信息科技非驻场外包安全检查要求.docx

信息科技非驻场外包安全检查要求 信息科技非驻场外包平安检查指南信息技术管理部二○一四年九月目 录1 概述 (1)1.1 目的及适用范围 (1)1.2 指南内容框架 (2)2 根本状况调查 (3)3 信息系统运维外包平安检查与评估 (4)3.1 数据平安 (4)3.1.1 数据隔离 (4)CCB3.1.2 权限管理 (5)3.1.3 与其它交互系统的数据爱护机制 (8)3.1.4 日志审核机制 (9)3.1.5 根底环境平安掌握力量 (11)3.1.6 应用系统平安防护力量 (19)3.1.7 数据后台提取、修改管理 (21)3.2 效劳连续性管理 (24)3.2.1 应用系统可用性 (24)3.2.2 备份机制 (27)3.2.3 应急管理 (30)3.3 内部掌握力量 (32)3.3.1 平安管理资质 (32)3.3.2 制度体系 (34)3.3.3 技术保障体系 (35)3.3.4 人员平安 (37)3.4 市场评价 (38)3.4.1 监管评价 (38)3.4.2 信誉 (39)4 业务数据处理外包平安检查与评估 (40)4.1 数据平安 (40)4.1.1 数据隔离 (40)4.1.2 数据爱护 (41)4.1.3 根底环境平安掌握力量 (43)4.2 内部掌握力量 (47)4.2.1 平安管理资质 (47)4.2.2 制度体系 (47)4.2.3 技术保障体系 (48)4.2.4 人员平安 (50)4.3 市场评价 (52)4.3.1 监管评价 (52)CCB4.3.2 信誉 (52)附录1：检查〔评估〕报告模板 (54)附录2：常用检查方法 (56)1概述1.1目的及适用范围为防范信息科技外包风险，落实《关于印发银行业金融机构信息科技外包风险监管指引的通知》〔银监发〔2013〕5号》和《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》〔银CCB 监办发〔2014〕187号〕的监管要求，标准对信息科技非驻场外包现场平安检查和风险评估工作，总行统一编写了《信息科技非驻场外包平安检查指南》〔以下简称《指南》〕。《指南》编制的主要目的在于：一是说明了检查的思路和主要方法，关心检查人员明确检查目的，进步对信息科技非驻场外包效劳商检查的有效性和针对性，提升检查与评估质量。二是提出了详细的检查要求和步骤，标准了检查的程序、手段和行为，是各级机构开展信息科技非驻场外包检查与评估的重要指导工具。三是明确了信息科技非驻场外包效劳商的风险管控要点，指导效劳商进步其信息科技风险管控力量。本指南主要适用于信息科技非驻场外包效劳商尽职调查环节进行平安风险评估；在启动外部系统租用、数据处理等信息科技非驻场外包活动时，进展平安风险评估，在外包效劳期间对非驻场外包效劳商进展平安检查。同时，《指南》也供信息科技非现场外包审计参考。任何非驻场外包检查均需按其次章根本状况调查理解根本信息，同时，对于租用外部根底环境或系统的，按第三章信息系统运维外包平安检查进展；对于仅托付外部进展数据分析处理的，按第四章业务数据处理外包平安检查与评估进展。本指南适用于中国建立银行境内各级机构。1.2指南内容框架本《指南》共分三局部。第一局部是概述，介绍了本指南的编制目的、适用范围和指南框架。其次局部介绍需要理解信息科技非驻场CCB 外包商、涉及信息系统、数据处理等根本状况。第三局部具体描绘了信息系统运维外包在数据平安、效劳连续性管理、内控力量、市场评价等方面的检查目的、检查方法和步骤等。第四局部具体描绘了业务数据处理外包在数据平安、内部掌握力量、市场评价等方面的检查目的、检查方法和步骤等。附录包括《检查〔评估〕报告模板》和《常用检查方法》，其中《检查〔评估〕报告模板》具体说明了报告的主要框架构造；《常用检查方法》具体说明了检查中常常用到的访谈、调阅资料等方法的定义和说明。检查人员应依据自身的工作职责，选择相应适当的内容局部进展阅读学习，理解检查的要求，明确检查目标，开展检查。2根本状况调查1.根本状况调查外包商名称、外包主要事项、外包事项类型、外包商信息平安管理资质、业务连续性资质、质量管理资质等。2.信息系统运维外包涉及信息系统和数据根本状况调查系统名称、主要功能、RTO、RPO要求，系统拓扑构造，网络拓CCB 扑构造，与信息系统交互的其它系统状况，系统用户权限表,人员岗位表，信息系统处理数据内容。3.业务数据处理外包的数据处理状况调查数据处理的主要流程，主要处理数据清单，操作用户权限表,人员岗位表。3信息系统运维外包平安检查与评估3.1数据平安3.1.1数据隔离.检查项1：数据隔离检查点1