银行信息系统数据管理审计程序.pdfVIP

银行信息系统数据管理审计程序

1.1数据管理制度和岗位

信息系统处理的各种数据（用户数据、系统数据、业务数据等）

在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏，都

在不同程度上影响银行业金融机构的业务连续性和安全性，甚至带来

巨大的声誉风险或造成经济损失。由于信息系统的各个层面（网络、

主机、应用等）都对各类数据进行传输、存储和处理等，因此，对数

据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供

支持。银行业金融机构应严格业务数据的采集、传输、使用、存储、

备份、恢复、查询、销毁等各个环节，确保数据的机密性、完整性、

可用性。

检查项1:数据管理的制度基本要求：银行业金融机构应制定严格的

指导意见，对业务数据的使用、存储、备份、恢复、销毁等各个环节

进行严格管理。

检查方法、步骤：1、获取银行业金融机构数据管理方面的制度，查

看是否有数据安全管理方面的管控措施，在用户私密信息保护措施是

否符合国家相关法律法规的要求。2、获取银行业金融机构数据管理

方面的制度，查看其是否对业务数据的保护进行了适当分级，并对高

保护等级数据进行相应的数据管理。3、与银行业金融机构安全管理

人员会谈，了解是否指定或授权专门的人员负责安全管理制度的制定；

与数据安全管理维护人员会谈，了解是否将安全管理制度完整的发布

到相关人员手中的方式，并确认其适当性。4、获取银行业金融机构

数据管理方面的制度，确认其制定和发布过程得到有效控制，并经过

高层管理部门的审核和批准。检查数据备份和恢复策略文档，查看其

内容是否覆盖数据的存放场所、文件命名规则、介质替换频率、数据

离站传输方法等方面内容。

检查项2：数据管理的岗位基本要求：银行业金融机构应针对数据

管理的内容和等级，以及数据产生、存储、分发、备份、恢复和销毁

的过程，建立完整的岗位责任制度，责任落实到人。

检查方法、步骤：1、检查岗位划分相关的文档，确认是否已经设立

系统管理员、安全管理员等岗位，并明确各岗位之间在数据的产生、

存储、分发、备份、恢复和销毁过程中的职责和权限划分。2、与数

据安全管理负责人员进行会谈，了解各个工作岗位在数据安全管理方

面的人员数据，并确认人员的相关资质是否符合数据安全管理的要求。

3、获取银行业金融机构数据管理方面的制度，确认与机密数据相关

的工作岗位人员都签订了相关的安全保密协定。可进一步与相关人员

进行会谈，确认其对安全保密协议的了解程度及遵守情况。4、获取

银行业金融机构数据管理方面的制度，分析各岗位职责之间的职责分

离的遵循程度，确认其划分的适当性，确保关键岗位的职责分离。如

安全管理员不得兼任其他岗位。5、获取银行业金融机构数据管理方

面的制度，确认各岗位之间相互监督和牵制的适当性，确保对关键业

务数据的访问和操作经过严格的审批流程和日志记录，操作过程由双

人在场，防止舞弊发生。相关记录应长期保存备查。

1.2数据备份、恢复的策略

检查项1：数据备份策略基本要求：银行业金融机构应根据业务的需

求及数据安全保护等的要求，制定相应的数据备份和恢复策略，以保

持数据可访问性和可用性。

检查方法、步骤：1、与银行业金融机构负责安全管理方面的人员进

行会谈，确认银行业

系统数据及软件系统。2、检查备份与恢复策略。确认其包括了备份

与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、

存储介质和保存期等进行规定。并指明备份数据的放置场所、文件命

名规则、介质替换频率和将数据离站运输的方法。3、检查相关的数

据备份策略，确认其建立了控制数据备份和恢复过程的程序，记录备

份过程，所有文件和记录应妥善保存。查阅相关的数据备份和恢复的

历史记录，确保可以提供本地数据备份与恢复功能，完全数据备份至

少每天一次，备份介质场外存放。查阅异地数据备份相关的记录或日

志，确认利用通信网络将关键数据定时批量传送至备用场地的时间频

度和完整性。4、检查相关的数据备份策略，确认其根据业务变更、

软件变更或硬件变更的过程进行了相应的修订，其修订过程有严格的

流程控制，并得到领导层的审核和批准。

检查项2：数据恢复、抽检策略

基本要求：应定期执行恢复程序，检查和测试备份介质的有效性，确

保可以在恢复程序规定的时间内完成备份的恢复。

检查方法、步骤：1、与安全管理人员进行会谈，确认是否有制度化

的数据恢复和抽检测试策略。2、根据数据恢复和抽检策略，查阅恢

复和抽检的相关记录，确认该计划得到了严格的实施。3、检查数据

恢复测试的执行记录，确认数据恢复过程得到管理层的正式审批，