商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南之歐陽(yáng)學(xué)創(chuàng)編

歐陽(yáng)學(xué)創(chuàng)編歐陽(yáng)學(xué)創(chuàng)編歐陽(yáng)學(xué)創(chuàng)編歐陽(yáng)學(xué)創(chuàng)編商業(yè)銀行信息科技風(fēng)險(xiǎn)時(shí)間：2021.03.03創(chuàng)作：歐陽(yáng)學(xué)現(xiàn)場(chǎng)檢查指南目錄第一部分概述指南說明目的及適用范圍信息科技與銀行業(yè)務(wù)高度融合，已成為銀行業(yè)金融機(jī)構(gòu)提高運(yùn)營(yíng)效率、實(shí)現(xiàn)經(jīng)營(yíng)戰(zhàn)略和加快金融創(chuàng)新的重要手段。與此同時(shí)，銀行業(yè)對(duì)信息科技的高度依賴，使得信息科技風(fēng)險(xiǎn)成為影響銀行業(yè)穩(wěn)健運(yùn)行的主要隱患之一。銀監(jiān)會(huì)按照科學(xué)發(fā)展觀要求，與時(shí)俱進(jìn)，大力加強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管，充分利用現(xiàn)場(chǎng)檢查這一監(jiān)管手段，深入檢查銀行機(jī)構(gòu)在信息科技治理、風(fēng)險(xiǎn)管理、信息安全、業(yè)務(wù)連續(xù)性、電子銀行等領(lǐng)域的科技風(fēng)險(xiǎn)及管理情況，發(fā)現(xiàn)問題、排查隱患，督促銀行及時(shí)整改。商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查工作，既是銀監(jiān)會(huì)深入掌握銀行信息化建設(shè)、科技管理整體情況的有效方法，也是對(duì)銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況進(jìn)行準(zhǔn)確分析和評(píng)價(jià)的重要手段，對(duì)及時(shí)預(yù)警風(fēng)險(xiǎn)，提高銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管控能力和水平，保護(hù)存款人和公眾利益，維護(hù)金融體系安全和穩(wěn)定有著重要的意義。為提高信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查質(zhì)量，規(guī)范檢查行為，銀監(jiān)會(huì)在“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”監(jiān)管理念指導(dǎo)下，全面總結(jié)信息科技現(xiàn)場(chǎng)檢查經(jīng)驗(yàn)，充分借鑒國(guó)外監(jiān)管機(jī)構(gòu)的檢查規(guī)范和最佳實(shí)踐，編寫了《商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查指南》（以下簡(jiǎn)稱《指南》）。《指南》編制的主要目的在于：一是明確了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的有效性和針對(duì)性，提升現(xiàn)場(chǎng)檢查質(zhì)量，為銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)開展信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查提供全面和有針對(duì)性的指導(dǎo)。二是提供了評(píng)價(jià)銀行信息科技風(fēng)險(xiǎn)管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查的程序、手段和行為，是銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)檢查工作的一個(gè)重要參考依據(jù)和檢查指導(dǎo)工具。三是指明了商業(yè)銀行信息科技風(fēng)險(xiǎn)防控的重點(diǎn)領(lǐng)域、方向和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，提出了風(fēng)險(xiǎn)識(shí)別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險(xiǎn)防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實(shí)踐中，成為指導(dǎo)銀行全面開展科技風(fēng)險(xiǎn)防控、提升管理能力的有力武器?！吨改稀分饕m用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行的信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查。政策性銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社的信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，應(yīng)考慮區(qū)域經(jīng)濟(jì)水平、機(jī)構(gòu)規(guī)模與公司治理結(jié)構(gòu)差異，按照本指南的風(fēng)險(xiǎn)防控原則，結(jié)合實(shí)際情況進(jìn)行檢查。村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查可參考本《指南》。編寫原則一、突出風(fēng)險(xiǎn)為本的監(jiān)管理念?！吨改稀穲?jiān)持法人監(jiān)管、風(fēng)險(xiǎn)為本的監(jiān)管理念，緊扣信息科技風(fēng)險(xiǎn)這一中心，詳細(xì)說明了商業(yè)銀行信息科技風(fēng)險(xiǎn)管理中的300多個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，明確提出了具體的控制要求和檢查方法、步驟，涵蓋了商業(yè)銀行信息科技風(fēng)險(xiǎn)管控的各個(gè)方面和環(huán)節(jié)。二、堅(jiān)持分類監(jiān)管的原則?！吨改稀穮⒄障嚓P(guān)行業(yè)標(biāo)準(zhǔn)和規(guī)范，指出了商業(yè)銀行信息科技風(fēng)險(xiǎn)控制所應(yīng)達(dá)到的標(biāo)準(zhǔn)，同時(shí)兼顧不同類型銀行機(jī)構(gòu)的特點(diǎn)體現(xiàn)分類監(jiān)管原則，針對(duì)不同的被檢查主體，在檢查目標(biāo)上有所區(qū)別和側(cè)重，以便于監(jiān)管人員正確把握檢查標(biāo)準(zhǔn)和尺度，對(duì)商業(yè)銀行的指導(dǎo)更具有針對(duì)性。三、體現(xiàn)監(jiān)管引領(lǐng)作用。《指南》借鑒了國(guó)際銀行業(yè)信息科技風(fēng)險(xiǎn)管理和監(jiān)管的最新理念，也充分吸收了國(guó)內(nèi)先進(jìn)銀行的成功經(jīng)驗(yàn)，商業(yè)銀行可以對(duì)照《指南》分析差距，將《指南》要求作為持續(xù)提高信息科技風(fēng)險(xiǎn)管控水平的目標(biāo)。指南框架《指南》強(qiáng)調(diào)：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理應(yīng)以科技治理為核心，通過完善科技治理架構(gòu)，形成有效內(nèi)控機(jī)制，將信息科技風(fēng)險(xiǎn)管控理念貫穿于系統(tǒng)開發(fā)、測(cè)試和運(yùn)營(yíng)維護(hù)的信息系統(tǒng)生命周期管理全過程。《指南》包含4個(gè)部分和附錄，共26章節(jié)。第一部分“概述”主要介紹了編制《指南》的目的和適應(yīng)范圍、闡述了《指南》的編寫原則等內(nèi)容。第二部分“科技管理”包含12個(gè)章節(jié)，提出了對(duì)商業(yè)銀行信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全管理、信息系統(tǒng)生命周期管理、信息系統(tǒng)運(yùn)行管理、業(yè)務(wù)連續(xù)性管理、應(yīng)急管理、災(zāi)難備份管理、數(shù)據(jù)管理、外包管理、內(nèi)部審計(jì)、外部審計(jì)的基本要求、檢查內(nèi)容和檢查方法、步驟等。第三部分“基礎(chǔ)設(shè)施”包含5個(gè)章節(jié)，提出了對(duì)商業(yè)銀行計(jì)算機(jī)房、網(wǎng)絡(luò)通訊、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、第三方中間件等基礎(chǔ)設(shè)施的基本要求、檢查內(nèi)容和檢查方法、步驟等。第四部分“應(yīng)用系統(tǒng)”包含4個(gè)章節(jié)，提出了對(duì)商業(yè)銀行核心業(yè)務(wù)系統(tǒng)、電子銀行系統(tǒng)、銀行卡系統(tǒng)、第三方存管系統(tǒng)的基本要求、檢查內(nèi)容和檢查方法、步驟等。附錄包含4個(gè)章節(jié)，收錄了常用檢查方法和常用操作命令，常用操作命令包括主要網(wǎng)絡(luò)設(shè)備常用操作命令、主要操作系統(tǒng)常用操作命令、主要數(shù)據(jù)庫(kù)管理系統(tǒng)常用操作命令等。第二部分科技管理信息科技治理商業(yè)銀行的董事會(huì)和高級(jí)管理層應(yīng)根據(jù)本銀行的發(fā)展戰(zhàn)略，運(yùn)用先進(jìn)管理理念加強(qiáng)信息科技治理，提高信息技術(shù)使用效益，推動(dòng)商業(yè)銀行的業(yè)務(wù)創(chuàng)新，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。提示：在對(duì)商業(yè)銀行的信息科技治理情況進(jìn)行檢查和評(píng)價(jià)時(shí)，可根據(jù)銀行機(jī)構(gòu)的實(shí)際情況，按照分類監(jiān)管、循序漸進(jìn)的原則，合理把握標(biāo)準(zhǔn)與尺度。如，有的銀行機(jī)構(gòu)還不具備建立專門信息科技管理委員會(huì)的條件時(shí)，可以指定其他委員會(huì)暫時(shí)代行其職責(zé)，也可以由一個(gè)專門的管理協(xié)調(diào)小組或由一個(gè)已存在的機(jī)構(gòu)(例如董事會(huì))承擔(dān)其職責(zé)。又如：在監(jiān)管部門沒有對(duì)商業(yè)銀行首席信息官制度作出更加明確的規(guī)定或銀行機(jī)構(gòu)還不具備設(shè)立首席信息官的條件時(shí)，可以指定一位具有科技從業(yè)背景或工作經(jīng)驗(yàn)的高管人員承擔(dān)首席信息官的工作職責(zé)。董事會(huì)及高級(jí)管理層檢查項(xiàng)1：董事會(huì)基本要求：(1)董事會(huì)應(yīng)對(duì)銀行的信息科技治理負(fù)有最終責(zé)任。(2)董事會(huì)應(yīng)及時(shí)聽取信息科技管理委員會(huì)和首席信息官的匯報(bào),了解主要的信息科技風(fēng)險(xiǎn)。(3)信息科技重大事項(xiàng)的決策應(yīng)經(jīng)過董事會(huì)審議。檢查方法、步驟：(1)訪談董事會(huì)成員/董事會(huì)秘書,了解:⑶董事會(huì)在銀行信息科技管理領(lǐng)域的角色和職責(zé);(b)董事會(huì)是否了解本行所面臨的主要信息科技風(fēng)險(xiǎn)；。)董事會(huì)對(duì)信息科技重大事項(xiàng)和決策職責(zé)的界定,以及董事會(huì)信息科技重大決策的流程；(d)經(jīng)過董事會(huì)討論和決議的信息科技重大事項(xiàng)的落實(shí)情況;(e)董事會(huì)如何對(duì)信息科技的建設(shè)和管理情況進(jìn)行監(jiān)督。(2)查閱相關(guān)資料,如董事會(huì)章程,董事會(huì)會(huì)議紀(jì)要,對(duì)重大信息科技事項(xiàng)的審批決議的記錄等,對(duì)上述信息進(jìn)行驗(yàn)證。檢查項(xiàng)2：信息科技管理委員會(huì)基本要求：(1)銀行應(yīng)建立信息科技管理委員會(huì),該委員會(huì)成員應(yīng)包括銀行高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表。(2)信息科技管理委員會(huì)的職責(zé)應(yīng)包括:(a)設(shè)定全行IT戰(zhàn)略目標(biāo)，指導(dǎo)IT方面的資金投入，對(duì)IT規(guī)劃進(jìn)行審批；(b)合理運(yùn)用現(xiàn)有資源，指導(dǎo)信息科技部門提供高質(zhì)量的IT服務(wù)，同時(shí)要監(jiān)督IT成本管理情況；?通過調(diào)整IT項(xiàng)目和活動(dòng)的優(yōu)先級(jí)解決資源短缺造成的沖突；⑼確保IT戰(zhàn)略的及時(shí)更新；(e)對(duì)主要的IT政策、標(biāo)準(zhǔn)、原則進(jìn)行審批；⑴對(duì)重要的IT項(xiàng)目和活動(dòng)進(jìn)行監(jiān)控；(g)監(jiān)督和管理IT績(jī)效，確保達(dá)到預(yù)期IT服務(wù)水平；(⑴對(duì)重大IT項(xiàng)目進(jìn)行審批。(3)定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技預(yù)算和實(shí)際支出情況、信息科技的整體管理狀況,面臨的主要風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。檢查方法、步驟：(1)訪談信息科技管理委員會(huì)成員,了解信息科技管理委員會(huì)的主要職責(zé)和開展的主要工作。如(@)是否確保信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性;(b)信息科技管理委員會(huì)是否了解本行主要的信息科技風(fēng)險(xiǎn)并制定了應(yīng)對(duì)措施;(c)重大信息科技項(xiàng)目投資的審批情況;(e)預(yù)算和執(zhí)行情況;(f)IT績(jī)效等。(2)調(diào)閱信息科技管理委員會(huì)相關(guān)文件,如信息科技管理委員會(huì)章程/政策,會(huì)議紀(jì)要,對(duì)重大事項(xiàng)的討論和審批記錄等,對(duì)訪談了解到的信息進(jìn)行驗(yàn)證。(3)查閱信息科技管理委員會(huì)向董事會(huì)和高級(jí)管理層的匯報(bào)材料和相關(guān)會(huì)議記錄,了解其向董事會(huì)和高級(jí)管理層匯報(bào)工作的情況。檢查項(xiàng)3:首席信息官(CIO)基本要求：(1)商業(yè)銀行應(yīng)建立首席信息官制度，明確其工作職責(zé)及報(bào)告路線。(2)首席信息官應(yīng)了解并參與本行業(yè)務(wù)發(fā)展決策。(3)首席信息官應(yīng)負(fù)責(zé)制定和及時(shí)更新信息科技戰(zhàn)略,確保信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。(4)首席信息官應(yīng)確保信息科技職能的規(guī)范和有效運(yùn)作。(5)首席信息官應(yīng)領(lǐng)導(dǎo)和協(xié)調(diào)信息科技部門做好以下工作：信息科技預(yù)算和支出，信息科技政策、標(biāo)準(zhǔn)和流程制定及執(zhí)行，信息科技內(nèi)部控制、專業(yè)化研發(fā)，信息科技項(xiàng)目管理，信息系統(tǒng)和科技基礎(chǔ)設(shè)施的建設(shè)、維護(hù)和運(yùn)行管理，信息安全管理，應(yīng)急管理和災(zāi)難恢復(fù)計(jì)劃，信息科技外包和信息系統(tǒng)退出等。（6）首席信息官應(yīng)確保信息科技人才隊(duì)伍具備充分的專業(yè)技能。檢查方法、步驟：（1）訪談首席信息官，關(guān)注以下內(nèi)容:⑶銀行的信息科技戰(zhàn)略及其與業(yè)務(wù)戰(zhàn)略的一致性；（b）銀行目前面臨的主要信息科技風(fēng)險(xiǎn)和應(yīng)對(duì)策略；。）銀行未來1-3年的信息科技發(fā)展規(guī)劃;9）首席信息官開展了哪些主要工作;（。）首席信息官如何與高級(jí)管理層/董事會(huì)/信息科技管理委員會(huì)等保持有效溝通;（f）首席信息官對(duì)銀行信息科技領(lǐng)域主要問題的了解情況和應(yīng)對(duì)計(jì)劃；&）首席信息官如何對(duì)信息科技部門的活動(dòng)和績(jī)效進(jìn)行監(jiān)控。（2）查閱相關(guān)文檔資料，如信息科技部門的匯報(bào)資料,董事會(huì)/高級(jí)管理層匯報(bào)資料,會(huì)議紀(jì)要,信息科技重大決策的審批記錄,戰(zhàn)略規(guī)劃,預(yù)算執(zhí)行情況的分析,風(fēng)險(xiǎn)評(píng)估報(bào)告等,對(duì)訪談了解到的信息進(jìn)行驗(yàn)證。信息科技部門檢查項(xiàng)1：信息科技部門基本要求：（1）商業(yè)銀行應(yīng)建立與銀行業(yè)務(wù)相適應(yīng)的信息科技部門，負(fù)責(zé)信息科技產(chǎn)品的開發(fā)、外包、測(cè)試、上線和變更，負(fù)責(zé)相應(yīng)信息系統(tǒng)的運(yùn)行、維護(hù)和安全，為銀行提供信息科技業(yè)務(wù)產(chǎn)品。（2）信息科技部門應(yīng)該根據(jù)工作內(nèi)容，制定完整的內(nèi)部工作流程和內(nèi)控制度，建立與相關(guān)職能部門之間的協(xié)調(diào)配合機(jī)制，保證信息科技工作的有序、高效。（3）信息科技部門應(yīng)定期分析評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)防控策略、措施和檢查流程，切實(shí)做好信息科技風(fēng)險(xiǎn)管控。（4）信息科技部門所配置的信息科技人員的數(shù)量應(yīng)適應(yīng)業(yè)務(wù)及IT發(fā)展水平，能保證各個(gè)信息系統(tǒng)和各項(xiàng)信息科技工作安全持續(xù)地運(yùn)轉(zhuǎn)。信息科技部門應(yīng)做好科技人員管理，注重科技專業(yè)和風(fēng)險(xiǎn)教育。信息科技人員應(yīng)有良好的品德、職業(yè)操守和信用記錄，具備相應(yīng)的專業(yè)知識(shí)技能。（5）信息科技部門應(yīng)該建設(shè)一支與銀行信息科技產(chǎn)品開發(fā)戰(zhàn)略相適應(yīng)的信息科技開發(fā)隊(duì)伍，應(yīng)做好信息科技開發(fā)管理，以及相關(guān)的外包服務(wù)管理、知識(shí)產(chǎn)權(quán)管理和開發(fā)環(huán)節(jié)的風(fēng)險(xiǎn)管理，為銀行提供安全的信息科技業(yè)務(wù)產(chǎn)品。（6）信息科技部門應(yīng)建設(shè)好銀行信息科技系統(tǒng)安全連續(xù)運(yùn)行的環(huán)境（包括場(chǎng)地、設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)安全、訪問控制和管理制度等），做好各種環(huán)境的監(jiān)測(cè)控制，做好事件、問題管理和變更管理，做好緊急事件應(yīng)急預(yù)案。（7）信息科技部門應(yīng)嚴(yán)格遵守國(guó)家各項(xiàng)安全管理制度，配合風(fēng)險(xiǎn)管理部門、合規(guī)部門、業(yè)務(wù)部門編制各項(xiàng)信息科技業(yè)務(wù)產(chǎn)品的操作手冊(cè)和訪問控制制度，協(xié)助做好業(yè)務(wù)部門信息科技風(fēng)險(xiǎn)控制和安全教育。檢查方法、步驟:（1）調(diào)閱信息科技部門的各項(xiàng)工作流程和規(guī)章制度。（2）調(diào)閱信息科技風(fēng)險(xiǎn)管理政策和制度。（3）調(diào)閱信息科技部門的組織結(jié)構(gòu)圖,崗位職責(zé)說明。（4）訪談信息科技部門負(fù)責(zé)人、內(nèi)部各條線負(fù)責(zé)人和信息科技風(fēng)險(xiǎn)管理人員，關(guān)注以下內(nèi)容：（4）信息科技部門內(nèi)部設(shè)置了哪些條線？各條線是否實(shí)現(xiàn)了必要的職責(zé)分離,如開發(fā)團(tuán)隊(duì)和運(yùn)行團(tuán)隊(duì)分離,信息科技人員不從事業(yè)務(wù)操作，有專門的團(tuán)隊(duì)開展安全檢查等；（b）信息科技部門的資源狀況,包括人員是否充足,是否擁有充分的技能；（c）問題和風(fēng)險(xiǎn)的報(bào)告路線、流程和處置效率；（d）信息科技人員的激勵(lì)機(jī)制；⑥如何對(duì)信息科技人員進(jìn)行職業(yè)道德方面的教育,如何在全行科技職能范圍內(nèi)推進(jìn)風(fēng)險(xiǎn)管理和內(nèi)部控制的理念；⑴信息科技人員的任免和招聘,是否進(jìn)行背景調(diào)查;仁）主要崗位是否輪崗；山）信息科技人員的技能培訓(xùn)情況;（。信息科技人員是否了解本行的信息科技政策/流程/規(guī)范/標(biāo)準(zhǔn)等。檢查項(xiàng)2：信息科技戰(zhàn)略規(guī)劃基本要求：（1）商業(yè)銀行信息科技戰(zhàn)略規(guī)劃應(yīng)在充分的市場(chǎng)調(diào)查和技術(shù)分析的基礎(chǔ)上，由首席信息官,銀行高級(jí)管理層,科技部門、風(fēng)險(xiǎn)管理和業(yè)務(wù)部門共同討論制定，并經(jīng)過信息科技管理委員會(huì)審查和批準(zhǔn)，并報(bào)董事會(huì)審議。(2)信息科技戰(zhàn)略規(guī)劃應(yīng)該與業(yè)務(wù)發(fā)展規(guī)劃保持一致,為實(shí)現(xiàn)銀行發(fā)展戰(zhàn)略提供緊密的信息科技支持。(3)信息科技戰(zhàn)略規(guī)劃應(yīng)包含但不限于：IT治理建設(shè)的規(guī)劃(關(guān)注于管理組織和制度建設(shè)等),應(yīng)用架構(gòu)規(guī)劃(關(guān)注于應(yīng)用系統(tǒng)的建設(shè)),信息科技基礎(chǔ)設(shè)施規(guī)劃(關(guān)注于基礎(chǔ)設(shè)施建設(shè))。(4)在銀行總體戰(zhàn)略發(fā)生變化時(shí),銀行信息科技戰(zhàn)略規(guī)劃應(yīng)及時(shí)作出相應(yīng)的調(diào)整。(5)銀行應(yīng)定期更新信息科技戰(zhàn)略規(guī)劃。(6)銀行高級(jí)管理層應(yīng)對(duì)信息科技戰(zhàn)略規(guī)劃的落實(shí)情況進(jìn)行監(jiān)督。檢查方法、步驟:(1)調(diào)閱信息科技發(fā)展戰(zhàn)略規(guī)劃或其他中長(zhǎng)期發(fā)展規(guī)劃，關(guān)注相關(guān)規(guī)劃的配合和銜接。(2)訪談信息科技管理部門負(fù)責(zé)人和相關(guān)工作人員，重點(diǎn)關(guān)注：(a)信息科技發(fā)展戰(zhàn)略規(guī)劃的制定是否有各方面人員參與，是否經(jīng)過高級(jí)管理層審批；(b)信息科技發(fā)展戰(zhàn)略規(guī)劃的內(nèi)容是否包含了應(yīng)用架構(gòu)，基礎(chǔ)設(shè)施,IT治理等方面；(c)信息科技發(fā)展戰(zhàn)略規(guī)劃完成情況、信息科技工作的總體狀況、信息科技工作的薄弱點(diǎn)和問題；(d)信息科技戰(zhàn)略規(guī)劃是否依據(jù)環(huán)境變化,總體戰(zhàn)略變更等進(jìn)行調(diào)整。信息科技風(fēng)險(xiǎn)管理部門檢查項(xiàng)1：信息科技風(fēng)險(xiǎn)管理部門基本要求：(1)商業(yè)銀行應(yīng)建立全行信息科技風(fēng)險(xiǎn)管理框架，設(shè)立或指定信息科技風(fēng)險(xiǎn)管理部門，明確相應(yīng)的管理職責(zé)，設(shè)置必要的崗位，配置足夠的信息科技風(fēng)險(xiǎn)管理人員。(2)信息科技風(fēng)險(xiǎn)管理部門應(yīng)制定信息科技風(fēng)險(xiǎn)管理大綱。大綱應(yīng)清楚描述信息科技風(fēng)險(xiǎn)特點(diǎn)、識(shí)別和評(píng)估流程、持續(xù)的控制措施和報(bào)告處理機(jī)制。(3)信息科技風(fēng)險(xiǎn)管理部門應(yīng)定期審查各個(gè)相關(guān)部門和環(huán)節(jié)的信息科技風(fēng)險(xiǎn)控制流程和管理制度，定期檢查制度的執(zhí)行情況，防止出現(xiàn)失控的環(huán)節(jié)和管理制度老化的情況。(4)信息科技風(fēng)險(xiǎn)管理部門應(yīng)對(duì)重要的信息科技工作環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，定期檢查和上報(bào)信息科技風(fēng)險(xiǎn)控制狀況。（5）信息科技風(fēng)險(xiǎn)管理部門應(yīng)對(duì)全行員工進(jìn)行持續(xù)的信息科技風(fēng)險(xiǎn)教育。檢查方法、步驟:（1）調(diào)閱信息科技風(fēng)險(xiǎn)管理的相關(guān)政策,流程,管理規(guī)范,工作手冊(cè),以及開展信息科技風(fēng)險(xiǎn)管理的記錄,如日常工作記錄、會(huì)議紀(jì)要和風(fēng)險(xiǎn)評(píng)估報(bào)告等。（2）調(diào)閱組織結(jié)構(gòu)圖和職責(zé)說明,了解信息科技風(fēng)險(xiǎn)管理部門的組織結(jié)構(gòu)和人員的配置情況。（3）了解信息科技風(fēng)險(xiǎn)管理部門的工作情況,包括風(fēng)險(xiǎn)管理框架,評(píng)估標(biāo)準(zhǔn),是否定期開展風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估的結(jié)果,主要風(fēng)險(xiǎn)和應(yīng)對(duì)措施等。（4）了解信息科技風(fēng)險(xiǎn)管理部門和信息科技部,業(yè)務(wù)部門,內(nèi)審部門和其他相關(guān)部門的相互協(xié)作情況。（5）了解信息科技風(fēng)險(xiǎn)教育和培訓(xùn)的開展情況,并調(diào)閱培訓(xùn)資料和記錄等。信息科技風(fēng)險(xiǎn)審計(jì)部門檢查項(xiàng)1：信息科技風(fēng)險(xiǎn)審計(jì)部門基本要求：（1）商業(yè)銀行應(yīng)指定專門負(fù)責(zé)信息科技風(fēng)險(xiǎn)審計(jì)的部門，設(shè)置必要的崗位，并配備適量信息科技風(fēng)險(xiǎn)專業(yè)審計(jì)人員。（2）制定信息科技風(fēng)險(xiǎn)審計(jì)制度和相應(yīng)的審計(jì)手冊(cè)。（3）應(yīng)有計(jì)劃、有側(cè)重點(diǎn)地開展信息科技風(fēng)險(xiǎn)審計(jì)工作。（4）及時(shí)向董事會(huì)和監(jiān)事會(huì)報(bào)告信息科技風(fēng)險(xiǎn)審計(jì)情況。（5）審計(jì)發(fā)現(xiàn)重大風(fēng)險(xiǎn)隱患應(yīng)及時(shí)報(bào)告。檢查方法、步驟：（1）訪談信息科技審計(jì)部門負(fù)責(zé)人和工作人員，了解以下信息:（@）信息科技審計(jì)職能的定位,工作范圍,組織結(jié)構(gòu)和分工（包括信息科技內(nèi)審團(tuán)隊(duì)內(nèi)部的分工,以及與其他內(nèi)審團(tuán)隊(duì)的分工）,匯報(bào)路線,人員配置,技能（如是否擁有專業(yè)資格）等情況；（切信息科技審計(jì)計(jì)劃,關(guān)注計(jì)劃制定過程中是否考慮了風(fēng)險(xiǎn),并基于風(fēng)險(xiǎn)狀況制定相應(yīng)計(jì)劃；9）信息科技審計(jì)工作的標(biāo)準(zhǔn)和規(guī)范；9）信息科技內(nèi)審工作的執(zhí)行情況,包括開展了哪些主要工作,有哪些主要發(fā)現(xiàn),整改情況等；（e）審計(jì)結(jié)果的匯報(bào)和溝通,包括與被審計(jì)方的溝通和落實(shí)整改,及與高級(jí)管理層和董事會(huì)的匯報(bào)。⑴內(nèi)審人員的持續(xù)培訓(xùn)情況。（2）調(diào)閱信息科技審計(jì)相關(guān)文檔,包括:四）信息科技審計(jì)章程或相關(guān)制度；9）信息科技審計(jì)部組織結(jié)構(gòu)圖，職責(zé)說明等；。）信息科技風(fēng)險(xiǎn)審計(jì)手冊(cè)或其他標(biāo)準(zhǔn)規(guī)范文檔。（3）調(diào)閱商業(yè)銀行審計(jì)工作計(jì)劃、工作底稿和審計(jì)報(bào)告。（4）調(diào)閱審計(jì)發(fā)現(xiàn)落實(shí)整改情況的記錄;。（5）調(diào)閱培訓(xùn)記錄。知識(shí)產(chǎn)權(quán)保護(hù)和信息披露檢查項(xiàng)1：知識(shí)產(chǎn)權(quán)保護(hù)基本要求：（1）商業(yè)銀行應(yīng)按照國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)法律、法規(guī)的要求，制定本單位知識(shí)產(chǎn)權(quán)保護(hù)制度。（2）應(yīng)采取有效措施確保所有員工充分理解知識(shí)產(chǎn)權(quán)保護(hù)制度并遵照?qǐng)?zhí)行。（3）規(guī)范合法軟件的購(gòu)買和使用，禁止使用盜版軟件。（4）做好自主開發(fā)的信息科技產(chǎn)品的知識(shí)產(chǎn)權(quán)保護(hù)工作。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行遵守知識(shí)產(chǎn)權(quán)法律的相關(guān)制度并審查其內(nèi)容。（2）查閱商業(yè)銀行的軟件清單，檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。（3）查閱外包服務(wù)協(xié)議和相關(guān)文件中是否有知識(shí)產(chǎn)權(quán)的保護(hù)條款，并檢查落實(shí)情況。檢查項(xiàng)2：信息披露基本要求：商業(yè)銀行應(yīng)依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，按照監(jiān)管機(jī)構(gòu)規(guī)定的格式和時(shí)間，及時(shí)規(guī)范地披露信息科技風(fēng)險(xiǎn)信息。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)披露的制度。（2）查閱商業(yè)銀行披露信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果的記錄。（3）重點(diǎn)關(guān)注信息披露是否符合《商業(yè)銀行信息披露辦法》等有關(guān)法律、法規(guī)的要求，是否按照監(jiān)管機(jī)構(gòu)規(guī)定的格式和時(shí)間及時(shí)規(guī)范地發(fā)布。（4）訪談信息科技人員了解信息披露的流程,以及信息披露執(zhí)行情況,如科技人員是否了解披露要求,如何確保披露信息的及時(shí)和準(zhǔn)確等。信息科技風(fēng)險(xiǎn)管理商業(yè)銀行應(yīng)制定信息科技風(fēng)險(xiǎn)管理策略，制定風(fēng)險(xiǎn)識(shí)別和評(píng)估、風(fēng)險(xiǎn)防范措施，對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)。風(fēng)險(xiǎn)識(shí)別和評(píng)估檢查項(xiàng)1：風(fēng)險(xiǎn)管理策略基本要求：（1）商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)發(fā)展規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃；（2）應(yīng)配置足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境；（3）應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于：信息分級(jí)與保護(hù)，信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)，信息科技運(yùn)行和維護(hù)，訪問控制，物理安全，人員安全，業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置。檢查方法、步驟：（1）訪談信息科技部門及信息科技風(fēng)險(xiǎn)管理部門負(fù)責(zé)人員,了解以下內(nèi)容血）信息科技風(fēng)險(xiǎn)管理策略和方法,如風(fēng)險(xiǎn)框架和分類,評(píng)估方法和標(biāo)準(zhǔn),以及對(duì)風(fēng)險(xiǎn)容忍度的界定；（b）銀行的主要信息科技風(fēng)險(xiǎn)及其應(yīng)對(duì)措施；（c）在開展信息科技風(fēng)險(xiǎn)管理過程中遇到的主要挑戰(zhàn)。（2）調(diào)閱信息科技風(fēng)險(xiǎn)管理文檔,如信息科技風(fēng)險(xiǎn)管理政策和流程,風(fēng)險(xiǎn)評(píng)估規(guī)范或手冊(cè)等。檢查項(xiàng)2：風(fēng)險(xiǎn)識(shí)別與評(píng)估基本要求：（1）商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息科技風(fēng)險(xiǎn)隱患；（2）定期評(píng)估信息科技風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別。檢查方法、步驟：（1）調(diào)閱風(fēng)險(xiǎn)識(shí)別和評(píng)估流程文檔，風(fēng)險(xiǎn)評(píng)估報(bào)告和相關(guān)工作底稿，了解具體工作開展情況。（2）與信息科技風(fēng)險(xiǎn)管理相關(guān)人員（如信息科技部門人員和信息科技風(fēng)險(xiǎn)管理部門人員）訪談,了解信息科技風(fēng)險(xiǎn)評(píng)估的過程,信息來源,評(píng)估結(jié)果,以及對(duì)識(shí)別的風(fēng)險(xiǎn)是否制定了應(yīng)對(duì)措施。風(fēng)險(xiǎn)防范和檢測(cè)檢查項(xiàng)1：風(fēng)險(xiǎn)防范措施基本要求：（1）商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程，并定期進(jìn)行更新和公布；（2）確定潛在風(fēng)險(xiǎn)區(qū)域，并對(duì)這些區(qū)域進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)及早發(fā)現(xiàn)、影響最小化；（3）建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險(xiǎn)。定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：最高權(quán)限用戶審查，控制數(shù)據(jù)和系統(tǒng)的物理及邏輯訪問，訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則，審批和授權(quán)，驗(yàn)證和調(diào)節(jié)等。檢查方法、步驟：（1）調(diào)閱信息科技管理制度、技術(shù)標(biāo)準(zhǔn)、操作規(guī)程等文檔,并訪談信息科技人員和風(fēng)險(xiǎn)管理人員,了解信息科技風(fēng)險(xiǎn)控制的主要原則和措施.（注:這里應(yīng)主要關(guān)注風(fēng)險(xiǎn)控制的原則,如怎樣落實(shí)訪問控制的最小授權(quán),對(duì)風(fēng)險(xiǎn)/安全事件的監(jiān)控,災(zāi)難恢復(fù)的安排等，具體控制的設(shè)計(jì)和執(zhí)行情況將在各個(gè)領(lǐng)域中進(jìn)行檢查。）（2）調(diào)閱風(fēng)險(xiǎn)監(jiān)控相關(guān)工作記錄,如風(fēng)險(xiǎn)評(píng)估報(bào)告,信息科技各職能部門關(guān)于風(fēng)險(xiǎn)的匯報(bào)文檔等.訪談風(fēng)險(xiǎn)管理人員，了解對(duì)高風(fēng)險(xiǎn)區(qū)域的監(jiān)控情況；（3）了解信息科技職能和風(fēng)險(xiǎn)管理職能如何對(duì)主要風(fēng)險(xiǎn)進(jìn)行監(jiān)控,如定期匯總各條線（如運(yùn)行,開發(fā),測(cè)試等）的匯報(bào),對(duì)一些重要事項(xiàng)和指標(biāo)的持續(xù)監(jiān)測(cè),內(nèi)外審的發(fā)現(xiàn)和建議的落實(shí),問題上報(bào)制度等。檢查項(xiàng)2：風(fēng)險(xiǎn)計(jì)量與檢測(cè)基本要求：（1）商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和檢測(cè)機(jī)制，其中包括：建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評(píng)價(jià)機(jī)制,建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn),建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制,建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制,安排對(duì)服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查,定期評(píng)估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅,定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查,定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評(píng)價(jià)。（2）中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資法人銀行，應(yīng)對(duì)境內(nèi)外監(jiān)管機(jī)構(gòu)有關(guān)信息科技風(fēng)險(xiǎn)監(jiān)管政策的差異性進(jìn)行分析并防范由此可能產(chǎn)生的風(fēng)險(xiǎn)。檢查方法、步驟：（1）調(diào)閱有關(guān)文檔（如風(fēng)險(xiǎn)評(píng)估制度和方法,評(píng)估報(bào)告,關(guān)于風(fēng)險(xiǎn)和安全事件的匯報(bào)等），了解商業(yè)銀行是否建立信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制。（2）訪談相關(guān)工作人員，了解中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資法人銀行是否對(duì)監(jiān)管政策的差異性進(jìn)行了充分分析并采取有效風(fēng)險(xiǎn)防范措施。信息安全管理保證信息安全是商業(yè)銀行的一項(xiàng)重要任務(wù)，商業(yè)銀行應(yīng)在信息科技部門內(nèi)部設(shè)置專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機(jī)密性、完整性和可用性。信息安全涉及到人員、管理、技術(shù)等各個(gè)方面，本章節(jié)主要包含人員安全和管理安全的檢查內(nèi)容，技術(shù)安全方面的檢查內(nèi)容參見第三部分“基礎(chǔ)設(shè)施”部分。提示：在對(duì)商業(yè)銀行的信息安全管理進(jìn)行檢查和評(píng)價(jià)時(shí)，可根據(jù)銀行機(jī)構(gòu)的實(shí)際情況，按照分類監(jiān)管、循序漸進(jìn)的原則，合理把握標(biāo)準(zhǔn)與尺度。如，科技人員少、信息系統(tǒng)種類不多的銀行機(jī)構(gòu)，可以不設(shè)置單獨(dú)的安全管理部門，但應(yīng)設(shè)置專職的崗位；信息科技崗位設(shè)置可以彼此兼職，但不相容崗位應(yīng)分離，做到操作系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員及數(shù)據(jù)庫(kù)管理員彼此分離、網(wǎng)絡(luò)管理員和其他系統(tǒng)管理員彼此分離、批量處理人員和業(yè)務(wù)數(shù)據(jù)庫(kù)管理員彼此分離。安全管理機(jī)制與管理組織檢查項(xiàng)1：信息分類和保護(hù)體系基本要求：商業(yè)銀行信息科技部門應(yīng)對(duì)各類信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)信息系統(tǒng)的重要程度等因素，建立和實(shí)施信息系統(tǒng)分類和保護(hù)體系，并保證該體系在銀行內(nèi)部的貫徹落實(shí)。檢查方法、步驟：（1）調(diào)閱信息系統(tǒng)分類管理制度，查看相關(guān)制度是否建立健全，是否對(duì)信息類別和訪問人員的范圍、級(jí)別作出明確規(guī)定；（2）檢查商業(yè)銀行是否針對(duì)不同的信息系統(tǒng)，制訂了不同的安全防范措施，采取了不同的技術(shù)防范手段；（3）檢查商業(yè)銀行是否對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評(píng)估和防范。檢查項(xiàng)2：安全管理機(jī)制基本要求：商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。包括：建立信息安全計(jì)劃和保持長(zhǎng)效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，定期向信息科技管理委員會(huì)提交本行信息安全評(píng)估報(bào)告等。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全計(jì)劃或相關(guān)文檔，檢查商業(yè)銀行是否制訂信息安全計(jì)劃。（2）分析信息安全計(jì)劃，評(píng)估商業(yè)銀行信息科技部門能否對(duì)信息安全進(jìn)行持續(xù)、長(zhǎng)期和有效的管理，確保信息安全和信息系統(tǒng)安全運(yùn)行。（3）檢查商業(yè)銀行信息科技部門是否組織培訓(xùn)和宣傳教育等活動(dòng)以提高全體員工信息安全意識(shí)，是否就安全問題向其他部門提供安全建議。（4）檢查商業(yè)銀行信息科技部門是否對(duì)各類信息和信息系統(tǒng)制訂相應(yīng)的信息安全標(biāo)準(zhǔn)，是否制訂相關(guān)的管理策略，是否制訂實(shí)施計(jì)劃，是否制訂持續(xù)改進(jìn)、完善計(jì)劃。通過訪談了解這些管理策略和計(jì)劃是否有效實(shí)施。（5）調(diào)閱信息安全評(píng)估報(bào)告，檢查信息科技部門是否定期對(duì)本行信息安全進(jìn)行評(píng)估。檢查項(xiàng)3：信息安全策略基本要求：商業(yè)銀行應(yīng)制訂詳細(xì)的信息安全策略，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營(yíng)管理、訪問控制管理、系統(tǒng)開發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全策略，檢查是否制定信息安全策略及其內(nèi)容是否完整、全面。（2）調(diào)閱信息安全管理規(guī)定，查看是否制定信息安全管理規(guī)定以及是否具有相應(yīng)的實(shí)施要求和細(xì)則。檢查項(xiàng)4：信息安全組織基本要求：商業(yè)銀行應(yīng)建立配套的安全管理職能部門，通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障。應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批；安全管理人員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。檢查方法、步驟：（1）調(diào)閱相關(guān)崗位職責(zé)說明文件，檢查是否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；（2）檢查是否限制安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等；（3）查詢相關(guān)制度文件和審批記錄，檢查是否根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批；（4）調(diào)閱信息安全檢查記錄，檢查安全管理員是否定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查結(jié)果是否及時(shí)報(bào)告和處理。安全管理制度檢查項(xiàng)1：規(guī)章制度基本要求：商業(yè)銀行應(yīng)對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行分析、評(píng)估；應(yīng)對(duì)信息安全管理工作建立相應(yīng)的管理制度；應(yīng)要求管理人員或操作人員嚴(yán)格執(zhí)行管理制度，各項(xiàng)操作符合制度要求；應(yīng)注明安全管理制度密級(jí)程度，并進(jìn)行密級(jí)管理；信息安全制度建設(shè)應(yīng)全面涵蓋信息系統(tǒng)的安全風(fēng)險(xiǎn)點(diǎn)，如：用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、各類業(yè)務(wù)系統(tǒng)安全、客戶端安全、病毒防護(hù)、敏感數(shù)據(jù)保護(hù)、文檔管理等內(nèi)容。信息安全制度應(yīng)包含違規(guī)處罰條款；重要工作和崗位應(yīng)制訂詳盡的管理辦法和工作職責(zé)；信息安全制度應(yīng)包括對(duì)服務(wù)商的責(zé)任和義務(wù)要求；信息安全事件報(bào)告制度和處理流程應(yīng)清晰明確；信息安全管理制度應(yīng)注明發(fā)布范圍，有發(fā)文編號(hào)和相關(guān)部門的收文記錄；信息安全制度應(yīng)及時(shí)發(fā)布和修訂。商業(yè)銀行應(yīng)建立完善的信息系統(tǒng)管理制度，管理制度應(yīng)正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學(xué)習(xí)掌握。檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全管理相關(guān)的會(huì)議記錄。（2）調(diào)閱信息安全相關(guān)的制度，查看：⑶是否圍繞著風(fēng)險(xiǎn)分析、評(píng)估報(bào)告開展制度建設(shè)，各項(xiàng)制度能否有效防范風(fēng)險(xiǎn)；（b）已有制度是否涵蓋信息系統(tǒng)的各項(xiàng)風(fēng)險(xiǎn)點(diǎn)，包括用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、各類業(yè)務(wù)應(yīng)用系統(tǒng)安全、客戶端安全、病毒防護(hù)、敏感數(shù)據(jù)保護(hù)、文檔管理等內(nèi)容；（c）是否包含違規(guī)的處罰條款；（d）是否包括針對(duì)服務(wù)商的管理要求，如職責(zé)和義務(wù)；（e）是否建立信息安全事件報(bào)告制度和處理流程，制度和流程是否清晰和明確；(3)調(diào)閱信息安全管理部門職責(zé)和工作計(jì)劃，查看是否對(duì)重要的信息系統(tǒng)安全管理崗位制定了明確的管理辦法和工作職責(zé)。(4)信息安全管理負(fù)責(zé)人員座談，了解近期信息安全方面的重大(管理、安全、人事等方面)事件，檢查是否已經(jīng)針對(duì)上述事件對(duì)信息安全制度進(jìn)行了及時(shí)修訂和頒布實(shí)施。檢查項(xiàng)2：制度合規(guī)基本要求