1、XXX銀行信息科技審計操作細貝u目錄 TOC o 1-5 h z 第一章總則1第二章信息科技審計職責與權限1第三章信息科技審計方法及內容2第四章信息科技審計操作流程 5第五章附則6第一章總則第一條為進一步明確XXX銀行（以下簡稱本行）總行審計部對本 行信息科技審計（以下簡稱IT審計）的職責，充分識別信息科技風險， 完善控制措施，實現IT系統的可用性、安全性、完整性、有效性，監 督審計全行的信息科技管控對各級監管政策法規的合規性，規范IT審 計操作程序，持續提升工作效率，保障IT審計工作的指導性和規范 性，依據XXX銀行內部審計章程，特制定本細則。第二條本細則為總行審計部對信息科技進行審計提供指

2、導。第二章信息科技審計職責與權限第三條總行審計部應設立專門的信息科技審計崗位，配備專業的 信息科技審計人員，負責信息科技審計制度和流程的實施，執行信息 科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。第四條信息科技審計的職責包括：（一）實施和調整審計計劃，檢查本行信息科技系統和內控機制 的充分性和有效性。（二）按照本行規章制度完成IT審計工作，在此基礎上提出整改 意見。（三）檢查整改意見是否得到落實。（四）實施信息科技專項審計。信息科技專項審計，是指對信息 科技安全事故進行的調查、分析，或審計部門根據風險結果對認為必 要的特殊事項進行的審計。第五條根據業務性質、規模和復雜程度，信息科

3、技應用情況以及 信息科技風險狀況，決定信息科技內部審計范圍和頻率，至少應每三 年進行一次IT全面審計。第六條在進行大規模系統開發時，總行審計部應派人參與，保證 系統開發符合本銀行信息科技風險管理標準。第七條審計人員具有適當的權限調閱或查看行內系統或審計相 關資料。第三章信息科技審計方法及內容第八條信息科技審計項目實施過程中需要搜集大量的信息，掌握多方面的證據。搜集和取證需要運用多種方法和工具。采用的方法有：（一）訪談：訪談信息科技和有關業務部門相關人員，了解項目 現狀。（二）實地考察：實地考察信息系統運行的實際情況。（三）審閱：檢查相關制度、記錄和文件，作為審計的證據。（四）系統驗證：測試信息

4、系統中的自動化控制是否按設計要求 運行。（五）穿行性測試:追蹤交易在信息系統/業務流程中的處理過程，以證實所了解的流程與控制。一般可與訪談方法一起執行。（六）數據驗證：直接抽取數據進行完整性與準確性的驗證。第九條審計依據包括：（一）國際標準ISO27001： 2005信息技術安全技術信息安全管理體系要求ISO27002： 2005信息技術 安全技術 信息安全管理體系實用規則BS25999-1： 2006業務連續性管理 第一部分 實用規則BS25999-2： 2006業務連續性管理 第二部分 規范（二）國家標準信息安全技術信息系統安全管理要求（GB/T 20269-2006）信息安全技術 信息系

5、統通用安全技術要求（GB/T 20271-2006）信息安全技術信息系統安全保障評估框架（GB/T 20274-2006）（三）行業規范商業銀行信息科技風險管理指引（銀監發200919號）商業銀行業務連續性監管指引（銀監發2011104號）銀行業金融機構信息科技外包風險監管指引（銀監發20135號）銀行業金融機構重要信息系統投產及變更管理辦法（銀監辦發2009437 號）商業銀行數據中心、監管指引（銀監辦發2010114號）（四）行業標準銀行業信息系統災難恢復管理規范（JR/T 0044-2008）網上銀行系統信息安全通用規范（JR/T 0068-2012）金融行業信息系統信息安全等級保護實施

6、指引（JR/T 00712012）第十條信息科技審計的內容包括：信息科技治理和組織結構，信 息科技風險管理，信息安全，信息系統開發、測試和維護，信息科技 運行，業務連續性管理，系統外包管理等。第十一條信息科技治理和組織結構審計。審計內容包括：董事會 對信息科技的管理情況；信息科技管理委員會履職情況；首席信息官 的職責；信息技術部崗位職責及人員管理；信息科技風險管理部門及 審計部門的設置；制度建設（例如：制度體系、規章、手冊等）覆蓋 范圍的全面性、合理性；知識產權管理等。第十二條信息科技風險管理審計。審計內容包括:信息科技戰略、 風險評估計劃的制定；風險識別和評估流程、風險計量和監測機制的 建立

7、；風險管理策略的全面性；信息科技風險防范措施和落實情況。第十三條 信息安全審計。審計內容包括：信息安全管理體系的建 設情況；信息分類和保護體系的建立和實施；建立信息安全計劃和管 理機制，定期向信息科技管理委員會提交的信息安全評估報告；用戶 認證和訪問控制流程；機房安全措施；網絡的邏輯劃分；最高權限系 統賬戶的審批、驗證和監控流程；操作系統的補丁管理；信息系統的 安全控制措施；交易日志和系統日志的管理；密碼管理；客戶數據使 用流程等。第十四條信息系統開發、測試和維護審計。審計內容包括：信息 科技項目管理、系統開發管理和文檔管理的制度、標準和流程；信息 系統變更制度和流程；問題管理流程；系統升級的

8、相關制度和流程； 系統的后評價。第十五條信息科技運行審計。審計內容包括：第三方人員進入安 全區域的管理；信息科技運行操作說明；系統開發和維護的分離；事 故管理及處置機制；信息系統性能監控；容量規劃。第十六條 業務連續性管理審計。審計內容包括：業務連續性組織架構；業務影響分析；業務連續性計劃與資源建設；業務連續性演練 與持續改進；運營中斷事件應急處置等。第十七條外包管理審計。審計內容包括：外包管理的組織架構； 外包戰略；外包風險；外包的管理；非駐場外包管理等。第四章信息科技審計操作流程第十八條審計準備階段。確定審計項目、明確審計組成員、收集 資料、制定實施方案、調查問卷、調查統計表等，通知被審計

9、單位。第十九條審計實施階段。進駐被審計單位，聽取匯報，查閱資料， 雙人訪談，調查取證，核實問題。編制審計工作底稿，形成審計檢查 事實確認書。第二十條審計報告階段。審計成員匯總整理資料，審計組長（或 主審人）根據審計工作底稿、審計檢查事實確認書等，撰寫審計項目 交換意見書，并由被審計單位反饋意見，形成審計報告報送主管行領 導審閱批準。經批準的審計結論或決定，送達被審計單位。第二十一條審計處理階段。總行審計部提出審計意見與建議，下 發審計整改通知書；被審計單位根據整改通知書對問題進行整改，并 按要求形成書面整改報告報送總行審計部。若有不能即時整改的，需 每半年以書面形式報送一次整改進度情況，直到所有問題整改