银行业信息科技风险监管现场检查手册

前言信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的 重要手段。银行业对信息科技的高度依赖，决定了信息系统的安全性、可靠性和有效性对维 系整个银行业的安全和金融体系的稳定具有至关重要的作用。银监会党委对信息科技风险监管工作高度重视，刘明康主席多次召开专项工作会议并做 出重要批示和指示，明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、 管内控、提高透明度”的监管理念，把信息科技风险纳入银行总体风险监管框架，切实加强制 度建设和风险监控，确保银行业信息系统安全稳定。在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的 新形势下，银监会坚持“风险为本”的监管原则，提出了信息科技风险功能性监管的新思路， 突出“制度先行”，完善监管框架，借鉴和吸收国际先进标准及业界最佳实践，不断丰富信息 科技风险监管方式方法，制定了一系列的监管规范，结合奥运保障开展现场检查，并针对性 地发出有关风险提示，建立非现场监管体系和监管评级体系，从而构建了信息科技风险监管 的基础框架，全面展开信息科技风险的监管工作。按照郭利根副主席提出的“集成资源，形成信息科技风险监管合力”和“搞好规划，全面加 强信息科技风险监管制度建设”要求，银监会强化机制建设、优化资源配置，整合科技人力资 源，集中全国银监会系统科技骨干力量，在北京成立了信息科技监管“专项工作组”，又在上 海、深圳两地分别成立信息科技风险监管工作室，按照统一调度、统一指挥、统一培训的工 作原则，制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举，形成了矩阵式 的监管工作模式，快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。手册的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、 河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、9天津、重庆、大连、云南、贵州银监局派出精锐技术骨干，参加手册编写工作；银监会各部门与各银监局提出了许多宝贵意见；上海银监局为编写工作提供了大量支持和保障工作。 整个手册内容融合了银监系统内信息科技人员的经验和智慧，汇聚了银监会各部门与各 银监局的宝贵意见和建议，应属于银监会系统及科技人员共同努力的成果和结晶。在此，向 所有参与工作的单位和个人致以诚挚的谢意！编写人员目 录第一部分 概述. 21. 银行信息科技风险及其监管 . 21.1 银行信息科技风险 .21.2 银行信息科技风险特点 .21.3 风险成因分析 .31.4 信息科技风险监管意义 .42. 现场检查一般流程 . 52.1 现场检查准备阶段 .52.2 现场检查实施阶段 .72.3 现场检查后续阶段 .83. 常用检查方法 . 9第二部分科技管理. 114. 科技治理 . 114.1 董事会及高管层 .11检查项 1 ：董事会和高级管理层. 114.2 信息科技工作的管理机构 .12检查项 1 ：全行信息科技工作的管理机构 . 124.3 信息科技部门 .13检查项 1 ：信息科技部门. 134.4 信息科技战略规划 .15检查项 1 ：信息科技战略规划. 154.5 信息科技风险管理部门 .15检查项 1 ：信息科技风险管理部门 . 154.6 信息科技风险审计 .16检查项 1 ：信息科技风险审计机制 . 164.7 知识产权保护 .17检查项 1 ：敉识产权制度. 174.8 信息披露 .17检查项 1 ：信息披露 . 175. 连续性管理 . 185.1 信息系统连续性组织 .18 检查项 1：系统连续性管理组织. 18 检查项 2：系统连续性管理组织职责 . 19 检查项 3：系统连续性计划编制、维护. 20 检查项 4：系统连续性计划编制、维护职责 . 20 检查项 5：系统连续性计划执行组织 . 20 检查项 6：系统连续性计划执行组织职责 . 21 检查项 7：人员变动管理. 225.2 信息系统连续性计划 .22 检查项 1：系统连续性计划 . 22 检查项 2：测试及持续更新 . 24 检查项 3：信息系统连续性计划管理 . 25 检查项 4：系统连续性计划培训. 25 检查项 5：系统连续性计划审计. 256. 应急管理 . 266.1 应急组织 .26 检查项 1：应急管理团队. 26 检查项 2：应急管理职责. 27 检查项 3：应急管理制度. 276.2 应急预案 .27检查项 1：应急预案制订. 27检查项 2：应急预案内容. 28检查项 3：应急预案更新. 29 检查项 4：外包服务应急. 29 检查项 5：应急培训. 296.3 应急演练 .30 检查项 1：应急演练前 . 30 检查项 2：应急演练过程. 30 检查项 3：应急演练后 . 306.4 应急响应 .31 检查项 1：应急响应流程. 31 检查项 3：应急事件报告. 32 检查项 4：与第三方沟通. 32 检查项 5 ：向新闻媒体通报制度. 32 检查项 6：应急处置总结. 336.5 应急保障 .33 检查项 1：人员保障. 33 检查项 2：物质保障. 33 检查项 3：技术保障. 34 检查项 4：沟通保障. 346.6 持续改进 .34 检查项 1：应急事件评估、改进. 34 检查项 2：应急响应评估. 35 检查项 3：应急管理评估. 35 检查项 4：纳入全面风险管理机制 . 357. 信息系统安全管理 . 357.1 安全管理组织 .36检查项 1：管理目标. 36检查项 2：人员风险. 367.2 安全管理制度 .37 检查项 1：规章制度. 37 检查项 2：制度合规. 38 查项 3：制度执行. 38 检查项 4：宣传和教育培训 . 39 检查项 5：事件响应和处理 . 398. 外包管理 . 408.1 服务外包管理制度 .40 检查项 1：服务外包管理制度 . 40 检查项 2：对重要外包项目评估. 41 检查项 3：外包安全保密措施 . 418.2 服务外包管理风险评估 .41 检查项 1：对服务外包商评估 . 41 检查项 2：对服务外包商审查 . 428.3 服务外包审批 .42检查项 1：服务外包审批流程 . 428.4 服务外包应急响应 .42 检查项 1：服务外包应急计划 . 42 检查项 2：服务外包商联络机制. 43 检查项 3：服务外包应急演练 . 438.5 外包合同 .43 检查项 1：外包合同. 43 检查项 2：服务外包商访问权限. 44 检查项 3：外包服务法律风险 . 448.6 服务外包文档的完备性 .45检查项 1：服务外包文档. 459. 审计监督 . 459.1 内部审计 .45 检查项 1：信息科技审计制度 . 45 检查项 2：内部审计的范围、频率 . 46 检查项 3：审计质量控制. 46 检查项 4：审计结果的有效性和持续性. 479.2 外部审计 .47检查项 1：内部审计与外部审计的协调. 4710. 开发变更管理 . 4810.1 开发管理.48 检查项 1：制度建设. 48 检查项 2：管理架构. 49 检查项 3：项目控制体系. 49 检查项 4：系统开发的操作风险. 5010.2 系统测试与上线.50 检查项 1：系统测试. 51 检查项 2：系统验收. 51 检查项 3：系统上线. 5210.3 系统升级变更.52 检查项 1：制度建设. 52 检查项 2：管理架构. 53 检查项 3：测试体系. 53 检查项 4：紧急变更控制措施 . 5410.4 系统下线.54 检查项 1： 制度和流程建设 . 54 检查项 2： 操作管理 . 5511. 系统运行管理 . 5511.1 日常运行管理 .55检查项 1：运行部门和岗位设置. 55 检查项 2：信息科技部门人员管理 . 55 检查项 3：信息科技部门人员培训 . 56 检查项 4：系统用户的管理 . 56 检查项 5：系统性能的监控 . 56 检查项 6：信息系统配置的管理. 57 检查项 7：系统设置参数的更改. 57 检查项 8：设备和介质的生命周期管理. 57 检查项 9：日志管理. 57 检查项 10：问题管理. 58 检查项 11：服务台管理 . 58 检查项 12：呼叫中心. 58 检查项 13：桌面管理. 5911.2 日常运行的监督 .59 检查项 1：规章制度及信息安全控制执行情况的检查. 59 检查项 2：运行报告. 5911.3 可靠性运行管理 .60 检查项 1：单点故障的排查 . 60 检查项 2：信息系统漏洞导致业务失控的风险排查. 60 检查项 3：数据的管理 . 6011.4 安全运行管理 .60 检查项 1：对已获敉的外部安全问题信息的反应 . 61 检查项 2：信息安全事件的响应. 61 检查项 3：信息安全设备的完备性 . 61 检查项 4：信息安全的管理工具. 61 检查项 5：病毒的检测和预防 . 6211.5 保密运行管理 .62检查项 1：数字签名和认敃的安全性 . 62 检查项 2：口令的管理 . 62 检查项 3：交易的验敃 . 63 检查项 4：数据的加密 . 6312. 灾难备份管理 . 6312.1 灾难恢复的总体控制 .64检查项 1：灾难恢复的规划 . 6412.2 灾难恢复的组织机构 .64 检查项 1：灾难恢复的组织机构. 64 检查项 2：灾难恢复领导小组职责 . 64 检查项 3：灾难恢复规划实施小组职责. 65 检查项 4：灾难恢复日常运行小组职责. 6512.3 灾难恢复的规划过程 .65 检查项 1：业务影响分析. 65 检查项 2：联络与通讯 . 66 检查项 3：灾备系统中的外包风险 . 6712.4 灾难恢复的实施过程 .67 检查项 1：灾难恢复策略的制定. 67 检查项 2：灾难恢复策略实现 . 69 检查项 3：灾难恢复预案的实现. 6912.5 灾难恢复的维护更新过程 .70 检查项 1：教育、培训和演练 . 70 检查项 2：灾难