商业银行分支机构信息科技风险快速巡查单.docVIP

商业银行分支机构信息科技风险 快速巡查单 一、基本信息 巡查承担机构： 山东银监局信息科技监管处 被巡查机构： 中国农业发展银行山东省分行 巡查目的： 巡查负责人： 房世晖 巡查员： 王丽颖 巡查日期： 2013年4月22日 二、巡查方法 现场巡查以访谈、实地查看为主，抽样查阅资料、安全测试为辅，其中抽样规则原则上定义为： 1.文档或记录类型的资料，如会议记录、演练记录等，抽样数以近三个月巡查项总数的5％为抽样基准，也可根据访谈情况做出判定；如出现小数点，以四舍五入取整数；如果计算出的抽样数小于2，则至少取2个样例，如抽样数大于5，则取5个样例； 2.设备类、系统类原则上抽样5台（套），同时注意样本分布结构； 3.如需对网点进行巡查，网点的巡查数量控制在3家之内，随机抽取。 三、巡查内容： 第一部分：组织架构 1. 信息科技风险“三道防线”是否完整？ 风险控制部负责整体信息科技风险: ■是 □否 科技部负责信息科技工作日常防范: ■是 □否 审计部承担信息科技审计职能: ■是 □否 备 注（事实依据）： 巡查方法：访谈 需关注的问题（根据需要填写）: 风险管理部制定了信息科技风险管理职责，但未制定相应的信息科技风险管理策略、制度、操作流程，也未配备具有相应资质的人员。 2. 高管层在信息科技工作中履职是否到位？ 有主管科技工作的行级领导: ■有 □无 高管层对监管部门的监管制度较为了解: ■是 □否 进行信息科技重大投入决策: ■是 □否 审阅信息科技年度工作报告和工作计划： ■是 □否 审阅信息科技风险评估报告并组织制定风险控制策略： □是 ■否 审阅信息科技审计报告并督促整改： ■是 □否 备 注（事实依据）： 巡查方法：访谈和抽样 需关注的问题（根据需要填写）: 高管层未组织制定风险控制策略。 3. 是否建立完整的信息安全管理组织架构，并正常开展工作？ 设立信息安全岗位负责机构信息安全的日常管理工作： ■是 □否 定期开展信息安全管理开展工作并有相应的文档资料： ■是 □否 制定信息安全责任制度：　 ■有 □无 员工信息安全职责明确： ■是 □否 备 注（事实依据）： 巡查方法：访谈和抽样 需关注的问题（根据需要填写）: 4. 科技岗位设置是否符合规定？ 信息技术部科室、岗位设置按照总行要求进行： ■是 □否 项目维护人员有Ａ／Ｂ角设置： ■是 □否 关键业务操作（如：重要密码输入、重要参数修改等）采用双人进行：□是 ■否 信息科技运行与系统开发和维护分离： ■是 □否 备 注（事实依据）：信息科技处不承担涉及生产系统的开发。 巡查方法：访谈 需关注的问题（根据需要填写）: 1.信息科技处明确了岗位和职责，但由于人员较少，兼岗现象比较突出；重要岗位未制定详细完整的工作手册并适时更新。 2.各运维人员共用所维护系统的同一用户、密码，且全部使用超级用户，不能满足最小权限原则。 5. 是否进行人员安全管理？ 招聘新员工时，要求技术人员具备良好的职业道德，并掌握履行信息系统相关岗位职责所需的专业知识和技能： ■是 □否 技术人员未经岗前培训或培训不合格者不得上岗： ■是 □否 经考核不合格的技术人员，及时进行调整： ■是 □否 与重要岗位人员签订保密协议： ■是 □否 当技术人员调离重要岗位时按保密协议对其设置脱密期，并进行审查： ■是 □否 备 注（事实依据）： 巡查方法：访谈和抽样 需关注的问题（根据需要填写）: 6.制度落实情况如何？ 以适当的方式将监管部门和上级行的信息科技工作要求传达给所有员工：□是 ■否 根据监管部门和上级行的制度要求制订适合实际的操作流程和实施细则：□是 ■否 总行或分行对制度的落实情况定期进行检查,有详细的检查报告： ■是 □否 定期对技术人员进行信息安全教育培训