商业银行信息科技风险现场检查指南(DOC 294页)
商业银行信息科技风险现场检查指南(DOC 294页)内容简介
第一部分概述.....12
1.指南说明.....13
1.1目的及适用范围.....13
1.2编写原则.....14
1.3指南框架.....15
第二部分科技管理.....17
2.信息科技治理.....18
2.1董事会及高级管理层.....18
检查项1:董事会.....18
检查项2:信息科技管理委员会.....19
检查项3:首席信息官(CIO).....20
2.2信息科技部门.....21
检查项1:信息科技部门.....21
检查项2:信息科技战略规划.....23
2.3信息科技风险管理部门.....24
检查项1:信息科技风险管理部门.....24
2.4信息科技风险审计部门.....25
检查项1:信息科技风险审计部门.....25
2.5知识产权保护和信息披露.....26
检查项1:知识产权保护.....26
检查项2:信息披露.....26
3.信息科技风险管理.....28
3.1风险识别和评估.....28
检查项1:风险管理策略.....28
检查项2:风险识别与评估.....29
3.2风险防范和检测.....29
检查项1:风险防范措施.....29
检查项2:风险计量与检测.....30
4.信息安全管理.....32
4.1安全管理机制与管理组织.....32
检查项1:信息分类和保护体系.....32
检查项2:安全管理机制.....33
检查项3:信息安全策略.....34
检查项4:信息安全组织.....34
4.2安全管理制度.....35
检查项1:规章制度.....35
检查项2:制度合规.....36
检查项3:制度执行.....37
4.3人员管理.....38
检查项1:人员管理.....38
4.4安全评估报告.....39
检查项1:安全评估报告.....39
4.5宣传、教育和培训.....39
检查项1:宣传、教育和培训.....39
5.系统开发、测试与维护.....41
5.1开发管理.....41
检查项1:管理架构.....41
检查项2:制度建设.....43
检查项3:项目控制体系.....44
检查项4:系统开发的操作风险.....45
检查项5:数据继承和迁移.....46
5.2系统测试与上线.....47
检查项1:系统测试.....47
检查项2:系统验收.....49
检查项3:投产上线.....49
5.3系统下线.....50
检查项1:系统下线.....50
6.系统运行管理.....52
6.1日常管理.....52
检查项1:职责分离.....52
检查项2:值班制度.....53
检查项3:操作管理.....53
检查项4:人员管理.....54
6.2访问控制策略.....55
检查项1:物理访问控制策略.....55
检查项2:逻辑访问控制策略.....56
检查项3:账号及权限管理.....57
检查项4:用户责任及终端管理.....58
检查项5:远程接入的控制.....59
6.3日志管理.....60
检查项1:审计日志检查.....60
检查项2:日志信息的保护.....60
检查项3:操作日志的检查.....61
检查项4:错误日志的检查.....61
6.4系统监控.....62
检查项1:基础环境监控.....62
检查项2:系统性能监控.....62
检查项3:系统运行监控.....63
检查项4:测评体系.....64
6.5事件管理.....65
检查项1:事件报告流程.....65
检查项2:事件管理和改进.....66
检查项3:服务台管理.....67
6.6问题管理.....67
检查项1:事件分析和问题生成.....68
检查项2:台账管理.....68
检查项3:问题处置.....68
6.7容量管理.....69
检查项1:容量规划.....69
检查项2:容量监测.....70
检查项3:容量变更.....70
6.8变更管理.....71
检查项1:变更的流程.....72
检查项2:变更的评估.....72
检查项3:变更的授权.....73
检查项4:变更的执行.....73
检查项5:紧急变更.....74
检查项6:重大变更.....74
7.业务连续性管理.....76
7.1业务连续性管理组织.....77
检查项1:董事会及高管层的职责.....77
检查项2:业务连续性管理组织的建立.....78
检查项3:业务连续性管理组织职责.....79
7.2IT服务连续性管理.....80
检查项1:IT服务连续性计划的组织保障.....80
检查项2:风险评估及业务影响分析.....81
检查项3:IT服务连续性计划的制定.....81
检查项4:IT服务连续性计划的测试与维护.....82
检查项5:IT服务连续性计划审计.....83
检查项6:IT服务连续性相关领域的控制.....84
8.应急管理.....85
8.1应急组织.....85
检查项1:应急管理团队.....85
检查项2:应急管理职责.....86
检查项3:应急管理制度.....86
8.2应急预案.....87
检查项1:应急预案制订.....87
检查项2:应急预案内容.....87
检查项3:应急预案更新.....89
检查项4:外包服务应急.....89
检查项5:应急预案培训.....90
8.3应急保障.....90
检查项1:人员保障.....90
检查项2:物质保障.....90
检查项3:技术保障.....91
检查项4:沟通保障.....91
8.4应急演练.....92
检查项1:应急演练的计划.....92
检查项2:应急演练的实施.....92
检查项3:应急演练的总结.....93
8.5应急响应.....93
检查项1:应急响应流程.....93
检查项2:全程记录处置过程.....94
检查项3:应急事件报告.....95
检查项4:与第三方沟通.....95
检查项5:向新闻媒体通报制度.....96
检查项6:应急处置总结.....96
8.6持续改进.....97
检查项1:应急事件评估.....97
检查项2:应急响应评估.....97
检查项3:应急管理改进.....97
9.灾难恢复管理.....99
9.1灾难恢复组织架构.....99
检查项1:灾难恢复相关组织架构.....99
9.2灾难恢复策略.....101
检查项1:总体控制.....101
检查项2:灾难恢复策略.....101
检查项3:灾难备份策略.....103
检查项4:外包风险.....104
9.3灾难恢复预案.....105
检查项1:灾难恢复预案.....105
检查项2:联络与通讯.....106
检查项3:教育、培训和演练.....107
9.4评估和维护更新.....107
检查项1:灾备策略的评估和维护更新.....107
检查项2:灾难恢复预案的评估和维护更新.....108
10.数据管理.....109
10.1数据管理制度和岗位.....109
检查项1:数据管理制度.....109
检查项2:数据管理岗位.....110
10.2数据备份、恢复策略.....110
检查项1:数据备份、转储策略.....110
检查项2:数据恢复、抽检策略.....111
10.3数据存储介质管理.....112
检查项1:介质管理.....112
检查项2:介质的清理和销毁.....113
11.外包管理.....114
11.1外包管理制度.....114
检查项1:外包管理制度.....114
检查项2:外包审批流程.....114
检查项3:外包协议.....115
检查项4:服务水平协议.....115
检查项5:外包安全保密措施.....116
检查项6:外包文档管理.....116
11.2外包评估和监督.....117
检查项1:外包服务商的评估.....117
检查项2:外包项目的监督管理.....117
12.内部审计.....119
12.1内部审计管理.....119
检查项1:内部审计部门、岗位、人员和职责.....119
检查项2:内部审计制度和办法.....119
12.2内部审计要求.....120
检查项1:内部审计范围和频率.....120
检查项2:内部审计结果的有效性.....120
13.外部审计.....122
13.1外部审计资质.....122
检查项1:外部审计机构的资质.....122
13.2外部审计要求.....122
检查项1:商业银行配合外部审计情况.....122
检查项2:外部审计有效性.....123
检查项3:外审过程中的保密要求.....123
第三部分基础设施.....125
14.计算机机房.....126
14.1计算机机房建设.....126
检查项1:计算机机房选址.....126
检查项2:机房功能分区.....127
检查项3:计算机机房基础设施建设.....127
检查项4:计算机机房的环境要求.....130
检查项5:计算机机房日常维护.....131
14.2计算机机房管理.....132
检查项1:计算机机房安全管理.....132
检查项2:计算机机房集中监控系统.....133
检查项3:计算机机房安全区域访问控制.....134
检查项4:计算机机房运行管理.....135
14.3机房设备管理.....136
检查项1:机房设备的环境安全.....136
15.网络通讯.....137
15.1内控管理.....137
检查项1:内控制度.....137
检查项2:人员管理.....138
检查项3:访问控制.....138
检查项4:日志管理.....139
检查项5:第三方管理.....140
检查项6:服务外包.....141
检查项7:文档管理.....141
检查项8:风险评估.....142
15.2网络运行维护.....143
检查项1:运行监控.....143
检查项2:性能监控.....143
检查项3:流量监控.....144
检查项4:监控预警.....144
检查项5:性能调优.....144
检查项6:事件管理.....145
检查项7:运行检查.....145
15.3网络变更管理.....146
检查项1:变更发起.....146
检查项2:变更计划.....147
检查项3:变更测试.....147
检查项4:变更审批.....147
检查项5:变更实施.....148
15.4网络服务可用性.....149
检查项1:容量管理.....149
检查项2:冗余管理.....149
检查项3:带外管理.....150
检查项4:压力测试.....151
检查项5:应急管理.....151
15.5网络安全技术.....151
检查项1:结构安全.....151
检查项2:物理安全.....153
检查项3:传输安全.....153
检查项4:访问控制.....154
检查项5:接入安全.....155
检查项6:网络边界安全.....156
检查项7:入侵检测防范.....157
检查项8:恶意代码防范.....158
检查项9:网络设备防护.....158
检查项10:网络安全测试.....160
检查项11:安全审计日志.....161
检查项12:安全检查.....162
16.操作系统.....163
16.1账号及密码管理.....163
检查项1:管理制度.....163
检查项2:账号、密码管理.....163
检查项3:账号、密码管理检查.....165
16.2系统访问控制.....165
检查项1:访问控制策略.....165
检查项2:用户登录行为管理.....166
检查项3:登录失败日志管理.....166
检查项4:最小化访问.....167
16.3远程接入管理.....168
检查项1:远程管理制度.....168
检查项2:远程维护管理.....169
检查项3:远程维护审查.....169
16.4日常维护.....170
检查项1:系统性能监控.....170
检查项2:补丁及漏洞管理.....170
检查项3:日常维护管理.....171
检查项4:系统备份和故障恢复.....172
检查项5:病毒及恶意代码管理.....172
检查项6:定时进程设置管理.....173
检查项7:系统审计功能.....173
17.数据库管理系统.....175
17.1访问控制.....175
检查项1:身份认证.....175
检查项2:授权控制.....176
检查项3:远程访问.....177
检查项4:安全参数设置.....178
17.2日常管理.....178
检查项1:数据安全.....178
检查项2:审计功能.....179
检查项3:性能管理.....180
检查项4:补丁升级.....181
17.3连续性管理.....181
检查项1:备份和恢复.....181
检查项2:连续性和应急管理.....182
18.第三方中间件.....184
18.1产品管理.....184
检查项1:中间件测试.....184
检查项2:中间件管理.....184
检查项3:中间件与业务系统架构.....185
18.2运行管理.....185
检查项1:维护流程和操作手册.....185
检查项2:中间件配置管理.....185
检查项3:中间件日志管理的程序.....186
检查项4:中间件的性能监控.....186
检查项5:中间件产生的事件和问题管理.....187
检查项6:中间件的变更.....187
检查项7:单点故障问题和负载均衡.....187
检查项8:压力测试.....188
..............................
1.指南说明.....13
1.1目的及适用范围.....13
1.2编写原则.....14
1.3指南框架.....15
第二部分科技管理.....17
2.信息科技治理.....18
2.1董事会及高级管理层.....18
检查项1:董事会.....18
检查项2:信息科技管理委员会.....19
检查项3:首席信息官(CIO).....20
2.2信息科技部门.....21
检查项1:信息科技部门.....21
检查项2:信息科技战略规划.....23
2.3信息科技风险管理部门.....24
检查项1:信息科技风险管理部门.....24
2.4信息科技风险审计部门.....25
检查项1:信息科技风险审计部门.....25
2.5知识产权保护和信息披露.....26
检查项1:知识产权保护.....26
检查项2:信息披露.....26
3.信息科技风险管理.....28
3.1风险识别和评估.....28
检查项1:风险管理策略.....28
检查项2:风险识别与评估.....29
3.2风险防范和检测.....29
检查项1:风险防范措施.....29
检查项2:风险计量与检测.....30
4.信息安全管理.....32
4.1安全管理机制与管理组织.....32
检查项1:信息分类和保护体系.....32
检查项2:安全管理机制.....33
检查项3:信息安全策略.....34
检查项4:信息安全组织.....34
4.2安全管理制度.....35
检查项1:规章制度.....35
检查项2:制度合规.....36
检查项3:制度执行.....37
4.3人员管理.....38
检查项1:人员管理.....38
4.4安全评估报告.....39
检查项1:安全评估报告.....39
4.5宣传、教育和培训.....39
检查项1:宣传、教育和培训.....39
5.系统开发、测试与维护.....41
5.1开发管理.....41
检查项1:管理架构.....41
检查项2:制度建设.....43
检查项3:项目控制体系.....44
检查项4:系统开发的操作风险.....45
检查项5:数据继承和迁移.....46
5.2系统测试与上线.....47
检查项1:系统测试.....47
检查项2:系统验收.....49
检查项3:投产上线.....49
5.3系统下线.....50
检查项1:系统下线.....50
6.系统运行管理.....52
6.1日常管理.....52
检查项1:职责分离.....52
检查项2:值班制度.....53
检查项3:操作管理.....53
检查项4:人员管理.....54
6.2访问控制策略.....55
检查项1:物理访问控制策略.....55
检查项2:逻辑访问控制策略.....56
检查项3:账号及权限管理.....57
检查项4:用户责任及终端管理.....58
检查项5:远程接入的控制.....59
6.3日志管理.....60
检查项1:审计日志检查.....60
检查项2:日志信息的保护.....60
检查项3:操作日志的检查.....61
检查项4:错误日志的检查.....61
6.4系统监控.....62
检查项1:基础环境监控.....62
检查项2:系统性能监控.....62
检查项3:系统运行监控.....63
检查项4:测评体系.....64
6.5事件管理.....65
检查项1:事件报告流程.....65
检查项2:事件管理和改进.....66
检查项3:服务台管理.....67
6.6问题管理.....67
检查项1:事件分析和问题生成.....68
检查项2:台账管理.....68
检查项3:问题处置.....68
6.7容量管理.....69
检查项1:容量规划.....69
检查项2:容量监测.....70
检查项3:容量变更.....70
6.8变更管理.....71
检查项1:变更的流程.....72
检查项2:变更的评估.....72
检查项3:变更的授权.....73
检查项4:变更的执行.....73
检查项5:紧急变更.....74
检查项6:重大变更.....74
7.业务连续性管理.....76
7.1业务连续性管理组织.....77
检查项1:董事会及高管层的职责.....77
检查项2:业务连续性管理组织的建立.....78
检查项3:业务连续性管理组织职责.....79
7.2IT服务连续性管理.....80
检查项1:IT服务连续性计划的组织保障.....80
检查项2:风险评估及业务影响分析.....81
检查项3:IT服务连续性计划的制定.....81
检查项4:IT服务连续性计划的测试与维护.....82
检查项5:IT服务连续性计划审计.....83
检查项6:IT服务连续性相关领域的控制.....84
8.应急管理.....85
8.1应急组织.....85
检查项1:应急管理团队.....85
检查项2:应急管理职责.....86
检查项3:应急管理制度.....86
8.2应急预案.....87
检查项1:应急预案制订.....87
检查项2:应急预案内容.....87
检查项3:应急预案更新.....89
检查项4:外包服务应急.....89
检查项5:应急预案培训.....90
8.3应急保障.....90
检查项1:人员保障.....90
检查项2:物质保障.....90
检查项3:技术保障.....91
检查项4:沟通保障.....91
8.4应急演练.....92
检查项1:应急演练的计划.....92
检查项2:应急演练的实施.....92
检查项3:应急演练的总结.....93
8.5应急响应.....93
检查项1:应急响应流程.....93
检查项2:全程记录处置过程.....94
检查项3:应急事件报告.....95
检查项4:与第三方沟通.....95
检查项5:向新闻媒体通报制度.....96
检查项6:应急处置总结.....96
8.6持续改进.....97
检查项1:应急事件评估.....97
检查项2:应急响应评估.....97
检查项3:应急管理改进.....97
9.灾难恢复管理.....99
9.1灾难恢复组织架构.....99
检查项1:灾难恢复相关组织架构.....99
9.2灾难恢复策略.....101
检查项1:总体控制.....101
检查项2:灾难恢复策略.....101
检查项3:灾难备份策略.....103
检查项4:外包风险.....104
9.3灾难恢复预案.....105
检查项1:灾难恢复预案.....105
检查项2:联络与通讯.....106
检查项3:教育、培训和演练.....107
9.4评估和维护更新.....107
检查项1:灾备策略的评估和维护更新.....107
检查项2:灾难恢复预案的评估和维护更新.....108
10.数据管理.....109
10.1数据管理制度和岗位.....109
检查项1:数据管理制度.....109
检查项2:数据管理岗位.....110
10.2数据备份、恢复策略.....110
检查项1:数据备份、转储策略.....110
检查项2:数据恢复、抽检策略.....111
10.3数据存储介质管理.....112
检查项1:介质管理.....112
检查项2:介质的清理和销毁.....113
11.外包管理.....114
11.1外包管理制度.....114
检查项1:外包管理制度.....114
检查项2:外包审批流程.....114
检查项3:外包协议.....115
检查项4:服务水平协议.....115
检查项5:外包安全保密措施.....116
检查项6:外包文档管理.....116
11.2外包评估和监督.....117
检查项1:外包服务商的评估.....117
检查项2:外包项目的监督管理.....117
12.内部审计.....119
12.1内部审计管理.....119
检查项1:内部审计部门、岗位、人员和职责.....119
检查项2:内部审计制度和办法.....119
12.2内部审计要求.....120
检查项1:内部审计范围和频率.....120
检查项2:内部审计结果的有效性.....120
13.外部审计.....122
13.1外部审计资质.....122
检查项1:外部审计机构的资质.....122
13.2外部审计要求.....122
检查项1:商业银行配合外部审计情况.....122
检查项2:外部审计有效性.....123
检查项3:外审过程中的保密要求.....123
第三部分基础设施.....125
14.计算机机房.....126
14.1计算机机房建设.....126
检查项1:计算机机房选址.....126
检查项2:机房功能分区.....127
检查项3:计算机机房基础设施建设.....127
检查项4:计算机机房的环境要求.....130
检查项5:计算机机房日常维护.....131
14.2计算机机房管理.....132
检查项1:计算机机房安全管理.....132
检查项2:计算机机房集中监控系统.....133
检查项3:计算机机房安全区域访问控制.....134
检查项4:计算机机房运行管理.....135
14.3机房设备管理.....136
检查项1:机房设备的环境安全.....136
15.网络通讯.....137
15.1内控管理.....137
检查项1:内控制度.....137
检查项2:人员管理.....138
检查项3:访问控制.....138
检查项4:日志管理.....139
检查项5:第三方管理.....140
检查项6:服务外包.....141
检查项7:文档管理.....141
检查项8:风险评估.....142
15.2网络运行维护.....143
检查项1:运行监控.....143
检查项2:性能监控.....143
检查项3:流量监控.....144
检查项4:监控预警.....144
检查项5:性能调优.....144
检查项6:事件管理.....145
检查项7:运行检查.....145
15.3网络变更管理.....146
检查项1:变更发起.....146
检查项2:变更计划.....147
检查项3:变更测试.....147
检查项4:变更审批.....147
检查项5:变更实施.....148
15.4网络服务可用性.....149
检查项1:容量管理.....149
检查项2:冗余管理.....149
检查项3:带外管理.....150
检查项4:压力测试.....151
检查项5:应急管理.....151
15.5网络安全技术.....151
检查项1:结构安全.....151
检查项2:物理安全.....153
检查项3:传输安全.....153
检查项4:访问控制.....154
检查项5:接入安全.....155
检查项6:网络边界安全.....156
检查项7:入侵检测防范.....157
检查项8:恶意代码防范.....158
检查项9:网络设备防护.....158
检查项10:网络安全测试.....160
检查项11:安全审计日志.....161
检查项12:安全检查.....162
16.操作系统.....163
16.1账号及密码管理.....163
检查项1:管理制度.....163
检查项2:账号、密码管理.....163
检查项3:账号、密码管理检查.....165
16.2系统访问控制.....165
检查项1:访问控制策略.....165
检查项2:用户登录行为管理.....166
检查项3:登录失败日志管理.....166
检查项4:最小化访问.....167
16.3远程接入管理.....168
检查项1:远程管理制度.....168
检查项2:远程维护管理.....169
检查项3:远程维护审查.....169
16.4日常维护.....170
检查项1:系统性能监控.....170
检查项2:补丁及漏洞管理.....170
检查项3:日常维护管理.....171
检查项4:系统备份和故障恢复.....172
检查项5:病毒及恶意代码管理.....172
检查项6:定时进程设置管理.....173
检查项7:系统审计功能.....173
17.数据库管理系统.....175
17.1访问控制.....175
检查项1:身份认证.....175
检查项2:授权控制.....176
检查项3:远程访问.....177
检查项4:安全参数设置.....178
17.2日常管理.....178
检查项1:数据安全.....178
检查项2:审计功能.....179
检查项3:性能管理.....180
检查项4:补丁升级.....181
17.3连续性管理.....181
检查项1:备份和恢复.....181
检查项2:连续性和应急管理.....182
18.第三方中间件.....184
18.1产品管理.....184
检查项1:中间件测试.....184
检查项2:中间件管理.....184
检查项3:中间件与业务系统架构.....185
18.2运行管理.....185
检查项1:维护流程和操作手册.....185
检查项2:中间件配置管理.....185
检查项3:中间件日志管理的程序.....186
检查项4:中间件的性能监控.....186
检查项5:中间件产生的事件和问题管理.....187
检查项6:中间件的变更.....187
检查项7:单点故障问题和负载均衡.....187
检查项8:压力测试.....188
..............................
下一篇:尚无数据