2014年保險機構(gòu)信息化風(fēng)險監(jiān)管報表及評價體系（現(xiàn)場檢查內(nèi)容匯總）

1、信信息息化化風(fēng)風(fēng)險險監(jiān)監(jiān)管管評評分分內(nèi)內(nèi)容容共計項監(jiān)管內(nèi)容，42 項監(jiān)管指標(biāo)，129 項評價點。計算方式如下：監(jiān)管綜合評分=（監(jiān)管內(nèi)容評分權(quán)重）監(jiān)管內(nèi)容評分=（該項監(jiān)管內(nèi)容下監(jiān)管指標(biāo)評分）監(jiān)管指標(biāo)評分=（該項監(jiān)管指標(biāo)下評價點評分）信息化風(fēng)險監(jiān)管綜合評分中各監(jiān)管內(nèi)容權(quán)重如下：序號 監(jiān)管內(nèi)容 權(quán)重1信息化治理 15%2信息化風(fēng)險管理 15%3信息安全20%4信息系統(tǒng)開發(fā)與測試10%5信息系統(tǒng)運行18%6 災(zāi)難恢復(fù)管理 7%7外包與采購 5%8互聯(lián)網(wǎng)保險5%9信息技術(shù)審計5%對于以下情況，保監(jiān)會可視具體情況對各保險機構(gòu)的監(jiān)管綜合評分扣減10-50 分：（1）未按規(guī)定報送報表，存在遲報、漏報和弄虛作假

2、的；（2）發(fā)生重大信息安全事件造成重大損失或者社會影響的；（3）在保監(jiān)會和相關(guān)信息安全監(jiān)管機構(gòu)檢查過程中發(fā)現(xiàn)重大風(fēng)險的。監(jiān)管評價結(jié)果主要應(yīng)用在以下三個方面：1應(yīng)用到保險機構(gòu)償付能力二代監(jiān)管體系中2應(yīng)用到行業(yè)信息化日常監(jiān)管工作中3指導(dǎo)和規(guī)范保險機構(gòu)信息化風(fēng)險防范監(jiān)監(jiān)管管評評價價內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)序序號號監(jiān)監(jiān)管管內(nèi)內(nèi)容容監(jiān)監(jiān)管管指指標(biāo)標(biāo)現(xiàn)現(xiàn)場場檢檢查查（一） 信息化治理XXZL1信息化目標(biāo)和規(guī)劃XXZL-11.1工作目標(biāo)與規(guī)劃制定XXZL-1-1查看信息化規(guī)劃報告與審批記錄1.2規(guī)劃實施與定期評估XXZL-1-2查看信息化規(guī)劃的實施方案或階段性報告相關(guān)文件2信息化治理架構(gòu)XXZL-22.1董事會

3、職責(zé)XXZL-2-1查看董事會會議相關(guān)文件，如會議紀(jì)要、決議、決策等工作記錄，有信息化重大決策事項，年度信息化工作報告審閱記錄2.2信息化工作委員會XXZL-2-2查看組織機構(gòu)和相關(guān)職責(zé)說明，職責(zé)履行文件，如會議紀(jì)要、決議、決策等工作記錄2.3首席信息官XXZL-2-3查看首席信息官的職責(zé)履行文件，如OA 文件、會議紀(jì)要2.4信息技術(shù)部門XXZL-2-4查看組織架構(gòu)及職責(zé)說明，相關(guān)職責(zé)履行文件，如項目建設(shè)、研發(fā)測試、系統(tǒng)運維、安全管理等2.5信息化人員配備XXZL-2-5查看組織架構(gòu)崗位設(shè)置與崗位職責(zé)說明，查看崗位人員配備3信息化發(fā)展環(huán)境XXZL-33.1信息化水平XXZL-3-1應(yīng)用系統(tǒng)清單

4、，包括名稱、支撐的業(yè)務(wù)、覆蓋范圍、上線時間等3.2信息化工作經(jīng)費XXZL-3-2結(jié)合信息化工作規(guī)劃查看信息化工作項目預(yù)算/費用表3.3信息化工作考核XXZL-3-3查看信息化工作績效考核報告3.4信息技術(shù)能力XXZL-3-4了解技術(shù)研究與應(yīng)用情況 ；獲得國家/國際標(biāo)準(zhǔn)認證情況；參與行業(yè)技術(shù)標(biāo)準(zhǔn)制定情況3.5信息化人力資源規(guī)劃與培訓(xùn)XXZL-3-5查看信息化人力資源規(guī)劃報告以及培訓(xùn)考核記錄（二） 信息化風(fēng)險管理FXGL1信息化風(fēng)險管理制度FXGL-11.1風(fēng)險管理制度體系FXGL-1-1查看信息化風(fēng)險管理制度及修訂情況2信息化風(fēng)險識別與控制FXGL-22.1技術(shù)風(fēng)險FXGL-2-1信息技術(shù)風(fēng)險識

5、別記錄，新技術(shù)新產(chǎn)品準(zhǔn)入記錄2.2法律風(fēng)險FXGL-2-2法律風(fēng)險審查制度，法律審查記錄，合同文本，內(nèi)部違法案例等2.3聲譽風(fēng)險FXGL-2-3與信息技術(shù)有關(guān)的客戶投訴處理和調(diào)解的管理機制文檔，與信息技術(shù)有關(guān)的聲譽危機應(yīng)對機制文檔，投訴記錄和處理、調(diào)解的記錄等2.4知識產(chǎn)權(quán)FXGL-2-4軟硬件產(chǎn)品的使用許可；信息化采購與外包合同中對自主知識產(chǎn)權(quán)的保護條款2.5風(fēng)險提示與發(fā)布FXGL-2-5風(fēng)險提示制度，風(fēng)險提示記錄等3信息化風(fēng)險內(nèi)控FXGL-33.1風(fēng)險管理策略檢查FXGL-3-1信息化風(fēng)險管理策略執(zhí)行情況檢查制度、檢查記錄等3.2風(fēng)險評估FXGL-3-2信息化風(fēng)險評估記錄3.3風(fēng)險處置FX

6、GL-3-3信息化風(fēng)險評估報告，處置流程，處置記錄等3.4與風(fēng)險管理部門溝通FXGL-3-4溝通制度，溝通記錄等3.5風(fēng)險監(jiān)測和計量機制FXGL-3-5風(fēng)險計量、監(jiān)測的方法文檔，風(fēng)險監(jiān)測指標(biāo)，風(fēng)險庫（三） 信息安全XXAQ1信息安全等級保護機制XXAQ-11.1定級備案XXAQ-1-1重要信息系統(tǒng)定級清單及備案證明1.2測評整改XXAQ-1-2測評報告、整改方案2物理安全XXAQ-22.1機房設(shè)施XXAQ-2-1重要機房建設(shè)驗收報告、現(xiàn)場檢查2.2訪問控制XXAQ-2-2檢查物理區(qū)域訪問控制機制文檔、訪問控制記錄；檢查物理安全規(guī)章制度及措施3網(wǎng)絡(luò)安全XXAQ-33.1網(wǎng)絡(luò)結(jié)構(gòu)XXAQ-3-1檢

7、查網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)安全域方案等3.2網(wǎng)絡(luò)防護XXAQ-3-2檢查網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)安全各類文檔3.3網(wǎng)絡(luò)安全審計XXAQ-3-3檢查網(wǎng)絡(luò)審計日志記錄4主機安全XXAQ-4-14.1主機安全防護XXAQ-4-1檢查主機安全防護、訪問控制、監(jiān)控措施等文檔4.2主機安全審計XXAQ-4-2檢查主機審計日志記錄5應(yīng)用安全XXAQ-55.1應(yīng)用安全防護XXAQ-5-1檢查重要應(yīng)用系統(tǒng)安全設(shè)計方案5.2應(yīng)用安全審計XXAQ-5-2檢查重要應(yīng)用系統(tǒng)審計日志記錄6數(shù)據(jù)安全XXAQ-66.1數(shù)據(jù)安全防護XXAQ-6-1檢查數(shù)據(jù)安全管理制度與流程，數(shù)據(jù)分級分類管理規(guī)范6.2數(shù)據(jù)管理與使用XXAQ-6-2檢查數(shù)據(jù)管理

8、與使用流程，檢查數(shù)據(jù)使用、審批記錄6.3重要數(shù)據(jù)安全審計XXAQ-6-3檢查重要數(shù)據(jù)審計記錄7密碼與算法XXAQ-7檢查軟件設(shè)計文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認證情況7.1國產(chǎn)密碼算法XXAQ-7-1檢查軟件設(shè)計文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認證情況8安全評估與自查XXAQ-88.1對外部安全風(fēng)險態(tài)勢和事件的響應(yīng)XXAQ-8-1排查記錄和應(yīng)對措施等8.2信息安全控制措施執(zhí)行情況的檢查XXAQ-8-2檢查記錄9信息安全培訓(xùn)XXAQ-9培訓(xùn)制度，培訓(xùn)記錄(四）信息系統(tǒng)開發(fā)與測試KFCS1項目管理KFCS-11.1項目管理制度KFCS-1-1檢查項目管理制度，執(zhí)行記錄1.2項目風(fēng)險評估KFCS-1-

9、2項目風(fēng)險識別評估制度，風(fēng)險評估記錄等1.3項目風(fēng)險控制KFCS-1-3項目風(fēng)險控制措施，落實記錄，文檔管理、版本控制記錄1.4項目群管理KFCS-1-4檢查項目群管理制度，執(zhí)行流程，溝通機制2開發(fā)管理KFCS-2需求和技術(shù)架構(gòu)評審報告等2.1需求和技術(shù)架構(gòu)管理KFCS-2-1需求和技術(shù)架構(gòu)評審報告等2.2開發(fā)質(zhì)量保證KFCS-2-2項目質(zhì)量控制標(biāo)準(zhǔn)，質(zhì)量控制檢查和監(jiān)督的記錄，保險機構(gòu)獲得的認證證書等2.3開發(fā)、測試、生產(chǎn)環(huán)境相互分離 KFCS-2-3檢查網(wǎng)絡(luò)拓撲與開發(fā)數(shù)據(jù)來源2.4開發(fā)過程檢查KFCS-2-4檢查記錄等3測試管理KFCS-33.1測試的充分性KFCS-3-1測試記錄、審核報告

10、等3.2測試的獨立性KFCS-3-2開發(fā)與測試團隊人員清單等3.3功能測試KFCS-3-3功能測試記錄，測試用例及報告，測試團隊成員名單等3.4非功能測試KFCS-3-4測試記錄、測試用例、測試團隊成員名單等3.5安全性測試KFCS-3-5安全測試記錄4驗收和發(fā)布管理KFCS-44.1系統(tǒng)測試驗收KFCS-4-1驗收記錄、測試質(zhì)量的評估報告等4.2系統(tǒng)版本交付物完整性驗收KFCS-4-2驗收記錄和相關(guān)文檔等4.3試運行KFCS-4-3試運行記錄、投產(chǎn)報告、系統(tǒng)錯誤修正記錄等4.4發(fā)布管理KFCS-4-4軟件發(fā)布文檔、審批記錄等（五） 信息系統(tǒng)運行XTYX1系統(tǒng)管理XTYX-11.1系統(tǒng)賬戶管理

11、XTYX-1-1系統(tǒng)賬戶管理規(guī)定，重要系統(tǒng)賬戶清單，定期清查記錄，超級賬戶審批記錄、訪問日志等1.2系統(tǒng)性能監(jiān)控XTYX-1-2監(jiān)控系統(tǒng)設(shè)計方案，系統(tǒng)性能監(jiān)控參數(shù)清單與閾值，報警記錄與分析報告1.3日志管理與分析XTYX-1-3日志，定期分析記錄等1.4運行報告XTYX-1-4查看運行報告，報告上報至管理層的記錄等2配置與變更管理XTYX-22.1信息系統(tǒng)配置管理XTYX-2-1配置管理制度和流程、配置流程記錄等2.2信息系統(tǒng)變更管理XTYX-2-2變更管理制度，變更記錄，應(yīng)急回退計劃等3事件管理XTYX-33.1服務(wù)臺管理XTYX-3-1服務(wù)臺管理制度，服務(wù)臺服務(wù)過程記錄文檔等3.2事件與問

12、題管理XTYX-3-2事件與問題管理文檔，問題管理處理過程記錄等4基礎(chǔ)設(shè)施運行管理XTYX-44.1物理環(huán)境運行管理XTYX-4-1實地考查機房和辦公環(huán)境4.2網(wǎng)絡(luò)運行管理XTYX-4-2網(wǎng)絡(luò)設(shè)置，監(jiān)控記錄或報告等4.3設(shè)備和介質(zhì)管理XTYX-4-3設(shè)備和介質(zhì)管理措施，監(jiān)控或檢查記錄等5可用性管理XTYX-55.1信息系統(tǒng)備份恢復(fù)管理XTYX-5-1備份恢復(fù)制度，執(zhí)行記錄等5.2信息系統(tǒng)運行的風(fēng)險排查XTYX-5-2排查記錄等5.3單點故障的排查XTYX-5-3排查機制、排查記錄等6運行維護管理平臺XTYX-66.1運行維護管理平臺XTYX-6-1登錄運行維護管理平臺查看工單填寫與流轉(zhuǎn)處理情況

13、（六） 災(zāi)難恢復(fù)管理ZNHF1需求分析和策略制定ZNHF-11.1需求分析和風(fēng)險分析ZNHF-1-1檢查風(fēng)險分析報告、業(yè)務(wù)影響分析報告、業(yè)務(wù)連續(xù)性計劃等1.2災(zāi)難恢復(fù)范ZNHF-1-2檢查災(zāi)難恢復(fù)范圍1.3災(zāi)難恢復(fù)目標(biāo)ZNHF-1-3重要數(shù)據(jù)備份要求和記錄1.4災(zāi)難恢復(fù)策略ZNHF-1-4檢查災(zāi)難恢復(fù)策略2災(zāi)難恢復(fù)建設(shè)模式選擇與備案ZNHF-22.1災(zāi)難恢復(fù)建設(shè)模式ZNHF-2-1檢查服務(wù)水平協(xié)議、災(zāi)難恢復(fù)服務(wù)商服務(wù)水平驗證報告等。2.2災(zāi)備中心設(shè)立備案ZNHF-2-2備案材料3災(zāi)備中心建設(shè)ZNHF-33.1災(zāi)備中心選址ZNHF-3-1檢查災(zāi)備中心建設(shè)驗收報告3.2災(zāi)備中心基礎(chǔ)設(shè)施ZNHF-3

14、-2檢查災(zāi)備中心建設(shè)驗收報告清單、文檔等3.3災(zāi)備系統(tǒng)技術(shù)方案ZNHF-3-3檢查災(zāi)難備份系統(tǒng)技術(shù)方案4災(zāi)備中心運維ZNHF-44.1運維制度與流程ZNHF-4-1檢查制度規(guī)范、操作流程、記錄4.2運維隊伍ZNHF-4-2運維人員職責(zé)清單及資質(zhì)證明4.3檢測維護ZNHF-4-3檢查檢測維護記錄4.4監(jiān)控ZNHF-4-4檢查監(jiān)控記錄5災(zāi)難恢復(fù)預(yù)案建立與演練ZNHF-55.1災(zāi)難恢復(fù)預(yù)案ZNHF-5-1災(zāi)難恢復(fù)預(yù)案5.2預(yù)案演練ZNHF-5-2檢查測試記錄、演練記錄、評估報告等5.3預(yù)案維護ZNHF-5-3應(yīng)急預(yù)案、更新記錄、審查和批準(zhǔn)記錄6應(yīng)急響應(yīng)和災(zāi)難恢復(fù)ZNHF-66.1預(yù)警機制的建立ZNH

15、F-6-1檢查組織文檔、處置規(guī)范流程、指揮和牽頭及協(xié)調(diào)條款等6.2信息系統(tǒng)重建方案ZNHF-6-2檢查災(zāi)難損失評估報告、修復(fù)重建方案等6.3災(zāi)難恢復(fù)總結(jié)ZNHF-6-3檢查災(zāi)難恢復(fù)報告、預(yù)案修訂記錄等6.4第三方應(yīng)急管理ZNHF-6-4第三方應(yīng)急溝通機制和協(xié)議（七） 外包與采購?fù)獍c采購1信息技術(shù)安全可控能力WBCG-11.1信息技術(shù)外包事項WBCG-1-1檢查信息化工作外包情況1.2信息產(chǎn)品國產(chǎn)化程度WBCG-1-2檢查信息化工作外包情況2外包與采購服務(wù)WBCG-22.1外包與采購管理制度WBCG-2-1檢查外包管理制度、規(guī)范、報告2.2外包與采購過程WBCG-2-2外包與采購管理制度，過程

16、記錄，違法行為記錄等2.3外包服務(wù)商考核評估WBCG-2-3投標(biāo)文件，核實評估記錄，外包風(fēng)險評估報告，投標(biāo)商成功案例，投標(biāo)商蓋章的證書文件等2.4外包服務(wù)商管理WBCG-2-4檢查合同、服務(wù)水平協(xié)議、滿意度調(diào)查表等3外包軟件開發(fā)WBCG-33.1軟件質(zhì)量檢測WBCG-3-1檢查測試驗收報告、記錄3.2源代碼審查WBCG-3-2檢查報告、記錄3.3開發(fā)文檔管理WBCG-3-3檢查文檔、指南、手冊等（八） 互聯(lián)網(wǎng)保險HLWBX1技術(shù)資質(zhì)條件HLWBX-11.1網(wǎng)絡(luò)接入地點HLWBX-1-1 查看其域名與IP 地址1.2互聯(lián)網(wǎng)主管部門備案HLWBX-1-2檢查互聯(lián)網(wǎng)信息服務(wù)增值電信業(yè)務(wù)經(jīng)營許可證或者

17、網(wǎng)站備案證明1.3第三方平臺技術(shù)資質(zhì)條HLWBX-1-3 查詢確認第三方平臺的資質(zhì)條件2網(wǎng)站技術(shù)安全保障HLWBX-2自建網(wǎng)站評估（1）-（7）項評價點基于第三方平臺只評估第（8）項評價點2.1客戶端安全HLWBX-2-1 檢查客戶端軟件（特別是手機客戶端）的安全性2.2交易認證手段HLWBX-2-2 驗證業(yè)務(wù)交易身份鑒別和認證流程2.3交易請求驗證HLWBX-2-3 檢查開發(fā)安全方案2.4網(wǎng)絡(luò)安全防護HLWBX-2-4 檢查網(wǎng)絡(luò)拓撲與安全設(shè)備部署配置情況2.5定期風(fēng)險評估HLWBX-2-5 檢查風(fēng)險評估報告2.6數(shù)據(jù)安全保護HLWBX-2-6 檢查風(fēng)險評估報告2.7支付指令安全控制HLWBX

18、-2-7 檢查開發(fā)安全方案，并驗證交易支付記錄2.8第三方平臺網(wǎng)站技術(shù)安全保障HLWBX-2-8 檢查風(fēng)險評估報告，或者第三方安全保障協(xié)議3內(nèi)容安全和風(fēng)險提示HLWBX-33.1內(nèi)容管理HLWBX-3-1 檢查內(nèi)容發(fā)布和變更審核等流程記錄3.2客戶宣傳和提示HLWBX-3-2 檢查互聯(lián)網(wǎng)保險業(yè)務(wù)網(wǎng)站安全提示信息3.3假冒網(wǎng)站管理HLWBX-3-3 假冒網(wǎng)站檢查報告（九） 信息技術(shù)審計SJ1審計組織與計劃SJ-11.1審計部門SJ-1-1查看保險機構(gòu)組織架構(gòu)，查看負責(zé)信息技術(shù)審計部門的部門職責(zé)說明1.2信息技術(shù)審計制度SJ-1-2查看信息技術(shù)審計管理制度1.3信息技術(shù)審計計劃SJ-1-3查看審計

19、計劃1.4信息技術(shù)外部審計SJ-1-4查看外部審計機構(gòu)與人員的相關(guān)資質(zhì)2信息技術(shù)一般控制審計SJ-22.1信息化規(guī)劃及其實施情況的審計 SJ-2-1查看審計報告2.2信息安全審計SJ-2-2查看審計報告2.3對災(zāi)難恢復(fù)工作的審計SJ-2-3審計制度、管理過程記錄和審計報告等3信息技術(shù)應(yīng)用控制審計SJ-33.1信息技術(shù)應(yīng)用控制審計SJ-3-1查看審計報告4信息技術(shù)審計報告與備案SJ-44.1向管理層報告SJ-4-1審計報告，管理層確認記錄4.2向保監(jiān)會備案SJ-4-2備案文件5信息技術(shù)審計監(jiān)控與后續(xù)跟進SJ-55.1審計結(jié)果反饋SJ-5-1內(nèi)部審計報告、整改計劃、整改的相關(guān)文檔等5.2整改計劃落

20、實SJ-5-2整改要求、整改計劃、整改過程文檔等5.3整改跟蹤審計SJ-5-3后續(xù)審計意見、管理層確認的記錄等分分?jǐn)?shù)數(shù)權(quán)權(quán)重重占占比比100 分15%10 分5 分5 分40 分8 分8 分8 分8 分8 分50 分10 分10 分10 分10 分10 分100 分15%20 分20 分40 分8 分8 分8 分8 分8 分40 分8 分8 分8 分監(jiān)監(jiān)管管評評價價內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)8 分8 分100 分20%10 分5 分5 分10 分5 分5 分15 分5 分5 分5 分15 分10 分5 分10 分5 分5 分15 分10 分3 分2 分10 分10 分10 分4 分6 分5 分100

21、 分10%50 分10 分20 分15 分5 分20 分4 分3 分5 分8 分20 分4 分4 分4 分4 分4 分10 分2 分2 分3 分3 分100 分18%20 分5 分5 分5 分5 分20 分 10 分 10 分15 分5 分10 分15 分5 分5 分5 分15 分5 分5 分5 分15 分15 分100 分7%20 分5 分5 分5 分5 分10 分5 分5 分20 分5 分5 分10 分20 分5 分5 分5 分5 分20 分6 分10 分4 分10 分4 分2 分2 分2 分100 分5%20 分10 分10 分50 分20 分10 分10 分10 分30 分10 分10

22、 分10 分100 分5%20 分10 分5 分5 分605 分10 分10 分5 分10 分10 分60 分20 分10 分5 分5 分100 分5%25 分5 分6 分4 分10 分20 分5 分10 分5 分15 分15 分10 分2 分8 分30 分10 分10 分10 分監(jiān)監(jiān)管管評評價價內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)（歸歸類類）信信息息化化管管理理序序號號監(jiān)監(jiān)管管內(nèi)內(nèi)容容監(jiān)監(jiān)管管指指標(biāo)標(biāo)（一）信息化治理XXZL1信息化目標(biāo)和規(guī)劃XXZL-11.1工作目標(biāo)與規(guī)劃制定XXZL-1-11.2規(guī)劃實施與定期評估XXZL-1-22信息化治理架構(gòu)XXZL-22.1董事會職責(zé)XXZL-2-12.2信息化工作

23、委員會XXZL-2-22.3首席信息官XXZL-2-32.4信息技術(shù)部門XXZL-2-42.5信息化人員配備XXZL-2-53信息化發(fā)展環(huán)境XXZL-33.1信息化水平XXZL-3-13.2信息化工作經(jīng)費XXZL-3-23.3信息化工作考核XXZL-3-33.4信息技術(shù)能力XXZL-3-43.5信息化人力資源規(guī)劃與培訓(xùn)XXZL-3-5技技術(shù)術(shù)開開發(fā)發(fā)(四）信息系統(tǒng)開發(fā)與測試KFCS1項目管理KFCS-11.1項目管理制度KFCS-1-11.2項目風(fēng)險評估KFCS-1-21.3項目風(fēng)險控制KFCS-1-31.4項目群管理KFCS-1-42開發(fā)管理KFCS-22.1需求和技術(shù)架構(gòu)管理KFCS-2-

24、12.2開發(fā)質(zhì)量保證KFCS-2-22.3開發(fā)、測試、生產(chǎn)環(huán)境相互分離KFCS-2-32.4開發(fā)過程檢查KFCS-2-43測試管理KFCS-33.1測試的充分性KFCS-3-13.2測試的獨立性KFCS-3-23.3功能測試KFCS-3-33.4非功能測試KFCS-3-43.5安全性測試KFCS-3-54驗收和發(fā)布管理KFCS-44.1系統(tǒng)測試驗收KFCS-4-14.2系統(tǒng)版本交付物完整性驗收KFCS-4-24.3試運行KFCS-4-34.4發(fā)布管理KFCS-4-4（七）外包與采購?fù)獍c采購1信息技術(shù)安全可控能力WBCG-11.1信息技術(shù)外包事項WBCG-1-11.2信息產(chǎn)品國產(chǎn)化程度WBCG

25、-1-22外包與采購服務(wù)WBCG-22.1外包與采購管理制度WBCG-2-12.2外包與采購過程WBCG-2-22.3外包服務(wù)商考核評估WBCG-2-32.4外包服務(wù)商管理WBCG-2-43外包軟件開發(fā)WBCG-33.1軟件質(zhì)量檢測WBCG-3-13.2源代碼審查WBCG-3-23.3開發(fā)文檔管理WBCG-3-3運運維維管管理理（三）信息安全XXAQ1信息安全等級保護機制XXAQ-11.1定級備案XXAQ-1-11.2測評整改XXAQ-1-22物理安全XXAQ-22.1機房設(shè)施XXAQ-2-12.2訪問控制XXAQ-2-23網(wǎng)絡(luò)安全XXAQ-33.1網(wǎng)絡(luò)結(jié)構(gòu)XXAQ-3-13.2網(wǎng)絡(luò)防護XXA

26、Q-3-23.3網(wǎng)絡(luò)安全審計XXAQ-3-34主機安全XXAQ-4-14.1主機安全防護XXAQ-4-14.2主機安全審計XXAQ-4-25應(yīng)用安全XXAQ-55.1應(yīng)用安全防護XXAQ-5-15.2應(yīng)用安全審計XXAQ-5-26數(shù)據(jù)安全XXAQ-66.1數(shù)據(jù)安全防護XXAQ-6-16.2數(shù)據(jù)管理與使用XXAQ-6-26.3重要數(shù)據(jù)安全審計XXAQ-6-37密碼與算法XXAQ-77.1國產(chǎn)密碼算法XXAQ-7-18安全評估與自查XXAQ-88.1對外部安全風(fēng)險態(tài)勢和事件的響應(yīng)XXAQ-8-18.2信息安全控制措施執(zhí)行情況的檢查XXAQ-8-29信息安全培訓(xùn)XXAQ-9（五）信息系統(tǒng)運行XTYX

27、1系統(tǒng)管理XTYX-11.1系統(tǒng)賬戶管理XTYX-1-11.2系統(tǒng)性能監(jiān)控XTYX-1-21.3日志管理與分析XTYX-1-31.4運行報告XTYX-1-42配置與變更管理XTYX-22.1信息系統(tǒng)配置管理XTYX-2-12.2信息系統(tǒng)變更管理XTYX-2-23事件管理XTYX-33.1服務(wù)臺管理XTYX-3-13.2事件與問題管理XTYX-3-24基礎(chǔ)設(shè)施運行管理XTYX-44.1物理環(huán)境運行管理XTYX-4-14.2網(wǎng)絡(luò)運行管理XTYX-4-24.3設(shè)備和介質(zhì)管理XTYX-4-35可用性管理XTYX-55.1信息系統(tǒng)備份恢復(fù)管理XTYX-5-15.2信息系統(tǒng)運行的風(fēng)險排查XTYX-5-25

28、.3單點故障的排查XTYX-5-36運行維護管理平臺XTYX-66.1運行維護管理平臺XTYX-6-1（六）災(zāi)難恢復(fù)管理ZNHF1需求分析和策略制定ZNHF-11.1需求分析和風(fēng)險分析ZNHF-1-11.2災(zāi)難恢復(fù)范ZNHF-1-21.3災(zāi)難恢復(fù)目標(biāo)ZNHF-1-31.4災(zāi)難恢復(fù)策略ZNHF-1-42災(zāi)難恢復(fù)建設(shè)模式選擇與備案ZNHF-22.1災(zāi)難恢復(fù)建設(shè)模式ZNHF-2-12.2災(zāi)備中心設(shè)立備案ZNHF-2-23災(zāi)備中心建設(shè)ZNHF-33.1災(zāi)備中心選址ZNHF-3-13.2災(zāi)備中心基礎(chǔ)設(shè)施ZNHF-3-23.3災(zāi)備系統(tǒng)技術(shù)方案ZNHF-3-34災(zāi)備中心運維ZNHF-44.1運維制度與流程Z

29、NHF-4-14.2運維隊伍ZNHF-4-24.3檢測維護ZNHF-4-34.4監(jiān)控ZNHF-4-45災(zāi)難恢復(fù)預(yù)案建立與演練ZNHF-55.1災(zāi)難恢復(fù)預(yù)案ZNHF-5-15.2預(yù)案演練ZNHF-5-25.3預(yù)案維護ZNHF-5-36應(yīng)急響應(yīng)和災(zāi)難恢復(fù)ZNHF-66.1預(yù)警機制的建立ZNHF-6-16.2信息系統(tǒng)重建方案ZNHF-6-26.3災(zāi)難恢復(fù)總結(jié)ZNHF-6-36.4第三方應(yīng)急管理ZNHF-6-4法法律律風(fēng)風(fēng)險險控控制制（二）信息化風(fēng)險管理FXGL1信息化風(fēng)險管理制度FXGL-11.1風(fēng)險管理制度體系FXGL-1-12信息化風(fēng)險識別與控制FXGL-22.1技術(shù)風(fēng)險FXGL-2-12.2法

30、律風(fēng)險FXGL-2-22.3聲譽風(fēng)險FXGL-2-32.4知識產(chǎn)權(quán)FXGL-2-42.5風(fēng)險提示與發(fā)布FXGL-2-53信息化風(fēng)險內(nèi)控FXGL-33.1風(fēng)險管理策略檢查FXGL-3-13.2風(fēng)險評估FXGL-3-23.3風(fēng)險處置FXGL-3-33.4與風(fēng)險管理部門溝通FXGL-3-43.5風(fēng)險監(jiān)測和計量機制FXGL-3-5稽稽核核審審計計（九）信息技術(shù)審計SJ1審計組織與計劃SJ-11.1審計部門SJ-1-11.2信息技術(shù)審計制度SJ-1-21.3信息技術(shù)審計計劃SJ-1-31.4信息技術(shù)外部審計SJ-1-42信息技術(shù)一般控制審計SJ-22.1信息化規(guī)劃及其實施情況的審計SJ-2-12.2信息

31、安全審計SJ-2-22.3對災(zāi)難恢復(fù)工作的審計SJ-2-33信息技術(shù)應(yīng)用控制審計SJ-33.1信息技術(shù)應(yīng)用控制審計SJ-3-14信息技術(shù)審計報告與備案SJ-44.1向管理層報告SJ-4-14.2向保監(jiān)會備案SJ-4-25信息技術(shù)審計監(jiān)控與后續(xù)跟進SJ-55.1審計結(jié)果反饋SJ-5-15.2整改計劃落實SJ-5-25.3整改跟蹤審計SJ-5-3互互聯(lián)聯(lián)網(wǎng)網(wǎng)業(yè)業(yè)務(wù)務(wù)（八）互聯(lián)網(wǎng)保險HLWBX1技術(shù)資質(zhì)條件HLWBX-11.1網(wǎng)絡(luò)接入地點HLWBX-1-11.2互聯(lián)網(wǎng)主管部門備案HLWBX-1-21.3第三方平臺技術(shù)資質(zhì)條HLWBX-1-32網(wǎng)站技術(shù)安全保障HLWBX-2自建網(wǎng)站基于第三方平臺2.1

32、客戶端安全HLWBX-2-12.2交易認證手段HLWBX-2-22.3交易請求驗證HLWBX-2-32.4網(wǎng)絡(luò)安全防護HLWBX-2-42.5定期風(fēng)險評估HLWBX-2-52.6數(shù)據(jù)安全保護HLWBX-2-62.7支付指令安全控制HLWBX-2-72.8第三方平臺網(wǎng)站技術(shù)安全保障HLWBX-2-83內(nèi)容安全和風(fēng)險提示HLWBX-33.1內(nèi)容管理HLWBX-3-13.2客戶宣傳和提示HLWBX-3-23.3假冒網(wǎng)站管理HLWBX-3-3現(xiàn)現(xiàn)場場檢檢查查分分?jǐn)?shù)數(shù)權(quán)權(quán)重重占占比比100 分15%10 分查看信息化規(guī)劃報告與審批記錄5 分查看信息化規(guī)劃的實施方案或階段性報告相關(guān)文件5 分40 分查看董

33、事會會議相關(guān)文件，如會議紀(jì)要、決議、決策等工作記錄，有信息化重大決策事項，年度信息化工作報告審閱記錄8 分查看組織機構(gòu)和相關(guān)職責(zé)說明，職責(zé)履行文件，如會議紀(jì)要、決議、決策等工作記錄8 分查看首席信息官的職責(zé)履行文件，如OA 文件、會議紀(jì)要8 分查看組織架構(gòu)及職責(zé)說明，相關(guān)職責(zé)履行文件，如項目建設(shè)、研發(fā)測試、系統(tǒng)運維、安全管理等8 分查看組織架構(gòu)崗位設(shè)置與崗位職責(zé)說明，查看崗位人員配備8 分50 分應(yīng)用系統(tǒng)清單，包括名稱、支撐的業(yè)務(wù)、覆蓋范圍、上線時間等10 分結(jié)合信息化工作規(guī)劃查看信息化工作項目預(yù)算/費用表10 分查看信息化工作績效考核報告10 分了解技術(shù)研究與應(yīng)用情況 ；獲得國家/國際標(biāo)準(zhǔn)認

34、證情況；參與行業(yè)技術(shù)標(biāo)準(zhǔn)制定情況10 分查看信息化人力資源規(guī)劃報告以及培訓(xùn)考核記錄10 分100 分10%50 分檢查項目管理制度，執(zhí)行記錄10 分項目風(fēng)險識別評估制度，風(fēng)險評估記錄等20 分項目風(fēng)險控制措施，落實記錄，文檔管理、版本控制記錄15 分檢查項目群管理制度，執(zhí)行流程，溝通機制5 分需求和技術(shù)架構(gòu)評審報告等20 分需求和技術(shù)架構(gòu)評審報告等4 分項目質(zhì)量控制標(biāo)準(zhǔn)，質(zhì)量控制檢查和監(jiān)督的記錄，保險機構(gòu)獲得的認證證書等3 分檢查網(wǎng)絡(luò)拓撲與開發(fā)數(shù)據(jù)來源5 分監(jiān)監(jiān)管管評評價價內(nèi)內(nèi)容容及及指指標(biāo)標(biāo)（歸歸類類）信信息息化化管管理理技技術(shù)術(shù)開開發(fā)發(fā)檢查記錄等8 分20 分測試記錄、審核報告等4 分開發(fā)

35、與測試團隊人員清單等4 分功能測試記錄，測試用例及報告，測試團隊成員名單等4 分測試記錄、測試用例、測試團隊成員名單等4 分安全測試記錄4 分10 分驗收記錄、測試質(zhì)量的評估報告等2 分驗收記錄和相關(guān)文檔等2 分試運行記錄、投產(chǎn)報告、系統(tǒng)錯誤修正記錄等3 分軟件發(fā)布文檔、審批記錄等3 分100 分5%20 分檢查信息化工作外包情況10 分檢查信息化工作外包情況10 分50 分檢查外包管理制度、規(guī)范、報告20 分外包與采購管理制度，過程記錄，違法行為記錄等10 分投標(biāo)文件，核實評估記錄，外包風(fēng)險評估報告，投標(biāo)商成功案例，投標(biāo)商蓋章的證書文件等10 分檢查合同、服務(wù)水平協(xié)議、滿意度調(diào)查表等10 分

36、30 分檢查測試驗收報告、記錄10 分檢查報告、記錄10 分檢查文檔、指南、手冊等10 分100 分20%10 分重要信息系統(tǒng)定級清單及備案證明5 分測評報告、整改方案5 分10 分重要機房建設(shè)驗收報告、現(xiàn)場檢查5 分檢查物理區(qū)域訪問控制機制文檔、訪問控制記錄；檢查物理安全規(guī)章制度及措施5 分15 分檢查網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)安全域方案等5 分檢查網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)安全各類文檔5 分檢查網(wǎng)絡(luò)審計日志記錄5 分15 分檢查主機安全防護、訪問控制、監(jiān)控措施等文檔10 分檢查主機審計日志記錄5 分10 分檢查重要應(yīng)用系統(tǒng)安全設(shè)計方案5 分檢查重要應(yīng)用系統(tǒng)審計日志記錄5 分15 分檢查數(shù)據(jù)安全管理制度與流程，

37、數(shù)據(jù)分級分類管理規(guī)范10 分檢查數(shù)據(jù)管理與使用流程，檢查數(shù)據(jù)使用、審批記錄3 分檢查重要數(shù)據(jù)審計記錄2 分檢查軟件設(shè)計文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認證情況10 分檢查軟件設(shè)計文檔，或者密碼設(shè)備產(chǎn)品相關(guān)資質(zhì)認證情況10 分運運維維管管理理10 分排查記錄和應(yīng)對措施等4 分檢查記錄6 分培訓(xùn)制度，培訓(xùn)記錄5 分100 分18%20 分系統(tǒng)賬戶管理規(guī)定，重要系統(tǒng)賬戶清單，定期清查記錄，超級賬戶審批記錄、訪問日志等5 分監(jiān)控系統(tǒng)設(shè)計方案，系統(tǒng)性能監(jiān)控參數(shù)清單與閾值，報警記錄與分析報告5 分日志，定期分析記錄等5 分查看運行報告，報告上報至管理層的記錄等5 分20 分配置管理制度和流程、配置流程記錄等 10 分變更管理制度，變更記錄，應(yīng)急回退計劃等 10 分15 分服務(wù)臺管理制度，服務(wù)臺服務(wù)過程記錄文檔等5 分事件與問題管理文檔，問題管理處理過程記錄等10 分15 分實地考查機房和辦公環(huán)境5 分網(wǎng)絡(luò)設(shè)置，監(jiān)控記錄或報告等5 分設(shè)備和介質(zhì)管理措施，監(jiān)控或檢查記錄等5 分15 分備份恢復(fù)制度，執(zhí)行記錄等5 分排查記錄等5 分排查機制、排查記錄等5 分15 分登錄運行維護管理平臺查看工單填寫與流