農(nóng)發(fā)行山東省分行-商業(yè)銀行分支機構(gòu)信息科技風險快速巡

1、1 / 30 商業(yè)銀行分支機構(gòu)信息科技風險快速巡查單一、基本信息巡查承擔機構(gòu)：xx 銀監(jiān)局信息科技監(jiān)管處被巡查機構(gòu)：中國農(nóng)業(yè)發(fā)展銀行xx 省分行巡查目的：巡查負責人：房世暉巡查員：王麗穎巡查日期：2013年 4 月 22 日二、巡查方法現(xiàn)場巡查以訪談、實地查看為主，抽樣查閱資料、安全測試為輔，其中抽樣規(guī)則原則上定義為：1.文檔或記錄類型的資料，如會議記錄、演練記錄等，抽樣數(shù)以近三個月巡查項總數(shù)的5為抽樣基準， 也可根據(jù)訪談情況做出判定；如出現(xiàn)小數(shù)點，以四舍五入取整數(shù)；如果計算出的抽樣數(shù)小于 2，則至少取 2 個樣例，如抽樣數(shù)大于5，則取 5 個樣例；2.設(shè)備類、系統(tǒng)類原則上抽樣5 臺（套），同

2、時注意樣本分布結(jié)構(gòu)；2 / 30 3.如需對網(wǎng)點進行巡查，網(wǎng)點的巡查數(shù)量控制在3 家之內(nèi)，隨機抽取。三、巡查內(nèi)容：第一部分：組織架構(gòu)1. 信息科技風險“三道防線”是否完整？風險控制部負責整體信息科技風險: 是否科技部負責信息科技工作日常防x: 是否審計部承擔信息科技審計職能: 是否備注（事實依據(jù)）：巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 風險管理部制定了信息科技風險管理職責，但未制定相應(yīng)的信息科技風險管理策略、制度、操作流程，也未配備具有相應(yīng)資質(zhì)的人員。2. 高管層在信息科技工作中履職是否到位？有主管科技工作的行級領(lǐng)導(dǎo): 有無高管層對監(jiān)管部門的監(jiān)管制度較為了解: 是否進行信息科技重大投

3、入決策: 是否審閱信息科技年度工作報告和工作計劃：是否3 / 30 審閱信息科技風險評估報告并組織制定風險控制策略：是否審閱信息科技審計報告并督促整改：是否備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 高管層未組織制定風險控制策略。3. 是否建立完整的信息安全管理組織架構(gòu)，并正常開展工作？設(shè)立信息安全崗位負責機構(gòu)信息安全的日常管理工作：是否定期開展信息安全管理開展工作并有相應(yīng)的文檔資料：是否制定信息安全責任制度：有無員工信息安全職責明確：是否備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 4 / 30 4. 科技崗位設(shè)置是否符合規(guī)定？信息技術(shù)部

4、科室、崗位設(shè)置按照總行要求進行：是否項目維護人員有角設(shè)置：是否關(guān)鍵業(yè)務(wù)操作（如：重要密碼輸入、重要參數(shù)修改等）采用雙人進行：是否信息科技運行與系統(tǒng)開發(fā)和維護分離：是否備注 （事實依據(jù)） ： 信息科技處不承擔涉與生產(chǎn)系統(tǒng)的開發(fā)。巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 1.信息科技處明確了崗位和職責，但由于人員較少， 兼崗現(xiàn)象比較突出；重要崗位未制定詳細完整的工作手冊并適時更新。2.各運維人員共用所維護系統(tǒng)的同一用戶、密碼，且全部使用超級用戶，不能滿足最小權(quán)限原則。5. 是否進行人員安全管理？招聘新員工時， 要求技術(shù)人員具備良好的職業(yè)道德，并掌握履行信息系統(tǒng)相關(guān)崗位職責所需的專業(yè)知識和技能

5、：5 / 30 是否技術(shù)人員未經(jīng)崗前培訓或培訓不合格者不得上崗：是否經(jīng)考核不合格的技術(shù)人員，與時進行調(diào)整：是否與重要崗位人員簽訂xx 協(xié)議：是否當技術(shù)人員調(diào)離重要崗位時按xx 協(xié)議對其設(shè)置脫密期， 并進行審查：是否備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 6. 制度落實情況如何？以適當?shù)姆绞綄⒈O(jiān)管部門和上級行的信息科技工作要求傳達給所有員工：是否根據(jù)監(jiān)管部門和上級行的制度要求制訂適合實際的操作流程和實施細則：是否總行或分行對制度的落實情況定期進行檢查,有詳細的檢查報告：是否6 / 30 定期對技術(shù)人員進行信息安全教育培訓,如：防病毒、網(wǎng)絡(luò)攻擊等：是否員工熟悉和了解

6、各自崗位的信息安全要求：是否備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 未根據(jù)商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引、商業(yè)銀行信息科技外包風險監(jiān)管指引、銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)與變更管理辦法要求制訂適合實際的操作流程和實施細則。7. 是否確保軟件產(chǎn)品在授權(quán)準許下使用？是否備注（事實依據(jù)）：巡查方法： 抽樣需關(guān)注的問題（根據(jù)需要填寫）: 第二部分：機房管理7 / 30 1. 新(改)建機房建設(shè)是否符合規(guī)定？可行性報告：有無向監(jiān)管部門報告：是否獲得總行的批復(fù)：是否通過有資質(zhì)的質(zhì)檢部門和消防部門等有關(guān)部門的檢查驗收：是否按照功能區(qū)域?qū)崿F(xiàn)不同等級的物理分區(qū)：是否備注（事實依據(jù)）

7、：機房近幾年內(nèi)未進行大規(guī)模機房新（改）建工作。巡查方法： 實地查看和查閱資料需關(guān)注的問題（根據(jù)需要填寫）: 1. 機房空間較小，功能區(qū)域劃分不規(guī)x；機房存放了帶易燃包裝盒的庫存設(shè)備與物品。2.機房布局不合理，進入機房存放空調(diào)、ups 等設(shè)備的區(qū)域，需穿過存放服務(wù)器和網(wǎng)絡(luò)設(shè)備的核心區(qū)域。2. 機房監(jiān)控是否有效？電視監(jiān)控錄像的保存時間達到3 個月：是否監(jiān)控覆蓋哪些重要場所：主機房網(wǎng)絡(luò)機房電源室運行、監(jiān)控值班室8 / 30 中心機房走道外門部分業(yè)務(wù)部門的重要機房（銀行卡打卡室、 swift 室）攝像頭電源由ups 專線供電：是否重要場所監(jiān)控是否無死角：是否備注（事實依據(jù)）：巡查方法： 實地查看和抽樣

8、需關(guān)注的問題（根據(jù)需要填寫）: 機房內(nèi)共有 3 路視頻監(jiān)控， 存在盲區(qū)； 檢查時點， 其中一路視頻監(jiān)控失效。3. 機房網(wǎng)絡(luò)布線是否整齊？機柜上方和地板下方用線槽整齊：是否機柜內(nèi)線整理整齊：是否機房各類布線貼有標簽：是否標簽內(nèi)容規(guī) x：是否標簽位置合理：是否備注（事實依據(jù)）：巡查方法： 實地查看需關(guān)注的問題（根據(jù)需要填寫）: 設(shè)備標簽內(nèi)容較為簡單。9 / 30 4. 中心機房是否落實值班要求？機房安保 24 小時值班：是否科技部門已安排7*24 小時在行值班：是否值班人員記錄所有可疑故障和實際發(fā)生的事故，并同時記錄處理過程、處理人、處理時間、影響業(yè)務(wù)時間：是否出入機房已實行審批登記：是否機房運行

9、值班人員與開發(fā)、維護人員分離：是否值班人員定期進行巡檢：是否備注 （事實依據(jù)） ： 值班人員對機房的巡檢頻率是每天兩次。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 機房值班與巡檢信息錄入“信息技術(shù)綜合管理系統(tǒng)”（itms ），但該系統(tǒng)用戶權(quán)限管理不嚴格，個人用戶可修改已登記信息，且可以查看、修改其他用戶的登記信息。5. 機房是否實行門禁管理？制、讀卡等門禁管理工作統(tǒng)一管理：是否生產(chǎn)機房采用門禁系統(tǒng)：是否進入生產(chǎn)機房實行書面授權(quán)：是否10 / 30 外來人員進入機房采取的控制措施：嚴格授權(quán)專人陪同固定區(qū)域規(guī)定時間禁止攝影、錄像、錄音或其他記錄設(shè)備備注（事實依據(jù)）：巡查方法： 訪談需關(guān)注

10、的問題（根據(jù)需要填寫）: 6. 機房是否實行消防安全管理？消防報警系統(tǒng)是否年檢并有證書：是否配備滅火器并按規(guī)定定期檢查滅火器材：是否定期進行消防演練和培訓并保存相關(guān)記錄：是否使用何種類型的消防滅火器材（在備注欄填寫具體型號）備注（事實依據(jù)）： 使用七氟丙烷的消防滅火器材巡查方法： 訪談和實地查看需關(guān)注的問題（根據(jù)需要填寫）: 7. 機房照明是否有保障？機房內(nèi)有應(yīng)急照明：是否應(yīng)急照明接入ups ：是否機房內(nèi)視頻監(jiān)控的區(qū)域有值班照明：是否11 / 30 視頻監(jiān)控區(qū)域值班照明接入ups ：是否備注（事實依據(jù)）：巡查方法： 實地查看需關(guān)注的問題（根據(jù)需要填寫）: 8. 機房 ups 供電是否有保障？機

11、房配電系統(tǒng)為雙路供電：是否ups 為機房設(shè)備供電專用：是否供電系統(tǒng)設(shè)置防雷擊保護裝置：是否ups 配備模式：n+1 2n+1 ups 供電 x 圍：主機系統(tǒng)網(wǎng)絡(luò)通訊設(shè)備值班照明應(yīng)急照明ups 負載小于有效輸出功率的80% ：是否ups 滿載后備時間大于30 分鐘：是否ups 電池定期放電檢測 : 是否ups 有專業(yè)公司進行維護保養(yǎng): 是否備注（事實依據(jù)）：巡查方法： 訪談和實地查看需關(guān)注的問題（根據(jù)需要填寫）: 12 / 30 9. 機房其他供電情況是否可用？發(fā)電機功率能保證對機房ups 供電：是否發(fā)電機定期保養(yǎng)（備注填寫本季度保養(yǎng)的時間與內(nèi)容）：是否發(fā)電機定期進行切換演練：是否發(fā)電機切換演練

12、有記錄：是否發(fā)電機為機房ups 供電備份專用：是否未配備發(fā)電機使用其他供電保障措施或方案（備注填寫供電保障措施）：是否備注（事實依據(jù)）：無自有發(fā)電機，租用發(fā)電車。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 10. 機房空調(diào)管理是否符合要求？機房溫度控制在22 左右：是否機房濕度在 45%-65%：是否13 / 30 發(fā)電機為機房ups 供電備份專用：是否發(fā)電機是否為機房空調(diào)供電：是否b 類機房精密空調(diào)控制模塊配置是n+1 冗余方式：是否定時檢查機房溫度和濕度：是否空調(diào)設(shè)備有專業(yè)公司進行維護保養(yǎng)：是否備注（事實依據(jù)）：環(huán)境監(jiān)控系統(tǒng)對溫濕度進行實時監(jiān)測，超出閥值將通過短信提示維護人員。無

13、自有發(fā)電機， 租用發(fā)電車。巡查方法： 訪談和實地查看需關(guān)注的問題（根據(jù)需要填寫）: 11. 機房其他防護設(shè)施是否符合要求？機房內(nèi)地面、天花板和墻面有無滲漏水：有無漏水報警裝置正常工作：是否設(shè)置防鼠害的有關(guān)措施：是否備注（事實依據(jù)）：巡查方法： 訪談和實地查看需關(guān)注的問題（根據(jù)需要填寫）: 第三部分：運行管理14 / 30 1. 運維管理是否符合安全要求？非正常工作時間進出工作場所經(jīng)過批準且有相關(guān)記錄：有無禁止異地遠程維護生產(chǎn)系統(tǒng)和生產(chǎn)數(shù)據(jù)（除總行之外）：是否是否收集、保管各類日志，并定期是否備注（事實依據(jù)）：未進行24 小時運維值班，非正常工作時間內(nèi)無進入機房需求。巡查方法： 訪談和抽樣需關(guān)注

14、的問題（根據(jù)需要填寫）: 1.未建立事件和問題管理機制，未建立問題根源分析與跟蹤解決機制。2.未建立日志管理流程，未對門禁、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、 應(yīng)用系統(tǒng)等各種日志進行集中保存，也未對日志進行定期分析。2. 是否實施變更管理？變更管理有嚴格的授權(quán)辦法、操作流程：有無生產(chǎn)變更在非工作時段或業(yè)務(wù)空閑時段進行：是否生產(chǎn)變更有書面計劃：是否變更經(jīng)過測試、審批、上線、驗收：是否15 / 30 生產(chǎn)變更雙人操作、復(fù)核：是否生產(chǎn)變更有詳細操作記錄：有無變更管理是否有回退機制：有無備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 變更管理機制尚不完善，未建立變更管理制度，未根據(jù)對

15、業(yè)務(wù)影響大小進行變更分級，變更應(yīng)急回退措施較為簡單。3. 是否實施備份管理？前置機和重要信息系統(tǒng)的操作系統(tǒng)、日志、應(yīng)用程序、數(shù)據(jù)庫、生產(chǎn)數(shù)據(jù)、配置信息定期進行備份：是否定期對備份的可用性進行檢查或抽查并做記錄：是否備份的傳送、存放、使用和銷毀符合規(guī)定：是否備注（事實依據(jù)）：通過ftp 方式將大小額系統(tǒng)、驗印系統(tǒng)數(shù)據(jù)庫備份至位于xx 的異地備份中心。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 1.未建立專門的數(shù)據(jù)管理辦法、備份辦法或策略， 也無數(shù)據(jù)銷毀的相關(guān)規(guī)定。16 / 30 2.ftp 屬簡單網(wǎng)絡(luò)傳輸協(xié)議，不能保障數(shù)據(jù)傳輸安全。4. 是否實施網(wǎng)絡(luò)管理？制定網(wǎng)絡(luò)運行管理的相關(guān)規(guī)定、操

16、作流程：是否規(guī) x 記錄或者監(jiān)控網(wǎng)絡(luò)配置修改等維護修改操作：是否各部門計算機經(jīng)相關(guān)部門批準后方可接入國際互聯(lián)網(wǎng)：是否本機構(gòu)與總行、網(wǎng)點、災(zāi)備中心通訊線路有備份：有無本機構(gòu)與重要外聯(lián)單位（如銀聯(lián)等）通訊線路有備份：有無定期檢查備份通訊線路：是否網(wǎng)絡(luò)故障有記錄與原因分析：有無備注（事實依據(jù)）：外聯(lián)單位僅有人民銀行與銀監(jiān)局。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 1.辦公網(wǎng)部分計算機采用動態(tài)ip，無 ip 地址管理措施。2.生產(chǎn)網(wǎng)計算機采用靜態(tài)ip，但未登記 ip 使用人員。3.未建立客戶端計算機準入、認證機制。4.網(wǎng)絡(luò)故障記錄與原因分析不完善。17 / 30 5. 是否實施安全產(chǎn)品管

17、理？安全專用產(chǎn)品屬于總行統(tǒng)一選型：是否安全專用產(chǎn)品與時進行升級和維護并登記備案：是否使用總行統(tǒng)一的網(wǎng)絡(luò)防病毒產(chǎn)品：是否所有 windows終端與服務(wù)器均安裝病毒防護軟件：有無定期進行防病毒軟件升級：是否建立病毒發(fā)現(xiàn)響應(yīng)策略和處理流程：是否部署安裝 ids ，控制臺正常：是否對 ids 日志記錄進行分析：是否本機構(gòu)與外聯(lián)單位網(wǎng)絡(luò)邊界部署防火墻：是否備注（事實依據(jù)）： 外聯(lián)單位僅有人民銀行與銀監(jiān)局；生產(chǎn)網(wǎng)、 辦公網(wǎng)均出現(xiàn)中毒計算機。 省行的網(wǎng)絡(luò)結(jié)構(gòu)由總行統(tǒng)一制定，部署了外部防火墻，具有邊界防火墻的功能。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 對 ids 事件分析不完善。6. 是否實施

18、設(shè)備管理？存儲 xx 、秘密資源設(shè)備維修、更換或報廢時：刪除數(shù)據(jù)拆除涉密部件18 / 30 廢棄、銷毀含xx 資源或秘密資源的介質(zhì)有審批手續(xù)和登記記錄：有無不使用互聯(lián)網(wǎng)計算機處理涉密材料和儲存秘密級以上文件：是否離開辦公座位時， 工作桌面上所有內(nèi)部資料、存有 xx 或敏感信息的磁盤或其他可移動介質(zhì)等妥善鎖入文件柜中或存放在指定的保險箱中，并鎖定計算機：是否移動存儲設(shè)備使用符合規(guī)定：是否備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 未采用技術(shù)手段控制移動介質(zhì)在網(wǎng)間交叉使用。7. 數(shù)據(jù)安全的部署情況如何？系統(tǒng)管理員密碼保管與回收流程：多人完全掌握普通用戶離職后：賬戶刪除賬

19、戶禁用數(shù)據(jù)訪問人員授權(quán)：按需進行區(qū)分和最小必要授權(quán) 不區(qū)分，授予一樣權(quán)限無授權(quán)機制19 / 30 重要數(shù)據(jù)的存儲介質(zhì)過期后是否銷毀：是否銷毀機構(gòu)名稱：辦公室、信息科技處人員變動時辦公用計算機磁盤信息是否清理或刪除：是否備注（事實依據(jù)）：巡查方法： 訪談和實地查看需關(guān)注的問題（根據(jù)需要填寫）: 8. 是否采取措施避免信息泄露？不存在敏感信息泄漏的現(xiàn)象（如密碼，ip 等）：是否生產(chǎn)系統(tǒng)設(shè)置帶密碼的屏幕保護：是否系統(tǒng)無人使用時，處于鎖定狀態(tài)：是否對公共開放區(qū)域的信息設(shè)備采取有效的保護控制措施（如網(wǎng)點營業(yè)廳等公開區(qū)域的設(shè)備是否采用專人監(jiān)控，屏幕密碼保護等措施）：是否網(wǎng)點自助區(qū)不存在網(wǎng)線、端口外露的現(xiàn)象

20、：是否備注（事實依據(jù)）： 沒有公共開放區(qū)域與網(wǎng)點自助區(qū)的信息20 / 30 設(shè)備。生產(chǎn)系統(tǒng)中服務(wù)器端設(shè)置帶密碼的屏幕保護，系統(tǒng)無人使用時，處于鎖定狀態(tài)。 生產(chǎn)系統(tǒng)中柜員客戶端未設(shè)置帶密碼的屏幕保護。巡查方法： 訪談和實地查看需關(guān)注的問題（根據(jù)需要填寫）: 綜合業(yè)務(wù)系統(tǒng)無超時退出機制。第四部分：業(yè)務(wù)連續(xù)性1. 是否建立多部門一體的應(yīng)急處理指揮體系？建立了突發(fā)事件管理小組以負責管理突發(fā)事件: 是否突發(fā)事件管理小組成員包括機構(gòu)業(yè)務(wù)、科技和保障部門人員: 是否建立突發(fā)事件管理指揮中心，為突發(fā)事件管理小組提供必要的工作場地和設(shè)施 : 是否建立突發(fā)事件恢復(fù)工作小組，并在所有的重要環(huán)節(jié)指定了替補人員：是否備

21、注（事實依據(jù)）：巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 21 / 30 未建立業(yè)務(wù)連續(xù)性日常管理組織架構(gòu)，未設(shè)立業(yè)務(wù)連續(xù)性管理委員會，未明確業(yè)務(wù)連續(xù)性管理主管部門、執(zhí)行部門、保障部門； 未開展業(yè)務(wù)影響分析， 未明確重要業(yè)務(wù)恢復(fù)時間目標 （rto ） 、業(yè)務(wù)恢復(fù)點目標（ rpo）；未建立全行性、覆蓋所有重要業(yè)務(wù)的業(yè)務(wù)連續(xù)性計劃。2. 是否制定應(yīng)急預(yù)案并定期演練？制定相關(guān)技術(shù)應(yīng)急預(yù)案和操作流程: 是否應(yīng)急預(yù)案符合重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)x要求 : 是否對負責業(yè)務(wù)恢復(fù)人員與備用人員的劃分次序、x 圍，并將通訊方式，包括下班后的聯(lián)絡(luò)信息，配備至相關(guān)人員手中: 是否制定業(yè)務(wù)恢復(fù)優(yōu)先級列表:

22、 是否與總行相關(guān)聯(lián)系人建立了正式的溝通聯(lián)絡(luò)機制：是否與其他重要外部機構(gòu)建立了正式的聯(lián)絡(luò)溝通機制（如：監(jiān)管部門、投資者、客戶、交易對手、商業(yè)合作伙伴、服務(wù)提供商等）: 是否22 / 30 應(yīng)急預(yù)案定期進行演練（備注標明最近一次演練的時間): 是否備注（事實依據(jù)） ：最近一次演練時間為2012 年 6 月中旬巡查方法： 訪談和調(diào)閱資料需關(guān)注的問題（根據(jù)需要填寫）: 1.中國農(nóng)業(yè)發(fā)展銀行xx 省分行中心機房突發(fā)事件應(yīng)急處理預(yù)案的應(yīng)急場景包括網(wǎng)絡(luò)系統(tǒng)故障、市電供電系統(tǒng)故障、ups 供電系統(tǒng)故障、機房火災(zāi)、非法入侵、門禁系統(tǒng)故障、各業(yè)務(wù)系統(tǒng)服務(wù)器故障、 機房空調(diào)系統(tǒng)故障、 支付系統(tǒng)前置機故障，但未包括治

23、安、病毒爆發(fā)、網(wǎng)絡(luò)攻擊、人為破壞的場景。2.未建立突發(fā)事件向新聞媒體發(fā)布的機制；未建立向銀監(jiān)會派出機構(gòu)報告信息科技突發(fā)事件的機制，包括報告責任人、 報告時限、報告途徑、報告內(nèi)容等。3. 2012年信息科技應(yīng)急演練方案不夠細致，應(yīng)急演練情況總結(jié)報告涵蓋的內(nèi)容不全。3. 是否對重要信息進行有效管理？對重要業(yè)務(wù)進行業(yè)務(wù)應(yīng)急恢復(fù)時需要的重要信息進行了明確定義，重要信息包括存儲在電子或非電子介質(zhì)上的信息（各業(yè)務(wù)應(yīng)用數(shù)據(jù)庫和渠道日志等）: 是否對認定的重要信息檔案實行有效備份和異地保管: 23 / 30 是否嚴格控制重要信息檔案的調(diào)取，保證其對業(yè)務(wù)搶修時的可靠性:是否制定了相關(guān)文件， 規(guī)定重要信息檔案在遺

24、失、受損和破壞的情況下如何進行恢復(fù)和再生，以與按何種次序進行恢復(fù)和再生: 是否備注（事實依據(jù)）：巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 4. 是否對應(yīng)急預(yù)案進行測試與更新？每年至少對重要系統(tǒng)的應(yīng)急預(yù)案進行一次測試，是否留有相關(guān)記錄（包括測試方案、測試環(huán)境、測試流程和測試結(jié)果）: 是否檢查應(yīng)急預(yù)案中主要聯(lián)絡(luò)方式是否與時得到更新: 是否應(yīng)急預(yù)案文檔備份實行異地保管: 是否每次測試后編制問題報告，揭示應(yīng)急預(yù)案存在的弱點和漏洞，并更新應(yīng)急預(yù)案 : 是否備注（事實依據(jù)）：24 / 30 巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 未建立應(yīng)急預(yù)案演練后更新機制與應(yīng)急預(yù)案定期評估和改進的機制。5

25、. 是否對重大突發(fā)事件進行管理？建立了重要安全事件上報制度和流程: 是否對重大突發(fā)事件進行記錄: 是否備注（事實依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 第五部分：外包管理1. 是否建立外包管理機制？建立外包管理制度 : 是否明確界定允許外包的內(nèi)容、x 圍和活動 : 是否25 / 30 重要信息科技外包協(xié)議經(jīng)過信息科技風險管理部門、法律部門的審批 : 是否與外包服務(wù)商簽訂書面合同，明確其在安全、xx 、知識產(chǎn)權(quán)等方面的義務(wù)：是否備注（事實依據(jù)）：沒有信息科技外包工作巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 2. 是否進行外包人員管理？外包人員進場前學習關(guān)于外包人

26、員管理的規(guī)章制度，并簽署xx承諾書 : 是否完整統(tǒng)計外包人員信息: 是否定期對外包人員的履職情況進行檢查: 是否對違反 xx 義務(wù)、 工作規(guī) x 或有其他重大違規(guī)行為的外包人員堅決辭退 : 是否外包人員設(shè)備（如：自帶的計算機、便攜機、移動通信設(shè)備、集線器等）經(jīng)批準方可接入銀行網(wǎng)絡(luò): 是否備注（事實依據(jù)）：沒有信息科技外包工作26 / 30 巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 3. 自助設(shè)備的維護是否經(jīng)過授權(quán)并嚴格管理？嚴格控制將自助設(shè)備交第三方（外公司）來進行維護 : 是否第三方維護合約、維護的內(nèi)容、采取的安全措施是否詳細到位:是否: 第三方進行維護時由本行人員陪同: 是否是否限制對重要數(shù)據(jù)進行訪問: