银监会信息科技现场检查指南合并版_v._最终版.doc

商业银行信息科技风险 现场检查指南  目 录 第一部分 概述 12 1. 指南说明 13 1.1 目的及适用范围 13 1.2 编写原则 14 1.3 指南框架 15 第二部分 科技管理 17 2. 信息科技治理 18 2.1 董事会及高级管理层 18 检查项1 ：董事会 18 检查项2 ：信息科技管理委员会 19 检查项3 ：首席信息官（CIO） 20 2.2 信息科技部门 21 检查项1 ：信息科技部门 21 检查项2 ：信息科技战略规划 23 2.3 信息科技风险管理部门 24 检查项1 ：信息科技风险管理部门 24 2.4 信息科技风险审计部门 25 检查项1 ：信息科技风险审计部门 25 2.5 知识产权保护和信息披露 26 检查项1 ：知识产权保护 26 检查项2 ：信息披露 26 3. 信息科技风险管理 28 3.1 风险识别和评估 28 检查项1 ：风险管理策略 28 检查项2 ：风险识别与评估 29 3.2 风险防范和检测 29 检查项1 ：风险防范措施 29 检查项2 ：风险计量与检测 30 4. 信息安全管理 32 4.1 安全管理机制与管理组织 32 检查项1：信息分类和保护体系 32 检查项2：安全管理机制 33 检查项3：信息安全策略 34 检查项4：信息安全组织 34 4.2 安全管理制度 35 检查项1：规章制度 35 检查项2：制度合规 36 检查项3：制度执行 37 4.3 人员管理 38 检查项1：人员管理 38 4.4 安全评估报告 39 检查项1：安全评估报告 39 4.5 宣传、教育和培训 39 检查项1：宣传、教育和培训 39 5.系统开发、测试与维护 41 5.1开发管理 41 检查项1：管理架构 41 检查项2：制度建设 43 检查项3：项目控制体系 44 检查项4：系统开发的操作风险 45 检查项5：数据继承和迁移 46 5.2系统测试与上线 47 检查项1：系统测试 47 检查项2：系统验收 49 检查项3：投产上线 49 5.3系统下线 50 检查项1：系统下线 50 6. 系统运行管理 52 6.1 日常管理 52 检查项1：职责分离 52 检查项2：值班制度 53 检查项3：操作管理 53 检查项4：人员管理 54 6.2 访问控制策略 55 检查项1：物理访问控制策略 55 检查项2：逻辑访问控制策略 56 检查项3：账号及权限管理 57 检查项4：用户责任及终端管理 58 检查项5：远程接入的控制 59 6.3 日志管理 60 检查项1：审计日志检查 60 检查项2：日志信息的保护 60 检查项3：操作日志的检查 61 检查项4：错误日志的检查 61 6.4系统监控 62 检查项1：基础环境监控 62 检查项2：系统性能监控 62 检查项3：系统运行监控 63 检查项4：测评体系 64 6.5 事件管理 65 检查项1：事件报告流程 65 检查项2：事件管理和改进 66 检查项3：服务台管理 67 6.6问题管理 67 检查项1：事件分析和问题生成 68 检查项2：台账管理 68 检查项3：问题处置 68 6.7 容量管理 69 检查项1：容量规划 69 检查项2：容量监测 70 检查项3：容量变更 70 6.8 变更管理 71 检查项1：变更的流程 72 检查项2：变更的评估 72 检查项3：变更的授权 73 检查项4：变更的执行 73 检查项5：紧急变更 74 检查项6：重大变更 74 7. 业务连续性管理 76 7.1 业务连续性管理组织 77 检查项1：董事会及高管层的职责 77 检查项2：业务连续性管理组织的建立 78 检查项3：业务连续性管理组织职责 79 7.2 IT服务连续性管理 80 检查项1：IT服务连续性计划的组织保障 80 检查项2：风险评估及业务影响分析 81 检查项3：IT服务连续性计划的制定 81 检查项4：IT服务连续性计划的测试与维护 82 检查项5：IT服务连续性计划审计 83 检查项6：IT服务连续性相关领域的控制 84 8. 应急管理 85 8.1 应急组织 85 检查项1：应急管理团队 85 检查项2：应急管理职责 86 检查项3：应急管理制度 86 8.2 应急预案 87 检查项1：应急预案制订 87 检查项2：应急预案内容 87 检查项3：应急预案更新 89 检查项4：外包服务应急 89 检查项5：应急预案培训 90 8.3 应急保障 90 检查项1：人员保障 90 检查项2：物质保障 90 检查项3：技术保障 91 检查项4：沟通保障 91 8.4 应急演练 92 检查项1：应急演练的计划 92 检查项2：应急演练的实施 92 检查项3：应急演练的总结 93 8.5 应急响应 93 检查项1：应急响应流程 93