内用户提供所有技术相关问题的在线支持，并将问题提交给相关信息技术职能部门进行调查核实解决。接到事件报告后，服务台应对事件进行响应、过滤、记录、合理分类，对服务台能够处理的事件进行及时处置，将其他事件及时分发给后台技术支持部门。检查方法、步骤：（1）调阅相关文档并询问相关人员，验证商业银行是否建立了服务台及管理制度；（2）调阅服务台管理制度并询问工作台工作人员，验证该服务台是否为该行IT部门提供的唯一事件受理渠道；（3）调阅服务台事件登记记录，验证该服务台是否对所受理的所有事件均进行了详细记录（事件发生时间、报告人、事件描述、处理记录等）；（4）根据抽样规则选取部分事件记录，通过访谈事件报告人和最终处理人验证服务台受理是否及时、任务分发是否及时合理。6.6问题管理商业银行应加强对事件的管理，定期组织人员对事件进行评估、分析，对有共源性的事件升级到问题管理流程。商业银行应建立问题管理台帐，以确保全面地追踪、分析和解决信息系统问题，及时组织相关人员分析问题发生的根源，从根本上消除问题。检查项1：事件分析和问题生成基本要求：商业银行应定期对信息系统事件进行分类、评估、分析，制定事件管理升级为问题管理的规章制度，对有共源性的事件及时升级到问题管理流程。检查方法、步骤：（1）调阅商业银行相关文档，验证该行是否制定了完善的事件管理升级为问题管理的标准；（2）调阅商业银行事件管理登记表及详细记录，验证该行是否能够按照相关规定及时将事件管理升级为问题管理流程。检查项2：台账管理基本要求：商业银行应制定完善的问题管理制度，并建立问题管理台账，对问题的整个生命周期进行管理。检查方法、步骤：（1）调阅商业银行相关文档，验证该行是否制定了完善的问题管理制度；（2）调阅商业银行问题管理记录，验证该行是否建立了问题管理台账，台账是否记录了问题处理的全过程。检查项3：问题处置基本要求：对信息系统问题，商业银行及时组织相关人员分析问题发生的根源，从根本上消除问题。检查方法、步骤：（1）约谈商业银行事件管理人员，了解该行是否能够及时对信息事件进行分析、评估；（2）根据抽样规则抽取部分检查人员认为应当升级为问题管理流程的事件，验证该行是否及时将事件升级为问题管理；（3）查证事件管理记录，验证升级为问题管理流程并经过处置的信息事件是否再次发生，从而证明问题解决的有效性。6.7容量管理商业银行应通过预先的规划和准备，确保提供足够的容量和资源可用性以保证业务系统持续运行。对于每一个新的和正在进行的活动来说，应识别容量需求，应对系统进行监视以确保必要时调整系统容量，确保系统的可用性和效率。未来容量的需求应综合考虑新业务对系统的要求、当前状况和未来趋势。检查项1：容量规划基本