銀行信息科技風險檢查方案

目錄/提綱：……
一、檢查依據(jù)
二、檢查原則和方法
（一）檢查原則
（二）檢查方法
三、檢查內(nèi)容
（一）信息科技治理
（二）信息科技風險管理
（三）信息安全
（四）信息科技運行
（五）業(yè)務連續(xù)性管理
（六）外包管理
（七）硬件系統(tǒng)
四、相關要求
……
銀行信息科技風險檢查方案

為進一步落實監(jiān)管部門的風險防控要求，全面掌握和評估信息科技運行及管理現(xiàn)狀，保障信息系統(tǒng)安全、穩(wěn)定運行，按照監(jiān)管部門信息科技風險監(jiān)管工作要求，省聯(lián)社決定開展信息科技風險檢查。為做好此項工作，特制定本檢查方案。
一、檢查依據(jù)
1.《商業(yè)銀行信息科技風險管理指引》；
2.《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》；
3.《中國銀監(jiān)會辦公廳關于印發(fā)商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引的通知》；
4.《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理規(guī)范》；
5.《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》；
6.《**省農(nóng)村信用社科技工作管理規(guī)定》；
7.《**省農(nóng)村信用社稽核工作暫行辦法》；
8.《**省農(nóng)村信用社信息科技稽核辦法（試行）》；
9.國家相關金融政策、方針、法律、法規(guī)等以及省聯(lián)社其他與信息科技有關的文件、制度和規(guī)定。
二、檢查原則和方法
（一）檢查原則
本次抽查是遵循“全面與重點”相結(jié)合原則：一是檢查要覆蓋被查機構(gòu)的各個層面，包括被查機構(gòu)理事會及高管層、信息科技“三道防線”職能部門、相關業(yè)務部室、基層營業(yè)網(wǎng)點。重點檢查被查機構(gòu)信息科技“三道防線”職能部門關于信息科技工作開展情況。二是結(jié)合被查機構(gòu)信息科技
……（新文秘網(wǎng)http://www.120pk.cn省略831字，正式會員可完整閱讀）……　
職情況；
⑨其他需要了解的事項。
（2）通過查閱相關資料，如理事會、高管層及信息科技委員會會議紀要，對重大信息科技事項的審批決議的記錄等，對上述信息進行驗證。
2.信息科技風險管理“三道防線”
（1）訪談該機構(gòu)分管信息科技工作的領導，了解是否信息科技風險管理的“三道防線”工作開展情況。
（2）訪談該機構(gòu)信息科技部門、風險管理部門、稽核部門的負責人，了解其是否明確本部門在“三道防線”中需要承擔的角色和職責，以及風險管理部門和稽核部門參與信息科技風險管理的相關工作情況。
3.知識產(chǎn)權(quán)保護和信息披露
（1）調(diào)閱該機構(gòu)遵守知識產(chǎn)權(quán)法律的相關制度并審查其內(nèi)容。（如自行采購軟件需制定自身的知識產(chǎn)權(quán)方面制度）
（2）調(diào)閱該機構(gòu)自行采購的軟件清單，檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。
（3）調(diào)閱該機構(gòu)有關信息科技風險披露的制度，重點關注是否及時規(guī)范發(fā)布信息科技風險信息。
（二）信息科技風險管理
1.訪談風險管理部門負責人，并調(diào)閱相關資料了解以下內(nèi)容：
（1）風險管理組織架構(gòu)
是否明確信息科技風險管理部門并設置了信息科技風險管理崗位；調(diào)閱信息科技風險管理策略，檢查是否包含信息科技風險報告機制及流程等；是否對全體員工進行持續(xù)的信息科技風險教育培訓。
（2）風險識別和評估
是否開展本機構(gòu)全面的信息科技風險識別、評估工作并針對風險評估結(jié)果開展后續(xù)風險管理工作；是否將風險評估結(jié)果報告管理層，按照管理層要求進行風險處置；是否評價風險對其業(yè)務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優(yōu)先級別。
（3）風險防范和檢測
①是否制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程，并定期進行更新和公布；是否制定了信息科技運行風險管理策略、訪問控制風險管理策略、物理訪問風險管理、業(yè)務連續(xù)性策略。
②是否建立了風險信息報告制度；是否建立了風險處理流程；是否建立了與風險管理部門溝通的機制，是否具有與風險管理部門進行溝通的記錄；信息科技風險管理培訓的內(nèi)容、人員是否合理。
③是否建立了信息科技項目實施前及實施后的評價機制；是否安排對信息科技外包服務水平的完成情況進行定期審查；是否對銀行和銀行業(yè)面臨的內(nèi)外部信息科技風險以及由此引發(fā)的信譽風險、法律風險進行有效識別和客觀評價評級；是否定期進行運行環(huán)境下信息科技操作風險和管理控制的檢查；是否建立常態(tài)化的信息科技風險監(jiān)測、預警與處置流程并執(zhí)行。
2.信息科技《非現(xiàn)場監(jiān)管報表》管理情況，調(diào)閱包括年度報表、季度報表和實時報表，以及報送相關記錄，并訪談相關填報部門負責人，了解以下內(nèi)容：
（1）是否明確《非現(xiàn)場監(jiān)管報表》報送工作的歸口管理部門；
（2）是否明確《非現(xiàn)場監(jiān)管報表》的數(shù)據(jù)提供部門，其職責是否明確，其與歸口管理部門的協(xié)作關系是否明確；
（3）是否明確《非現(xiàn)場監(jiān)管報表》報送責任人和填報人的職責；
（4）是否建立了《非現(xiàn)場監(jiān)管報表》報送管理制度；是否有明確的數(shù)據(jù)采集、填寫、報送的流程；是否發(fā)生過遲報、漏報、瞞報現(xiàn)象；
（5）是否將《非現(xiàn)場監(jiān)管報表》數(shù)據(jù)質(zhì)量及報送情況納入部門和個人績效考核。
（三）信息安全
1.安全管理機制
（1）檢查科技部門是否落實信息安全管理職能：是否對全體員工進行信息安全培訓；是否定期向上級提交本機構(gòu)信息安全評估報告等；是否定期召開信息安全保障方面的會議。
（2）是否制訂了詳細的信息安全制度，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務連續(xù)性管理、合規(guī)性管理等。
2.信息安全組織
（1）調(diào)閱科技部門相關崗位職責說明文件，檢查是否設立了安全管理員崗位，并定義職責。是否限制了安全管理員不能兼任網(wǎng)l管理員、系統(tǒng)管理員等。
（2）檢查是否明確信息安全責任，并層層簽訂信息安全責任書。
（3）調(diào)閱信息安全檢查記錄，檢查安全管理員是否定期進行安全檢查，檢查結(jié)果是否進行及時報告和處理。
3. 信息資產(chǎn)安全
（1）是否對信息資產(chǎn)進行了分類；是否制定了信息資產(chǎn)分級標準；各類信息資產(chǎn)是否進行了登記。
（2）設備進行維護和更換之前，是否做好相關的數(shù)據(jù)備份工作；如果是設備進行更換，對于含有存儲信息的設備是否做好信息消除工作。
4.機房安全
（1 ……（未完，全文共8539字，當前僅顯示2332字，請閱讀下面提示信息。收藏《銀行信息科技風險檢查方案》）