没有合适的资源?快使用搜索试试~ 我知道了~
银监会信息系统现场检查指南.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 154 浏览量
2021-11-14
22:58:24
上传
评论
收藏 1.58MB PDF 举报
温馨提示
试读
19页
//
资源推荐
资源详情
资源评论
银监会信息系统现场检查指南
信息系统现场检查指南(架构)
为了规范和指导信息系统现场检查工作,提高信息系统现场检查
的水平,确保信息系统现场检查的质量,特制定本指南。
一、检查目的
(一)了解和掌握银行业金融机构信息系统管理组织体系、工作
制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情
况,评价其信息科技管理组织水平;
(二)了解和掌握银行业金融机构信息安全保障体系和内部控制
规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算
机安全管理水平;
(三)了解和掌握银行业金融机构信息系统在研发过程中项目管
理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投
产以及外包等产生风险的环节,评价其管理水平;
(四)了解和掌握银行业金融机构信息系统在信息系统运行和操
作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和
化解操作风险;
(五)了解和掌握银行业.金融机构信息系统在业务持续性计划
方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风
险管理涵盖管理、维护的每个环节。
二、检查要点
(一)检查信息系统风险管理架构、内部组织结构和工作机制、
岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,
了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时
性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制
度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据
库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全
的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档
案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金
融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及
安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的
处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行
和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范
化,确保信息系统安全可靠的运行。
(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理
层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务,
并制定了合适的负责人员。评估建设及实施关于灾难恢复的组织机构、
业务流程和应对措施的合理性。
三、检查内容
(一)信息科技公司治理和组织结构
1.制度建设
(1)检查银行是否根据国家和银监会有关信息系统管理制度制定
了实施细则,分析制度制定、审批、修订和发布等流程的规范性。
(2)检查信息科技相关规章制度、技术规范、操作规程建设情况。
重点检查:各项制度规章是否正式发文,内容是否涵盖规划、研发、
建设、运行、维护、应急、外包、保密和监控等范畴,是否明确相关
人员的职责权限并实行最小授权的制约机制,是否建立制订后评价程
序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需
要。
(3)检查实施知识产权保护情况。重点检查:正版软件版本管理
情况;国产自有知识产权的软硬件的使用情况;信息化安全等级保护
工作情况;自主知识产权信息化成果保护情况。
2.组织结构
(1)检查银行业金融机构董事层、经理层的信息科技管理和风险
管理组织架构。重点检查:
①科技管理、持续科技风险管理程序及就科技管理稳健务实的手
段、工作分工和职责;负责信息系统的战略规划、重大项目和风险监
督管理的领导层面或决策机构及信息科技部门的建设情况;信息科技
风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、
经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。
②该银行组织结构设计的战略定位,组织结构的合理性是否符合
风险管理的需要;董事会和高管层面是否重视科技管理和信息科技规
划工作;了解董事会对信息科技所担负的职责,管理层如何发挥对信
息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清晰
程度,了解内部平衡监督和放权的关系;分析对安全、质量和内部控
制等的组织定位。
(2)检查信息系统建设决策流程、总体策略制定和统筹项目建设
的情况。重点检查:信息系统建设规划中是否涵盖信息安全、运行管
理、业务持续性计划等重要内容;评估近期、中期和远期关于信息科
技的重大策略和目标的合理性。着重从以下几个方面了解:
①银行如何利用信息科技技术更好地为企业创新服务,在进行信
息科技治理时如何贯彻“以组织战略目标为中心’,的思想,确保信
息科技资源与业务匹配;银行的信息科技投资是否与战略目标相一致;
是否合理配臵信息科技资源以实现面向服务的架构,核心业务系统是
否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键
战略决策中信息科技的融入程度,确保无信息孤岛现象。
②信息科技规划中如何更好的控制风险,包括控制业务风险和控
制由信息科技使用带来的风险。是否在信息科技建设规划每个环节考
虑到风险因素,满足银行最低风险控制需要;是否考虑到风险管理系
统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或
风险系统中采集监管数据,以提高银行风险监管能力。
③根据银行信息科技现状和信息科技规划初步评估该行信息科技
建设水平,比如可以按信息资产规模分为落后型、发展型、追随型和
领先型。
(3)检查高管层对本机构信息系统风险状况的控制程度。重点检
查:是否定期组织内部评估、审计、报告本机构信息系统风险状况;
针对存在的风险状况是否采取相应的风险控制措施,以及各项措施的
卜具体内容环节、主要实施部门和评估结果;是否建立了对整改工作
的监督机制。
(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情
况。重点检查:人员素质情况,包括科技管理、科技风险管理和技术
人员的知识结构、年龄结构、专业结构;人员在系统内的占比情况;
内审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否有
专职 IT 人员和已获得上岗证书的信息安全管理员;对信息科技人员的
行为规范管理情况。
(5)检查科技队伍培训、激励等管理机制的建设执行情况。重点
检查:培训规划和历史记录,包括职业培训、岗前培训情况,相关职
责所需专业知识和技能的实际符合情况;分析信息科技人员从应聘、
录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透
明。
(二)信息安全管理
1.信息安全建设基本情况
(1)检查内部科技风险管理机构对信息系统面临的风险开展评估
的情况。重点检查:通过调阅该机构安全领导小组成立(或调整)的
文件,其他与计算机安全相关的会议记录或文件,了解该机构是否设
立计算机信息系统安全领导小组并上报当地监督部门,是否充分履行
有关计算机安全管理和监督检查职责。
(2)检查服务承包商和提供商与相关法律、法规等的符合程度。
重点检查:通过调阅
该机构所有承包商和服务提供商的详细资料和合同文本,确认所
有承包商和服务提供商是否符合法律法规要求,合同文本是否符合法
律要求(如数据保护法规),是否明确各自的安全责任,是否有确保
业务资产的完整性和保密性的条款等。
(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。
重点检查:调阅与计算机系统运行、安全保障和文档管理等相关规章
制度,其范围除自行制定的制度还包括转发的上级文件,审计是否建
剩余18页未读,继续阅读
资源评论
春哥111
- 粉丝: 1w+
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功