银监会信息系统现场检查指南
银监会:商业银行现场检查手册
银监会:商业银行现场检查手册第一篇:银监会:商业银行现场检查手册商业银行现场检查手册第一章现场检查基本原理第一节现场检查的目的和作用第二节现场检查的原则第三节现场检查的内容第四节现场检查的种类与方法第五节现场检查抽样第六节现场检查的法律事务第二章现场检查操作流程第一节第二节第三节第四节第五节第三章第一节第二节第三节第四节第五节第六节第七节第八节第九节第十节第四章第一节第二节第三节第四节第五节第六节第七节第八节第九节第五章第一节现场检查准备阶段现场检查实施阶段现场检查报告阶段现场检查处理阶段检查档案整理阶段货款及表内其他授信业务综述授信管理货款风险分类货款集中、关联企业货款和关联交易公司授信贸易融资房地产货款银团货款项目融资个人授信业务非信资产综述存放拆放同业证券和投资固定资产无形及递延资产应收款现金及银行存款抵债资产存款及表内其他负债综述第二节存款第三节第四节第五节第六章第一节第二节第三节第四节第五节第七章第一节第二节第三节第四节第五节第六节第七节第八节第九节同业存放、拆入证券融资其他负债财务管理综述财务计划检查营业收入、成本与费用资产减值准备利润及利润分配中间业务综述票据业务结售汇业务信用证银行卡业务代理业务银行承兑汇票保函与备用信用证货款承诺第十节交易类中间业务第十一节基金托管业务第十二节咨询顾问业务第十三节代保管业务第八章电子银行第一节综述第二节网上银行业务第三节电话银行业务第四节手机银行业务第五节 ATM、POS机业务第九章第一节第二节第三节第四节第十章第一节第二节资金清算综述同业往来联行往来业务国际清算资本充足率综述资本充足率检查第三节监管评级监管措施第十一章流动性管理第一节综述第二节流动性检查第三节流动性评价及监管措施第十二章市场风险第一节综述第二节市场风险管理法第三节市场风险检查程序与方法第十三章对商业银行境外机构的现场检查第一节跨境监管概述第二节我国对商业银行跨境监管的规定第三节商业银行对镜外机构的管理第四节商业银行境外机构第五节与其他监管当局的信息交流与合作第十四章公司治理第一节综述第二节法人治理机制第三节高级管理层评价第四节对分支机构和相关机构的管理第五节内部审计第六节经营战略与政策第十五章内部控制第一节综述第二节资产负债管理第三节管理信息系统与会计系统第四节人力资源管理第五节计算机系统管理第六节安全保卫第十六章商业银行风险评估第一节综述第二节银行面临的八类风险评估第三节银行风险管理水平评估第四节银行整体风险综合评估第十七章商业银行风险评级第一节综述第二节ROCA评级体系各要素评估第三节CAMELS评级体系各要素评估第四节压力测试第五节风险预警第六节监管措施附件:现场检查前问卷后记第二篇:银监会枪支弹药现场检查实施细则中国银监会银行业金融机构枪支、弹药管理及使用情况现场检查实施细则根据《中国银监会办公厅关于印发2010 年两项安全保卫现场检查方案的通知》(银监办发[ 2010 ] 153 号)要求,特制定银行业金融机构枪支、弹药(以下简称枪弹)管理及使用情况现场检查实施细则。
银监会信息系统现场检查指南
银监会信息系统现场检查指南信息系统现场检查指南(架构)为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。
一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。
中国银监会关于印发《中国银行业监督管理委员会现场检查规程》的
中国银监会关于印发《中国银行业监督管理委员会现场检查规程》的通知(2007修改)【法规类别】银行综合规定【发文字号】银监发[2007]55号【发布部门】中国银行业监督管理委员会【发布日期】2007.07.03【实施日期】2007.07.03【时效性】现行有效【效力级别】部门规范性文件中国银监会关于印发《中国银行业监督管理委员会现场检查规程》的通知(银监发[2007]55号)各银监局:现将修改后的《中国银行业监督管理委员会现场检查规程》印发给你们,请遵照执行。
二〇〇七年七月三日中国银行业监督管理委员会现场检查规程一、总则(一)为规范现场检查工作,进一步提高现场检查的工作质量和效率,根据《中华人民共和国银行业监督管理法》等有关法律法规,制定本规程。
(二)本规程适用于中国银行业监督管理委员会(以下简称银监会)及其派出机构对银行业金融机构进行的全面和专项现场检查。
(三)本规程所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
对在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经银监会及其派出机构批准设立的其他金融机构的现场检查,适用本规程。
(四)本规程所指的现场检查包括检查准备、检查实施、检查报告、检查处理和检查档案整理五个阶段。
(五)在实施现场检查时,检查组应根据被查单位的规模、业务范围和业务的复杂程度,选择相应的检查程序。
(六)银监会及其派出机构对银行业金融机构实施现场检查,应当遵循依法、公正和效率的原则。
(七)检查人员应依法开展工作,遵守银监会“约法三章”、廉洁自律的要求,认真执行《银监会系统监管人员现场检查若干纪律规定》,忠实履行职责,遵守保密规定,不得在现场检查中谋取不正当利益。
二、检查准备阶段(一)立项主监管员承担日常持续性监管的主要责任,其根据对被监管机构风险监测情况、风险评级结果,及以往现场检查报告,在与现场检查人员充分商讨的基础上,制定年度或监管周期现场检查计划,进行现场检查的立项,并与现场检查人员一起进行立项的审议,确定现场检查的时间和检查重点项目。
银保监会现场检查办法-ppt
存在影响或者可能影响依法公正履行职责情况的,现场检查人员应当按照履职回避的相关规定予以回避,
并且不得参加相关事项的讨论、审核和决定,不得以任何方式对相关事项施加影响。被查机构认为检查人
员与其存在利害关系的,有权申请检查人员回避。
第四章 检 查 流 程
检查前信息收集:
检查组根据检查项目需要,开展查前调告及其对内外部检查和审计的整改和处罚情况,被查机构的业务开展情况、经营管理状况,监 管部门掌握的被查机构的情况等,并进行检查分析和模型分析,制定检查方案,做好查前培训。 检查更有针对性,更易发现违法违规问题
PART THREE
立项管理
第三章 立 项 管 理
检查立项依据:
根据银行业和保险业机构的依法合规情况、 评级情况、系统重要性程度、风险状况和以 往检查情况等,结合随机检查对象名录库及 随机抽查事项清单,确定现场检查的频率、 范围,确保检查项目科学、合理、可行。未 经立项审批程序,不得开展现场检查。
第四章 检 查 流 程
稽核调查参照一般现 场检查程序,根据工 作要求和实际情况, 可以简化流程,可以 不与调查对象交换意 见,可以不出具检查 意见书,以调查报告 作为稽核调查的成果。 调查过程中如发现涉 及需要采取监管措施 或行政处罚的事项, 应当按照相关要求收 集证据,依程序进行 处理。
对于有特殊需要的现 场检查项目,经检查 组组长确定,可以适 当简化检查程序,包 括但不限于不进行查 前培训、不组织进点 会谈等。
稽核调查可以纳入年度现场检查计划,也 可以适用临时检查立项程序。
立项原因要充分,立项需审批,限制监管随意开展检查,检查计划性强,年度确定,一般不更改。
第四章
PART FOUR
检查流程
第四章 检 查 流 程
银行业监管之现场检查规程
第三模块现场检查规程目录:1 模块说明 (3)2现场检查程序流程图 (3)3 具体操作要求 (9)3.1检查准备阶段 (9)3.1.1 检查立项阶段 (9)3.1.2成立检查组 (10)3.1.3拟定《现场检查方案》(附件3) (12)3.1.4发出《现场检查通知书》(附件5) (13)3.1.5检查前问卷(附件6) (14)3.1.6收集检查有关资料 (15)3.1.7开展检查前调查与分析 (15)3.1.8拟定《进点会谈提纲》(附件7) (16)3.1.9检查前培训 (16)3.2检查实施阶段 (17)3.2.1进点会谈 (17)3.2.2实施检查 (18)3.2.3编制《现场检查工作底稿》(附件13) (20)3.2.4编制和发出《现场检查事实确认书》(附件14) (22)3.2.5结束现场 (23)3.3检查报告阶段 (24)3.3.1分项目检查小结(附件15) (24)3.3.2形成《现场检查事实与评价》(附件16) (24)3.3.3与被查单位交换意见 (25)3.3.4发出《现场检查事实与评价》 (26)3.3.5形成《现场检查报告》(附件18) (26)3.4 检查处理阶段 (29)3.4.1《现场检查意见书》(附件20) (29)3.4.2下达《现场检查意见书》程序 (29)3.4.3《现场检查意见书》主要内容 (29)3.4.4《现场检查意见书》发出方式 (29)3.4.5《现场检查意见书》生效 (29)3.4.6制作《现场检查发现问题整改清单》(附件21) (30)3.4.7监管函件的发出 (30)3.4.8催收整改报告 (30)3.4.9督促整改 (30)3.4.10下达《行政处罚告知书》和《监管强制措施告知书》 (31)3.5检查档案整理阶段 (31)3.5.1建立《现场检查档案》 (31)3.5.2《现场检查档案》主要内容 (31)3.5.3编写《现场检查档案目录》 (32)3.5.4装入《现场检查档案》档案盒 (32)3.5.5移交《现场检查档案》 (32)3.5.6建立《电子版现场检查档案》 (32)3.5.7现场检查总结与考评 (33)4 检查文本格式 (33)1 模块说明本模块包括现场检查程序流程图、具体操作要求和现场检查文本格式三部分。
中国银行保险监督管理委员会令2019年第7号——中国银保监会现场检查办法(试行)
中国银行保险监督管理委员会令2019年第7号——中国银保监会现场检查办法(试行)文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2019.12.24•【文号】中国银行保险监督管理委员会令2019年第7号•【施行日期】2020.01.28•【效力等级】部门规章•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行保险监督管理委员会令2019年第7号《中国银保监会现场检查办法(试行)》已经中国银保监会2019年第6次委务会议通过。
现予公布,自2020年1月28日起施行。
主席郭树清2019年12月24日中国银保监会现场检查办法(试行)第一章总则第一条为全面贯彻落实党中央、国务院对金融工作的决策部署,加强对银行业和保险业的监督管理,规范现场检查行为,提升现场检查质效,促进行业健康发展,根据《中华人民共和国银行业监督管理法》《中华人民共和国保险法》《中华人民共和国商业银行法》等有关法律法规,制定本办法。
第二条本办法所称现场检查,是指中国银行保险监督管理委员会(以下简称“银保监会”)及其派出机构依法对银行业和保险业机构经营管理情况进行监督检查的行政执法行为。
第三条现场检查是银保监会及其派出机构监督管理的重要组成部分,通过发挥查错纠弊、校验核实、评价指导、警示威慑等作用,督促银行业和保险业机构贯彻落实国家宏观政策及监管政策,提高经营管理水平、合法稳健经营,落实银行业和保险业机构风险防控的主体责任,维护银行业和保险业安全,更好服务实体经济发展。
第四条银保监会及其派出机构开展现场检查应当依照法律、行政法规、规章和规范性文件确定的职责、权限和程序进行。
第五条银保监会及其派出机构和实施现场检查的人员(以下简称检查人员)应当依法检查,文明执法,严格落实中央八项规定精神,遵守保密和廉政纪律。
银保监会及其派出机构应当加强现场检查纪律和廉政制度建设,加强对检查人员廉洁履职情况的监督。
第六条银保监会及其派出机构依法开展现场检查,被查机构及其工作人员应当配合,保证提供的有关文件资料及相关情况真实、准确、完整、及时。
中国银保监会办公厅关于印发银保监会现场检查立项和实施程序规定(试行)的通知
中国银保监会办公厅关于印发银保监会现场检查立项和实施程序规定(试行)的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2020.09.06•【文号】•【施行日期】2020.10.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银保监会办公厅关于印发银保监会现场检查立项和实施程序规定(试行)的通知各银保监局:为规范现场检查立项和实施程序,根据《中国银保监会现场检查办法(试行)》(中国银行保险监督管理委员会令2019年第7号),我会制定了《中国银保监会现场检查立项和实施程序规定(试行)》,现予以印发,请遵照执行。
相关的现场检查文书示范文本一并印发,请参照执行。
中国银保监会办公厅2020年9月6日中国银保监会现场检查立项和实施程序规定(试行)第一章总则第一条为规范现场检查立项和实施程序,根据《中国银保监会现场检查办法(试行)》,制定本规定。
第二条中国银行保险监督管理委员会(以下简称银保监会)及其派出机构对监管对象开展现场检查,应当按照本规定进行现场检查立项并组织实施。
根据监管备忘录等合作协议和对等原则,银保监会及其派出机构对监管对象的境外机构开展现场检查,或境外监管机构联合我方且以我方名义对其监管对象的境内机构开展现场检查,应当按照本规定进行现场检查立项并组织实施。
第三条现场检查实行分级立项。
银保监会及其派出机构按照监管职责,分别负责对其直接监管对象进行现场检查立项。
根据监管需要,上级机构可以对下级机构的直接监管对象进行现场检查立项,也可以指定或建议下级机构对其直接监管对象进行现场检查立项。
监管对象所在地的银保监会派出机构(以下称属地监管机构)认为其所监管法人机构的异地分支机构可能存在重大风险的,可以向该分支机构的属地监管机构提出现场检查立项建议。
第四条银保监会及其派出机构的专职现场检查部门归口管理本级现场检查工作,负责编制本级年度现场检查立项计划,会签本级临时立项,对现场检查通知书统一编号,规范现场检查文书格式,汇总现场检查情况等。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南目录第一部分概述121.指南说明131.1 目的及适用范围121.2 编写原则131.3 指南框架13第二部分科技管理142.信息科技治理182.1 董事会及高级管理层15检查项1 : 董事会18检查项2 : 信息科技管理委员会19检查项3 : 首席信息官(CIO)202.2 信息科技部门16检查项1 : 信息科技部门21检查项2 : 信息科技战略规划232.3 信息科技风险管理部门18检查项1 : 信息科技风险管理部门242.4 信息科技风险审计部门18检查项1 : 信息科技风险审计部门252.5知识产权保护和信息披露19检查项1 : 知识产权保护26检查项2 : 信息披露263.信息科技风险管理283.1 风险识别和评估20检查项1 : 风险管理策略28检查项2 : 风险识别与评估293.2 风险防范和检测20检查项1 : 风险防范措施29检查项2 : 风险计量与检测304.信息安全管理324.1 安全管理机制与管理组织错误!未定义书签。
检查项1: 信息分类和保护体系32检查项2: 安全管理机制33检查项3: 信息安全策略34检查项4: 信息安全组织344.2 安全管理制度错误!未定义书签。
检查项1: 规章制度35检查项2: 制度合规36检查项3: 制度执行374.3 人员管理错误!未定义书签。
检查项1: 人员管理384.4 安全评估报告错误!未定义书签。
检查项1: 安全评估报告394.5 宣传、教育和培训错误!未定义书签。
检查项1: 宣传、教育和培训395.系统开发、测试与维护错误!未定义书签。
5.1开发管理错误!未定义书签。
检查项1: 管理架构41检查项2: 制度建设43检查项3: 项目控制体系44检查项4: 系统开发的操作风险45 检查项5: 数据继承和迁移465.2系统测试与上线错误!未定义书签。
检查项1: 系统测试47检查项2: 系统验收49检查项3: 投产上线495.3系统下线错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统现场检查指南(架构)为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。
一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。
(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。
评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。
三、检查内容(一)信息科技公司治理和组织结构1.制度建设(1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规范性。
(2)检查信息科技相关规章制度、技术规范、操作规程建设情况。
重点检查:各项制度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。
(3)检查实施知识产权保护情况。
重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。
2.组织结构(1)检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。
重点检查:①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责;负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门的建设情况;信息科技风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。
②该银行组织结构设计的战略定位,组织结构的合理性是否符合风险管理的需要;董事会和高管层面是否重视科技管理和信息科技规划工作;了解董事会对信息科技所担负的职责,管理层如何发挥对信息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清晰程度,了解内部平衡监督和放权的关系;分析对安全、质量和内部控制等的组织定位。
(2)检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。
重点检查:信息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容;评估近期、中期和远期关于信息科技的重大策略和目标的合理性。
着重从以下几个方面了解:①银行如何利用信息科技技术更好地为企业创新服务,在进行信息科技治理时如何贯彻“以组织战略目标为中心’,的思想,确保信息科技资源与业务匹配;银行的信息科技投资是否与战略目标相一致;是否合理配置信息科技资源以实现面向服务的架构,核心业务系统是否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键战略决策中信息科技的融入程度,确保无信息孤岛现象。
②信息科技规划中如何更好的控制风险,包括控制业务风险和控制由信息科技使用带来的风险。
是否在信息科技建设规划每个环节考虑到风险因素,满足银行最低风险控制需要;是否考虑到风险管理系统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或风险系统中采集监管数据,以提高银行风险监管能力。
③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平,比如可以按信息资产规模分为落后型、发展型、追随型和领先型。
(3)检查高管层对本机构信息系统风险状况的控制程度。
重点检查:是否定期组织内部评估、审计、报告本机构信息系统风险状况;针对存在的风险状况是否采取相应的风险控制措施,以及各项措施的卜具体内容环节、主要实施部门和评估结果;是否建立了对整改工作的监督机制。
(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。
重点检查:人员素质情况,包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构;人员在系统内的占比情况;内审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否有专职IT 人员和已获得上岗证书的信息安全管理员;对信息科技人员的行为规范管理情况。
(5)检查科技队伍培训、激励等管理机制的建设执行情况。
重点检查:培训规划和历史记录,包括职业培训、岗前培训情况,相关职责所需专业知识和技能的实际符合情况;分析信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透明。
(二)信息安全管理1.信息安全建设基本情况(1)检查内部科技风险管理机构对信息系统面临的风险开展评估的情况。
重点检查:通过调阅该机构安全领导小组成立(或调整)的文件,其他与计算机安全相关的会议记录或文件,了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门,是否充分履行有关计算机安全管理和监督检查职责。
(2)检查服务承包商和提供商与相关法律、法规等的符合程度。
重点检查:通过调阅该机构所有承包商和服务提供商的详细资料和合同文本,确认所有承包商和服务提供商是否符合法律法规要求,合同文本是否符合法律要求(如数据保护法规),是否明确各自的安全责任,是否有确保业务资产的完整性和保密性的条款等。
(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。
重点检查:调阅与计算机系统运行、安全保障和文档管理等相关规章制度,其范围除自行制定的制度还包括转发的上级文件,审计是否建立必要的计算机安全制度,审核各类制度的科学性、严密性和可操作性。
2.逻辑访问风险控制情况(1)检查访问控制业务要求、策略要求和访问规则的制订情况。
重点检查:通过阅读源程序或第三方业务系统安全审计报告,确定该机构的业务系统是否制订访问控制的业务要求、策略要求和访问规则,并确定其安全性、完备性。
(2)检查访问用户的注册管理制度。
重点检查:是否制定了正式的用户注册和取消注册程序,规范对所有多用户信息系统与服务的访问授权。
是否使用唯一用户ID 使用户对其操作负责(组ID 只有适合所进行的工作,才允许使用),用户离开组织时是否立即取消其用户ID,是否定期检查并取消多余的用户ID 和帐户。
(3)检查访问用户的权限管理和权限检查流程。
重点检查:是否建立了正式的用户的权限管理和权限检查程序,系统所有者对信息系统或服务授予的权限是否合适业务的开展,所授予的访问权限级别是否与组织的安全策略相一致,例如它会不会影响责任划分;用户因工作变更或离开组织时是否立即取消其访问权限;用户权限设定是否采用双人复核;是否对用户访问权限分配进行定期检查确保没有对用户授予非法权限。
(4)检查访问用户的口令管理。
重点检查:是否采用了正式的管理程序来控制口令的分配,是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令,用户忘记口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令,是否还采用了其他的用户身份识别和验证技术(如生物统计学中的指纹鉴定;建立新的用户,是否建立了申请审批程序,并采用双人控制。
(5)检查访问用户的责任管理。
重点检查:所有用户是否做到避免在纸上记录口令,只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令,是否选用高质量的口令,是否定期更改口令。
3.网络安全控制情况(1)检查网络管理和网络服务的安全策略制定情况。
重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络和网络服务的安全策略,并确定此策略是否业务访问控制策略相一致。
(2)检查实施网络控制的安全手段。
重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络控制的安全途径,并确定实施控制的路径的要求是否是业务访问控制策略所必要的,是否通过专线或专门电话号码联网,是否自动将端口连接到指定应用系统或安全网关,是否限制个人用户的菜单和子菜单选项,是否防止无限制的网络漫游,是否强制外部网络用户使用指定应用系统和/或安全网关,是否为组织内用户组设置不同的逻辑域(如虚拟专用网)来限制网络访问。
(3)检查外部连接的用户身份验证方法。
重点检查:是否通过使用加密技术、硬件标记或问答协议对远程用户访问进行身份验证,对于专线用户是否安装了网络用户地址检查工具来对连接源提供安全保障,对拨号用户是否使用反向拨叫程序和控制措施(如使用反向拨叫调制解调器)可以防止与组织信息处理设施的非法连接和有害连接。
(4)检查远程诊断端口的保护情况。
重点检查:是否使用适当的安全机制(如密钥锁)对诊断端口进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行适当的安排后才能访问。
(5)检查网络的划分和路由控制情况。
重点检查:是否在网络内采用一些控制措施把信息服务组、用户组和信息系统组分割成不同的逻辑网络域(如组织的内部网络域和外部网络域),每个域都使用一个明确的安全界限来加以保护,是否在两个要互连的网络之间安装一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动,是否对该网关配置,访问控制策略来阻止非法访问。