銀行信息系統(tǒng)技術(shù)管理安全檢查方案

銀行信息系統(tǒng)技術(shù)管理檢查方案技術(shù)管理是一個(gè)全面而復(fù)雜的領(lǐng)域，它涵蓋了多個(gè)關(guān)鍵組成部分，以確保商業(yè)銀行在信息技術(shù)方面的穩(wěn)健運(yùn)作。具體來(lái)說(shuō)，技術(shù)管理包含了12個(gè)核心部分，每個(gè)部分都提出了詳細(xì)的基本要求、檢查內(nèi)容和檢查方法以及實(shí)施步驟。首先，信息技術(shù)治理部分強(qiáng)調(diào)了建立有效的治理結(jié)構(gòu)和決策機(jī)制的重要性，確?？萍紤?zhàn)略與銀行整體戰(zhàn)略的一致性。其次，信息技術(shù)風(fēng)險(xiǎn)管理部分關(guān)注于識(shí)別、評(píng)估和控制科技風(fēng)險(xiǎn)，以降低潛在的負(fù)面影響。信息安全管理部分則著重于保護(hù)銀行的信息資產(chǎn)，防止數(shù)據(jù)泄露和未授權(quán)訪問(wèn)。信息系統(tǒng)生命周期管理部分涉及系統(tǒng)的規(guī)劃、開(kāi)發(fā)、實(shí)施、維護(hù)和退役等各個(gè)階段，確保系統(tǒng)能夠滿足業(yè)務(wù)需求并持續(xù)改進(jìn)。信息系統(tǒng)運(yùn)行管理部分關(guān)注于日常的系統(tǒng)運(yùn)行和維護(hù)，確保系統(tǒng)的穩(wěn)定性和性能。業(yè)務(wù)連續(xù)性管理部分則確保在發(fā)生突發(fā)事件時(shí)，銀行能夠迅速恢復(fù)業(yè)務(wù)運(yùn)作，減少損失。應(yīng)急管理部分則專注于應(yīng)對(duì)突發(fā)事件的準(zhǔn)備和響應(yīng)措施。災(zāi)難備份管理部分確保在發(fā)生重大災(zāi)難時(shí)，關(guān)鍵數(shù)據(jù)和系統(tǒng)能夠迅速恢復(fù)，保障業(yè)務(wù)的連續(xù)性。數(shù)據(jù)管理部分關(guān)注于數(shù)據(jù)的質(zhì)量、安全和合規(guī)性，確保數(shù)據(jù)的有效利用。外包管理部分則涉及對(duì)外包服務(wù)提供商的管理和監(jiān)督，確保外包活動(dòng)符合銀行的利益和要求。最后，內(nèi)部審計(jì)和外部審計(jì)部分分別關(guān)注于對(duì)銀行內(nèi)部管理和運(yùn)營(yíng)的獨(dú)立評(píng)估，以及接受外部審計(jì)機(jī)構(gòu)的監(jiān)督和評(píng)估，確保銀行的透明度和合規(guī)性。通過(guò)這些詳細(xì)的管理要求和方法，商業(yè)銀行能夠全面提升其信息技術(shù)管理水平，確保業(yè)務(wù)的穩(wěn)健發(fā)展。1信息技術(shù)治理商業(yè)銀行的董事會(huì)和高級(jí)管理層應(yīng)根據(jù)本銀行的發(fā)展戰(zhàn)略，運(yùn)用先進(jìn)管理理念加強(qiáng)信息技術(shù)治理，提高信息技術(shù)使用效益，推動(dòng)商業(yè)銀行的業(yè)務(wù)創(chuàng)新，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。1.1董事會(huì)及高級(jí)管理層檢查項(xiàng)1：董事會(huì)基本要求：（1）董事會(huì)應(yīng)對(duì)銀行的信息技術(shù)治理負(fù)有最終責(zé)任。(2)董事會(huì)應(yīng)及時(shí)聽(tīng)取信息技術(shù)管理委員會(huì)和首席信息官的匯報(bào),了解主要的信息技術(shù)風(fēng)險(xiǎn)。(3)信息技術(shù)重大事項(xiàng)的決策應(yīng)經(jīng)過(guò)董事會(huì)審議。檢查方法、步驟：(1)訪談董事會(huì)成員/董事會(huì)秘書(shū),了解:(a)董事會(huì)在銀行信息技術(shù)管理領(lǐng)域的角色和職責(zé);(b)董事會(huì)是否了解本行所面臨的主要信息技術(shù)風(fēng)險(xiǎn);(c)董事會(huì)對(duì)信息技術(shù)重大事項(xiàng)和決策職責(zé)的界定,以及董事會(huì)信息技術(shù)重大決策的流程;(d)經(jīng)過(guò)董事會(huì)討論和決議的信息技術(shù)重大事項(xiàng)的落實(shí)情況;(e)董事會(huì)如何對(duì)信息技術(shù)的建設(shè)和管理情況進(jìn)行監(jiān)督。(2)查閱相關(guān)資料,如董事會(huì)章程,董事會(huì)會(huì)議紀(jì)要,對(duì)重大信息技術(shù)事項(xiàng)的審批決議的記錄等,對(duì)上述信息進(jìn)行驗(yàn)證。檢查項(xiàng)2：信息技術(shù)管理委員會(huì)基本要求：（1）銀行應(yīng)建立信息技術(shù)管理委員會(huì),該委員會(huì)成員應(yīng)包括銀行高級(jí)管理層、信息技術(shù)部門和主要業(yè)務(wù)部門的代表。(2)信息技術(shù)管理委員會(huì)的職責(zé)應(yīng)包括:(a)設(shè)定全行IT戰(zhàn)略目標(biāo)，指導(dǎo)IT方面的資金投入，對(duì)IT規(guī)劃進(jìn)行審批；(b)合理運(yùn)用現(xiàn)有資源，指導(dǎo)信息技術(shù)部門提供高質(zhì)量的IT服務(wù)，同時(shí)要監(jiān)督IT成本管理情況；(c)通過(guò)調(diào)整IT項(xiàng)目和活動(dòng)的優(yōu)先級(jí)解決資源短缺造成的沖突；(d)確保IT戰(zhàn)略的及時(shí)更新；(e)對(duì)主要的IT政策、標(biāo)準(zhǔn)、原則進(jìn)行審批；(f)對(duì)重要的IT項(xiàng)目和活動(dòng)進(jìn)行監(jiān)控；(g)監(jiān)督和管理IT績(jī)效，確保達(dá)到預(yù)期IT服務(wù)水平；(h)對(duì)重大IT項(xiàng)目進(jìn)行審批。（3）定期向董事會(huì)和高級(jí)管理層匯報(bào)信息技術(shù)戰(zhàn)略規(guī)劃的執(zhí)行情況、信息技術(shù)預(yù)算和實(shí)際支出情況、信息技術(shù)的整體管理狀況,面臨的主要風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。檢查方法、步驟：（1）訪談信息技術(shù)管理委員會(huì)成員,了解信息技術(shù)管理委員會(huì)的主要職責(zé)和開(kāi)展的主要工作。如(a)是否確保信息技術(shù)戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性;(b)信息技術(shù)管理委員會(huì)是否了解本行主要的信息技術(shù)風(fēng)險(xiǎn)并制定了應(yīng)對(duì)措施;(c)重大信息技術(shù)項(xiàng)目投資的審批情況;(e)預(yù)算和執(zhí)行情況;(f)IT績(jī)效等。(2)調(diào)閱信息技術(shù)管理委員會(huì)相關(guān)文件,如信息技術(shù)管理委員會(huì)章程/政策,會(huì)議紀(jì)要,對(duì)重大事項(xiàng)的討論和審批記錄等,對(duì)訪談了解到的信息進(jìn)行驗(yàn)證。(3）查閱信息技術(shù)管理委員會(huì)向董事會(huì)和高級(jí)管理層的匯報(bào)材料和相關(guān)會(huì)議記錄,了解其向董事會(huì)和高級(jí)管理層匯報(bào)工作的情況。檢查項(xiàng)3：首席信息官（CIO）基本要求：（1）商業(yè)銀行應(yīng)建立首席信息官制度，明確其工作職責(zé)及報(bào)告路線。（2）首席信息官應(yīng)了解并參與本行業(yè)務(wù)發(fā)展決策。（3）首席信息官應(yīng)負(fù)責(zé)制定和及時(shí)更新信息技術(shù)戰(zhàn)略,確保信息技術(shù)戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。（4）首席信息官應(yīng)確保信息技術(shù)職能的規(guī)范和有效運(yùn)作。（5）首席信息官應(yīng)領(lǐng)導(dǎo)和協(xié)調(diào)信息技術(shù)部門做好以下工作：信息技術(shù)預(yù)算和支出，信息技術(shù)政策、標(biāo)準(zhǔn)和流程制定及執(zhí)行，信息技術(shù)內(nèi)部控制、專業(yè)化研發(fā)，信息技術(shù)項(xiàng)目管理，信息系統(tǒng)和科技基礎(chǔ)設(shè)施的建設(shè)、維護(hù)和運(yùn)行管理，信息安全管理，應(yīng)急管理和災(zāi)難恢復(fù)計(jì)劃，信息技術(shù)外包和信息系統(tǒng)退出等。（6）首席信息官應(yīng)確保信息技術(shù)人才隊(duì)伍具備充分的專業(yè)技能。檢查方法、步驟：（1）訪談首席信息官，關(guān)注以下內(nèi)容:(a)銀行的信息技術(shù)戰(zhàn)略及其與業(yè)務(wù)戰(zhàn)略的一致性;(b)銀行目前面臨的主要信息技術(shù)風(fēng)險(xiǎn)和應(yīng)對(duì)策略;(c)銀行未來(lái)1-3年的信息技術(shù)發(fā)展規(guī)劃;(d)首席信息官開(kāi)展了哪些主要工作;(e)首席信息官如何與高級(jí)管理層/董事會(huì)/信息技術(shù)管理委員會(huì)等保持有效溝通;(f)首席信息官對(duì)銀行信息技術(shù)領(lǐng)域主要問(wèn)題的了解情況和應(yīng)對(duì)計(jì)劃;(g)首席信息官如何對(duì)信息技術(shù)部門的活動(dòng)和績(jī)效進(jìn)行監(jiān)控。（2）查閱相關(guān)文檔資料，如信息技術(shù)部門的匯報(bào)資料,董事會(huì)/高級(jí)管理層匯報(bào)資料,會(huì)議紀(jì)要,信息技術(shù)重大決策的審批記錄,戰(zhàn)略規(guī)劃,預(yù)算執(zhí)行情況的分析,風(fēng)險(xiǎn)評(píng)估報(bào)告等,對(duì)訪談了解到的信息進(jìn)行驗(yàn)證。1.2信息技術(shù)部門檢查項(xiàng)1：信息技術(shù)部門基本要求：（1）商業(yè)銀行應(yīng)建立與銀行業(yè)務(wù)相適應(yīng)的信息技術(shù)部門，負(fù)責(zé)信息技術(shù)產(chǎn)品的開(kāi)發(fā)、外包、測(cè)試、上線和變更，負(fù)責(zé)相應(yīng)信息系統(tǒng)的運(yùn)行、維護(hù)和安全，為銀行提供信息技術(shù)業(yè)務(wù)產(chǎn)品。（2）信息技術(shù)部門應(yīng)該根據(jù)工作內(nèi)容，制定完整的內(nèi)部工作流程和內(nèi)控制度，建立與相關(guān)職能部門之間的協(xié)調(diào)配合機(jī)制，保證信息技術(shù)工作的有序、高效。（3）信息技術(shù)部門應(yīng)定期分析評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)防控策略、措施和檢查流程，切實(shí)做好信息技術(shù)風(fēng)險(xiǎn)管控。（4）信息技術(shù)部門所配置的信息技術(shù)人員的數(shù)量應(yīng)適應(yīng)業(yè)務(wù)及IT發(fā)展水平，能保證各個(gè)信息系統(tǒng)和各項(xiàng)信息技術(shù)工作安全持續(xù)地運(yùn)轉(zhuǎn)。信息技術(shù)部門應(yīng)做好科技人員管理，注重科技專業(yè)和風(fēng)險(xiǎn)教育。信息技術(shù)人員應(yīng)有良好的品德、職業(yè)操守和信用記錄，具備相應(yīng)的專業(yè)知識(shí)技能。（5）信息技術(shù)部門應(yīng)該建設(shè)一支與銀行信息技術(shù)產(chǎn)品開(kāi)發(fā)戰(zhàn)略相適應(yīng)的信息技術(shù)開(kāi)發(fā)隊(duì)伍，應(yīng)做好信息技術(shù)開(kāi)發(fā)管理，以及相關(guān)的外包服務(wù)管理、知識(shí)產(chǎn)權(quán)管理和開(kāi)發(fā)環(huán)節(jié)的風(fēng)險(xiǎn)管理，為銀行提供安全的信息技術(shù)業(yè)務(wù)產(chǎn)品。（6）信息技術(shù)部門應(yīng)建設(shè)好銀行信息技術(shù)系統(tǒng)安全連續(xù)運(yùn)行的環(huán)境（包括場(chǎng)地、設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)安全、訪問(wèn)控制和管理制度等），做好各種環(huán)境的監(jiān)測(cè)控制，做好事件、問(wèn)題管理和變更管理，做好緊急事件應(yīng)急預(yù)案。（7）信息技術(shù)部門應(yīng)嚴(yán)格遵守國(guó)家各項(xiàng)安全管理制度，配合風(fēng)險(xiǎn)管理部門、合規(guī)部門、業(yè)務(wù)部門編制各項(xiàng)信息技術(shù)業(yè)務(wù)產(chǎn)品的操作手冊(cè)和訪問(wèn)控制制度，協(xié)助做好業(yè)務(wù)部門信息技術(shù)風(fēng)險(xiǎn)控制和安全教育。檢查方法、步驟:（1）調(diào)閱信息技術(shù)部門的各項(xiàng)工作流程和規(guī)章制度。（2）調(diào)閱信息技術(shù)風(fēng)險(xiǎn)管理政策和制度。（3）調(diào)閱信息技術(shù)部門的組織結(jié)構(gòu)圖,崗位職責(zé)說(shuō)明。(4)訪談信息技術(shù)部門負(fù)責(zé)人、內(nèi)部各條線負(fù)責(zé)人和信息技術(shù)風(fēng)險(xiǎn)管理人員，關(guān)注以下內(nèi)容：（a）信息技術(shù)部門內(nèi)部設(shè)置了哪些條線？各條線是否實(shí)現(xiàn)了必要的職責(zé)分離,如開(kāi)發(fā)團(tuán)隊(duì)和運(yùn)行團(tuán)隊(duì)分離,信息技術(shù)人員不從事業(yè)務(wù)操作,有專門的團(tuán)隊(duì)開(kāi)展安全檢查等；(b)信息技術(shù)部門的資源狀況,包括人員是否充足,是否擁有充分的技能；(c)問(wèn)題和風(fēng)險(xiǎn)的報(bào)告路線、流程和處置效率；(d)信息技術(shù)人員的激勵(lì)機(jī)制；(e)如何對(duì)信息技術(shù)人員進(jìn)行職業(yè)道德方面的教育,如何在全行科技職能范圍內(nèi)推進(jìn)風(fēng)險(xiǎn)管理和內(nèi)部控制的理念；(f)信息技術(shù)人員的任免和招聘,是否進(jìn)行背景調(diào)查;(g)主要崗位是否輪崗;(h)信息技術(shù)人員的技能培訓(xùn)情況;(i)信息技術(shù)人員是否了解本行的信息技術(shù)政策/流程/規(guī)范/標(biāo)準(zhǔn)等。檢查項(xiàng)2：信息技術(shù)戰(zhàn)略規(guī)劃基本要求：（1）商業(yè)銀行信息技術(shù)戰(zhàn)略規(guī)劃應(yīng)在充分的市場(chǎng)調(diào)查和技術(shù)分析的基礎(chǔ)上，由首席信息官,銀行高級(jí)管理層,科技部門、風(fēng)險(xiǎn)管理和業(yè)務(wù)部門共同討論制定，并經(jīng)過(guò)信息技術(shù)管理委員會(huì)審查和批準(zhǔn)，并報(bào)董事會(huì)審議。（2）信息技術(shù)戰(zhàn)略規(guī)劃應(yīng)該與業(yè)務(wù)發(fā)展規(guī)劃保持一致,為實(shí)現(xiàn)銀行發(fā)展戰(zhàn)略提供緊密的信息技術(shù)支持。（3）信息技術(shù)戰(zhàn)略規(guī)劃應(yīng)包含但不限于：IT治理建設(shè)的規(guī)劃(關(guān)注于管理組織和制度建設(shè)等),應(yīng)用架構(gòu)規(guī)劃(關(guān)注于應(yīng)用系統(tǒng)的建設(shè)),信息技術(shù)基礎(chǔ)設(shè)施規(guī)劃(關(guān)注于基礎(chǔ)設(shè)施建設(shè))。(4)在銀行總體戰(zhàn)略發(fā)生變化時(shí),銀行信息技術(shù)戰(zhàn)略規(guī)劃應(yīng)及時(shí)作出相應(yīng)的調(diào)整。(5)銀行應(yīng)定期更新信息技術(shù)戰(zhàn)略規(guī)劃。(6)銀行高級(jí)管理層應(yīng)對(duì)信息技術(shù)戰(zhàn)略規(guī)劃的落實(shí)情況進(jìn)行監(jiān)督。檢查方法、步驟:（1）調(diào)閱信息技術(shù)發(fā)展戰(zhàn)略規(guī)劃或其他中長(zhǎng)期發(fā)展規(guī)劃，關(guān)注相關(guān)規(guī)劃的配合和銜接。（2）訪談信息技術(shù)管理部門負(fù)責(zé)人和相關(guān)工作人員，重點(diǎn)關(guān)注：（a）信息技術(shù)發(fā)展戰(zhàn)略規(guī)劃的制定是否有各方面人員參與，是否經(jīng)過(guò)高級(jí)管理層審批；（b）信息技術(shù)發(fā)展戰(zhàn)略規(guī)劃的內(nèi)容是否包含了應(yīng)用架構(gòu),基礎(chǔ)設(shè)施,IT治理等方面；（c）信息技術(shù)發(fā)展戰(zhàn)略規(guī)劃完成情況、信息技術(shù)工作的總體狀況、信息技術(shù)工作的薄弱點(diǎn)和問(wèn)題；(d)信息技術(shù)戰(zhàn)略規(guī)劃是否依據(jù)環(huán)境變化,總體戰(zhàn)略變更等進(jìn)行調(diào)整。1.3信息技術(shù)風(fēng)險(xiǎn)管理部門檢查項(xiàng)1：信息技術(shù)風(fēng)險(xiǎn)管理部門基本要求：（1）商業(yè)銀行應(yīng)建立全行信息技術(shù)風(fēng)險(xiǎn)管理框架，設(shè)立或指定信息技術(shù)風(fēng)險(xiǎn)管理部門，明確相應(yīng)的管理職責(zé)，設(shè)置必要的崗位，配置足夠的信息技術(shù)風(fēng)險(xiǎn)管理人員。（2）信息技術(shù)風(fēng)險(xiǎn)管理部門應(yīng)制定信息技術(shù)風(fēng)險(xiǎn)管理大綱。大綱應(yīng)清楚描述信息技術(shù)風(fēng)險(xiǎn)特點(diǎn)、識(shí)別和評(píng)估流程、持續(xù)的控制措施和報(bào)告處理機(jī)制。（3）信息技術(shù)風(fēng)險(xiǎn)管理部門應(yīng)定期審查各個(gè)相關(guān)部門和環(huán)節(jié)的信息技術(shù)風(fēng)險(xiǎn)控制流程和管理制度，定期檢查制度的執(zhí)行情況，防止出現(xiàn)失控的環(huán)節(jié)和管理制度老化的情況。（4）信息技術(shù)風(fēng)險(xiǎn)管理部門應(yīng)對(duì)重要的信息技術(shù)工作環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，定期檢查和上報(bào)信息技術(shù)風(fēng)險(xiǎn)控制狀況。（5）信息技術(shù)風(fēng)險(xiǎn)管理部門應(yīng)對(duì)全行員工進(jìn)行持續(xù)的信息技術(shù)風(fēng)險(xiǎn)教育。檢查方法、步驟:（1）調(diào)閱信息技術(shù)風(fēng)險(xiǎn)管理的相關(guān)政策,流程,管理規(guī)范,工作手冊(cè),以及開(kāi)展信息技術(shù)風(fēng)險(xiǎn)管理的記錄,如日常工作記錄、會(huì)議紀(jì)要和風(fēng)險(xiǎn)評(píng)估報(bào)告等。（2）調(diào)閱組織結(jié)構(gòu)圖和職責(zé)說(shuō)明,了解信息技術(shù)風(fēng)險(xiǎn)管理部門的組織結(jié)構(gòu)和人員的配置情況。（3）了解信息技術(shù)風(fēng)險(xiǎn)管理部門的工作情況,包括風(fēng)險(xiǎn)管理框架,評(píng)估標(biāo)準(zhǔn),是否定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估的結(jié)果,主要風(fēng)險(xiǎn)和應(yīng)對(duì)措施等。（4）了解信息技術(shù)風(fēng)險(xiǎn)管理部門和信息技術(shù)部,業(yè)務(wù)部門,內(nèi)審部門和其他相關(guān)部門的相互協(xié)作情況。(5)了解信息技術(shù)風(fēng)險(xiǎn)教育和培訓(xùn)的開(kāi)展情況,并調(diào)閱培訓(xùn)資料和記錄等。1.4信息技術(shù)風(fēng)險(xiǎn)審計(jì)部門檢查項(xiàng)1：信息技術(shù)風(fēng)險(xiǎn)審計(jì)部門基本要求：（1）商業(yè)銀行應(yīng)指定專門負(fù)責(zé)信息技術(shù)風(fēng)險(xiǎn)審計(jì)的部門，設(shè)置必要的崗位，并配備適量信息技術(shù)風(fēng)險(xiǎn)專業(yè)審計(jì)人員。（2）制定信息技術(shù)風(fēng)險(xiǎn)審計(jì)制度和相應(yīng)的審計(jì)手冊(cè)。（3）應(yīng)有計(jì)劃、有側(cè)重點(diǎn)地開(kāi)展信息技術(shù)風(fēng)險(xiǎn)審計(jì)工作。（4）及時(shí)向董事會(huì)和監(jiān)事會(huì)報(bào)告信息技術(shù)風(fēng)險(xiǎn)審計(jì)情況。（5）審計(jì)發(fā)現(xiàn)重大風(fēng)險(xiǎn)隱患應(yīng)及時(shí)報(bào)告。檢查方法、步驟：（1）訪談信息技術(shù)審計(jì)部門負(fù)責(zé)人和工作人員,了解以下信息:(a)信息技術(shù)審計(jì)職能的定位,工作范圍,組織結(jié)構(gòu)和分工(包括信息技術(shù)內(nèi)審團(tuán)隊(duì)內(nèi)部的分工,以及與其他內(nèi)審團(tuán)隊(duì)的分工),匯報(bào)路線,人員配置,技能(如是否擁有專業(yè)資格)等情況；(b)信息技術(shù)審計(jì)計(jì)劃,關(guān)注計(jì)劃制定過(guò)程中是否考慮了風(fēng)險(xiǎn),并基于風(fēng)險(xiǎn)狀況制定相應(yīng)計(jì)劃；(c)信息技術(shù)審計(jì)工作的標(biāo)準(zhǔn)和規(guī)范；(d)信息技術(shù)內(nèi)審工作的執(zhí)行情況,包括開(kāi)展了哪些主要工作,有哪些主要發(fā)現(xiàn),整改情況等；(e)審計(jì)結(jié)果的匯報(bào)和溝通,包括與被審計(jì)方的溝通和落實(shí)整改,及與高級(jí)管理層和董事會(huì)的匯報(bào)。(f)內(nèi)審人員的持續(xù)培訓(xùn)情況。(2)調(diào)閱信息技術(shù)審計(jì)相關(guān)文檔,包括:(a)信息技術(shù)審計(jì)章程或相關(guān)制度；(b)信息技術(shù)審計(jì)部組織結(jié)構(gòu)圖,職責(zé)說(shuō)明等；(c)信息技術(shù)風(fēng)險(xiǎn)審計(jì)手冊(cè)或其他標(biāo)準(zhǔn)規(guī)范文檔。（3）調(diào)閱商業(yè)銀行審計(jì)工作計(jì)劃、工作底稿和審計(jì)報(bào)告。（4）調(diào)閱審計(jì)發(fā)現(xiàn)落實(shí)整改情況的記錄;。(5)調(diào)閱培訓(xùn)記錄。1.5知識(shí)產(chǎn)權(quán)保護(hù)和信息披露檢查項(xiàng)1：知識(shí)產(chǎn)權(quán)保護(hù)基本要求：（1）商業(yè)銀行應(yīng)按照國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)法律、法規(guī)的要求，制定本單位知識(shí)產(chǎn)權(quán)保護(hù)制度。（2）應(yīng)采取有效措施確保所有員工充分理解知識(shí)產(chǎn)權(quán)保護(hù)制度并遵照?qǐng)?zhí)行。（3）規(guī)范合法軟件的購(gòu)買和使用，禁止使用盜版軟件。（4）做好自主開(kāi)發(fā)的信息技術(shù)產(chǎn)品的知識(shí)產(chǎn)權(quán)保護(hù)工作。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行遵守知識(shí)產(chǎn)權(quán)法律的相關(guān)制度并審查其內(nèi)容。（2）查閱商業(yè)銀行的軟件清單，檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。（3）查閱外包服務(wù)協(xié)議和相關(guān)文件中是否有知識(shí)產(chǎn)權(quán)的保護(hù)條款，并檢查落實(shí)情況。檢查項(xiàng)2：信息披露基本要求：商業(yè)銀行應(yīng)依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，按照監(jiān)管機(jī)構(gòu)規(guī)定的格式和時(shí)間，及時(shí)規(guī)范地披露信息技術(shù)風(fēng)險(xiǎn)信息。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行有關(guān)信息技術(shù)風(fēng)險(xiǎn)披露的制度。（2）查閱商業(yè)銀行披露信息技術(shù)風(fēng)險(xiǎn)評(píng)估結(jié)果的記錄。（3）重點(diǎn)關(guān)注信息披露是否符合《商業(yè)銀行信息披露辦法》等有關(guān)法律、法規(guī)的要求，是否按照監(jiān)管機(jī)構(gòu)規(guī)定的格式和時(shí)間及時(shí)規(guī)范地發(fā)布。(4)訪談信息技術(shù)人員了解信息披露的流程,以及信息披露執(zhí)行情況,如科技人員是否了解披露要求,如何確保披露信息的及時(shí)和準(zhǔn)確等。

2信息技術(shù)風(fēng)險(xiǎn)管理商業(yè)銀行應(yīng)制定信息技術(shù)風(fēng)險(xiǎn)管理策略，制定風(fēng)險(xiǎn)識(shí)別和評(píng)估、風(fēng)險(xiǎn)防范措施，對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)。2.1風(fēng)險(xiǎn)識(shí)別和評(píng)估檢查項(xiàng)1：風(fēng)險(xiǎn)管理策略基本要求：（1）商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)發(fā)展規(guī)劃的信息技術(shù)戰(zhàn)略、信息技術(shù)運(yùn)行計(jì)劃和信息技術(shù)風(fēng)險(xiǎn)評(píng)估計(jì)劃；（2）應(yīng)配置足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息技術(shù)環(huán)境；（3）應(yīng)制定全面的信息技術(shù)風(fēng)險(xiǎn)管理策略，包括但不限于：信息分級(jí)與保護(hù)，信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)，信息技術(shù)運(yùn)行和維護(hù)，訪問(wèn)控制，物理安全，人員安全，業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置。檢查方法、步驟：（1）訪談信息技術(shù)部門及信息技術(shù)風(fēng)險(xiǎn)管理部門負(fù)責(zé)人員,了解以下內(nèi)容:(a)信息技術(shù)風(fēng)險(xiǎn)管理策略和方法,如風(fēng)險(xiǎn)框架和分類,評(píng)估方法和標(biāo)準(zhǔn),以及對(duì)風(fēng)險(xiǎn)容忍度的界定；(b)銀行的主要信息技術(shù)風(fēng)險(xiǎn)及其應(yīng)對(duì)措施；(c)在開(kāi)展信息技術(shù)風(fēng)險(xiǎn)管理過(guò)程中遇到的主要挑戰(zhàn)。(2)調(diào)閱信息技術(shù)風(fēng)險(xiǎn)管理文檔,如信息技術(shù)風(fēng)險(xiǎn)管理政策和流程,風(fēng)險(xiǎn)評(píng)估規(guī)范或手冊(cè)等。檢查項(xiàng)2：風(fēng)險(xiǎn)識(shí)別與評(píng)估基本要求：（1）商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息技術(shù)風(fēng)險(xiǎn)隱患；（2）定期評(píng)估信息技術(shù)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別。檢查方法、步驟：（1）調(diào)閱風(fēng)險(xiǎn)識(shí)別和評(píng)估流程文檔，風(fēng)險(xiǎn)評(píng)估報(bào)告和相關(guān)工作底稿，了解具體工作開(kāi)展情況。（2）與信息技術(shù)風(fēng)險(xiǎn)管理相關(guān)人員(如信息技術(shù)部門人員和信息技術(shù)風(fēng)險(xiǎn)管理部門人員)訪談,了解信息技術(shù)風(fēng)險(xiǎn)評(píng)估的過(guò)程,信息來(lái)源,評(píng)估結(jié)果,以及對(duì)識(shí)別的風(fēng)險(xiǎn)是否制定了應(yīng)對(duì)措施。2.2風(fēng)險(xiǎn)防范和檢測(cè)檢查項(xiàng)1：風(fēng)險(xiǎn)防范措施基本要求：（1）商業(yè)銀行應(yīng)依據(jù)信息技術(shù)風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：制定明確的信息技術(shù)風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程，并定期進(jìn)行更新和公布；（2）確定潛在風(fēng)險(xiǎn)區(qū)域，并對(duì)這些區(qū)域進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)及早發(fā)現(xiàn)、影響最小化；（3）建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險(xiǎn)。定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：最高權(quán)限用戶審查，控制數(shù)據(jù)和系統(tǒng)的物理及邏輯訪問(wèn)，訪問(wèn)授權(quán)以“必需知道”和“最小授權(quán)”為原則，審批和授權(quán)，驗(yàn)證和調(diào)節(jié)等。檢查方法、步驟：（1）調(diào)閱信息技術(shù)管理制度、技術(shù)標(biāo)準(zhǔn)、操作規(guī)程等文檔,并訪談信息技術(shù)人員和風(fēng)險(xiǎn)管理人員,了解信息技術(shù)風(fēng)險(xiǎn)控制的主要原則和措施.(注:這里應(yīng)主要關(guān)注風(fēng)險(xiǎn)控制的原則,如怎樣落實(shí)訪問(wèn)控制的最小授權(quán),對(duì)風(fēng)險(xiǎn)/安全事件的監(jiān)控,災(zāi)難恢復(fù)的安排等，具體控制的設(shè)計(jì)和執(zhí)行情況將在各個(gè)領(lǐng)域中進(jìn)行檢查。)（2）調(diào)閱風(fēng)險(xiǎn)監(jiān)控相關(guān)工作記錄,如風(fēng)險(xiǎn)評(píng)估報(bào)告,信息技術(shù)各職能部門關(guān)于風(fēng)險(xiǎn)的匯報(bào)文檔等.訪談風(fēng)險(xiǎn)管理人員，了解對(duì)高風(fēng)險(xiǎn)區(qū)域的監(jiān)控情況；(3)了解信息技術(shù)職能和風(fēng)險(xiǎn)管理職能如何對(duì)主要風(fēng)險(xiǎn)進(jìn)行監(jiān)控,如定期匯總各條線(如運(yùn)行,開(kāi)發(fā),測(cè)試等)的匯報(bào),對(duì)一些重要事項(xiàng)和指標(biāo)的持續(xù)監(jiān)測(cè),內(nèi)外審的發(fā)現(xiàn)和建議的落實(shí),問(wèn)題上報(bào)制度等。檢查項(xiàng)2：風(fēng)險(xiǎn)計(jì)量與檢測(cè)基本要求：（1）商業(yè)銀行應(yīng)建立持續(xù)的信息技術(shù)風(fēng)險(xiǎn)計(jì)量和檢測(cè)機(jī)制，其中包括：建立信息技術(shù)項(xiàng)目實(shí)施前及實(shí)施后的評(píng)價(jià)機(jī)制,建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn),建立信息技術(shù)服務(wù)投訴和事故處理的報(bào)告機(jī)制,建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問(wèn)題的整改處理機(jī)制,安排對(duì)服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查,定期評(píng)估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅,定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查,定期進(jìn)行信息技術(shù)外包項(xiàng)目的風(fēng)險(xiǎn)狀況評(píng)價(jià)。（2）中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資法人銀行，應(yīng)對(duì)境內(nèi)外監(jiān)管機(jī)構(gòu)有關(guān)信息技術(shù)風(fēng)險(xiǎn)監(jiān)管政策的差異性進(jìn)行分析并防范由此可能產(chǎn)生的風(fēng)險(xiǎn)。檢查方法、步驟：（1）調(diào)閱有關(guān)文檔(如風(fēng)險(xiǎn)評(píng)估制度和方法,評(píng)估報(bào)告,關(guān)于風(fēng)險(xiǎn)和安全事件的匯報(bào)等)，了解商業(yè)銀行是否建立信息技術(shù)風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制。（2）訪談相關(guān)工作人員，了解中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資法人銀行是否對(duì)監(jiān)管政策的差異性進(jìn)行了充分分析并采取有效風(fēng)險(xiǎn)防范措施。

3.信息安全管理保證信息安全是商業(yè)銀行的一項(xiàng)重要任務(wù)，商業(yè)銀行應(yīng)在信息技術(shù)部門內(nèi)部設(shè)置專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機(jī)密性、完整性和可用性。信息安全涉及到人員、管理、技術(shù)等各個(gè)方面，本章節(jié)主要包含人員安全和管理安全的檢查內(nèi)容，技術(shù)安全方面的檢查內(nèi)容參見(jiàn)第三部分“基礎(chǔ)設(shè)施”部分。提示：在對(duì)商業(yè)銀行的信息安全管理進(jìn)行檢查和評(píng)價(jià)時(shí)，可根據(jù)銀行機(jī)構(gòu)的實(shí)際情況，按照分類監(jiān)管、循序漸進(jìn)的原則，合理把握標(biāo)準(zhǔn)與尺度。如，科技人員少、信息系統(tǒng)種類不多的銀行機(jī)構(gòu)，可以不設(shè)置單獨(dú)的安全管理部門，但應(yīng)設(shè)置專職的崗位；信息技術(shù)崗位設(shè)置可以彼此兼職，但不相容崗位應(yīng)分離，做到操作系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員彼此分離、網(wǎng)絡(luò)管理員和其他系統(tǒng)管理員彼此分離、批量處理人員和業(yè)務(wù)數(shù)據(jù)庫(kù)管理員彼此分離。3.1安全管理機(jī)制與管理組織檢查項(xiàng)1：信息分類和保護(hù)體系基本要求：商業(yè)銀行信息技術(shù)部門應(yīng)對(duì)各類信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)信息系統(tǒng)的重要程度等因素，建立和實(shí)施信息系統(tǒng)分類和保護(hù)體系，并保證該體系在銀行內(nèi)部的貫徹落實(shí)。檢查方法、步驟：（1）調(diào)閱信息系統(tǒng)分類管理制度，查看相關(guān)制度是否建立健全，是否對(duì)信息類別和訪問(wèn)人員的范圍、級(jí)別作出明確規(guī)定；（2）檢查商業(yè)銀行是否針對(duì)不同的信息系統(tǒng)，制訂了不同的安全防范措施，采取了不同的技術(shù)防范手段；（3）檢查商業(yè)銀行是否對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評(píng)估和防范。檢查項(xiàng)2：安全管理機(jī)制基本要求：商業(yè)銀行信息技術(shù)部門應(yīng)落實(shí)信息安全管理職能。包括：建立信息安全計(jì)劃和保持長(zhǎng)效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問(wèn)題向其他部門提供建議，定期向信息技術(shù)管理委員會(huì)提交本行信息安全評(píng)估報(bào)告等。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全計(jì)劃或相關(guān)文檔，檢查商業(yè)銀行是否制訂信息安全計(jì)劃。（2）分析信息安全計(jì)劃，評(píng)估商業(yè)銀行信息技術(shù)部門能否對(duì)信息安全進(jìn)行持續(xù)、長(zhǎng)期和有效的管理，確保信息安全和信息系統(tǒng)安全運(yùn)行。（3）檢查商業(yè)銀行信息技術(shù)部門是否組織培訓(xùn)和宣傳教育等活動(dòng)以提高全體員工信息安全意識(shí)，是否就安全問(wèn)題向其他部門提供安全建議。（4）檢查商業(yè)銀行信息技術(shù)部門是否對(duì)各類信息和信息系統(tǒng)制訂相應(yīng)的信息安全標(biāo)準(zhǔn)，是否制訂相關(guān)的管理策略，是否制訂實(shí)施計(jì)劃，是否制訂持續(xù)改進(jìn)、完善計(jì)劃。通過(guò)訪談了解這些管理策略和計(jì)劃是否有效實(shí)施。（5）調(diào)閱信息安全評(píng)估報(bào)告，檢查信息技術(shù)部門是否定期對(duì)本行信息安全進(jìn)行評(píng)估。檢查項(xiàng)3：信息安全策略基本要求：商業(yè)銀行應(yīng)制訂詳細(xì)的信息安全策略，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營(yíng)管理、訪問(wèn)控制管理、系統(tǒng)開(kāi)發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全策略，檢查是否制定信息安全策略及其內(nèi)容是否完整、全面。（2）調(diào)閱信息安全管理規(guī)定，查看是否制定信息安全管理規(guī)定以及是否具有相應(yīng)的實(shí)施要求和細(xì)則。檢查項(xiàng)4：信息安全組織基本要求：商業(yè)銀行應(yīng)建立配套的安全管理職能部門，通過(guò)管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障。應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批；安全管理人員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。檢查方法、步驟：（1）調(diào)閱相關(guān)崗位職責(zé)說(shuō)明文件，檢查是否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；（2）檢查是否限制安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等；（3）查詢相關(guān)制度文件和審批記錄，檢查是否根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批；（4）調(diào)閱信息安全檢查記錄，檢查安全管理員是否定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查結(jié)果是否及時(shí)報(bào)告和處理。3.2安全管理制度檢查項(xiàng)1：規(guī)章制度基本要求：商業(yè)銀行應(yīng)對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行分析、評(píng)估；應(yīng)對(duì)信息安全管理工作建立相應(yīng)的管理制度；應(yīng)要求管理人員或操作人員嚴(yán)格執(zhí)行管理制度，各項(xiàng)操作符合制度要求；應(yīng)注明安全管理制度密級(jí)程度，并進(jìn)行密級(jí)管理；信息安全制度建設(shè)應(yīng)全面涵蓋信息系統(tǒng)的安全風(fēng)險(xiǎn)點(diǎn)，如：用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、各類業(yè)務(wù)系統(tǒng)安全、客戶端安全、病毒防護(hù)、敏感數(shù)據(jù)保護(hù)、文檔管理等內(nèi)容。信息安全制度應(yīng)包含違規(guī)處罰條款；重要工作和崗位應(yīng)制訂詳盡的管理辦法和工作職責(zé)；信息安全制度應(yīng)包括對(duì)服務(wù)商的責(zé)任和義務(wù)要求；信息安全事件報(bào)告制度和處理流程應(yīng)清晰明確；信息安全管理制度應(yīng)注明發(fā)布范圍，有發(fā)文編號(hào)和相關(guān)部門的收文記錄；信息安全制度應(yīng)及時(shí)發(fā)布和修訂。商業(yè)銀行應(yīng)建立完善的信息系統(tǒng)管理制度，管理制度應(yīng)正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學(xué)習(xí)掌握。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全管理相關(guān)的會(huì)議記錄。（2）調(diào)閱信息安全相關(guān)的制度，查看：(a)是否圍繞著風(fēng)險(xiǎn)分析、評(píng)估報(bào)告開(kāi)展制度建設(shè)，各項(xiàng)制度能否有效防范風(fēng)險(xiǎn)；（b）已有制度是否涵蓋信息系統(tǒng)的各項(xiàng)風(fēng)險(xiǎn)點(diǎn)，包括用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、各類業(yè)務(wù)應(yīng)用系統(tǒng)安全、客戶端安全、病毒防護(hù)、敏感數(shù)據(jù)保護(hù)、文檔管理等內(nèi)容；（c）是否包含違規(guī)的處罰條款；（d）是否包括針對(duì)服務(wù)商的管理要求，如職責(zé)和義務(wù)；（e）是否建立信息安全事件報(bào)告制度和處理流程，制度和流程是否清晰和明確；(3)調(diào)閱信息安全管理部門職責(zé)和工作計(jì)劃，查看是否對(duì)重要的信息系統(tǒng)安全管理崗位制定了明確的管理辦法和工作職責(zé)。（4）信息安全管理負(fù)責(zé)人員座談，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，檢查是否已經(jīng)針對(duì)上述事件對(duì)信息安全制度進(jìn)行了及時(shí)修訂和頒布實(shí)施。檢查項(xiàng)2：制度合規(guī)基本要求：信息安全制度應(yīng)符合國(guó)家有關(guān)信息技術(shù)管理的法律法規(guī)；應(yīng)符合國(guó)家有關(guān)信息技術(shù)管理的技術(shù)標(biāo)準(zhǔn)；應(yīng)符合銀監(jiān)會(huì)有關(guān)要求；對(duì)于擁有境外機(jī)構(gòu)的銀行，其制度也應(yīng)符合境外監(jiān)管機(jī)構(gòu)的要求。檢查方法、步驟：（1）調(diào)閱信息安全制度，檢查：（a）制度是否遵循國(guó)家有關(guān)信息技術(shù)管理的法律法規(guī)要求；（b）技術(shù)性比較強(qiáng)的信息系統(tǒng)安全制度是否低于國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定；（c）審查其是否與銀監(jiān)會(huì)相關(guān)辦法、要求相沖突。（2）與信息安全管理負(fù)責(zé)人座談，了解該銀行是否在境外設(shè)立分支機(jī)構(gòu)，境外分支機(jī)構(gòu)信息安全制度是否符合所在國(guó)、地區(qū)監(jiān)管機(jī)構(gòu)的要求。檢查項(xiàng)3：制度執(zhí)行基本要求：信息技術(shù)相關(guān)工作應(yīng)嚴(yán)格遵守信息安全制度規(guī)定；對(duì)違規(guī)操作的應(yīng)根據(jù)相應(yīng)條款進(jìn)行處罰；被處罰管理部門或個(gè)人應(yīng)對(duì)違規(guī)操作進(jìn)行整改；審計(jì)部門應(yīng)對(duì)信息安全制度執(zhí)行情況定期進(jìn)行審計(jì)。檢查方法、步驟：（1）與負(fù)責(zé)信息安全的人員訪談，了解信息安全制度執(zhí)行情況；（2）調(diào)閱銀行或部門會(huì)議記錄，查看銀行或部門是否對(duì)日志、視頻等記錄中出現(xiàn)的違規(guī)操作行為進(jìn)行過(guò)認(rèn)定，并對(duì)違規(guī)人員或部門進(jìn)行過(guò)處罰；（3）調(diào)閱銀行或部門會(huì)議記錄，查看是否對(duì)違規(guī)操作進(jìn)行過(guò)整改，整改的后續(xù)情況如何。對(duì)于因制度漏洞造成的風(fēng)險(xiǎn)，是否及時(shí)對(duì)相關(guān)制度進(jìn)行了修改：（4）調(diào)閱內(nèi)、外部審計(jì)資料，查看是否有關(guān)于信息安全制度執(zhí)行情況的審計(jì)報(bào)告；（5）調(diào)閱審計(jì)文件，查看對(duì)信息安全制度執(zhí)行情況的審計(jì)頻度和審計(jì)內(nèi)容是否符合銀行要求；（6）調(diào)閱銀行或部門文件，查看是否對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題進(jìn)行過(guò)整改落實(shí)，后續(xù)的整改落實(shí)情況是否符合審計(jì)要求。3.3人員管理檢查項(xiàng)1：人員管理基本要求：（1）信息技術(shù)的崗位設(shè)置應(yīng)合理，應(yīng)做到分工明確、職責(zé)清晰，重要崗位需要相互制約、監(jiān)督；（2）信息技術(shù)人員應(yīng)無(wú)不良記錄；信息技術(shù)人員的專業(yè)知識(shí)和業(yè)務(wù)水平應(yīng)達(dá)到本行要求；應(yīng)加強(qiáng)對(duì)臨時(shí)聘用或合同制信息技術(shù)人員的安全管理措施；（3）應(yīng)對(duì)信息技術(shù)人員權(quán)限進(jìn)行分級(jí)管理，關(guān)鍵崗位應(yīng)有AB角；應(yīng)分離不相容崗位人員職責(zé)，不得兼任；（4）信息安全管理崗位應(yīng)配備專職安全管理員。關(guān)鍵區(qū)域或部位的安全管理員應(yīng)符合機(jī)要人員管理要求，對(duì)涉密人員應(yīng)簽訂保密協(xié)議；（5）信息技術(shù)人員管理要全面，應(yīng)包括背景調(diào)查、人員招聘、上崗培訓(xùn)、安全培訓(xùn)、人員離崗審查、強(qiáng)制休假等方面。檢查方法、步驟：（1）調(diào)閱銀行人事制度，了解銀行的信息技術(shù)崗位設(shè)置情況，是否配備了專門的安全管理崗位；（2）與信息技術(shù)管理人員和普通員工進(jìn)行座談，聽(tīng)取其對(duì)信息技術(shù)崗位設(shè)置的意見(jiàn)，分析崗位設(shè)置是否合理；（3）調(diào)閱銀行人事檔案，查看是否建立了信息技術(shù)人員的績(jī)效考核制度，查看信息技術(shù)人員是否有不良記錄；（4）調(diào)閱銀行人事檔案和與信息技術(shù)從業(yè)人員進(jìn)行座談，了解信息技術(shù)人員的專業(yè)知識(shí)和業(yè)務(wù)水平；（5）調(diào)閱銀行人事管理制度或部門人事管理制度，分析是否有針對(duì)正式信息技術(shù)人員、臨時(shí)聘用或合同制信息技術(shù)人員及顧問(wèn)制定不同的人事管理制度；（6）調(diào)閱信息安全管理的相關(guān)制度，確認(rèn)是否對(duì)不同信息技術(shù)崗位進(jìn)行了權(quán)限劃分和分級(jí)管理，并能貫徹落實(shí)上述制度和要求。3.4安全評(píng)估報(bào)告檢查項(xiàng)1：安全評(píng)估報(bào)告基本要求：商業(yè)銀行應(yīng)定期對(duì)信息系統(tǒng)安全情況進(jìn)行評(píng)估，并提交安全評(píng)估報(bào)告。當(dāng)信息系統(tǒng)發(fā)生重大變化時(shí)，應(yīng)及時(shí)進(jìn)行信息安全評(píng)估。對(duì)安全評(píng)估中發(fā)現(xiàn)的問(wèn)題，應(yīng)及時(shí)整改。檢查方法、步驟：（1）調(diào)閱安全評(píng)估報(bào)告，檢查商業(yè)銀行是否定期對(duì)信息系統(tǒng)安全進(jìn)行評(píng)估。如果信息系統(tǒng)發(fā)生重大變化或升級(jí)后，是否及時(shí)進(jìn)行信息安全評(píng)估：（2）檢查安全評(píng)估是否全面，是否覆蓋所有信息系統(tǒng)，是否覆蓋所有信息安全范圍；（3）檢查安全評(píng)估報(bào)告反映的問(wèn)題是否及時(shí)得到處理或改進(jìn)。3.5宣傳、教育和培訓(xùn)檢查項(xiàng)1：宣傳、教育和培訓(xùn)基本要求：高管層、信息安全管理部門負(fù)責(zé)人應(yīng)知曉信息安全政策；銀行應(yīng)加強(qiáng)對(duì)客戶的信息安全重要性的宣傳教育工作；銀行應(yīng)定期組織員工進(jìn)行信息系統(tǒng)安全重要性教育；銀行應(yīng)組織員工學(xué)習(xí)基本的信息系統(tǒng)安全管理制度；信息技術(shù)人員應(yīng)掌握與其崗位相關(guān)的信息安全管理制度。檢查方法、步驟：（1）與高管層、信息安全管理部門負(fù)責(zé)人座談，了解是否知曉本銀行的信息安全政策；（2）與高管層座談，了解銀行是否對(duì)客戶進(jìn)行過(guò)信息安全方面的宣傳教育，其內(nèi)容、力度和頻度如何；（3）與普通員工座談，了解是否接受過(guò)有關(guān)信息安全方面教育；（4）抽查銀行內(nèi)部部門的學(xué)習(xí)記錄，看是否組織過(guò)信息安全防范知識(shí)方面的學(xué)習(xí)培訓(xùn)；（5）與普通員工座談，看是否知曉本銀行基本的信息安全制度；（6）調(diào)閱信息技術(shù)部門的學(xué)習(xí)記錄，看是否對(duì)信息技術(shù)人員進(jìn)行過(guò)信息安全制度的傳達(dá)，是否組織過(guò)信息安全制度的學(xué)習(xí)培訓(xùn)；（7）與信息技術(shù)人員座談，看是否掌握與其從事崗位相關(guān)的信息安全管理制度。4系統(tǒng)開(kāi)發(fā)、測(cè)試與維護(hù)4.1開(kāi)發(fā)管理良好的系統(tǒng)開(kāi)發(fā)管理是一個(gè)系統(tǒng)能否穩(wěn)健運(yùn)行的必要前提，因此應(yīng)加強(qiáng)對(duì)商業(yè)銀行系統(tǒng)開(kāi)發(fā)管理工作的檢查力度，從而準(zhǔn)確評(píng)估各運(yùn)行系統(tǒng)以及即將上線系統(tǒng)的穩(wěn)定性和可靠性。通過(guò)對(duì)商業(yè)銀行的相關(guān)制度、規(guī)定、流程以及文檔、記錄的檢查和分析，了解其管理層是否統(tǒng)籌考慮系統(tǒng)開(kāi)發(fā)與信息技術(shù)戰(zhàn)略規(guī)劃及業(yè)務(wù)發(fā)展目標(biāo)的一致性，是否對(duì)系統(tǒng)開(kāi)發(fā)的可行性、必要性、成本效益核算以及存在的風(fēng)險(xiǎn)等方面進(jìn)行全面評(píng)估，是否建設(shè)了合理的開(kāi)發(fā)管理組織框架，是否對(duì)開(kāi)發(fā)過(guò)程進(jìn)行了全面的風(fēng)險(xiǎn)管控，以確保系統(tǒng)開(kāi)發(fā)過(guò)程的合理、高效和安全。檢查項(xiàng)1：管理架構(gòu)基本要求：應(yīng)建立信息技術(shù)管理委員會(huì)對(duì)信息系統(tǒng)項(xiàng)目建設(shè)的審批、授權(quán)機(jī)制，重大信息系統(tǒng)項(xiàng)目開(kāi)發(fā)應(yīng)經(jīng)過(guò)銀行董事會(huì)的批準(zhǔn)，并符合該機(jī)構(gòu)的IT戰(zhàn)略規(guī)劃和業(yè)務(wù)發(fā)展目標(biāo)。信息技術(shù)部門應(yīng)設(shè)置獨(dú)立的崗位并配備足夠的具備相關(guān)知識(shí)和技能的專業(yè)人員對(duì)信息系統(tǒng)項(xiàng)目開(kāi)發(fā)進(jìn)行集中管理，系統(tǒng)開(kāi)發(fā)應(yīng)成立專門的開(kāi)發(fā)建設(shè)項(xiàng)目組，具體負(fù)責(zé)信息系統(tǒng)的開(kāi)發(fā)建設(shè)。在系統(tǒng)開(kāi)發(fā)立項(xiàng)審批前，應(yīng)進(jìn)行系統(tǒng)開(kāi)發(fā)可行性研究，以控制與信息技術(shù)有關(guān)的風(fēng)險(xiǎn)。項(xiàng)目開(kāi)發(fā)過(guò)程中應(yīng)定期向首席信息官或高級(jí)管理層匯報(bào)項(xiàng)目實(shí)施狀況。信息系統(tǒng)開(kāi)發(fā)過(guò)程應(yīng)有業(yè)務(wù)需求部門人員參與，并定期與業(yè)務(wù)需求部門一起審核信息系統(tǒng)開(kāi)發(fā)建設(shè)情況，查看是否能夠滿足生產(chǎn)業(yè)務(wù)的需要，是否與業(yè)務(wù)需求相符合，是否對(duì)關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)進(jìn)行了有效控制。檢查方法、步驟：（1）檢查商業(yè)銀行是否有系統(tǒng)開(kāi)發(fā)的可行性研究、成本效益分析、風(fēng)險(xiǎn)評(píng)估等報(bào)告，查看是否對(duì)項(xiàng)目的可行性、成本效益核算以及可能出現(xiàn)的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失、無(wú)效系統(tǒng)規(guī)劃等進(jìn)行了深入的分析；（2）調(diào)閱相關(guān)會(huì)議紀(jì)要，查看相關(guān)分析結(jié)果是否得到信息技術(shù)管理委員會(huì)的認(rèn)可，分析信息技術(shù)管理委員會(huì)是否對(duì)系統(tǒng)開(kāi)發(fā)的可行性、必要性以及與IT戰(zhàn)略規(guī)劃和業(yè)務(wù)發(fā)展目標(biāo)的一致有充分認(rèn)識(shí)；（3）對(duì)于重大信息系統(tǒng)開(kāi)發(fā)項(xiàng)目，查看是否有銀行董事會(huì)批準(zhǔn)實(shí)施系統(tǒng)開(kāi)發(fā)的記錄；（4）調(diào)閱重大項(xiàng)目相關(guān)開(kāi)發(fā)建設(shè)文檔，查看是否成立了專門的項(xiàng)目組，具體負(fù)責(zé)項(xiàng)目的開(kāi)發(fā)建設(shè)。如成立有項(xiàng)目組，調(diào)閱項(xiàng)目組相關(guān)工作文件，檢查項(xiàng)目組是否盡職完成其相關(guān)職責(zé)；（5）查看是否有項(xiàng)目實(shí)施部門定期向信息技術(shù)管理委員會(huì)報(bào)告系統(tǒng)開(kāi)發(fā)進(jìn)展的報(bào)告；（6）查看商業(yè)銀行是否設(shè)置獨(dú)立的部門負(fù)責(zé)系統(tǒng)開(kāi)發(fā)，調(diào)閱部門人員清單及簡(jiǎn)介（含資質(zhì)），判斷該部門人員的數(shù)量和專業(yè)背景對(duì)于其承擔(dān)的系統(tǒng)開(kāi)發(fā)職責(zé)是否充分和適當(dāng)；（7）調(diào)閱項(xiàng)目開(kāi)發(fā)相關(guān)文件，查看信息系統(tǒng)開(kāi)發(fā)過(guò)程是否有業(yè)務(wù)部門人員參與，檢查項(xiàng)目開(kāi)發(fā)過(guò)程中開(kāi)發(fā)部門是否與業(yè)務(wù)部門定期總結(jié)信息系統(tǒng)開(kāi)發(fā)建設(shè)情況，以確認(rèn)正在開(kāi)發(fā)的系統(tǒng)是否與業(yè)務(wù)需求相符合，是否對(duì)關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)進(jìn)行了有效控制；（8）檢查信息系統(tǒng)投產(chǎn)后，實(shí)施部門是否組織了對(duì)系統(tǒng)的后評(píng)價(jià)，并根據(jù)評(píng)估結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。檢查項(xiàng)2：制度建設(shè)基本要求：商業(yè)銀行應(yīng)制定全面的信息系統(tǒng)開(kāi)發(fā)管理制度和流程，包括但不限于系統(tǒng)的開(kāi)發(fā)流程和組織管理、參與部門的職責(zé)劃分、時(shí)間進(jìn)度和財(cái)務(wù)預(yù)算管理、質(zhì)量檢測(cè)和風(fēng)險(xiǎn)評(píng)估等。商業(yè)銀行制定的制度和流程，應(yīng)涵蓋信息系統(tǒng)開(kāi)發(fā)的全周期，包括：分析、設(shè)計(jì)、開(kāi)發(fā)或外購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)和退出等，制度和流程應(yīng)經(jīng)過(guò)高級(jí)管理層和相關(guān)部門的認(rèn)可，明確相關(guān)部門和人員的職責(zé)，并定期進(jìn)行評(píng)估和更新。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行系統(tǒng)開(kāi)發(fā)相關(guān)的制度和流程，檢查其是否明確了管理組織及職責(zé)，是否對(duì)開(kāi)發(fā)流程管理進(jìn)行全面的管控。是否建立了質(zhì)量檢測(cè)和風(fēng)險(xiǎn)評(píng)估機(jī)制等；（2）詢問(wèn)相關(guān)人員，是否有高級(jí)管理層和所有有關(guān)部門認(rèn)可這些制度和流程的說(shuō)明，查看相關(guān)會(huì)議紀(jì)要、相關(guān)文件的傳閱痕跡等；（3）檢查系統(tǒng)開(kāi)發(fā)過(guò)程中，相關(guān)制度和流程是否得到有效的實(shí)施，如是否界定了明確的部門和人員職責(zé)，職責(zé)劃分是否合理，是否有完整的時(shí)間進(jìn)度管理和財(cái)務(wù)預(yù)算管理，是否要求實(shí)施部門定期向信息技術(shù)管理委員會(huì)提交重大信息技術(shù)項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況等；（4）檢查商業(yè)銀行制定的制度和流程是否涵蓋了信息系統(tǒng)開(kāi)發(fā)的立項(xiàng)、可行性分析、制定需求、方案設(shè)計(jì)、程序開(kāi)發(fā)、系統(tǒng)測(cè)試、系統(tǒng)驗(yàn)收、使用培訓(xùn)、實(shí)施操作和維護(hù)等各環(huán)節(jié)。檢查項(xiàng)3：項(xiàng)目控制體系基本要求：（1）商業(yè)銀行應(yīng)制定合理的項(xiàng)目生命周期，加強(qiáng)項(xiàng)目生命周期管理，包括系統(tǒng)分析、設(shè)計(jì)、開(kāi)發(fā)或外購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)和退出；（2）應(yīng)開(kāi)展對(duì)系統(tǒng)需求和技術(shù)架構(gòu)的管理，使系統(tǒng)需求與業(yè)務(wù)目標(biāo)保持一致；（3）應(yīng)當(dāng)建立一套符合質(zhì)量管理標(biāo)準(zhǔn)的質(zhì)量控制體系，有效控制開(kāi)發(fā)質(zhì)量；（4）應(yīng)根據(jù)項(xiàng)目風(fēng)險(xiǎn)評(píng)估，在系統(tǒng)開(kāi)發(fā)過(guò)程中落實(shí)主要風(fēng)險(xiǎn)點(diǎn)的風(fēng)險(xiǎn)控制措施；（5）系統(tǒng)開(kāi)發(fā)環(huán)境與運(yùn)行環(huán)境應(yīng)當(dāng)分離，包括網(wǎng)絡(luò)分離、設(shè)備分離、數(shù)據(jù)分離、人員分離等，防止開(kāi)發(fā)活動(dòng)對(duì)業(yè)務(wù)運(yùn)行環(huán)境造成風(fēng)險(xiǎn)；（6）系統(tǒng)開(kāi)發(fā)過(guò)程中應(yīng)進(jìn)行必要的安全控制，應(yīng)對(duì)源代碼進(jìn)行有效管理，對(duì)程序源代碼進(jìn)行嚴(yán)格的審查，不應(yīng)留有“后門”，即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過(guò)安全規(guī)則的任何類型的入口和文檔中未說(shuō)明的任何模式的入口。檢查方法、步驟：（1）檢查銀行是否有信息系統(tǒng)生命周期管理制度，是否有項(xiàng)目生命周期管理流程和記錄；（2）檢查系統(tǒng)需求和技術(shù)架構(gòu)的評(píng)估文檔，看系統(tǒng)需求與業(yè)務(wù)目標(biāo)是否保持一致；（3）詢問(wèn)系統(tǒng)開(kāi)發(fā)部門負(fù)責(zé)人，銀行是否建立了系統(tǒng)開(kāi)發(fā)質(zhì)量控制體系，調(diào)閱其項(xiàng)目質(zhì)量控制標(biāo)準(zhǔn)、代碼編寫(xiě)規(guī)范（軟件）以及質(zhì)量控制檢查和監(jiān)督的記錄；（4）檢查是否有項(xiàng)目需求和計(jì)劃的風(fēng)險(xiǎn)評(píng)估以及業(yè)務(wù)的風(fēng)險(xiǎn)點(diǎn)分析,是否有對(duì)業(yè)務(wù)操作環(huán)境（如人員素質(zhì)、操作場(chǎng)所等環(huán)境）的相關(guān)風(fēng)險(xiǎn)分析，是否有對(duì)項(xiàng)目延期的風(fēng)險(xiǎn)、項(xiàng)目進(jìn)程中發(fā)現(xiàn)的風(fēng)險(xiǎn)、項(xiàng)目外包的風(fēng)險(xiǎn)等關(guān)鍵控制點(diǎn)制定風(fēng)險(xiǎn)控制措施，是否有風(fēng)險(xiǎn)控制措施的落實(shí)記錄和監(jiān)督記錄；（5）檢查系統(tǒng)開(kāi)發(fā)環(huán)境和運(yùn)行環(huán)境是否分離，網(wǎng)絡(luò)是否有效隔離，設(shè)備是否獨(dú)立于生產(chǎn)系統(tǒng)，開(kāi)發(fā)人員是否接觸生產(chǎn)系統(tǒng)，開(kāi)發(fā)過(guò)程中是否使用了生產(chǎn)數(shù)據(jù),使用的生產(chǎn)數(shù)據(jù)是否得到高級(jí)管理層的批準(zhǔn)并經(jīng)過(guò)脫敏或相關(guān)限制；（6）檢查系統(tǒng)開(kāi)發(fā)過(guò)程中，是否進(jìn)行安全控制，是否對(duì)源代碼進(jìn)行有效管理和嚴(yán)格的審查，系統(tǒng)所有入口是否都經(jīng)過(guò)安全規(guī)則的控制，并在系統(tǒng)開(kāi)發(fā)文檔中全部注明。檢查項(xiàng)4：系統(tǒng)開(kāi)發(fā)的操作風(fēng)險(xiǎn)基本要求：商業(yè)銀行應(yīng)當(dāng)加強(qiáng)對(duì)開(kāi)發(fā)隊(duì)伍的管理，合理選擇具備相當(dāng)專業(yè)知識(shí)和技術(shù)水平的項(xiàng)目經(jīng)理，并應(yīng)對(duì)技術(shù)人員，尤其是外來(lái)技術(shù)人員的開(kāi)發(fā)行為加強(qiáng)管理，對(duì)于外包開(kāi)發(fā)與合作開(kāi)發(fā)的開(kāi)發(fā)方應(yīng)進(jìn)行充分調(diào)研分析，以保證系統(tǒng)的可靠性；應(yīng)當(dāng)加強(qiáng)信息技術(shù)項(xiàng)目文檔管理和文檔版本控制；銀行信息技術(shù)開(kāi)發(fā)部門應(yīng)當(dāng)加強(qiáng)對(duì)開(kāi)發(fā)過(guò)程的檢查，確保開(kāi)發(fā)目標(biāo)的實(shí)現(xiàn)。對(duì)以外包和合作開(kāi)發(fā)為主進(jìn)行信息系統(tǒng)開(kāi)發(fā)建設(shè)的銀行機(jī)構(gòu)，應(yīng)特別重視對(duì)外來(lái)技術(shù)人員的開(kāi)發(fā)行為加強(qiáng)管理，對(duì)于外包開(kāi)發(fā)與合作開(kāi)發(fā)的開(kāi)發(fā)方應(yīng)進(jìn)行充分調(diào)研分析，以保證系統(tǒng)的可靠性。檢查方法、步驟：（1）詢問(wèn)商業(yè)銀行對(duì)項(xiàng)目開(kāi)發(fā)經(jīng)理的知識(shí)水平要求，查看部分項(xiàng)目開(kāi)發(fā)經(jīng)理的資信歷史、資格證書(shū)、從業(yè)經(jīng)歷的調(diào)查記錄；（2）對(duì)于外包開(kāi)發(fā)與合作開(kāi)發(fā)的項(xiàng)目，詢問(wèn)項(xiàng)目管理成員，開(kāi)發(fā)方是否在業(yè)內(nèi)有過(guò)針對(duì)客戶的不良紀(jì)錄,商業(yè)銀行是否有對(duì)開(kāi)發(fā)方技術(shù)實(shí)力與人力資源充分性進(jìn)行分析；（3）檢查是否制定了文檔管理規(guī)范制度，查看項(xiàng)目開(kāi)發(fā)設(shè)計(jì)、源代碼、技術(shù)使用和運(yùn)行維護(hù)說(shuō)明書(shū)、用戶使用手冊(cè)，風(fēng)險(xiǎn)評(píng)估報(bào)告等項(xiàng)目文檔管理是否符合規(guī)范，是否進(jìn)行了文檔的版本控制；（4）檢查銀行是否有系統(tǒng)開(kāi)發(fā)過(guò)程的檢查記錄，是否對(duì)系統(tǒng)完整性、惡意代碼和后門程序進(jìn)行了檢查。檢查項(xiàng)5：數(shù)據(jù)繼承和遷移基本要求：信息系統(tǒng)升級(jí)變更，應(yīng)特別重視對(duì)歷史數(shù)據(jù)的繼承和遷移。應(yīng)合理規(guī)劃數(shù)據(jù)結(jié)構(gòu)，并進(jìn)行數(shù)據(jù)兼容性分析，防止因兼容性不夠而造成歷史數(shù)據(jù)的無(wú)法使用和繼承，進(jìn)而影響業(yè)務(wù)生產(chǎn)和客戶利益。信息系統(tǒng)升級(jí)變更前，應(yīng)制訂詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并提前進(jìn)行數(shù)據(jù)遷移測(cè)試和數(shù)據(jù)有效性、兼容性驗(yàn)證。商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開(kāi)發(fā)、測(cè)試、維護(hù)過(guò)程中數(shù)據(jù)的完整性、安全性和可用性。檢查方法、步驟：（1）檢查是否進(jìn)行新舊系統(tǒng)業(yè)務(wù)數(shù)據(jù)兼容程度分析，并形成書(shū)面報(bào)告；（2）檢查業(yè)務(wù)系統(tǒng)上線前，是否制訂詳細(xì)的數(shù)據(jù)遷移計(jì)劃，數(shù)據(jù)遷移計(jì)劃是否嚴(yán)密；（3）檢查業(yè)務(wù)系統(tǒng)上線或升級(jí)前，是否進(jìn)行過(guò)數(shù)據(jù)遷移測(cè)試和數(shù)據(jù)有效性、兼容程度驗(yàn)證；有數(shù)據(jù)移植時(shí)，檢查是否針對(duì)新舊系統(tǒng)中被移植部分?jǐn)?shù)據(jù)的一致性進(jìn)行過(guò)驗(yàn)證，對(duì)數(shù)據(jù)調(diào)整時(shí)，是否對(duì)調(diào)整過(guò)程進(jìn)行了完整記錄并由相關(guān)人員簽字；（4）檢查是否制定了相關(guān)制度、標(biāo)準(zhǔn)和流程，以保證信息系統(tǒng)開(kāi)發(fā)、測(cè)試、維護(hù)過(guò)程中數(shù)據(jù)的完整性、安全性和可用性。4.2系統(tǒng)測(cè)試與上線充分的系統(tǒng)測(cè)試和周密的上線程序是保障系統(tǒng)正常穩(wěn)定運(yùn)行的重要環(huán)節(jié)，商業(yè)銀行應(yīng)該確保充分的系統(tǒng)測(cè)試和具備完善系統(tǒng)上線程序的管理，以確保系統(tǒng)的測(cè)試結(jié)果是可信的，上線流程是完善的。通過(guò)對(duì)相關(guān)制度、流程和程序的檢查，分析商業(yè)銀行在系統(tǒng)測(cè)試和上線過(guò)程是否存在缺陷，從而對(duì)各系統(tǒng)做出合理的評(píng)估，避免系統(tǒng)測(cè)試不充分上線，或上線程序不周密，導(dǎo)致系統(tǒng)風(fēng)險(xiǎn)，造成損失。檢查項(xiàng)1：系統(tǒng)測(cè)試基本要求：商業(yè)銀行應(yīng)為所有的主要變更建立充分的測(cè)試體系（如：系統(tǒng)單元測(cè)試、系統(tǒng)集成測(cè)試、系統(tǒng)驗(yàn)收測(cè)試、用戶測(cè)試、預(yù)演、數(shù)據(jù)轉(zhuǎn)換的驗(yàn)證、平行測(cè)試等）以保證系統(tǒng)測(cè)試的完整和充分；商業(yè)銀行應(yīng)建立完善的測(cè)試團(tuán)隊(duì)，并確保測(cè)試工作的公正性和獨(dú)立性；應(yīng)當(dāng)確保充分，完整的系統(tǒng)測(cè)試；測(cè)試環(huán)境應(yīng)與生產(chǎn)環(huán)境相隔離；應(yīng)當(dāng)對(duì)信息系統(tǒng)功能進(jìn)行充分測(cè)試，保障系統(tǒng)功能與業(yè)務(wù)目標(biāo)一致；應(yīng)當(dāng)對(duì)信息系統(tǒng)進(jìn)行非功能測(cè)試，保證系統(tǒng)的兼容性、可靠性、通用性、安裝的可操作性，防范在信息系統(tǒng)性能峰值情況下發(fā)生的問(wèn)題。系統(tǒng)變更應(yīng)建立回滾變更的程序，以便于在發(fā)生問(wèn)題的情況下可以恢復(fù)到原始的程序、系統(tǒng)配置和數(shù)據(jù)，在變更遷徙到生產(chǎn)環(huán)境前應(yīng)進(jìn)行回滾程序的試運(yùn)行，以保證回滾程序是有效、可靠的。系統(tǒng)測(cè)試過(guò)程中應(yīng)對(duì)測(cè)試的情況進(jìn)行規(guī)范的記錄，最終形成測(cè)試文檔并進(jìn)行分析。檢查方法、步驟：：1）檢查系統(tǒng)變更的測(cè)試報(bào)告，分析測(cè)試內(nèi)容和測(cè)試步驟是否完整，測(cè)試用例是否充分涵蓋所有業(yè)務(wù)場(chǎng)景；（2）調(diào)閱測(cè)試團(tuán)隊(duì)人員清單，分析測(cè)試團(tuán)隊(duì)人員角色、知識(shí)水平等是否充分，詢問(wèn)相關(guān)負(fù)責(zé)人通過(guò)哪些措施保證測(cè)試團(tuán)隊(duì)的公正性和獨(dú)立性；（3）調(diào)閱測(cè)試方案、測(cè)試用例、測(cè)試記錄等，分析銀行的測(cè)試方案是否完善，測(cè)試計(jì)劃是否完整，測(cè)試環(huán)境是否與生產(chǎn)環(huán)境相隔離，測(cè)試用例是否充分，測(cè)試用例是否有生產(chǎn)數(shù)據(jù)，當(dāng)使用生產(chǎn)數(shù)據(jù)測(cè)試時(shí)是否得到高級(jí)管理層的審批并采取相關(guān)限制及進(jìn)行脫敏處理，測(cè)試執(zhí)行情況記錄是否完整，查看是否有對(duì)充分測(cè)試的審核報(bào)告；（4）調(diào)閱功能測(cè)試記錄，查看系統(tǒng)功能測(cè)試結(jié)果是否與業(yè)務(wù)需求一致；（5）調(diào)閱非功能性測(cè)試報(bào)告或記錄（非功能測(cè)試技術(shù)主要包括：配置和安裝測(cè)試、兼容性和互操作性測(cè)試、文檔和幫助測(cè)試、錯(cuò)誤恢復(fù)測(cè)試、性能測(cè)試、可靠性測(cè)試、保密性測(cè)試、壓力測(cè)試、可用性測(cè)試、容量測(cè)試），分析測(cè)試用例是否充分，測(cè)試結(jié)果是否與業(yè)務(wù)需求一致；（6）檢查是否建立系統(tǒng)變更的回退程序，是否有回退程序的測(cè)試或試運(yùn)行成功的記錄；（7）調(diào)閱系統(tǒng)測(cè)試報(bào)告，檢查系統(tǒng)測(cè)試過(guò)程中是否對(duì)測(cè)試的情況進(jìn)行規(guī)范的記錄，是否形成測(cè)試文檔；對(duì)測(cè)試過(guò)程是否進(jìn)行分析，并提出相應(yīng)修改意見(jiàn)。檢查項(xiàng)2：系統(tǒng)驗(yàn)收基本要求：商業(yè)銀行應(yīng)當(dāng)在系統(tǒng)發(fā)布前對(duì)測(cè)試過(guò)程進(jìn)行充分審查，防止未經(jīng)充分測(cè)試的系統(tǒng)上線運(yùn)行；應(yīng)當(dāng)在系統(tǒng)發(fā)布前對(duì)系統(tǒng)交付物的完整性進(jìn)行檢查，以及對(duì)代碼進(jìn)行檢驗(yàn)；對(duì)打包銷售的系統(tǒng)，應(yīng)要求其提供充分可靠的測(cè)試證明，并進(jìn)行代碼審查；應(yīng)當(dāng)對(duì)系統(tǒng)進(jìn)行一段時(shí)間的試運(yùn)行，及時(shí)發(fā)現(xiàn)試運(yùn)行中存在的問(wèn)題，改正后方可正式上線。檢查方法、步驟：（1）調(diào)閱系統(tǒng)驗(yàn)收記錄和測(cè)試質(zhì)量的評(píng)估報(bào)告，檢查系統(tǒng)發(fā)布前商業(yè)銀行是否對(duì)測(cè)試的過(guò)程和有關(guān)測(cè)試充分進(jìn)行了審查并對(duì)測(cè)試質(zhì)量進(jìn)行了評(píng)估；（2）查看驗(yàn)收記錄中是否對(duì)系統(tǒng)交付物的完整性進(jìn)行了檢查，檢查的內(nèi)容還應(yīng)該包括軟件發(fā)布計(jì)劃、操作手冊(cè)和應(yīng)急預(yù)案等文檔；（3）檢查打包銷售的軟件是否有完整的、充分的和可靠的測(cè)試報(bào)告，是否有對(duì)軟件代碼的審查記錄，特別是對(duì)秘密信道及特洛伊木馬程序?qū)彶?；?）檢查是否有完整的試運(yùn)行報(bào)告、試運(yùn)行記錄、系統(tǒng)錯(cuò)誤修正記錄等，查看系統(tǒng)的試運(yùn)行是否通過(guò)。檢查項(xiàng)3：投產(chǎn)上線基本要求：商業(yè)銀行應(yīng)重視信息系統(tǒng)的投產(chǎn)上線工作，做到以下幾點(diǎn)：（1）包括用戶需求書(shū)、功能說(shuō)明書(shū)、設(shè)計(jì)說(shuō)明書(shū)、技術(shù)與業(yè)務(wù)操作手冊(cè)等在內(nèi)的所有文檔資料在上線前應(yīng)正式歸檔保管；（2）投產(chǎn)上線所用的系統(tǒng)生產(chǎn)環(huán)境已經(jīng)建立并經(jīng)驗(yàn)收測(cè)試證明有效；（3）清除投產(chǎn)上線用的系統(tǒng)生產(chǎn)環(huán)境中的驗(yàn)收測(cè)試數(shù)據(jù)（另行安排生產(chǎn)環(huán)境除外）；（4）完成投產(chǎn)上線計(jì)劃書(shū)、上線操作手冊(cè)、回退操作手冊(cè)并經(jīng)驗(yàn)證；（5）有數(shù)據(jù)移植時(shí)還需對(duì)新舊系統(tǒng)中被移植部分?jǐn)?shù)據(jù)的一致性進(jìn)行驗(yàn)證，對(duì)數(shù)據(jù)調(diào)整時(shí)應(yīng)對(duì)調(diào)整過(guò)程完整記錄并請(qǐng)相關(guān)人員簽字；（6）已對(duì)運(yùn)行人員、業(yè)務(wù)管理人員、業(yè)務(wù)操作人員進(jìn)行了培訓(xùn)，開(kāi)發(fā)人員與運(yùn)行維護(hù)人員已經(jīng)完成了職責(zé)移交。檢查方法、步驟:（1）檢查文檔資料管理系統(tǒng)，確認(rèn)與該信息系統(tǒng)有關(guān)的各類文檔資料已經(jīng)正式歸檔保管，納入生產(chǎn)系統(tǒng)文檔資料管理范圍；（2）與業(yè)務(wù)和技術(shù)人員訪談，了解投產(chǎn)上線的完整過(guò)程，判斷投產(chǎn)上線用的環(huán)境是否在啟用時(shí)已經(jīng)驗(yàn)證有效、測(cè)試業(yè)務(wù)數(shù)據(jù)得到完全清理、被移植到生產(chǎn)環(huán)境的數(shù)據(jù)與在原環(huán)境中數(shù)據(jù)保持一致性；（3）與運(yùn)行人員和開(kāi)發(fā)維護(hù)人員訪談，了解在投產(chǎn)時(shí)，運(yùn)行人員是否熟悉運(yùn)行操作，維護(hù)人員是否接管維護(hù)職責(zé)，從而判斷是否實(shí)行崗位分離和存在操作風(fēng)險(xiǎn)。4.3系統(tǒng)下線商業(yè)銀行應(yīng)對(duì)系統(tǒng)下線按規(guī)范流程妥善處理，確保下線系統(tǒng)敏感數(shù)據(jù)的安全性和完整性。檢查項(xiàng)1：系統(tǒng)下線基本要求：商業(yè)銀行應(yīng)當(dāng)關(guān)注系統(tǒng)下線工作，并做到以下幾點(diǎn)：（1）下線前，應(yīng)當(dāng)做好充分的論證，證明該信息系統(tǒng)的功能已經(jīng)失效或已有其它系統(tǒng)替代；（2）系統(tǒng)下線應(yīng)有下線計(jì)劃和操作手冊(cè)；（3）確保信息系統(tǒng)的環(huán)境數(shù)據(jù)、客戶數(shù)據(jù)和交易數(shù)據(jù)保存一定時(shí)間，并繼續(xù)實(shí)施安全管理；（4）在對(duì)信息系統(tǒng)設(shè)備留作他用、出賣或銷毀時(shí)，應(yīng)當(dāng)對(duì)其中的信息進(jìn)行刪除等處理，整個(gè)過(guò)程應(yīng)記錄。檢查方法、步驟:（1）調(diào)閱文檔資料管理系統(tǒng)，確認(rèn)是否有下線計(jì)劃和操作手冊(cè)并對(duì)整個(gè)過(guò)程進(jìn)行記錄；（2）與技術(shù)人員訪談并現(xiàn)場(chǎng)抽查部分退出使用的設(shè)備，確認(rèn)系統(tǒng)下線后對(duì)應(yīng)該保留的信息是否進(jìn)行了有效的的保管，該刪除的信息是否得到了徹底銷毀。

6.系統(tǒng)運(yùn)行管理6.1日常管理商業(yè)銀行應(yīng)將信息技術(shù)運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù)分離，確保信息技術(shù)部門內(nèi)部的崗位制約，并且應(yīng)從錄用前、任職期間、離職全過(guò)程對(duì)科技人員進(jìn)行管理，以確保員工充分了解其責(zé)任、能夠嚴(yán)格遵守機(jī)構(gòu)的信息安全方針、并確保員工離職后不對(duì)本機(jī)構(gòu)造成損失。檢查項(xiàng)1：職責(zé)分離基本要求：商業(yè)銀行應(yīng)將不相容崗位實(shí)現(xiàn)職責(zé)分離，以降低未授權(quán)訪問(wèn)、無(wú)意識(shí)修改以及故意犯罪給機(jī)構(gòu)帶來(lái)?yè)p失的機(jī)會(huì)。其目標(biāo)是做到在未授權(quán)或未被監(jiān)測(cè)時(shí)，個(gè)人不能擅自訪問(wèn)、修改或使用機(jī)構(gòu)信息資產(chǎn)，并做到事件的啟動(dòng)與其授權(quán)相分離。檢查方法、步驟：（1）訪談科技部門負(fù)責(zé)人及信息技術(shù)風(fēng)險(xiǎn)審計(jì)負(fù)責(zé)人，判斷該機(jī)構(gòu)哪些職責(zé)應(yīng)實(shí)現(xiàn)分離。開(kāi)發(fā)與日常維護(hù)、業(yè)務(wù)與后臺(tái)管理必須實(shí)現(xiàn)分離；（2）調(diào)取該機(jī)構(gòu)崗位職責(zé)及人員名單，驗(yàn)證不相容崗位是否實(shí)現(xiàn)了分離，是否存在崗位分離但人員兼崗的現(xiàn)象；（3）抽取部分應(yīng)用系統(tǒng)，從系統(tǒng)中取得操作系統(tǒng)用戶清單、數(shù)據(jù)庫(kù)用戶清單、應(yīng)用系統(tǒng)用戶清單以及開(kāi)發(fā)測(cè)試系統(tǒng)的相應(yīng)清單，驗(yàn)證是否存在事實(shí)上的兼崗現(xiàn)象，是否存在開(kāi)發(fā)人員在生產(chǎn)系統(tǒng)中存在賬戶的現(xiàn)象。檢查項(xiàng)2：值班制度基本要求：商業(yè)銀行應(yīng)制定信息技術(shù)運(yùn)行7*24小時(shí)值班制度，每班值班人員不能少于2人，并確保值班人員專人、專職，不能兼任系統(tǒng)維護(hù)人員及開(kāi)發(fā)人員。值班人員應(yīng)對(duì)系統(tǒng)運(yùn)行情況進(jìn)行全面監(jiān)控，運(yùn)行記錄應(yīng)完善、詳實(shí)。檢查方法、步驟：（1）通過(guò)調(diào)閱信息技術(shù)部門崗位、人員名單，確認(rèn)值班人員是否為專人、專職，是否兼任維護(hù)及開(kāi)發(fā)職能；（2）調(diào)閱值班監(jiān)控登記簿，確認(rèn)是否能夠做到24小時(shí)值班，運(yùn)行監(jiān)控記錄是否完善、詳實(shí)，是否存在無(wú)運(yùn)行監(jiān)控記錄的日期；（3）通過(guò)調(diào)閱值班室視頻記錄，驗(yàn)證能否做到雙人在崗。檢查項(xiàng)3：操作管理基本要求：商業(yè)銀行應(yīng)制定詳盡的信息技術(shù)運(yùn)行操作程序。如在信息技術(shù)運(yùn)行手冊(cè)中說(shuō)明值班人員的任務(wù)、執(zhí)行步驟，以及生產(chǎn)與開(kāi)發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（備份的頻率、范圍和保留周期），嚴(yán)禁值班人員脫離文檔對(duì)生產(chǎn)環(huán)境進(jìn)行操作。檢查方法、步驟：（1）到數(shù)據(jù)中心實(shí)地查看，驗(yàn)證值班室是否保存有較為完整的操作手冊(cè)；（2）對(duì)比值班人員職責(zé)，驗(yàn)證值班室的操作手冊(cè)能否完整覆蓋值班人員的職責(zé)；（3）通過(guò)調(diào)閱值班室視頻記錄，驗(yàn)證是否存在值班人員脫離文檔操作的現(xiàn)象。檢查項(xiàng)4：人員管理基本要求：（1）商業(yè)銀行應(yīng)根據(jù)相關(guān)法律、法規(guī)要求，對(duì)所有求職者進(jìn)行背景驗(yàn)證檢查，該檢查應(yīng)與業(yè)務(wù)要求、接觸信息的類別及已知風(fēng)險(xiǎn)相適應(yīng)；（2）商業(yè)銀行應(yīng)加強(qiáng)對(duì)員工的管理，盡可能減少由于人員因素引起的安全風(fēng)險(xiǎn)，加強(qiáng)對(duì)員工的安全培訓(xùn)，培養(yǎng)員工的安全意識(shí)，使其了解所承擔(dān)的責(zé)任和義務(wù)，并在日常工作中認(rèn)真貫徹機(jī)構(gòu)的信息安全方針；（3）商業(yè)銀行應(yīng)確保員工離職過(guò)程的有序性，并確保其歸還所有設(shè)備，及時(shí)取消其對(duì)系統(tǒng)及信息的訪問(wèn)權(quán)限。組織內(nèi)部職責(zé)和工作變化后應(yīng)及時(shí)調(diào)整系統(tǒng)權(quán)限。檢查方法、步驟：（1）錄取過(guò)程驗(yàn)證。選取部分關(guān)鍵崗位人員名單并調(diào)閱其錄取過(guò)程的文檔，驗(yàn)證錄取前是否查驗(yàn)了以下內(nèi)容：（a）申請(qǐng)人的履歷；（b）相關(guān)學(xué)歷、資質(zhì)；（c）身份證件；（d）其他細(xì)節(jié)，例如信用卡記錄或犯罪記錄;（2）錄取條件驗(yàn)證。調(diào)閱商業(yè)銀行與錄取員工簽署的錄用合同，驗(yàn)證是否包括以下內(nèi)容：（a）是否簽署保密協(xié)議；（b）員工需遵守的法律職責(zé)，例如知識(shí)產(chǎn)權(quán)保護(hù)等；（c）與員工有關(guān)的信息保護(hù)與資產(chǎn)管理職責(zé)；（d）員工違規(guī)所要承受的懲罰；（3）管理職責(zé)驗(yàn)證。調(diào)閱銀行機(jī)構(gòu)有關(guān)安全管理的文件，驗(yàn)證其是否明確定義定義了員工的信息安全責(zé)任，并確保員工了解；（4）信息安全培訓(xùn)驗(yàn)證。調(diào)閱商業(yè)銀行對(duì)員工所進(jìn)行的有關(guān)安全的培訓(xùn)，驗(yàn)證商業(yè)銀行是否定期就本單位信息安全方針、制度等內(nèi)容對(duì)員工進(jìn)行培訓(xùn)，并通過(guò)查閱培訓(xùn)記錄確認(rèn)員工均參加了培訓(xùn)；（5）懲戒過(guò)程驗(yàn)證。調(diào)閱商業(yè)銀行有關(guān)安全管理的文件，驗(yàn)證其是否就員工違規(guī)行為的后果作出規(guī)定，并通過(guò)訪談、查看記錄等多種方式驗(yàn)證相關(guān)懲戒制度是否得到執(zhí)行；（6）驗(yàn)證是否及時(shí)撤銷訪問(wèn)權(quán)限。調(diào)閱商業(yè)銀行相關(guān)制度，驗(yàn)證是否明確了員工離職、調(diào)離、崗位變換等情況下應(yīng)執(zhí)行的相關(guān)操作程序。調(diào)閱部分離職人員名單并抽查部分業(yè)務(wù)系統(tǒng)，驗(yàn)證相關(guān)人員的訪問(wèn)權(quán)限已得到及時(shí)刪除、更改；驗(yàn)證是否及時(shí)歸還信息資產(chǎn)。調(diào)閱商業(yè)銀行相關(guān)制度，驗(yàn)證是否就員工離職、調(diào)離、崗位變換等情況所應(yīng)歸還的信息資產(chǎn)做出明確定義。調(diào)閱部分離職人員名單及相關(guān)離職手續(xù)，驗(yàn)證相關(guān)人員的信息資產(chǎn)已得到及時(shí)歸還。6.2訪問(wèn)控制策略商業(yè)銀行應(yīng)加強(qiáng)對(duì)物理設(shè)施、數(shù)據(jù)、信息系統(tǒng)以及業(yè)務(wù)過(guò)程的訪問(wèn)控制管理。檢查項(xiàng)1：物理訪問(wèn)控制策略基本要求：商業(yè)銀行應(yīng)將關(guān)鍵或敏感的信息處理設(shè)施放置在安全區(qū)域內(nèi)，并受到安全邊界的保護(hù)，安全邊界應(yīng)包括入口控制，以避免未授權(quán)訪問(wèn)、損壞和干擾，商業(yè)銀行應(yīng)該根據(jù)物理安全區(qū)域的重要性進(jìn)行分級(jí)管理，按照重要性的風(fēng)險(xiǎn)程度提供相當(dāng)?shù)谋Ｗo(hù)。檢查方法、步驟：（1）調(diào)閱其物理（例如機(jī)房）訪問(wèn)控制策略，驗(yàn)證其是否包括以下方面：（a）訪問(wèn)控制權(quán)限定義，對(duì)禁止在物理安全區(qū)域內(nèi)開(kāi)展的活動(dòng)進(jìn)行限定；（b）訪問(wèn)控制授權(quán)過(guò)程；（c）訪問(wèn)記錄；（d）控制策略定期更新規(guī)定；（2）抽查部分訪問(wèn)控制登記薄，驗(yàn)證以下信息：（a）是否記錄訪問(wèn)者進(jìn)入和離開(kāi)的日期、時(shí)間和事由，所有的訪問(wèn)者應(yīng)予以監(jiān)督，訪問(wèn)者只能訪問(wèn)特定的、已授權(quán)的目標(biāo)，并應(yīng)向其宣布關(guān)于該區(qū)域的安全要求和應(yīng)急程序說(shuō)明；（b）通過(guò)觀察或調(diào)閱錄像，驗(yàn)證所有訪問(wèn)者是否都佩戴某種形式的可視標(biāo)識(shí)；（c）驗(yàn)證第三方支持人員是否只有在需要時(shí)才能有限制的訪問(wèn)安全區(qū)域或敏感信息處理設(shè)施，這種訪問(wèn)是否被授權(quán)并全程監(jiān)督；（d）調(diào)閱訪問(wèn)權(quán)限修改記錄，驗(yàn)證是否定期審閱權(quán)限的變化；（e）選取部分離職人員名單，驗(yàn)證是否依然存在于已授權(quán)人員名單內(nèi)；（f）隨機(jī)調(diào)取進(jìn)出錄像，驗(yàn)證進(jìn)出人員是否在登記簿中進(jìn)行過(guò)登記；（3）驗(yàn)證是否有門禁系統(tǒng)，不同區(qū)域間是否通過(guò)門禁分割，門禁是否有記錄，對(duì)電子門禁卡的授權(quán)、發(fā)放和注銷是否有明確規(guī)定。檢查項(xiàng)2：邏輯訪問(wèn)控制策略基本要求：商業(yè)銀行的訪問(wèn)控制策略應(yīng)清晰的描述每個(gè)用戶或一組用戶的訪問(wèn)控制規(guī)則和權(quán)力，需要對(duì)訪問(wèn)控制策略有清晰的描述并告知其使用者。檢查方法、步驟：（1）調(diào)閱其信息系統(tǒng)訪問(wèn)控制策略，驗(yàn)證其是否包括以下方面：（a）各個(gè)業(yè)務(wù)系統(tǒng)的安全要求；（b）數(shù)據(jù)的分類與授權(quán)策略；（c）不同系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)控制策略與數(shù)據(jù)分類策略的一致性；（d）訪問(wèn)控制角色的分離，例如訪問(wèn)請(qǐng)求、訪問(wèn)授權(quán)、訪問(wèn)管理；（e）訪問(wèn)要求的正式授權(quán)要求；（f）訪問(wèn)控制的周期性評(píng)審要求；（g）訪問(wèn)權(quán)力的取消；（2）驗(yàn)證商業(yè)銀行訪問(wèn)控制策略是否考慮了以下方面：（a）是否區(qū)分了必須強(qiáng)制執(zhí)行的規(guī)則和有條件執(zhí)行的規(guī)則；（b）是否建立在“未經(jīng)允許，一律禁止”的基礎(chǔ)之上，而不是“未經(jīng)禁止，一切允許”。檢查項(xiàng)3：賬號(hào)及權(quán)限管理基本要求：商業(yè)銀行的業(yè)務(wù)系統(tǒng)應(yīng)保證只有經(jīng)授權(quán)的用戶才能訪問(wèn)，防止非授權(quán)訪問(wèn)。應(yīng)建立正式的程序來(lái)控制對(duì)信息系統(tǒng)和服務(wù)的訪問(wèn)權(quán)限的分配，這些程序應(yīng)涵蓋用戶生存周期的各個(gè)階段（從新用戶注冊(cè)到用戶注銷，例如賬號(hào)申請(qǐng)流程、賬號(hào)注冊(cè)流程、賬號(hào)變更流程、賬號(hào)注銷流程），應(yīng)特別注意對(duì)特權(quán)用戶的分配。檢查方法、步驟：（1）抽查商業(yè)銀行部分重要應(yīng)用系統(tǒng)，通過(guò)調(diào)閱用戶清單和實(shí)際員工名單，核實(shí)以下問(wèn)題：（a）用戶是否使用唯一ID；（b）檢查用戶所擁有的權(quán)力是否與其工作職責(zé)相適應(yīng)；（c）是否有用戶授權(quán)的書(shū)面文件；（d）離職或職位變更的用戶是否立即在信息系統(tǒng)中對(duì)權(quán)限進(jìn)行調(diào)整；（e）是否周期性檢驗(yàn)系統(tǒng)中的多余ID；（f）確保不發(fā)放多余的ID;（2）核實(shí)其特權(quán)用戶的管理。（a）通過(guò)訪談了解每個(gè)系統(tǒng)所必須賦予的特權(quán)用戶；（b）是否存在分配特權(quán)用戶的授權(quán)過(guò)程及其記錄；（c）驗(yàn)證銀行應(yīng)用程序是否必須要特權(quán)用戶才能運(yùn)行；（d）特權(quán)用戶應(yīng)避免分配給業(yè)務(wù)人員;（3）驗(yàn)證其口令管理。（a）是否制定有內(nèi)部口令管理規(guī)定，保證口令有一定強(qiáng)度及不易破解；（b）是否以安全方式將初始口令給予用戶，避免用于第三方或不受保護(hù)（明文）電子郵件中；（c）口令不能以不受保護(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)；（d）用戶是否迅速改變默認(rèn)口令;（4）用戶訪問(wèn)權(quán)限的評(píng)審。（a）是否定期（不能超過(guò)半年）和在任何變更之后（提升、降級(jí)、終止工作），對(duì)用戶訪問(wèn)權(quán)限進(jìn)行評(píng)審；（b）用戶的工作崗位發(fā)生變化，應(yīng)重新評(píng)審和分配用戶的訪問(wèn)權(quán)限；（c）以更加頻繁的時(shí)間間隔評(píng)審特權(quán)用戶的授權(quán)；（d）特權(quán)賬戶的變更應(yīng)在周期性評(píng)審時(shí)記入日志。檢查項(xiàng)4：用戶責(zé)任及終端管理基本要求：商業(yè)銀行應(yīng)加強(qiáng)對(duì)職工的安全培訓(xùn)，使其充分意識(shí)到自身所承擔(dān)的信息安全責(zé)任，加強(qiáng)安全意識(shí)，特別是關(guān)于口令的使用和設(shè)備安全的職責(zé)。遠(yuǎn)程接入用戶應(yīng)當(dāng)加強(qiáng)對(duì)客戶端的安全防護(hù)，防止未授權(quán)用戶非法使用客戶端進(jìn)行遠(yuǎn)程接入。檢查方法、步驟：（1）驗(yàn)證最終用戶口令的使用。抽取部分用戶，驗(yàn)證其密碼是否存在以下現(xiàn)象:（a）是否使用保密口令；（b）是否未經(jīng)批準(zhǔn)保存了口令副本；（c）是否在有跡象表明口令可能受到損害時(shí)變更口令；（d）口令是否具有一定的復(fù)雜性（不能基于別人易于猜出的信息、不容易遭到字典攻擊、避免連續(xù)相同的字符或全數(shù)字、全字母）；（e）系統(tǒng)是否能提醒并強(qiáng)制性要求用戶定期或以訪問(wèn)次數(shù)為基礎(chǔ)變更口令（特權(quán)用戶應(yīng)比常規(guī)口令更頻繁的進(jìn)行更改），并且避免重新使用舊口令或周期性使用舊口令；（f）是否在初次登錄時(shí)更改臨時(shí)口令；（g）是否在任何自動(dòng)登錄過(guò)程中（例如以宏或功能鍵）包含口令；（h）是否存在個(gè)人用戶共享口令現(xiàn)象；（i）是否在不同業(yè)務(wù)系統(tǒng)中使用相同口令;（j）登錄帳號(hào)若一段時(shí)間不使用，系統(tǒng)是否能自動(dòng)鎖定帳號(hào)；（k）系統(tǒng)是否對(duì)密碼反復(fù)嘗試錯(cuò)誤的次數(shù)進(jìn)行了限制；（2）驗(yàn)證無(wú)人值守設(shè)備的保護(hù)情況。（a）用戶離開(kāi)時(shí)，是否終止有效會(huì)話，或利用一種合適的鎖定機(jī)制保障安全（例如有口令的屏保程序）；（b）當(dāng)不使用設(shè)備時(shí)，利用帶鑰匙的鎖或等價(jià)措施來(lái)保護(hù)PC或終端不被未授權(quán)使用;（3）桌面和屏幕清空策略。（a）當(dāng)無(wú)人值守時(shí)，計(jì)算機(jī)和終端用戶應(yīng)注銷或使用口令、令牌或類似的用戶認(rèn)證機(jī)制對(duì)屏幕和鍵盤進(jìn)行保護(hù)；（b）應(yīng)防止復(fù)印機(jī)、掃描儀、數(shù)字相機(jī)的未授權(quán)使用；（c）包含敏感或分類信息的文件應(yīng)立即從打印機(jī)中清除。檢查項(xiàng)5：遠(yuǎn)程接入的控制基本要求：商業(yè)銀行應(yīng)加強(qiáng)對(duì)遠(yuǎn)程接入的管理，只有在安全和控制措施到位并符合組織安全策略原則的情況下，才能授權(quán)遠(yuǎn)程工作活動(dòng)。遠(yuǎn)程工作場(chǎng)地應(yīng)防止設(shè)備和信息被盜、未授權(quán)泄露信息、遠(yuǎn)程訪問(wèn)濫用。遠(yuǎn)程工作應(yīng)由管理層授權(quán)和控制。檢查方法、步驟：調(diào)閱相關(guān)遠(yuǎn)程訪問(wèn)管理制度和相關(guān)訪問(wèn)記錄，驗(yàn)證以下內(nèi)容:（1）通信是否安全，是否遠(yuǎn)程訪問(wèn)了內(nèi)部敏感信息；（2）遠(yuǎn)程訪問(wèn)人員的家人、朋友是否有可能未授權(quán)訪問(wèn)信息資源；（3）遠(yuǎn)程訪問(wèn)的網(wǎng)絡(luò)環(huán)境是否使用無(wú)線網(wǎng)絡(luò)；（4）訪問(wèn)過(guò)程中是否有防病毒軟件和防火墻保護(hù)；（5）遠(yuǎn)程訪問(wèn)是否每次都有相應(yīng)的授權(quán)記錄；（6）遠(yuǎn)程訪問(wèn)是否保存有用于事后審計(jì)的日志資料；（7）當(dāng)遠(yuǎn)程工作活動(dòng)停止時(shí)，是否及時(shí)撤銷授權(quán)；（8）是否對(duì)客戶端連接服務(wù)進(jìn)行訪問(wèn)時(shí)間段限制；（9）客戶端在登錄前是否顯示警告信息，描述未授權(quán)的訪問(wèn)可能導(dǎo)致的后果。6.3日志管理商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)的要求。檢查項(xiàng)1：審計(jì)日志檢查基本要求：商業(yè)銀行應(yīng)記錄用戶活動(dòng)以及信息安全事件日志，并按照約定的期限進(jìn)行保留，以支持將來(lái)的調(diào)查和訪問(wèn)控制審查。檢查方法、步驟：調(diào)閱商業(yè)銀行相關(guān)審計(jì)及交易日志，驗(yàn)證其是否包含以下內(nèi)容:（1）用戶ID；（2）日期、時(shí)間和關(guān)鍵事件的細(xì)節(jié)，例如登錄和退出；（3）終端用戶身份或位置；（4）成功和被拒絕的對(duì)系統(tǒng)的訪問(wèn)記錄；（5）成功和被拒絕的對(duì)數(shù)據(jù)以及其他資源的訪問(wèn)記錄；（6）系統(tǒng)配置的變化；（7）特權(quán)的使用；（8）系統(tǒng)工具和應(yīng)用的使用；（9）訪問(wèn)的文件和訪問(wèn)類型；（10）網(wǎng)絡(luò)地址和協(xié)議；（11）訪問(wèn)控制系統(tǒng)引發(fā)的報(bào)警；（12）防護(hù)系統(tǒng)的激活和停用，例如防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)。檢查項(xiàng)2：日志信息的保護(hù)基本要求：商業(yè)銀行應(yīng)保護(hù)日志設(shè)施和日志信息免受破壞和未授權(quán)的訪問(wèn)，以確保日志的可恢復(fù)。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行日志信息，驗(yàn)證是否存在以下情況:（a）日志信息被編輯或刪除；（b）日志保存介質(zhì)耗盡，或者不能記錄事件以及自身覆蓋重寫(xiě)。（2）調(diào)閱商業(yè)銀行日志恢復(fù)記錄，檢查日志是否能夠順利恢復(fù)，對(duì)于不能恢復(fù)的情況，是否進(jìn)行了必要的跟進(jìn)。檢查項(xiàng)3：操作日志的檢查基本要求：商業(yè)銀行應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)。系統(tǒng)管理員和操作員日志須定期評(píng)審。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行日志信息，驗(yàn)證是否存在以下信息:（a）事件（成功的或失敗的）發(fā)生的時(shí)間；（b）關(guān)于事件（例如處理的文件）或故障（發(fā)生的差錯(cuò)和采取的糾正措施）的信息；（c）涉及的賬號(hào)和管理員或操作員；（d）涉及的過(guò)程;（2）調(diào)閱日志審查記錄，核實(shí)相關(guān)日志是否被定期評(píng)審。檢查項(xiàng)4：錯(cuò)誤日志的檢查基本要求：商業(yè)銀行應(yīng)記錄并分析錯(cuò)誤日志，并采取適當(dāng)?shù)拇胧?。檢查方法、步驟：調(diào)閱商業(yè)銀行錯(cuò)誤日志，驗(yàn)證是否完整的記錄信息處理、應(yīng)用系統(tǒng)以及通信系統(tǒng)的問(wèn)題，對(duì)于所記錄的故障應(yīng)有明確的處理。主要包括:（1）評(píng)審故障日志，確保已滿意地解決故障；（2）評(píng)審糾正措施，以確?？刂莆幢粨p害，并對(duì)所采取的動(dòng)作予以充分授權(quán)；（3）日志的分析應(yīng)由能夠勝任的職員進(jìn)行。6.4系統(tǒng)監(jiān)控商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控基礎(chǔ)環(huán)境、信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)行識(shí)別和修正。檢查項(xiàng)1：基礎(chǔ)環(huán)境監(jiān)控基本要求：商業(yè)銀行應(yīng)建立IT基礎(chǔ)環(huán)境（如溫濕度、消防、防水、空調(diào)、電力）監(jiān)控機(jī)制，加強(qiáng)日常巡檢，確保記錄清晰、分析及時(shí)，能夠及時(shí)發(fā)現(xiàn)基礎(chǔ)環(huán)境出現(xiàn)的問(wèn)題并采取及時(shí)、適當(dāng)措施進(jìn)行處置。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行基礎(chǔ)環(huán)境監(jiān)控相關(guān)制度，驗(yàn)證商業(yè)銀行是否建立了相關(guān)制度，相關(guān)制度是否明確規(guī)定了基礎(chǔ)環(huán)境監(jiān)測(cè)相關(guān)內(nèi)容;（2）調(diào)閱商業(yè)銀行日常巡檢登記簿，驗(yàn)證商業(yè)銀行是否按照相關(guān)制度嚴(yán)格進(jìn)行監(jiān)控、登記簿登記內(nèi)容是否完整;（3）調(diào)閱商業(yè)銀行故障記錄，并對(duì)比日常巡查登記簿，驗(yàn)證該行是否能夠及時(shí)發(fā)現(xiàn)基礎(chǔ)環(huán)境中出現(xiàn)的問(wèn)題；（4）通過(guò)實(shí)地查看，檢查商業(yè)銀行IT基礎(chǔ)環(huán)境是否滿足要求。檢查項(xiàng)2：系統(tǒng)性能監(jiān)控基本要求：商業(yè)銀行應(yīng)建立系統(tǒng)性能（如網(wǎng)絡(luò)、主機(jī)等）監(jiān)控機(jī)制，通過(guò)人工與自動(dòng)化監(jiān)控系統(tǒng)相結(jié)合方式加強(qiáng)日常巡檢，確保記錄清晰、分析及時(shí)，能夠及時(shí)發(fā)現(xiàn)系統(tǒng)性能出現(xiàn)的問(wèn)題并采取適當(dāng)處置措施。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行系統(tǒng)性能監(jiān)控相關(guān)制度，驗(yàn)證商業(yè)銀行是否建立了相關(guān)制度，相關(guān)制度是否明確規(guī)定了系統(tǒng)性能監(jiān)測(cè)相關(guān)內(nèi)容;（2）調(diào)閱商業(yè)銀行日常巡檢登記簿，驗(yàn)證商業(yè)銀行是否按照相關(guān)制度嚴(yán)格進(jìn)行監(jiān)控、登記簿登記是否完整;（3）實(shí)地查看監(jiān)控系統(tǒng)，驗(yàn)證其監(jiān)測(cè)內(nèi)容是否完善，監(jiān)控指標(biāo)能否完整反映線路質(zhì)量、通信設(shè)備的處理能力和網(wǎng)絡(luò)服務(wù)質(zhì)量，如誤碼率、主機(jī)的CPU、內(nèi)存、端口的使用率、吞吐量、傳輸和時(shí)延、響應(yīng)時(shí)間等指標(biāo)；（4）通過(guò)查詢商業(yè)銀行系統(tǒng)故障記錄驗(yàn)證監(jiān)控的有效性。商業(yè)銀行應(yīng)當(dāng)能夠在監(jiān)測(cè)到性能異常時(shí)及時(shí)產(chǎn)生告警，及時(shí)確定當(dāng)前系統(tǒng)中哪些部件的性能正在下降或已經(jīng)降低，哪些部件在滿負(fù)荷或超負(fù)荷運(yùn)行;（5）參照事件管理處置流程，驗(yàn)證商業(yè)銀行在監(jiān)測(cè)到系統(tǒng)性能異常后能否及時(shí)處置。檢查項(xiàng)3：系統(tǒng)運(yùn)行監(jiān)控基本要求：商業(yè)銀行應(yīng)建立應(yīng)用系統(tǒng)運(yùn)行狀況（如交易系統(tǒng)、渠道系統(tǒng)等）監(jiān)控機(jī)制，通過(guò)人工與自動(dòng)化監(jiān)控系統(tǒng)相結(jié)合方式加強(qiáng)日常巡檢，確保記錄清晰、分析及時(shí)，能夠及時(shí)發(fā)現(xiàn)系統(tǒng)性能出現(xiàn)的問(wèn)題并采取適當(dāng)措施進(jìn)行處置，確保對(duì)業(yè)務(wù)的影響降低到最小。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行應(yīng)用系統(tǒng)監(jiān)控相關(guān)制度，驗(yàn)證商業(yè)銀行是否建立了相關(guān)制度，相關(guān)制度是否明確定義了應(yīng)用系統(tǒng)監(jiān)測(cè)內(nèi)容;（2）調(diào)閱商業(yè)銀行日常巡檢登記簿，驗(yàn)證商業(yè)銀行是否按照相關(guān)制度嚴(yán)格進(jìn)行監(jiān)控、登記簿登記是否完整;（3）實(shí)地查看監(jiān)控系統(tǒng)，驗(yàn)證其監(jiān)測(cè)內(nèi)容是否完善。監(jiān)控指標(biāo)能否完整反映系統(tǒng)運(yùn)行狀態(tài)、并發(fā)用戶數(shù)量、異常交易等;（4）實(shí)地查看數(shù)據(jù)中心網(wǎng)管工作站、系統(tǒng)性能監(jiān)視屏、系統(tǒng)資源監(jiān)視屏、會(huì)話連接監(jiān)視屏、應(yīng)用錯(cuò)誤監(jiān)視屏是否有專人負(fù)責(zé)監(jiān)控;（5）通過(guò)查詢商業(yè)銀行系統(tǒng)故障記錄驗(yàn)證監(jiān)控的有效性。商業(yè)銀行應(yīng)當(dāng)能夠在監(jiān)測(cè)到應(yīng)用中斷等異常時(shí)及時(shí)產(chǎn)生告警;（6）參照事件管理處置流程，驗(yàn)證商業(yè)銀行在監(jiān)測(cè)到應(yīng)用異常后能否及時(shí)處置。檢查項(xiàng)4：測(cè)評(píng)體系基本要求：（1）商業(yè)銀行應(yīng)制定主機(jī)設(shè)備維護(hù)指標(biāo)考評(píng)體系，指標(biāo)考評(píng)體系應(yīng)當(dāng)至少包括以下內(nèi)容:（a）主機(jī)設(shè)備的平均無(wú)故障運(yùn)行時(shí)間；（b）主機(jī)設(shè)備的故障修復(fù)時(shí)間；（c）主機(jī)設(shè)備的故障恢復(fù)時(shí)間；（d）主機(jī)設(shè)備的故障發(fā)生率（次數(shù)和頻度）；（e）對(duì)設(shè)備發(fā)生故障的類型統(tǒng)計(jì)；（f）評(píng)估主機(jī)設(shè)備故障對(duì)業(yè)務(wù)連續(xù)性的影響；（g）主機(jī)設(shè)備廠商的技術(shù)支持提供能力;（2）商業(yè)銀行應(yīng)當(dāng)指定人員負(fù)責(zé)監(jiān)督和執(zhí)行該考評(píng)體系；（3）考評(píng)的結(jié)果應(yīng)當(dāng)至少反映到對(duì)主機(jī)設(shè)備供應(yīng)商的選擇。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行相關(guān)文檔，驗(yàn)證是否建立了針對(duì)系統(tǒng)運(yùn)行的測(cè)評(píng)體系;（2）調(diào)閱該行測(cè)評(píng)文檔，驗(yàn)證測(cè)評(píng)內(nèi)容是否覆蓋到上述基本要求的內(nèi)容;（3）通過(guò)訪談及文檔查閱，驗(yàn)證針對(duì)測(cè)評(píng)指標(biāo)不達(dá)標(biāo)的方面是否進(jìn)行了及時(shí)處置;（4）驗(yàn)證是否指定人員負(fù)責(zé)系統(tǒng)測(cè)評(píng)考核工作。6.5事件管理事件(Event)可被定義為任何可察覺(jué)和可識(shí)別的、對(duì)IT基礎(chǔ)設(shè)施管理或者IT正常服務(wù)造成影響的現(xiàn)象。事件管理的目標(biāo)是在最短的時(shí)間內(nèi)，在盡可能小地影響業(yè)務(wù)服務(wù)的情況下，盡快恢復(fù)信息系統(tǒng)正常服務(wù)，并記錄事件及處理過(guò)程。檢查項(xiàng)1：事件報(bào)告流程基本要求：商業(yè)銀行應(yīng)建立信息系統(tǒng)事件報(bào)告、應(yīng)答和分類機(jī)制，在接到事件報(bào)告后立即采取措施，并按照相關(guān)制度及時(shí)通知相關(guān)方。檢查方法、步驟：調(diào)閱商業(yè)銀行有關(guān)事件的管理制度，查看歷史事件處置記錄，驗(yàn)證是否實(shí)現(xiàn)以下要求:（1）事件發(fā)生后采取正確的行為：（a）立即記錄下所有重要細(xì)節(jié)（如沖突類型、發(fā)生的故障、屏幕上的信息、異常行為等）；（b）自身不要采取任何行動(dòng)，立即依照商業(yè)銀行事件處理流程向相關(guān)聯(lián)系人報(bào)告；（c）如符合重大事件管理規(guī)定等文件規(guī)定的情況，立即向銀監(jiān)會(huì)等機(jī)構(gòu)進(jìn)行報(bào)告；（2）事件的報(bào)告清楚、完整的記錄下事件中的所有行為；（3）采取合適的反饋機(jī)制，以確保在事件處理完成后，能夠?qū)⑻幚斫Y(jié)果通知事件報(bào)告方及相關(guān)方。檢查項(xiàng)2：事件管理和改進(jìn)基本要求：商業(yè)銀行接到信息系統(tǒng)事件的報(bào)告后，應(yīng)立即明確責(zé)任，按照規(guī)程進(jìn)行有效處理，并制定一個(gè)連續(xù)的改進(jìn)過(guò)程對(duì)事件進(jìn)行響應(yīng)、監(jiān)視、評(píng)估和總體管理。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行相關(guān)事件管理規(guī)定及流程，驗(yàn)證是否建立了合適的機(jī)制以處理不同類型的信息系統(tǒng)突發(fā)事件。包括：（a）信息系統(tǒng)服務(wù)中斷；（b）惡意代碼；（c）拒絕服務(wù)攻擊；（d）不完善或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)導(dǎo)致的錯(cuò)誤；（e）違背保密性和完整性的行為；（2）驗(yàn)證相關(guān)規(guī)定和流程是否還包括以下方面：（a）事件原因的分析和確認(rèn)；（b）遏制事件再次發(fā)生的策略；（c）向銀監(jiān)會(huì)等政府機(jī)關(guān)報(bào)告發(fā)生的行為；（3）調(diào)閱商業(yè)銀行歷史事件處置記錄，驗(yàn)證是否收集、保護(hù)審計(jì)蹤跡和類似的證據(jù)以應(yīng)用于：（a）內(nèi)部問(wèn)題分析；（b）用作將來(lái)的司法證據(jù)；（c）同軟件和服務(wù)供應(yīng)商談判賠償時(shí)使用；（4）調(diào)閱信息系統(tǒng)安全事件報(bào)告制度和處理流程規(guī)定，查看是否對(duì)信息安全管理部門和信息技術(shù)人員進(jìn)行過(guò)職責(zé)劃分，職責(zé)劃分是否清晰；（5）與信息安全管理人員座談，了解是否進(jìn)行過(guò)信息系統(tǒng)安全事件應(yīng)急響應(yīng)流程演練，是否知曉演練內(nèi)容和要求；（6）調(diào)閱信息系統(tǒng)安全事件報(bào)告制度和處理流程規(guī)定，查看演練內(nèi)容、流程和頻度是否符合信息安全制度的要求；（7）審計(jì)部門是否對(duì)信息系統(tǒng)安全事件響應(yīng)演練進(jìn)行過(guò)審計(jì)評(píng)估。信息安全管理部門是否根據(jù)審計(jì)結(jié)果進(jìn)行過(guò)整改。檢查項(xiàng)3：服務(wù)臺(tái)管理基本要求：商業(yè)銀行應(yīng)當(dāng)建立信息技術(shù)服務(wù)臺(tái)，為行內(nèi)用戶提供所有技術(shù)相關(guān)問(wèn)題的在線支持，并將問(wèn)題提交給相關(guān)信息技術(shù)職能部門進(jìn)行調(diào)查核實(shí)解決。接到事件報(bào)告后，服務(wù)臺(tái)應(yīng)對(duì)事件進(jìn)行響應(yīng)、過(guò)濾、記錄、合理分類，對(duì)服務(wù)臺(tái)能夠處理的事件進(jìn)行及時(shí)處置，將其他事件及時(shí)分發(fā)給后臺(tái)技術(shù)支持部門。檢查方法、步驟：（1）調(diào)閱相關(guān)文檔并詢問(wèn)相關(guān)人員，驗(yàn)證商業(yè)銀行是否建立了服務(wù)臺(tái)及管理制度；（2）調(diào)閱服務(wù)臺(tái)管理制度并詢問(wèn)工作臺(tái)工作人員，驗(yàn)證該服務(wù)臺(tái)是否為該行IT部門提供的唯一事件受理渠道；（3）調(diào)閱服務(wù)臺(tái)事件登記記錄，驗(yàn)證該服務(wù)臺(tái)是否對(duì)所受理的所有事件均進(jìn)行了詳細(xì)記錄（事件發(fā)生時(shí)間、報(bào)告人、事件描述、處理記錄等）；（4）根據(jù)抽樣規(guī)則選取部分事件記錄，通過(guò)訪談事件報(bào)告人和最終處理人驗(yàn)證服務(wù)臺(tái)受理是否及時(shí)、任務(wù)分發(fā)是否及時(shí)合理。6.6問(wèn)題管理商業(yè)銀行應(yīng)加強(qiáng)對(duì)事件的管理，定期組織人員對(duì)事件進(jìn)行評(píng)估、分析，對(duì)有共源性的事件升級(jí)到問(wèn)題管理流程。商業(yè)銀行應(yīng)建立問(wèn)題管理臺(tái)帳，以確保全面地追蹤、分析和解決信息系統(tǒng)問(wèn)題，及時(shí)組織相關(guān)人員分析問(wèn)題發(fā)生的根源，從根本上消除問(wèn)題。檢查項(xiàng)1：事件分析和問(wèn)題生成基本要求：商業(yè)銀行應(yīng)定期對(duì)信息系統(tǒng)事件進(jìn)行分類、評(píng)估、分析，制定事件管理升級(jí)為問(wèn)題管理的規(guī)章制度，對(duì)有共源性的事件及時(shí)升級(jí)到問(wèn)題管理流程。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行相關(guān)文檔，驗(yàn)證該行是否制定了完善的事件管理升級(jí)為問(wèn)題管理的標(biāo)準(zhǔn)；（2）調(diào)閱商業(yè)銀行事件管理登記表及詳細(xì)記錄，驗(yàn)證該行是否能夠按照相關(guān)規(guī)定及時(shí)將事件管理升級(jí)為問(wèn)題管理流程。檢查項(xiàng)2：臺(tái)賬管理基本要求：商業(yè)銀行應(yīng)制定完善的問(wèn)題管理制度，并建立問(wèn)題管理臺(tái)賬，對(duì)問(wèn)題的整個(gè)生命周期進(jìn)行管理。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行相關(guān)文檔，驗(yàn)證該行是否制定了完善的問(wèn)題管理制度；（2）調(diào)閱商業(yè)銀行問(wèn)題管理記錄，驗(yàn)證該行是否建立了問(wèn)題管理臺(tái)賬，臺(tái)賬是否記錄了問(wèn)題處理的全過(guò)程。檢查項(xiàng)3：?jiǎn)栴}處置基本要求：對(duì)信息系統(tǒng)問(wèn)題，商業(yè)銀行及時(shí)組織相關(guān)人員分析問(wèn)題發(fā)生的根源，從根本上消除問(wèn)題。檢查方法、步驟：（1）約談商業(yè)銀行事件管理人員，了解該行是否能夠及時(shí)對(duì)信息事件進(jìn)行分析、評(píng)估；（2）根據(jù)抽樣規(guī)則抽取部分檢查人員認(rèn)為應(yīng)當(dāng)升級(jí)為問(wèn)題管理流程的事件，驗(yàn)證該行是否及時(shí)將事件升級(jí)為問(wèn)題管理；（3）查證事件管理記錄，驗(yàn)證升級(jí)為問(wèn)題管理流程并經(jīng)過(guò)處置的信息事件是否再次發(fā)生，從而證明問(wèn)題解決的有效性。6.7容量管理商業(yè)銀行應(yīng)通過(guò)預(yù)先的規(guī)劃和準(zhǔn)備，確保提供足夠的容量和資源可用性以保證業(yè)務(wù)系統(tǒng)持續(xù)運(yùn)行。對(duì)于每一個(gè)新的和正在進(jìn)行的活動(dòng)來(lái)說(shuō)，應(yīng)識(shí)別容量需求，應(yīng)對(duì)系統(tǒng)進(jìn)行監(jiān)視以確保必要時(shí)調(diào)整系統(tǒng)容量，確保系統(tǒng)的可用性和效率。未來(lái)容量的需求應(yīng)綜合考慮新業(yè)務(wù)對(duì)系統(tǒng)的要求、當(dāng)前狀況和未來(lái)趨勢(shì)。檢查項(xiàng)1：容量規(guī)劃基本