第一部分 概述............................................. 2
1. 银行信息科技风险及其监管 ............................... 2
1.1 银行信息科技风险 ................................................................2
1.2 银行信息科技风险特点 ............................................................2
1.3 风险成因分析 ....................................................................3
1.4 信息科技风险监管意义 ............................................................4
2. 现场检查一般流程 ....................................... 5
2.1 现场检查准备阶段 ................................................................5
2.2 现场检查实施阶段 ................................................................7
2.3 现场检查后续阶段 ................................................................8
3. 常用检查方法 ........................................... 9
第二部分 科技管理....................................... 11
4. 科技治理 .............................................. 11
4.1 董事会及高管层 .................................................................11
检查项 1 :董事会和高级管理层............................................................................................11
4.2 信息科技工作的管理机构 .........................................................12
检查项 1 :全行信息科技工作的管理机构 .............................................................................12
4.3 信息科技部门 ...................................................................13
检查项 1 :信息科技部门.......................................................................................................13
4.4 信息科技战略规划 ...............................................................15
检查项 1 :信息科技战略规划................................................................................................15
4.5 信息科技风险管理部门 ...........................................................15
检查项 1 :信息科技风险管理部门 ........................................................................................15
4.6 信息科技风险审计 ...............................................................16
检查项 1 :信息科技风险审计机制 ........................................................................................16
4.7 知识产权保护 ...................................................................17
检查项 1 :知识产权制度.......................................................................................................17
4.8 信息披露 .......................................................................17
检查项 1 :信息披露 ..............................................................................................................17
5. 连续性管理 ............................................ 18
5.1 信息系统连续性组织 .............................................................18
检查项 1:系统连续性管理组织..............................................................................................18
检查项 2:系统连续性管理组织职责 ......................................................................................19
检查项 3:系统连续性计划编制、维护...................................................................................20
检查项 4:系统连续性计划编制、维护职责 ...........................................................................20
检查项 5:系统连续性计划执行组织 ......................................................................................20
检查项 6:系统连续性计划执行组织职责 ...............................................................................21
检查项 7:人员变动管理.........................................................................................................22
5.2 信息系统连续性计划 .............................................................22
检查项 1:系统连续性计划.....................................................................................................22
检查项 2:测试及持续更新.....................................................................................................24
检查项 3:信息系统连续性计划管理 ......................................................................................25
检查项 4:系统连续性计划培训..............................................................................................25
检查项 5:系统连续性计划审计..............................................................................................25
6. 应急管理 .............................................. 26
6.1 应急组织 .......................................................................26
检查项 1:应急管理团队.........................................................................................................26
检查项 2:应急管理职责.........................................................................................................27
检查项 3:应急管理制度.........................................................................................................27
6.2 应急预案 .......................................................................27
检查项 1:应急预案制订.........................................................................................................27
检查项 2:应急预案内容.........................................................................................................28
检查项 3:应急预案更新.........................................................................................................29
检查项 4:外包服务应急.........................................................................................................29
检查项 5:应急培训................................................................................................................29
6.3 应急演练 .......................................................................30
检查项 1:应急演练前 ............................................................................................................30
检查项 2:应急演练过程.........................................................................................................30
检查项 3:应急演练后 ............................................................................................................30
6.4 应急响应 .......................................................................31
检查项 1:应急响应流程.........................................................................................................31
检查项 3:应急事件报告.........................................................................................................32
检查项 4:与第三方沟通.........................................................................................................32
检查项 5 :向新闻媒体通报制度............................................................................................32
检查项 6:应急处置总结.........................................................................................................33
6.5 应急保障 .......................................................................33
检查项 1:人员保障................................................................................................................33
检查项 2:物质保障................................................................................................................33
检查项 3:技术保障................................................................................................................34
检查项 4:沟通保障................................................................................................................34
6.6 持续改进 .......................................................................34
检查项 1:应急事件评估、改进..............................................................................................34
检查项 2:应急响应评估.........................................................................................................35
检查项 3:应急管理评估.........................................................................................................35
检查项 4:纳入全面风险管理机制..........................................................................................35
7. 信息系统安全管理 ...................................... 35
7.1 安全管理组织 ...................................................................36
检查项 1:管理目标................................................................................................................36
检查项 2:人员风险................................................................................................................36
7.2 安全管理制度 ...................................................................37
检查项 1:规章制度................................................................................................................37
检查项 2:制度合规................................................................................................................38
查项 3:制度执行....................................................................................................................38
检查项 4:宣传和教育培训.....................................................................................................39
检查项 5:事件响应和处理.....................................................................................................39
8. 外包管理 .............................................. 40
8.1 服务外包管理制度 ...............................................................40
检查项 1:服务外包管理制度 .................................................................................................40
检查项 2:对重要外包项目评估..............................................................................................41
检查项 3:外包安全保密措施 .................................................................................................41
8.2 服务外包管理风险评估 ...........................................................41
检查项 1:对服务外包商评估 .................................................................................................41
检查项 2:对服务外包商审查 .................................................................................................42
8.3 服务外包审批 ...................................................................42
检查项 1:服务外包审批流程 .................................................................................................42
8.4 服务外包应急响应 ...............................................................42
检查项 1:服务外包应急计划 .................................................................................................42
检查项 2:服务外包商联络机制..............................................................................................43
检查项 3:服务外包应急演练 .................................................................................................43
8.5 外包合同 .......................................................................43
检查项 1:外包合同................................................................................................................43
检查项 2:服务外包商访问权限..............................................................................................44
检查项 3:外包服务法律风险 .................................................................................................44
8.6 服务外包文档的完备性 ...........................................................45
检查项 1:服务外包文档.........................................................................................................45
9. 审计监督 .............................................. 45
9.1 内部审计 .......................................................................45
检查项 1:信息科技审计制度 .................................................................................................45
检查项 2:内部审计的范围、频率..........................................................................................46
检查项 3:审计质量控制.........................................................................................................46
检查项 4:审计结果的有效性和持续性...................................................................................47
9.2 外部审计 .......................................................................47
检查项 1:内部审计与外部审计的协调...................................................................................47
10. 开发变更管理 ......................................... 48
10.1 开发管理.......................................................................48
检查项 1:制度建设................................................................................................................48
检查项 2:管理架构................................................................................................................49
检查项 3:项目控制体系.........................................................................................................49
检查项 4:系统开发的操作风险..............................................................................................50
10.2 系统测试与上线.................................................................50
检查项 1:系统测试................................................................................................................51
检查项 2:系统验收................................................................................................................51
检查项 3:系统上线................................................................................................................52
10.3 系统升级变更...................................................................52
检查项 1:制度建设................................................................................................................52
检查项 2:管理架构................................................................................................................53
检查项 3:测试体系................................................................................................................53
检查项 4:紧急变更控制措施 .................................................................................................54
10.4 系统下线.......................................................................54
检查项 1: 制度和流程建设 ...................................................................................................54
检查项 2: 操作管理 ..............................................................................................................55
11. 系统运行管理 ......................................... 55
11.1 日常运行管理 ..................................................................55
检查项 1:运行部门和岗位设置..............................................................................................55
检查项 2:信息科技部门人员管理..........................................................................................55
检查项 3:信息科技部门人员培训..........................................................................................56
检查项 4:系统用户的管理.....................................................................................................56
检查项 5:系统性能的监控.....................................................................................................56
检查项 6:信息系统配置的管理..............................................................................................57
检查项 7:系统设置参数的更改..............................................................................................57
检查项 8:设备和介质的生命周期管理...................................................................................57
检查项 9:日志管理................................................................................................................57
检查项 10:问题管理..............................................................................................................58
检查项 11:服务台管理 ..........................................................................................................58
检查项 12:呼叫中心..............................................................................................................58
检查项 13:桌面管理..............................................................................................................59
11.2 日常运行的监督 ................................................................59
检查项 1:规章制度及信息安全控制执行情况的检查.............................................................59
检查项 2:运行报告................................................................................................................59
11.3 可靠性运行管理 ................................................................60
检查项 1:单点故障的排查.....................................................................................................60
检查项 2:信息系统漏洞导致业务失控的风险排查.................................................................60
检查项 3:数据的管理 ............................................................................................................60
11.4 安全运行管理 ..................................................................60
检查项 1:对已获知的外部安全问题信息的反应 ....................................................................61
检查项 2:信息安全事件的响应..............................................................................................61
检查项 3:信息安全设备的完备性..........................................................................................61
检查项 4:信息安全的管理工具..............................................................................................61
检查项 5:病毒的检测和预防 .................................................................................................62
11.5 保密运行管理 ..................................................................62
检查项 1:数字签名和认证的安全性 ......................................................................................62
检查项 2:口令的管理 ............................................................................................................62
检查项 3:交易的验证 ............................................................................................................63
检查项 4:数据的加密 ............................................................................................................63
12. 灾难备份管理 ......................................... 63
12.1 灾难恢复的总体控制 ............................................................64
检查项 1:灾难恢复的规划.....................................................................................................64
12.2 灾难恢复的组织机构 ............................................................64
检查项 1:灾难恢复的组织机构..............................................................................................64
检查项 2:灾难恢复领导小组职责..........................................................................................64
检查项 3:灾难恢复规划实施小组职责...................................................................................65
检查项 4:灾难恢复日常运行小组职责...................................................................................65
12.3 灾难恢复的规划过程 ............................................................65
检查项 1:业务影响分析.........................................................................................................65
检查项 2:联络与通讯 ............................................................................................................66
检查项 3:灾备系统中的外包风险..........................................................................................67
12.4 灾难恢复的实施过程 ............................................................67
检查项 1:灾难恢复策略的制定..............................................................................................67
检查项 2:灾难恢复策略实现 .................................................................................................69
检查项 3:灾难恢复预案的实现..............................................................................................69
12.5 灾难恢复的维护更新过程 ........................................................70
检查项 1:教育、培训和演练 .................................................................................................70
检查项 2:灾难恢复的管理和持续更新...................................................................................70
13. 数据管理............................................. 71
13.1 数据管理制度和岗位 ............................................................71
检查项 1: 数据管理的制度......................................................................................................71
检查项 2 :数据管理的岗位 ...................................................................................................72
检查项 1:数据备份策略.........................................................................................................72
检查项 2:数据恢复、抽检策略..............................................................................................73
13.3 数据存储介质及文档的管理 ......................................................74
检查项 1:介质管理................................................................................................................74
检查项 2:介质的清理和销毁 .................................................................................................74
检查项 3:系统文档管理.........................................................................................................75
14. 机房管理............................................. 77
14.1 物理环境/计算机机房业务连续性..................................................77
检查项 1:计算机机房运行管理..............................................................................................77
检查项 2:计算机机房选址.....................................................................................................78
检查项 3:计算机机房基础设施有效性...................................................................................78
检查项 4:计算机机房日常维护..............................................................................................80
检查项 5:机房功能分区.........................................................................................................80
检查项 6:应急预案及演练.....................................................................................................81
14.2 物理环境/计算机机房安全........................................................81
检查项 1:物理环境/计算机机房安全管理 ..............................................................................81
检查项 2:计算机机房的环境安全管理...................................................................................82
检查项 3:计算机机房集中监控系统 ......................................................................................83
检查项 4:计算机机房安全区域访问控制 ...............................................................................83
检查项 5:机房设备安全.........................................................................................................84
15. 网络通信............................................. 85
15.1 内控管理 ......................................................................85
检查项 1:内控制度................................................................................................................85
检查项 2:人员管理................................................................................................................86
检查项 3:授权管理................................................................................................................86
检查项 4:口令管理................................................................................................................86
检查项 5:第三方管理 ............................................................................................................87
检查项 6:服务外包................................................................................................................87
检查项 7:文档管理................................................................................................................87
检查项 8:审计和检查 ............................................................................................................88
检查项 9:风险评估................................................................................................................89
检查项 10:剩余风险控制.......................................................................................................89
15.2 运行维护 ......................................................................89
检查项 1:运行监控................................................................................................................89
检查项 2:性能监控................................................................................................................90
检查项 3:流量监控................................................................................................................90
检查项 4:性能调优................................................................................................................90
检查项 5:监控预警................................................................................................................90
检查项 6:事件管理................................................................................................................91
检查项 7:运行检查................................................................................................................91
15.3 网络变更管理 ..................................................................92
检查项 1:变更计划................................................................................................................92
检查项 2:变更审批................................................................................................................92
检查项 3:配置和策略变更.....................................................................................................92
检查项 4:设备变更................................................................................................................93
检查项 5:变更测试................................................................................................................93
15.4 网络服务连续性 ................................................................93
检查项 1:连续性计划 ............................................................................................................93
检查项 2:业务影响分析.........................................................................................................94
检查项 3:应急管理................................................................................................................94
检查项 4:容量管理................................................................................................................94
检查项 5:冗余管理................................................................................................................94
检查项 6:带外管理................................................................................................................95
检查项 7:压力测试................................................................................................................95
检查项 8:应急演练................................................................................................................96
检查项 9:灾备要求................................................................................................................96
检查项 10:服务中断的管理...................................................................................................96
15.5 网络安全 ......................................................................96
检查项 1:结构安全................................................................................................................96
检查项 2:物理安全................................................................................................................97
检查项 3:传输安全................................................................................................................98
检查项 4:访问控制................................................................................................................98
检查项 5:接入安全................................................................................................................99
检查项 6:网络边界安全.......................................................................................................100
检查项 7:入侵检测防范.......................................................................................................100
检查项 8:恶意代码防范.......................................................................................................101
检查项 9:网络设备防护.......................................................................................................101
检查项 10:网络安全测试.....................................................................................................103
检查项 11:安全检查............................................................................................................103
检查项 12:安全审计日志.....................................................................................................103
16. 主机设备............................................ 104
16.1 设备安全......................................................................104
检查项 1:实体和环境安全...................................................................................................104
检查项 2:可靠性及状态监控(硬件维护协议、版本升级、硬件的备件) ..........................105
检查项 3:设备电磁防护.......................................................................................................105
16.2 运行安全 .....................................................................105
检查项 1:安全监控(主动防护,定期检测) ......................................................................105
检查项 2:操作及维护 ..........................................................................................................106
检查项 3:恶意代码防护.......................................................................................................107
检查项 4:时钟同步..............................................................................................................107
检查项 5:电缆安全..............................................................................................................107
检查项 6:备份与故障恢复...................................................................................................108
17. 操作系统............................................ 108
17.1 操作系统日常维护 .............................................................108
检查项 1:日常维护管理.......................................................................................................108
17.2 用户、密码设置及根系统管理 ...................................................109
检查项 1: root 用户及密码管理..........................................................................................109
检查项 2: root 用户及密码设置..........................................................................................110
检查项 3: root 登录失败记录管理 ......................................................................................111
检查项 4: su 命令失败记录管理.........................................................................................111
检查项 5: 定时保护管理.....................................................................................................111
检查项 6: root 是否只能在某设备上注册 ...........................................................................112
检查项 7: 根文件系统自动清理设置管理 ...........................................................................112
检查项 8: 其他特权用户管理..............................................................................................112
检查项 9: 用户 UID 管理情况.............................................................................................113
检查项 10:配置文件管理.....................................................................................................113
检查项 11:用户目录管理.....................................................................................................114
17.3 主机文件系统安全 .............................................................114
检查项 1:文件系统目录权限配置管理.................................................................................114
检查项 2: 参数“umask”配置管理........................................................................................115
检查项 3: 应用目录权限配置管理 ......................................................................................115
17.4 主机系统访问控制 .............................................................115
检查项 1: 登录失败日志管理..............................................................................................115
检查项 2: UNIX 通信服务管理 ...........................................................................................116
检查项 3: NFS 目录共享管理.............................................................................................116
检查项 4: HTTP 服务管理..................................................................................................117
检查项 5: FTP 对主机的访问管理......................................................................................118
检查项 6: Telnet 网络服务管理..........................................................................................118
检查项 7: 远程访问控制策略管理 ......................................................................................119
17.5 主机系统工作情况 .............................................................120
检查项 1: 系统进程数量管理..............................................................................................120
检查项 2: 系统容量管理.....................................................................................................120
检查项 3: 定时进程设置情况管理 ......................................................................................121
检查项 4: 定时进程 Cron 日志管理....................................................................................122
17.6 HACMP 设置情况 ..............................................................122
检查项 1: HACMP 维护切换管理.......................................................................................122
检查项 2:其他高可靠性方案管理........................................................................................123
17.7 Windows 系统安全策略设置是否合理 .............................................124
检查项 1: 信息安全政策管理..............................................................................................124
检查项 2: 安全选项设置管理..............................................................................................124
检查项 3: 日志策略设置管理..............................................................................................125
检查项 4: 硬盘分区格式管理..............................................................................................126
17.8 Windows 日常管理 .............................................................126
检查项 1:版本管理..............................................................................................................126
检查项 2:补丁管理..............................................................................................................126
检查项 3:软件管理..............................................................................................................126
检查项 4: 登录密码、屏幕保护密码管理 ...........................................................................127
检查项 5: 机器命名、工作组设置管理...............................................................................127
检查项 6: IP 地址管理........................................................................................................127
18. 数据库管理系统 ...................................... 127
检查项 1:访问控制..............................................................................................................128
检查项 2:身份认证..............................................................................................................128
检查项 3:数据安全..............................................................................................................129
检查项 4:网络安全..............................................................................................................129
检查项 5:审计策略..............................................................................................................130
检查项 6:备份和恢复 ..........................................................................................................130
检查项 7:性能管理..............................................................................................................130
检查项 8:连续性和应急管理 ...............................................................................................131
19. 第三方中间件产品 .................................... 132
19.1 产品管理 .....................................................................132
检查项 1:中间件产品准入...................................................................................................132
检查项 2:中间件软件管理目录............................................................................................132
检查项 3:中间件产品与业务系统架构.................................................................................132
19.2 运行管理 .....................................................................133
检查项 1:维护流程和操作手册............................................................................................133
检查项 2:中间件产品配置管理............................................................................................133
检查项 3:中间件产品日志管理的程序.................................................................................133
检查项 4:中间件产品的性能监控........................................................................................133
检查项 5:中间件产品产生的事件和问题管理......................................................................134
检查项 6:中间件产品的变更 ...............................................................................................134
19.3 安全管理 .....................................................................134
检查项 1:中间件产品安全措施和认证.................................................................................134
检查项 2:中间件产品的访问认证机制.................................................................................135
检查项 3:中间件产品的管理控制台 ....................................................................................135
检查项 4:单点故障问题和负载均衡 ....................................................................................135
19.4 灾备系统 .....................................................................136
检查项 1:中间件产品应急处理预案 ....................................................................................136
检查项 2:中间件产品灾备系统............................................................................................136
19.5 多应用中间件产品风险 .........................................................136
检查项 1:业务流程管理.......................................................................................................136
检查项 2:应用关联管理.......................................................................................................136
检查项 3:压力测试..............................................................................................................137
19.6 数据库中间件产品风险 .........................................................137
检查项 1:数据库访问控制信息的保护.................................................................................137
第四部分 应用系统...................................... 139
20. 应用系统............................................ 139
20.1 应用系统管理 .................................................................139
检查项 1:应用系统管理制度 ...............................................................................................139
检查项 2:应用系统分类保护 ...............................................................................................139
检查项 3:重要应用系统应具有审计功能 .............................................................................140
检查项 4:应用系统版本管理 ...............................................................................................140
检查项 5:应用系统培训教育 ...............................................................................................141
20.2 应用系统安全 .................................................................141
检查项 1:终端用户管理.......................................................................................................141
检查项 2:访问控制..............................................................................................................142
检查项 3:保密机制..............................................................................................................142
检查项 4:数据完整性 ..........................................................................................................143
检查项 5:数据准确性 ..........................................................................................................143
检查项 6:监督制约分级授权 ...............................................................................................144
检查项 7:日志管理机制.......................................................................................................144
检查项 8:备份、恢复机制...................................................................................................145
21. 电子银行............................................ 146
21.1 电子银行业务合规性 ...........................................................146
检查项 1:电子银行业务合规性............................................................................................146
21.2 电子银行风险管理组织体系及制度体系 ...........................................147
检查项 1:组织体系及制度体系............................................................................................147
21.3 电子银行安全管理 .............................................................147
检查项 1:电子银行安全策略管理........................................................................................147
检查项 2:电子银行安全基础设施........................................................................................148
检查项 3:电子银行安全监控 ...............................................................................................148
检查项 4:电子银行安全评估 ...............................................................................................149
21.4 电子银行可用性管理 ...........................................................149
检查项 1:电子银行基础设施(网络设备、通讯线路、主机设备、软件平台) ...................149
检查项 2:电子银行性能容量管理........................................................................................149
21.5 电子银行应急管理 .............................................................150
检查项 1: 电子银行应急预案..............................................................................................150
检查项 2:电子银行应急演练 ...............................................................................................150
22. 银行卡系统.......................................... 151
22.1 银行卡系统管理 ...............................................................151
检查项 1: 银行卡系统容量的合理规划...............................................................................151
检查项 2: 银行卡系统物理设备风险和故障处理 ................................................................151
检查项 3 :具有完备的银行卡系统应急预案并实施定期演练 ..............................................152
检查项 4: 银行卡交易监控 .................................................................................................152
检查项 5: 账户密码和交易数据的存储和传输....................................................................153
检查项 6: 技术外包服务商管理..........................................................................................153
22.2 终端设备 .....................................................................154
检查项 1:自助银行机具和安装环境的物理安全 ..................................................................154
检查项 2:自助银行机具的通信安全 ....................................................................................155
检查项 3:自助银行机具的巡查维护 ....................................................................................155
检查项 4:自助银行机具的安全装置 ....................................................................................155
检查项 5:自助银行业务操作流程(机具软件) ..................................................................156
检查项 6:自助银行机具软件的维护和更新 .........................................................................156
检查项 7: POS 机 ................................................................................................................156
22.3 自助银行监控 .................................................................157
检查项 1:自助银行设备日常运行的监控情况......................................................................157
检查项 2:监控中心和监控设备............................................................................................157
检查项 3:自助银行监控发现问题的处置情况......................................................................158
检查项 4:自助银行设施安全评估(信息科技方面) ...........................................................158
23. 重要应用系统信息流程及主要风险点 .................... 158
23.1 核心(综合)业务系统电子流程 .................................................159
23.2 ATM(CDM/CDS)业务处理流程及内控关键点 ....................................160
23.3 POS 业务处理流程及内控关键点 .................................................164
23.4 网上银行业务处理流程及内控关键点 .............................................167
23.5 电话银行业务处理流程及内控关键点 .............................................173
23.6 中间业务处理流程 .............................................................175
23.7 外卡业务处理流程 .............................................................177
现场检查通知书 ....................................................................179
展开全文
- 中国人民银行西宁中心支行办公室关于印发《青海省地方性银行业金融机构支付信息报送工作考核办法》的通知
- 金融机构(法人机构)反洗钱风险评估标准
- 中国人民银行办公厅关于印发《金融机构互联网黄金业务管理暂行办法》的通知(银办发〔 2018〕221号)
- 中国人民银行:非金融机构支付业务设施技术要求(JR/T 0122-2014)
- 中国人民银行:金融机构反洗钱规定
- 中华人民共和国反洗钱法
- 中国人民银行营业管理部关于修订银行金融机构综合评价反洗钱分项评价标准的通知(银管发〔2017〕306号)
- 中国人民银行营业管理部金融机构账户管理办法(银管发〔2017〕5 号)
- 中国人民银行关于进一步加强金融机构反洗钱工作的通知(银发〔2008〕391号)
- 中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知(银发〔2012〕80号)
- 中国人民银行关于进一步明确规范金融机构资产管理业务指导意见有关事项的通知
- 中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知(银保监发〔2018〕22号)
- 中国人民银行关于加强非金融企业投资金融机构监管的指导意见(银发〔 2018〕107号)
- 中国银监会:银行业金融机构数据治理指引(征求意见稿)
- 浙江省内特定非金融机构支付业务报告管理暂行办法(杭银发〔2010〕163号)
- 浙江省内特定非金融机构支付业务内部控制指引(试行)(杭银发〔2010〕163号)
- 非金融机构支付服务业务系统检测规范-互联网支付部分
- 中国人民银行科技司关于做好非金融机构支付业务许可技术审查工作的通知(银科技〔2011〕44号)
- 中国人民银行办公厅关于非金融机构支付业务监督管理工作的指导意见(银办发〔2011〕33号)
- 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见(银发〔2006〕123号)