银行信息科技风险审计制.docx

PAGE 14 - 广*银行信息科技风险审计制度 第一章 总则 第一条 为加强广*银行信息科技风险的监督管理，防范信息科技风险，根据中国银监会《商业银行信息科技风险管理指引》要求，结合我行实际，制定本制度。 第二条 本制度所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第三条 本制度所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条 本制度所称信息科技风险管理的目标是通过建立有效的机制，实现对银行信息科技风险的识别、计量、监测和控制，促进银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。? 第五条 信息科技风险审计分为内部审计和外部审计两种方式。 第六条 信息科技风险审计至少应每三年进行一次全面审计。 第二章 内部审计 第七条 信息科技风险内部审计牵头部门为总行审计部，总行信息科技管理部门、风险管理部以及其他信息系统管理部门应积极参与、配合。 第八条 内部审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员，独立于本行的日常活动，具有适当的授权访问记录。 第九条 内部信息科技风险审计的职责： （一） 制定、实施和调整审计计划，检查和评估信息科技系统和内控机制的充分性和有效性。 （二） 按照第四章《审计内容》完成审计工作，在此基础上提出整改意见。 （三） 检查整改意见是否得到落实。 （四） 执行信息科技风险专项审计。信息科技风险专项审计，是指对信息科技安全事故进行的调查、分析和评估，或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。 （五）对信息科技重大项目实施财务审计。 第三章 外部审计 第十条 信息科技风险外部审计负责部门为总行审计部。 第十一条 在委托审计过程中，应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查，以发现信息科技存在的风险，国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。 第十二条 在实施外部审计前应与外部审计机构进行充分沟通，详细确定审计范围，不应故意隐瞒事实或阻挠审计检查。 第十三条 外部审计根据银监会或其派出机构的委托或授权对商业银行进行审计时，应出示委托授权书，并依照委托授权书上规定的范围进行审计。 第十四条 本行应根据外部审计授权出具的审计报告，提出整改计划，并在规定的时间内实施整改。 第十五条 在委托外部审计机构进行外部审计时，应与其签订保密协议，并督促其严格遵守法律法规，保守本行的商业秘密和信息科技风险信息，防止其擅自对本行提供的任何文件进行修改、复制或带离现场。 第四章 审计内容 第十六条 信息科技治理 （一）制度建设 1．信息科技管理制度体系的建设情况； 2．已发布实施的主要制度规章和管理办法； 3．管理制度规章和管理办法的制定、审批和修订流程。 （二）组织结构 1．信息科技管理的领导和决策机构设置、职能和工作机制； 2．长期和短期信息科技发展规划的制定、审批和修订； 3．信息科技部门的设置、职责和相互关系，重点包括：系统开发、技术支持、系统操作维护和系统安全； 4．专门的技术风险管理部门设置、职责和工作机制； 5．技术风险审计部门或岗位设置，审计频率以及问题纠正机制情况； 6．信息科技人员的专业素质和培训情况； 7．信息科技风险内部审计人员的素质和培训情况。 第十七条 信息安全管理 （一）信息安全基本要求 l. 信息安全工怍的基本原则、基本规划； 2. 信息安全管理的流程、组织架构和职责分配； 3．信息安全的技术体系； 4. 信息安全风险评估和分级控制； 5．信息安全的教育培训，包括法规教育、安全知识教育和职业道德教育等。 （二）逻辑访问的风险与控制 1. 访问控制原则； 2. 访问授权的授权与核准； 3. 逻辑访问风险的定义、分类和应对措施； 4. 访问控制软件的使用情况； 5. 磁卡、钥匙和口令密码等重要身份凭证的管理。 （三）网络安全控制 1. 内网的安全管理 2. 外网的安全管理 3. 加密技术应用和私钥的管理 4．防火墙的设置、维护和管理 5. 入侵检测系统。 （四）环境的风险和控制 1．消防及防水设施; 2．不间断电源保护; 3．人员疏散计划和通道。 （五）物理访问的风险与控制 1．出入通道锁具的可靠性;