商业银行信息科技风险现场检查指南 (一)

商业银行信息科技风险

现场检查指南

目录

第一部分概述...................................................................12

1.指南说明.....................................................................13

1.1目的及适用范围.........................................................13

1.2编写原则................................................................14

1.3指南框架................................................................15

第二部分科技管理..............................................................17

2.信息科技治理................................................................18

2.1董事会及高级管理层......................................................18

检查项1:董事会.......................................................18

检查项2：信息科技管理委员会..........................................19

检查项3:首席信息官（CIO）...........................................20

2.2信息科技部门............................................................21

检查项1：信息科技部门................................................21

检查项2：信息科技战略规划............................................23

2.3信息科技风险管理部门...................................................24

检查项1：信息科技风险管理部门........................................24

2.4信息科技风险审计部门...................................................25

检查项1：信息科技风险审计部门........................................25

2.5知识产权保护和信息披露.................................................26

检查项1:知识产权保护................................................26

检查项2：信息披露....................................................26

3.信息科技风险管理............................................................28

3.1风险识别和评估........................................................28

检查项1：风险管理策略................................................28

检查项2:风险识别与评估..............................................29

3.2风险防范和检测........................................................29

检查项1：风险防范措施................................................29

检查项2：风险计量与检测..............................................30

4.信息安全管理................................................................32

4.1安全管理机制与管理组织.................................................32

检查项1：信息分类和保护体系............................................32

检查项2：安全管理机制..................................................33

检查项3：信息安全策略..................................................34

检查项4：信息安全组织..................................................34

4.2安全管理制度............................................................35

检查项1：规章制度......................................................35

检查项2：制度合规......................................................36

检查项3：制度执行......................................................37

4.3人员管理................................................................38

检查项1：人员管理......................................................38

4.4安全评估报告............................................................39

检查项1：安全评估报告..................................................39

4.5宣传、教育和培训........................................................39

检查项1：宣传、教育和培训..............................................39

5.系统开发、测试与维护........................................................41

5.1开发管理................................................................41

检查项1:管理架构......................................................41

检查项2：制度建设......................................................43

检查项3：项目控制体系..................................................44

检查项4：系统开发的操作风险...........................................45

检查项5：数据继承和迁移................................................46

5.2系统测试与上线..........................................................47

检查项1：系统测试......................................................47

检查项2：系统验收......................................................49

检查项3：投产上线......................................................49

5.3系统下线................................................................50

检查项1：系统下线......................................................50

6.系统运行管理................................................................52

6.1日常管理................................................................52

检查项1：职责分离......................................................52

检查项2：值班制度......................................................53

检查项3：操作管理......................................................53

检查项4：人员管理......................................................54

6.2访问控制策略............................................................55

检查项1：物理访问控制策略..............................................55

检查项2：逻辑访问控制策略..............................................56

检查项3：账号及权限管理................................................57

检查项4：用户责任及终端管理...........................................58

检查项5：远程接入的控制................................................59

6.3日志管理................................................................60

检查项1：审计日志检查..................................................60

检查项2：E志信息的保护................................................60

检查项3：操作日志的检查................................................61

检查项4：错误日志的检查................................................61

6.4系统监控................................................................62

检查项1：基础环境监控..................................................62

检查项2：系统性能监控..................................................62

检查项3：系统运行监控..................................................63

检查项4：测评体系......................................................64

6.5事件管理................................................................65

检查项1：事件报告流程..................................................65

检查项2：事件管理和改进................................................66

检查项3：服务台管理....................................................67

6.6问题管理................................................................67

检查项1：事件分析和问题生成...........................................68

检查项2：台账管理......................................................68

检查项3：问题处置......................................................68

6.7容量管理................................................................69

检查项1：容量规划......................................................69

检查项2：容量监测......................................................70

检查项3：容量变更......................................................70

6.8变更管理................................................................71

检查项1：变更的流程....................................................72

检查项2：变更的评估....................................................72

检查项3：变更的授权....................................................73

检查项4：变更的执行....................................................73

检查项5：紧急变更......................................................74

检查项6：重大变更......................................................74

7.业务连续性管理..............................................................76

7.1业务连续性管理组织....................................................77

检查项1：董事会及高管层的职责.........................................77

检查项2：业务连续性管理组织的建立.....................................78

检查项3：业务连续性管理组织职责.......................................79

7.2IT服务连续性管理.......................................................80

检查项1：IT服务连续性计划的组织保障....................................80

检查项2：风险评估及业务影响分析.......................................81

检查项3：IT服务连续性计划的制定......................................81

检查项4：IT服务连续性计划的测试与维护................................82

检查项5：IT服务连续性计划审计........................................83

检查项6：IT服务连续性相关领域的控制..................................84

8.应急管理....................................................................85

8.1应急组织................................................................85

检查项1：应急管理团队..................................................85

检查项2：应急管理职责..................................................86

检查项3：应急管理制度..................................................86

8.2应急预案................................................................87

检查项1：应急预案制订..................................................87

检查项2：应急预案内容..................................................87

检查项3：应急预案更新..................................................89

检查项4：外包服务应急..................................................89

检查项5：应急预案培训..................................................90

8.3应急保障................................................................90

检查项1：人员保障......................................................90

检查项2：物质保障......................................................90

检查项3：技术保障......................................................91

检查项4：沟通保障......................................................91

8.4应急演练................................................................92

检查项1：应急演练的计划................................................92

检查项2：应急演练的实施................................................92

检查项3：应急演练的总结................................................93

8.5应急响应................................................................93

检查项1：应急峋应流程..................................................93

检查项2：全程记录处置过程..............................................94

检查项3：应急事件报告..................................................95

检查项4：与第三方沟通..................................................95

检查项5：向新闻媒体通报制度...........................................96

检查项6：应急处置总结..................................................96

8.6持续改进................................................................97

检查项1：应急事件评估..................................................97

检查项2：应急响应评估..................................................97

检查项3：应急管理改进..................................................97

9.灾难恢复管理................................................................99

9.1灾难恢复组织架构........................................................99

检查项1：灾难恢复相关组织架构.........................................99

9.2灾难恢复策略...........................................................101

检查项1：总体控制.....................................................101

检查项2：灾难恢复策略.................................................101

检查项3：灾难备份策略.................................................103

检查项4：外包风险.....................................................104

9.3灾难恢复预案...........................................................105

检查项1：灾难恢复预案.................................................105

检查项2：联络与通讯...................................................106

检查项3：教育、培训和演练.............................................107

9.4评估和维护更新..........................................................107

检查项1：灾备策略的评估和维护更新....................................107

检查项2：灾难恢复预案的评估和维护更新................................108

10.数据管理..................................................................109

10.1数据管理制度和岗停...................................................109

检查项1：数据管理制度.................................................109

检查项2:数据管理岗位................................................110

10.2数据备份、恢复策略....................................................110

检查项1：数据备份、转储策略...........................................110

检查项2：数据恢复、抽检策略...........................................Ill

10.3数据存储介质管理......................................................112

检查项1：介质管理......................................................112

检查项2：介质的清理和销毁.............................................113

11.外包管理....................................................................114

11.1外包管理制度...........................................................114

检查项1:外包管理制度.................................................114

检查项2：外包审批流程.................................................114

检查项3：外包协议......................................................115

检查项4：服务水平协议.................................................115

检查项5：外包安全保密措施.............................................116

检查项6：外包文档管理.................................................116

11.2外包评估和监督.........................................................117

检查项1:外包服务商的评估.............................................117

检查项2：外包项目的监督管理...........................................117

12.内部审计...................................................................119

12.1内部审计管理.........................................................119

检查项1：内部审计部门、岗位、人员和职责..............................119

检查项2：内部审计制度和办法...........................................119

12.2内部审计要求.........................................................120

检查项1：内部审计范围和频率...........................................120

检查项2：内部审计结果的有效性.........................................120

13.外部审计..................................................................122

13.1外部审计资质.........................................................122

检查项1：外部审计机构的资质...........................................122

13.2外部审计要求.........................................................122

检查项1：商业银行配合外部审计情况....................................122

检查项2：外部审计有效性...............................................123

检查项3：外审过程中的保密要求.........................................123

第三部分基础设施.............................................................125

14.计算机机房................................................................126

14.1计算机机房建设........................................................126

检查项1：计算机机房选址...............................................126

检查项2：机房功能分区.................................................127

检查项3：计算机机房基础设施建设......................................127

检查项4：计算机机房的环境要求.........................................130

检查项5：计算机机房日常维护...........................................131

14.2计算机机房管理.......................................................132

检查项1：计算机机房安全管理...........................................132

检查项2：计算机机房集中监控系统......................................133

检查项3：计算机机房安全区域访问控制..................................134

检查项4：计算机机房运行管理...........................................135

14.3机房设备管理..........................................................136

检查项1：机房设备的环境安全...........................................136

15.网络通讯..................................................................137

15.1内控管理..............................................................137

检查项1：内控制度.....................................................137

检查项2：人员管理.....................................................138

检查项3：访问控制.....................................................138

检查项4：日志管理.....................................................139

检查项5：第三方管理...................................................140

检查项6：服务外包.....................................................141

检查项7：文档管理.....................................................141

检查项8：风险评估.....................................................142

15.2网络运行维护..........................................................143

检查项1：运行监控.....................................................143

检查项2：性能监控.....................................................143

检查项3：流量监控.....................................................144

检查项4：监控预警.....................................................144

检查项5：性能调优.....................................................144

检查项6：事件管理.....................................................145

检查项7：运行检查.....................................................145

15.3网络变更管理..........................................................146

检查项1：变更发起.....................................................146

检查项2：变更计划.....................................................147

检查项3：变更测试.....................................................147

检查项4：变更审批.....................................................147

检查项5：变更实施.....................................................148

15.4网络服务可用怛........................................................149

检查项1：容量管理.....................................................149

检查项2：冗余管理.....................................................149

检查项3：带外管理.....................................................150

检查项4：压力测试.....................................................151

检查项5：应急管理.....................................................151

15.5网络安全技术..........................................................151

检查项1：结构安全.....................................................151

检查项2：物理安全.....................................................153

检查项3：传输安全.....................................................153

检查项4：访问控制.....................................................154

检查项5：接入安全.....................................................155

检查项6：网络边界安全.................................................156

检查项7：入侵检测防范.................................................157

检查项8：恶意代码防范.................................................158

检查项9：网络设备防护.................................................158

检查项10：网络安全测试................................................160

检查项11：安全审计日志................................................161

检查项12：安全检查....................................................162

16.操作系统....................................................................163

16.1账号及密码管理........................................................163

检查项1：管理制度.....................................................163

检查项2：账号、密码管理...............................................163

检查项3：账号、密码管理检查...........................................165

16.2系统访问控制..........................................................165

检查项1：访问控制策略.................................................165

检查项2：用户登录行为管理.............................................166

检查项3：登录失败日志管理.............................................166

检查项4：最小化访问...................................................167

16.3远程接入管理..........................................................168

检查项1：远程管理制度.................................................168

检查项2：远程维护管理.................................................169

检查项3：远程维护审查.................................................169

16.4日常维护..............................................................170

检查项1：系统性能监控.................................................170

检查项2：补丁及漏洞管理...............................................170

检查项3：日常维护管理.................................................171

检查项4：系统备份和故障恢复...........................................172

检查项5：病毒及恶意代码管理...........................................172

检查项6：定时进程设置管理.............................................173

检查项7：系统审计功能.................................................173

17.数据库管理系统............................................................175

17.1访问控制...............................................................175

检查项1：身份认证.....................................................175

检查项2：授权控制.....................................................176

检查项3：远程访问.....................................................177

检查项4：安全参数设置.................................................178

17.2日常管理...............................................................178

检查项1：数据安全.....................................................178

检查项2：审计功能.....................................................179

检查项3：性能管理.....................................................180

检查项4：补丁升级.....................................................181

17.3连续性管理.............................................................181

检查项1：备份和恢复...................................................181

检查项2：连续性和应急管理.............................................182

18.第三方中间件..............................................................184

18.1产品管理.............................................................184

检查项1：中间件测试...................................................184

检查项2：中间件管理...................................................184

检查项3：中间件与业务系统架构.........................................185

18.2运行管理.............................................................185

检查项1：维护流程和操作手册...........................................185

检查项2：中间件配置管理...............................................185

检查项3：中间件日志管理的程序.........................................186

检查项4：中间件的性能监控.............................................186

检查项5：中间件产生的事件和问题管理..................................187

检查项6：中间件的变更.................................................187

检查项7：单点故障问题和负载均衡......................................187

检查项8：压力测试.....................................................188

第四部分应用系统.............................................................189

19.应用系统....................................................................190

19.1应用系统管理.........................................................190

检查项1：业务管理办法与操作流程......................................190

检查项2：重要应用系统评估.............................................190

检查项3：应用系统版本管理.............................................191

检查项4：应用系统培训教育.............................................192

19.2应用系统操作.........................................................192

检查项1：终端用户管理.................................................192

检查项2：访问控制与授权管理...........................................193

检查项3：数据保密处理.................................................194

检查项4：数据完整性处理...............................................195

检查项5：数据准确性处理...............................................195

检查项6：日志管理机制.................................................196

检查项7：备份、恢复机制...............................................197

检查项8：文档资料管理.................................................198

检查项9：内部审计的参与...............................................199

20.电子我行..................................................................200

20.1电子银行业务合规性....................................................200

检查项1：电子银行业务合规性..........................................200

20.2电子银行风险管理体系.................................................201

检查项1：电子银行风险管理体系........................................201

20.3电子银行安全管理......................................................202

检查项1：电子根行安全策略管理........................................