银监会信息系统现场检查指南.docx
《银监会信息系统现场检查指南.docx》由会员分享,可在线阅读,更多相关《银监会信息系统现场检查指南.docx(22页珍藏版)》请在冰豆网上搜索。
银监会信息系统现场检查指南
银监会信息系统现场检查指南
信息系统现场检查指南(架构)
为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统
现场检查的质量,特制定本指南。
一、检查目的
(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,
以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;
(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管
理岗位责任制度和监督落实情况,评价其计算机安全管理水平;
(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关
注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水
平;
(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,
促进银行业金融机构完善内控环境,控制和化解操作风险;
(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情
况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点
(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善
性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技
术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网
络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查
银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包
项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系
统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参
数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的
科学化、制度化和规范化,确保信息系统安全可靠的运行。
(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统
可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。
评估建设及实
施关于灾难恢复的组织机构、业务流程和应对措施的合理性。
三、检查内容
(一)信息科技公司治理和组织结构
1.制度建设
(1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制
度制定、审批、修订和发布等流程的规范性。
(2)检查信息科技相关规章制度、技术规范、操作规程建设情况。
重点检查:
各项制
度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和
监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评
价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。
(3)检查实施知识产权保护情况。
重点检查:
正版软件版本管理情况;国产自有知识
产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情
况。
2.组织结构
(1)检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。
重点
检查:
①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责;
负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门
的建设情况;信息科技风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、
经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。
②该银行组织结构设计的战略定位,组织结构的合理性是否符合风险管理的需要;董事
会和高管层面是否重视科技管理和信息科技规划工作;了解董事会对信息科技所担负的职
责,管理层如何发挥对信息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清
晰程度,了解内部平衡监督和放权的关系;分析对安全、质量和内部控制等的组织定位。
(2)检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。
重点检查:
信
息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容;评估近期、
中期和远期关于信息科技的重大策略和目标的合理性。
着重从以下几个方面了解:
①银行如何利用信息科技技术更好地为企业创新服务,在进行信息科技治理时如何贯彻
“以组织战略目标为中心’,的思想,确保信息科技资源与业务匹配;银行的信息科技投资
是否与战略目标相一致;是否合理配置信息科技资源以实现面向服务的架构,核心业务系统
是否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键战略决策中信息科技
的融入程度,确保无信息孤岛现象。
②信息科技规划中如何更好的控制风险,包括控制业务风险和控制由信息科技使用带来
的风险。
是否在信息科技建设规划每个环节考虑到风险因素,满足银行最低风险控制需要;
是否考虑到风险管理系统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或
风险系统中采集监管数据,以提高银行风险监管能力。
③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平,比如可以按
信息资产规模分为落后型、发展型、追随型和领先型。
(3)检查高管层对本机构信息系统风险状况的控制程度。
重点检查:
是否定期组织内
部评估、审计、报告本机构信息系统风险状况;针对存在的风险状况是否采取相应的风险控
制措施,以及各项措施的卜具体内容环节、主要实施部门和评估结果;是否建立了对整改工
作的监督机制。
(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。
重点检查:
人员
素质情况,包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构;人
员在系统内的占比情况;内审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否
有专职IT人员和已获得上岗证书的信息安全管理员;对信息科技人员的行为规范管理情况。
(5)检查科技队伍培训、激励等管理机制的建设执行情况。
重点检查:
培训规划和历史
记录,包括职业培训、岗前培训情况,相关职责所需专业知识和技能的实际符合情况;分析
信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透
明。
(二)信息安全管理
1.信息安全建设基本情况
(1)检查内部科技风险管理机构对信息系统面临的风险开展评估的情况。
重点检查:
通
过调阅该机构安全领导小组成立(或调整)的文件,其他与计算机安全相关的会议记录或文
件,了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门,是否充分履行
有关计算机安全管理和监督检查职责。
(2)检查服务承包商和提供商与相关法律、法规等的符合程度。
重点检查:
通过调阅
该机构所有承包商和服务提供商的详细资料和合同文本,确认所有承包商和服务提供商是否
符合法律法规要求,合同文本是否符合法律要求(如数据保护法规),是否明确各自的安全
责任,是否有确保业务资产的完整性和保密性的条款等。
(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。
重点检查:
调阅与计
算机系统运行、安全保障和文档管理等相关规章制度,其范围除自行制定的制度还包括转发
的上级文件,审计是否建立必要的计算机安全制度,审核各类制度的科学性、严密性和可操
作性。
2.逻辑访问风险控制情况
(1)检查访问控制业务要求、策略要求和访问规则的制订情况。
重点检查:
通过阅读源
程序或第三方业务系统安全审计报告,确定该机构的业务系统是否制订访问控制的业务要
求、策略要求和访问规则,并确定其安全性、完备性。
(2)检查访问用户的注册管理制度。
重点检查:
是否制定了正式的用户注册和取消注册
程序,规范对所有多用户信息系统与服务的访问授权。
是否使用唯一用户ID使用户对其操
作负责(组ID只有适合所进行的工作,才允许使用),用户离开组织时是否立即取消其用
户ID,是否定期检查并取消多余的用户ID和帐户。
(3)检查访问用户的权限管理和权限检查流程。
重点检查:
是否建立了正式的用户的权
限管理和权限检查程序,系统所有者对信息系统或服务授予的权限是否合适业务的开展,所
授予的访问权限级别是否与组织的安全策略相一致,例如它会不会影响责任划分;用户因工
作变更或离开组织时是否立即取消其访问权限;用户权限设定是否采用双人复核;是否对用
户访问权限分配进行定期检查确保没有对用户授予非法权限。
(4)检查访问用户的口令管理。
重点检查:
是否采用了正式的管理程序来控制口令的
分配,是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令,用户忘记
口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令,是否还采用了其他的
用户身份识别和验证技术(如生物统计学中的指纹鉴定;建立新的用户,是否建立了申请审
批程序,并采用双人控制。
(5)检查访问用户的责任管理。
重点检查:
所有用户是否做到避免在纸上记录口令,
只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令,是否选用高质量的口令,是
否定期更改口令。
3.网络安全控制情况
(1)检查网络管理和网络服务的安全策略制定情况。
重点检查:
通过调阅网络建设文
档或第三方网络安全审计报告,确定该机构是否制定网络和网络服务的安全策略,并确定此
策略是否业务访问控制策略相一致。
(2)检查实施网络控制的安全手段。
重点检查:
通过调阅网络建设文档或第三方网络
安全审计报告,确定该机构是否制定网络控制的安全途径,并确定实施控制的路径的要求是
否是业务访问控制策略所必要的,是否通过专线或专门电话号码联网,是否自动将端口连接
到指定应用系统或安全网关,是否限制个人用户的菜单和子菜单选项,是否防止无限制的网
络漫游,是否强制外部网络用户使用指定应用系统和/或安全网关,是否为组织内用户组设
置不同的逻辑域(如虚拟专用网)来限制网络访问。
(3)检查外部连接的用户身份验证方法。
重点检查:
是否通过使用加密技术、硬件标记
或问答协议对远程用户访问进行身份验证,对于专线用户是否安装了网络用户地址检查工具
来对连接源提供安全保障,对拨号用户是否使用反向拨叫程序和控制措施(如使用反向拨叫
调制解调器)可以防止与组织信息处理设施的非法连接和有害连接。
(4)检查远程诊断端口的保护情况。
重点检查:
是否使用适当的安全机制(如密钥锁)
对诊断端口进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行
适当的安排后才能访问。
(5)检查网络的划分和路由控制情况。
重点检查:
是否在网络内采用一些控制措施把
信息服务组、用户组和信息系统组分割成不同的逻辑网络域(如组织的内部网络域和外部网
络域),每个域都使用一个明确的安全界限来加以保护,是否在两个要互连的网络之间安装
一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动,是否
对该网关配置,访问控制策略来阻止非法访问。
4.环境风险情况
(1)检查对保密设备和计算机机房进行安全保护的情况。
重点检查:
是否为保密设备
和计算机机房划分独立安全区域,安全保护区的没置是否合理,是否建立全方位的安全防护,
以防止有人XX进入安全区。
(2)检查安全区出入的控制措施和制度制定执行情况。
重点检查:
通过查阅制度和各
类文字或电子台帐,确定该机构是否有完备的安全区出入控制,是否经常审查并更新有关安
全区域访问权限的规定,是否将安全区域的来访者的身份、进入和离开安全区域的日期和时
间记录在案,是否有严格限定,经过授权的人才能访问敏感信息,是否有专人对出入控制措
施和制度的落实情况进行定期、不定期的检查。
(3)检查安全区内设备使用和维护管理情况。
重点检查:
是否按专业标准安装入侵检测
系统对无人区域进行24小时的报警监视,由该机构自己管理的信息处理设备是否与由第三
方管理的信息处理设备分开,是否将危险或易燃材料存储在安全的地方,与安全区保持安全
距离,应急设备和备份介质的存储位置与主安全区域是否保持一个安全距离,以防止主安全
区域发生的灾难事件殃及这些设备。
(4)检查安全区的防雷、电和火等安全措施实施情况。
重点检查:
通过调阅相关检测
报告维护记录,确定安全区是非通过配置不间断电源设备、采用双路供电系统、配备发电机
等手段保障不间断性供电;其采用的各种方式是否能满足业务系统不间断供电需求,是否按
相关法规要求配备消防系统并保证其正常运行,是否安装必要的防雷设施并按要求做好接地
系统。
5.操作系统风险情况
(I)检查对登录用户和终端设备的访问控制策略。
重点检查:
核心业务系统用机的操
作系统是否能验证每个合法用户的终端或位置,是否记录成功和失败的系统访问,是否提供
适当的身份验证方法,是否根据情况限制用户连接时间。
(2)检查用户身份识别和验证方法。
重点检查:
所有操作系统用户是否都有一个个人
专用的唯一标识符(用户ID),以便操作能够追溯到具体责任人,如业务系统必须可以为一
个用户组或一项具体工作使用共享用户ID,是否对此类进行严格的审批制度,并采用了相
应的控制措施,是否采用了先进安全的身份验证程序并建立相关安全机制以防止非法登录。
(3)检查系统的漏洞检测和补丁安装的情况。
重点检查:
通过相应的漏洞检测工具,确
定该机构是否操作系统的安全是否进行加固,是否安装系统补丁与更新程序,是否关闭不必
要的服务和端口,是否安装防病毒软件,文件共享的访问控制权限设置是否适当,是否定期
为操作系统进行安全漏洞检测,以分析系统的安全性,并采取补救措施。
(4)检查事件的日志记录和评审分析情况。
重点检查:
是否启用操作系统的审计功能和
安全策略,是否按要求存事件的日志记录,是否确定专人定期进行安全评审分析,以查找非
授权的应用程序运行、非授权的共享、可疑程序和可疑进程,计算机时钟设置是否正确以保
证审计日志的准确性。
6.应用系统的风险情况
(1)检查输入和输出数据的验证情况。
重点检查:
是否对应用系统的数据输入进行验证,
应用系统的标准数据调整及帐务数据修改是否规范,是否定期审查关键字段或数据文件的内
容,确认其有效性和完整性,是否检查硬拷贝输入文档是否有对输入数据进行非法变更(所
有对输入文档的变更应经过授权),是否明确规定参与数据输入过程的所有人员的责任。
(2)检查存储数据的加密措施实施情况。
重点检查:
是否对核心业务系统采取了相应
的加密措施,其加密措施是否合理,加密密钥管理是否严格,中间业务和延伸业务的传输数
据是否加密,导入是否配有安全审计,是否对数据介质进行安全保护,对存有重要数据的故
障设备外修时是否有本单位人员在场监督,设备报废是否清除相关业务信息,对已过安全保
存期限的介质是否及时更新复制,废弃的数据介质是否由专人及时销毁。
(3)检查测试数据的安全措施实施情况。
重点检查:
通过调阅系统测试文档,确定测
试数据是否避免使用包含个人信息的操作数据库,如果使用这类信息,那么是否在使用前应
该做非个性化处理,在操作数据用于测试目的时,是否每次使用不同的授权,将操作信息复
制到测试应用系统,是否在测试完成后立即将操作信息从测试应用系统中清除,是否记录操
作信息的复制和使用情况,以便提供审计追踪。
(4)检查源代码的访问控制和审查情况。
重点检查:
是否将程序源库保存在生产系统
上,为每一个应用程序指定一个库保管员,信息科技支持人员是否可以不受限制地访问程序
源库,正在开发或维护的程序是否保留在操作程序源库中,更新程序源库和向程序员提供程
序源是否通过指定的库保管员来执行,并且获得信息科技支持管理员的授权,程序清单是否
保存在安全的环境中,是否实时维护访问程序程序库的审计日志记录,是否对旧版本的源程
序进行归档,明确指明使用创门操作的准确日期和时间及所有支持软件、作业控制、数据定
义和过程,维护和复制程序源库是否受严格的变更控制程序的约束。
(三)信息科技项目开发和变更管理
1.项目开发管理
(1)检查被检查机构在信息科技项目开发过程中组织、规划、需求、分析、设计、编程、
测试和投产等环节的全周期管理机制。
重点检查:
制度建设是否对项目的审批流程、参与部
门的职责划分、时间进度、财务预算规划、质量检测、风险评估等内容进行严格规定;外部
技术资源申请是否有统一负责机构,如何授权职能处室进行归口管理。
(2)检查信息系统项目开发资料完备性。
重点检查:
系统项目建设是否成立项目工作
小组及其成员结构;系统建设项目需求说明书和项目功能说明书是否全面、系统;系统建设
完成后是否编写了操作说明书,是否具有项目验收报告;查阅被检查机构对新信息系统投产
后,所撰写后续评价,根据后续评价,检查有没有根据评价及时对系统功能进行调整和优化。
2.项目变更管理
(1)检查项目变更、系统升级和变更等环节的管理情况。
重点检查:
信息系统变更时,
是否制订严密的变更处理流程,明确变更控制中各岗位的职责,遵循流程实施控制和管理;
变更前有否明确应急和回退方案;变更方案件、变更需求、软件版本变更后的初始版本和所
有历史版本是否妥善保管。
(2)检查系统变更方案、变更内容核实清单等相关文档的正确性、安全性和合法性。
重点检查:
对被检查机构系统升级和变更记录,变更后软件的初始版本和所有历史版本是否
妥善保管;对保留所有历史的变更内容核实清单进行核实;是否设定了独立的版本管理人员
复核版本的提交工作。
3.项目资料文档管理体系
重点检查:
项目资料是否完整详尽,有无相应的档案资料的管理办法并执行;是否对项
目资料文档的管理情况进行定期审核,包括资料调阅、资料备份等;是否制定了项目资料文
档格式的标准化规范并执行。
4.系统设计开发外包缺陷管理
(1)检查业务外包管理制度、业务外包评估制度的制定执行情况。
重点检查:
对有关
外包风险的防范方法及措施,是否建立外包业务的应急机制,有无外包业务的应急计划和应
急预案。
(2)检查针对有关业务外包制定相应的管理和风险防范措施的情况。
重点检查:
是否建
立对承包方的评估机制;是否规定了代码编写规范和编码质量检查方案,从技术和编码两方
面对编码进行全面检查。
(3)检查被检查机构外包业务风险管理措施。
重点检查:
是否建立针对外包风险的应急
计划和预案,以确保在意外情况下能够实现承包方的顺利变更,保证外包服务不间断;是否
组织业务人员进行外包开发系统的培训以保障外包开发技术的移交工作。
(四)信息系统运行和操作管理
l.信息系统运行体系建设情况
(1)运行体系的组织架构
检查被检查单位信息系统运行管理的组织架构和日常运作情况,对组织体系的科学性、
合理性和运作的有效性作出评体。
重点检查:
架构是否合理、组织是否严密、职责是否明确、
监督是否有力、管理是否有效,反应是否迅速、是否具有相互制约的机制等等。
(2)运行体系的规划与制度
检查现有和计划投产的信息系统的运行规划的完备性。
重点检查:
生产故障和安全事件
的管理、职能部门及其职责、管理对象、事件报告、事件解决、事件反馈、汇总、分析、评
价和报告等。
检查信息系统运行管理制度的完善性。
重点检查:
事件管理办法、问题管理办
法、变更管理办法、操作管理办法、数据管理办法、配置管理办法、安全管理办法、机房管
理办法等。
这些制度可以是自行.制定的,也可以转发上级的。
重点审计制度的完整性、严
密性和可操作性,考察各项制度的贯彻、执行和落实情况。
(3)检查核心业务系统的持续性或阶段性监测情况。
重点检查:
建立核心业务系统持续
性或阶段性的监测、监控体系和系统性能的评估机制。
2.操作环境控制和预防性维护情况
(1)检查信息科技资产登记情况。
重点检查:
检查信息科技资产台帐是否包含完整和真
实的计算机资源配置的静态基本信息和动态履历信息,是否做到帐帐相符、帐实相符,配置
管理部门是否定期进行辖内计算机资源配置台帐的清查核对。
静态基本信息包括:
档案卡序号、计算机资源编码、型号、性能、具体配置、、满配能
力(如硬件的满配能力、可扩充性,软件的支持情况,配置参数的极限等)、用途、使用部
门和使用责任人、维护责任部门和生产商、经销商、服务商等;
动态履历信息包括:
计算机资源配置在生命周期各阶段经历过的各种管理流程信息。
其
中计划制订、设备采购、合同管理、库房管理、安装验收、申领使用以及后面的调拨迁移、
闲置报废以及计算机资源配置的维护履历、配置履历、包含操作时间、操作部门、操作用户、
具体操作及变更情况等信息。
(2)检查信息系统性能和容量的管理情况。
重点检查:
是否建立信息系统软、硬件性
能、处理能力以及存储容量等监测和跟踪措施,保证系统性能和容量有足够的安全冗余,防
止应处理负荷过重或存储容量不足影响信息系统安全、可靠运行;在给定的时间段内是否出
现过因上述原因造成重要业务系统停顿的情况以及相应的损失情况并完整记录。
(3)检查各类连接的物理位置和交互关系的系统拓扑图。
重点检查:
连接信息系统所有
电子设备物理位置和交互关系的系统拓扑图与系统实际配置信息、系统结构图与物理布局的
一致性。
(4)检查应急方案制定情况,重点检查:
重要信息系统应急方案,评估应急方案的科
学性、可操作性和实用性;模拟演练的记录,重点检查发现的问题和解决情况。
(5)检查运行、操作环境建设情况。
重点检查:
计算机房和网络中心的建设、配置是
否符合有关国家标准,是否设立了独立的安全保护区,是否建立进入安全区的授权、登记制
度。
安全防范和控制措施是否到位;重要和涉密设备是否置于计算机房内,并具有严格的安
全防范和风险控制机制。
3.生产变更管理情况
(1)检查准则和规章制度制定执行情况。
重点检查:
通过查阅有关文件和相应的制度,
了解生产变更的管理情况,着重了解是否明确了变更的职能部门以及相应的职责;是否制定
了相关的制度;制度的内容是否含盖了:
变更申请、变更受理、变更方案、变更审批、变更
实施时间、变更实施、变更反馈和汇总、紧急变更、变更指标及评价、总结报告等关键内容
等等。
(2)检查审批授权机制和工作流程规范性。
重点检查:
①生产变更的审批授权制度。
生产变更是否按规定时间、要求报送审批部门审批或报备;
变更的实施是否得到授权;变更实施日期和时间是否符合制度规定等;对业务有可能造成影
响的变更,是否在变更实施前通知相关业务部门。
②工作流程。
变更的工作流程是否合理、可行:
是否贯穿变更申请一变更受理一变更方
案一变更审批一变更实施一变更反馈和汇总一变更指标及评价、总结报告等全过程,变更的
实施过程中是否严格按流程操作。
(3)检查登记、备案和存档情况。
重点检查:
查阅生产变更的档案,考察被检查机构
变更资料的登记、备案和存档是否规范。
(4)检查非计划性紧急变更的实施方案、备份和恢复制度。
重点检查:
非计划性紧急
变更实施前,变更牵头和实施部门是否制订简单的实施计划和验证、回退、恢复方案,其中
回退或恢复方案是否切实可行,风险是否可控;变更实施前是否进行相关的系统备份等。
4.信息科技操作风险控制措施
(1)检查风险控制机制和流程。
重点检查:
①是否指定了各类应用系统的操作、管理工作流程,评估其合理性、规范性和科学性,
是否采用软件工具对各类生产系统实施了版本控制。
②操作人员的岗位职责是否明确,相应的规章制度是否到位,如:
档案管理、安全生产
管理、数据管理、应用操作管理、运行监控管理等等;
③操作人员在上岗前的培训情况:
如是否经考试合格后才独
升级会员 