信息系统现场检查指南.pdfVIP

信息系统现场检查指南（架构） 为了规范和指导信息系统现场检查工作，提高信息系统现场检查的水平，确保信息系统 现场检查的质量，特制定本指南。 一、检查目的 （一）了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况， 以及从业人员有关业务、技术和安全培训情况，评价其信息科技管理组织水平； （二）了解和掌握银行业金融机构信息安全保障体系和内部控制规程，信息系统风险管 理岗位责任制度和监督落实情况，评价其计算机安全管理水平； （三）了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况，关 注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节，评价其管理水 平； （四）了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况， 促进银行业金融机构完善内控环境，控制和化解操作风险； （五）了解和掌握银行业．金融机构信息系统在业务持续性计划方面制度建设和执行情 况，促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。 二、检查要点 （一）检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善 性和有效性，评估信息科技规划和管理的水平，了解信息科技人才管理机制，分析业务、技 术和安全培训工作的及时性和有效性，确保合理及时地防范和控制信息系统组织、规划风险。 （二）检查信息安全管理的流程情况，分析相关系统用户管理制度、密码管理制度及网 络安全制度，测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性，评估被检查 银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。 （三）检查分析软件及项目开发管理制度，了解信息科技部门档案管理流程，审阅外包 项目涉及的软件质量验收标准，检查银行业金融机构信息系统风险管理效率及水平，评估系 统开发的流程、质量及安全的管理情况。 （四）检查信息系统运行和操作管理情况，检查系统监控层面的处理流程及各类系统参 数、生产环境变更的受控方式，评估系统运行和操作管理的风险状况，促进运行操作管理的 科学化、制度化和规范化，确保信息系统安全可靠的运行。 (五)检查业务持续性规划的制定情况，分析其是否明确定义了管理层关于维护信息系统 可用性及更新相关业务持续性计划的责任和义务，并制定了合适的负责人员。评估建设及实 施关于灾难恢复的组织机构、业务流程和应对措施的合理性。 三、检查内容 （一）信息科技公司治理和组织结构 1．制度建设 （1）检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则，分析制 度制定、审批、修订和发布等流程的规范性。 （2）检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查：各项制 度规章是否正式发文，内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和 监控等范畴，是否明确相关人员的职责权限并实行最小授权的制约机制，是否建立制订后评 价程序或机制，现有的制度是否适应组织结构、业务管理、信息安全的需要。 （3）检查实施知识产权保护情况。重点检查：正版软件版本管理情况；国产自有知识 产权的软硬件的使用情况；信息化安全等级保护工作情况；自主知识产权信息化成果保护情 况。 2．组织结构 （1）检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。重点 检查： ①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责； 负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门 的建设情况；信息科技风险管理职责的归属以及管理情况；公司董事会及其相关专业委员会、 经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。 ②该银行组织结构设计的战略定位，组织结构的合理性是否符合风险管理的需要；董事 会和高管层面是否重视科技管理和信息科技规划工作；了解董事会对信息科技所担负的职 责，管理层如何发挥对信息科技的监督和指导作用；辨析组织的灵活性以及角色与职责的清 晰程度，了解内部平衡监督和放权的关系；分析对安全、质量和内部控制等的组织定位。 (2）检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。重点检查：信 息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容；评估近期、 中期和远期关于信息科技的重大策略和目标的合理性。着重从以下几个方面了解： ①银行如何利