銀行信息科技風(fēng)險(xiǎn)檢查方案

目錄/提綱：……
一、檢查依據(jù)
二、檢查原則和方法
（一）檢查原則
（二）檢查方法
三、檢查內(nèi)容
（一）信息科技治理
（二）信息科技風(fēng)險(xiǎn)管理
（三）信息安全
（四）信息科技運(yùn)行
（五）業(yè)務(wù)連續(xù)性管理
（六）外包管理
（七）硬件系統(tǒng)
四、相關(guān)要求
……
銀行信息科技風(fēng)險(xiǎn)檢查方案

為進(jìn)一步落實(shí)監(jiān)管部門的風(fēng)險(xiǎn)防控要求，全面掌握和評(píng)估信息科技運(yùn)行及管理現(xiàn)狀，保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行，按照監(jiān)管部門信息科技風(fēng)險(xiǎn)監(jiān)管工作要求，省聯(lián)社決定開展信息科技風(fēng)險(xiǎn)檢查。為做好此項(xiàng)工作，特制定本檢查方案。
一、檢查依據(jù)
1.《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》；
2.《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》；
3.《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于印發(fā)商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引的通知》；
4.《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》；
5.《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》；
6.《**省農(nóng)村信用社科技工作管理規(guī)定》；
7.《**省農(nóng)村信用社稽核工作暫行辦法》；
8.《**省農(nóng)村信用社信息科技稽核辦法（試行）》；
9.國(guó)家相關(guān)金融政策、方針、法律、法規(guī)等以及省聯(lián)社其他與信息科技有關(guān)的文件、制度和規(guī)定。
二、檢查原則和方法
（一）檢查原則
本次抽查是遵循“全面與重點(diǎn)”相結(jié)合原則：一是檢查要覆蓋被查機(jī)構(gòu)的各個(gè)層面，包括被查機(jī)構(gòu)理事會(huì)及高管層、信息科技“三道防線”職能部門、相關(guān)業(yè)務(wù)部室、基層營(yíng)業(yè)網(wǎng)點(diǎn)。重點(diǎn)檢查被查機(jī)構(gòu)信息科技“三道防線”職能部門關(guān)于信息科技工作開展情況。二是結(jié)合被查機(jī)構(gòu)信息科技
……（新文秘網(wǎng)http://m.120pk.cn省略831字，正式會(huì)員可完整閱讀）……　
職情況；
⑨其他需要了解的事項(xiàng)。
（2）通過(guò)查閱相關(guān)資料，如理事會(huì)、高管層及信息科技委員會(huì)會(huì)議紀(jì)要，對(duì)重大信息科技事項(xiàng)的審批決議的記錄等，對(duì)上述信息進(jìn)行驗(yàn)證。
2.信息科技風(fēng)險(xiǎn)管理“三道防線”
（1）訪談該機(jī)構(gòu)分管信息科技工作的領(lǐng)導(dǎo)，了解是否信息科技風(fēng)險(xiǎn)管理的“三道防線”工作開展情況。
（2）訪談該機(jī)構(gòu)信息科技部門、風(fēng)險(xiǎn)管理部門、稽核部門的負(fù)責(zé)人，了解其是否明確本部門在“三道防線”中需要承擔(dān)的角色和職責(zé)，以及風(fēng)險(xiǎn)管理部門和稽核部門參與信息科技風(fēng)險(xiǎn)管理的相關(guān)工作情況。
3.知識(shí)產(chǎn)權(quán)保護(hù)和信息披露
（1）調(diào)閱該機(jī)構(gòu)遵守知識(shí)產(chǎn)權(quán)法律的相關(guān)制度并審查其內(nèi)容。（如自行采購(gòu)軟件需制定自身的知識(shí)產(chǎn)權(quán)方面制度）
（2）調(diào)閱該機(jī)構(gòu)自行采購(gòu)的軟件清單，檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。
（3）調(diào)閱該機(jī)構(gòu)有關(guān)信息科技風(fēng)險(xiǎn)披露的制度，重點(diǎn)關(guān)注是否及時(shí)規(guī)范發(fā)布信息科技風(fēng)險(xiǎn)信息。
（二）信息科技風(fēng)險(xiǎn)管理
1.訪談風(fēng)險(xiǎn)管理部門負(fù)責(zé)人，并調(diào)閱相關(guān)資料了解以下內(nèi)容：
（1）風(fēng)險(xiǎn)管理組織架構(gòu)
是否明確信息科技風(fēng)險(xiǎn)管理部門并設(shè)置了信息科技風(fēng)險(xiǎn)管理崗位；調(diào)閱信息科技風(fēng)險(xiǎn)管理策略，檢查是否包含信息科技風(fēng)險(xiǎn)報(bào)告機(jī)制及流程等；是否對(duì)全體員工進(jìn)行持續(xù)的信息科技風(fēng)險(xiǎn)教育培訓(xùn)。
（2）風(fēng)險(xiǎn)識(shí)別和評(píng)估
是否開展本機(jī)構(gòu)全面的信息科技風(fēng)險(xiǎn)識(shí)別、評(píng)估工作并針對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果開展后續(xù)風(fēng)險(xiǎn)管理工作；是否將風(fēng)險(xiǎn)評(píng)估結(jié)果報(bào)告管理層，按照管理層要求進(jìn)行風(fēng)險(xiǎn)處置；是否評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別。
（3）風(fēng)險(xiǎn)防范和檢測(cè)
①是否制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程，并定期進(jìn)行更新和公布；是否制定了信息科技運(yùn)行風(fēng)險(xiǎn)管理策略、訪問控制風(fēng)險(xiǎn)管理策略、物理訪問風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性策略。
②是否建立了風(fēng)險(xiǎn)信息報(bào)告制度；是否建立了風(fēng)險(xiǎn)處理流程；是否建立了與風(fēng)險(xiǎn)管理部門溝通的機(jī)制，是否具有與風(fēng)險(xiǎn)管理部門進(jìn)行溝通的記錄；信息科技風(fēng)險(xiǎn)管理培訓(xùn)的內(nèi)容、人員是否合理。
③是否建立了信息科技項(xiàng)目實(shí)施前及實(shí)施后的評(píng)價(jià)機(jī)制；是否安排對(duì)信息科技外包服務(wù)水平的完成情況進(jìn)行定期審查；是否對(duì)銀行和銀行業(yè)面臨的內(nèi)外部信息科技風(fēng)險(xiǎn)以及由此引發(fā)的信譽(yù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)進(jìn)行有效識(shí)別和客觀評(píng)價(jià)評(píng)級(jí)；是否定期進(jìn)行運(yùn)行環(huán)境下信息科技操作風(fēng)險(xiǎn)和管理控制的檢查；是否建立常態(tài)化的信息科技風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警與處置流程并執(zhí)行。
2.信息科技《非現(xiàn)場(chǎng)監(jiān)管報(bào)表》管理情況，調(diào)閱包括年度報(bào)表、季度報(bào)表和實(shí)時(shí)報(bào)表，以及報(bào)送相關(guān)記錄，并訪談相關(guān)填報(bào)部門負(fù)責(zé)人，了解以下內(nèi)容：
（1）是否明確《非現(xiàn)場(chǎng)監(jiān)管報(bào)表》報(bào)送工作的歸口管理部門；
（2）是否明確《非現(xiàn)場(chǎng)監(jiān)管報(bào)表》的數(shù)據(jù)提供部門，其職責(zé)是否明確，其與歸口管理部門的協(xié)作關(guān)系是否明確；
（3）是否明確《非現(xiàn)場(chǎng)監(jiān)管報(bào)表》報(bào)送責(zé)任人和填報(bào)人的職責(zé)；
（4）是否建立了《非現(xiàn)場(chǎng)監(jiān)管報(bào)表》報(bào)送管理制度；是否有明確的數(shù)據(jù)采集、填寫、報(bào)送的流程；是否發(fā)生過(guò)遲報(bào)、漏報(bào)、瞞報(bào)現(xiàn)象；
（5）是否將《非現(xiàn)場(chǎng)監(jiān)管報(bào)表》數(shù)據(jù)質(zhì)量及報(bào)送情況納入部門和個(gè)人績(jī)效考核。
（三）信息安全
1.安全管理機(jī)制
（1）檢查科技部門是否落實(shí)信息安全管理職能：是否對(duì)全體員工進(jìn)行信息安全培訓(xùn)；是否定期向上級(jí)提交本機(jī)構(gòu)信息安全評(píng)估報(bào)告等；是否定期召開信息安全保障方面的會(huì)議。
（2）是否制訂了詳細(xì)的信息安全制度，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營(yíng)管理、訪問控制管理、系統(tǒng)開發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理等。
2.信息安全組織
（1）調(diào)閱科技部門相關(guān)崗位職責(zé)說(shuō)明文件，檢查是否設(shè)立了安全管理員崗位，并定義職責(zé)。是否限制了安全管理員不能兼任網(wǎng)l管理員、系統(tǒng)管理員等。
（2）檢查是否明確信息安全責(zé)任，并層層簽訂信息安全責(zé)任書。
（3）調(diào)閱信息安全檢查記錄，檢查安全管理員是否定期進(jìn)行安全檢查，檢查結(jié)果是否進(jìn)行及時(shí)報(bào)告和處理。
3. 信息資產(chǎn)安全
（1）是否對(duì)信息資產(chǎn)進(jìn)行了分類；是否制定了信息資產(chǎn)分級(jí)標(biāo)準(zhǔn)；各類信息資產(chǎn)是否進(jìn)行了登記。
（2）設(shè)備進(jìn)行維護(hù)和更換之前，是否做好相關(guān)的數(shù)據(jù)備份工作；如果是設(shè)備進(jìn)行更換，對(duì)于含有存儲(chǔ)信息的設(shè)備是否做好信息消除工作。
4.機(jī)房安全
（1 ……（未完，全文共8539字，當(dāng)前僅顯示2332字，請(qǐng)閱讀下面提示信息。收藏《銀行信息科技風(fēng)險(xiǎn)檢查方案》）