商业银行信息科技风险评估研究(2011)

-`信息科技风险（Information Technology Risk ）（一）信息科技治理（15 分）1.信息科技治理组织架构（ 8 分）（1）能否确定董事会、高管层信息科技管理职责。

（2）能否成立完美的信息科技管理制度系统。

（3）能否成立完美合规的信息科技“三道防线”以及信息科技三道防线的实质运作。

（4）能否明确信息科技治理作为重要构成部分归入企业治理。

评分原则：（1）观察董事会、高管层的信息科技治理职责能否完好，信息科技发展战略不经董事会审批，或许今年内董事会会议不形成年度信息科技工作决策的此项最高得分 4 分。

（2）观察能否成立信息科技管理制度的草拟、公布、订正等工作流程，信息科技管理制度能否涵盖系统开发、项目管理、系统运转、信息安全、外担保理、业务连续性等领域。

（3）观察能否明确信息科技管理、信息科技风险管理和信息科技风险监察的“三道防线”职责，“三道防线”部门设置能否合规；能否建立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并按期向高管层报告工作。

（4）观察商业银行能否以正式制度（文件）明确信息科技治理应作为重要构成部分归入企业治理；能否拟订了信息科技治理运作成效查核指标并按期进行评论。

2. 信息科技对业务发展的专业支持和般配度（7 分）（1）信息科技战略与业务发展战略的般配度。

（2）信息科技人员、信息科技投入等与业务发展的般配度（定量）。

（3）董事会、高管层等决策人员能否具备足够的信息科技专业知识能力。

评分原则：（1）观察能否成立明确、可实行的信息科技发展战略；能否认期评论信息科技战略规划实行成效，成立信息科技战略与业务战略的协调一致体制。

（2）观察信息科技人员数目、信息科技人员占比、信息科技投入占比与商业银行发展水平能否般配，低于同质同类商业银行均匀值的此项酌情扣分；观察商业银行信息系统建设与业务发展的支撑与般配程度。

（3）观察拥有信息科技管理经验的高管人员在董事会、决策层能否拥有必定的占比；能否建立首席信息官，直接向行长报告，并参加重要决策，首席信息官能否拥有必定的信息科技专业背景或从业经验。

商业银行信息科技风险现场检查指南目录第一部分概述 (21)1. 指南说明 (22)1.1 目的及适用范围 (22)1.2 编写原则 (24)1.3 指南框架 (24)第二部分科技管理 (26)2. 信息科技治理 (27)2.1 董事会及高级管理层 (27)检查项1 ：董事会 (27)检查项2 ：信息科技管理委员会 (28)检查项3 ：首席信息官（CIO） (29)2.2 信息科技部门 (30)检查项1 ：信息科技部门 (30)检查项2 ：信息科技战略规划 (32)2.3 信息科技风险管理部门 (33)检查项1 ：信息科技风险管理部门 (33)2.4 信息科技风险审计部门 (34)检查项1 ：信息科技风险审计部门 (34)2.5 知识产权保护和信息披露 (35)检查项1 ：知识产权保护 (35)检查项2 ：信息披露 (36)3. 信息科技风险管理 (37)3.1 风险识别和评估 (37)检查项1 ：风险管理策略 (37)检查项2 ：风险识别与评估 (38)3.2 风险防范和检测 (38)检查项1 ：风险防范措施 (38)检查项2 ：风险计量与检测 (39)4. 信息安全管理 (41)4.1 安全管理机制与管理组织 (41)检查项1：信息分类和保护体系 (41)检查项2：安全管理机制 (42)检查项3：信息安全策略 (43)检查项4：信息安全组织 (43)4.2 安全管理制度 (44)检查项1：规章制度 (44)检查项2：制度合规 (45)检查项3：制度执行 (46)4.3 人员管理 (47)检查项1：人员管理 (47)4.4 安全评估报告 (48)检查项1：安全评估报告 (48)4.5 宣传、教育和培训 (49)检查项1：宣传、教育和培训 (49)5.系统开发、测试与维护 (50)5.1开发管理 (50)检查项1：管理架构 (50)检查项2：制度建设 (52)检查项3：项目控制体系 (53)检查项4：系统开发的操作风险 (54)检查项5：数据继承和迁移 (55)5.2系统测试与上线 (56)检查项1：系统测试 (56)检查项2：系统验收 (58)检查项3：投产上线 (59)5.3系统下线 (60)检查项1：系统下线 (60)6. 系统运行管理 (61)6.1 日常管理 (61)检查项1：职责分离 (61)检查项2：值班制度 (62)检查项3：操作管理 (62)检查项4：人员管理 (63)6.2 访问控制策略 (64)检查项1：物理访问控制策略 (64)检查项2：逻辑访问控制策略 (65)检查项3：账号及权限管理 (66)检查项4：用户责任及终端管理 (67)检查项5：远程接入的控制 (68)6.3 日志管理 (69)检查项1：审计日志检查 (69)检查项2：日志信息的保护 (70)检查项3：操作日志的检查 (70)检查项4：错误日志的检查 (70)6.4系统监控 (71)检查项1：基础环境监控 (71)检查项2：系统性能监控 (72)检查项3：系统运行监控 (73)检查项4：测评体系 (73)6.5 事件管理 (74)检查项1：事件报告流程 (74)检查项2：事件管理和改进 (75)检查项3：服务台管理 (76)6.6问题管理 (77)检查项1：事件分析和问题生成 (77)检查项2：台账管理 (77)检查项3：问题处置 (78)6.7 容量管理 (78)检查项1：容量规划 (79)检查项2：容量监测 (79)检查项3：容量变更 (80)6.8 变更管理 (80)检查项1：变更的流程 (81)检查项2：变更的评估 (82)检查项3：变更的授权 (82)检查项4：变更的执行 (83)检查项5：紧急变更 (83)检查项6：重大变更 (84)7. 业务连续性管理 (85)7.1 业务连续性管理组织 (86)检查项1：董事会及高管层的职责 (86)检查项2：业务连续性管理组织的建立 (87)检查项3：业务连续性管理组织职责 (88)7.2 IT服务连续性管理 (89)检查项1：IT服务连续性计划的组织保障 (89)检查项2：风险评估及业务影响分析 (90)检查项3：IT服务连续性计划的制定 (91)检查项4：IT服务连续性计划的测试与维护 (92)检查项5：IT服务连续性计划审计 (93)检查项6：IT服务连续性相关领域的控制 (93)8. 应急管理 (95)8.1 应急组织 (95)检查项1：应急管理团队 (95)检查项2：应急管理职责 (96)检查项3：应急管理制度 (97)8.2 应急预案 (97)检查项1：应急预案制订 (97)检查项2：应急预案内容 (98)检查项3：应急预案更新 (99)检查项4：外包服务应急 (99)检查项5：应急预案培训 (100)8.3 应急保障 (100)检查项1：人员保障 (100)检查项2：物质保障 (101)检查项3：技术保障 (101)检查项4：沟通保障 (102)8.4 应急演练 (102)检查项1：应急演练的计划 (102)检查项2：应急演练的实施 (103)检查项3：应急演练的总结 (103)8.5 应急响应 (104)检查项1：应急响应流程 (104)检查项2：全程记录处置过程 (105)检查项3：应急事件报告 (105)检查项4：与第三方沟通 (106)检查项5：向新闻媒体通报制度 (106)检查项6：应急处置总结 (107)8.6 持续改进 (107)检查项1：应急事件评估 (107)检查项2：应急响应评估 (108)检查项3：应急管理改进 (108)9. 灾难恢复管理 (110)9.1 灾难恢复组织架构 (110)检查项1：灾难恢复相关组织架构 (110)9.2 灾难恢复策略 (112)检查项1：总体控制 (112)检查项2：灾难恢复策略 (112)检查项3：灾难备份策略 (114)检查项4：外包风险 (116)9.3 灾难恢复预案 (116)检查项1：灾难恢复预案 (116)检查项2：联络与通讯 (117)检查项3：教育、培训和演练 (118)9.4评估和维护更新 (119)检查项1：灾备策略的评估和维护更新 (119)检查项2：灾难恢复预案的评估和维护更新 (119)10. 数据管理 (121)10.1 数据管理制度和岗位 (121)检查项1: 数据管理制度 (121)检查项2 ：数据管理岗位 (122)10.2 数据备份、恢复策略 (122)检查项1：数据备份、转储策略 (122)检查项2：数据恢复、抽检策略 (123)10.3数据存储介质管理 (124)检查项1：介质管理 (124)检查项2：介质的清理和销毁 (125)11. 外包管理 (126)11.1外包管理制度 (126)检查项1：外包管理制度 (126)检查项2：外包审批流程 (126)检查项3：外包协议 (127)检查项4：服务水平协议 (127)检查项5：外包安全保密措施 (128)检查项6：外包文档管理 (128)11.2外包评估和监督 (129)检查项1：外包服务商的评估 (129)检查项2：外包项目的监督管理 (129)12. 内部审计 (131)12.1 内部审计管理 (131)检查项1：内部审计部门、岗位、人员和职责 (131)检查项2：内部审计制度和办法 (131)12.2 内部审计要求 (132)检查项1：内部审计范围和频率 (132)检查项2：内部审计结果的有效性 (132)13. 外部审计 (134)13.1 外部审计资质 (134)检查项1：外部审计机构的资质 (134)13.2 外部审计要求 (134)检查项1：商业银行配合外部审计情况 (134)检查项2：外部审计有效性 (135)检查项3：外审过程中的保密要求 (135)第三部分基础设施 (137)14. 计算机机房 (138)14.1计算机机房建设 (138)检查项1：计算机机房选址 (138)检查项2：机房功能分区 (139)检查项3：计算机机房基础设施建设 (139)检查项4：计算机机房的环境要求 (142)检查项5：计算机机房日常维护 (143)14.2计算机机房管理 (144)检查项1：计算机机房安全管理 (144)检查项2：计算机机房集中监控系统 (145)检查项3：计算机机房安全区域访问控制 (146)检查项4：计算机机房运行管理 (147)14.3机房设备管理 (148)检查项1：机房设备的环境安全 (148)15. 网络通讯 (150)15.1 内控管理 (150)检查项1：内控制度 (150)检查项2：人员管理 (151)检查项3：访问控制 (151)检查项4：日志管理 (152)检查项5：第三方管理 (153)检查项6：服务外包 (154)检查项7：文档管理 (154)检查项8：风险评估 (155)15.2 网络运行维护 (156)检查项1：运行监控 (156)检查项2：性能监控 (156)检查项3：流量监控 (157)检查项4：监控预警 (157)检查项5：性能调优 (158)检查项6：事件管理 (158)检查项7：运行检查 (159)15.3 网络变更管理 (159)检查项1：变更发起 (160)检查项2：变更计划 (160)检查项3：变更测试 (160)检查项4：变更审批 (161)检查项5：变更实施 (161)15.4 网络服务可用性 (162)检查项1：容量管理 (162)检查项2：冗余管理 (163)检查项3：带外管理 (164)检查项4：压力测试 (164)检查项5：应急管理 (164)15.5 网络安全技术 (165)检查项1：结构安全 (165)检查项2：物理安全 (166)检查项3：传输安全 (167)检查项4：访问控制 (168)检查项5：接入安全 (169)检查项6：网络边界安全 (170)检查项7：入侵检测防范 (171)检查项8：恶意代码防范 (172)检查项9：网络设备防护 (172)检查项10：网络安全测试 (174)检查项11：安全审计日志 (175)检查项12：安全检查 (176)16. 操作系统 (177)16.1账号及密码管理 (177)检查项1：管理制度 (177)检查项2：账号、密码管理 (178)检查项3：账号、密码管理检查 (179)16.2系统访问控制 (180)检查项1：访问控制策略 (180)检查项2：用户登录行为管理 (180)检查项3：登录失败日志管理 (181)检查项4：最小化访问 (181)16.3远程接入管理 (183)检查项1：远程管理制度 (183)检查项2：远程维护管理 (183)检查项3：远程维护审查 (184)16.4日常维护 (185)检查项1：系统性能监控 (185)检查项2：补丁及漏洞管理 (185)检查项3：日常维护管理 (186)检查项4：系统备份和故障恢复 (186)检查项5：病毒及恶意代码管理 (187)检查项6：定时进程设置管理 (187)检查项7：系统审计功能 (188)17. 数据库管理系统 (190)17.1访问控制 (190)检查项1：身份认证 (190)检查项2：授权控制 (191)检查项3：远程访问 (192)检查项4：安全参数设置 (193)17.2日常管理 (193)检查项1：数据安全 (193)检查项2：审计功能 (194)检查项3：性能管理 (195)检查项4：补丁升级 (196)17.3连续性管理 (196)检查项1：备份和恢复 (196)检查项2：连续性和应急管理 (197)18. 第三方中间件 (199)18.1 产品管理 (199)检查项1：中间件测试 (199)检查项2：中间件管理 (199)检查项3：中间件与业务系统架构 (200)18.2 运行管理 (200)检查项1：维护流程和操作手册 (200)检查项2：中间件配置管理 (201)检查项3：中间件日志管理的程序 (201)检查项4：中间件的性能监控 (201)检查项5：中间件产生的事件和问题管理 (202)检查项6：中间件的变更 (202)检查项7：单点故障问题和负载均衡 (203)检查项8：压力测试 (203)第四部分应用系统 (204)19. 应用系统 (205)19.1 应用系统管理 (205)检查项1：业务管理办法与操作流程 (205)检查项2：重要应用系统评估 (205)检查项3：应用系统版本管理 (206)检查项4：应用系统培训教育 (207)19.2 应用系统操作 (207)检查项1：终端用户管理 (207)检查项2：访问控制与授权管理 (208)检查项3：数据保密处理 (209)检查项4：数据完整性处理 (210)检查项5：数据准确性处理 (210)检查项6：日志管理机制 (211)检查项7：备份、恢复机制 (213)检查项8：文档资料管理 (213)检查项9：内部审计的参与 (214)20. 电子银行 (215)20.1 电子银行业务合规性 (215)检查项1：电子银行业务合规性 (215)20.2 电子银行风险管理体系 (216)检查项1：电子银行风险管理体系 (216)20.3 电子银行安全管理 (217)检查项1：电子银行安全策略管理 (217)检查项2：电子银行安全措施 (218)检查项3：电子银行安全监控 (219)检查项4：电子银行安全评估 (220)20.4 电子银行可用性管理 (220)检查项1：电子银行基础设施 (220)检查项2：电子银行性能监测和评估 (221)20.5 电子银行应急管理 (221)检查项1：电子银行应急预案 (221)检查项2：电子银行应急演练 (222)21. 银行卡系统 (224)21.1 银行卡系统管理 (224)检查项1：银行卡系统容量的合理规划 (224)检查项2：银行卡系统物理设备风险和故障处理 (225)检查项3：银行卡交易监控 (225)检查项4：账户密码和交易数据的存储和传输 (226)检查项5：银行卡系统应急预案 (227)21.2 终端设备 (228)检查项1：自助银行机具和安装环境的物理安全 (228)检查项2：自助银行机具的通信安全 (228)检查项3：自助银行机具的安全装置 (229)检查项4：自助银行业务操作流程（机具软件） (229)检查项5：自助银行机具的巡查维护 (230)检查项6：POS机 (230)21.3 自助银行监控 (231)检查项1：自助银行设备日常运行的监控情况 (231)检查项2：监控中心和监控设备 (231)检查项3：自助银行监控发现问题的处置情况 (232)检查项4：自助银行设施安全评估（信息科技方面） (232)22. 第三方存管系统 (233)22.1 管理架构和职责 (233)检查项1：管理架构与岗位职责分工 (233)22.2 系统功能 (233)检查项1：系统功能 (233)22.3 系统一般安全与账户处理 (234)检查项1：账户冲正处理 (234)检查项2：网络访问控制与病毒防范 (234)22.4 数据交换 (235)检查项1：数据交换安全性 (235)22.5 运行维护 (236)检查项1：运行维护安全性 (236)22.6 系统备份 (236)检查项1：系统备份安全性 (236)22.7 应急恢复与事故处理 (237)检查项1：应急恢复与事故处理流程 (237)22.8 系统测试 (237)检查项1：系统测试 (237)22.9 临时派出柜台 (238)检查项1：系统派出柜台安全性 (238)附录 (239)23. 常用检查方法 (240)23.1 问卷与函证 (240)23.2 访谈 (241)23.3 查阅 (242)23.4 观察 (243)23.5 测试 (243)26.6 分析性复核 (247)26.7 评审 (247)24. 主要网络设备常用操作 (248)24.1 Cisco设备常用操作 (248)交换机 (248)路由器 (250)防火墙 (251)24.2 H3C设备常用操作 (252)交换机 (252)路由器 (254)防火墙 (256)25. 主要操作系统常用操作 (258)25.1 AIX系统检查常用操作 (258)25.2 HP/UX系统检查常用操作 (275)25.3 Solaris系统检查常用操作 (282)25.4 Windows系统检查常用操作 (284)26. 主要数据库管理系统常用操作 (293)26.1 DB2 系统检查常用操作 (293)26.2 Sybase 系统检查常用操作 (294)26.3 Oracle 系统检查常用操作 (295)26.4 Informix 系统检查常用操作 (299)26.5 SQL SERVER系统检查常用操作 (302)第一部分概述1. 指南说明1.1 目的及适用范围信息科技与银行业务高度融合，已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。

商业银行信息科技风险管理指引—(正式版) 商业银行信息科技风险管理指引正式版目录：第一章 \t引言\t\t1.1 背景\t\t1.2 目的和范围\t\t1.3 定义和缩写\t\t第二章 \t风险管理框架\t\t2.1 整体风险管理框架\t\t2.2 信息科技风险管理流程\t\t2.3 风险识别和评估\t\t\t2.3.1 内部控制要点\t\t\t2.3.2 外部环境因素\t\t\t2.3.3 风险识别和分级评估\t\t2.4 风险应对\t\t\t2.4.1 风险治理\t\t\t2.4.2 风险管理策略\t\t\t2.4.3 风险防范和控制\t\t\t2.4.4 风险监测和评价\t\t\t2.4.5 应急响应和恢复\t\t2.5 风险监管和报告\t\t第三章 \t信息科技风险管理要素\t\t3.1 组织结构和职责\t\t\t3.1.1 信息科技风险管理委员会\t \t\t3.1.2 风险管理部门\t\t\t3.1.3 内部稽核部门\t\t\t3.1.4 各业务部门\t\t3.2 信息科技风险管理框架\t\t\t3.2.1 风险管理政策和指导原则\t \t\t3.2.2 风险管理流程\t\t\t3.2.3 风险分类和评估\t\t\t3.2.4 风险应对和控制\t\t\t3.2.5 风险监测和报告\t\t3.3 信息科技风险管理工具\t \t\t3.3.1 风险管理信息系统\t \t\t3.3.2 风险评估和监测工具\t \t\t3.3.3 应急响应和恢复工具\t \t第四章 \t信息科技风险领域\t\t4.1 系统安全风险\t\t\t4.1.1 网络安全\t\t\t4.1.2 数据安全\t\t\t4.1.3 身份认证和访问控制\t \t4.2 业务连续性风险\t\t\t4.2.1 业务连续性规划\t\t\t4.2.2 冗余和备份机制\t\t\t4.2.3 业务恢复测试\t\t4.3 第三方风险\t\t\t4.3.1 第三方评估和监测\t \t\t4.3.2 合同和协议管理\t \t\t4.3.3 第三方准入控制\t \t4.4 IT项目风险管理\t\t\t4.4.1 项目风险评估\t\t\t4.4.2 项目管理流程\t\t\t4.4.3 项目监控和评估\t \t第五章 \t信息科技风险监管\t \t5.1 监管要求\t\t\t5.1.1 法律法规\t\t\t5.1.2 监管机构要求\t\t5.2 监管报告\t\t\t5.2.1 内部监测报告\t\t\t5.2.2 监管部门报告\t\t\t5.2.3 外部披露\t\t附件：附件1、信息科技风险评估工具附件3、第三方评估表格附件4、IT项目风险评估表格法律名词及注释：1.《商业银行法》商业银行法是指中国国家法律对商业银行的规范和管理的法律文件。

商业银行信息科技风险审计北京时代新威信息技术有限公司王连杰为了适应当前社会形势的变化，开展商业银行信息科技风险审计项目是应对信息化条件下审计工作全新挑战的必然选择。

本文结合北京时代新威信息技术有限公司与数家银行合作的众多案例，总结出商业银行科技风险审计的价值所在。

理清信息科技风险审计基本概念与内涵,明确信息科技风险审计分类标准,掌握信息科技风险审计常用方法与思路十分重要。

并且将理论研究与经验分析相结合,总结商业银行信息科技审计的实际价值,并对如何提升商业银行信息科技风险审计工作水平提出了建议。

首先解析一下商业银行信息科技风险审计的基本概念与内涵。

商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。

通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。

安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。

依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计，内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。

信息科技治理层面：商业银行信息科技风险审计工作内容的重点就是信息科技治理，下面是它的基本构架以及管理方案。

一、信息科技治理架构1、信息科技治理机构的建立与履职（信息科技管理委员会）2、首席信息官的设立与履职3、是否指定信息科技风险的管理部门与管理职责二、信息科技战略管理1、是否建立了与企业战略相匹配的信息科技战略2、信息科技战略是否经董事会审批三、信息科技风险管理1、是否制定全面的信息科技风险管理策略2、是否制定持续的风险识别和评估流程3、是否制定了信息科技风险管理制度、技术规范、操作规程等，并且定期进行更新和公示4、是否建立了持续的信息科技风险计量和检测机制5、是否把信息科技风险纳入全行全面风险管理框架，并且明确牵头管理部门四、信息科技的资源管理1、信息科技的投资管理2、信息科技的人力资源管理3、信息科技的信息资产管理信息科技风险管理层面：商业银行信息科技风险审计的信息科技风险管理具体体现在构成管理体系的每个细节上，北京时代新威信息技术有限公司针对商业银行科技风险审计将其分为四个部分：管理者的素质、组织结构、企业文化、管理过程。