1、精選優質文檔-傾情為你奉上精選優質文檔-傾情為你奉上專心-專注-專業專心-專注-專業精選優質文檔-傾情為你奉上專心-專注-專業商業銀行信息科技風險現場檢查指南目 錄 TOC o 1-3 h z u 第一部分 概述1. 指南說明1.1 目的及適用范圍信息科技與銀行業務高度融合，已成為銀行業金融機構提高運營效率、實現經營戰略和加快金融創新的重要手段。與此同時，銀行業對信息科技的高度依賴，使得信息科技風險成為影響銀行業穩健運行的主要隱患之一。銀監會按照科學發展觀要求，與時俱進，大力加強信息科技風險監管，充分利用現場檢查這一監管手段，深入檢查銀行機構在信息科技治理、風險管理、信息安全、業務連續性、電子

2、銀行等領域的科技風險及管理情況，發現問題、排查隱患，督促銀行及時整改。商業銀行信息科技風險現場檢查工作，既是銀監會深入掌握銀行信息化建設、科技管理整體情況的有效方法，也是對銀行機構信息科技風險狀況進行準確分析和評價的重要手段，對及時預警風險，提高銀行機構信息科技風險管控能力和水平，保護存款人和公眾利益，維護金融體系安全和穩定有著重要的意義。為提高信息科技風險現場檢查質量，規范檢查行為，銀監會在“管法人、管風險、管內控、提高透明度”監管理念指導下，全面總結信息科技現場檢查經驗，充分借鑒國外監管機構的檢查規范和最佳實踐，編寫了商業銀行信息科技風險現場檢查指南（以下簡稱指南）。指南編制的主要目的在于

3、：一是明確了商業銀行目前主要的信息科技風險領域、主要風險點，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標，從而提高信息科技風險現場檢查的有效性和針對性，提升現場檢查質量，為銀監會及各級派出機構開展信息科技風險現場檢查提供全面和有針對性的指導。二是提供了評價銀行信息科技風險管理各領域狀況的參考標準，并提出了具體的檢查要求和步驟，進一步規范了信息科技風險現場檢查的程序、手段和行為，是銀監會及各級派出機構實施現場檢查工作的一個重要參考依據和檢查指導工具。三是指明了商業銀行信息科技風險防控的重點領域、方向和關鍵風險點，提出了風險識別、預警和控制的具體手段，商業銀行可以充分借鑒指南內的信息科技風險

4、防控原則和指導思想，應用到銀行信息科技建設和管理實踐中，成為指導銀行全面開展科技風險防控、提升管理能力的有力武器。指南主要適用于在中華人民共和國境內依法設立的國有商業銀行、股份制商業銀行、城市商業銀行的信息科技風險現場檢查。政策性銀行、農村商業銀行、農村合作銀行、城市信用社、農村信用社的信息科技風險現場檢查，應考慮區域經濟水平、機構規模與公司治理結構差異，按照本指南的風險防控原則，結合實際情況進行檢查。村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構的信息科技風險現場檢查可參考本指南。1.2 編寫原則一、突出風險為本的監管理

5、念。指南堅持法人監管、風險為本的監管理念，緊扣信息科技風險這一中心，詳細說明了商業銀行信息科技風險管理中的300多個關鍵風險點，明確提出了具體的控制要求和檢查方法、步驟，涵蓋了商業銀行信息科技風險管控的各個方面和環節。二、堅持分類監管的原則。指南參照相關行業標準和規范，指出了商業銀行信息科技風險控制所應達到的標準，同時兼顧不同類型銀行機構的特點體現分類監管原則，針對不同的被檢查主體，在檢查目標上有所區別和側重，以便于監管人員正確把握檢查標準和尺度，對商業銀行的指導更具有針對性。三、體現監管引領作用。指南借鑒了國際銀行業信息科技風險管理和監管的最新理念，也充分吸收了國內先進銀行的成功經驗，商業銀

6、行可以對照指南分析差距，將指南要求作為持續提高信息科技風險管控水平的目標。1.3 指南框架指南強調：商業銀行信息科技風險管理應以科技治理為核心，通過完善科技治理架構，形成有效內控機制，將信息科技風險管控理念貫穿于系統開發、測試和運營維護的信息系統生命周期管理全過程。指南包含4個部分和附錄，共26章節。第一部分“概述”主要介紹了編制指南的目的和適應范圍、闡述了指南的編寫原則等內容。第二部分“科技管理”包含12個章節，提出了對商業銀行信息科技治理、信息科技風險管理、信息安全管理、信息系統生命周期管理、信息系統運行管理、業務連續性管理、應急管理、災難備份管理、數據管理、外包管理、內部審計、外部審計的

7、基本要求、檢查內容和檢查方法、步驟等。第三部分“基礎設施”包含5個章節，提出了對商業銀行計算機房、網絡通訊、操作系統、數據庫管理系統、第三方中間件等基礎設施的基本要求、檢查內容和檢查方法、步驟等。第四部分“應用系統”包含4個章節，提出了對商業銀行核心業務系統、電子銀行系統、銀行卡系統、第三方存管系統的基本要求、檢查內容和檢查方法、步驟等。附錄包含4個章節，收錄了常用檢查方法和常用操作命令，常用操作命令包括主要網絡設備常用操作命令、主要操作系統常用操作命令、主要數據庫管理系統常用操作命令等。第二部分 科技管理2. 信息科技治理商業銀行的董事會和高級管理層應根據本銀行的發展戰略，運用先進管理理念加

8、強信息科技治理，提高信息技術使用效益，推動商業銀行的業務創新，增強核心競爭力和可持續發展能力。提示：在對商業銀行的信息科技治理情況進行檢查和評價時，可根據銀行機構的實際情況，按照分類監管、循序漸進的原則，合理把握標準與尺度。如，有的銀行機構還不具備建立專門信息科技管理委員會的條件時，可以指定其他委員會暫時代行其職責，也可以由一個專門的管理協調小組或由一個已存在的機構（例如董事會）承擔其職責。又如：在監管部門沒有對商業銀行首席信息官制度作出更加明確的規定或銀行機構還不具備設立首席信息官的條件時，可以指定一位具有科技從業背景或工作經驗的高管人員承擔首席信息官的工作職責。2.1 董事會及高級管理層

9、檢查項1 ：董事會基本要求：（1）董事會應對銀行的信息科技治理負有最終責任。 (2)董事會應及時聽取信息科技管理委員會和首席信息官的匯報,了解主要的信息科技風險。(3)信息科技重大事項的決策應經過董事會審議。 檢查方法、步驟：(1)訪談董事會成員/董事會秘書,了解:(a)董事會在銀行信息科技管理領域的角色和職責;(b)董事會是否了解本行所面臨的主要信息科技風險;(c)董事會對信息科技重大事項和決策職責的界定,以及董事會信息科技重大決策的流程;(d)經過董事會討論和決議的信息科技重大事項的落實情況;(e)董事會如何對信息科技的建設和管理情況進行監督。(2)查閱相關資料,如董事會章程,董事會會議紀

10、要,對重大信息科技事項的審批決議的記錄等,對上述信息進行驗證。檢查項2 ：信息科技管理委員會 基本要求：（1）銀行應建立信息科技管理委員會,該委員會成員應包括銀行高級管理層、信息科技部門和主要業務部門的代表。(2) 信息科技管理委員會的職責應包括:(a)設定全行IT戰略目標，指導IT方面的資金投入，對IT規劃進行審批；(b)合理運用現有資源，指導信息科技部門提供高質量的IT服務，同時要監督IT成本管理情況；(c)通過調整IT項目和活動的優先級解決資源短缺造成的沖突；(d)確保IT戰略的及時更新；(e)對主要的IT政策、標準、原則進行審批；(f)對重要的IT項目和活動進行監控；(g)監督和管理I

11、T績效，確保達到預期IT服務水平；(h)對重大IT項目進行審批。（3）定期向董事會和高級管理層匯報信息科技戰略規劃的執行情況、信息科技預算和實際支出情況、信息科技的整體管理狀況, 面臨的主要風險及其應對措施等。檢查方法、步驟：（1）訪談信息科技管理委員會成員,了解信息科技管理委員會的主要職責和開展的主要工作。如(a)是否確保信息科技戰略與業務戰略的一致性;(b)信息科技管理委員會是否了解本行主要的信息科技風險并制定了應對措施;(c)重大信息科技項目投資的審批情況;(e)預算和執行情況;(f)IT績效等。(2)調閱信息科技管理委員會相關文件,如信息科技管理委員會章程/政策,會議紀要,對重大事項的

12、討論和審批記錄等,對訪談了解到的信息進行驗證。(3）查閱信息科技管理委員會向董事會和高級管理層的匯報材料和相關會議記錄,了解其向董事會和高級管理層匯報工作的情況。檢查項3 ：首席信息官（CIO）基本要求：（1）商業銀行應建立首席信息官制度，明確其工作職責及報告路線。（2）首席信息官應了解并參與本行業務發展決策。（3）首席信息官應負責制定和及時更新信息科技戰略,確保信息科技戰略與業務戰略保持一致。（4）首席信息官應確保信息科技職能的規范和有效運作。（5）首席信息官應領導和協調信息科技部門做好以下工作：信息科技預算和支出，信息科技政策、標準和流程制定及執行，信息科技內部控制、專業化研發，信息科技項

13、目管理，信息系統和科技基礎設施的建設、維護和運行管理，信息安全管理，應急管理和災難恢復計劃，信息科技外包和信息系統退出等。（6）首席信息官應確保信息科技人才隊伍具備充分的專業技能。檢查方法、步驟：（1）訪談首席信息官，關注以下內容:(a)銀行的信息科技戰略及其與業務戰略的一致性;(b)銀行目前面臨的主要信息科技風險和應對策略;(c)銀行未來1-3年的信息科技發展規劃;(d)首席信息官開展了哪些主要工作;(e)首席信息官如何與高級管理層/董事會/信息科技管理委員會等保持有效溝通;(f) 首席信息官對銀行信息科技領域主要問題的了解情況和應對計劃;(g)首席信息官如何對信息科技部門的活動和績效進行監

14、控。（2）查閱相關文檔資料，如信息科技部門的匯報資料,董事會/高級管理層匯報資料,會議紀要, 信息科技重大決策的審批記錄,戰略規劃,預算執行情況的分析,風險評估報告等,對訪談了解到的信息進行驗證。 2.2 信息科技部門 檢查項1 ：信息科技部門 基本要求：（1）商業銀行應建立與銀行業務相適應的信息科技部門，負責信息科技產品的開發、外包、測試、上線和變更，負責相應信息系統的運行、維護和安全，為銀行提供信息科技業務產品。（2）信息科技部門應該根據工作內容，制定完整的內部工作流程和內控制度，建立與相關職能部門之間的協調配合機制，保證信息科技工作的有序、高效。（3）信息科技部門應定期分析評估信息系統生

15、命周期各階段的風險，制定風險防控策略、措施和檢查流程，切實做好信息科技風險管控。（4）信息科技部門所配置的信息科技人員的數量應適應業務及IT發展水平，能保證各個信息系統和各項信息科技工作安全持續地運轉。信息科技部門應做好科技人員管理，注重科技專業和風險教育。信息科技人員應有良好的品德、職業操守和信用記錄，具備相應的專業知識技能。（5）信息科技部門應該建設一支與銀行信息科技產品開發戰略相適應的信息科技開發隊伍，應做好信息科技開發管理，以及相關的外包服務管理、知識產權管理和開發環節的風險管理，為銀行提供安全的信息科技業務產品。（6）信息科技部門應建設好銀行信息科技系統安全連續運行的環境（包括場地、

16、設備、網絡、系統、數據安全、訪問控制和管理制度等），做好各種環境的監測控制，做好事件、問題管理和變更管理，做好緊急事件應急預案。（7）信息科技部門應嚴格遵守國家各項安全管理制度，配合風險管理部門、合規部門、業務部門編制各項信息科技業務產品的操作手冊和訪問控制制度，協助做好業務部門信息科技風險控制和安全教育。檢查方法、步驟:（1）調閱信息科技部門的各項工作流程和規章制度。（2）調閱信息科技風險管理政策和制度。（3）調閱信息科技部門的組織結構圖,崗位職責說明。(4)訪談信息科技部門負責人、內部各條線負責人和信息科技風險管理人員，關注以下內容：（a）信息科技部門內部設置了哪些條線？各條線是否實現了必

17、要的職責分離,如開發團隊和運行團隊分離, 信息科技人員不從事業務操作, 有專門的團隊開展安全檢查等；(b) 信息科技部門的資源狀況,包括人員是否充足,是否擁有充分的技能；(c)問題和風險的報告路線、流程和處置效率； (d) 信息科技人員的激勵機制；(e)如何對信息科技人員進行職業道德方面的教育,如何在全行科技職能范圍內推進風險管理和內部控制的理念；(f)信息科技人員的任免和招聘,是否進行背景調查;(g)主要崗位是否輪崗;(h)信息科技人員的技能培訓情況;(i)信息科技人員是否了解本行的信息科技政策/流程/規范/標準等。檢查項2 ：信息科技戰略規劃 基本要求：（1）商業銀行信息科技戰略規劃應在充

18、分的市場調查和技術分析的基礎上，由首席信息官, 銀行高級管理層, 科技部門、風險管理和業務部門共同討論制定，并經過信息科技管理委員會審查和批準，并報董事會審議。（2）信息科技戰略規劃應該與業務發展規劃保持一致,為實現銀行發展戰略提供緊密的信息科技支持。（3）信息科技戰略規劃應包含但不限于：IT治理建設的規劃(關注于管理組織和制度建設等), 應用架構規劃(關注于應用系統的建設), 信息科技基礎設施規劃(關注于基礎設施建設)。(4)在銀行總體戰略發生變化時,銀行信息科技戰略規劃應及時作出相應的調整。(5)銀行應定期更新信息科技戰略規劃。(6)銀行高級管理層應對信息科技戰略規劃的落實情況進行監督。檢

19、查方法、步驟:（1）調閱信息科技發展戰略規劃或其他中長期發展規劃，關注相關規劃的配合和銜接。（2）訪談信息科技管理部門負責人和相關工作人員，重點關注：（a）信息科技發展戰略規劃的制定是否有各方面人員參與，是否經過高級管理層審批；（b）信息科技發展戰略規劃的內容是否包含了應用架構,基礎設施,IT治理等方面；（c）信息科技發展戰略規劃完成情況、信息科技工作的總體狀況、信息科技工作的薄弱點和問題；(d)信息科技戰略規劃是否依據環境變化,總體戰略變更等進行調整。2.3 信息科技風險管理部門檢查項1 ：信息科技風險管理部門 基本要求：（1）商業銀行應建立全行信息科技風險管理框架，設立或指定信息科技風險管

20、理部門，明確相應的管理職責，設置必要的崗位，配置足夠的信息科技風險管理人員。（2）信息科技風險管理部門應制定信息科技風險管理大綱。大綱應清楚描述信息科技風險特點、識別和評估流程、持續的控制措施和報告處理機制。（3）信息科技風險管理部門應定期審查各個相關部門和環節的信息科技風險控制流程和管理制度，定期檢查制度的執行情況，防止出現失控的環節和管理制度老化的情況。（4）信息科技風險管理部門應對重要的信息科技工作環節進行風險識別和評估，定期檢查和上報信息科技風險控制狀況。（5）信息科技風險管理部門應對全行員工進行持續的信息科技風險教育。檢查方法、步驟:（1）調閱信息科技風險管理的相關政策, 流程,管理

21、規范, 工作手冊,以及開展信息科技風險管理的記錄, 如日常工作記錄、會議紀要和風險評估報告等。（2）調閱組織結構圖和職責說明,了解信息科技風險管理部門的組織結構和人員的配置情況。（3）了解信息科技風險管理部門的工作情況, 包括風險管理框架,評估標準,是否定期開展風險評估, 風險評估的結果,主要風險和應對措施等。（4）了解信息科技風險管理部門和信息科技部, 業務部門, 內審部門和其他相關部門的相互協作情況。(5)了解信息科技風險教育和培訓的開展情況,并調閱培訓資料和記錄等。2.4 信息科技風險審計部門檢查項1 ：信息科技風險審計部門 基本要求：（1）商業銀行應指定專門負責信息科技風險審計的部門，

22、設置必要的崗位，并配備適量信息科技風險專業審計人員。（2）制定信息科技風險審計制度和相應的審計手冊。（3）應有計劃、有側重點地開展信息科技風險審計工作。（4）及時向董事會和監事會報告信息科技風險審計情況。（5）審計發現重大風險隱患應及時報告。檢查方法、步驟：（1）訪談信息科技審計部門負責人和工作人員, 了解以下信息:(a)信息科技審計職能的定位, 工作范圍,組織結構和分工(包括信息科技內審團隊內部的分工,以及與其他內審團隊的分工),匯報路線, 人員配置, 技能 (如是否擁有專業資格)等情況；(b)信息科技審計計劃, 關注計劃制定過程中是否考慮了風險,并基于風險狀況制定相應計劃；(c)信息科技審

23、計工作的標準和規范；(d)信息科技內審工作的執行情況,包括開展了哪些主要工作,有哪些主要發現,整改情況等；(e)審計結果的匯報和溝通,包括與被審計方的溝通和落實整改,及與高級管理層和董事會的匯報。(f)內審人員的持續培訓情況。(2)調閱信息科技審計相關文檔,包括:(a)信息科技審計章程或相關制度；(b)信息科技審計部組織結構圖,職責說明等；(c)信息科技風險審計手冊或其他標準規范文檔。（3）調閱商業銀行審計工作計劃、工作底稿和審計報告。（4）調閱審計發現落實整改情況的記錄;。(5) 調閱培訓記錄。2.5 知識產權保護和信息披露檢查項1 ：知識產權保護 基本要求：（1）商業銀行應按照國家有關知識

24、產權法律、法規的要求，制定本單位知識產權保護制度。（2）應采取有效措施確保所有員工充分理解知識產權保護制度并遵照執行。（3）規范合法軟件的購買和使用，禁止使用盜版軟件。（4）做好自主開發的信息科技產品的知識產權保護工作。檢查方法、步驟：（1）調閱商業銀行遵守知識產權法律的相關制度并審查其內容。（2）查閱商業銀行的軟件清單，檢查是否擁有產權或授權及到期狀況。（3）查閱外包服務協議和相關文件中是否有知識產權的保護條款，并檢查落實情況。 檢查項2 ：信息披露 基本要求：商業銀行應依據國家有關法律、法規的要求，按照監管機構規定的格式和時間，及時規范地披露信息科技風險信息。檢查方法、步驟：（1）調閱商業

25、銀行有關信息科技風險披露的制度。（2）查閱商業銀行披露信息科技風險評估結果的記錄。（3）重點關注信息披露是否符合商業銀行信息披露辦法等有關法律、法規的要求，是否按照監管機構規定的格式和時間及時規范地發布。(4) 訪談信息科技人員了解信息披露的流程, 以及信息披露執行情況,如科技人員是否了解披露要求,如何確保披露信息的及時和準確等。3. 信息科技風險管理商業銀行應制定信息科技風險管理策略，制定風險識別和評估、風險防范措施，對風險進行持續監測。3.1 風險識別和評估檢查項1 ：風險管理策略基本要求：（1）商業銀行應制定符合銀行總體業務發展規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃；

26、（2）應配置足夠人力、財力資源，維持穩定、安全的信息科技環境；（3）應制定全面的信息科技風險管理策略，包括但不限于：信息分級與保護，信息系統開發、測試和維護，信息科技運行和維護，訪問控制，物理安全，人員安全，業務連續性計劃與應急處置。檢查方法、步驟：（1）訪談信息科技部門及信息科技風險管理部門負責人員,了解以下內容:(a)信息科技風險管理策略和方法,如風險框架和分類,評估方法和標準,以及對風險容忍度的界定；(b) 銀行的主要信息科技風險及其應對措施；(c)在開展信息科技風險管理過程中遇到的主要挑戰。(2)調閱信息科技風險管理文檔,如信息科技風險管理政策和流程, 風險評估規范或手冊等。檢查項2

27、：風險識別與評估 基本要求：（1）商業銀行應制定持續的風險識別和評估流程，確定信息科技風險隱患；（2）定期評估信息科技風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別。檢查方法、步驟：（1）調閱風險識別和評估流程文檔，風險評估報告和相關工作底稿，了解具體工作開展情況。（2）與信息科技風險管理相關人員(如信息科技部門人員和信息科技風險管理部門人員)訪談, 了解信息科技風險評估的過程,信息來源,評估結果,以及對識別的風險是否制定了應對措施。3.2 風險防范和檢測檢查項1 ：風險防范措施 基本要求：（1）商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防

28、范措施。防范措施應包括：制定明確的信息科技風險管理制度、技術標準和操作規程，并定期進行更新和公布；（2）確定潛在風險區域，并對這些區域進行有效的監控，實現風險及早發現、影響最小化；（3）建立適當的控制框架，以便于檢查和平衡風險。定義每個業務級別的控制內容，包括：最高權限用戶審查，控制數據和系統的物理及邏輯訪問，訪問授權以“必需知道”和“最小授權”為原則，審批和授權，驗證和調節等。檢查方法、步驟：（1）調閱信息科技管理制度、技術標準、操作規程等文檔,并訪談信息科技人員和風險管理人員,了解信息科技風險控制的主要原則和措施.(注:這里應主要關注風險控制的原則, 如怎樣落實訪問控制的最小授權,對風險/

29、安全事件的監控,災難恢復的安排等，具體控制的設計和執行情況將在各個領域中進行檢查。)（2）調閱風險監控相關工作記錄,如風險評估報告,信息科技各職能部門關于風險的匯報文檔等.訪談風險管理人員，了解對高風險區域的監控情況；(3)了解信息科技職能和風險管理職能如何對主要風險進行監控,如定期匯總各條線(如運行,開發,測試等)的匯報,對一些重要事項和指標的持續監測, 內外審的發現和建議的落實,問題上報制度等。檢查項2 ：風險計量與檢測基本要求：（1）商業銀行應建立持續的信息科技風險計量和檢測機制，其中包括：建立信息科技項目實施前及實施后的評價機制,建立定期檢查系統性能的程序和標準,建立信息科技服務投訴和

30、事故處理的報告機制,建立內部審計、外部審計和監管發現問題的整改處理機制,安排對服務水平協議的完成情況進行定期審查,定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅,定期進行運行環境下操作風險和管理控制的檢查,定期進行信息科技外包項目的風險狀況評價。（2）中資商業銀行在境外設立的機構及境內的外資法人銀行，應對境內外監管機構有關信息科技風險監管政策的差異性進行分析并防范由此可能產生的風險。檢查方法、步驟：（1）調閱有關文檔(如風險評估制度和方法,評估報告,關于風險和安全事件的匯報等)，了解商業銀行是否建立信息科技風險計量和監測機制。（2）訪談相關工作人員，了解中資商業銀行在境外設立的機構及

31、境內的外資法人銀行是否對監管政策的差異性進行了充分分析并采取有效風險防范措施。4. 信息安全管理保證信息安全是商業銀行的一項重要任務，商業銀行應在信息科技部門內部設置專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機密性、完整性和可用性。信息安全涉及到人員、管理、技術等各個方面，本章節主要包含人員安全和管理安全的檢查內容，技術安全方面的檢查內容參見第三部分“基礎設施”部分。提示：在對商業銀行的信息安全管理進行檢查和評價時，可根據銀行機構的實際情況，按照分類監管、循序漸進的原則，合理把握標準與尺度。如，科技人員少、信息系統種類不多的銀行機構，可以不設置單獨的安全管理部門，但應

32、設置專職的崗位；信息科技崗位設置可以彼此兼職，但不相容崗位應分離，做到操作系統管理員、業務系統管理員及數據庫管理員彼此分離、網絡管理員和其他系統管理員彼此分離、批量處理人員和業務數據庫管理員彼此分離。4.1 安全管理機制與管理組織檢查項1：信息分類和保護體系基本要求：商業銀行信息科技部門應對各類信息系統進行風險評估，根據信息系統的重要程度等因素，建立和實施信息系統分類和保護體系，并保證該體系在銀行內部的貫徹落實。檢查方法、步驟：（1）調閱信息系統分類管理制度，查看相關制度是否建立健全，是否對信息類別和訪問人員的范圍、級別作出明確規定；（2）檢查商業銀行是否針對不同的信息系統，制訂了不同的安全防

33、范措施，采取了不同的技術防范手段；（3）檢查商業銀行是否對信息系統風險進行評估和防范。檢查項2：安全管理機制基本要求：商業銀行信息科技部門應落實信息安全管理職能。包括：建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，定期向信息科技管理委員會提交本行信息安全評估報告等。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。檢查方法、步驟：（1）調閱商業銀行信息安全計劃或相關文檔，檢查商業銀行是否制訂信息安全計劃。（2）分析信息安全計劃，評估商業銀行信息科技部門能否對信息安全進行持續、長期和有效的管理，確保信息安全和信息系統安全運行。（3）

34、檢查商業銀行信息科技部門是否組織培訓和宣傳教育等活動以提高全體員工信息安全意識，是否就安全問題向其他部門提供安全建議。（4）檢查商業銀行信息科技部門是否對各類信息和信息系統制訂相應的信息安全標準，是否制訂相關的管理策略，是否制訂實施計劃，是否制訂持續改進、完善計劃。通過訪談了解這些管理策略和計劃是否有效實施。（5）調閱信息安全評估報告，檢查信息科技部門是否定期對本行信息安全進行評估。檢查項3：信息安全策略基本要求：商業銀行應制訂詳細的信息安全策略，至少包括以下內容：信息安全制度管理、信息安全組織管理、資產管理、人員安全管理、物理與環境安全管理、通信與運營管理、訪問控制管理、系統開發與維護管理、

35、信息安全事故管理、業務連續性管理、合規性管理。檢查方法、步驟：（1）調閱商業銀行信息安全策略，檢查是否制定信息安全策略及其內容是否完整、全面。（2）調閱信息安全管理規定，查看是否制定信息安全管理規定以及是否具有相應的實施要求和細則。檢查項4：信息安全組織基本要求：商業銀行應建立配套的安全管理職能部門，通過管理機構的崗位設置、人員的分工以及各種資源的配備，為信息系統的安全管理提供組織上的保障。應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批；安全管理人員應負責定期

36、進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。檢查方法、步驟：（1）調閱相關崗位職責說明文件，檢查是否設立系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；（2）檢查是否限制安全管理員不能兼任網絡管理員、系統管理員、數據庫管理員等；（3）查詢相關制度文件和審批記錄，檢查是否根據各個部門和崗位的職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批； （4）調閱信息安全檢查記錄，檢查安全管理員是否定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況，檢查結果是否及時報告和處理。4.2 安全管理制度檢查項1

37、：規章制度基本要求：商業銀行應對信息安全風險進行分析、評估；應對信息安全管理工作建立相應的管理制度；應要求管理人員或操作人員嚴格執行管理制度，各項操作符合制度要求；應注明安全管理制度密級程度，并進行密級管理；信息安全制度建設應全面涵蓋信息系統的安全風險點，如：用戶管理、物理安全、網絡安全、操作系統安全、數據庫安全、各類業務系統安全、客戶端安全、病毒防護、敏感數據保護、文檔管理等內容。信息安全制度應包含違規處罰條款；重要工作和崗位應制訂詳盡的管理辦法和工作職責；信息安全制度應包括對服務商的責任和義務要求；信息安全事件報告制度和處理流程應清晰明確；信息安全管理制度應注明發布范圍，有發文編號和相關部

38、門的收文記錄；信息安全制度應及時發布和修訂。商業銀行應建立完善的信息系統管理制度，管理制度應正式發文予以公布，或收集整理形成制度匯編以便于員工學習掌握。檢查方法、步驟：（1）調閱商業銀行信息安全管理相關的會議記錄。（2）調閱信息安全相關的制度，查看：(a)是否圍繞著風險分析、評估報告開展制度建設，各項制度能否有效防范風險；（b）已有制度是否涵蓋信息系統的各項風險點，包括用戶管理、物理安全、網絡安全、操作系統安全、數據庫安全、各類業務應用系統安全、客戶端安全、病毒防護、敏感數據保護、文檔管理等內容；（c）是否包含違規的處罰條款；（d）是否包括針對服務商的管理要求，如職責和義務；（e）是否建立信息

39、安全事件報告制度和處理流程，制度和流程是否清晰和明確；(3)調閱信息安全管理部門職責和工作計劃，查看是否對重要的信息系統安全管理崗位制定了明確的管理辦法和工作職責。（4）信息安全管理負責人員座談，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，檢查是否已經針對上述事件對信息安全制度進行了及時修訂和頒布實施。檢查項2：制度合規基本要求：信息安全制度應符合國家有關信息科技管理的法律法規；應符合國家有關信息科技管理的技術標準；應符合銀監會有關要求；對于擁有境外機構的銀行，其制度也應符合境外監管機構的要求。檢查方法、步驟：（1）調閱信息安全制度，檢查：（a）制度是否遵循國家有關信息科技管理的

40、法律法規要求；（b）技術性比較強的信息系統安全制度是否低于國家相關標準規定；（c）審查其是否與銀監會相關辦法、要求相沖突。（2）與信息安全管理負責人座談，了解該銀行是否在境外設立分支機構，境外分支機構信息安全制度是否符合所在國、地區監管機構的要求。檢查項3：制度執行基本要求：信息科技相關工作應嚴格遵守信息安全制度規定；對違規操作的應根據相應條款進行處罰；被處罰管理部門或個人應對違規操作進行整改；審計部門應對信息安全制度執行情況定期進行審計。檢查方法、步驟：（1）與負責信息安全的人員訪談，了解信息安全制度執行情況；（2）調閱銀行或部門會議記錄，查看銀行或部門是否對日志、視頻等記錄中出現的違規操作

41、行為進行過認定，并對違規人員或部門進行過處罰；（3）調閱銀行或部門會議記錄，查看是否對違規操作進行過整改，整改的后續情況如何。對于因制度漏洞造成的風險，是否及時對相關制度進行了修改：（4）調閱內、外部審計資料，查看是否有關于信息安全制度執行情況的審計報告；（5）調閱審計文件，查看對信息安全制度執行情況的審計頻度和審計內容是否符合銀行要求；（6）調閱銀行或部門文件，查看是否對審計發現的問題進行過整改落實，后續的整改落實情況是否符合審計要求。4.3 人員管理檢查項1：人員管理基本要求：（1）信息科技的崗位設置應合理，應做到分工明確、職責清晰，重要崗位需要相互制約、監督；（2）信息科技人員應無不良記

42、錄；信息科技人員的專業知識和業務水平應達到本行要求；應加強對臨時聘用或合同制信息科技人員的安全管理措施；（3）應對信息科技人員權限進行分級管理，關鍵崗位應有AB角；應分離不相容崗位人員職責，不得兼任；（4）信息安全管理崗位應配備專職安全管理員。關鍵區域或部位的安全管理員應符合機要人員管理要求，對涉密人員應簽訂保密協議；（5）信息科技人員管理要全面，應包括背景調查、人員招聘、上崗培訓、安全培訓、人員離崗審查、強制休假等方面。檢查方法、步驟：（1）調閱銀行人事制度，了解銀行的信息科技崗位設置情況，是否配備了專門的安全管理崗位；（2）與信息科技管理人員和普通員工進行座談，聽取其對信息科技崗位設置的意

43、見，分析崗位設置是否合理；（3）調閱銀行人事檔案，查看是否建立了信息科技人員的績效考核制度，查看信息科技人員是否有不良記錄；（4）調閱銀行人事檔案和與信息科技從業人員進行座談，了解信息科技人員的專業知識和業務水平；（5）調閱銀行人事管理制度或部門人事管理制度，分析是否有針對正式信息科技人員、臨時聘用或合同制信息科技人員及顧問制定不同的人事管理制度；（6）調閱信息安全管理的相關制度，確認是否對不同信息科技崗位進行了權限劃分和分級管理，并能貫徹落實上述制度和要求。4.4 安全評估報告檢查項1：安全評估報告基本要求：商業銀行應定期對信息系統安全情況進行評估，并提交安全評估報告。當信息系統發生重大變化

44、時，應及時進行信息安全評估。對安全評估中發現的問題，應及時整改。檢查方法、步驟：（1）調閱安全評估報告，檢查商業銀行是否定期對信息系統安全進行評估。如果信息系統發生重大變化或升級后，是否及時進行信息安全評估：（2）檢查安全評估是否全面，是否覆蓋所有信息系統，是否覆蓋所有信息安全范圍；（3）檢查安全評估報告反映的問題是否及時得到處理或改進。4.5 宣傳、教育和培訓檢查項1：宣傳、教育和培訓基本要求：高管層、信息安全管理部門負責人應知曉信息安全政策；銀行應加強對客戶的信息安全重要性的宣傳教育工作；銀行應定期組織員工進行信息系統安全重要性教育；銀行應組織員工學習基本的信息系統安全管理制度；信息科技人

45、員應掌握與其崗位相關的信息安全管理制度。檢查方法、步驟：（1）與高管層、信息安全管理部門負責人座談，了解是否知曉本銀行的信息安全政策；（2）與高管層座談，了解銀行是否對客戶進行過信息安全方面的宣傳教育，其內容、力度和頻度如何；（3）與普通員工座談，了解是否接受過有關信息安全方面教育；（4）抽查銀行內部部門的學習記錄，看是否組織過信息安全防范知識方面的學習培訓；（5）與普通員工座談，看是否知曉本銀行基本的信息安全制度；（6）調閱信息科技部門的學習記錄，看是否對信息科技人員進行過信息安全制度的傳達，是否組織過信息安全制度的學習培訓；（7）與信息科技人員座談，看是否掌握與其從事崗位相關的信息安全管理

46、制度。5.系統開發、測試與維護5.1開發管理良好的系統開發管理是一個系統能否穩健運行的必要前提，因此應加強對商業銀行系統開發管理工作的檢查力度，從而準確評估各運行系統以及即將上線系統的穩定性和可靠性。通過對商業銀行的相關制度、規定、流程以及文檔、記錄的檢查和分析，了解其管理層是否統籌考慮系統開發與信息科技戰略規劃及業務發展目標的一致性，是否對系統開發的可行性、必要性、成本效益核算以及存在的風險等方面進行全面評估，是否建設了合理的開發管理組織框架，是否對開發過程進行了全面的風險管控，以確保系統開發過程的合理、高效和安全。檢查項1：管理架構基本要求：應建立信息科技管理委員會對信息系統項目建設的審批

47、、授權機制，重大信息系統項目開發應經過銀行董事會的批準，并符合該機構的IT戰略規劃和業務發展目標。信息科技部門應設置獨立的崗位并配備足夠的具備相關知識和技能的專業人員對信息系統項目開發進行集中管理，系統開發應成立專門的開發建設項目組，具體負責信息系統的開發建設。在系統開發立項審批前，應進行系統開發可行性研究，以控制與信息科技有關的風險。項目開發過程中應定期向首席信息官或高級管理層匯報項目實施狀況。信息系統開發過程應有業務需求部門人員參與，并定期與業務需求部門一起審核信息系統開發建設情況，查看是否能夠滿足生產業務的需要，是否與業務需求相符合，是否對關鍵業務風險點進行了有效控制。檢查方法、步驟：（

48、1）檢查商業銀行是否有系統開發的可行性研究、成本效益分析、風險評估等報告，查看是否對項目的可行性、成本效益核算以及可能出現的各種操作風險、財務損失、無效系統規劃等進行了深入的分析；（2）調閱相關會議紀要，查看相關分析結果是否得到信息科技管理委員會的認可，分析信息科技管理委員會是否對系統開發的可行性、必要性以及與IT戰略規劃和業務發展目標的一致有充分認識；（3）對于重大信息系統開發項目，查看是否有銀行董事會批準實施系統開發的記錄；（4）調閱重大項目相關開發建設文檔，查看是否成立了專門的項目組，具體負責項目的開發建設。如成立有項目組，調閱項目組相關工作文件，檢查項目組是否盡職完成其相關職責；（5）

49、查看是否有項目實施部門定期向信息科技管理委員會報告系統開發進展的報告；（6）查看商業銀行是否設置獨立的部門負責系統開發，調閱部門人員清單及簡介（含資質），判斷該部門人員的數量和專業背景對于其承擔的系統開發職責是否充分和適當；（7）調閱項目開發相關文件，查看信息系統開發過程是否有業務部門人員參與，檢查項目開發過程中開發部門是否與業務部門定期總結信息系統開發建設情況，以確認正在開發的系統是否與業務需求相符合，是否對關鍵業務風險點進行了有效控制；（8）檢查信息系統投產后，實施部門是否組織了對系統的后評價，并根據評估結果及時對系統功能進行調整和優化。檢查項2：制度建設基本要求：商業銀行應制定全面的信息

50、系統開發管理制度和流程，包括但不限于系統的開發流程和組織管理、參與部門的職責劃分、時間進度和財務預算管理、質量檢測和風險評估等。商業銀行制定的制度和流程，應涵蓋信息系統開發的全周期，包括：分析、設計、開發或外購、測試、試運行、部署、維護和退出等，制度和流程應經過高級管理層和相關部門的認可，明確相關部門和人員的職責，并定期進行評估和更新。檢查方法、步驟：（1）調閱商業銀行系統開發相關的制度和流程，檢查其是否明確了管理組織及職責，是否對開發流程管理進行全面的管控。是否建立了質量檢測和風險評估機制等；（2）詢問相關人員，是否有高級管理層和所有有關部門認可這些制度和流程的說明，查看相關會議紀要、相關文

51、件的傳閱痕跡等；（3）檢查系統開發過程中，相關制度和流程是否得到有效的實施，如是否界定了明確的部門和人員職責，職責劃分是否合理，是否有完整的時間進度管理和財務預算管理，是否要求實施部門定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況等；（4）檢查商業銀行制定的制度和流程是否涵蓋了信息系統開發的立項、可行性分析、制定需求、方案設計、程序開發、系統測試、系統驗收、使用培訓、實施操作和維護等各環節。檢查項3：項目控制體系基本要求：（1）商業銀行應制定合理的項目生命周期，加強項目生命周期管理，包括系統分析、

52、設計、開發或外購、測試、試運行、部署、維護和退出；（2）應開展對系統需求和技術架構的管理，使系統需求與業務目標保持一致；（3）應當建立一套符合質量管理標準的質量控制體系，有效控制開發質量；（4）應根據項目風險評估，在系統開發過程中落實主要風險點的風險控制措施；（5）系統開發環境與運行環境應當分離，包括網絡分離、設備分離、數據分離、人員分離等，防止開發活動對業務運行環境造成風險；（6）系統開發過程中應進行必要的安全控制，應對源代碼進行有效管理，對程序源代碼進行嚴格的審查，不應留有“后門”，即不應以維護、支持或操作需要為借口，設計有違反或繞過安全規則的任何類型的入口和文檔中未說明的任何模式的入口。

53、檢查方法、步驟：（1）檢查銀行是否有信息系統生命周期管理制度，是否有項目生命周期管理流程和記錄；（2）檢查系統需求和技術架構的評估文檔，看系統需求與業務目標是否保持一致；（3）詢問系統開發部門負責人，銀行是否建立了系統開發質量控制體系，調閱其項目質量控制標準、代碼編寫規范（軟件）以及質量控制檢查和監督的記錄；（4）檢查是否有項目需求和計劃的風險評估以及業務的風險點分析,是否有對業務操作環境（如人員素質、操作場所等環境）的相關風險分析，是否有對項目延期的風險、項目進程中發現的風險、項目外包的風險等關鍵控制點制定風險控制措施，是否有風險控制措施的落實記錄和監督記錄；（5）檢查系統開發環境和運行環境

54、是否分離，網絡是否有效隔離，設備是否獨立于生產系統，開發人員是否接觸生產系統，開發過程中是否使用了生產數據,使用的生產數據是否得到高級管理層的批準并經過脫敏或相關限制；（6）檢查系統開發過程中，是否進行安全控制，是否對源代碼進行有效管理和嚴格的審查，系統所有入口是否都經過安全規則的控制，并在系統開發文檔中全部注明。檢查項4：系統開發的操作風險基本要求：商業銀行應當加強對開發隊伍的管理，合理選擇具備相當專業知識和技術水平的項目經理，并應對技術人員，尤其是外來技術人員的開發行為加強管理，對于外包開發與合作開發的開發方應進行充分調研分析，以保證系統的可靠性；應當加強信息科技項目文檔管理和文檔版本控制

55、；銀行信息科技開發部門應當加強對開發過程的檢查，確保開發目標的實現。對以外包和合作開發為主進行信息系統開發建設的銀行機構，應特別重視對外來技術人員的開發行為加強管理，對于外包開發與合作開發的開發方應進行充分調研分析，以保證系統的可靠性。檢查方法、步驟：（1）詢問商業銀行對項目開發經理的知識水平要求，查看部分項目開發經理的資信歷史、資格證書、從業經歷的調查記錄；（2）對于外包開發與合作開發的項目，詢問項目管理成員，開發方是否在業內有過針對客戶的不良紀錄,商業銀行是否有對開發方技術實力與人力資源充分性進行分析；（3）檢查是否制定了文檔管理規范制度，查看項目開發設計、源代碼、技術使用和運行維護說明書

56、、用戶使用手冊，風險評估報告等項目文檔管理是否符合規范，是否進行了文檔的版本控制；（4）檢查銀行是否有系統開發過程的檢查記錄，是否對系統完整性、惡意代碼和后門程序進行了檢查。檢查項5：數據繼承和遷移基本要求：信息系統升級變更，應特別重視對歷史數據的繼承和遷移。應合理規劃數據結構，并進行數據兼容性分析，防止因兼容性不夠而造成歷史數據的無法使用和繼承，進而影響業務生產和客戶利益。信息系統升級變更前，應制訂詳細的數據遷移計劃，并提前進行數據遷移測試和數據有效性、兼容性驗證。商業銀行應制定并落實相關制度、標準和流程，確保信息系統開發、測試、維護過程中數據的完整性、安全性和可用性。檢查方法、步驟：（1）

57、檢查是否進行新舊系統業務數據兼容程度分析，并形成書面報告；（2）檢查業務系統上線前，是否制訂詳細的數據遷移計劃，數據遷移計劃是否嚴密；（3）檢查業務系統上線或升級前，是否進行過數據遷移測試和數據有效性、兼容程度驗證；有數據移植時，檢查是否針對新舊系統中被移植部分數據的一致性進行過驗證，對數據調整時，是否對調整過程進行了完整記錄并由相關人員簽字；（4）檢查是否制定了相關制度、標準和流程，以保證信息系統開發、測試、維護過程中數據的完整性、安全性和可用性。5.2系統測試與上線 充分的系統測試和周密的上線程序是保障系統正常穩定運行的重要環節，商業銀行應該確保充分的系統測試和具備完善系統上線程序的管理，

58、以確保系統的測試結果是可信的，上線流程是完善的。通過對相關制度、流程和程序的檢查，分析商業銀行在系統測試和上線過程是否存在缺陷，從而對各系統做出合理的評估，避免系統測試不充分上線，或上線程序不周密，導致系統風險，造成損失。 檢查項1：系統測試基本要求：商業銀行應為所有的主要變更建立充分的測試體系（如：系統單元測試、系統集成測試、系統驗收測試、用戶測試、預演、數據轉換的驗證、平行測試等）以保證系統測試的完整和充分；商業銀行應建立完善的測試團隊，并確保測試工作的公正性和獨立性；應當確保充分，完整的系統測試；測試環境應與生產環境相隔離；應當對信息系統功能進行充分測試，保障系統功能與業務目標一致；應當

59、對信息系統進行非功能測試，保證系統的兼容性、可靠性、通用性、安裝的可操作性，防范在信息系統性能峰值情況下發生的問題。系統變更應建立回滾變更的程序，以便于在發生問題的情況下可以恢復到原始的程序、系統配置和數據，在變更遷徙到生產環境前應進行回滾程序的試運行，以保證回滾程序是有效、可靠的。系統測試過程中應對測試的情況進行規范的記錄，最終形成測試文檔并進行分析。檢查方法、步驟：1）檢查系統變更的測試報告，分析測試內容和測試步驟是否完整，測試用例是否充分涵蓋所有業務場景；（2）調閱測試團隊人員清單，分析測試團隊人員角色、知識水平等是否充分，詢問相關負責人通過哪些措施保證測試團隊的公正性和獨立性；（3）調

60、閱測試方案、測試用例、測試記錄等，分析銀行的測試方案是否完善，測試計劃是否完整，測試環境是否與生產環境相隔離，測試用例是否充分，測試用例是否有生產數據，當使用生產數據測試時是否得到高級管理層的審批并采取相關限制及進行脫敏處理，測試執行情況記錄是否完整，查看是否有對充分測試的審核報告；（4）調閱功能測試記錄，查看系統功能測試結果是否與業務需求一致；（5）調閱非功能性測試報告或記錄（非功能測試技術主要包括：配置和安裝測試、兼容性和互操作性測試、文檔和幫助測試、錯誤恢復測試、性能測試、可靠性測試、保密性測試、壓力測試、可用性測試、容量測試），分析測試用例是否充分，測試結果是否與業務需求一致；（6）檢