商业银行信息科技风险现场检查指南(294页).doc

1商业银行信息科技风险现场检查指南2目 录第一部分概述.121.指南说明.131.1 目的及适用范围.131.2 编写原则.141.3 指南框架.15第二部分科技管理.172.信息科技治理.182.1 董事会及高级管理层.18检查项 1：董事会.18检查项 2：信息科技管理委员会.19检查项 3：首席信息官（CIO）.202.2 信息科技部门.21检查项 1：信息科技部门.21检查项 2：信息科技战略规划.232.3 信息科技风险管理部门.24检查项 1：信息科技风险管理部门.242.4 信息科技风险审计部门.25检查项 1：信息科技风险审计部门.252.5 知识产权保护和信息披露.26检查项 1：知识产权保护.26检查项 2：信息披露.263.信息科技风险管理.283.1 风险识别和评估.28检查项 1：风险管理策略.28检查项 2：风险识别与评估.293.2 风险防范和检测.29检查项 1：风险防范措施.29检查项 2：风险计量与检测.304.信息安全管理.324.1 安全管理机制与管理组织.32检查项 1：信息分类和保护体系.32检查项 2：安全管理机制.33检查项 3：信息安全策略.34检查项 4：信息安全组织.344.2 安全管理制度.35检查项 1：规章制度.35检查项 2：制度合规.363检查项 3：制度执行.374.3 人员管理.38检查项 1：人员管理.384.4 安全评估报告.39检查项 1：安全评估报告.394.5 宣传、教育和培训.39检查项 1：宣传、教育和培训.395.系统开发、测试与维护.415.1 开发管理.41检查项 1：管理架构.41检查项 2：制度建设.43检查项 3：项目控制体系.44检查项 4：系统开发的操作风险.45检查项 5：数据继承和迁移.465.2 系统测试与上线.47检查项 1：系统测试.47检查项 2：系统验收.49检查项 3：投产上线.495.3 系统下线.50检查项 1：系统下线.506.系统运行管理.526.1 日常管理.52检查项 1：职责分离.52检查项 2：值班制度.53检查项 3：操作管理.53检查项 4：人员管理.546.2 访问控制策略.55检查项 1：物理访问控制策略.55检查项 2：逻辑访问控制策略.56检查项 3：账号及权限管理.57检查项 4：用户责任及终端管理.58检查项 5：远程接入的控制.596.3 日志管理.60检查项 1：审计日志检查.60检查项 2：日志信息的保护.60检查项 3：操作日志的检查.61检查项 4：错误日志的检查.616.4 系统监控.62检查项 1：基础环境监控.62检查项 2：系统性能监控.62检查项 3：系统运行监控.63检查项 4：测评体系.646.5 事件管理.654检查项 1：事件报告流程.65检查项 2：事件管理和改进.66检查项 3：服务台管理.676.6 问题管理.67检查项 1：事件分析和问题生成.68检查项 2：台账管理.68检查项 3：问题处置.686.7 容量管理.69检查项 1：容量规划.69检查项 2：容量监测.70检查项 3：容量变更.706.8 变更管理.71检查项 1：变更的流程.72检查项 2：变更的评估.72检查项 3：变更的授权.73检查项 4：变更的执行.73检查项 5：紧急变更.74检查项 6：重大变更.747.业务连续性管理.767.1 业务连续性管理组织.77检查项 1：董事会及高管层的职责.77检查项 2：业务连续性管理组织的建立.78检查项 3：业务连续性管理组织职责.797.2 IT 服务连续性管理.80检查项 1：IT 服务连续性计划的组织保障.80检查项 2：风险评估及业务影响分析.81检查项 3：IT 服务连续性计划的制定.81检查项 4：IT 服务连续性计划的测试与维护.82检查项 5：IT 服务连续性计划审计.83检查项 6：IT 服务连续性相关领域的控制.848.应急管理.858.1 应急组织.85检查项 1：应急管理团队.85检查项 2：应急管理职责.86检查项 3：应急管理制度.868.2 应急预案.87检查项 1：应急预案制订.87检查项 2：应急预案内容.87检查项 3：应急预案更新.89检查项 4：外包服务应急.89检查项 5：应急预案培训.908.3 应急保障.90检查项 1：人员保障.905检查项 2：物质保障.90检查项 3：技术保障.91检查项 4：沟通保障.918.4 应急演练.92检查项 1：应急演练的计划.92检查项 2：应急演练的实施.92检查项 3：应急演练的总结.938.5 应急响应.93检查项 1：应急响应流程.93检查项 2：全程记录处置过程.94检查项 3：应急事件报告.95检查项 4：与第三方沟通.95检查项 5：向新