搜索
合规性要求介绍页数1招商银行信息系统内部审计培训招商银行信息系统内部审计培训合规性要求介绍2009年3月合规性要求介绍页数2招商银行信息系统内部审计培训1234中国银监会要求上交所要求SOX404要求C-SOX要求目录5国际监管机构相关法律法规合规性要求介绍页数3招商银行信息系统内部审计培训1234中国银监会要求上交所要求SOX404要求C-SOX要求目录5国际监管机构相关法律法规合规性要求介绍页数4招商银行信息系统内部审计培训中国银监会要求《商业银行内部控制指引》《银行业金融机构信息系统风险管理指引》电子银行监管要求《电子银行业务管理办法》《电子银行安全评估指引》信用卡监管要求《关于加强银行卡安全管理有关问题的通知》《关于发卡业务风险管理的通知》不定期的监管要求《2006年度信息科技风险内部和外部评价审计》《银行业金融机构信息科技风险奥运专项自查》合规性要求介绍页数5招商银行信息系统内部审计培训商业银行内部控制指引《商业银行内部控制指引》第八章计算机信息系统的内部控制,在如下方面对信息系统内部控制进行了要求:内部控制制度职责分离项目开发和维护软硬件采购机房安全网络管理用户帐号和密码管理数据管理系统安全设置防病毒日志和审计电子银行安全应用系统控制备份管理灾备和应急合规性要求介绍页数6招商银行信息系统内部审计培训银行业金融机构信息系统风险管理指引适用机构:在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构信息系统范围:银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统合规性要求介绍页数7招商银行信息系统内部审计培训银行业金融机构信息系统风险管理指引内容概述:定义银行业金融机构中负责信息系统风险管理的角色和职责要求加强信息系统风险管理的专业队伍建设要求制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制在如下各个层面具体实施风险管理控制,并进行定期审计:总体风险控制研发风险控制运行维护风险控制外包风险控制合规性要求介绍页数8招商银行信息系统内部审计培训指引对金融机构的影响为银行业金融机构提供信息系统风险管理的参考标准,帮助改进组织内部的信息系统风险管理水平要求银行业金融机构管理层在信息系统风险管理上承担更大的责任和投入更多的资源,设计和实施各个层面的风险控制措施对银行业金融机构提出了更多的内部和外部的信息系统风险管理监管要求合规性要求介绍页数9招商银行信息系统内部审计培训指引对金融机构的影响(续)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告至少每3年对机构内信息系统进行一次整体风险审计对信息系统实施投产前和投产后的系统审计对信息安全事故、信息系统重大调整或按特殊需要实施信息系统专项审计银监会依据《银行业金融机构信息系统风险管理指引》不定期发布信息系统风险评估要求,例如:“2006年度信息科技风险内部和外部评价审计”和“银行业金融机构信息科技风险奥运专项自查”对银行业金融机构信息系统风险管理的监管要求合规性要求介绍页数10招商银行信息系统内部审计培训指引对金融机构的影响(续)根据《银行业金融机构信息系统风险管理指引》的相关要求,对机构内信息系统进行风险控制评估,提出评估发现和建议。审计的内容要点包括:信息科技制度和流程建设信息科技组织结构和人力资源管理信息系统开发管理信息系统变更管理信息系统设计开发外包管理逻辑访问的风险控制网络安全管理物理环境安全管理物理访问的风险控制软件的风险控制信息系统基础架构变更管理信息系统容量管理信息系统日常运行风险风险控制运行和安全监控灾难恢复计划业务连续性计划信息系统风险管理审计内容合规性要求介绍页数11招商银行信息系统内部审计培训指引对金融机构的影响(续)信息系统投产前和投产后审计投产前系统审计对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议。应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。投产前的系统审阅重点:被外界成功攻破的可能性在内部安全控制方面的设计漏洞与缺陷项目开发管理方面的问题效率与效能功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性合规性要求介绍页数12招商银行信息系统内部审计培训指引对金融机构的影响(续)信息系统投产前和投产后审计(续)投产后系统审计信息系统投入生产一段时间后进行的审计,旨在评估对信息系统各项风险的控制是否恰当,能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半年后进行,审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。合规性要求介绍页数13招商银行信息系统内部审计培训电子银行监管要求电子银行在我国获得了迅速发展,且电子银行业务的运作方式也发生了深刻变化,电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出,所以银行业很有必要强化电子银行风险监管,防范电子银行业务风险,规范电子银行业务发展中国银监会于2006年3月发布了《电子银行业务管理办法》和《电子银行安全评估指引》,要求银行业金融机构强化电子银行系统的安全评估,将安全评估作为经营电子银行业务的必要条件和对电子银行业务风险管理的重要手段合规性要求介绍页数14招商银行信息系统内部审计培训电子银行监管要求(续)另外,中国人民银行于2008年2月19日发布了由人民银行、中国银监会、中国证监会、中国保监会共同制定的《金融业发展和改革“十一五”规划》,要求“加强金融基础设施体系建设,保障金融运行”,对增强金融信息安全保障能力作出了明确部署:制定银行业的客户信息、支付清算、财务信息等行业标准,建立安全高效的银行信息网络建立和完善以身份鉴别、授权访问和跟踪审计为主要内容的金融网络信任体系,保障信息传输、使用和存储安全加大金融行业信息安全监管力度,防范系统性信息技术风险合规性要求介绍页数15招商银行信息系统内部审计培训《电子银行业务管理办法》介绍背景随着国际和国内电子银行业务的迅速发展,为规范商业银行利用互联网开展银行业务,中国人民银行曾于2001年6月制定颁布了《网上银行业务管理暂行办法》。其初步规范了商业银行利用互联网开展银行业务的行为,但也存在下列问题:►主要规范网上银行业务,未涉及利用同一平台开展的手机银行业务、个人数字辅助(PDA)银行业务等的监管与规范;►与国际上以网络银行(InternetBanking)或电子银行(ElectronicBanking)作为法律规范对象的通常做法差异较大;►未对跨境电子银行业务做出详细监管规定。为适应不断发展的电子银行业务的运作方式和管理方式,中国银监会于2006年3月发布了《电子银行业务管理办法》,旨在规范电子银行业务发展的基础上,进一步促进电子银行业务的健康、有序发展,保护客户的合法权益。合规性要求介绍页数16招商银行信息系统内部审计培训定义范围:电子银行业务,指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。主要包括以下方面:►利用计算机和互联网开展的银行业务(“网上银行业务”)►利用电话等声讯设备和电信网络开展的银行业务(“电话银行业务”)►利用移动电话和无线网络开展的银行业务(“手机银行业务”)►其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务(“自助银行业务”、“ATM机业务”、“POS机业务”等)《电子银行业务管理办法》介绍(续)合规性要求介绍页数17招商银行信息系统内部审计培训《电子银行业务管理办法》介绍(续)适用主体:►银行业金融机构►金融资产管理公司►信托投资公司►财务公司►金融租赁公司►银监会批准设立的其他金融机构►依据《中国外资金融机构管理条例》设立的外资金融机构合规性要求介绍页数18招商银行信息系统内部审计培训《电子银行业务管理办法》介绍(续)主要内容:►业务申请与变更►业务风险管理►业务数据交换与转移管理►业务外包管理►跨境业务活动管理►银监会对业务的监督管理►金融机构担负的法律责任合规性要求介绍页数19招商银行信息系统内部审计培训《电子银行业务管理办法》介绍(续)第七章银监会对业务的监督管理►第75条:银监会对电子银行业务实施非现场监管、现场检查和安全监测,对电子银行安全评估实施管理,并对电子银行的行业自律组织进行指导和监督►第77条:金融机构应定期对电子银行业务发展与管理情况进行自我评估,并应每年编制《电子银行年度评估报告》(需报送银监会)►第80条:金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度,并保持与监管部门的经常性沟通►第81条:银监会根据监管需要,可以对金融机构的电子银行业务实施现场检查,也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查►第85条:金融机构应定期对电子银行系统进行安全评估,并将其作为电子银行风险管理的重要组成部分合规性要求介绍页数20招商银行信息系统内部审计培训《电子银行业务管理办法》介绍(续)第八章法律责任►第89条:因电子银行系统存在安全隐患、金融机构内部违规操作等非客户原因造成损失的,金融机构应当承担相应责任►第90条:未经批准开办、增加或变更电子银行业务类型造成客户损失的,金融机构应当承担相应责任►第91条:因其他金融机构或者其他金融机构的外包服务商失职等原因造成客户的损失,由其他金融机构承担责任►第92条:开展电子银行业务违反相关法律法规和行政规章的,银监会依据规定予以处罚…开展电子银行业务违反审慎经营规则但尚不构成违法违规,并导致电子银行系统存在较大安全隐患的,银监会将责令限期改正合规性要求介绍页数21招商银行信息系统内部审计培训《电子银行安全评估指引》介绍总则:依据《电子银行业务管理办法》制定本指引,是对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面安全测试和管控能力考察及评价的指引。►第三条:至少每2年对电子银行进行一次全面的安全评估►第四条:利用外部专业化评估机构或内部独立评估部门进行的安全评估►第五条:建立安全评估的规章制度体系和工作规程►第六条:接受中国银行业监督管理委员会的监督指导合规性要求介绍页数22招商银行信息系统内部审计培训《电子银行安全评估指引》介绍(续)安全评估机构:规定了具有电子银行安全评估资质的金融机构:►金融机构外部从事电子银行安全评估的社会专业化机构►金融机构内部从事电子银行安全评估具备相应条件的相对独立部门合规性要求介绍页数23招商银行信息系统内部审计培训《电子银行安全评估指引》介绍(续)安全评估的实施:评估机构应采用量化的办法表明被评估机构电子银行的风险等级,说明被评估机构电子银行安全管理中存在的主要问题与隐患,并提出整改建议。现场评估提交评估报告评估启动►沟通并确定评估范围、重点、时间与要求等►制定评估计划►双方签字认可进场对委托机构的电子银行系统的安全性进行评估,包括:►安全策略►内控制度建设►风险管理状况►系统安全性►电子银行业务运行连续性计划►电子银行业务运行应急计划►电子银行风险预警体系►其他重要安全环节和机制的管理评估报告应包括:►评估时间、范围等约定►评估总体框架、程序、主要方法、主要评估人员►风险权重的确定标准,风险等级的计算方法及风险等级的定义►评估内容及活动描述►评估结论►安全管理的建议►需要说明的问题►术语定义和采用的国际或国内标准介绍►评估工作流程记录表►参加评估人员名单合规性要求介绍页数24招商银行信息