《(风险管理)农发行山东省分行商业银行分支机构信息科技风险快速巡》由会员分享,可在线阅读,更多相关《(风险管理)农发行山东省分行商业银行分支机构信息科技风险快速巡(30页珍藏版)》请在金锄头文库上搜索。
1、商业银行分支机构信息科技风险快速巡查单一、基本信息巡查承担机构:山东银监局信息科技监管处被巡查机构:中国农业发展银行山东省分行巡查目的:巡查负责人:房世晖巡查员:王丽颖巡查日期:2013年4月22日二、巡查方法现场巡查以访谈、实地查看为主,抽样查阅资料、安全测试为辅,其中抽样规则原则上定义为:1.文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的5为抽样基准,也可根据访谈情况做出判定;如出现小数点,以四舍五入取整数;如果计算出的抽样数小于2,则至少取2个样例,如抽样数大于5,则取5个样例;2.设备类、系统类原则上抽样5台(套),同时注意样本分布结构;3.如需对网点进行巡
2、查,网点的巡查数量控制在3家之内,随机抽取。三、巡查内容:第一部分:组织架构1. 信息科技风险“三道防线”是否完整?风险控制部负责整体信息科技风险: 是 否科技部负责信息科技工作日常防范: 是 否审计部承担信息科技审计职能: 是 否备 注(事实依据):巡查方法:访谈需关注的问题(根据需要填写):风险管理部制定了信息科技风险管理职责,但未制定相应的信息科技风险管理策略、制度、操作流程,也未配备具有相应资质的人员。2. 高管层在信息科技工作中履职是否到位? 有主管科技工作的行级领导: 有 无高管层对监管部门的监管制度较为了解: 是 否进行信息科技重大投入决策: 是 否审阅信息科技年度工作报告和工作
3、计划: 是 否审阅信息科技风险评估报告并组织制定风险控制策略:是 否审阅信息科技审计报告并督促整改: 是 否备 注(事实依据): 巡查方法:访谈和抽样需关注的问题(根据需要填写):高管层未组织制定风险控制策略。3. 是否建立完整的信息安全管理组织架构,并正常开展工作?设立信息安全岗位负责机构信息安全的日常管理工作:是 否定期开展信息安全管理开展工作并有相应的文档资料: 是 否制定信息安全责任制度: 有 无员工信息安全职责明确: 是 否备 注(事实依据):巡查方法:访谈和抽样需关注的问题(根据需要填写): 4. 科技岗位设置是否符合规定?信息技术部科室、岗位设置按照总行要求进行: 是 否项目维护
4、人员有角设置: 是 否关键业务操作(如:重要密码输入、重要参数修改等)采用双人进行:是 否信息科技运行与系统开发和维护分离: 是 否备 注(事实依据):信息科技处不承担涉及生产系统的开发。巡查方法:访谈需关注的问题(根据需要填写):1.信息科技处明确了岗位和职责,但由于人员较少,兼岗现象比较突出;重要岗位未制定详细完整的工作手册并适时更新。2.各运维人员共用所维护系统的同一用户、密码,且全部使用超级用户,不能满足最小权限原则。5. 是否进行人员安全管理?招聘新员工时,要求技术人员具备良好的职业道德,并掌握履行信息系统相关岗位职责所需的专业知识和技能: 是 否技术人员未经岗前培训或培训不合格者不
5、得上岗: 是 否经考核不合格的技术人员,及时进行调整: 是 否与重要岗位人员签订保密协议: 是 否当技术人员调离重要岗位时按保密协议对其设置脱密期,并进行审查: 是 否备 注(事实依据):巡查方法:访谈和抽样需关注的问题(根据需要填写):6.制度落实情况如何?以适当的方式将监管部门和上级行的信息科技工作要求传达给所有员工:是 否根据监管部门和上级行的制度要求制订适合实际的操作流程和实施细则:是 否总行或分行对制度的落实情况定期进行检查,有详细的检查报告: 是 否定期对技术人员进行信息安全教育培训,如:防病毒、网络攻击等: 是 否员工熟悉和了解各自岗位的信息安全要求: 是 否备 注(事实依据):
6、巡查方法:访谈和抽样需关注的问题(根据需要填写):未根据商业银行业务连续性监管指引、商业银行信息科技外包风险监管指引、银行业金融机构重要信息系统投产及变更管理办法要求制订适合实际的操作流程和实施细则。7. 是否确保软件产品在授权准许下使用?是 否备 注(事实依据):巡查方法:抽样需关注的问题(根据需要填写):第二部分:机房管理1. 新(改)建机房建设是否符合规定?可行性报告: 有 无向监管部门报告:是 否获得总行的批复:是 否通过有资质的质检部门和消防部门等有关部门的检查验收:是 否按照功能区域实现不同等级的物理分区: 是 否备 注(事实依据):机房近几年内未进行大规模机房新(改)建工作。巡查
7、方法:实地查看和查阅资料需关注的问题(根据需要填写):1. 机房空间较小,功能区域划分不规范;机房存放了带易燃包装盒的库存设备及物品。2.机房布局不合理,进入机房存放空调、UPS等设备的区域,需穿过存放服务器和网络设备的核心区域。2. 机房监控是否有效?电视监控录像的保存时间达到3个月: 是 否监控覆盖哪些重要场所: 主机房 网络机房 电源室运行、监控值班室 中心机房走道 外门部分业务部门的重要机房(银行卡打卡室、SWIFT室)摄像头电源由UPS专线供电: 是 否重要场所监控是否无死角: 是 否备 注(事实依据):巡查方法:实地查看和抽样需关注的问题(根据需要填写):机房内共有3路视频监控,存
8、在盲区;检查时点,其中一路视频监控失效。3. 机房网络布线是否整齐?机柜上方和地板下方用线槽整齐: 是 否机柜内线整理整齐: 是 否机房各类布线贴有标签: 是 否标签内容规范: 是 否标签位置合理: 是 否备 注(事实依据):巡查方法:实地查看需关注的问题(根据需要填写):设备标签内容较为简单。4. 中心机房是否落实值班要求?机房安保24小时值班: 是 否科技部门已安排7*24小时在行值班: 是 否值班人员记录所有可疑故障和实际发生的事故,并同时记录处理过程、处理人、处理时间、影响业务时间: 是 否出入机房已实行审批登记: 是 否机房运行值班人员与开发、维护人员分离:是 否值班人员定期进行巡检
9、: 是 否备 注(事实依据):值班人员对机房的巡检频率是每天两次。巡查方法:访谈和抽样需关注的问题(根据需要填写):机房值班及巡检信息录入“信息技术综合管理系统”(ITMS),但该系统用户权限管理不严格,个人用户可修改已登记信息,且可以查看、修改其他用户的登记信息。5. 机房是否实行门禁管理?制、读卡等门禁管理工作统一管理:是 否生产机房采用门禁系统: 是 否进入生产机房实行书面授权: 是 否外来人员进入机房采取的控制措施:严格授权 专人陪同 固定区域 规定时间 禁止摄影、录像、录音或其他记录设备备 注(事实依据):巡查方法:访谈需关注的问题(根据需要填写):6. 机房是否实行消防安全管理?消
10、防报警系统是否年检并有证书: 是 否配备灭火器并按规定定期检查灭火器材: 是 否定期进行消防演练和培训并保存相关记录:是 否使用何种类型的消防灭火器材(在备注栏填写具体型号)备 注(事实依据):使用七氟丙烷的消防灭火器材巡查方法:访谈和实地查看需关注的问题(根据需要填写):7. 机房照明是否有保障?机房内有应急照明: 是 否应急照明接入UPS: 是 否机房内视频监控的区域有值班照明:是 否视频监控区域值班照明接入UPS: 是 否备 注(事实依据):巡查方法:实地查看需关注的问题(根据需要填写):8. 机房UPS供电是否有保障?机房配电系统为双路供电: 是 否UPS为机房设备供电专用: 是 否供
11、电系统设置防雷击保护装置:是 否UPS配备模式: N+1 2N+1UPS供电范围: 主机系统 网络通讯设备 值班照明 应急照明UPS负载小于有效输出功率的80%:是 否UPS满载后备时间大于30分钟:是 否UPS电池定期放电检测: 是 否UPS有专业公司进行维护保养: 是 否备 注(事实依据):巡查方法:访谈和实地查看需关注的问题(根据需要填写):9. 机房其他供电情况是否可用?发电机功率能保证对机房UPS供电: 是 否发电机定期保养(备注填写本季度保养的时间及内容): 是 否发电机定期进行切换演练: 是 否发电机切换演练有记录: 是 否发电机为机房UPS供电备份专用: 是 否未配备发电机使用其他供电保障措施或方案(备注填写供电保障措施):是 否备 注(事实依据):无自有发电机,租用发电车。巡查方法:访谈和抽样需关注的问题(根据需要填写):10. 机房空调管理是否符合要求?机房温度控制在22左右: 是 否机房湿度在45%-65%: 是 否发电机为机房UPS供电备份专用: 是 否发电机是否为机房空调供电:
