目錄/提綱:……
一、檢查依據(jù)
二、檢查原則和方法
(一)檢查原則
(二)檢查方法
三、檢查內(nèi)容
(一)信息科技治理
(二)信息科技風(fēng)險管理
(三)信息安全
(四)信息科技運行
(五)業(yè)務(wù)連續(xù)性管理
(六)外包管理
(七)硬件系統(tǒng)
四、相關(guān)要求
……
銀行信息科技風(fēng)險檢查方案
為進(jìn)一步落實監(jiān)管部門的風(fēng)險防控要求,全面掌握和評估信息科技運行及管理現(xiàn)狀,保障信息系統(tǒng)安全、穩(wěn)定運行,按照監(jiān)管部門信息科技風(fēng)險監(jiān)管工作要求,省聯(lián)社決定開展信息科技風(fēng)險檢查。為做好此項工作,特制定本檢查方案。
一、檢查依據(jù)
1.《商業(yè)
銀行信息科技風(fēng)險管理指引》;
2.《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》;
3.《中國銀監(jiān)會辦公廳關(guān)于印發(fā)商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引的通知》;
4.《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》;
5.《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》;
6.《**省
農(nóng)村信用社科技工作管理規(guī)定》;
7.《**省農(nóng)村信用社稽核工作暫行辦法》;
8.《**省農(nóng)村信用社信息科技稽核辦法(試行)》;
9.國家相關(guān)金融政策、方針、法律、法規(guī)等以及省聯(lián)社其他與信息科技有關(guān)的文件、制度和規(guī)定。
二、檢查原則和方法
(一)檢查原則
本次抽查是遵循“全面與重點”相結(jié)合原則:一是檢查要覆蓋被查機(jī)構(gòu)的各個層面,包括被查機(jī)構(gòu)理事會及高管層、信息科技“三道防線”職能部門、相關(guān)業(yè)務(wù)部室、基層營業(yè)網(wǎng)點。重點檢查被查機(jī)構(gòu)信息科技“三道防線”職能部門關(guān)于信息科技工作開展情況。二是結(jié)合被查機(jī)構(gòu)信息科技
……(新文秘網(wǎng)http://m.jey722.cn省略831字,正式會員可完整閱讀)……
職情況;
⑨其他需要了解的事項。
(2)通過查閱相關(guān)資料,如理事會、高管層及信息科技委員會會議紀(jì)要,對重大信息科技事項的審批決議的記錄等,對上述信息進(jìn)行驗證。
2.信息科技風(fēng)險管理“三道防線”
(1)訪談該機(jī)構(gòu)分管信息科技工作的領(lǐng)導(dǎo),了解是否信息科技風(fēng)險管理的“三道防線”工作開展情況。
(2)訪談該機(jī)構(gòu)信息科技部門、風(fēng)險管理部門、稽核部門的負(fù)責(zé)人,了解其是否明確本部門在“三道防線”中需要承擔(dān)的角色和職責(zé),以及風(fēng)險管理部門和稽核部門參與信息科技風(fēng)險管理的相關(guān)工作情況。
3.知識產(chǎn)權(quán)保護(hù)和信息披露
(1)調(diào)閱該機(jī)構(gòu)遵守知識產(chǎn)權(quán)法律的相關(guān)制度并審查其內(nèi)容。(如自行采購軟件需制定自身的知識產(chǎn)權(quán)方面制度)
(2)調(diào)閱該機(jī)構(gòu)自行采購的軟件清單,檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。
(3)調(diào)閱該機(jī)構(gòu)有關(guān)信息科技風(fēng)險披露的制度,重點關(guān)注是否及時規(guī)范發(fā)布信息科技風(fēng)險信息。
(二)信息科技風(fēng)險管理
1.訪談風(fēng)險管理部門負(fù)責(zé)人,并調(diào)閱相關(guān)資料了解以下內(nèi)容:
(1)風(fēng)險管理組織架構(gòu)
是否明確信息科技風(fēng)險管理部門并設(shè)置了信息科技風(fēng)險管理崗位;調(diào)閱信息科技風(fēng)險管理策略,檢查是否包含信息科技風(fēng)險報告機(jī)制及流程等;是否對全體員工進(jìn)行持續(xù)的信息科技風(fēng)險教育培訓(xùn)。
(2)風(fēng)險識別和評估
是否開展本機(jī)構(gòu)全面的信息科技風(fēng)險識別、評估工作并針對風(fēng)險評估結(jié)果開展后續(xù)風(fēng)險管理工作;是否將風(fēng)險評估結(jié)果報告管理層,按照管理層要求進(jìn)行風(fēng)險處置;是否評價風(fēng)險對其業(yè)務(wù)的潛在影響,對風(fēng)險進(jìn)行排序,并確定風(fēng)險防范措施及所需資源的優(yōu)先級別。
(3)風(fēng)險防范和檢測
①是否制定明確的信息科技風(fēng)險管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程,并定期進(jìn)行更新和公布;是否制定了信息科技運行風(fēng)險管理策略、訪問控制風(fēng)險管理策略、物理訪問風(fēng)險管理、業(yè)務(wù)連續(xù)性策略。
②是否建立了風(fēng)險信息報告制度;是否建立了風(fēng)險處理流程;是否建立了與風(fēng)險管理部門溝通的機(jī)制,是否具有與風(fēng)險管理部門進(jìn)行溝通的記錄;信息科技風(fēng)險管理培訓(xùn)的內(nèi)容、人員是否合理。
③是否建立了信息科技項目實施前及實施后的評價機(jī)制;是否安排對信息科技外包服務(wù)水平的完成情況進(jìn)行定期審查;是否對銀行和銀行業(yè)面臨的內(nèi)外部信息科技風(fēng)險以及由此引發(fā)的信譽(yù)風(fēng)險、法律風(fēng)險進(jìn)行有效識別和客觀評價評級;是否定期進(jìn)行運行環(huán)境下信息科技操作風(fēng)險和管理控制的檢查;是否建立常態(tài)化的信息科技風(fēng)險監(jiān)測、預(yù)警與處置流程并執(zhí)行。
2.信息科技《非現(xiàn)場監(jiān)管報表》管理情況,調(diào)閱包括年度報表、季度報表和實時報表,以及報送相關(guān)記錄,并訪談相關(guān)填報部門負(fù)責(zé)人,了解以下內(nèi)容:
(1)是否明確《非現(xiàn)場監(jiān)管報表》報送工作的歸口管理部門;
(2)是否明確《非現(xiàn)場監(jiān)管報表》的數(shù)據(jù)提供部門,其職責(zé)是否明確,其與歸口管理部門的協(xié)作關(guān)系是否明確;
(3)是否明確《非現(xiàn)場監(jiān)管報表》報送責(zé)任人和填報人的職責(zé);
(4)是否建立了《非現(xiàn)場監(jiān)管報表》報送管理制度;是否有明確的數(shù)據(jù)采集、填寫、報送的流程;是否發(fā)生過遲報、漏報、瞞報現(xiàn)象;
(5)是否將《非現(xiàn)場監(jiān)管報表》數(shù)據(jù)質(zhì)量及報送情況納入部門和個人績效考核。
(三)信息安全
1.安全管理機(jī)制
(1)檢查科技部門是否落實信息安全管理職能:是否對全體員工進(jìn)行信息安全培訓(xùn);是否定期向上級提交本機(jī)構(gòu)信息安全評估報告等;是否定期召開信息安全保障方面的會議。
(2)是否制訂了詳細(xì)的信息安全制度,至少包括以下內(nèi)容:信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理等。
2.信息安全組織
(1)調(diào)閱科技部門相關(guān)崗位職責(zé)說明文件,檢查是否設(shè)立了安全管理員崗位,并定義職責(zé)。是否限制了安全管理員不能兼任網(wǎng)l管理員、系統(tǒng)管理員等。
(2)檢查是否明確信息安全責(zé)任,并層層簽訂信息安全責(zé)任書。
(3)調(diào)閱信息安全檢查記錄,檢查安全管理員是否定期進(jìn)行安全檢查,檢查結(jié)果是否進(jìn)行及時報告和處理。
3. 信息資產(chǎn)安全
(1)是否對信息資產(chǎn)進(jìn)行了分類;是否制定了信息資產(chǎn)分級標(biāo)準(zhǔn);各類信息資產(chǎn)是否進(jìn)行了登記。
(2)設(shè)備進(jìn)行維護(hù)和更換之前,是否做好相關(guān)的數(shù)據(jù)備份工作;如果是設(shè)備進(jìn)行更換,對于含有存儲信息的設(shè)備是否做好信息消除工作。
4.機(jī)房安全
(1 ……(未完,全文共8539字,當(dāng)前僅顯示2332字,請閱讀下面提示信息。
收藏《銀行信息科技風(fēng)險檢查方案》)