1信息系统现场检查指南(架构)为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。二、检查要点(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。三、检查内容(一)信息科技公司治理和组织结构1.制度建设(1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制度制定、审批、修订和发布等流程的规范性。(2)检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查:各项制度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。(3)检查实施知识产权保护情况。重点检查:正版软件版本管理情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情况。22.组织结构(1)检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。重点检查:①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责;负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门的建设情况;信息科技风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。②该银行组织结构设计的战略定位,组织结构的合理性是否符合风险管理的需要;董事会和高管层面是否重视科技管理和信息科技规划工作;了解董事会对信息科技所担负的职责,管理层如何发挥对信息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清晰程度,了解内部平衡监督和放权的关系;分析对安全、质量和内部控制等的组织定位。(2)检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。重点检查:信息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容;评估近期、中期和远期关于信息科技的重大策略和目标的合理性。着重从以下几个方面了解:①银行如何利用信息科技技术更好地为企业创新服务,在进行信息科技治理时如何贯彻“以组织战略目标为中心’,的思想,确保信息科技资源与业务匹配;银行的信息科技投资是否与战略目标相一致;是否合理配置信息科技资源以实现面向服务的架构,核心业务系统是否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键战略决策中信息科技的融入程度,确保无信息孤岛现象。②信息科技规划中如何更好的控制风险,包括控制业务风险和控制由信息科技使用带来的风险。是否在信息科技建设规划每个环节考虑到风险因素,满足银行最低风险控制需要;是否考虑到风险管理系统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或风险系统中采集监管数据,以提高银行风险监管能力。③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平,比如可以按信息资产规模分为落后型、发展型、追随型和领先型。(3)检查高管层对本机构信息系统风险状况的控制程度。重点检查:是否定期组织内部评估、审计、报告本机构信息系统风险状况;针对存在的风险状况是否采取相应的风险控制措施,以及各项措施的卜具体内容环节、主要实施部门和评估结果;是否建立了对整改工作的监督机制。(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。重点检查:人员素质情况,包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构;人员在系统内的占比情况;内审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否有专职IT人员和已获得上岗证书的信息安全管理员;对信息科技人员的行为规范管理情况。(5)检查科技队伍培训、激励等管理机制的建设执行情况。重点检查:培训规划和历史记录,包括职业培训、岗前培训情况,相关职责所需专业知识和技能的实际符合情况;分析信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透明。(二)信息安全管理1.信息安全建设基本情况(1)检查内部科技风险管理机构对信息系统面临的风险开展评估的情况。重点检查:通过调阅该机构安全领导小组成立(或调整)的文件,其他与计算机安全相关的会议记录或文件,了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门,是否充分履行有关计算机安全管理和监督检查职责。(2)检查服务承包商和提供商与相关法律、法规等的符合程度。重点检查:通过调阅3该机构所有承包商和服务提供商的详细资料和合同文本,确认所有承包商和服务提供商是否符合法律法规要求,合同文本是否符合法律要求(如数据保护法规),是否明确各自的安全责任,是否有确保业务资产的完整性和保密性的条款等。(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。重点检查:调阅与计算机系统运行、安全保障和文档管理等相关规章制度,其范围除自行制定的制度还包括转发的上级文件,审计是否建立必要的计算机安全制度,审核各类制度的科学性、严密性和可操作性。2.逻辑访问风险控制情况(1)检查访问控制业务要求、策略要求和访问规则的制订情况。重点检查:通过阅读源程序或第三方业务系统安全审计报告,确定该机构的业务系统是否制订访问控制的业务要求、策略要求和访问规则,并确定其安全性、完备性。(2)检查访问用户的注册管理制度。重点检查:是否制定了正式的用户注册和取消注册程序,规范对所有多用户信息系统与服务的访问授权。是否使用唯一用户ID使用户对其操作负责(组ID只有适合所进行的工作,才允许使用),用户离开组织时是否立即取消其用户ID,是否定期检查并取消多余的用户ID和帐户。(3)检查访问用户的权限管理和权限检查流程。重点检查:是否建立了正式的用户的权限管理和权限检查程序,系统所有者对信息系统或服务授予的权限是否合适业务的开展,所授予的访问权限级别是否与组织的安全策略相一致,例如它会不会影响责任划分;用户因工作变更或离开组织时是否立即取消其访问权限;用户权限设定是否采用双人复核;是否对用户访问权限分配进行定期检查确保没有对用户授予非法权限。(4)检查访问用户的口令管理。重点检查:是否采用了正式的管理程序来控制口令的分配,是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令,用户忘记口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令,是否还采用了其他的用户身份识别和验证技术(如生物统计学中的指纹鉴定;建立新的用户,是否建立了申请审批程序,并采用双人控制。(5)检查访问用户的责任管理。重点检查:所有用户是否做到避免在纸上记录口令,只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令,是否选用高质量的口令,是否定期更改口令。3.网络安全控制情况(1)检查网络管理和网络服务的安全策略制定情况。重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络和网络服务的安全策略,并确定此策略是否业务访问控制策略相一致。(2)检查实施网络控制的安全手段。重点检查:通过调阅网络建设文档或第三方网络安全审计报告,确定该机构是否制定网络控制的安全途径,并确定实施控制的路径的要求是否是业务访问控制策略所必要的,是否通过专线或专门电话号码联网,是否自动将端口连接到指定应用系统或安全网关,是否限制个人用户的菜单和子菜单选项,是否防止无限制的网络漫游,是否强制外部网络用户使用指定应用系统和/或安全网关,是否为组织内用户组设置不同的逻辑域(如虚拟专用网)来限制网络访问。(3)检查外部连接的用户身份验证方法。重点检查:是否通过使用加密技术、硬件标记或问答协议对远程用户访问进行身份验证,对于专线用户是否安装了网络用户地址检查工具来对连接源提供安全保障,对拨号用户是否使用反向拨叫程序和控制措施(如使用反向拨叫调制解调器)可以防止与组织信息处理设施的非法连接和有害连接。(4)检查远程诊断端口的保护情况。重点检查:是否使用适当的安全机制(如密钥锁)对诊断端口进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行4适当的安排后才能访问。(5)检查网络的划分和路由控制情况。重点检查:是否在网络内采用一些控制措施把信息服务组、用户组和信息系统组分割成不同的逻辑网络域(如组织的内部网络域和外部网络域),每个域都使用一个明确的安全界限来加以保护,是否在两个要互连的网络之间安装一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动,是否对该网关配置,访问控制策略来阻止非法访问。4.环境风险情况(1)检查对保密设备和计算机机房进行安全保护的情况。重点检查:是否为保密设备和计算机机房划分独立安全区域,安全保护区的没置是否合理,是否建立全方位的安全防护,以防止有人未经授权进入安全区。(2)检查安全区出入的控制措施和制度制定执行情况。重点检查:通过查阅制度和各类文字或电子台帐,确定该机构是否有完备的安全区出入控制,是否经常审查并更新有关安全区域访问权限的规定,是否将安全区域的来访者的身份、进入和离开安全区域的日期和时间记录在案,是否有严格限定,经过授权的人才能访问敏感信息,是否有专人对出入控制措施和制度的落实情况进行定期、不定期的检查。(3)检查安全区内设备使用和维护管理情况。重点检查:是否按专业标准安装入侵检测系统对无人区域进行24小时的报警监视,由该机构自己管理的信息处理设备是否与由第三方管理的信息处理设备分开,是否将危险或易燃材料存储在安全的地方,与安全区保持安全距离,应急设备和备份介质的存储位置与主安全区域是否保持一个安全距离,以防止主安全区域发生的灾难事件殃及这些设备。(4)检查安全区的防雷、电和火等安全措施实施情况。重点检查:通过调阅相关检测报告维护记录,确定安全区是非通过配置不间断电源设备、采用双路供电系统、配备发电机等手段保障不间断性供电;其采用的各种方式是否能满足业务系统不间断供电需求,是否按相关法规要求配备消防系统并保证其正