農(nóng)發(fā)行山東省分行-商業(yè)銀行分支機(jī)構(gòu)信息科技風(fēng)險(xiǎn)快速巡

1、1 / 30 商業(yè)銀行分支機(jī)構(gòu)信息科技風(fēng)險(xiǎn)快速巡查單一、基本信息巡查承擔(dān)機(jī)構(gòu)：xx 銀監(jiān)局信息科技監(jiān)管處被巡查機(jī)構(gòu)：中國農(nóng)業(yè)發(fā)展銀行xx 省分行巡查目的：巡查負(fù)責(zé)人：房世暉巡查員：王麗穎巡查日期：2013年 4 月 22 日二、巡查方法現(xiàn)場(chǎng)巡查以訪談、實(shí)地查看為主，抽樣查閱資料、安全測(cè)試為輔，其中抽樣規(guī)則原則上定義為：1.文檔或記錄類型的資料，如會(huì)議記錄、演練記錄等，抽樣數(shù)以近三個(gè)月巡查項(xiàng)總數(shù)的5為抽樣基準(zhǔn)， 也可根據(jù)訪談情況做出判定；如出現(xiàn)小數(shù)點(diǎn)，以四舍五入取整數(shù)；如果計(jì)算出的抽樣數(shù)小于 2，則至少取 2 個(gè)樣例，如抽樣數(shù)大于5，則取 5 個(gè)樣例；2.設(shè)備類、系統(tǒng)類原則上抽樣5 臺(tái)（套），同

2、時(shí)注意樣本分布結(jié)構(gòu)；2 / 30 3.如需對(duì)網(wǎng)點(diǎn)進(jìn)行巡查，網(wǎng)點(diǎn)的巡查數(shù)量控制在3 家之內(nèi)，隨機(jī)抽取。三、巡查內(nèi)容：第一部分：組織架構(gòu)1. 信息科技風(fēng)險(xiǎn)“三道防線”是否完整？風(fēng)險(xiǎn)控制部負(fù)責(zé)整體信息科技風(fēng)險(xiǎn): 是否科技部負(fù)責(zé)信息科技工作日常防x: 是否審計(jì)部承擔(dān)信息科技審計(jì)職能: 是否備注（事實(shí)依據(jù)）：巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 風(fēng)險(xiǎn)管理部制定了信息科技風(fēng)險(xiǎn)管理職責(zé)，但未制定相應(yīng)的信息科技風(fēng)險(xiǎn)管理策略、制度、操作流程，也未配備具有相應(yīng)資質(zhì)的人員。2. 高管層在信息科技工作中履職是否到位？有主管科技工作的行級(jí)領(lǐng)導(dǎo): 有無高管層對(duì)監(jiān)管部門的監(jiān)管制度較為了解: 是否進(jìn)行信息科技重大投

3、入決策: 是否審閱信息科技年度工作報(bào)告和工作計(jì)劃：是否3 / 30 審閱信息科技風(fēng)險(xiǎn)評(píng)估報(bào)告并組織制定風(fēng)險(xiǎn)控制策略：是否審閱信息科技審計(jì)報(bào)告并督促整改：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 高管層未組織制定風(fēng)險(xiǎn)控制策略。3. 是否建立完整的信息安全管理組織架構(gòu)，并正常開展工作？設(shè)立信息安全崗位負(fù)責(zé)機(jī)構(gòu)信息安全的日常管理工作：是否定期開展信息安全管理開展工作并有相應(yīng)的文檔資料：是否制定信息安全責(zé)任制度：有無員工信息安全職責(zé)明確：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 4 / 30 4. 科技崗位設(shè)置是否符合規(guī)定？信息技術(shù)部

4、科室、崗位設(shè)置按照總行要求進(jìn)行：是否項(xiàng)目維護(hù)人員有角設(shè)置：是否關(guān)鍵業(yè)務(wù)操作（如：重要密碼輸入、重要參數(shù)修改等）采用雙人進(jìn)行：是否信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離：是否備注 （事實(shí)依據(jù)） ： 信息科技處不承擔(dān)涉與生產(chǎn)系統(tǒng)的開發(fā)。巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 1.信息科技處明確了崗位和職責(zé)，但由于人員較少， 兼崗現(xiàn)象比較突出；重要崗位未制定詳細(xì)完整的工作手冊(cè)并適時(shí)更新。2.各運(yùn)維人員共用所維護(hù)系統(tǒng)的同一用戶、密碼，且全部使用超級(jí)用戶，不能滿足最小權(quán)限原則。5. 是否進(jìn)行人員安全管理？招聘新員工時(shí)， 要求技術(shù)人員具備良好的職業(yè)道德，并掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識(shí)和技能

5、：5 / 30 是否技術(shù)人員未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗：是否經(jīng)考核不合格的技術(shù)人員，與時(shí)進(jìn)行調(diào)整：是否與重要崗位人員簽訂xx 協(xié)議：是否當(dāng)技術(shù)人員調(diào)離重要崗位時(shí)按xx 協(xié)議對(duì)其設(shè)置脫密期， 并進(jìn)行審查：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 6. 制度落實(shí)情況如何？以適當(dāng)?shù)姆绞綄⒈O(jiān)管部門和上級(jí)行的信息科技工作要求傳達(dá)給所有員工：是否根據(jù)監(jiān)管部門和上級(jí)行的制度要求制訂適合實(shí)際的操作流程和實(shí)施細(xì)則：是否總行或分行對(duì)制度的落實(shí)情況定期進(jìn)行檢查,有詳細(xì)的檢查報(bào)告：是否6 / 30 定期對(duì)技術(shù)人員進(jìn)行信息安全教育培訓(xùn),如：防病毒、網(wǎng)絡(luò)攻擊等：是否員工熟悉和了解

6、各自崗位的信息安全要求：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 未根據(jù)商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引、商業(yè)銀行信息科技外包風(fēng)險(xiǎn)監(jiān)管指引、銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)與變更管理辦法要求制訂適合實(shí)際的操作流程和實(shí)施細(xì)則。7. 是否確保軟件產(chǎn)品在授權(quán)準(zhǔn)許下使用？是否備注（事實(shí)依據(jù)）：巡查方法： 抽樣需關(guān)注的問題（根據(jù)需要填寫）: 第二部分：機(jī)房管理7 / 30 1. 新(改)建機(jī)房建設(shè)是否符合規(guī)定？可行性報(bào)告：有無向監(jiān)管部門報(bào)告：是否獲得總行的批復(fù)：是否通過有資質(zhì)的質(zhì)檢部門和消防部門等有關(guān)部門的檢查驗(yàn)收：是否按照功能區(qū)域?qū)崿F(xiàn)不同等級(jí)的物理分區(qū)：是否備注（事實(shí)依據(jù)）

7、：機(jī)房近幾年內(nèi)未進(jìn)行大規(guī)模機(jī)房新（改）建工作。巡查方法： 實(shí)地查看和查閱資料需關(guān)注的問題（根據(jù)需要填寫）: 1. 機(jī)房空間較小，功能區(qū)域劃分不規(guī)x；機(jī)房存放了帶易燃包裝盒的庫存設(shè)備與物品。2.機(jī)房布局不合理，進(jìn)入機(jī)房存放空調(diào)、ups 等設(shè)備的區(qū)域，需穿過存放服務(wù)器和網(wǎng)絡(luò)設(shè)備的核心區(qū)域。2. 機(jī)房監(jiān)控是否有效？電視監(jiān)控錄像的保存時(shí)間達(dá)到3 個(gè)月：是否監(jiān)控覆蓋哪些重要場(chǎng)所：主機(jī)房網(wǎng)絡(luò)機(jī)房電源室運(yùn)行、監(jiān)控值班室8 / 30 中心機(jī)房走道外門部分業(yè)務(wù)部門的重要機(jī)房（銀行卡打卡室、 swift 室）攝像頭電源由ups 專線供電：是否重要場(chǎng)所監(jiān)控是否無死角：是否備注（事實(shí)依據(jù)）：巡查方法： 實(shí)地查看和抽樣

8、需關(guān)注的問題（根據(jù)需要填寫）: 機(jī)房內(nèi)共有 3 路視頻監(jiān)控， 存在盲區(qū)； 檢查時(shí)點(diǎn)， 其中一路視頻監(jiān)控失效。3. 機(jī)房網(wǎng)絡(luò)布線是否整齊？機(jī)柜上方和地板下方用線槽整齊：是否機(jī)柜內(nèi)線整理整齊：是否機(jī)房各類布線貼有標(biāo)簽：是否標(biāo)簽內(nèi)容規(guī) x：是否標(biāo)簽位置合理：是否備注（事實(shí)依據(jù)）：巡查方法： 實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 設(shè)備標(biāo)簽內(nèi)容較為簡單。9 / 30 4. 中心機(jī)房是否落實(shí)值班要求？機(jī)房安保 24 小時(shí)值班：是否科技部門已安排7*24 小時(shí)在行值班：是否值班人員記錄所有可疑故障和實(shí)際發(fā)生的事故，并同時(shí)記錄處理過程、處理人、處理時(shí)間、影響業(yè)務(wù)時(shí)間：是否出入機(jī)房已實(shí)行審批登記：是否機(jī)房運(yùn)行

9、值班人員與開發(fā)、維護(hù)人員分離：是否值班人員定期進(jìn)行巡檢：是否備注 （事實(shí)依據(jù)） ： 值班人員對(duì)機(jī)房的巡檢頻率是每天兩次。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 機(jī)房值班與巡檢信息錄入“信息技術(shù)綜合管理系統(tǒng)”（itms ），但該系統(tǒng)用戶權(quán)限管理不嚴(yán)格，個(gè)人用戶可修改已登記信息，且可以查看、修改其他用戶的登記信息。5. 機(jī)房是否實(shí)行門禁管理？制、讀卡等門禁管理工作統(tǒng)一管理：是否生產(chǎn)機(jī)房采用門禁系統(tǒng)：是否進(jìn)入生產(chǎn)機(jī)房實(shí)行書面授權(quán)：是否10 / 30 外來人員進(jìn)入機(jī)房采取的控制措施：嚴(yán)格授權(quán)專人陪同固定區(qū)域規(guī)定時(shí)間禁止攝影、錄像、錄音或其他記錄設(shè)備備注（事實(shí)依據(jù)）：巡查方法： 訪談需關(guān)注

10、的問題（根據(jù)需要填寫）: 6. 機(jī)房是否實(shí)行消防安全管理？消防報(bào)警系統(tǒng)是否年檢并有證書：是否配備滅火器并按規(guī)定定期檢查滅火器材：是否定期進(jìn)行消防演練和培訓(xùn)并保存相關(guān)記錄：是否使用何種類型的消防滅火器材（在備注欄填寫具體型號(hào)）備注（事實(shí)依據(jù)）： 使用七氟丙烷的消防滅火器材巡查方法： 訪談和實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 7. 機(jī)房照明是否有保障？機(jī)房內(nèi)有應(yīng)急照明：是否應(yīng)急照明接入ups ：是否機(jī)房內(nèi)視頻監(jiān)控的區(qū)域有值班照明：是否11 / 30 視頻監(jiān)控區(qū)域值班照明接入ups ：是否備注（事實(shí)依據(jù)）：巡查方法： 實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 8. 機(jī)房 ups 供電是否有保障？機(jī)

11、房配電系統(tǒng)為雙路供電：是否ups 為機(jī)房設(shè)備供電專用：是否供電系統(tǒng)設(shè)置防雷擊保護(hù)裝置：是否ups 配備模式：n+1 2n+1 ups 供電 x 圍：主機(jī)系統(tǒng)網(wǎng)絡(luò)通訊設(shè)備值班照明應(yīng)急照明ups 負(fù)載小于有效輸出功率的80% ：是否ups 滿載后備時(shí)間大于30 分鐘：是否ups 電池定期放電檢測(cè) : 是否ups 有專業(yè)公司進(jìn)行維護(hù)保養(yǎng): 是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 12 / 30 9. 機(jī)房其他供電情況是否可用？發(fā)電機(jī)功率能保證對(duì)機(jī)房ups 供電：是否發(fā)電機(jī)定期保養(yǎng)（備注填寫本季度保養(yǎng)的時(shí)間與內(nèi)容）：是否發(fā)電機(jī)定期進(jìn)行切換演練：是否發(fā)電機(jī)切換演練

12、有記錄：是否發(fā)電機(jī)為機(jī)房ups 供電備份專用：是否未配備發(fā)電機(jī)使用其他供電保障措施或方案（備注填寫供電保障措施）：是否備注（事實(shí)依據(jù)）：無自有發(fā)電機(jī)，租用發(fā)電車。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 10. 機(jī)房空調(diào)管理是否符合要求？機(jī)房溫度控制在22 左右：是否機(jī)房濕度在 45%-65%：是否13 / 30 發(fā)電機(jī)為機(jī)房ups 供電備份專用：是否發(fā)電機(jī)是否為機(jī)房空調(diào)供電：是否b 類機(jī)房精密空調(diào)控制模塊配置是n+1 冗余方式：是否定時(shí)檢查機(jī)房溫度和濕度：是否空調(diào)設(shè)備有專業(yè)公司進(jìn)行維護(hù)保養(yǎng)：是否備注（事實(shí)依據(jù)）：環(huán)境監(jiān)控系統(tǒng)對(duì)溫濕度進(jìn)行實(shí)時(shí)監(jiān)測(cè)，超出閥值將通過短信提示維護(hù)人員。無

13、自有發(fā)電機(jī)， 租用發(fā)電車。巡查方法： 訪談和實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 11. 機(jī)房其他防護(hù)設(shè)施是否符合要求？機(jī)房內(nèi)地面、天花板和墻面有無滲漏水：有無漏水報(bào)警裝置正常工作：是否設(shè)置防鼠害的有關(guān)措施：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 第三部分：運(yùn)行管理14 / 30 1. 運(yùn)維管理是否符合安全要求？非正常工作時(shí)間進(jìn)出工作場(chǎng)所經(jīng)過批準(zhǔn)且有相關(guān)記錄：有無禁止異地遠(yuǎn)程維護(hù)生產(chǎn)系統(tǒng)和生產(chǎn)數(shù)據(jù)（除總行之外）：是否是否收集、保管各類日志，并定期是否備注（事實(shí)依據(jù)）：未進(jìn)行24 小時(shí)運(yùn)維值班，非正常工作時(shí)間內(nèi)無進(jìn)入機(jī)房需求。巡查方法： 訪談和抽樣需關(guān)注

14、的問題（根據(jù)需要填寫）: 1.未建立事件和問題管理機(jī)制，未建立問題根源分析與跟蹤解決機(jī)制。2.未建立日志管理流程，未對(duì)門禁、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、 應(yīng)用系統(tǒng)等各種日志進(jìn)行集中保存，也未對(duì)日志進(jìn)行定期分析。2. 是否實(shí)施變更管理？變更管理有嚴(yán)格的授權(quán)辦法、操作流程：有無生產(chǎn)變更在非工作時(shí)段或業(yè)務(wù)空閑時(shí)段進(jìn)行：是否生產(chǎn)變更有書面計(jì)劃：是否變更經(jīng)過測(cè)試、審批、上線、驗(yàn)收：是否15 / 30 生產(chǎn)變更雙人操作、復(fù)核：是否生產(chǎn)變更有詳細(xì)操作記錄：有無變更管理是否有回退機(jī)制：有無備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 變更管理機(jī)制尚不完善，未建立變更管理制度，未根據(jù)對(duì)

15、業(yè)務(wù)影響大小進(jìn)行變更分級(jí)，變更應(yīng)急回退措施較為簡單。3. 是否實(shí)施備份管理？前置機(jī)和重要信息系統(tǒng)的操作系統(tǒng)、日志、應(yīng)用程序、數(shù)據(jù)庫、生產(chǎn)數(shù)據(jù)、配置信息定期進(jìn)行備份：是否定期對(duì)備份的可用性進(jìn)行檢查或抽查并做記錄：是否備份的傳送、存放、使用和銷毀符合規(guī)定：是否備注（事實(shí)依據(jù)）：通過ftp 方式將大小額系統(tǒng)、驗(yàn)印系統(tǒng)數(shù)據(jù)庫備份至位于xx 的異地備份中心。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 1.未建立專門的數(shù)據(jù)管理辦法、備份辦法或策略， 也無數(shù)據(jù)銷毀的相關(guān)規(guī)定。16 / 30 2.ftp 屬簡單網(wǎng)絡(luò)傳輸協(xié)議，不能保障數(shù)據(jù)傳輸安全。4. 是否實(shí)施網(wǎng)絡(luò)管理？制定網(wǎng)絡(luò)運(yùn)行管理的相關(guān)規(guī)定、操

16、作流程：是否規(guī) x 記錄或者監(jiān)控網(wǎng)絡(luò)配置修改等維護(hù)修改操作：是否各部門計(jì)算機(jī)經(jīng)相關(guān)部門批準(zhǔn)后方可接入國際互聯(lián)網(wǎng)：是否本機(jī)構(gòu)與總行、網(wǎng)點(diǎn)、災(zāi)備中心通訊線路有備份：有無本機(jī)構(gòu)與重要外聯(lián)單位（如銀聯(lián)等）通訊線路有備份：有無定期檢查備份通訊線路：是否網(wǎng)絡(luò)故障有記錄與原因分析：有無備注（事實(shí)依據(jù)）：外聯(lián)單位僅有人民銀行與銀監(jiān)局。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 1.辦公網(wǎng)部分計(jì)算機(jī)采用動(dòng)態(tài)ip，無 ip 地址管理措施。2.生產(chǎn)網(wǎng)計(jì)算機(jī)采用靜態(tài)ip，但未登記 ip 使用人員。3.未建立客戶端計(jì)算機(jī)準(zhǔn)入、認(rèn)證機(jī)制。4.網(wǎng)絡(luò)故障記錄與原因分析不完善。17 / 30 5. 是否實(shí)施安全產(chǎn)品管

17、理？安全專用產(chǎn)品屬于總行統(tǒng)一選型：是否安全專用產(chǎn)品與時(shí)進(jìn)行升級(jí)和維護(hù)并登記備案：是否使用總行統(tǒng)一的網(wǎng)絡(luò)防病毒產(chǎn)品：是否所有 windows終端與服務(wù)器均安裝病毒防護(hù)軟件：有無定期進(jìn)行防病毒軟件升級(jí)：是否建立病毒發(fā)現(xiàn)響應(yīng)策略和處理流程：是否部署安裝 ids ，控制臺(tái)正常：是否對(duì) ids 日志記錄進(jìn)行分析：是否本機(jī)構(gòu)與外聯(lián)單位網(wǎng)絡(luò)邊界部署防火墻：是否備注（事實(shí)依據(jù)）： 外聯(lián)單位僅有人民銀行與銀監(jiān)局；生產(chǎn)網(wǎng)、 辦公網(wǎng)均出現(xiàn)中毒計(jì)算機(jī)。 省行的網(wǎng)絡(luò)結(jié)構(gòu)由總行統(tǒng)一制定，部署了外部防火墻，具有邊界防火墻的功能。巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 對(duì) ids 事件分析不完善。6. 是否實(shí)施

18、設(shè)備管理？存儲(chǔ) xx 、秘密資源設(shè)備維修、更換或報(bào)廢時(shí)：刪除數(shù)據(jù)拆除涉密部件18 / 30 廢棄、銷毀含xx 資源或秘密資源的介質(zhì)有審批手續(xù)和登記記錄：有無不使用互聯(lián)網(wǎng)計(jì)算機(jī)處理涉密材料和儲(chǔ)存秘密級(jí)以上文件：是否離開辦公座位時(shí)， 工作桌面上所有內(nèi)部資料、存有 xx 或敏感信息的磁盤或其他可移動(dòng)介質(zhì)等妥善鎖入文件柜中或存放在指定的保險(xiǎn)箱中，并鎖定計(jì)算機(jī)：是否移動(dòng)存儲(chǔ)設(shè)備使用符合規(guī)定：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 未采用技術(shù)手段控制移動(dòng)介質(zhì)在網(wǎng)間交叉使用。7. 數(shù)據(jù)安全的部署情況如何？系統(tǒng)管理員密碼保管與回收流程：多人完全掌握普通用戶離職后：賬戶刪除賬

19、戶禁用數(shù)據(jù)訪問人員授權(quán)：按需進(jìn)行區(qū)分和最小必要授權(quán) 不區(qū)分，授予一樣權(quán)限無授權(quán)機(jī)制19 / 30 重要數(shù)據(jù)的存儲(chǔ)介質(zhì)過期后是否銷毀：是否銷毀機(jī)構(gòu)名稱：辦公室、信息科技處人員變動(dòng)時(shí)辦公用計(jì)算機(jī)磁盤信息是否清理或刪除：是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 8. 是否采取措施避免信息泄露？不存在敏感信息泄漏的現(xiàn)象（如密碼，ip 等）：是否生產(chǎn)系統(tǒng)設(shè)置帶密碼的屏幕保護(hù)：是否系統(tǒng)無人使用時(shí)，處于鎖定狀態(tài)：是否對(duì)公共開放區(qū)域的信息設(shè)備采取有效的保護(hù)控制措施（如網(wǎng)點(diǎn)營業(yè)廳等公開區(qū)域的設(shè)備是否采用專人監(jiān)控，屏幕密碼保護(hù)等措施）：是否網(wǎng)點(diǎn)自助區(qū)不存在網(wǎng)線、端口外露的現(xiàn)象

20、：是否備注（事實(shí)依據(jù)）： 沒有公共開放區(qū)域與網(wǎng)點(diǎn)自助區(qū)的信息20 / 30 設(shè)備。生產(chǎn)系統(tǒng)中服務(wù)器端設(shè)置帶密碼的屏幕保護(hù)，系統(tǒng)無人使用時(shí)，處于鎖定狀態(tài)。 生產(chǎn)系統(tǒng)中柜員客戶端未設(shè)置帶密碼的屏幕保護(hù)。巡查方法： 訪談和實(shí)地查看需關(guān)注的問題（根據(jù)需要填寫）: 綜合業(yè)務(wù)系統(tǒng)無超時(shí)退出機(jī)制。第四部分：業(yè)務(wù)連續(xù)性1. 是否建立多部門一體的應(yīng)急處理指揮體系？建立了突發(fā)事件管理小組以負(fù)責(zé)管理突發(fā)事件: 是否突發(fā)事件管理小組成員包括機(jī)構(gòu)業(yè)務(wù)、科技和保障部門人員: 是否建立突發(fā)事件管理指揮中心，為突發(fā)事件管理小組提供必要的工作場(chǎng)地和設(shè)施 : 是否建立突發(fā)事件恢復(fù)工作小組，并在所有的重要環(huán)節(jié)指定了替補(bǔ)人員：是否備

21、注（事實(shí)依據(jù)）：巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 21 / 30 未建立業(yè)務(wù)連續(xù)性日常管理組織架構(gòu)，未設(shè)立業(yè)務(wù)連續(xù)性管理委員會(huì)，未明確業(yè)務(wù)連續(xù)性管理主管部門、執(zhí)行部門、保障部門； 未開展業(yè)務(wù)影響分析， 未明確重要業(yè)務(wù)恢復(fù)時(shí)間目標(biāo) （rto ） 、業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)（ rpo）；未建立全行性、覆蓋所有重要業(yè)務(wù)的業(yè)務(wù)連續(xù)性計(jì)劃。2. 是否制定應(yīng)急預(yù)案并定期演練？制定相關(guān)技術(shù)應(yīng)急預(yù)案和操作流程: 是否應(yīng)急預(yù)案符合重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)x要求 : 是否對(duì)負(fù)責(zé)業(yè)務(wù)恢復(fù)人員與備用人員的劃分次序、x 圍，并將通訊方式，包括下班后的聯(lián)絡(luò)信息，配備至相關(guān)人員手中: 是否制定業(yè)務(wù)恢復(fù)優(yōu)先級(jí)列表:

22、 是否與總行相關(guān)聯(lián)系人建立了正式的溝通聯(lián)絡(luò)機(jī)制：是否與其他重要外部機(jī)構(gòu)建立了正式的聯(lián)絡(luò)溝通機(jī)制（如：監(jiān)管部門、投資者、客戶、交易對(duì)手、商業(yè)合作伙伴、服務(wù)提供商等）: 是否22 / 30 應(yīng)急預(yù)案定期進(jìn)行演練（備注標(biāo)明最近一次演練的時(shí)間): 是否備注（事實(shí)依據(jù)） ：最近一次演練時(shí)間為2012 年 6 月中旬巡查方法： 訪談和調(diào)閱資料需關(guān)注的問題（根據(jù)需要填寫）: 1.中國農(nóng)業(yè)發(fā)展銀行xx 省分行中心機(jī)房突發(fā)事件應(yīng)急處理預(yù)案的應(yīng)急場(chǎng)景包括網(wǎng)絡(luò)系統(tǒng)故障、市電供電系統(tǒng)故障、ups 供電系統(tǒng)故障、機(jī)房火災(zāi)、非法入侵、門禁系統(tǒng)故障、各業(yè)務(wù)系統(tǒng)服務(wù)器故障、 機(jī)房空調(diào)系統(tǒng)故障、 支付系統(tǒng)前置機(jī)故障，但未包括治

23、安、病毒爆發(fā)、網(wǎng)絡(luò)攻擊、人為破壞的場(chǎng)景。2.未建立突發(fā)事件向新聞媒體發(fā)布的機(jī)制；未建立向銀監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告信息科技突發(fā)事件的機(jī)制，包括報(bào)告責(zé)任人、 報(bào)告時(shí)限、報(bào)告途徑、報(bào)告內(nèi)容等。3. 2012年信息科技應(yīng)急演練方案不夠細(xì)致，應(yīng)急演練情況總結(jié)報(bào)告涵蓋的內(nèi)容不全。3. 是否對(duì)重要信息進(jìn)行有效管理？對(duì)重要業(yè)務(wù)進(jìn)行業(yè)務(wù)應(yīng)急恢復(fù)時(shí)需要的重要信息進(jìn)行了明確定義，重要信息包括存儲(chǔ)在電子或非電子介質(zhì)上的信息（各業(yè)務(wù)應(yīng)用數(shù)據(jù)庫和渠道日志等）: 是否對(duì)認(rèn)定的重要信息檔案實(shí)行有效備份和異地保管: 23 / 30 是否嚴(yán)格控制重要信息檔案的調(diào)取，保證其對(duì)業(yè)務(wù)搶修時(shí)的可靠性:是否制定了相關(guān)文件， 規(guī)定重要信息檔案在遺

24、失、受損和破壞的情況下如何進(jìn)行恢復(fù)和再生，以與按何種次序進(jìn)行恢復(fù)和再生: 是否備注（事實(shí)依據(jù)）：巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 4. 是否對(duì)應(yīng)急預(yù)案進(jìn)行測(cè)試與更新？每年至少對(duì)重要系統(tǒng)的應(yīng)急預(yù)案進(jìn)行一次測(cè)試，是否留有相關(guān)記錄（包括測(cè)試方案、測(cè)試環(huán)境、測(cè)試流程和測(cè)試結(jié)果）: 是否檢查應(yīng)急預(yù)案中主要聯(lián)絡(luò)方式是否與時(shí)得到更新: 是否應(yīng)急預(yù)案文檔備份實(shí)行異地保管: 是否每次測(cè)試后編制問題報(bào)告，揭示應(yīng)急預(yù)案存在的弱點(diǎn)和漏洞，并更新應(yīng)急預(yù)案 : 是否備注（事實(shí)依據(jù)）：24 / 30 巡查方法： 訪談需關(guān)注的問題（根據(jù)需要填寫）: 未建立應(yīng)急預(yù)案演練后更新機(jī)制與應(yīng)急預(yù)案定期評(píng)估和改進(jìn)的機(jī)制。5

25、. 是否對(duì)重大突發(fā)事件進(jìn)行管理？建立了重要安全事件上報(bào)制度和流程: 是否對(duì)重大突發(fā)事件進(jìn)行記錄: 是否備注（事實(shí)依據(jù)）：巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 第五部分：外包管理1. 是否建立外包管理機(jī)制？建立外包管理制度 : 是否明確界定允許外包的內(nèi)容、x 圍和活動(dòng) : 是否25 / 30 重要信息科技外包協(xié)議經(jīng)過信息科技風(fēng)險(xiǎn)管理部門、法律部門的審批 : 是否與外包服務(wù)商簽訂書面合同，明確其在安全、xx 、知識(shí)產(chǎn)權(quán)等方面的義務(wù)：是否備注（事實(shí)依據(jù)）：沒有信息科技外包工作巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 2. 是否進(jìn)行外包人員管理？外包人員進(jìn)場(chǎng)前學(xué)習(xí)關(guān)于外包人

26、員管理的規(guī)章制度，并簽署xx承諾書 : 是否完整統(tǒng)計(jì)外包人員信息: 是否定期對(duì)外包人員的履職情況進(jìn)行檢查: 是否對(duì)違反 xx 義務(wù)、 工作規(guī) x 或有其他重大違規(guī)行為的外包人員堅(jiān)決辭退 : 是否外包人員設(shè)備（如：自帶的計(jì)算機(jī)、便攜機(jī)、移動(dòng)通信設(shè)備、集線器等）經(jīng)批準(zhǔn)方可接入銀行網(wǎng)絡(luò): 是否備注（事實(shí)依據(jù)）：沒有信息科技外包工作26 / 30 巡查方法： 訪談和抽樣需關(guān)注的問題（根據(jù)需要填寫）: 3. 自助設(shè)備的維護(hù)是否經(jīng)過授權(quán)并嚴(yán)格管理？嚴(yán)格控制將自助設(shè)備交第三方（外公司）來進(jìn)行維護(hù) : 是否第三方維護(hù)合約、維護(hù)的內(nèi)容、采取的安全措施是否詳細(xì)到位:是否: 第三方進(jìn)行維護(hù)時(shí)由本行人員陪同: 是否是否限制對(duì)重要數(shù)據(jù)進(jìn)行訪問: