商业银行信息科技风险现场检查指南(五篇范文)
第一篇:商业银行信息科技风险现场检查指南
商业银行信息科技风险
现场检查指南
目 录
第一部分 概述.............................................................................................................................12 1.指南说明...................................................................................................................................13 1.1 目的及适用范围.............................................................................................................13 1.2 编写原则.........................................................................................................................14 1.3 指南框架.........................................................................................................................15 第二部分 科技管理.....................................................................................................................17 2.信息科技治理...........................................................................................................................18 2.1 董事会及高级管理层.....................................................................................................18 检查项1 :董事会........................................................................................................18 检查项2 :信息科技管理委员会................................................................................19 检查项3 :首席信息官(CIO)..................................................................................20 2.2 信息科技部门.................................................................................................................21 检查项1 :信息科技部门............................................................................................21 检查项2 :信息科技战略规划....................................................................................23 2.3 信息科技风险管理部门.................................................................................................24 检查项1 :信息科技风险管理部门............................................................................24 2.4 信息科技风险审计部门.................................................................................................25 检查项1 :信息科技风险审计部门............................................................................25 2.5 知识产权保护和信息披露.............................................................................................26 检查项1 :知识产权保护............................................................................................26 检查项2 :信息披露....................................................................................................26 3.信息科技风险管理...................................................................................................................28 3.1 风险识别和评估.............................................................................................................28 检查项1 :风险管理策略............................................................................................28 检查项2 :风险识别与评估........................................................................................29 3.2 风险防范和检测.............................................................................................................29 检查项1 :风险防范措施............................................................................................29 检查项2 :风险计量与检测........................................................................................30 4.信息安全管理...........................................................................................................................32 4.1 安全管理机制与管理组织.............................................................................................32 检查项1:信息分类和保护体系..................................................................................32 检查项2:安全管理机制..............................................................................................33 检查项3:信息安全策略..............................................................................................34 检查项4:信息安全组织..............................................................................................34 4.2 安全管理制度.................................................................................................................35 检查项1:规章制度......................................................................................................35 检查项2:制度合规......................................................................................................36 2 检查项3:制度执行......................................................................................................37 4.3 人员管理.........................................................................................................................38 检查项1:人员管理......................................................................................................38 4.4 安全评估报告.................................................................................................................39 检查项1:安全评估报告..............................................................................................39 4.5 宣传、教育和培训.........................................................................................................39 检查项1:宣传、教育和培训......................................................................................39 5.系统开发、测试与维护.............................................................................................................41 5.1开发管理..........................................................................................................................41 检查项1:管理架构......................................................................................................41 检查项2:制度建设......................................................................................................43 检查项3:项目控制体系..............................................................................................44 检查项4:系统开发的操作风险..................................................................................45 检查项5:数据继承和迁移..........................................................................................46 5.2系统测试与上线..............................................................................................................47 检查项1:系统测试......................................................................................................47 检查项2:系统验收......................................................................................................49 检查项3:投产上线......................................................................................................49 5.3系统下线..........................................................................................................................50 检查项1:系统下线......................................................................................................50 6.系统运行管理...........................................................................................................................52 6.1 日常管理.........................................................................................................................52 检查项1:职责分离......................................................................................................52 检查项2:值班制度......................................................................................................53 检查项3:操作管理......................................................................................................53 检查项4:人员管理......................................................................................................54 6.2 访问控制策略.................................................................................................................55 检查项1:物理访问控制策略......................................................................................55 检查项2:逻辑访问控制策略......................................................................................56 检查项3:账号及权限管理..........................................................................................57 检查项4:用户责任及终端管理..................................................................................58 检查项5:远程接入的控制..........................................................................................59 6.3 日志管理.........................................................................................................................60 检查项1:审计日志检查..............................................................................................60 检查项2:日志信息的保护..........................................................................................60 检查项3:操作日志的检查..........................................................................................61 检查项4:错误日志的检查..........................................................................................61 6.4系统监控..........................................................................................................................62 检查项1:基础环境监控..............................................................................................62 检查项2:系统性能监控..............................................................................................62 检查项3:系统运行监控..............................................................................................63 检查项4:测评体系......................................................................................................64 6.5 事件管理.........................................................................................................................65 3 检查项1:事件报告流程..............................................................................................65 检查项2:事件管理和改进..........................................................................................66 检查项3:服务台管理..................................................................................................67 6.6问题管理..........................................................................................................................67 检查项1:事件分析和问题生成..................................................................................68 检查项2:台账管理......................................................................................................68 检查项3:问题处臵......................................................................................................68 6.7 容量管理.........................................................................................................................69 检查项1:容量规划......................................................................................................69 检查项2:容量监测......................................................................................................70 检查项3:容量变更......................................................................................................70 6.8 变更管理.........................................................................................................................71 检查项1:变更的流程..................................................................................................72 检查项2:变更的评估..................................................................................................72 检查项3:变更的授权..................................................................................................73 检查项4:变更的执行..................................................................................................73 检查项5:紧急变更......................................................................................................74 检查项6:重大变更......................................................................................................74 7.业务连续性管理.......................................................................................................................76 7.1 业务连续性管理组织.....................................................................................................77 检查项1:董事会及高管层的职责..............................................................................77 检查项2:业务连续性管理组织的建立......................................................................78 检查项3:业务连续性管理组织职责..........................................................................79 7.2 IT服务连续性管理........................................................................................................80 检查项1:IT服务连续性计划的组织保障.................................................................80 检查项2:风险评估及业务影响分析..........................................................................81 检查项3:IT服务连续性计划的制定.........................................................................81 检查项4:IT服务连续性计划的测试与维护.............................................................82 检查项5:IT服务连续性计划审计.............................................................................83 检查项6:IT服务连续性相关领域的控制.................................................................84 8.应急管理...................................................................................................................................85 8.1 应急组织.........................................................................................................................85 检查项1:应急管理团队..............................................................................................85 检查项2:应急管理职责..............................................................................................86 检查项3:应急管理制度..............................................................................................86 8.2 应急预案.........................................................................................................................87 检查项1:应急预案制订..............................................................................................87 检查项2:应急预案内容..............................................................................................87 检查项3:应急预案更新..............................................................................................89 检查项4:外包服务应急..............................................................................................89 检查项5:应急预案培训..............................................................................................90 8.3 应急保障.........................................................................................................................90 检查项1:人员保障......................................................................................................90 4 检查项2:物质保障......................................................................................................90 检查项3:技术保障......................................................................................................91 检查项4:沟通保障......................................................................................................91 8.4 应急演练.........................................................................................................................92 检查项1:应急演练的计划..........................................................................................92 检查项2:应急演练的实施..........................................................................................92 检查项3:应急演练的总结..........................................................................................93 8.5 应急响应.........................................................................................................................93 检查项1:应急响应流程..............................................................................................93 检查项2:全程记录处臵过程......................................................................................94 检查项3:应急事件报告..............................................................................................95 检查项4:与第三方沟通..............................................................................................95 检查项5:向新闻媒体通报制度..................................................................................96 检查项6:应急处臵总结..............................................................................................96 8.6 持续改进.........................................................................................................................97 检查项1:应急事件评估..............................................................................................97 检查项2:应急响应评估..............................................................................................97 检查项3:应急管理改进..............................................................................................97 9.灾难恢复管理...........................................................................................................................99 9.1 灾难恢复组织架构.........................................................................................................99 检查项1:灾难恢复相关组织架构..............................................................................99 9.2 灾难恢复策略...............................................................................................................101 检查项1:总体控制....................................................................................................101 检查项2:灾难恢复策略............................................................................................101 检查项3:灾难备份策略............................................................................................103 检查项4:外包风险....................................................................................................104 9.3 灾难恢复预案...............................................................................................................105 检查项1:灾难恢复预案............................................................................................105 检查项2:联络与通讯................................................................................................106 检查项3:教育、培训和演练....................................................................................107 9.4评估和维护更新............................................................................................................107 检查项1:灾备策略的评估和维护更新....................................................................107 检查项2:灾难恢复预案的评估和维护更新............................................................108 10.数据管理...............................................................................................................................109 10.1 数据管理制度和岗位.................................................................................................109 检查项1: 数据管理制度............................................................................................109 检查项2 :数据管理岗位..........................................................................................110 10.2 数据备份、恢复策略.................................................................................................110 检查项1:数据备份、转储策略................................................................................110 检查项2:数据恢复、抽检策略................................................................................111 10.3数据存储介质管理......................................................................................................112 检查项1:介质管理....................................................................................................112 检查项2:介质的清理和销毁....................................................................................113 5 11.外包管理...............................................................................................................................114 11.1外包管理制度..............................................................................................................114 检查项1:外包管理制度............................................................................................114 检查项2:外包审批流程............................................................................................114 检查项3:外包协议....................................................................................................115 检查项4:服务水平协议............................................................................................115 检查项5:外包安全保密措施....................................................................................116 检查项6:外包文档管理............................................................................................116 11.2外包评估和监督..........................................................................................................117 检查项1:外包服务商的评估....................................................................................117 检查项2:外包项目的监督管理................................................................................117 12.内部审计...............................................................................................................................119 12.1 内部审计管理.............................................................................................................119 检查项1:内部审计部门、岗位、人员和职责........................................................119 检查项2:内部审计制度和办法................................................................................119 12.2 内部审计要求.............................................................................................................120 检查项1:内部审计范围和频率................................................................................120 检查项2:内部审计结果的有效性............................................................................120 13.外部审计...............................................................................................................................122 13.1 外部审计资质.............................................................................................................122 检查项1:外部审计机构的资质................................................................................122 13.2 外部审计要求.............................................................................................................122 检查项1:商业银行配合外部审计情况....................................................................122 检查项2:外部审计有效性........................................................................................123 检查项3:外审过程中的保密要求............................................................................123 第三部分 基础设施...................................................................................................................125 14.计算机机房...........................................................................................................................126 14.1计算机机房建设..........................................................................................................126 检查项1:计算机机房选址........................................................................................126 检查项2:机房功能分区............................................................................................127 检查项3:计算机机房基础设施建设........................................................................127 检查项4:计算机机房的环境要求............................................................................130 检查项5:计算机机房日常维护................................................................................131 14.2计算机机房管理..........................................................................................................132 检查项1:计算机机房安全管理................................................................................132 检查项2:计算机机房集中监控系统........................................................................133 检查项3:计算机机房安全区域访问控制................................................................134 检查项4:计算机机房运行管理................................................................................135 14.3机房设备管理..............................................................................................................136 检查项1:机房设备的环境安全................................................................................136 15.网络通讯...............................................................................................................................137 15.1 内控管理.....................................................................................................................137 检查项1:内控制度....................................................................................................137 6 检查项2:人员管理....................................................................................................138 检查项3:访问控制....................................................................................................138 检查项4:日志管理....................................................................................................139 检查项5:第三方管理................................................................................................140 检查项6:服务外包....................................................................................................141 检查项7:文档管理....................................................................................................141 检查项8:风险评估....................................................................................................142 15.2 网络运行维护.............................................................................................................143 检查项1:运行监控....................................................................................................143 检查项2:性能监控....................................................................................................143 检查项3:流量监控....................................................................................................144 检查项4:监控预警....................................................................................................144 检查项5:性能调优....................................................................................................144 检查项6:事件管理....................................................................................................145 检查项7:运行检查....................................................................................................145 15.3 网络变更管理.............................................................................................................146 检查项1:变更发起....................................................................................................146 检查项2:变更计划....................................................................................................147 检查项3:变更测试....................................................................................................147 检查项4:变更审批....................................................................................................147 检查项5:变更实施....................................................................................................148 15.4 网络服务可用性.........................................................................................................149 检查项1:容量管理....................................................................................................149 检查项2:冗余管理....................................................................................................149 检查项3:带外管理....................................................................................................150 检查项4:压力测试....................................................................................................151 检查项5:应急管理....................................................................................................151 15.5 网络安全技术.............................................................................................................151 检查项1:结构安全....................................................................................................151 检查项2:物理安全....................................................................................................153 检查项3:传输安全....................................................................................................153 检查项4:访问控制....................................................................................................154 检查项5:接入安全....................................................................................................155 检查项6:网络边界安全............................................................................................156 检查项7:入侵检测防范............................................................................................157 检查项8:恶意代码防范............................................................................................158 检查项9:网络设备防护............................................................................................158 检查项10:网络安全测试..........................................................................................160 检查项11:安全审计日志..........................................................................................161 检查项12:安全检查..................................................................................................162 16.操作系统...............................................................................................................................163 16.1账号及密码管理..........................................................................................................163 检查项1:管理制度....................................................................................................163 7 检查项2:账号、密码管理........................................................................................163 检查项3:账号、密码管理检查................................................................................165 16.2系统访问控制..............................................................................................................165 检查项1:访问控制策略............................................................................................165 检查项2:用户登录行为管理....................................................................................166 检查项3:登录失败日志管理....................................................................................166 检查项4:最小化访问................................................................................................167 16.3远程接入管理..............................................................................................................168 检查项1:远程管理制度............................................................................................168 检查项2:远程维护管理............................................................................................169 检查项3:远程维护审查............................................................................................169 16.4日常维护.......................................................................................................................170 检查项1:系统性能监控............................................................................................170 检查项2:补丁及漏洞管理........................................................................................170 检查项3:日常维护管理............................................................................................171 检查项4:系统备份和故障恢复................................................................................172 检查项5:病毒及恶意代码管理................................................................................172 检查项6:定时进程设臵管理....................................................................................173 检查项7:系统审计功能............................................................................................173 17.数据库管理系统...................................................................................................................175 17.1访问控制.......................................................................................................................175 检查项1:身份认证....................................................................................................175 检查项2:授权控制....................................................................................................176 检查项3:远程访问....................................................................................................177 检查项4:安全参数设臵............................................................................................178 17.2日常管理.......................................................................................................................178 检查项1:数据安全....................................................................................................178 检查项2:审计功能....................................................................................................179 检查项3:性能管理....................................................................................................180 检查项4:补丁升级....................................................................................................181 17.3连续性管理...................................................................................................................181 检查项1:备份和恢复................................................................................................181 检查项2:连续性和应急管理....................................................................................182 18.第三方中间件.......................................................................................................................184 18.1 产品管理.....................................................................................................................184 检查项1:中间件测试................................................................................................184 检查项2:中间件管理................................................................................................184 检查项3:中间件与业务系统架构............................................................................185 18.2 运行管理.....................................................................................................................185 检查项1:维护流程和操作手册................................................................................185 检查项2:中间件配臵管理........................................................................................185 检查项3:中间件日志管理的程序............................................................................186 检查项4:中间件的性能监控....................................................................................186 8 检查项5:中间件产生的事件和问题管理................................................................187 检查项6:中间件的变更............................................................................................187 检查项7:单点故障问题和负载均衡........................................................................187 检查项8:压力测试....................................................................................................188 第四部分 应用系统...................................................................................................................189 19.应用系统...............................................................................................................................190 19.1 应用系统管理.............................................................................................................190 检查项1:业务管理办法与操作流程........................................................................190 检查项2:重要应用系统评估....................................................................................190 检查项3:应用系统版本管理....................................................................................191 检查项4:应用系统培训教育....................................................................................192 19.2 应用系统操作.............................................................................................................192 检查项1:终端用户管理............................................................................................192 检查项2:访问控制与授权管理................................................................................193 检查项3:数据保密处理............................................................................................194 检查项4:数据完整性处理........................................................................................195 检查项5:数据准确性处理........................................................................................195 检查项6:日志管理机制............................................................................................196 检查项7:备份、恢复机制........................................................................................197 检查项8:文档资料管理............................................................................................198 检查项9:内部审计的参与........................................................................................199 20.电子银行...............................................................................................................................200 20.1 电子银行业务合规性.................................................................................................200 检查项1:电子银行业务合规性................................................................................200 20.2 电子银行风险管理体系.............................................................................................201 检查项1:电子银行风险管理体系............................................................................201 20.3 电子银行安全管理.....................................................................................................202 检查项1:电子银行安全策略管理............................................................................202 检查项2:电子银行安全措施....................................................................................203 检查项3:电子银行安全监控....................................................................................204 检查项4:电子银行安全评估....................................................................................204 20.4 电子银行可用性管理.................................................................................................205 检查项1:电子银行基础设施....................................................................................205 检查项2:电子银行性能监测和评估........................................................................205 20.5 电子银行应急管理.....................................................................................................206 检查项1: 电子银行应急预案..................................................................................206 检查项2:电子银行应急演练....................................................................................207 21.银行卡系统...........................................................................................................................208 21.1 银行卡系统管理.........................................................................................................208 检查项1:银行卡系统容量的合理规划....................................................................208 检查项2:银行卡系统物理设备风险和故障处理....................................................209 检查项3:银行卡交易监控........................................................................................209 检查项4:账户密码和交易数据的存储和传输........................................................210 9 检查项5:银行卡系统应急预案................................................................................211 21.2 终端设备.....................................................................................................................212 检查项1:自助银行机具和安装环境的物理安全....................................................212 检查项2:自助银行机具的通信安全........................................................................212 检查项3:自助银行机具的安全装臵........................................................................213 检查项4:自助银行业务操作流程(机具软件)....................................................213 检查项5:自助银行机具的巡查维护........................................................................214 检查项6:POS机.........................................................................................................214 21.3 自助银行监控.............................................................................................................215 检查项1:自助银行设备日常运行的监控情况........................................................215 检查项2:监控中心和监控设备................................................................................215 检查项3:自助银行监控发现问题的处臵情况........................................................216 检查项4:自助银行设施安全评估(信息科技方面)............................................216 22.第三方存管系统...................................................................................................................217 22.1 管理架构和职责.........................................................................................................217 检查项1:管理架构与岗位职责分工........................................................................217 22.2 系统功能.....................................................................................................................217 检查项1:系统功能....................................................................................................217 22.3 系统一般安全与账户处理.........................................................................................218 检查项1:账户冲正处理............................................................................................218 检查项2:网络访问控制与病毒防范........................................................................218 22.4 数据交换.....................................................................................................................219 检查项1:数据交换安全性........................................................................................219 22.5 运行维护.....................................................................................................................220 检查项1:运行维护安全性........................................................................................220 22.6 系统备份.....................................................................................................................220 检查项1:系统备份安全性........................................................................................220 22.7 应急恢复与事故处理.................................................................................................221 检查项1:应急恢复与事故处理流程........................................................................221 22.8 系统测试.....................................................................................................................221 检查项1:系统测试....................................................................................................221 22.9 临时派出柜台.............................................................................................................222 检查项1:系统派出柜台安全性................................................................................222 附录...............................................................................................................................................223 23.常用检查方法.......................................................................................................................224 23.1 问卷与函证.................................................................................................................224 23.2 访谈.............................................................................................................................225 23.3 查阅.............................................................................................................................226 23.4 观察.............................................................................................................................227 23.5 测试.............................................................................................................................227 26.6 分析性复核.................................................................................................................230 26.7 评审.............................................................................................................................231 24.主要网络设备常用操作.......................................................................................................232 10 24.1 Cisco设备常用操作..................................................................................................232 交换机...........................................................................................................................232 路由器...........................................................................................................................233 防火墙...........................................................................................................................234 24.2 H3C设备常用操作......................................................................................................234 交换机...........................................................................................................................234 路由器...........................................................................................................................236 防火墙...........................................................................................................................237 25.主要操作系统常用操作.......................................................................................................238 25.1 AIX系统检查常用操作..............................................................................................238 25.2 HP/UX系统检查常用操作..........................................................................................246 25.3 Solaris系统检查常用操作......................................................................................250 25.4 Windows系统检查常用操作......................................................................................251 26.主要数据库管理系统常用操作...........................................................................................256 26.1 DB2 系统检查常用操作.............................................................................................256 26.2 Sybase 系统检查常用操作.......................................................................................257 26.3 Oracle 系统检查常用操作.......................................................................................257 26.4 Informix 系统检查常用操作...................................................................................259 26.5 SQL SERVER系统检查常用操作................................................................................261
第一部分 概述
1.指南说明
1.1 目的及适用范围
信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮 13 助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。
1.2 编写原则
一、突出风险为本的监管理念。《指南》坚持法人监管、风险为 本的监管理念,紧扣信息科技风险这一中心,详细说明了商业银行信息科技风险管理中的300多个关键风险点,明确提出了具体的控制要求和检查方法、步骤,涵盖了商业银行信息科技风险管控的各个方面和环节。
二、坚持分类监管的原则。《指南》参照相关行业标准和规范,指出了商业银行信息科技风险控制所应达到的标准,同时兼顾不同类型银行机构的特点体现分类监管原则,针对不同的被检查主体,在检查目标上有所区别和侧重,以便于监管人员正确把握检查标准和尺度,对商业银行的指导更具有针对性。
三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念,也充分吸收了国内先进银行的成功经验,商业银行可以对照《指南》分析差距,将《指南》要求作为持续提高信息科技风险管控水平的目标。
1.3 指南框架
《指南》强调:商业银行信息科技风险管理应以科技治理为核心,通过完善科技治理架构,形成有效内控机制,将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。
《指南》包含4个部分和附录,共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节,提出了对商业 银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节,提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节,提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。
附录包含4个章节,收录了常用检查方法和常用操作命令,常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。
第二部分 科技管理
2.信息科技治理
商业银行的董事会和高级管理层应根据本银行的发展战略,运用先进管理理念加强信息科技治理,提高信息技术使用效益,推动商业银行的业务创新,增强核心竞争力和可持续发展能力。
提示:在对商业银行的信息科技治理情况进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,有的银行机构还不具备建立专门信息科技管理委员会的条件时,可以指定其他委员会暂时代行其职责,也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担其职责。又如:在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时,可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。
2.1 董事会及高级管理层
检查项1 :董事会
基本要求:(1)董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。
检查方法、步骤:(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
检查项2 :信息科技管理委员会
基本要求:(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2)信息科技管理委员会的职责应包括:(a)设定全行IT战略目标,指导IT方面的资金投入,对IT规划进行审批;(b)合理运用现有资源,指导信息科技部门提供高质量的IT服务,同时要监督IT成本管理情况;(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突;(d)确保IT战略的及时更新;(e)对主要的IT政策、标准、原则进行审批;(f)对重要的IT项目和活动进行监控;(g)监督和管理IT绩效,确保达到预期IT服务水平;(h)对重大IT项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。检查方法、步骤:(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。
检查项3 :首席信息官(CIO)
基本要求:(1)商业银行应建立首席信息官制度,明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作:信息科技预算和支出,信息科技政策、标准和流程制定及执行,信息科技内部控制、专业化研发,信息科技项目管理,信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难恢复计划,信息科技外包和信息系统退出等。(6)首席信息官应确保信息科技人才队伍具备充分的专业技能。
检查方法、步骤:(1)访谈首席信息官,关注以下内容:(a)银行 的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;(f)首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进行监控。(2)查阅相关文档资料,如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。
2.2 信息科技部门
检查项1 :信息科技部门
基本要求:(1)商业银行应建立与银行业务相适应的信息科技部门,负责信息科技产品的开发、外包、测试、上线和变更,负责相应信息系统的运行、维护和安全,为银行提供信息科技业务产品。(2)信息科技部门应该根据工作内容,制定完整的内部工作流程和内控制度,建立与相关职能部门之间的协调配合机制,保证信息科技工作的有序、高效。(3)信息科技部门应定期分析评估信息系统生命周期各阶段的风险,制定风险防控策略、措施和检查流程,切实做好信息科技风险管控。(4)信息科技部门所配臵的信息科技人员的数量应适应业务及IT发展水平,能保证各个信息系统和各项信息科技工作安全 21 持续地运转。信息科技部门应做好科技人员管理,注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录,具备相应的专业知识技能。(5)信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍,应做好信息科技开发管理,以及相关的外包服务管理、知识产权管理和开发环节的风险管理,为银
商业银行信息科技风险现场检查指南(五篇范文)
本文2025-01-28 00:07:36发表“合同范文”栏目。
本文链接:https://www.wnwk.com/article/11317.html
- 二年级数学下册其中检测卷二年级数学下册其中检测卷附答案#期中测试卷.pdf
- 二年级数学下册期末质检卷(苏教版)二年级数学下册期末质检卷(苏教版)#期末复习 #期末测试卷 #二年级数学 #二年级数学下册#关注我持续更新小学知识.pdf
- 二年级数学下册期末混合运算专项练习二年级数学下册期末混合运算专项练习#二年级#二年级数学下册#关注我持续更新小学知识 #知识分享 #家长收藏孩子受益.pdf
- 二年级数学下册年月日三类周期问题解题方法二年级数学下册年月日三类周期问题解题方法#二年级#二年级数学下册#知识分享 #关注我持续更新小学知识 #家长收藏孩子受益.pdf
- 二年级数学下册解决问题专项训练二年级数学下册解决问题专项训练#专项训练#解决问题#二年级#二年级数学下册#知识分享.pdf
- 二年级数学下册还原问题二年级数学下册还原问题#二年级#二年级数学#关注我持续更新小学知识 #知识分享 #家长收藏孩子受益.pdf
- 二年级数学下册第六单元考试卷家长打印出来给孩子测试测试争取拿到高分!#小学二年级试卷分享 #二年级第六单考试数学 #第六单考试#二年级数学下册.pdf
- 二年级数学下册必背顺口溜口诀汇总二年级数学下册必背顺口溜口诀汇总#二年级#二年级数学下册 #知识分享 #家长收藏孩子受益 #关注我持续更新小学知识.pdf
- 二年级数学下册《重点难点思维题》两大问题解决技巧和方法巧算星期几解决周期问题还原问题强化思维训练老师精心整理家长可以打印出来给孩子练习#家长收藏孩子受益 #学霸秘籍 #思维训练 #二年级 #知识点总结.pdf
- 二年级数学下册 必背公式大全寒假提前背一背开学更轻松#二年级 #二年级数学 #二年级数学下册 #寒假充电计划 #公式.pdf
