銀行信息系統技術管理檢查方案技術管理是一個全面而復雜的領域，它涵蓋了多個關鍵組成部分，以確保商業銀行在信息技術方面的穩健運作。具體來說，技術管理包含了12個核心部分，每個部分都提出了詳細的基本要求、檢查內容和檢查方法以及實施步驟。首先，信息技術治理部分強調了建立有效的治理結構和決策機制的重要性，確保科技戰略與銀行整體戰略的一致性。其次，信息技術風險管理部分關注于識別、評估和控制科技風險，以降低潛在的負面影響。信息安全管理部分則著重于保護銀行的信息資產，防止數據泄露和未授權訪問。信息系統生命周期管理部分涉及系統的規劃、開發、實施、維護和退役等各個階段，確保系統能夠滿足業務需求并持續改進。信息系統運行管理部分關注于日常的系統運行和維護，確保系統的穩定性和性能。業務連續性管理部分則確保在發生突發事件時，銀行能夠迅速恢復業務運作，減少損失。應急管理部分則專注于應對突發事件的準備和響應措施。災難備份管理部分確保在發生重大災難時，關鍵數據和系統能夠迅速恢復，保障業務的連續性。數據管理部分關注于數據的質量、安全和合規性，確保數據的有效利用。外包管理部分則涉及對外包服務提供商的管理和監督，確保外包活動符合銀行的利益和要求。最后，內部審計和外部審計部分分別關注于對銀行內部管理和運營的獨立評估，以及接受外部審計機構的監督和評估，確保銀行的透明度和合規性。通過這些詳細的管理要求和方法，商業銀行能夠全面提升其信息技術管理水平，確保業務的穩健發展。1信息技術治理商業銀行的董事會和高級管理層應根據本銀行的發展戰略，運用先進管理理念加強信息技術治理，提高信息技術使用效益，推動商業銀行的業務創新，增強核心競爭力和可持續發展能力。1.1董事會及高級管理層檢查項1：董事會基本要求：（1）董事會應對銀行的信息技術治理負有最終責任。(2)董事會應及時聽取信息技術管理委員會和首席信息官的匯報,了解主要的信息技術風險。(3)信息技術重大事項的決策應經過董事會審議。檢查方法、步驟：(1)訪談董事會成員/董事會秘書,了解:(a)董事會在銀行信息技術管理領域的角色和職責;(b)董事會是否了解本行所面臨的主要信息技術風險;(c)董事會對信息技術重大事項和決策職責的界定,以及董事會信息技術重大決策的流程;(d)經過董事會討論和決議的信息技術重大事項的落實情況;(e)董事會如何對信息技術的建設和管理情況進行監督。(2)查閱相關資料,如董事會章程,董事會會議紀要,對重大信息技術事項的審批決議的記錄等,對上述信息進行驗證。檢查項2：信息技術管理委員會基本要求：（1）銀行應建立信息技術管理委員會,該委員會成員應包括銀行高級管理層、信息技術部門和主要業務部門的代表。(2)信息技術管理委員會的職責應包括:(a)設定全行IT戰略目標，指導IT方面的資金投入，對IT規劃進行審批；(b)合理運用現有資源，指導信息技術部門提供高質量的IT服務，同時要監督IT成本管理情況；(c)通過調整IT項目和活動的優先級解決資源短缺造成的沖突；(d)確保IT戰略的及時更新；(e)對主要的IT政策、標準、原則進行審批；(f)對重要的IT項目和活動進行監控；(g)監督和管理IT績效，確保達到預期IT服務水平；(h)對重大IT項目進行審批。（3）定期向董事會和高級管理層匯報信息技術戰略規劃的執行情況、信息技術預算和實際支出情況、信息技術的整體管理狀況,面臨的主要風險及其應對措施等。檢查方法、步驟：（1）訪談信息技術管理委員會成員,了解信息技術管理委員會的主要職責和開展的主要工作。如(a)是否確保信息技術戰略與業務戰略的一致性;(b)信息技術管理委員會是否了解本行主要的信息技術風險并制定了應對措施;(c)重大信息技術項目投資的審批情況;(e)預算和執行情況;(f)IT績效等。(2)調閱信息技術管理委員會相關文件,如信息技術管理委員會章程/政策,會議紀要,對重大事項的討論和審批記錄等,對訪談了解到的信息進行驗證。(3）查閱信息技術管理委員會向董事會和高級管理層的匯報材料和相關會議記錄,了解其向董事會和高級管理層匯報工作的情況。檢查項3：首席信息官（CIO）基本要求：（1）商業銀行應建立首席信息官制度，明確其工作職責及報告路線。（2）首席信息官應了解并參與本行業務發展決策。（3）首席信息官應負責制定和及時更新信息技術戰略,確保信息技術戰略與業務戰略保持一致。（4）首席信息官應確保信息技術職能的規范和有效運作。（5）首席信息官應領導和協調信息技術部門做好以下工作：信息技術預算和支出，信息技術政策、標準和流程制定及執行，信息技術內部控制、專業化研發，信息技術項目管理，信息系統和科技基礎設施的建設、維護和運行管理，信息安全管理，應急管理和災難恢復計劃，信息技術外包和信息系統退出等。（6）首席信息官應確保信息技術人才隊伍具備充分的專業技能。檢查方法、步驟：（1）訪談首席信息官，關注以下內容:(a)銀行的信息技術戰略及其與業務戰略的一致性;(b)銀行目前面臨的主要信息技術風險和應對策略;(c)銀行未來1-3年的信息技術發展規劃;(d)首席信息官開展了哪些主要工作;(e)首席信息官如何與高級管理層/董事會/信息技術管理委員會等保持有效溝通;(f)首席信息官對銀行信息技術領域主要問題的了解情況和應對計劃;(g)首席信息官如何對信息技術部門的活動和績效進行監控。（2）查閱相關文檔資料，如信息技術部門的匯報資料,董事會/高級管理層匯報資料,會議紀要,信息技術重大決策的審批記錄,戰略規劃,預算執行情況的分析,風險評估報告等,對訪談了解到的信息進行驗證。1.2信息技術部門檢查項1：信息技術部門基本要求：（1）商業銀行應建立與銀行業務相適應的信息技術部門，負責信息技術產品的開發、外包、測試、上線和變更，負責相應信息系統的運行、維護和安全，為銀行提供信息技術業務產品。（2）信息技術部門應該根據工作內容，制定完整的內部工作流程和內控制度，建立與相關職能部門之間的協調配合機制，保證信息技術工作的有序、高效。（3）信息技術部門應定期分析評估信息系統生命周期各階段的風險，制定風險防控策略、措施和檢查流程，切實做好信息技術風險管控。（4）信息技術部門所配置的信息技術人員的數量應適應業務及IT發展水平，能保證各個信息系統和各項信息技術工作安全持續地運轉。信息技術部門應做好科技人員管理，注重科技專業和風險教育。信息技術人員應有良好的品德、職業操守和信用記錄，具備相應的專業知識技能。（5）信息技術部門應該建設一支與銀行信息技術產品開發戰略相適應的信息技術開發隊伍，應做好信息技術開發管理，以及相關的外包服務管理、知識產權管理和開發環節的風險管理，為銀行提供安全的信息技術業務產品。（6）信息技術部門應建設好銀行信息技術系統安全連續運行的環境（包括場地、設備、網絡、系統、數據安全、訪問控制和管理制度等），做好各種環境的監測控制，做好事件、問題管理和變更管理，做好緊急事件應急預案。（7）信息技術部門應嚴格遵守國家各項安全管理制度，配合風險管理部門、合規部門、業務部門編制各項信息技術業務產品的操作手冊和訪問控制制度，協助做好業務部門信息技術風險控制和安全教育。檢查方法、步驟:（1）調閱信息技術部門的各項工作流程和規章制度。（2）調閱信息技術風險管理政策和制度。（3）調閱信息技術部門的組織結構圖,崗位職責說明。(4)訪談信息技術部門負責人、內部各條線負責人和信息技術風險管理人員，關注以下內容：（a）信息技術部門內部設置了哪些條線？各條線是否實現了必要的職責分離,如開發團隊和運行團隊分離,信息技術人員不從事業務操作,有專門的團隊開展安全檢查等；(b)信息技術部門的資源狀況,包括人員是否充足,是否擁有充分的技能；(c)問題和風險的報告路線、流程和處置效率；(d)信息技術人員的激勵機制；(e)如何對信息技術人員進行職業道德方面的教育,如何在全行科技職能范圍內推進風險管理和內部控制的理念；(f)信息技術人員的任免和招聘,是否進行背景調查;(g)主要崗位是否輪崗;(h)信息技術人員的技能培訓情況;(i)信息技術人員是否了解本行的信息技術政策/流程/規范/標準等。檢查項2：信息技術戰略規劃基本要求：（1）商業銀行信息技術戰略規劃應在充分的市場調查和技術分析的基礎上，由首席信息官,銀行高級管理層,科技部門、風險管理和業務部門共同討論制定，并經過信息技術管理委員會審查和批準，并報董事會審議。（2）信息技術戰略規劃應該與業務發展規劃保持一致,為實現銀行發展戰略提供緊密的信息技術支持。（3）信息技術戰略規劃應包含但不限于：IT治理建設的規劃(關注于管理組織和制度建設等),應用架構規劃(關注于應用系統的建設),信息技術基礎設施規劃(關注于基礎設施建設)。(4)在銀行總體戰略發生變化時,銀行信息技術戰略規劃應及時作出相應的調整。(5)銀行應定期更新信息技術戰略規劃。(6)銀行高級管理層應對信息技術戰略規劃的落實情況進行監督。檢查方法、步驟:（1）調閱信息技術發展戰略規劃或其他中長期發展規劃，關注相關規劃的配合和銜接。（2）訪談信息技術管理部門負責人和相關工作人員，重點關注：（a）信息技術發展戰略規劃的制定是否有各方面人員參與，是否經過高級管理層審批；（b）信息技術發展戰略規劃的內容是否包含了應用架構,基礎設施,IT治理等方面；（c）信息技術發展戰略規劃完成情況、信息技術工作的總體狀況、信息技術工作的薄弱點和問題；(d)信息技術戰略規劃是否依據環境變化,總體戰略變更等進行調整。1.3信息技術風險管理部門檢查項1：信息技術風險管理部門基本要求：（1）商業銀行應建立全行信息技術風險管理框架，設立或指定信息技術風險管理部門，明確相應的管理職責，設置必要的崗位，配置足夠的信息技術風險管理人員。（2）信息技術風險管理部門應制定信息技術風險管理大綱。大綱應清楚描述信息技術風險特點、識別和評估流程、持續的控制措施和報告處理機制。（3）信息技術風險管理部門應定期審查各個相關部門和環節的信息技術風險控制流程和管理制度，定期檢查制度的執行情況，防止出現失控的環節和管理制度老化的情況。（4）信息技術風險管理部門應對重要的信息技術工作環節進行風險識別和評估，定期檢查和上報信息技術風險控制狀況。（5）信息技術風險管理部門應對全行員工進行持續的信息技術風險教育。檢查方法、步驟:（1）調閱信息技術風險管理的相關政策,流程,管理規范,工作手冊,以及開展信息技術風險管理的記錄,如日常工作記錄、會議紀要和風險評估報告等。（2）調閱組織結構圖和職責說明,了解信息技術風險管理部門的組織結構和人員的配置情況。（3）了解信息技術風險管理部門的工作情況,包括風險管理框架,評估標準,是否定期開展風險評估,風險評估的結果,主要風險和應對措施等。（4）了解信息技術風險管理部門和信息技術部,業務部門,內審部門和其他相關部門的相互協作情況。(5)了解信息技術風險教育和培訓的開展情況,并調閱培訓資料和記錄等。1.4信息技術風險審計部門檢查項1：信息技術風險審計部門基本要求：（1）商業銀行應指定專門負責信息技術風險審計的部門，設置必要的崗位，并配備適量信息技術風險專業審計人員。（2）制定信息技術風險審計制度和相應的審計手冊。（3）應有計劃、有側重點地開展信息技術風險審計工作。（4）及時向董事會和監事會報告信息技術風險審計情況。（5）審計發現重大風險隱患應及時報告。檢查方法、步驟：（1）訪談信息技術審計部門負責人和工作人員,了解以下信息:(a)信息技術審計職能的定位,工作范圍,組織結構和分工(包括信息技術內審團隊內部的分工,以及與其他內審團隊的分工),匯報路線,人員配置,技能(如是否擁有專業資格)等情況；(b)信息技術審計計劃,關注計劃制定過程中是否考慮了風險,并基于風險狀況制定相應計劃；(c)信息技術審計工作的標準和規范；(d)信息技術內審工作的執行情況,包括開展了哪些主要工作,有哪些主要發現,整改情況等；(e)審計結果的匯報和溝通,包括與被審計方的溝通和落實整改,及與高級管理層和董事會的匯報。(f)內審人員的持續培訓情況。(2)調閱信息技術審計相關文檔,包括:(a)信息技術審計章程或相關制度；(b)信息技術審計部組織結構圖,職責說明等；(c)信息技術風險審計手冊或其他標準規范文檔。（3）調閱商業銀行審計工作計劃、工作底稿和審計報告。（4）調閱審計發現落實整改情況的記錄;。(5)調閱培訓記錄。1.5知識產權保護和信息披露檢查項1：知識產權保護基本要求：（1）商業銀行應按照國家有關知識產權法律、法規的要求，制定本單位知識產權保護制度。（2）應采取有效措施確保所有員工充分理解知識產權保護制度并遵照執行。（3）規范合法軟件的購買和使用，禁止使用盜版軟件。（4）做好自主開發的信息技術產品的知識產權保護工作。檢查方法、步驟：（1）調閱商業銀行遵守知識產權法律的相關制度并審查其內容。（2）查閱商業銀行的軟件清單，檢查是否擁有產權或授權及到期狀況。（3）查閱外包服務協議和相關文件中是否有知識產權的保護條款，并檢查落實情況。檢查項2：信息披露基本要求：商業銀行應依據國家有關法律、法規的要求，按照監管機構規定的格式和時間，及時規范地披露信息技術風險信息。檢查方法、步驟：（1）調閱商業銀行有關信息技術風險披露的制度。（2）查閱商業銀行披露信息技術風險評估結果的記錄。（3）重點關注信息披露是否符合《商業銀行信息披露辦法》等有關法律、法規的要求，是否按照監管機構規定的格式和時間及時規范地發布。(4)訪談信息技術人員了解信息披露的流程,以及信息披露執行情況,如科技人員是否了解披露要求,如何確保披露信息的及時和準確等。

2信息技術風險管理商業銀行應制定信息技術風險管理策略，制定風險識別和評估、風險防范措施，對風險進行持續監測。2.1風險識別和評估檢查項1：風險管理策略基本要求：（1）商業銀行應制定符合銀行總體業務發展規劃的信息技術戰略、信息技術運行計劃和信息技術風險評估計劃；（2）應配置足夠人力、財力資源，維持穩定、安全的信息技術環境；（3）應制定全面的信息技術風險管理策略，包括但不限于：信息分級與保護，信息系統開發、測試和維護，信息技術運行和維護，訪問控制，物理安全，人員安全，業務連續性計劃與應急處置。檢查方法、步驟：（1）訪談信息技術部門及信息技術風險管理部門負責人員,了解以下內容:(a)信息技術風險管理策略和方法,如風險框架和分類,評估方法和標準,以及對風險容忍度的界定；(b)銀行的主要信息技術風險及其應對措施；(c)在開展信息技術風險管理過程中遇到的主要挑戰。(2)調閱信息技術風險管理文檔,如信息技術風險管理政策和流程,風險評估規范或手冊等。檢查項2：風險識別與評估基本要求：（1）商業銀行應制定持續的風險識別和評估流程，確定信息技術風險隱患；（2）定期評估信息技術風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別。檢查方法、步驟：（1）調閱風險識別和評估流程文檔，風險評估報告和相關工作底稿，了解具體工作開展情況。（2）與信息技術風險管理相關人員(如信息技術部門人員和信息技術風險管理部門人員)訪談,了解信息技術風險評估的過程,信息來源,評估結果,以及對識別的風險是否制定了應對措施。2.2風險防范和檢測檢查項1：風險防范措施基本要求：（1）商業銀行應依據信息技術風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：制定明確的信息技術風險管理制度、技術標準和操作規程，并定期進行更新和公布；（2）確定潛在風險區域，并對這些區域進行有效的監控，實現風險及早發現、影響最小化；（3）建立適當的控制框架，以便于檢查和平衡風險。定義每個業務級別的控制內容，包括：最高權限用戶審查，控制數據和系統的物理及邏輯訪問，訪問授權以“必需知道”和“最小授權”為原則，審批和授權，驗證和調節等。檢查方法、步驟：（1）調閱信息技術管理制度、技術標準、操作規程等文檔,并訪談信息技術人員和風險管理人員,了解信息技術風險控制的主要原則和措施.(注:這里應主要關注風險控制的原則,如怎樣落實訪問控制的最小授權,對風險/安全事件的監控,災難恢復的安排等，具體控制的設計和執行情況將在各個領域中進行檢查。)（2）調閱風險監控相關工作記錄,如風險評估報告,信息技術各職能部門關于風險的匯報文檔等.訪談風險管理人員，了解對高風險區域的監控情況；(3)了解信息技術職能和風險管理職能如何對主要風險進行監控,如定期匯總各條線(如運行,開發,測試等)的匯報,對一些重要事項和指標的持續監測,內外審的發現和建議的落實,問題上報制度等。檢查項2：風險計量與檢測基本要求：（1）商業銀行應建立持續的信息技術風險計量和檢測機制，其中包括：建立信息技術項目實施前及實施后的評價機制,建立定期檢查系統性能的程序和標準,建立信息技術服務投訴和事故處理的報告機制,建立內部審計、外部審計和監管發現問題的整改處理機制,安排對服務水平協議的完成情況進行定期審查,定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅,定期進行運行環境下操作風險和管理控制的檢查,定期進行信息技術外包項目的風險狀況評價。（2）中資商業銀行在境外設立的機構及境內的外資法人銀行，應對境內外監管機構有關信息技術風險監管政策的差異性進行分析并防范由此可能產生的風險。檢查方法、步驟：（1）調閱有關文檔(如風險評估制度和方法,評估報告,關于風險和安全事件的匯報等)，了解商業銀行是否建立信息技術風險計量和監測機制。（2）訪談相關工作人員，了解中資商業銀行在境外設立的機構及境內的外資法人銀行是否對監管政策的差異性進行了充分分析并采取有效風險防范措施。

3.信息安全管理保證信息安全是商業銀行的一項重要任務，商業銀行應在信息技術部門內部設置專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機密性、完整性和可用性。信息安全涉及到人員、管理、技術等各個方面，本章節主要包含人員安全和管理安全的檢查內容，技術安全方面的檢查內容參見第三部分“基礎設施”部分。提示：在對商業銀行的信息安全管理進行檢查和評價時，可根據銀行機構的實際情況，按照分類監管、循序漸進的原則，合理把握標準與尺度。如，科技人員少、信息系統種類不多的銀行機構，可以不設置單獨的安全管理部門，但應設置專職的崗位；信息技術崗位設置可以彼此兼職，但不相容崗位應分離，做到操作系統管理員、業務系統管理員及數據庫管理員彼此分離、網絡管理員和其他系統管理員彼此分離、批量處理人員和業務數據庫管理員彼此分離。3.1安全管理機制與管理組織檢查項1：信息分類和保護體系基本要求：商業銀行信息技術部門應對各類信息系統進行風險評估，根據信息系統的重要程度等因素，建立和實施信息系統分類和保護體系，并保證該體系在銀行內部的貫徹落實。檢查方法、步驟：（1）調閱信息系統分類管理制度，查看相關制度是否建立健全，是否對信息類別和訪問人員的范圍、級別作出明確規定；（2）檢查商業銀行是否針對不同的信息系統，制訂了不同的安全防范措施，采取了不同的技術防范手段；（3）檢查商業銀行是否對信息系統風險進行評估和防范。檢查項2：安全管理機制基本要求：商業銀行信息技術部門應落實信息安全管理職能。包括：建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，定期向信息技術管理委員會提交本行信息安全評估報告等。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。檢查方法、步驟：（1）調閱商業銀行信息安全計劃或相關文檔，檢查商業銀行是否制訂信息安全計劃。（2）分析信息安全計劃，評估商業銀行信息技術部門能否對信息安全進行持續、長期和有效的管理，確保信息安全和信息系統安全運行。（3）檢查商業銀行信息技術部門是否組織培訓和宣傳教育等活動以提高全體員工信息安全意識，是否就安全問題向其他部門提供安全建議。（4）檢查商業銀行信息技術部門是否對各類信息和信息系統制訂相應的信息安全標準，是否制訂相關的管理策略，是否制訂實施計劃，是否制訂持續改進、完善計劃。通過訪談了解這些管理策略和計劃是否有效實施。（5）調閱信息安全評估報告，檢查信息技術部門是否定期對本行信息安全進行評估。檢查項3：信息安全策略基本要求：商業銀行應制訂詳細的信息安全策略，至少包括以下內容：信息安全制度管理、信息安全組織管理、資產管理、人員安全管理、物理與環境安全管理、通信與運營管理、訪問控制管理、系統開發與維護管理、信息安全事故管理、業務連續性管理、合規性管理。檢查方法、步驟：（1）調閱商業銀行信息安全策略，檢查是否制定信息安全策略及其內容是否完整、全面。（2）調閱信息安全管理規定，查看是否制定信息安全管理規定以及是否具有相應的實施要求和細則。檢查項4：信息安全組織基本要求：商業銀行應建立配套的安全管理職能部門，通過管理機構的崗位設置、人員的分工以及各種資源的配備，為信息系統的安全管理提供組織上的保障。應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批；安全管理人員應負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。檢查方法、步驟：（1）調閱相關崗位職責說明文件，檢查是否設立系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；（2）檢查是否限制安全管理員不能兼任網絡管理員、系統管理員、數據庫管理員等；（3）查詢相關制度文件和審批記錄，檢查是否根據各個部門和崗位的職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批；（4）調閱信息安全檢查記錄，檢查安全管理員是否定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況，檢查結果是否及時報告和處理。3.2安全管理制度檢查項1：規章制度基本要求：商業銀行應對信息安全風險進行分析、評估；應對信息安全管理工作建立相應的管理制度；應要求管理人員或操作人員嚴格執行管理制度，各項操作符合制度要求；應注明安全管理制度密級程度，并進行密級管理；信息安全制度建設應全面涵蓋信息系統的安全風險點，如：用戶管理、物理安全、網絡安全、操作系統安全、數據庫安全、各類業務系統安全、客戶端安全、病毒防護、敏感數據保護、文檔管理等內容。信息安全制度應包含違規處罰條款；重要工作和崗位應制訂詳盡的管理辦法和工作職責；信息安全制度應包括對服務商的責任和義務要求；信息安全事件報告制度和處理流程應清晰明確；信息安全管理制度應注明發布范圍，有發文編號和相關部門的收文記錄；信息安全制度應及時發布和修訂。商業銀行應建立完善的信息系統管理制度，管理制度應正式發文予以公布，或收集整理形成制度匯編以便于員工學習掌握。檢查方法、步驟：（1）調閱商業銀行信息安全管理相關的會議記錄。（2）調閱信息安全相關的制度，查看：(a)是否圍繞著風險分析、評估報告開展制度建設，各項制度能否有效防范風險；（b）已有制度是否涵蓋信息系統的各項風險點，包括用戶管理、物理安全、網絡安全、操作系統安全、數據庫安全、各類業務應用系統安全、客戶端安全、病毒防護、敏感數據保護、文檔管理等內容；（c）是否包含違規的處罰條款；（d）是否包括針對服務商的管理要求，如職責和義務；（e）是否建立信息安全事件報告制度和處理流程，制度和流程是否清晰和明確；(3)調閱信息安全管理部門職責和工作計劃，查看是否對重要的信息系統安全管理崗位制定了明確的管理辦法和工作職責。（4）信息安全管理負責人員座談，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，檢查是否已經針對上述事件對信息安全制度進行了及時修訂和頒布實施。檢查項2：制度合規基本要求：信息安全制度應符合國家有關信息技術管理的法律法規；應符合國家有關信息技術管理的技術標準；應符合銀監會有關要求；對于擁有境外機構的銀行，其制度也應符合境外監管機構的要求。檢查方法、步驟：（1）調閱信息安全制度，檢查：（a）制度是否遵循國家有關信息技術管理的法律法規要求；（b）技術性比較強的信息系統安全制度是否低于國家相關標準規定；（c）審查其是否與銀監會相關辦法、要求相沖突。（2）與信息安全管理負責人座談，了解該銀行是否在境外設立分支機構，境外分支機構信息安全制度是否符合所在國、地區監管機構的要求。檢查項3：制度執行基本要求：信息技術相關工作應嚴格遵守信息安全制度規定；對違規操作的應根據相應條款進行處罰；被處罰管理部門或個人應對違規操作進行整改；審計部門應對信息安全制度執行情況定期進行審計。檢查方法、步驟：（1）與負責信息安全的人員訪談，了解信息安全制度執行情況；（2）調閱銀行或部門會議記錄，查看銀行或部門是否對日志、視頻等記錄中出現的違規操作行為進行過認定，并對違規人員或部門進行過處罰；（3）調閱銀行或部門會議記錄，查看是否對違規操作進行過整改，整改的后續情況如何。對于因制度漏洞造成的風險，是否及時對相關制度進行了修改：（4）調閱內、外部審計資料，查看是否有關于信息安全制度執行情況的審計報告；（5）調閱審計文件，查看對信息安全制度執行情況的審計頻度和審計內容是否符合銀行要求；（6）調閱銀行或部門文件，查看是否對審計發現的問題進行過整改落實，后續的整改落實情況是否符合審計要求。3.3人員管理檢查項1：人員管理基本要求：（1）信息技術的崗位設置應合理，應做到分工明確、職責清晰，重要崗位需要相互制約、監督；（2）信息技術人員應無不良記錄；信息技術人員的專業知識和業務水平應達到本行要求；應加強對臨時聘用或合同制信息技術人員的安全管理措施；（3）應對信息技術人員權限進行分級管理，關鍵崗位應有AB角；應分離不相容崗位人員職責，不得兼任；（4）信息安全管理崗位應配備專職安全管理員。關鍵區域或部位的安全管理員應符合機要人員管理要求，對涉密人員應簽訂保密協議；（5）信息技術人員管理要全面，應包括背景調查、人員招聘、上崗培訓、安全培訓、人員離崗審查、強制休假等方面。檢查方法、步驟：（1）調閱銀行人事制度，了解銀行的信息技術崗位設置情況，是否配備了專門的安全管理崗位；（2）與信息技術管理人員和普通員工進行座談，聽取其對信息技術崗位設置的意見，分析崗位設置是否合理；（3）調閱銀行人事檔案，查看是否建立了信息技術人員的績效考核制度，查看信息技術人員是否有不良記錄；（4）調閱銀行人事檔案和與信息技術從業人員進行座談，了解信息技術人員的專業知識和業務水平；（5）調閱銀行人事管理制度或部門人事管理制度，分析是否有針對正式信息技術人員、臨時聘用或合同制信息技術人員及顧問制定不同的人事管理制度；（6）調閱信息安全管理的相關制度，確認是否對不同信息技術崗位進行了權限劃分和分級管理，并能貫徹落實上述制度和要求。3.4安全評估報告檢查項1：安全評估報告基本要求：商業銀行應定期對信息系統安全情況進行評估，并提交安全評估報告。當信息系統發生重大變化時，應及時進行信息安全評估。對安全評估中發現的問題，應及時整改。檢查方法、步驟：（1）調閱安全評估報告，檢查商業銀行是否定期對信息系統安全進行評估。如果信息系統發生重大變化或升級后，是否及時進行信息安全評估：（2）檢查安全評估是否全面，是否覆蓋所有信息系統，是否覆蓋所有信息安全范圍；（3）檢查安全評估報告反映的問題是否及時得到處理或改進。3.5宣傳、教育和培訓檢查項1：宣傳、教育和培訓基本要求：高管層、信息安全管理部門負責人應知曉信息安全政策；銀行應加強對客戶的信息安全重要性的宣傳教育工作；銀行應定期組織員工進行信息系統安全重要性教育；銀行應組織員工學習基本的信息系統安全管理制度；信息技術人員應掌握與其崗位相關的信息安全管理制度。檢查方法、步驟：（1）與高管層、信息安全管理部門負責人座談，了解是否知曉本銀行的信息安全政策；（2）與高管層座談，了解銀行是否對客戶進行過信息安全方面的宣傳教育，其內容、力度和頻度如何；（3）與普通員工座談，了解是否接受過有關信息安全方面教育；（4）抽查銀行內部部門的學習記錄，看是否組織過信息安全防范知識方面的學習培訓；（5）與普通員工座談，看是否知曉本銀行基本的信息安全制度；（6）調閱信息技術部門的學習記錄，看是否對信息技術人員進行過信息安全制度的傳達，是否組織過信息安全制度的學習培訓；（7）與信息技術人員座談，看是否掌握與其從事崗位相關的信息安全管理制度。4系統開發、測試與維護4.1開發管理良好的系統開發管理是一個系統能否穩健運行的必要前提，因此應加強對商業銀行系統開發管理工作的檢查力度，從而準確評估各運行系統以及即將上線系統的穩定性和可靠性。通過對商業銀行的相關制度、規定、流程以及文檔、記錄的檢查和分析，了解其管理層是否統籌考慮系統開發與信息技術戰略規劃及業務發展目標的一致性，是否對系統開發的可行性、必要性、成本效益核算以及存在的風險等方面進行全面評估，是否建設了合理的開發管理組織框架，是否對開發過程進行了全面的風險管控，以確保系統開發過程的合理、高效和安全。檢查項1：管理架構基本要求：應建立信息技術管理委員會對信息系統項目建設的審批、授權機制，重大信息系統項目開發應經過銀行董事會的批準，并符合該機構的IT戰略規劃和業務發展目標。信息技術部門應設置獨立的崗位并配備足夠的具備相關知識和技能的專業人員對信息系統項目開發進行集中管理，系統開發應成立專門的開發建設項目組，具體負責信息系統的開發建設。在系統開發立項審批前，應進行系統開發可行性研究，以控制與信息技術有關的風險。項目開發過程中應定期向首席信息官或高級管理層匯報項目實施狀況。信息系統開發過程應有業務需求部門人員參與，并定期與業務需求部門一起審核信息系統開發建設情況，查看是否能夠滿足生產業務的需要，是否與業務需求相符合，是否對關鍵業務風險點進行了有效控制。檢查方法、步驟：（1）檢查商業銀行是否有系統開發的可行性研究、成本效益分析、風險評估等報告，查看是否對項目的可行性、成本效益核算以及可能出現的各種操作風險、財務損失、無效系統規劃等進行了深入的分析；（2）調閱相關會議紀要，查看相關分析結果是否得到信息技術管理委員會的認可，分析信息技術管理委員會是否對系統開發的可行性、必要性以及與IT戰略規劃和業務發展目標的一致有充分認識；（3）對于重大信息系統開發項目，查看是否有銀行董事會批準實施系統開發的記錄；（4）調閱重大項目相關開發建設文檔，查看是否成立了專門的項目組，具體負責項目的開發建設。如成立有項目組，調閱項目組相關工作文件，檢查項目組是否盡職完成其相關職責；（5）查看是否有項目實施部門定期向信息技術管理委員會報告系統開發進展的報告；（6）查看商業銀行是否設置獨立的部門負責系統開發，調閱部門人員清單及簡介（含資質），判斷該部門人員的數量和專業背景對于其承擔的系統開發職責是否充分和適當；（7）調閱項目開發相關文件，查看信息系統開發過程是否有業務部門人員參與，檢查項目開發過程中開發部門是否與業務部門定期總結信息系統開發建設情況，以確認正在開發的系統是否與業務需求相符合，是否對關鍵業務風險點進行了有效控制；（8）檢查信息系統投產后，實施部門是否組織了對系統的后評價，并根據評估結果及時對系統功能進行調整和優化。檢查項2：制度建設基本要求：商業銀行應制定全面的信息系統開發管理制度和流程，包括但不限于系統的開發流程和組織管理、參與部門的職責劃分、時間進度和財務預算管理、質量檢測和風險評估等。商業銀行制定的制度和流程，應涵蓋信息系統開發的全周期，包括：分析、設計、開發或外購、測試、試運行、部署、維護和退出等，制度和流程應經過高級管理層和相關部門的認可，明確相關部門和人員的職責，并定期進行評估和更新。檢查方法、步驟：（1）調閱商業銀行系統開發相關的制度和流程，檢查其是否明確了管理組織及職責，是否對開發流程管理進行全面的管控。是否建立了質量檢測和風險評估機制等；（2）詢問相關人員，是否有高級管理層和所有有關部門認可這些制度和流程的說明，查看相關會議紀要、相關文件的傳閱痕跡等；（3）檢查系統開發過程中，相關制度和流程是否得到有效的實施，如是否界定了明確的部門和人員職責，職責劃分是否合理，是否有完整的時間進度管理和財務預算管理，是否要求實施部門定期向信息技術管理委員會提交重大信息技術項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況等；（4）檢查商業銀行制定的制度和流程是否涵蓋了信息系統開發的立項、可行性分析、制定需求、方案設計、程序開發、系統測試、系統驗收、使用培訓、實施操作和維護等各環節。檢查項3：項目控制體系基本要求：（1）商業銀行應制定合理的項目生命周期，加強項目生命周期管理，包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出；（2）應開展對系統需求和技術架構的管理，使系統需求與業務目標保持一致；（3）應當建立一套符合質量管理標準的質量控制體系，有效控制開發質量；（4）應根據項目風險評估，在系統開發過程中落實主要風險點的風險控制措施；（5）系統開發環境與運行環境應當分離，包括網絡分離、設備分離、數據分離、人員分離等，防止開發活動對業務運行環境造成風險；（6）系統開發過程中應進行必要的安全控制，應對源代碼進行有效管理，對程序源代碼進行嚴格的審查，不應留有“后門”，即不應以維護、支持或操作需要為借口，設計有違反或繞過安全規則的任何類型的入口和文檔中未說明的任何模式的入口。檢查方法、步驟：（1）檢查銀行是否有信息系統生命周期管理制度，是否有項目生命周期管理流程和記錄；（2）檢查系統需求和技術架構的評估文檔，看系統需求與業務目標是否保持一致；（3）詢問系統開發部門負責人，銀行是否建立了系統開發質量控制體系，調閱其項目質量控制標準、代碼編寫規范（軟件）以及質量控制檢查和監督的記錄；（4）檢查是否有項目需求和計劃的風險評估以及業務的風險點分析,是否有對業務操作環境（如人員素質、操作場所等環境）的相關風險分析，是否有對項目延期的風險、項目進程中發現的風險、項目外包的風險等關鍵控制點制定風險控制措施，是否有風險控制措施的落實記錄和監督記錄；（5）檢查系統開發環境和運行環境是否分離，網絡是否有效隔離，設備是否獨立于生產系統，開發人員是否接觸生產系統，開發過程中是否使用了生產數據,使用的生產數據是否得到高級管理層的批準并經過脫敏或相關限制；（6）檢查系統開發過程中，是否進行安全控制，是否對源代碼進行有效管理和嚴格的審查，系統所有入口是否都經過安全規則的控制，并在系統開發文檔中全部注明。檢查項4：系統開發的操作風險基本要求：商業銀行應當加強對開發隊伍的管理，合理選擇具備相當專業知識和技術水平的項目經理，并應對技術人員，尤其是外來技術人員的開發行為加強管理，對于外包開發與合作開發的開發方應進行充分調研分析，以保證系統的可靠性；應當加強信息技術項目文檔管理和文檔版本控制；銀行信息技術開發部門應當加強對開發過程的檢查，確保開發目標的實現。對以外包和合作開發為主進行信息系統開發建設的銀行機構，應特別重視對外來技術人員的開發行為加強管理，對于外包開發與合作開發的開發方應進行充分調研分析，以保證系統的可靠性。檢查方法、步驟：（1）詢問商業銀行對項目開發經理的知識水平要求，查看部分項目開發經理的資信歷史、資格證書、從業經歷的調查記錄；（2）對于外包開發與合作開發的項目，詢問項目管理成員，開發方是否在業內有過針對客戶的不良紀錄,商業銀行是否有對開發方技術實力與人力資源充分性進行分析；（3）檢查是否制定了文檔管理規范制度，查看項目開發設計、源代碼、技術使用和運行維護說明書、用戶使用手冊，風險評估報告等項目文檔管理是否符合規范，是否進行了文檔的版本控制；（4）檢查銀行是否有系統開發過程的檢查記錄，是否對系統完整性、惡意代碼和后門程序進行了檢查。檢查項5：數據繼承和遷移基本要求：信息系統升級變更，應特別重視對歷史數據的繼承和遷移。應合理規劃數據結構，并進行數據兼容性分析，防止因兼容性不夠而造成歷史數據的無法使用和繼承，進而影響業務生產和客戶利益。信息系統升級變更前，應制訂詳細的數據遷移計劃，并提前進行數據遷移測試和數據有效性、兼容性驗證。商業銀行應制定并落實相關制度、標準和流程，確保信息系統開發、測試、維護過程中數據的完整性、安全性和可用性。檢查方法、步驟：（1）檢查是否進行新舊系統業務數據兼容程度分析，并形成書面報告；（2）檢查業務系統上線前，是否制訂詳細的數據遷移計劃，數據遷移計劃是否嚴密；（3）檢查業務系統上線或升級前，是否進行過數據遷移測試和數據有效性、兼容程度驗證；有數據移植時，檢查是否針對新舊系統中被移植部分數據的一致性進行過驗證，對數據調整時，是否對調整過程進行了完整記錄并由相關人員簽字；（4）檢查是否制定了相關制度、標準和流程，以保證信息系統開發、測試、維護過程中數據的完整性、安全性和可用性。4.2系統測試與上線充分的系統測試和周密的上線程序是保障系統正常穩定運行的重要環節，商業銀行應該確保充分的系統測試和具備完善系統上線程序的管理，以確保系統的測試結果是可信的，上線流程是完善的。通過對相關制度、流程和程序的檢查，分析商業銀行在系統測試和上線過程是否存在缺陷，從而對各系統做出合理的評估，避免系統測試不充分上線，或上線程序不周密，導致系統風險，造成損失。檢查項1：系統測試基本要求：商業銀行應為所有的主要變更建立充分的測試體系（如：系統單元測試、系統集成測試、系統驗收測試、用戶測試、預演、數據轉換的驗證、平行測試等）以保證系統測試的完整和充分；商業銀行應建立完善的測試團隊，并確保測試工作的公正性和獨立性；應當確保充分，完整的系統測試；測試環境應與生產環境相隔離；應當對信息系統功能進行充分測試，保障系統功能與業務目標一致；應當對信息系統進行非功能測試，保證系統的兼容性、可靠性、通用性、安裝的可操作性，防范在信息系統性能峰值情況下發生的問題。系統變更應建立回滾變更的程序，以便于在發生問題的情況下可以恢復到原始的程序、系統配置和數據，在變更遷徙到生產環境前應進行回滾程序的試運行，以保證回滾程序是有效、可靠的。系統測試過程中應對測試的情況進行規范的記錄，最終形成測試文檔并進行分析。檢查方法、步驟：：1）檢查系統變更的測試報告，分析測試內容和測試步驟是否完整，測試用例是否充分涵蓋所有業務場景；（2）調閱測試團隊人員清單，分析測試團隊人員角色、知識水平等是否充分，詢問相關負責人通過哪些措施保證測試團隊的公正性和獨立性；（3）調閱測試方案、測試用例、測試記錄等，分析銀行的測試方案是否完善，測試計劃是否完整，測試環境是否與生產環境相隔離，測試用例是否充分，測試用例是否有生產數據，當使用生產數據測試時是否得到高級管理層的審批并采取相關限制及進行脫敏處理，測試執行情況記錄是否完整，查看是否有對充分測試的審核報告；（4）調閱功能測試記錄，查看系統功能測試結果是否與業務需求一致；（5）調閱非功能性測試報告或記錄（非功能測試技術主要包括：配置和安裝測試、兼容性和互操作性測試、文檔和幫助測試、錯誤恢復測試、性能測試、可靠性測試、保密性測試、壓力測試、可用性測試、容量測試），分析測試用例是否充分，測試結果是否與業務需求一致；（6）檢查是否建立系統變更的回退程序，是否有回退程序的測試或試運行成功的記錄；（7）調閱系統測試報告，檢查系統測試過程中是否對測試的情況進行規范的記錄，是否形成測試文檔；對測試過程是否進行分析，并提出相應修改意見。檢查項2：系統驗收基本要求：商業銀行應當在系統發布前對測試過程進行充分審查，防止未經充分測試的系統上線運行；應當在系統發布前對系統交付物的完整性進行檢查，以及對代碼進行檢驗；對打包銷售的系統，應要求其提供充分可靠的測試證明，并進行代碼審查；應當對系統進行一段時間的試運行，及時發現試運行中存在的問題，改正后方可正式上線。檢查方法、步驟：（1）調閱系統驗收記錄和測試質量的評估報告，檢查系統發布前商業銀行是否對測試的過程和有關測試充分進行了審查并對測試質量進行了評估；（2）查看驗收記錄中是否對系統交付物的完整性進行了檢查，檢查的內容還應該包括軟件發布計劃、操作手冊和應急預案等文檔；（3）檢查打包銷售的軟件是否有完整的、充分的和可靠的測試報告，是否有對軟件代碼的審查記錄，特別是對秘密信道及特洛伊木馬程序審查；（4）檢查是否有完整的試運行報告、試運行記錄、系統錯誤修正記錄等，查看系統的試運行是否通過。檢查項3：投產上線基本要求：商業銀行應重視信息系統的投產上線工作，做到以下幾點：（1）包括用戶需求書、功能說明書、設計說明書、技術與業務操作手冊等在內的所有文檔資料在上線前應正式歸檔保管；（2）投產上線所用的系統生產環境已經建立并經驗收測試證明有效；（3）清除投產上線用的系統生產環境中的驗收測試數據（另行安排生產環境除外）；（4）完成投產上線計劃書、上線操作手冊、回退操作手冊并經驗證；（5）有數據移植時還需對新舊系統中被移植部分數據的一致性進行驗證，對數據調整時應對調整過程完整記錄并請相關人員簽字；（6）已對運行人員、業務管理人員、業務操作人員進行了培訓，開發人員與運行維護人員已經完成了職責移交。檢查方法、步驟:（1）檢查文檔資料管理系統，確認與該信息系統有關的各類文檔資料已經正式歸檔保管，納入生產系統文檔資料管理范圍；（2）與業務和技術人員訪談，了解投產上線的完整過程，判斷投產上線用的環境是否在啟用時已經驗證有效、測試業務數據得到完全清理、被移植到生產環境的數據與在原環境中數據保持一致性；（3）與運行人員和開發維護人員訪談，了解在投產時，運行人員是否熟悉運行操作，維護人員是否接管維護職責，從而判斷是否實行崗位分離和存在操作風險。4.3系統下線商業銀行應對系統下線按規范流程妥善處理，確保下線系統敏感數據的安全性和完整性。檢查項1：系統下線基本要求：商業銀行應當關注系統下線工作，并做到以下幾點：（1）下線前，應當做好充分的論證，證明該信息系統的功能已經失效或已有其它系統替代；（2）系統下線應有下線計劃和操作手冊；（3）確保信息系統的環境數據、客戶數據和交易數據保存一定時間，并繼續實施安全管理；（4）在對信息系統設備留作他用、出賣或銷毀時，應當對其中的信息進行刪除等處理，整個過程應記錄。檢查方法、步驟:（1）調閱文檔資料管理系統，確認是否有下線計劃和操作手冊并對整個過程進行記錄；（2）與技術人員訪談并現場抽查部分退出使用的設備，確認系統下線后對應該保留的信息是否進行了有效的的保管，該刪除的信息是否得到了徹底銷毀。

6.系統運行管理6.1日常管理商業銀行應將信息技術運行與系統開發和維護分離，確保信息技術部門內部的崗位制約，并且應從錄用前、任職期間、離職全過程對科技人員進行管理，以確保員工充分了解其責任、能夠嚴格遵守機構的信息安全方針、并確保員工離職后不對本機構造成損失。檢查項1：職責分離基本要求：商業銀行應將不相容崗位實現職責分離，以降低未授權訪問、無意識修改以及故意犯罪給機構帶來損失的機會。其目標是做到在未授權或未被監測時，個人不能擅自訪問、修改或使用機構信息資產，并做到事件的啟動與其授權相分離。檢查方法、步驟：（1）訪談科技部門負責人及信息技術風險審計負責人，判斷該機構哪些職責應實現分離。開發與日常維護、業務與后臺管理必須實現分離；（2）調取該機構崗位職責及人員名單，驗證不相容崗位是否實現了分離，是否存在崗位分離但人員兼崗的現象；（3）抽取部分應用系統，從系統中取得操作系統用戶清單、數據庫用戶清單、應用系統用戶清單以及開發測試系統的相應清單，驗證是否存在事實上的兼崗現象，是否存在開發人員在生產系統中存在賬戶的現象。檢查項2：值班制度基本要求：商業銀行應制定信息技術運行7*24小時值班制度，每班值班人員不能少于2人，并確保值班人員專人、專職，不能兼任系統維護人員及開發人員。值班人員應對系統運行情況進行全面監控，運行記錄應完善、詳實。檢查方法、步驟：（1）通過調閱信息技術部門崗位、人員名單，確認值班人員是否為專人、專職，是否兼任維護及開發職能；（2）調閱值班監控登記簿，確認是否能夠做到24小時值班，運行監控記錄是否完善、詳實，是否存在無運行監控記錄的日期；（3）通過調閱值班室視頻記錄，驗證能否做到雙人在崗。檢查項3：操作管理基本要求：商業銀行應制定詳盡的信息技術運行操作程序。如在信息技術運行手冊中說明值班人員的任務、執行步驟，以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求（備份的頻率、范圍和保留周期），嚴禁值班人員脫離文檔對生產環境進行操作。檢查方法、步驟：（1）到數據中心實地查看，驗證值班室是否保存有較為完整的操作手冊；（2）對比值班人員職責，驗證值班室的操作手冊能否完整覆蓋值班人員的職責；（3）通過調閱值班室視頻記錄，驗證是否存在值班人員脫離文檔操作的現象。檢查項4：人員管理基本要求：（1）商業銀行應根據相關法律、法規要求，對所有求職者進行背景驗證檢查，該檢查應與業務要求、接觸信息的類別及已知風險相適應；（2）商業銀行應加強對員工的管理，盡可能減少由于人員因素引起的安全風險，加強對員工的安全培訓，培養員工的安全意識，使其了解所承擔的責任和義務，并在日常工作中認真貫徹機構的信息安全方針；（3）商業銀行應確保員工離職過程的有序性，并確保其歸還所有設備，及時取消其對系統及信息的訪問權限。組織內部職責和工作變化后應及時調整系統權限。檢查方法、步驟：（1）錄取過程驗證。選取部分關鍵崗位人員名單并調閱其錄取過程的文檔，驗證錄取前是否查驗了以下內容：（a）申請人的履歷；（b）相關學歷、資質；（c）身份證件；（d）其他細節，例如信用卡記錄或犯罪記錄;（2）錄取條件驗證。調閱商業銀行與錄取員工簽署的錄用合同，驗證是否包括以下內容：（a）是否簽署保密協議；（b）員工需遵守的法律職責，例如知識產權保護等；（c）與員工有關的信息保護與資產管理職責；（d）員工違規所要承受的懲罰；（3）管理職責驗證。調閱銀行機構有關安全管理的文件，驗證其是否明確定義定義了員工的信息安全責任，并確保員工了解；（4）信息安全培訓驗證。調閱商業銀行對員工所進行的有關安全的培訓，驗證商業銀行是否定期就本單位信息安全方針、制度等內容對員工進行培訓，并通過查閱培訓記錄確認員工均參加了培訓；（5）懲戒過程驗證。調閱商業銀行有關安全管理的文件，驗證其是否就員工違規行為的后果作出規定，并通過訪談、查看記錄等多種方式驗證相關懲戒制度是否得到執行；（6）驗證是否及時撤銷訪問權限。調閱商業銀行相關制度，驗證是否明確了員工離職、調離、崗位變換等情況下應執行的相關操作程序。調閱部分離職人員名單并抽查部分業務系統，驗證相關人員的訪問權限已得到及時刪除、更改；驗證是否及時歸還信息資產。調閱商業銀行相關制度，驗證是否就員工離職、調離、崗位變換等情況所應歸還的信息資產做出明確定義。調閱部分離職人員名單及相關離職手續，驗證相關人員的信息資產已得到及時歸還。6.2訪問控制策略商業銀行應加強對物理設施、數據、信息系統以及業務過程的訪問控制管理。檢查項1：物理訪問控制策略基本要求：商業銀行應將關鍵或敏感的信息處理設施放置在安全區域內，并受到安全邊界的保護，安全邊界應包括入口控制，以避免未授權訪問、損壞和干擾，商業銀行應該根據物理安全區域的重要性進行分級管理，按照重要性的風險程度提供相當的保護。檢查方法、步驟：（1）調閱其物理（例如機房）訪問控制策略，驗證其是否包括以下方面：（a）訪問控制權限定義，對禁止在物理安全區域內開展的活動進行限定；（b）訪問控制授權過程；（c）訪問記錄；（d）控制策略定期更新規定；（2）抽查部分訪問控制登記薄，驗證以下信息：（a）是否記錄訪問者進入和離開的日期、時間和事由，所有的訪問者應予以監督，訪問者只能訪問特定的、已授權的目標，并應向其宣布關于該區域的安全要求和應急程序說明；（b）通過觀察或調閱錄像，驗證所有訪問者是否都佩戴某種形式的可視標識；（c）驗證第三方支持人員是否只有在需要時才能有限制的訪問安全區域或敏感信息處理設施，這種訪問是否被授權并全程監督；（d）調閱訪問權限修改記錄，驗證是否定期審閱權限的變化；（e）選取部分離職人員名單，驗證是否依然存在于已授權人員名單內；（f）隨機調取進出錄像，驗證進出人員是否在登記簿中進行過登記；（3）驗證是否有門禁系統，不同區域間是否通過門禁分割，門禁是否有記錄，對電子門禁卡的授權、發放和注銷是否有明確規定。檢查項2：邏輯訪問控制策略基本要求：商業銀行的訪問控制策略應清晰的描述每個用戶或一組用戶的訪問控制規則和權力，需要對訪問控制策略有清晰的描述并告知其使用者。檢查方法、步驟：（1）調閱其信息系統訪問控制策略，驗證其是否包括以下方面：（a）各個業務系統的安全要求；（b）數據的分類與授權策略；（c）不同系統和網絡的訪問控制策略與數據分類策略的一致性；（d）訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；（e）訪問要求的正式授權要求；（f）訪問控制的周期性評審要求；（g）訪問權力的取消；（2）驗證商業銀行訪問控制策略是否考慮了以下方面：（a）是否區分了必須強制執行的規則和有條件執行的規則；（b）是否建立在“未經允許，一律禁止”的基礎之上，而不是“未經禁止，一切允許”。檢查項3：賬號及權限管理基本要求：商業銀行的業務系統應保證只有經授權的用戶才能訪問，防止非授權訪問。應建立正式的程序來控制對信息系統和服務的訪問權限的分配，這些程序應涵蓋用戶生存周期的各個階段（從新用戶注冊到用戶注銷，例如賬號申請流程、賬號注冊流程、賬號變更流程、賬號注銷流程），應特別注意對特權用戶的分配。檢查方法、步驟：（1）抽查商業銀行部分重要應用系統，通過調閱用戶清單和實際員工名單，核實以下問題：（a）用戶是否使用唯一ID；（b）檢查用戶所擁有的權力是否與其工作職責相適應；（c）是否有用戶授權的書面文件；（d）離職或職位變更的用戶是否立即在信息系統中對權限進行調整；（e）是否周期性檢驗系統中的多余ID；（f）確保不發放多余的ID;（2）核實其特權用戶的管理。（a）通過訪談了解每個系統所必須賦予的特權用戶；（b）是否存在分配特權用戶的授權過程及其記錄；（c）驗證銀行應用程序是否必須要特權用戶才能運行；（d）特權用戶應避免分配給業務人員;（3）驗證其口令管理。（a）是否制定有內部口令管理規定，保證口令有一定強度及不易破解；（b）是否以安全方式將初始口令給予用戶，避免用于第三方或不受保護（明文）電子郵件中；（c）口令不能以不受保護的形式存儲在計算機系統內；（d）用戶是否迅速改變默認口令;（4）用戶訪問權限的評審。（a）是否定期（不能超過半年）和在任何變更之后（提升、降級、終止工作），對用戶訪問權限進行評審；（b）用戶的工作崗位發生變化，應重新評審和分配用戶的訪問權限；（c）以更加頻繁的時間間隔評審特權用戶的授權；（d）特權賬戶的變更應在周期性評審時記入日志。檢查項4：用戶責任及終端管理基本要求：商業銀行應加強對職工的安全培訓，使其充分意識到自身所承擔的信息安全責任，加強安全意識，特別是關于口令的使用和設備安全的職責。遠程接入用戶應當加強對客戶端的安全防護，防止未授權用戶非法使用客戶端進行遠程接入。檢查方法、步驟：（1）驗證最終用戶口令的使用。抽取部分用戶，驗證其密碼是否存在以下現象:（a）是否使用保密口令；（b）是否未經批準保存了口令副本；（c）是否在有跡象表明口令可能受到損害時變更口令；（d）口令是否具有一定的復雜性（不能基于別人易于猜出的信息、不容易遭到字典攻擊、避免連續相同的字符或全數字、全字母）；（e）系統是否能提醒并強制性要求用戶定期或以訪問次數為基礎變更口令（特權用戶應比常規口令更頻繁的進行更改），并且避免重新使用舊口令或周期性使用舊口令；（f）是否在初次登錄時更改臨時口令；（g）是否在任何自動登錄過程中（例如以宏或功能鍵）包含口令；（h）是否存在個人用戶共享口令現象；（i）是否在不同業務系統中使用相同口令;（j）登錄帳號若一段時間不使用，系統是否能自動鎖定帳號；（k）系統是否對密碼反復嘗試錯誤的次數進行了限制；（2）驗證無人值守設備的保護情況。（a）用戶離開時，是否終止有效會話，或利用一種合適的鎖定機制保障安全（例如有口令的屏保程序）；（b）當不使用設備時，利用帶鑰匙的鎖或等價措施來保護PC或終端不被未授權使用;（3）桌面和屏幕清空策略。（a）當無人值守時，計算機和終端用戶應注銷或使用口令、令牌或類似的用戶認證機制對屏幕和鍵盤進行保護；（b）應防止復印機、掃描儀、數字相機的未授權使用；（c）包含敏感或分類信息的文件應立即從打印機中清除。檢查項5：遠程接入的控制基本要求：商業銀行應加強對遠程接入的管理，只有在安全和控制措施到位并符合組織安全策略原則的情況下，才能授權遠程工作活動。遠程工作場地應防止設備和信息被盜、未授權泄露信息、遠程訪問濫用。遠程工作應由管理層授權和控制。檢查方法、步驟：調閱相關遠程訪問管理制度和相關訪問記錄，驗證以下內容:（1）通信是否安全，是否遠程訪問了內部敏感信息；（2）遠程訪問人員的家人、朋友是否有可能未授權訪問信息資源；（3）遠程訪問的網絡環境是否使用無線網絡；（4）訪問過程中是否有防病毒軟件和防火墻保護；（5）遠程訪問是否每次都有相應的授權記錄；（6）遠程訪問是否保存有用于事后審計的日志資料；（7）當遠程工作活動停止時，是否及時撤銷授權；（8）是否對客戶端連接服務進行訪問時間段限制；（9）客戶端在登錄前是否顯示警告信息，描述未授權的訪問可能導致的后果。6.3日志管理商業銀行應按照有關法律法規要求保存交易記錄，采取必要的程序和技術，確保存檔數據的完整性，滿足安全保存和可恢復的要求。檢查項1：審計日志檢查基本要求：商業銀行應記錄用戶活動以及信息安全事件日志，并按照約定的期限進行保留，以支持將來的調查和訪問控制審查。檢查方法、步驟：調閱商業銀行相關審計及交易日志，驗證其是否包含以下內容:（1）用戶ID；（2）日期、時間和關鍵事件的細節，例如登錄和退出；（3）終端用戶身份或位置；（4）成功和被拒絕的對系統的訪問記錄；（5）成功和被拒絕的對數據以及其他資源的訪問記錄；（6）系統配置的變化；（7）特權的使用；（8）系統工具和應用的使用；（9）訪問的文件和訪問類型；（10）網絡地址和協議；（11）訪問控制系統引發的報警；（12）防護系統的激活和停用，例如防病毒系統和入侵檢測系統。檢查項2：日志信息的保護基本要求：商業銀行應保護日志設施和日志信息免受破壞和未授權的訪問，以確保日志的可恢復。檢查方法、步驟：（1）調閱商業銀行日志信息，驗證是否存在以下情況:（a）日志信息被編輯或刪除；（b）日志保存介質耗盡，或者不能記錄事件以及自身覆蓋重寫。（2）調閱商業銀行日志恢復記錄，檢查日志是否能夠順利恢復，對于不能恢復的情況，是否進行了必要的跟進。檢查項3：操作日志的檢查基本要求：商業銀行應記錄系統管理員和系統操作員的活動。系統管理員和操作員日志須定期評審。檢查方法、步驟：（1）調閱商業銀行日志信息，驗證是否存在以下信息:（a）事件（成功的或失敗的）發生的時間；（b）關于事件（例如處理的文件）或故障（發生的差錯和采取的糾正措施）的信息；（c）涉及的賬號和管理員或操作員；（d）涉及的過程;（2）調閱日志審查記錄，核實相關日志是否被定期評審。檢查項4：錯誤日志的檢查基本要求：商業銀行應記錄并分析錯誤日志，并采取適當的措施。檢查方法、步驟：調閱商業銀行錯誤日志，驗證是否完整的記錄信息處理、應用系統以及通信系統的問題，對于所記錄的故障應有明確的處理。主要包括:（1）評審故障日志，確保已滿意地解決故障；（2）評審糾正措施，以確保控制未被損害，并對所采取的動作予以充分授權；（3）日志的分析應由能夠勝任的職員進行。6.4系統監控商業銀行應建立連續監控基礎環境、信息系統性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統性能造成影響前對其進行識別和修正。檢查項1：基礎環境監控基本要求：商業銀行應建立IT基礎環境（如溫濕度、消防、防水、空調、電力）監控機制，加強日常巡檢，確保記錄清晰、分析及時，能夠及時發現基礎環境出現的問題并采取及時、適當措施進行處置。檢查方法、步驟：（1）調閱商業銀行基礎環境監控相關制度，驗證商業銀行是否建立了相關制度，相關制度是否明確規定了基礎環境監測相關內容;（2）調閱商業銀行日常巡檢登記簿，驗證商業銀行是否按照相關制度嚴格進行監控、登記簿登記內容是否完整;（3）調閱商業銀行故障記錄，并對比日常巡查登記簿，驗證該行是否能夠及時發現基礎環境中出現的問題；（4）通過實地查看，檢查商業銀行IT基礎環境是否滿足要求。檢查項2：系統性能監控基本要求：商業銀行應建立系統性能（如網絡、主機等）監控機制，通過人工與自動化監控系統相結合方式加強日常巡檢，確保記錄清晰、分析及時，能夠及時發現系統性能出現的問題并采取適當處置措施。檢查方法、步驟：（1）調閱商業銀行系統性能監控相關制度，驗證商業銀行是否建立了相關制度，相關制度是否明確規定了系統性能監測相關內容;（2）調閱商業銀行日常巡檢登記簿，驗證商業銀行是否按照相關制度嚴格進行監控、登記簿登記是否完整;（3）實地查看監控系統，驗證其監測內容是否完善，監控指標能否完整反映線路質量、通信設備的處理能力和網絡服務質量，如誤碼率、主機的CPU、內存、端口的使用率、吞吐量、傳輸和時延、響應時間等指標；（4）通過查詢商業銀行系統故障記錄驗證監控的有效性。商業銀行應當能夠在監測到性能異常時及時產生告警，及時確定當前系統中哪些部件的性能正在下降或已經降低，哪些部件在滿負荷或超負荷運行;（5）參照事件管理處置流程，驗證商業銀行在監測到系統性能異常后能否及時處置。檢查項3：系統運行監控基本要求：商業銀行應建立應用系統運行狀況（如交易系統、渠道系統等）監控機制，通過人工與自動化監控系統相結合方式加強日常巡檢，確保記錄清晰、分析及時，能夠及時發現系統性能出現的問題并采取適當措施進行處置，確保對業務的影響降低到最小。檢查方法、步驟：（1）調閱商業銀行應用系統監控相關制度，驗證商業銀行是否建立了相關制度，相關制度是否明確定義了應用系統監測內容;（2）調閱商業銀行日常巡檢登記簿，驗證商業銀行是否按照相關制度嚴格進行監控、登記簿登記是否完整;（3）實地查看監控系統，驗證其監測內容是否完善。監控指標能否完整反映系統運行狀態、并發用戶數量、異常交易等;（4）實地查看數據中心網管工作站、系統性能監視屏、系統資源監視屏、會話連接監視屏、應用錯誤監視屏是否有專人負責監控;（5）通過查詢商業銀行系統故障記錄驗證監控的有效性。商業銀行應當能夠在監測到應用中斷等異常時及時產生告警;（6）參照事件管理處置流程，驗證商業銀行在監測到應用異常后能否及時處置。檢查項4：測評體系基本要求：（1）商業銀行應制定主機設備維護指標考評體系，指標考評體系應當至少包括以下內容:（a）主機設備的平均無故障運行時間；（b）主機設備的故障修復時間；（c）主機設備的故障恢復時間；（d）主機設備的故障發生率（次數和頻度）；（e）對設備發生故障的類型統計；（f）評估主機設備故障對業務連續性的影響；（g）主機設備廠商的技術支持提供能力;（2）商業銀行應當指定人員負責監督和執行該考評體系；（3）考評的結果應當至少反映到對主機設備供應商的選擇。檢查方法、步驟：（1）調閱商業銀行相關文檔，驗證是否建立了針對系統運行的測評體系;（2）調閱該行測評文檔，驗證測評內容是否覆蓋到上述基本要求的內容;（3）通過訪談及文檔查閱，驗證針對測評指標不達標的方面是否進行了及時處置;（4）驗證是否指定人員負責系統測評考核工作。6.5事件管理事件(Event)可被定義為任何可察覺和可識別的、對IT基礎設施管理或者IT正常服務造成影響的現象。事件管理的目標是在最短的時間內，在盡可能小地影響業務服務的情況下，盡快恢復信息系統正常服務，并記錄事件及處理過程。檢查項1：事件報告流程基本要求：商業銀行應建立信息系統事件報告、應答和分類機制，在接到事件報告后立即采取措施，并按照相關制度及時通知相關方。檢查方法、步驟：調閱商業銀行有關事件的管理制度，查看歷史事件處置記錄，驗證是否實現以下要求:（1）事件發生后采取正確的行為：（a）立即記錄下所有重要細節（如沖突類型、發生的故障、屏幕上的信息、異常行為等）；（b）自身不要采取任何行動，立即依照商業銀行事件處理流程向相關聯系人報告；（c）如符合重大事件管理規定等文件規定的情況，立即向銀監會等機構進行報告；（2）事件的報告清楚、完整的記錄下事件中的所有行為；（3）采取合適的反饋機制，以確保在事件處理完成后，能夠將處理結果通知事件報告方及相關方。檢查項2：事件管理和改進基本要求：商業銀行接到信息系統事件的報告后，應立即明確責任，按照規程進行有效處理，并制定一個連續的改進過程對事件進行響應、監視、評估和總體管理。檢查方法、步驟：（1）調閱商業銀行相關事件管理規定及流程，驗證是否建立了合適的機制以處理不同類型的信息系統突發事件。包括：（a）信息系統服務中斷；（b）惡意代碼；（c）拒絕服務攻擊；（d）不完善或不準確的業務數據導致的錯誤；（e）違背保密性和完整性的行為；（2）驗證相關規定和流程是否還包括以下方面：（a）事件原因的分析和確認；（b）遏制事件再次發生的策略；（c）向銀監會等政府機關報告發生的行為；（3）調閱商業銀行歷史事件處置記錄，驗證是否收集、保護審計蹤跡和類似的證據以應用于：（a）內部問題分析；（b）用作將來的司法證據；（c）同軟件和服務供應商談判賠償時使用；（4）調閱信息系統安全事件報告制度和處理流程規定，查看是否對信息安全管理部門和信息技術人員進行過職責劃分，職責劃分是否清晰；（5）與信息安全管理人員座談，了解是否進行過信息系統安全事件應急響應流程演練，是否知曉演練內容和要求；（6）調閱信息系統安全事件報告制度和處理流程規定，查看演練內容、流程和頻度是否符合信息安全制度的要求；（7）審計部門是否對信息系統安全事件響應演練進行過審計評估。信息安全管理部門是否根據審計結果進行過整改。檢查項3：服務臺管理基本要求：商業銀行應當建立信息技術服務臺，為行內用戶提供所有技術相關問題的在線支持，并將問題提交給相關信息技術職能部門進行調查核實解決。接到事件報告后，服務臺應對事件進行響應、過濾、記錄、合理分類，對服務臺能夠處理的事件進行及時處置，將其他事件及時分發給后臺技術支持部門。檢查方法、步驟：（1）調閱相關文檔并詢問相關人員，驗證商業銀行是否建立了服務臺及管理制度；（2）調閱服務臺管理制度并詢問工作臺工作人員，驗證該服務臺是否為該行IT部門提供的唯一事件受理渠道；（3）調閱服務臺事件登記記錄，驗證該服務臺是否對所受理的所有事件均進行了詳細記錄（事件發生時間、報告人、事件描述、處理記錄等）；（4）根據抽樣規則選取部分事件記錄，通過訪談事件報告人和最終處理人驗證服務臺受理是否及時、任務分發是否及時合理。6.6問題管理商業銀行應加強對事件的管理，定期組織人員對事件進行評估、分析，對有共源性的事件升級到問題管理流程。商業銀行應建立問題管理臺帳，以確保全面地追蹤、分析和解決信息系統問題，及時組織相關人員分析問題發生的根源，從根本上消除問題。檢查項1：事件分析和問題生成基本要求：商業銀行應定期對信息系統事件進行分類、評估、分析，制定事件管理升級為問題管理的規章制度，對有共源性的事件及時升級到問題管理流程。檢查方法、步驟：（1）調閱商業銀行相關文檔，驗證該行是否制定了完善的事件管理升級為問題管理的標準；（2）調閱商業銀行事件管理登記表及詳細記錄，驗證該行是否能夠按照相關規定及時將事件管理升級為問題管理流程。檢查項2：臺賬管理基本要求：商業銀行應制定完善的問題管理制度，并建立問題管理臺賬，對問題的整個生命周期進行管理。檢查方法、步驟：（1）調閱商業銀行相關文檔，驗證該行是否制定了完善的問題管理制度；（2）調閱商業銀行問題管理記錄，驗證該行是否建立了問題管理臺賬，臺賬是否記錄了問題處理的全過程。檢查項3：問題處置基本要求：對信息系統問題，商業銀行及時組織相關人員分析問題發生的根源，從根本上消除問題。檢查方法、步驟：（1）約談商業銀行事件管理人員，了解該行是否能夠及時對信息事件進行分析、評估；（2）根據抽樣規則抽取部分檢查人員認為應當升級為問題管理流程的事件，驗證該行是否及時將事件升級為問題管理；（3）查證事件管理記錄，驗證升級為問題管理流程并經過處置的信息事件是否再次發生，從而證明問題解決的有效性。6.7容量管理商業銀行應通過預先的規劃和準備，確保提供足夠的容量和資源可用性以保證業務系統持續運行。對于每一個新的和正在進行的活動來說，應識別容量需求，應對系統進行監視以確保必要時調整系統容量，確保系統的可用性和效率。未來容量的需求應綜合考慮新業務對系統的要求、當前狀況和未來趨勢。檢查項1：容量規劃基本