银监会信息系统现场检查指南设计
商业银行信息科技风险现场检查指南之欧阳歌谷创编
商业银行信息科技风险欧阳歌谷(2021.02.01)现场检查指南目录第一部分概述1. 指南说明1.1 目的及适用范围信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。
与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。
银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。
商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。
《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。
二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。
三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
中国银监会关于印发《中国银行业监督管理委员会现场检查规程》的通知(2007修改)
中国银监会关于印发《中国银行业监督管理委员会现场检查规程》的通知(2007修改)文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2007.07.03•【文号】银监发[2007]55号•【施行日期】2007.07.03•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银监会关于印发《中国银行业监督管理委员会现场检查规程》的通知(银监发[2007]55号)各银监局:现将修改后的《中国银行业监督管理委员会现场检查规程》印发给你们,请遵照执行。
二〇〇七年七月三日中国银行业监督管理委员会现场检查规程一、总则(一)为规范现场检查工作,进一步提高现场检查的工作质量和效率,根据《中华人民共和国银行业监督管理法》等有关法律法规,制定本规程。
(二)本规程适用于中国银行业监督管理委员会(以下简称银监会)及其派出机构对银行业金融机构进行的全面和专项现场检查。
(三)本规程所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
对在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经银监会及其派出机构批准设立的其他金融机构的现场检查,适用本规程。
(四)本规程所指的现场检查包括检查准备、检查实施、检查报告、检查处理和检查档案整理五个阶段。
(五)在实施现场检查时,检查组应根据被查单位的规模、业务范围和业务的复杂程度,选择相应的检查程序。
(六)银监会及其派出机构对银行业金融机构实施现场检查,应当遵循依法、公正和效率的原则。
(七)检查人员应依法开展工作,遵守银监会“约法三章”、廉洁自律的要求,认真执行《银监会系统监管人员现场检查若干纪律规定》,忠实履行职责,遵守保密规定,不得在现场检查中谋取不正当利益。
二、检查准备阶段(一)立项主监管员承担日常持续性监管的主要责任,其根据对被监管机构风险监测情况、风险评级结果,及以往现场检查报告,在与现场检查人员充分商讨的基础上,制定年度或监管周期现场检查计划,进行现场检查的立项,并与现场检查人员一起进行立项的审议,确定现场检查的时间和检查重点项目。
银监会:商业银行现场检查手册
银监会:商业银行现场检查手册第一篇:银监会:商业银行现场检查手册商业银行现场检查手册第一章现场检查基本原理第一节现场检查的目的和作用第二节现场检查的原则第三节现场检查的内容第四节现场检查的种类与方法第五节现场检查抽样第六节现场检查的法律事务第二章现场检查操作流程第一节第二节第三节第四节第五节第三章第一节第二节第三节第四节第五节第六节第七节第八节第九节第十节第四章第一节第二节第三节第四节第五节第六节第七节第八节第九节第五章第一节现场检查准备阶段现场检查实施阶段现场检查报告阶段现场检查处理阶段检查档案整理阶段货款及表内其他授信业务综述授信管理货款风险分类货款集中、关联企业货款和关联交易公司授信贸易融资房地产货款银团货款项目融资个人授信业务非信资产综述存放拆放同业证券和投资固定资产无形及递延资产应收款现金及银行存款抵债资产存款及表内其他负债综述第二节存款第三节第四节第五节第六章第一节第二节第三节第四节第五节第七章第一节第二节第三节第四节第五节第六节第七节第八节第九节同业存放、拆入证券融资其他负债财务管理综述财务计划检查营业收入、成本与费用资产减值准备利润及利润分配中间业务综述票据业务结售汇业务信用证银行卡业务代理业务银行承兑汇票保函与备用信用证货款承诺第十节交易类中间业务第十一节基金托管业务第十二节咨询顾问业务第十三节代保管业务第八章电子银行第一节综述第二节网上银行业务第三节电话银行业务第四节手机银行业务第五节 ATM、POS机业务第九章第一节第二节第三节第四节第十章第一节第二节资金清算综述同业往来联行往来业务国际清算资本充足率综述资本充足率检查第三节监管评级监管措施第十一章流动性管理第一节综述第二节流动性检查第三节流动性评价及监管措施第十二章市场风险第一节综述第二节市场风险管理法第三节市场风险检查程序与方法第十三章对商业银行境外机构的现场检查第一节跨境监管概述第二节我国对商业银行跨境监管的规定第三节商业银行对镜外机构的管理第四节商业银行境外机构第五节与其他监管当局的信息交流与合作第十四章公司治理第一节综述第二节法人治理机制第三节高级管理层评价第四节对分支机构和相关机构的管理第五节内部审计第六节经营战略与政策第十五章内部控制第一节综述第二节资产负债管理第三节管理信息系统与会计系统第四节人力资源管理第五节计算机系统管理第六节安全保卫第十六章商业银行风险评估第一节综述第二节银行面临的八类风险评估第三节银行风险管理水平评估第四节银行整体风险综合评估第十七章商业银行风险评级第一节综述第二节ROCA评级体系各要素评估第三节CAMELS评级体系各要素评估第四节压力测试第五节风险预警第六节监管措施附件:现场检查前问卷后记第二篇:银监会枪支弹药现场检查实施细则中国银监会银行业金融机构枪支、弹药管理及使用情况现场检查实施细则根据《中国银监会办公厅关于印发2010 年两项安全保卫现场检查方案的通知》(银监办发[ 2010 ] 153 号)要求,特制定银行业金融机构枪支、弹药(以下简称枪弹)管理及使用情况现场检查实施细则。
银保监会现场检查办法-ppt
存在影响或者可能影响依法公正履行职责情况的,现场检查人员应当按照履职回避的相关规定予以回避,
并且不得参加相关事项的讨论、审核和决定,不得以任何方式对相关事项施加影响。被查机构认为检查人
员与其存在利害关系的,有权申请检查人员回避。
第四章 检 查 流 程
检查前信息收集:
检查组根据检查项目需要,开展查前调告及其对内外部检查和审计的整改和处罚情况,被查机构的业务开展情况、经营管理状况,监 管部门掌握的被查机构的情况等,并进行检查分析和模型分析,制定检查方案,做好查前培训。 检查更有针对性,更易发现违法违规问题
PART THREE
立项管理
第三章 立 项 管 理
检查立项依据:
根据银行业和保险业机构的依法合规情况、 评级情况、系统重要性程度、风险状况和以 往检查情况等,结合随机检查对象名录库及 随机抽查事项清单,确定现场检查的频率、 范围,确保检查项目科学、合理、可行。未 经立项审批程序,不得开展现场检查。
第四章 检 查 流 程
稽核调查参照一般现 场检查程序,根据工 作要求和实际情况, 可以简化流程,可以 不与调查对象交换意 见,可以不出具检查 意见书,以调查报告 作为稽核调查的成果。 调查过程中如发现涉 及需要采取监管措施 或行政处罚的事项, 应当按照相关要求收 集证据,依程序进行 处理。
对于有特殊需要的现 场检查项目,经检查 组组长确定,可以适 当简化检查程序,包 括但不限于不进行查 前培训、不组织进点 会谈等。
稽核调查可以纳入年度现场检查计划,也 可以适用临时检查立项程序。
立项原因要充分,立项需审批,限制监管随意开展检查,检查计划性强,年度确定,一般不更改。
第四章
PART FOUR
检查流程
第四章 检 查 流 程
中国银保监会办公厅关于印发银保监会现场检查立项和实施程序规定(试行)的通知-
中国银保监会办公厅关于印发银保监会现场检查立项和实施程序规定(试行)的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------中国银保监会办公厅关于印发银保监会现场检查立项和实施程序规定(试行)的通知各银保监局:为规范现场检查立项和实施程序,根据《中国银保监会现场检查办法(试行)》(中国银行保险监督管理委员会令2019年第7号),我会制定了《中国银保监会现场检查立项和实施程序规定(试行)》,现予以印发,请遵照执行。
相关的现场检查文书示范文本一并印发,请参照执行。
中国银保监会办公厅2020年9月6日中国银保监会现场检查立项和实施程序规定(试行)第一章总则第一条为规范现场检查立项和实施程序,根据《中国银保监会现场检查办法(试行)》,制定本规定。
第二条中国银行保险监督管理委员会(以下简称银保监会)及其派出机构对监管对象开展现场检查,应当按照本规定进行现场检查立项并组织实施。
根据监管备忘录等合作协议和对等原则,银保监会及其派出机构对监管对象的境外机构开展现场检查,或境外监管机构联合我方且以我方名义对其监管对象的境内机构开展现场检查,应当按照本规定进行现场检查立项并组织实施。
第三条现场检查实行分级立项。
银保监会及其派出机构按照监管职责,分别负责对其直接监管对象进行现场检查立项。
根据监管需要,上级机构可以对下级机构的直接监管对象进行现场检查立项,也可以指定或建议下级机构对其直接监管对象进行现场检查立项。
监管对象所在地的银保监会派出机构(以下称属地监管机构)认为其所监管法人机构的异地分支机构可能存在重大风险的,可以向该分支机构的属地监管机构提出现场检查立项建议。
第四条银保监会及其派出机构的专职现场检查部门归口管理本级现场检查工作,负责编制本级年度现场检查立项计划,会签本级临时立项,对现场检查通知书统一编号,规范现场检查文书格式,汇总现场检查情况等。
银行业监管之现场检查规程
第三模块现场检查规程目录:1 模块说明 (3)2现场检查程序流程图 (3)3 具体操作要求 (9)3.1检查准备阶段 (9)3.1.1 检查立项阶段 (9)3.1.2成立检查组 (10)3.1.3拟定《现场检查方案》(附件3) (12)3.1.4发出《现场检查通知书》(附件5) (13)3.1.5检查前问卷(附件6) (14)3.1.6收集检查有关资料 (15)3.1.7开展检查前调查与分析 (15)3.1.8拟定《进点会谈提纲》(附件7) (16)3.1.9检查前培训 (16)3.2检查实施阶段 (17)3.2.1进点会谈 (17)3.2.2实施检查 (18)3.2.3编制《现场检查工作底稿》(附件13) (20)3.2.4编制和发出《现场检查事实确认书》(附件14) (22)3.2.5结束现场 (23)3.3检查报告阶段 (24)3.3.1分项目检查小结(附件15) (24)3.3.2形成《现场检查事实与评价》(附件16) (24)3.3.3与被查单位交换意见 (25)3.3.4发出《现场检查事实与评价》 (26)3.3.5形成《现场检查报告》(附件18) (26)3.4 检查处理阶段 (29)3.4.1《现场检查意见书》(附件20) (29)3.4.2下达《现场检查意见书》程序 (29)3.4.3《现场检查意见书》主要内容 (29)3.4.4《现场检查意见书》发出方式 (29)3.4.5《现场检查意见书》生效 (29)3.4.6制作《现场检查发现问题整改清单》(附件21) (30)3.4.7监管函件的发出 (30)3.4.8催收整改报告 (30)3.4.9督促整改 (30)3.4.10下达《行政处罚告知书》和《监管强制措施告知书》 (31)3.5检查档案整理阶段 (31)3.5.1建立《现场检查档案》 (31)3.5.2《现场检查档案》主要内容 (31)3.5.3编写《现场检查档案目录》 (32)3.5.4装入《现场检查档案》档案盒 (32)3.5.5移交《现场检查档案》 (32)3.5.6建立《电子版现场检查档案》 (32)3.5.7现场检查总结与考评 (33)4 检查文本格式 (33)1 模块说明本模块包括现场检查程序流程图、具体操作要求和现场检查文本格式三部分。
商业银行信息科技风险现场检查指南之欧阳光明创编
商业银行信息科技风险欧阳光明(2021.03.07)现场检查指南目录第一部分概述1. 指南说明1.1 目的及适用范围信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。
与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。
银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。
商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。
《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。
二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。
三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南目录第一部分概述 (21)1. 指南说明 (22)1.1 目的及适用范围 (22)1.2 编写原则 (23)1.3 指南框架 (24)第二部分科技管理 (26)2. 信息科技治理 (27)2.1 董事会及高级管理层 (27)检查项1 :董事会 (27)检查项2 :信息科技管理委员会 (28)检查项3 :首席信息官(CIO) (29)2.2 信息科技部门 (30)检查项1 :信息科技部门 (30)检查项2 :信息科技战略规划 (32)2.3 信息科技风险管理部门 (33)检查项1 :信息科技风险管理部门 (33)2.4 信息科技风险审计部门 (34)检查项1 :信息科技风险审计部门 (34)2.5 知识产权保护和信息披露 (35)检查项1 :知识产权保护 (35)检查项2 :信息披露 (35)3. 信息科技风险管理 (37)3.1 风险识别和评估 (37)检查项1 :风险管理策略 (37)检查项2 :风险识别与评估 (38)3.2 风险防范和检测 (38)检查项1 :风险防范措施 (38)检查项2 :风险计量与检测 (39) 4. 信息安全管理 (41)4.1 安全管理机制与管理组织 (41) 检查项1:信息分类和保护体系 (41) 检查项2:安全管理机制 (42)检查项3:信息安全策略 (43)检查项4:信息安全组织 (43)4.2 安全管理制度 (44)检查项1:规章制度 (44)检查项2:制度合规 (45)检查项3:制度执行 (46)4.3 人员管理 (47)检查项1:人员管理 (47)4.4 安全评估报告 (48)检查项1:安全评估报告 (48)4.5 宣传、教育和培训 (48)检查项1:宣传、教育和培训 (48) 5.系统开发、测试与维护 (50)5.1开发管理 (50)检查项1:管理架构 (50)检查项2:制度建设 (52)检查项3:项目控制体系 (53)检查项4:系统开发的操作风险 (54) 检查项5:数据继承和迁移 (55) 5.2系统测试与上线 (56)检查项1:系统测试 (56)检查项2:系统验收 (58)检查项3:投产上线 (58)5.3系统下线 (59)检查项1:系统下线 (59)6. 系统运行管理 (61)6.1 日常管理 (61)检查项1:职责分离 (61)检查项2:值班制度 (62)检查项3:操作管理 (62)检查项4:人员管理 (63)6.2 访问控制策略 (64)检查项1:物理访问控制策略 (64) 检查项2:逻辑访问控制策略 (65) 检查项3:账号及权限管理 (66)检查项4:用户责任及终端管理 (67) 检查项5:远程接入的控制 (68) 6.3 日志管理 (69)检查项1:审计日志检查 (69)检查项2:日志信息的保护 (69)检查项3:操作日志的检查 (70)检查项4:错误日志的检查 (70) 6.4系统监控 (71)检查项1:基础环境监控 (71)检查项2:系统性能监控 (71)检查项3:系统运行监控 (72)检查项4:测评体系 (73)6.5 事件管理 (74)检查项1:事件报告流程 (74)检查项2:事件管理和改进 (75)检查项3:服务台管理 (76)6.6问题管理 (76)检查项1:事件分析和问题生成 (77)检查项2:台账管理 (77)检查项3:问题处置 (77)6.7 容量管理 (78)检查项1:容量规划 (78)检查项2:容量监测 (79)检查项3:容量变更 (79)6.8 变更管理 (80)检查项1:变更的流程 (81)检查项2:变更的评估 (81)检查项3:变更的授权 (82)检查项4:变更的执行 (82)检查项5:紧急变更 (83)检查项6:重大变更 (83)7. 业务连续性管理 (85)7.1 业务连续性管理组织 (86)检查项1:董事会及高管层的职责 (86)检查项2:业务连续性管理组织的建立 (87)检查项3:业务连续性管理组织职责 (88)7.2 IT服务连续性管理 (89)检查项1:IT服务连续性计划的组织保障 (89) 检查项2:风险评估及业务影响分析 (90)检查项3:IT服务连续性计划的制定 (90)检查项4:IT服务连续性计划的测试与维护 (91) 检查项5:IT服务连续性计划审计 (92)检查项6:IT服务连续性相关领域的控制 (93) 8. 应急管理 (94)8.1 应急组织 (94)检查项1:应急管理团队 (94)检查项2:应急管理职责 (95)检查项3:应急管理制度 (95)8.2 应急预案 (96)检查项1:应急预案制订 (96)检查项2:应急预案内容 (96)检查项3:应急预案更新 (98)检查项4:外包服务应急 (98)检查项5:应急预案培训 (99)8.3 应急保障 (99)检查项1:人员保障 (99)检查项2:物质保障 (99)检查项3:技术保障 (100)检查项4:沟通保障 (100)8.4 应急演练 (101)检查项1:应急演练的计划 (101)检查项2:应急演练的实施 (101)检查项3:应急演练的总结 (102)8.5 应急响应 (103)检查项1:应急响应流程 (103)检查项2:全程记录处置过程 (103)检查项3:应急事件报告 (104)检查项4:与第三方沟通 (104)检查项5:向新闻媒体通报制度 (105) 检查项6:应急处置总结 (105)8.6 持续改进 (106)检查项1:应急事件评估 (106)检查项2:应急响应评估 (106)检查项3:应急管理改进 (107)9. 灾难恢复管理 (108)9.1 灾难恢复组织架构 (108)检查项1:灾难恢复相关组织架构 (108) 9.2 灾难恢复策略 (110)检查项1:总体控制 (110)检查项2:灾难恢复策略 (110)检查项3:灾难备份策略 (112)检查项4:外包风险 (113)9.3 灾难恢复预案 (114)检查项1:灾难恢复预案 (114)检查项2:联络与通讯 (115)检查项3:教育、培训和演练 (116)9.4评估和维护更新 (116)检查项1:灾备策略的评估和维护更新 (116)检查项2:灾难恢复预案的评估和维护更新 (117) 10. 数据管理 (118)10.1 数据管理制度和岗位 (118)检查项1: 数据管理制度 (118)检查项2 :数据管理岗位 (119)10.2 数据备份、恢复策略 (119)检查项1:数据备份、转储策略 (119)检查项2:数据恢复、抽检策略 (120)10.3数据存储介质管理 (121)检查项1:介质管理 (121)检查项2:介质的清理和销毁 (122)11. 外包管理 (123)11.1外包管理制度 (123)检查项1:外包管理制度 (123)检查项2:外包审批流程 (123)检查项3:外包协议 (124)检查项4:服务水平协议 (124)检查项5:外包安全保密措施 (125)检查项6:外包文档管理 (125)11.2外包评估和监督 (126)检查项1:外包服务商的评估 (126)检查项2:外包项目的监督管理 (126)12. 内部审计 (128)12.1 内部审计管理 (128)检查项1:内部审计部门、岗位、人员和职责 (128) 检查项2:内部审计制度和办法 (128)12.2 内部审计要求 (129)检查项1:内部审计范围和频率 (129)检查项2:内部审计结果的有效性 (129)13. 外部审计 (131)13.1 外部审计资质 (131)检查项1:外部审计机构的资质 (131)13.2 外部审计要求 (131)检查项1:商业银行配合外部审计情况 (131)检查项2:外部审计有效性 (132)检查项3:外审过程中的保密要求 (132)第三部分基础设施 (134)14. 计算机机房 (135)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统现场检查指南(架构)为了规和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。
一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点(一)检查信息系统风险管理架构、部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规化,确保信息系统安全可靠的运行。
(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。
评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。
三、检查容(一)信息科技公司治理和组织结构1.制度建设(1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规性。
(2)检查信息科技相关规章制度、技术规、操作规程建设情况。
重点检查:各项制度规章是否正式发文,容是否涵盖规划、研发、建设、运行、维护、应急、外包、和监控等畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。
(3)检查实施知识产权保护情况。
重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。
2.组织结构(1)检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。
重点检查:①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责;负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门的建设情况;信息科技风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。
②该银行组织结构设计的战略定位,组织结构的合理性是否符合风险管理的需要;董事会和高管层面是否重视科技管理和信息科技规划工作;了解董事会对信息科技所担负的职责,管理层如何发挥对信息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清晰程度,了解部平衡监督和放权的关系;分析对安全、质量和部控制等的组织定位。
(2)检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。
重点检查:信息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要容;评估近期、中期和远期关于信息科技的重大策略和目标的合理性。
着重从以下几个方面了解:①银行如何利用信息科技技术更好地为企业创新服务,在进行信息科技治理时如何贯彻“以组织战略目标为中心’,的思想,确保信息科技资源与业务匹配;银行的信息科技投资是否与战略目标相一致;是否合理配置信息科技资源以实现面向服务的架构,核心业务系统是否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键战略决策息科技的融入程度,确保无信息孤岛现象。
②信息科技规划中如何更好的控制风险,包括控制业务风险和控制由信息科技使用带来的风险。
是否在信息科技建设规划每个环节考虑到风险因素,满足银行最低风险控制需要;是否考虑到风险管理系统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或风险系统中采集监管数据,以提高银行风险监管能力。
③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平,比如可以按信息资产规模分为落后型、发展型、追随型和领先型。
(3)检查高管层对本机构信息系统风险状况的控制程度。
重点检查:是否定期组织部评估、审计、报告本机构信息系统风险状况;针对存在的风险状况是否采取相应的风险控制措施,以及各项措施的卜具体容环节、主要实施部门和评估结果;是否建立了对整改工作的监督机制。
(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。
重点检查:人员素质情况,包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构;人员在系统的占比情况;审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否有专职IT 人员和已获得上岗证书的信息安全管理员;对信息科技人员的行为规管理情况。
(5)检查科技队伍培训、激励等管理机制的建设执行情况。
重点检查:培训规划和历史记录,包括职业培训、岗前培训情况,相关职责所需专业知识和技能的实际符合情况;分析信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透明。
(二)信息安全管理1.信息安全建设基本情况(1)检查部科技风险管理机构对信息系统面临的风险开展评估的情况。
重点检查:通过调阅该机构安全领导小组成立(或调整)的文件,其他与计算机安全相关的会议记录或文件,了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门,是否充分履行有关计算机安全管理和监督检查职责。
(2)检查服务承包商和提供商与相关法律、法规等的符合程度。
重点检查:通过调阅该机构所有承包商和服务提供商的详细资料和合同文本,确认所有承包商和服务提供商是否符合法律法规要求,合同文本是否符合法律要求(如数据保护法规),是否明确各自的安全责任,是否有确保业务资产的完整性和性的条款等。
(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。
重点检查:调阅与计算机系统运行、安全保障和文档管理等相关规章制度,其围除自行制定的制度还包括转发的上级文件,审计是否建立必要的计算机安全制度,审核各类制度的科学性、严密性和可操作性。
2.逻辑访问风险控制情况(1)检查访问控制业务要求、策略要求和访问规则的制订情况。
重点检查:通过阅读源程序或第三方业务系统安全审计报告,确定该机构的业务系统是否制订访问控制的业务要求、策略要求和访问规则,并确定其安全性、完备性。
(2)检查访问用户的注册管理制度。
重点检查:是否制定了正式的用户注册和取消注册程序,规对所有多用户信息系统与服务的访问授权。
是否使用唯一用户ID 使用户对其操作负责(组ID 只有适合所进行的工作,才允许使用),用户离开组织时是否立即取消其用户ID,是否定期检查并取消多余的用户ID 和。
(3)检查访问用户的权限管理和权限检查流程。
重点检查:是否建立了正式的用户的权限管理和权限检查程序,系统所有者对信息系统或服务授予的权限是否合适业务的开展,所授予的访问权限级别是否与组织的安全策略相一致,例如它会不会影响责任划分;用户因工作变更或离开组织时是否立即取消其访问权限;用户权限设定是否采用双人复核;是否对用户访问权限分配进行定期检查确保没有对用户授予非法权限。
(4)检查访问用户的口令管理。
重点检查:是否采用了正式的管理程序来控制口令的分配,是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令,用户忘记口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令,是否还采用了其他的用户身份识别和验证技术(如生物统计学中的指纹鉴定;建立新的用户,是否建立了申请审批程序,并采用双人控制。
(5)检查访问用户的责任管理。
重点检查:所有用户是否做到避免在纸上记录口令,只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令,是否选用高质量的口令,是否定期更改口令。
3.网络安全控制情况(1)检查网络管理和网络服务的安全策略制定情况。
重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络和网络服务的安全策略,并确定此策略是否业务访问控制策略相一致。
(2)检查实施网络控制的安全手段。
重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络控制的安全途径,并确定实施控制的路径的要否是业务访问控制策略所必要的,是否通过专线或专门联网,是否自动将端口连接到指定应用系统或安全网关,是否限制个人用户的菜单和子菜单选项,是否防止无限制的网络漫游,是否强制外部网络用户使用指定应用系统和/或安全网关,是否为组织用户组设置不同的逻辑域(如虚拟专用网)来限制网络访问。
(3)检查外部连接的用户身份验证方法。
重点检查:是否通过使用加密技术、硬件标记或问答协议对远程用户访问进行身份验证,对于专线用户是否安装了网络用户地址检查工具来对连接源提供安全保障,对拨号用户是否使用反向拨叫程序和控制措施(如使用反向拨叫调制解调器)可以防止与组织信息处理设施的非法连接和有害连接。
(4)检查远程诊断端口的保护情况。
重点检查:是否使用适当的安全机制(如密钥锁)对诊断端口进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行适当的安排后才能访问。
(5)检查网络的划分和路由控制情况。
重点检查:是否在网络采用一些控制措施把信息服务组、用户组和信息系统组分割成不同的逻辑网络域(如组织的部网络域和外部网络域),每个域都使用一个明确的安全界限来加以保护,是否在两个要互连的网络之间安装一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动,是否对该网关配置,访问控制策略来阻止非法访问。
4.环境风险情况(1)检查对设备和计算机机房进行安全保护的情况。
重点检查:是否为设备和计算机机房划分独立安全区域,安全保护区的没置是否合理,是否建立全方位的安全防护,以防止有人未经授权进入安全区。