1、商业银行信息科技风险现场检查指南精品文档商业银行信息科技风险现场检查指南目 录第一部分 概述121. 指南说明131.1 目的及适用范围131.2 编写原则141.3 指南框架15第二部分 科技管理172. 信息科技治理182.1 董事会及高级管理层18检查项1 :董事会18检查项2 :信息科技管理委员会19检查项3 :首席信息官()202.2 信息科技部门21检查项1 :信息科技部门21检查项2 :信息科技战略规划232.3 信息科技风险管理部门24检查项1 :信息科技风险管理部门242.4 信息科技风险审计部门25检查项1 :信息科技风险审计部门252.5 知识产权保护和信息披露26检查项
2、1 :知识产权保护26检查项2 :信息披露263. 信息科技风险管理283.1 风险识别和评估28检查项1 :风险管理策略28检查项2 :风险识别与评估293.2 风险防范和检测29检查项1 :风险防范措施29检查项2 :风险计量与检测304. 信息安全管理324.1 安全管理机制与管理组织32检查项1:信息分类和保护体系32检查项2:安全管理机制33检查项3:信息安全策略34检查项4:信息安全组织344.2 安全管理制度35检查项1:规章制度35检查项2:制度合规36检查项3:制度执行374.3 人员管理38检查项1:人员管理384.4 安全评估报告39检查项1:安全评估报告394.5 宣传
3、、教育和培训39检查项1:宣传、教育和培训395.系统开发、测试与维护415.1开发管理41检查项1:管理架构41检查项2:制度建设43检查项3:项目控制体系44检查项4:系统开发的操作风险45检查项5:数据继承和迁移465.2系统测试与上线47检查项1:系统测试47检查项2:系统验收49检查项3:投产上线495.3系统下线50检查项1:系统下线506. 系统运行管理526.1 日常管理52检查项1:职责分离52检查项2:值班制度53检查项3:操作管理53检查项4:人员管理546.2 访问控制策略55检查项1:物理访问控制策略55检查项2:逻辑访问控制策略56检查项3:账号及权限管理57检查项
4、4:用户责任及终端管理58检查项5:远程接入的控制596.3 日志管理60检查项1:审计日志检查60检查项2:日志信息的保护60检查项3:操作日志的检查61检查项4:错误日志的检查616.4系统监控62检查项1:基础环境监控62检查项2:系统性能监控62检查项3:系统运行监控63检查项4:测评体系646.5 事件管理65检查项1:事件报告流程65检查项2:事件管理和改进66检查项3:服务台管理676.6问题管理67检查项1:事件分析和问题生成68检查项2:台账管理68检查项3:问题处置686.7 容量管理69检查项1:容量规划69检查项2:容量监测70检查项3:容量变更706.8 变更管理71
5、检查项1:变更的流程72检查项2:变更的评估72检查项3:变更的授权73检查项4:变更的执行73检查项5:紧急变更74检查项6:重大变更747. 业务连续性管理767.1 业务连续性管理组织77检查项1:董事会及高管层的职责77检查项2:业务连续性管理组织的建立78检查项3:业务连续性管理组织职责797.2 服务连续性管理80检查项1:服务连续性计划的组织保障80检查项2:风险评估及业务影响分析81检查项3:服务连续性计划的制定81检查项4:服务连续性计划的测试与维护82检查项5:服务连续性计划审计83检查项6:服务连续性相关领域的控制848. 应急管理858.1 应急组织85检查项1:应急管
6、理团队85检查项2:应急管理职责86检查项3:应急管理制度868.2 应急预案87检查项1:应急预案制订87检查项2:应急预案内容87检查项3:应急预案更新89检查项4:外包服务应急89检查项5:应急预案培训908.3 应急保障90检查项1:人员保障90检查项2:物质保障90检查项3:技术保障91检查项4:沟通保障918.4 应急演练92检查项1:应急演练的计划92检查项2:应急演练的实施92检查项3:应急演练的总结938.5 应急响应93检查项1:应急响应流程93检查项2:全程记录处置过程94检查项3:应急事件报告95检查项4:与第三方沟通95检查项5:向新闻媒体通报制度96检查项6:应急处
7、置总结968.6 持续改进97检查项1:应急事件评估97检查项2:应急响应评估97检查项3:应急管理改进979. 灾难恢复管理999.1 灾难恢复组织架构99检查项1:灾难恢复相关组织架构999.2 灾难恢复策略101检查项1:总体控制101检查项2:灾难恢复策略101检查项3:灾难备份策略103检查项4:外包风险1049.3 灾难恢复预案105检查项1:灾难恢复预案105检查项2:联络与通讯106检查项3:教育、培训和演练1079.4评估和维护更新107检查项1:灾备策略的评估和维护更新107检查项2:灾难恢复预案的评估和维护更新10810. 数据管理10910.1 数据管理制度和岗位109
8、检查项1: 数据管理制度109检查项2 :数据管理岗位11010.2 数据备份、恢复策略110检查项1:数据备份、转储策略110检查项2:数据恢复、抽检策略11110.3数据存储介质管理112检查项1:介质管理112检查项2:介质的清理和销毁11311. 外包管理11411.1外包管理制度114检查项1:外包管理制度114检查项2:外包审批流程114检查项3:外包协议115检查项4:服务水平协议115检查项5:外包安全保密措施116检查项6:外包文档管理11611.2外包评估和监督117检查项1:外包服务商的评估117检查项2:外包项目的监督管理11712. 内部审计11912.1 内部审计管
9、理119检查项1:内部审计部门、岗位、人员和职责119检查项2:内部审计制度和办法11912.2 内部审计要求120检查项1:内部审计范围和频率120检查项2:内部审计结果的有效性12013. 外部审计12213.1 外部审计资质122检查项1:外部审计机构的资质12213.2 外部审计要求122检查项1:商业银行配合外部审计情况122检查项2:外部审计有效性123检查项3:外审过程中的保密要求123第三部分 基础设施12514. 计算机机房12614.1计算机机房建设126检查项1:计算机机房选址126检查项2:机房功能分区127检查项3:计算机机房基础设施建设127检查项4:计算机机房的环
10、境要求130检查项5:计算机机房日常维护13114.2计算机机房管理132检查项1:计算机机房安全管理132检查项2:计算机机房集中监控系统133检查项3:计算机机房安全区域访问控制134检查项4:计算机机房运行管理13514.3机房设备管理136检查项1:机房设备的环境安全13615. 网络通讯13715.1 内控管理137检查项1:内控制度137检查项2:人员管理138检查项3:访问控制138检查项4:日志管理139检查项5:第三方管理140检查项6:服务外包141检查项7:文档管理141检查项8:风险评估14215.2 网络运行维护143检查项1:运行监控143检查项2:性能监控143检
11、查项3:流量监控144检查项4:监控预警144检查项5:性能调优144检查项6:事件管理145检查项7:运行检查14515.3 网络变更管理146检查项1:变更发起146检查项2:变更计划147检查项3:变更测试147检查项4:变更审批147检查项5:变更实施14815.4 网络服务可用性149检查项1:容量管理149检查项2:冗余管理149检查项3:带外管理150检查项4:压力测试151检查项5:应急管理15115.5 网络安全技术151检查项1:结构安全151检查项2:物理安全153检查项3:传输安全153检查项4:访问控制154检查项5:接入安全155检查项6:网络边界安全156检查项7
12、:入侵检测防范157检查项8:恶意代码防范158检查项9:网络设备防护158检查项10:网络安全测试160检查项11:安全审计日志161检查项12:安全检查16216. 操作系统16316.1账号及密码管理163检查项1:管理制度163检查项2:账号、密码管理163检查项3:账号、密码管理检查16516.2系统访问控制165检查项1:访问控制策略165检查项2:用户登录行为管理166检查项3:登录失败日志管理166检查项4:最小化访问16716.3远程接入管理168检查项1:远程管理制度168检查项2:远程维护管理169检查项3:远程维护审查16916.4日常维护170检查项1:系统性能监控1
13、70检查项2:补丁及漏洞管理170检查项3:日常维护管理171检查项4:系统备份和故障恢复172检查项5:病毒及恶意代码管理172检查项6:定时进程设置管理173检查项7:系统审计功能17317. 数据库管理系统17517.1访问控制175检查项1:身份认证175检查项2:授权控制176检查项3:远程访问177检查项4:安全参数设置17817.2日常管理178检查项1:数据安全178检查项2:审计功能179检查项3:性能管理180检查项4:补丁升级18117.3连续性管理181检查项1:备份和恢复181检查项2:连续性和应急管理18218. 第三方中间件18418.1 产品管理184检查项1:
14、中间件测试184检查项2:中间件管理184检查项3:中间件与业务系统架构18518.2 运行管理185检查项1:维护流程和操作手册185检查项2:中间件配置管理185检查项3:中间件日志管理的程序186检查项4:中间件的性能监控186检查项5:中间件产生的事件和问题管理187检查项6:中间件的变更187检查项7:单点故障问题和负载均衡187检查项8:压力测试188第四部分 应用系统18919. 应用系统19019.1 应用系统管理190检查项1:业务管理办法与操作流程190检查项2:重要应用系统评估190检查项3:应用系统版本管理191检查项4:应用系统培训教育19219.2 应用系统操作19
15、2检查项1:终端用户管理192检查项2:访问控制与授权管理193检查项3:数据保密处理194检查项4:数据完整性处理195检查项5:数据准确性处理195检查项6:日志管理机制196检查项7:备份、恢复机制197检查项8:文档资料管理198检查项9:内部审计的参与19920. 电子银行20020.1 电子银行业务合规性200检查项1:电子银行业务合规性20020.2 电子银行风险管理体系201检查项1:电子银行风险管理体系20120.3 电子银行安全管理202检查项1:电子银行安全策略管理202检查项2:电子银行安全措施203检查项3:电子银行安全监控204检查项4:电子银行安全评估20420.
16、4 电子银行可用性管理205检查项1:电子银行基础设施205检查项2:电子银行性能监测和评估20520.5 电子银行应急管理206检查项1: 电子银行应急预案206检查项2:电子银行应急演练20721. 银行卡系统20821.1 银行卡系统管理208检查项1:银行卡系统容量的合理规划208检查项2:银行卡系统物理设备风险和故障处理209检查项3:银行卡交易监控209检查项4:账户密码和交易数据的存储和传输210检查项5:银行卡系统应急预案21121.2 终端设备212检查项1:自助银行机具和安装环境的物理安全212检查项2:自助银行机具的通信安全212检查项3:自助银行机具的安全装置213检查
17、项4:自助银行业务操作流程(机具软件)213检查项5:自助银行机具的巡查维护214检查项6:机21421.3 自助银行监控215检查项1:自助银行设备日常运行的监控情况215检查项2:监控中心和监控设备215检查项3:自助银行监控发现问题的处置情况216检查项4:自助银行设施安全评估(信息科技方面)21622. 第三方存管系统21722.1 管理架构和职责217检查项1:管理架构与岗位职责分工21722.2 系统功能217检查项1:系统功能21722.3 系统一般安全与账户处理218检查项1:账户冲正处理218检查项2:网络访问控制与病毒防范21822.4 数据交换219检查项1:数据交换安全
18、性21922.5 运行维护220检查项1:运行维护安全性22022.6 系统备份220检查项1:系统备份安全性22022.7 应急恢复与事故处理221检查项1:应急恢复与事故处理流程22122.8 系统测试221检查项1:系统测试22122.9 临时派出柜台222检查项1:系统派出柜台安全性222附录22323. 常用检查方法22423.1 问卷与函证22423.2 访谈22523.3 查阅22623.4 观察22723.5 测试22726.6 分析性复核23026.7 评审23124. 主要网络设备常用操作23224.1 设备常用操作232交换机232路由器233防火墙23424.2 H3C
19、设备常用操作234交换机234路由器236防火墙23725. 主要操作系统常用操作23825.1 系统检查常用操作23825.2 系统检查常用操作24625.3 系统检查常用操作25025.4 系统检查常用操作25126. 主要数据库管理系统常用操作25626.1 2 系统检查常用操作25626.2 系统检查常用操作25726.3 系统检查常用操作25726.4 系统检查常用操作25926.5 系统检查常用操作261第一部分 概述1. 指南说明1.1 目的及适用范围信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高
20、度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。为提高信息科技风险现场检查质量,规范
21、检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了商业银行信息科技风险现场检查指南(以下简称指南)。指南编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段
22、和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴指南内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。指南主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控
23、原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本指南。1.2 编写原则一、突出风险为本的监管理念。指南坚持法人监管、风险为本的监管理念,紧扣信息科技风险这一中心,详细说明了商业银行信息科技风险管理中的300多个关键风险点,明确提出了具体的控制要求和检查方法、步骤,涵盖了商业银行信息科技风险管控的各个方面和环节。二、坚持分类监管的原则。指南参照相关行业标准和规范,指出了商业银行信息科技风险控制所应达到的标准,同时兼顾不同类型银行机构的特点体现分类监管原则,针对不同的被检
24、查主体,在检查目标上有所区别和侧重,以便于监管人员正确把握检查标准和尺度,对商业银行的指导更具有针对性。三、体现监管引领作用。指南借鉴了国际银行业信息科技风险管理和监管的最新理念,也充分吸收了国内先进银行的成功经验,商业银行可以对照指南分析差距,将指南要求作为持续提高信息科技风险管控水平的目标。1.3 指南框架指南强调:商业银行信息科技风险管理应以科技治理为核心,通过完善科技治理架构,形成有效内控机制,将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。指南包含4个部分和附录,共26章节。第一部分“概述”主要介绍了编制指南的目的和适应范围、阐述了指南的编写原则等内
25、容。第二部分“科技管理”包含12个章节,提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节,提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节,提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。附录包含4个章节,收录了常用检查方法和
26、常用操作命令,常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。第二部分 科技管理2. 信息科技治理商业银行的董事会和高级管理层应根据本银行的发展战略,运用先进管理理念加强信息科技治理,提高信息技术使用效益,推动商业银行的业务创新,增强核心竞争力和可持续发展能力。提示:在对商业银行的信息科技治理情况进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,有的银行机构还不具备建立专门信息科技管理委员会的条件时,可以指定其他委员会暂时代行其职责,也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事
27、会)承担其职责。又如:在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时,可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。2.1 董事会及高级管理层 检查项1 :董事会基本要求:(1)董事会应对银行的信息科技治理负有最终责任。 (2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。 检查方法、步骤:(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对
28、信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。检查项2 :信息科技管理委员会 基本要求:(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2) 信息科技管理委员会的职责应包括:(a)设定全行战略目标,指导方面的资金投入,对规划进行审批;(b)合理运用现有资源,指导信息科技部门提供高质量的服务,同时要监督成
29、本管理情况;(c)通过调整项目和活动的优先级解决资源短缺造成的冲突;(d)确保战略的及时更新;(e)对主要的政策、标准、原则进行审批;(f)对重要的项目和活动进行监控;(g)监督和管理绩效,确保达到预期服务水平;(h)对重大项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。检查方法、步骤:(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措
30、施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。检查项3 :首席信息官()基本要求:(1)商业银行应建立首席信息官制度,明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规
31、范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作:信息科技预算和支出,信息科技政策、标准和流程制定及执行,信息科技内部控制、专业化研发,信息科技项目管理,信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难恢复计划,信息科技外包和信息系统退出等。(6)首席信息官应确保信息科技人才队伍具备充分的专业技能。检查方法、步骤:(1)访谈首席信息官,关注以下内容:(a)银行的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理
32、层/董事会/信息科技管理委员会等保持有效沟通;(f) 首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进行监控。(2)查阅相关文档资料,如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。 2.2 信息科技部门 检查项1 :信息科技部门 基本要求:(1)商业银行应建立与银行业务相适应的信息科技部门,负责信息科技产品的开发、外包、测试、上线和变更,负责相应信息系统的运行、维护和安全,为银行提供信息科技业务产品。(2)信息科技部
33、门应该根据工作内容,制定完整的内部工作流程和内控制度,建立与相关职能部门之间的协调配合机制,保证信息科技工作的有序、高效。(3)信息科技部门应定期分析评估信息系统生命周期各阶段的风险,制定风险防控策略、措施和检查流程,切实做好信息科技风险管控。(4)信息科技部门所配置的信息科技人员的数量应适应业务及发展水平,能保证各个信息系统和各项信息科技工作安全持续地运转。信息科技部门应做好科技人员管理,注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录,具备相应的专业知识技能。(5)信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍,应做好信息科技开发管理,以及
34、相关的外包服务管理、知识产权管理和开发环节的风险管理,为银行提供安全的信息科技业务产品。(6)信息科技部门应建设好银行信息科技系统安全连续运行的环境(包括场地、设备、网络、系统、数据安全、访问控制和管理制度等),做好各种环境的监测控制,做好事件、问题管理和变更管理,做好紧急事件应急预案。(7)信息科技部门应严格遵守国家各项安全管理制度,配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度,协助做好业务部门信息科技风险控制和安全教育。检查方法、步骤:(1)调阅信息科技部门的各项工作流程和规章制度。(2)调阅信息科技风险管理政策和制度。(3)调阅信息科技部门的组织结
35、构图,岗位职责说明。(4)访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员,关注以下内容:(a)信息科技部门内部设置了哪些条线?各条线是否实现了必要的职责分离,如开发团队和运行团队分离, 信息科技人员不从事业务操作, 有专门的团队开展安全检查等;(b) 信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能;(c)问题和风险的报告路线、流程和处置效率; (d) 信息科技人员的激励机制;(e)如何对信息科技人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内部控制的理念;(f)信息科技人员的任免和招聘,是否进行背景调查;(g)主要岗位是否轮岗;(h)信息科技人
36、员的技能培训情况;(i)信息科技人员是否了解本行的信息科技政策/流程/规范/标准等。检查项2 :信息科技战略规划 基本要求:(1)商业银行信息科技战略规划应在充分的市场调查和技术分析的基础上,由首席信息官, 银行高级管理层, 科技部门、风险管理和业务部门共同讨论制定,并经过信息科技管理委员会审查和批准,并报董事会审议。(2)信息科技战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息科技支持。(3)信息科技战略规划应包含但不限于:治理建设的规划(关注于管理组织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技基础设施规划(关注于基础设施建设)。(4)在银行总体战
37、略发生变化时,银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进行监督。检查方法、步骤:(1)调阅信息科技发展战略规划或其他中长期发展规划,关注相关规划的配合和衔接。(2)访谈信息科技管理部门负责人和相关工作人员,重点关注:(a)信息科技发展战略规划的制定是否有各方面人员参与,是否经过高级管理层审批;(b)信息科技发展战略规划的内容是否包含了应用架构,基础设施治理等方面;(c)信息科技发展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题;(d)信息科技战略规划是否依据环境变化,总体战略变更等进
38、行调整。2.3 信息科技风险管理部门检查项1 :信息科技风险管理部门 基本要求:(1)商业银行应建立全行信息科技风险管理框架,设立或指定信息科技风险管理部门,明确相应的管理职责,设置必要的岗位,配置足够的信息科技风险管理人员。(2)信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。(3)信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度,定期检查制度的执行情况,防止出现失控的环节和管理制度老化的情况。(4)信息科技风险管理部门应对重要的信息科技工作环节进行风险识别和评估,定期检查和上报信息
39、科技风险控制状况。(5)信息科技风险管理部门应对全行员工进行持续的信息科技风险教育。检查方法、步骤:(1)调阅信息科技风险管理的相关政策, 流程,管理规范, 工作手册,以及开展信息科技风险管理的记录, 如日常工作记录、会议纪要和风险评估报告等。(2)调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配置情况。(3)了解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标准,是否定期开展风险评估, 风险评估的结果,主要风险和应对措施等。(4)了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的开展情况
40、,并调阅培训资料和记录等。2.4 信息科技风险审计部门检查项1 :信息科技风险审计部门 基本要求:(1)商业银行应指定专门负责信息科技风险审计的部门,设置必要的岗位,并配备适量信息科技风险专业审计人员。(2)制定信息科技风险审计制度和相应的审计手册。(3)应有计划、有侧重点地开展信息科技风险审计工作。(4)及时向董事会和监事会报告信息科技风险审计情况。(5)审计发现重大风险隐患应及时报告。检查方法、步骤:(1)访谈信息科技审计部门负责人和工作人员, 了解以下信息:(a)信息科技审计职能的定位, 工作范围,组织结构和分工(包括信息科技内审团队内部的分工,以及与其他内审团队的分工),汇报路线, 人
41、员配置, 技能 (如是否拥有专业资格)等情况;(b)信息科技审计计划, 关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划;(c)信息科技审计工作的标准和规范;(d)信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等;(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。(f)内审人员的持续培训情况。(2)调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度;(b)信息科技审计部组织结构图,职责说明等;(c)信息科技风险审计手册或其他标准规范文档。(3)调阅商业银行审计工作计划、工作底稿和审计报告。(4)调阅
42、审计发现落实整改情况的记录;。(5) 调阅培训记录。2.5 知识产权保护和信息披露检查项1 :知识产权保护 基本要求:(1)商业银行应按照国家有关知识产权法律、法规的要求,制定本单位知识产权保护制度。(2)应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。(3)规范合法软件的购买和使用,禁止使用盗版软件。(4)做好自主开发的信息科技产品的知识产权保护工作。检查方法、步骤:(1)调阅商业银行遵守知识产权法律的相关制度并审查其内容。(2)查阅商业银行的软件清单,检查是否拥有产权或授权及到期状况。(3)查阅外包服务协议和相关文件中是否有知识产权的保护条款,并检查落实情况。 检查项2 :信
43、息披露 基本要求:商业银行应依据国家有关法律、法规的要求,按照监管机构规定的格式和时间,及时规范地披露信息科技风险信息。检查方法、步骤:(1)调阅商业银行有关信息科技风险披露的制度。(2)查阅商业银行披露信息科技风险评估结果的记录。(3)重点关注信息披露是否符合商业银行信息披露办法等有关法律、法规的要求,是否按照监管机构规定的格式和时间及时规范地发布。(4) 访谈信息科技人员了解信息披露的流程, 以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。3. 信息科技风险管理商业银行应制定信息科技风险管理策略,制定风险识别和评估、风险防范措施,对风险进行持续监测。3.1
44、 风险识别和评估检查项1 :风险管理策略基本要求:(1)商业银行应制定符合银行总体业务发展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划;(2)应配置足够人力、财力资源,维持稳定、安全的信息科技环境;(3)应制定全面的信息科技风险管理策略,包括但不限于:信息分级与保护,信息系统开发、测试和维护,信息科技运行和维护,访问控制,物理安全,人员安全,业务连续性计划与应急处置。检查方法、步骤:(1)访谈信息科技部门及信息科技风险管理部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定;(b) 银行的主要信息科技风险及其应对措
45、施;(c)在开展信息科技风险管理过程中遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管理政策和流程, 风险评估规范或手册等。检查项2 :风险识别与评估 基本要求:(1)商业银行应制定持续的风险识别和评估流程,确定信息科技风险隐患;(2)定期评估信息科技风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别。检查方法、步骤:(1)调阅风险识别和评估流程文档,风险评估报告和相关工作底稿,了解具体工作开展情况。(2)与信息科技风险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员)访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。3.2 风险防范和检测检查项1 :风险防范措施 基本要求:(1)商业银行应依据信息科技风