银行信息安全管理检查步骤方法及方案.docx

银行信息安全管理检查步骤方法及方案

保证信息安全是商业银行的一项重要任务，商业银行应在信息技术部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。

提示：在对商业银行的信息安全管理进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不设置单独的安全管理部门，但应设置专职的岗位；信息技术岗位设置可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。

3.1安全管理机制与管理组织

检查项1：信息分类和保护体系

基本要求：商业银行信息技术部门应对各类信息系统进行风险评估，根据信息系统的重要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。

检查方法、步骤：（1）调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的范围、级别作出明确规定；（2）检查商业银行是否针对不同的信息系统，制订了不同的安全防范措施，采取了不同的技术防范手段；（3）检查商业银行是否对信息系统风险进行评估和防范。

检查项2：安全管理机制

基本要求：商业银行信息技术部门应落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，定期向信息技术管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。

检查方法、步骤：（1）调阅商业银行信息安全计划或相关文档，检查商业银行是否制订信息安全计划。（2）分析信息安全计划，评估商业银行信息技术部门能否对信息安全进行持续、长期和有效的管理，确保信息安全和信息系统安全运行。（3）检查商业银行信息技术部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。（4）检查商业银行信息技术部门是否对各类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。（5）调阅信息安全评估报告，检查信息技术部门是否定期对本行信息安全进行评估。

检查项3：信息安全策略

基本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。

检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否制定信息安全策略及其内容是否完整、全面。（2）调阅信息安全管理规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。

检查项4：信息安全组织

基本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；安全管理人员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

检查方法、步骤：（1）调阅相关岗位职责说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；（2）检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等；（3）查询相关制度文件和审批记录，检查是否根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；（4）调阅信息安全检查记录，检查安全管理员是否定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否及时报告和处理。

3.2安全管理制度

检查项1：规章制度

基本要求：商业银行应对信息安全风险进行分析、评估；应对信息安全管理工作建立相应的管理制度；应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级程度，并进行密级管理；信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款；重要工作