商業銀行信息科技風險現場檢查指南(DOC 294頁)
商業銀行信息科技風險現場檢查指南(DOC 294頁)內容簡介
第一部分概述.....12
1.指南說明.....13
1.1目的及適用範圍.....13
1.2編寫原則.....14
1.3指南框架.....15
第二部分科技管理.....17
2.信息科技治理.....18
2.1董事會及高級管理層.....18
檢查項1:董事會.....18
檢查項2:信息科技管理委員會.....19
檢查項3:首席信息官(CIO).....20
2.2信息科技部門.....21
檢查項1:信息科技部門.....21
檢查項2:信息科技戰略規劃.....23
2.3信息科技風險管理部門.....24
檢查項1:信息科技風險管理部門.....24
2.4信息科技風險審計部門.....25
檢查項1:信息科技風險審計部門.....25
2.5知識產權保護和信息披露.....26
檢查項1:知識產權保護.....26
檢查項2:信息披露.....26
3.信息科技風險管理.....28
3.1風險識別和評估.....28
檢查項1:風險管理策略.....28
檢查項2:風險識別與評估.....29
3.2風險防範和檢測.....29
檢查項1:風險防範措施.....29
檢查項2:風險計量與檢測.....30
4.信息安全管理.....32
4.1安全管理機製與管理組織.....32
檢查項1:信息分類和保護體係.....32
檢查項2:安全管理機製.....33
檢查項3:信息安全策略.....34
檢查項4:信息安全組織.....34
4.2安全管理製度.....35
檢查項1:規章製度.....35
檢查項2:製度合規.....36
檢查項3:製度執行.....37
4.3人員管理.....38
檢查項1:人員管理.....38
4.4安全評估報告.....39
檢查項1:安全評估報告.....39
4.5宣傳、教育和培訓.....39
檢查項1:宣傳、教育和培訓.....39
5.係統開發、測試與維護.....41
5.1開發管理.....41
檢查項1:管理架構.....41
檢查項2:製度建設.....43
檢查項3:項目控製體係.....44
檢查項4:係統開發的操作風險.....45
檢查項5:數據繼承和遷移.....46
5.2係統測試與上線.....47
檢查項1:係統測試.....47
檢查項2:係統驗收.....49
檢查項3:投產上線.....49
5.3係統下線.....50
檢查項1:係統下線.....50
6.係統運行管理.....52
6.1日常管理.....52
檢查項1:職責分離.....52
檢查項2:值班製度.....53
檢查項3:操作管理.....53
檢查項4:人員管理.....54
6.2訪問控製策略.....55
檢查項1:物理訪問控製策略.....55
檢查項2:邏輯訪問控製策略.....56
檢查項3:賬號及權限管理.....57
檢查項4:用戶責任及終端管理.....58
檢查項5:遠程接入的控製.....59
6.3日誌管理.....60
檢查項1:審計日誌檢查.....60
檢查項2:日誌信息的保護.....60
檢查項3:操作日誌的檢查.....61
檢查項4:錯誤日誌的檢查.....61
6.4係統監控.....62
檢查項1:基礎環境監控.....62
檢查項2:係統性能監控.....62
檢查項3:係統運行監控.....63
檢查項4:測評體係.....64
6.5事件管理.....65
檢查項1:事件報告流程.....65
檢查項2:事件管理和改進.....66
檢查項3:服務台管理.....67
6.6問題管理.....67
檢查項1:事件分析和問題生成.....68
檢查項2:台賬管理.....68
檢查項3:問題處置.....68
6.7容量管理.....69
檢查項1:容量規劃.....69
檢查項2:容量監測.....70
檢查項3:容量變更.....70
6.8變更管理.....71
檢查項1:變更的流程.....72
檢查項2:變更的評估.....72
檢查項3:變更的授權.....73
檢查項4:變更的執行.....73
檢查項5:緊急變更.....74
檢查項6:重大變更.....74
7.業務連續性管理.....76
7.1業務連續性管理組織.....77
檢查項1:董事會及高管層的職責.....77
檢查項2:業務連續性管理組織的建立.....78
檢查項3:業務連續性管理組織職責.....79
7.2IT服務連續性管理.....80
檢查項1:IT服務連續性計劃的組織保障.....80
檢查項2:風險評估及業務影響分析.....81
檢查項3:IT服務連續性計劃的製定.....81
檢查項4:IT服務連續性計劃的測試與維護.....82
檢查項5:IT服務連續性計劃審計.....83
檢查項6:IT服務連續性相關領域的控製.....84
8.應急管理.....85
8.1應急組織.....85
檢查項1:應急管理團隊.....85
檢查項2:應急管理職責.....86
檢查項3:應急管理製度.....86
8.2應急預案.....87
檢查項1:應急預案製訂.....87
檢查項2:應急預案內容.....87
檢查項3:應急預案更新.....89
檢查項4:外包服務應急.....89
檢查項5:應急預案培訓.....90
8.3應急保障.....90
檢查項1:人員保障.....90
檢查項2:物質保障.....90
檢查項3:技術保障.....91
檢查項4:溝通保障.....91
8.4應急演練.....92
檢查項1:應急演練的計劃.....92
檢查項2:應急演練的實施.....92
檢查項3:應急演練的總結.....93
8.5應急響應.....93
檢查項1:應急響應流程.....93
檢查項2:全程記錄處置過程.....94
檢查項3:應急事件報告.....95
檢查項4:與第三方溝通.....95
檢查項5:向新聞媒體通報製度.....96
檢查項6:應急處置總結.....96
8.6持續改進.....97
檢查項1:應急事件評估.....97
檢查項2:應急響應評估.....97
檢查項3:應急管理改進.....97
9.災難恢複管理.....99
9.1災難恢複組織架構.....99
檢查項1:災難恢複相關組織架構.....99
9.2災難恢複策略.....101
檢查項1:總體控製.....101
檢查項2:災難恢複策略.....101
檢查項3:災難備份策略.....103
檢查項4:外包風險.....104
9.3災難恢複預案.....105
檢查項1:災難恢複預案.....105
檢查項2:聯絡與通訊.....106
檢查項3:教育、培訓和演練.....107
9.4評估和維護更新.....107
檢查項1:災備策略的評估和維護更新.....107
檢查項2:災難恢複預案的評估和維護更新.....108
10.數據管理.....109
10.1數據管理製度和崗位.....109
檢查項1:數據管理製度.....109
檢查項2:數據管理崗位.....110
10.2數據備份、恢複策略.....110
檢查項1:數據備份、轉儲策略.....110
檢查項2:數據恢複、抽檢策略.....111
10.3數據存儲介質管理.....112
檢查項1:介質管理.....112
檢查項2:介質的清理和銷毀.....113
11.外包管理.....114
11.1外包管理製度.....114
檢查項1:外包管理製度.....114
檢查項2:外包審批流程.....114
檢查項3:外包協議.....115
檢查項4:服務水平協議.....115
檢查項5:外包安全保密措施.....116
檢查項6:外包文檔管理.....116
11.2外包評估和監督.....117
檢查項1:外包服務商的評估.....117
檢查項2:外包項目的監督管理.....117
12.內部審計.....119
12.1內部審計管理.....119
檢查項1:內部審計部門、崗位、人員和職責.....119
檢查項2:內部審計製度和辦法.....119
12.2內部審計要求.....120
檢查項1:內部審計範圍和頻率.....120
檢查項2:內部審計結果的有效性.....120
13.外部審計.....122
13.1外部審計資質.....122
檢查項1:外部審計機構的資質.....122
13.2外部審計要求.....122
檢查項1:商業銀行配合外部審計情況.....122
檢查項2:外部審計有效性.....123
檢查項3:外審過程中的保密要求.....123
第三部分基礎設施.....125
14.計算機機房.....126
14.1計算機機房建設.....126
檢查項1:計算機機房選址.....126
檢查項2:機房功能分區.....127
檢查項3:計算機機房基礎設施建設.....127
檢查項4:計算機機房的環境要求.....130
檢查項5:計算機機房日常維護.....131
14.2計算機機房管理.....132
檢查項1:計算機機房安全管理.....132
檢查項2:計算機機房集中監控係統.....133
檢查項3:計算機機房安全區域訪問控製.....134
檢查項4:計算機機房運行管理.....135
14.3機房設備管理.....136
檢查項1:機房設備的環境安全.....136
15.網絡通訊.....137
15.1內控管理.....137
檢查項1:內控製度.....137
檢查項2:人員管理.....138
檢查項3:訪問控製.....138
檢查項4:日誌管理.....139
檢查項5:第三方管理.....140
檢查項6:服務外包.....141
檢查項7:文檔管理.....141
檢查項8:風險評估.....142
15.2網絡運行維護.....143
檢查項1:運行監控.....143
檢查項2:性能監控.....143
檢查項3:流量監控.....144
檢查項4:監控預警.....144
檢查項5:性能調優.....144
檢查項6:事件管理.....145
檢查項7:運行檢查.....145
15.3網絡變更管理.....146
檢查項1:變更發起.....146
檢查項2:變更計劃.....147
檢查項3:變更測試.....147
檢查項4:變更審批.....147
檢查項5:變更實施.....148
15.4網絡服務可用性.....149
檢查項1:容量管理.....149
檢查項2:冗餘管理.....149
檢查項3:帶外管理.....150
檢查項4:壓力測試.....151
檢查項5:應急管理.....151
15.5網絡安全技術.....151
檢查項1:結構安全.....151
檢查項2:物理安全.....153
檢查項3:傳輸安全.....153
檢查項4:訪問控製.....154
檢查項5:接入安全.....155
檢查項6:網絡邊界安全.....156
檢查項7:入侵檢測防範.....157
檢查項8:惡意代碼防範.....158
檢查項9:網絡設備防護.....158
檢查項10:網絡安全測試.....160
檢查項11:安全審計日誌.....161
檢查項12:安全檢查.....162
16.操作係統.....163
16.1賬號及密碼管理.....163
檢查項1:管理製度.....163
檢查項2:賬號、密碼管理.....163
檢查項3:賬號、密碼管理檢查.....165
16.2係統訪問控製.....165
檢查項1:訪問控製策略.....165
檢查項2:用戶登錄行為管理.....166
檢查項3:登錄失敗日誌管理.....166
檢查項4:最小化訪問.....167
16.3遠程接入管理.....168
檢查項1:遠程管理製度.....168
檢查項2:遠程維護管理.....169
檢查項3:遠程維護審查.....169
16.4日常維護.....170
檢查項1:係統性能監控.....170
檢查項2:補丁及漏洞管理.....170
檢查項3:日常維護管理.....171
檢查項4:係統備份和故障恢複.....172
檢查項5:病毒及惡意代碼管理.....172
檢查項6:定時進程設置管理.....173
檢查項7:係統審計功能.....173
17.數據庫管理係統.....175
17.1訪問控製.....175
檢查項1:身份認證.....175
檢查項2:授權控製.....176
檢查項3:遠程訪問.....177
檢查項4:安全參數設置.....178
17.2日常管理.....178
檢查項1:數據安全.....178
檢查項2:審計功能.....179
檢查項3:性能管理.....180
檢查項4:補丁升級.....181
17.3連續性管理.....181
檢查項1:備份和恢複.....181
檢查項2:連續性和應急管理.....182
18.第三方中間件.....184
18.1產品管理.....184
檢查項1:中間件測試.....184
檢查項2:中間件管理.....184
檢查項3:中間件與業務係統架構.....185
18.2運行管理.....185
檢查項1:維護流程和操作手冊.....185
檢查項2:中間件配置管理.....185
檢查項3:中間件日誌管理的程序.....186
檢查項4:中間件的性能監控.....186
檢查項5:中間件產生的事件和問題管理.....187
檢查項6:中間件的變更.....187
檢查項7:單點故障問題和負載均衡.....187
檢查項8:壓力測試.....188
..............................
1.指南說明.....13
1.1目的及適用範圍.....13
1.2編寫原則.....14
1.3指南框架.....15
第二部分科技管理.....17
2.信息科技治理.....18
2.1董事會及高級管理層.....18
檢查項1:董事會.....18
檢查項2:信息科技管理委員會.....19
檢查項3:首席信息官(CIO).....20
2.2信息科技部門.....21
檢查項1:信息科技部門.....21
檢查項2:信息科技戰略規劃.....23
2.3信息科技風險管理部門.....24
檢查項1:信息科技風險管理部門.....24
2.4信息科技風險審計部門.....25
檢查項1:信息科技風險審計部門.....25
2.5知識產權保護和信息披露.....26
檢查項1:知識產權保護.....26
檢查項2:信息披露.....26
3.信息科技風險管理.....28
3.1風險識別和評估.....28
檢查項1:風險管理策略.....28
檢查項2:風險識別與評估.....29
3.2風險防範和檢測.....29
檢查項1:風險防範措施.....29
檢查項2:風險計量與檢測.....30
4.信息安全管理.....32
4.1安全管理機製與管理組織.....32
檢查項1:信息分類和保護體係.....32
檢查項2:安全管理機製.....33
檢查項3:信息安全策略.....34
檢查項4:信息安全組織.....34
4.2安全管理製度.....35
檢查項1:規章製度.....35
檢查項2:製度合規.....36
檢查項3:製度執行.....37
4.3人員管理.....38
檢查項1:人員管理.....38
4.4安全評估報告.....39
檢查項1:安全評估報告.....39
4.5宣傳、教育和培訓.....39
檢查項1:宣傳、教育和培訓.....39
5.係統開發、測試與維護.....41
5.1開發管理.....41
檢查項1:管理架構.....41
檢查項2:製度建設.....43
檢查項3:項目控製體係.....44
檢查項4:係統開發的操作風險.....45
檢查項5:數據繼承和遷移.....46
5.2係統測試與上線.....47
檢查項1:係統測試.....47
檢查項2:係統驗收.....49
檢查項3:投產上線.....49
5.3係統下線.....50
檢查項1:係統下線.....50
6.係統運行管理.....52
6.1日常管理.....52
檢查項1:職責分離.....52
檢查項2:值班製度.....53
檢查項3:操作管理.....53
檢查項4:人員管理.....54
6.2訪問控製策略.....55
檢查項1:物理訪問控製策略.....55
檢查項2:邏輯訪問控製策略.....56
檢查項3:賬號及權限管理.....57
檢查項4:用戶責任及終端管理.....58
檢查項5:遠程接入的控製.....59
6.3日誌管理.....60
檢查項1:審計日誌檢查.....60
檢查項2:日誌信息的保護.....60
檢查項3:操作日誌的檢查.....61
檢查項4:錯誤日誌的檢查.....61
6.4係統監控.....62
檢查項1:基礎環境監控.....62
檢查項2:係統性能監控.....62
檢查項3:係統運行監控.....63
檢查項4:測評體係.....64
6.5事件管理.....65
檢查項1:事件報告流程.....65
檢查項2:事件管理和改進.....66
檢查項3:服務台管理.....67
6.6問題管理.....67
檢查項1:事件分析和問題生成.....68
檢查項2:台賬管理.....68
檢查項3:問題處置.....68
6.7容量管理.....69
檢查項1:容量規劃.....69
檢查項2:容量監測.....70
檢查項3:容量變更.....70
6.8變更管理.....71
檢查項1:變更的流程.....72
檢查項2:變更的評估.....72
檢查項3:變更的授權.....73
檢查項4:變更的執行.....73
檢查項5:緊急變更.....74
檢查項6:重大變更.....74
7.業務連續性管理.....76
7.1業務連續性管理組織.....77
檢查項1:董事會及高管層的職責.....77
檢查項2:業務連續性管理組織的建立.....78
檢查項3:業務連續性管理組織職責.....79
7.2IT服務連續性管理.....80
檢查項1:IT服務連續性計劃的組織保障.....80
檢查項2:風險評估及業務影響分析.....81
檢查項3:IT服務連續性計劃的製定.....81
檢查項4:IT服務連續性計劃的測試與維護.....82
檢查項5:IT服務連續性計劃審計.....83
檢查項6:IT服務連續性相關領域的控製.....84
8.應急管理.....85
8.1應急組織.....85
檢查項1:應急管理團隊.....85
檢查項2:應急管理職責.....86
檢查項3:應急管理製度.....86
8.2應急預案.....87
檢查項1:應急預案製訂.....87
檢查項2:應急預案內容.....87
檢查項3:應急預案更新.....89
檢查項4:外包服務應急.....89
檢查項5:應急預案培訓.....90
8.3應急保障.....90
檢查項1:人員保障.....90
檢查項2:物質保障.....90
檢查項3:技術保障.....91
檢查項4:溝通保障.....91
8.4應急演練.....92
檢查項1:應急演練的計劃.....92
檢查項2:應急演練的實施.....92
檢查項3:應急演練的總結.....93
8.5應急響應.....93
檢查項1:應急響應流程.....93
檢查項2:全程記錄處置過程.....94
檢查項3:應急事件報告.....95
檢查項4:與第三方溝通.....95
檢查項5:向新聞媒體通報製度.....96
檢查項6:應急處置總結.....96
8.6持續改進.....97
檢查項1:應急事件評估.....97
檢查項2:應急響應評估.....97
檢查項3:應急管理改進.....97
9.災難恢複管理.....99
9.1災難恢複組織架構.....99
檢查項1:災難恢複相關組織架構.....99
9.2災難恢複策略.....101
檢查項1:總體控製.....101
檢查項2:災難恢複策略.....101
檢查項3:災難備份策略.....103
檢查項4:外包風險.....104
9.3災難恢複預案.....105
檢查項1:災難恢複預案.....105
檢查項2:聯絡與通訊.....106
檢查項3:教育、培訓和演練.....107
9.4評估和維護更新.....107
檢查項1:災備策略的評估和維護更新.....107
檢查項2:災難恢複預案的評估和維護更新.....108
10.數據管理.....109
10.1數據管理製度和崗位.....109
檢查項1:數據管理製度.....109
檢查項2:數據管理崗位.....110
10.2數據備份、恢複策略.....110
檢查項1:數據備份、轉儲策略.....110
檢查項2:數據恢複、抽檢策略.....111
10.3數據存儲介質管理.....112
檢查項1:介質管理.....112
檢查項2:介質的清理和銷毀.....113
11.外包管理.....114
11.1外包管理製度.....114
檢查項1:外包管理製度.....114
檢查項2:外包審批流程.....114
檢查項3:外包協議.....115
檢查項4:服務水平協議.....115
檢查項5:外包安全保密措施.....116
檢查項6:外包文檔管理.....116
11.2外包評估和監督.....117
檢查項1:外包服務商的評估.....117
檢查項2:外包項目的監督管理.....117
12.內部審計.....119
12.1內部審計管理.....119
檢查項1:內部審計部門、崗位、人員和職責.....119
檢查項2:內部審計製度和辦法.....119
12.2內部審計要求.....120
檢查項1:內部審計範圍和頻率.....120
檢查項2:內部審計結果的有效性.....120
13.外部審計.....122
13.1外部審計資質.....122
檢查項1:外部審計機構的資質.....122
13.2外部審計要求.....122
檢查項1:商業銀行配合外部審計情況.....122
檢查項2:外部審計有效性.....123
檢查項3:外審過程中的保密要求.....123
第三部分基礎設施.....125
14.計算機機房.....126
14.1計算機機房建設.....126
檢查項1:計算機機房選址.....126
檢查項2:機房功能分區.....127
檢查項3:計算機機房基礎設施建設.....127
檢查項4:計算機機房的環境要求.....130
檢查項5:計算機機房日常維護.....131
14.2計算機機房管理.....132
檢查項1:計算機機房安全管理.....132
檢查項2:計算機機房集中監控係統.....133
檢查項3:計算機機房安全區域訪問控製.....134
檢查項4:計算機機房運行管理.....135
14.3機房設備管理.....136
檢查項1:機房設備的環境安全.....136
15.網絡通訊.....137
15.1內控管理.....137
檢查項1:內控製度.....137
檢查項2:人員管理.....138
檢查項3:訪問控製.....138
檢查項4:日誌管理.....139
檢查項5:第三方管理.....140
檢查項6:服務外包.....141
檢查項7:文檔管理.....141
檢查項8:風險評估.....142
15.2網絡運行維護.....143
檢查項1:運行監控.....143
檢查項2:性能監控.....143
檢查項3:流量監控.....144
檢查項4:監控預警.....144
檢查項5:性能調優.....144
檢查項6:事件管理.....145
檢查項7:運行檢查.....145
15.3網絡變更管理.....146
檢查項1:變更發起.....146
檢查項2:變更計劃.....147
檢查項3:變更測試.....147
檢查項4:變更審批.....147
檢查項5:變更實施.....148
15.4網絡服務可用性.....149
檢查項1:容量管理.....149
檢查項2:冗餘管理.....149
檢查項3:帶外管理.....150
檢查項4:壓力測試.....151
檢查項5:應急管理.....151
15.5網絡安全技術.....151
檢查項1:結構安全.....151
檢查項2:物理安全.....153
檢查項3:傳輸安全.....153
檢查項4:訪問控製.....154
檢查項5:接入安全.....155
檢查項6:網絡邊界安全.....156
檢查項7:入侵檢測防範.....157
檢查項8:惡意代碼防範.....158
檢查項9:網絡設備防護.....158
檢查項10:網絡安全測試.....160
檢查項11:安全審計日誌.....161
檢查項12:安全檢查.....162
16.操作係統.....163
16.1賬號及密碼管理.....163
檢查項1:管理製度.....163
檢查項2:賬號、密碼管理.....163
檢查項3:賬號、密碼管理檢查.....165
16.2係統訪問控製.....165
檢查項1:訪問控製策略.....165
檢查項2:用戶登錄行為管理.....166
檢查項3:登錄失敗日誌管理.....166
檢查項4:最小化訪問.....167
16.3遠程接入管理.....168
檢查項1:遠程管理製度.....168
檢查項2:遠程維護管理.....169
檢查項3:遠程維護審查.....169
16.4日常維護.....170
檢查項1:係統性能監控.....170
檢查項2:補丁及漏洞管理.....170
檢查項3:日常維護管理.....171
檢查項4:係統備份和故障恢複.....172
檢查項5:病毒及惡意代碼管理.....172
檢查項6:定時進程設置管理.....173
檢查項7:係統審計功能.....173
17.數據庫管理係統.....175
17.1訪問控製.....175
檢查項1:身份認證.....175
檢查項2:授權控製.....176
檢查項3:遠程訪問.....177
檢查項4:安全參數設置.....178
17.2日常管理.....178
檢查項1:數據安全.....178
檢查項2:審計功能.....179
檢查項3:性能管理.....180
檢查項4:補丁升級.....181
17.3連續性管理.....181
檢查項1:備份和恢複.....181
檢查項2:連續性和應急管理.....182
18.第三方中間件.....184
18.1產品管理.....184
檢查項1:中間件測試.....184
檢查項2:中間件管理.....184
檢查項3:中間件與業務係統架構.....185
18.2運行管理.....185
檢查項1:維護流程和操作手冊.....185
檢查項2:中間件配置管理.....185
檢查項3:中間件日誌管理的程序.....186
檢查項4:中間件的性能監控.....186
檢查項5:中間件產生的事件和問題管理.....187
檢查項6:中間件的變更.....187
檢查項7:單點故障問題和負載均衡.....187
檢查項8:壓力測試.....188
..............................
下一篇:尚無數據