信息系統(tǒng)現(xiàn)場(chǎng)檢查指南

1、信息科技現(xiàn)場(chǎng)檢查指南為了規(guī)范和指導(dǎo)信息科技現(xiàn)場(chǎng)檢查工作，提高信息科技現(xiàn)場(chǎng)檢查的水平，確保信息科技現(xiàn)場(chǎng)檢查的質(zhì)量，特制定本指南。一、檢查目的(一)了解和掌握銀行業(yè)金融機(jī)構(gòu)信息科技管理組織體系、工作制和科技制度建設(shè)情況，以及從業(yè)人員有關(guān)業(yè)務(wù)、技術(shù)和安全培訓(xùn)情況，評(píng)價(jià)其信息科技管理組織水平；(二)了解和掌握銀行業(yè)金融機(jī)構(gòu)信息安全保障體系和內(nèi)部控制規(guī)程，信息科技風(fēng)險(xiǎn)管理崗位責(zé)任制度和監(jiān)督落實(shí)情況，評(píng)價(jià)其計(jì)算機(jī)安全管理水平；(三)了解和掌握銀行業(yè)金融機(jī)構(gòu)信息科技在研發(fā)過程中項(xiàng)目管理和變更管理情況，關(guān)注規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)以及外包等產(chǎn)生風(fēng)險(xiǎn)的環(huán)節(jié)，評(píng)價(jià)其管理水平；(四)了解和掌握銀行業(yè)

2、金融機(jī)構(gòu)信息科技在信息科技運(yùn)行和操作制度建設(shè)和執(zhí)行情況，促進(jìn)銀行業(yè)金融機(jī)構(gòu)完善內(nèi)控環(huán)境，控制和化解操作風(fēng)險(xiǎn)；(五)了解和掌握銀行業(yè)金融機(jī)構(gòu)信息科技在業(yè)務(wù)持續(xù)性計(jì)劃方面制度建設(shè)和執(zhí)行情況，促進(jìn)銀行業(yè)金融機(jī)構(gòu)信息科技信息科技風(fēng)險(xiǎn)管理涵蓋管理、維護(hù)的每個(gè)環(huán)節(jié)。二、檢查要點(diǎn)(一)檢查信息科技風(fēng)險(xiǎn)管理架構(gòu)、內(nèi)部組織結(jié)構(gòu)和工作機(jī)制、崗位職責(zé)和制度的完善性和有效性，評(píng)估信息科技規(guī)劃和管理的水平，了解信息科技人才管理機(jī)制，分析業(yè)務(wù)、技術(shù)和安全培訓(xùn)工作的及時(shí)性和有效性，確保合理及時(shí)地防范和控制信息科技組織、規(guī)劃風(fēng)險(xiǎn)。(二)檢查信息安全管理的流程情況，分析相關(guān)系統(tǒng)用戶管理制度、密碼管理制度及網(wǎng)絡(luò)安全制度，測(cè)試系統(tǒng)

3、所涉及操作系統(tǒng)和數(shù)據(jù)庫及防火墻等安全設(shè)施的安全性，評(píng)估被檢查銀行是否采取有效安全的保護(hù)措施保障信息的保密性、完整性和可用性。(三)檢查分析軟件及項(xiàng)目開發(fā)管理制度，了解信息科技部門檔案管理流程，審閱外包項(xiàng)目涉及的軟件質(zhì)量驗(yàn)收標(biāo)準(zhǔn)，檢查銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理效率及水平，評(píng)估系統(tǒng)開發(fā)的流程、質(zhì)量及安全的管理情況。(四)檢查信息科技運(yùn)行和操作管理情況，檢查系統(tǒng)監(jiān)控層面的處理流程及各類系統(tǒng)參數(shù)、生產(chǎn)環(huán)境變更的受控方式，評(píng)估系統(tǒng)運(yùn)行和操作管理的風(fēng)險(xiǎn)狀況，促進(jìn)運(yùn)行操作管理的科學(xué)化、制度化和規(guī)范化，確保信息科技安全可靠的運(yùn)行。(五)檢查業(yè)務(wù)持續(xù)性規(guī)劃的制定情況，分析其是否明確定義了管理層關(guān)于維護(hù)信息科

4、技可用性及更新相關(guān)業(yè)務(wù)持續(xù)性計(jì)劃的責(zé)任和義務(wù)，并制定了合適的負(fù)責(zé)人員。評(píng)估建設(shè)及實(shí)施關(guān)于災(zāi)難恢復(fù)的組織機(jī)構(gòu)、業(yè)務(wù)流程和應(yīng)對(duì)措施的合理性。三、檢查內(nèi)容(一)信息科技公司治理和組織結(jié)構(gòu)1、制度建設(shè)(1)檢查銀行是否根據(jù)國家和銀監(jiān)會(huì)有關(guān)信息科技管理制度制定了實(shí)施細(xì)則，分析制度制定、審批、修訂和發(fā)布等流程的規(guī)范性。(2)檢查信息科技相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程建設(shè)情況。重點(diǎn)檢查：各項(xiàng)制度規(guī)章是否正式發(fā)文，內(nèi)容是否涵蓋規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、應(yīng)急、外包、保密和監(jiān)控等范疇，是否明確相關(guān)人員的職責(zé)權(quán)限并實(shí)行最小授權(quán)的制約機(jī)制，是否建立制訂后評(píng)價(jià)程序或機(jī)制，現(xiàn)有的制度是否適應(yīng)組織結(jié)構(gòu)、業(yè)務(wù)管理、信息

5、安全的需要。(3)檢查實(shí)施知識(shí)產(chǎn)權(quán)保護(hù)情況。重點(diǎn)檢查：正版軟件版本管理情況；國產(chǎn)自有知識(shí)產(chǎn)權(quán)的軟硬件的使用情況；信息化安全等級(jí)保護(hù)工作情況；自主知識(shí)產(chǎn)權(quán)信息化成果保護(hù)情況。2、組織結(jié)構(gòu)(1)檢查銀行業(yè)金融機(jī)構(gòu)董事層、經(jīng)理層的信息科技管理和風(fēng)險(xiǎn)管理組織架構(gòu)。重點(diǎn)檢查：科技管理、持續(xù)科技風(fēng)險(xiǎn)管理程序及就科技管理穩(wěn)健務(wù)實(shí)的手段、工作分工和職責(zé)；負(fù)責(zé)信息科技的戰(zhàn)略規(guī)劃、重大項(xiàng)目和風(fēng)險(xiǎn)監(jiān)督管理的領(lǐng)導(dǎo)層面或決策機(jī)構(gòu)及信息科技部門的建設(shè)情況；信息科技風(fēng)險(xiǎn)管理職責(zé)的歸屬以及管理情況；公司董事會(huì)及其相關(guān)專業(yè)委員會(huì)、經(jīng)營管理層對(duì)信息科技工作和信息風(fēng)險(xiǎn)管理的職責(zé)、分工是否明確。該銀行組織結(jié)構(gòu)設(shè)計(jì)的戰(zhàn)略定位，組織結(jié)構(gòu)

6、的合理性是否符合風(fēng)險(xiǎn)管理的需要；董事會(huì)和高管層面是否重視科技管理和信息科技規(guī)劃工作；了解董事會(huì)對(duì)信息科技所擔(dān)負(fù)的職責(zé)，管理層如何發(fā)揮對(duì)信息科技的監(jiān)督和指導(dǎo)作用；辨析組織的靈活性以及角色與職責(zé)的清晰程度，了解內(nèi)部平衡監(jiān)督和放權(quán)的關(guān)系；分析對(duì)安全、質(zhì)量和內(nèi)部控制等的組織定位。(2)檢查信息科技建設(shè)決策流程、總體策略制定和統(tǒng)籌項(xiàng)目建設(shè)的情況。重點(diǎn)檢查：信息科技建設(shè)規(guī)劃中是否涵蓋信息安全、運(yùn)行管理、業(yè)務(wù)持續(xù)性計(jì)劃等重要內(nèi)容；評(píng)估近期、中期和遠(yuǎn)期關(guān)于信息科技的重大策略和目標(biāo)的合理性。著重從以下幾個(gè)方面了解：銀行如何利用信息科技技術(shù)更好地為企業(yè)創(chuàng)新服務(wù)，在進(jìn)行信息科技治理時(shí)如何貫徹“以組織戰(zhàn)略目標(biāo)為中心”

7、的思想，確保信息科技資源與業(yè)務(wù)匹配；銀行的信息科技投資是否與戰(zhàn)略目標(biāo)相一致；是否合理配置信息科技資源以實(shí)現(xiàn)面向服務(wù)的架構(gòu)，核心業(yè)務(wù)系統(tǒng)是否能滿足銀行變化的需求；業(yè)務(wù)流程如何整合信息科技流程，在關(guān)鍵戰(zhàn)略決策中信息科技的融入程度，確保無信息孤島現(xiàn)象。信息科技規(guī)劃中如何更好的控制風(fēng)險(xiǎn)，包括控制業(yè)務(wù)風(fēng)險(xiǎn)和控制由信息科技使用帶來的風(fēng)險(xiǎn)。是否在信息科技建設(shè)規(guī)劃每個(gè)環(huán)節(jié)考慮到風(fēng)險(xiǎn)因素，滿足銀行最低風(fēng)險(xiǎn)控制需要；是否考慮到風(fēng)險(xiǎn)管理系統(tǒng)的建設(shè)，特別是滿足監(jiān)管當(dāng)局的監(jiān)管需求；能否實(shí)現(xiàn)自動(dòng)從業(yè)務(wù)或風(fēng)險(xiǎn)系統(tǒng)中采集監(jiān)管數(shù)據(jù)，以提高銀行風(fēng)險(xiǎn)監(jiān)管能力。根據(jù)銀行信息科技現(xiàn)狀和信息科技規(guī)劃初步評(píng)估該行信息科技建設(shè)水平，比如可以

8、按信息資產(chǎn)規(guī)模分為落后型、發(fā)展型、追隨型和領(lǐng)先型。(3)檢查高管層對(duì)本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況的控制程度。重點(diǎn)檢查：是否定期組織內(nèi)部評(píng)估、審計(jì)、報(bào)告本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況；針對(duì)存在的風(fēng)險(xiǎn)狀況是否采取相應(yīng)的風(fēng)險(xiǎn)控制措施，以及各項(xiàng)措施的卜具體內(nèi)容環(huán)節(jié)、主要實(shí)施部門和評(píng)估結(jié)果；是否建立了對(duì)整改工作的監(jiān)督機(jī)制。(4)檢查科技管理隊(duì)伍、技術(shù)應(yīng)用隊(duì)伍、風(fēng)險(xiǎn)管理隊(duì)伍的建設(shè)情況。重點(diǎn)檢查：人員素質(zhì)情況，包括科技管理、科技風(fēng)險(xiǎn)管理和技術(shù)人員的知識(shí)結(jié)構(gòu)、年齡結(jié)構(gòu)、專業(yè)結(jié)構(gòu)；人員在系統(tǒng)內(nèi)的占比情況；內(nèi)審部門是否有既懂科技又懂業(yè)務(wù)的審計(jì)人員，風(fēng)險(xiǎn)管理部門是否有專職it 人員和已獲得上崗證書的信息安全管理員；對(duì)信息科技人員

9、的行為規(guī)范管理情況。(5)檢查科技隊(duì)伍培訓(xùn)、激勵(lì)等管理機(jī)制的建設(shè)執(zhí)行情況。重點(diǎn)檢查：培訓(xùn)規(guī)劃和歷史記錄，包括職業(yè)培訓(xùn)、崗前培訓(xùn)情況，相關(guān)職責(zé)所需專業(yè)知識(shí)和技能的實(shí)際符合情況；分析信息科技人員從應(yīng)聘、錄用、培訓(xùn)、評(píng)估、晉升到解雇的整個(gè)從業(yè)歷程是否合理、公平和透明。(二)信息安全管理1、信息安全建設(shè)基本情況(1)檢查內(nèi)部科技風(fēng)險(xiǎn)管理機(jī)構(gòu)對(duì)信息科技面臨的風(fēng)險(xiǎn)開展評(píng)估的情況。重點(diǎn)檢查：通過調(diào)閱該機(jī)構(gòu)安全領(lǐng)導(dǎo)小組成立(或調(diào)整)的文件，其他與計(jì)算機(jī)安全相關(guān)的會(huì)議記錄或文件，了解該機(jī)構(gòu)是否設(shè)立計(jì)算機(jī)信息科技安全領(lǐng)導(dǎo)小組并上報(bào)當(dāng)?shù)乇O(jiān)督部門，是否充分履行有關(guān)計(jì)算機(jī)安全管理和監(jiān)督檢查職責(zé)。(2)檢查服務(wù)承包商和提

10、供商與相關(guān)法律、法規(guī)等的符合程度。重點(diǎn)檢查：通過調(diào)閱該機(jī)構(gòu)所有承包商和服務(wù)提供商的詳細(xì)資料和合同文本，確認(rèn)所有承包商和服務(wù)提供商是否符合法律法規(guī)要求，合同文本是否符合法律要求(如數(shù)據(jù)保護(hù)法規(guī))，是否明確各自的安全責(zé)任，是否有確保業(yè)務(wù)資產(chǎn)的完整性和保密性的條款等。(3)檢查信息安全處理的原則、目標(biāo)和要求的制度建設(shè)的完備性。重點(diǎn)檢查：調(diào)閱與計(jì)算機(jī)系統(tǒng)運(yùn)行、安全保障和文檔管理等相關(guān)規(guī)章制度，其范圍除自行制定的制度還包括轉(zhuǎn)發(fā)的上級(jí)文件，審計(jì)是否建立必要的計(jì)算機(jī)安全制度，審核各類制度的科學(xué)性、嚴(yán)密性和可操作性。2、邏輯訪問風(fēng)險(xiǎn)控制情況(1)檢查訪問控制業(yè)務(wù)要求、策略要求和訪問規(guī)則的制訂情況。重點(diǎn)檢查：通

11、過閱讀源程序或第三方業(yè)務(wù)系統(tǒng)安全審計(jì)報(bào)告，確定該機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)是否制訂訪問控制的業(yè)務(wù)要求、策略要求和訪問規(guī)則，并確定其安全性、完備性。(2)檢查訪問用戶的注冊(cè)管理制度。重點(diǎn)檢查：是否制定了正式的用戶注冊(cè)和取消注冊(cè)程序，規(guī)范對(duì)所有多用戶信息科技與服務(wù)的訪問授權(quán)。是否使用唯一用戶id 使用戶對(duì)其操作負(fù)責(zé)(組id 只有適合所進(jìn)行的工作，才允許使用)，用戶離開組織時(shí)是否立即取消其用戶id，是否定期檢查并取消多余的用戶id 和帳戶。(3)檢查訪問用戶的權(quán)限管理和權(quán)限檢查流程。重點(diǎn)檢查：是否建立了正式的用戶的權(quán)限管理和權(quán)限檢查程序，系統(tǒng)所有者對(duì)信息科技或服務(wù)授予的權(quán)限是否合適業(yè)務(wù)的開展，所授予的訪問權(quán)限級(jí)

12、別是否與組織的安全策略相一致，例如它會(huì)不會(huì)影響責(zé)任劃分；用戶因工作變更或離開組織時(shí)是否立即取消其訪問權(quán)限；用戶權(quán)限設(shè)定是否采用雙人復(fù)核；是否對(duì)用戶訪問權(quán)限分配進(jìn)行定期檢查確保沒有對(duì)用戶授予非法權(quán)限。(4)檢查訪問用戶的口令管理。重點(diǎn)檢查：是否采用了正式的管理程序來控制口令的分配，是否確保一開始向他們提供一個(gè)安全的臨時(shí)口令并要求他們立即更改口令，用戶忘記口令時(shí)是否在對(duì)該用戶進(jìn)行適當(dāng)?shù)纳矸葑R(shí)別后才能向其提供臨時(shí)口令，是否還采用了其他的用戶身份識(shí)別和驗(yàn)證技術(shù)(如生物統(tǒng)計(jì)學(xué)中的指紋鑒定；建立新的用戶，是否建立了申請(qǐng)審批程序，并采用雙人控制。(5)檢查訪問用戶的責(zé)任管理。重點(diǎn)檢查：所有用戶是否做到避免在

13、紙上記錄口令，只要有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)是否立即更改口令，是否選用高質(zhì)量的口令，是否定期更改口令。3、網(wǎng)絡(luò)安全控制情況(1)檢查網(wǎng)絡(luò)管理和網(wǎng)絡(luò)服務(wù)的安全策略制定情況。重點(diǎn)檢查：通過調(diào)閱網(wǎng)絡(luò)建設(shè)文檔或第三方網(wǎng)絡(luò)安全審計(jì)報(bào)告，確定該機(jī)構(gòu)是否制定網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的安全策略，并確定此策略是否業(yè)務(wù)訪問控制策略相一致。(2)檢查實(shí)施網(wǎng)絡(luò)控制的安全手段。重點(diǎn)檢查：通過調(diào)閱網(wǎng)絡(luò)建設(shè)文檔或第三方網(wǎng)絡(luò)安全審計(jì)報(bào)告，確定該機(jī)構(gòu)是否制定網(wǎng)絡(luò)控制的安全途徑，并確定實(shí)施控制的路徑的要求是否是業(yè)務(wù)訪問控制策略所必要的，是否通過專線或?qū)ｉT電話號(hào)碼聯(lián)網(wǎng)，是否自動(dòng)將端口連接到指定應(yīng)用系統(tǒng)或安全網(wǎng)關(guān)，是否限制個(gè)人用戶的菜

14、單和子菜單選項(xiàng)，是否防止無限制的網(wǎng)絡(luò)漫游，是否強(qiáng)制外部網(wǎng)絡(luò)用戶使用指定應(yīng)用系統(tǒng)和或安全網(wǎng)關(guān)，是否為組織內(nèi)用戶組設(shè)置不同的邏輯域(如虛擬專用網(wǎng))來限制網(wǎng)絡(luò)訪問。(3)檢查外部連接的用戶身份驗(yàn)證方法。重點(diǎn)檢查：是否通過使用加密技術(shù)、硬件標(biāo)記或問答協(xié)議對(duì)遠(yuǎn)程用戶訪問進(jìn)行身份驗(yàn)證，對(duì)于專線用戶是否安裝了網(wǎng)絡(luò)用戶地址檢查工具來對(duì)連接源提供安全保障，對(duì)撥號(hào)用戶是否使用反向撥叫程序和控制措施(如使用反向撥叫調(diào)制解調(diào)器)可以防止與組織信息處理設(shè)施的非法連接和有害連接。(4)檢查遠(yuǎn)程診斷端口的保護(hù)情況。重點(diǎn)檢查：是否使用適當(dāng)?shù)陌踩珯C(jī)制(如密鑰鎖)對(duì)診斷端口進(jìn)行保護(hù)，保證它們只能在計(jì)算機(jī)服務(wù)管理員和要求訪問的軟硬

15、件支持人員進(jìn)行適當(dāng)?shù)陌才藕蟛拍茉L問。(5)檢查網(wǎng)絡(luò)的劃分和路由控制情況。重點(diǎn)檢查：是否在網(wǎng)絡(luò)內(nèi)采用一些控制措施把信息服務(wù)組、用戶組和信息科技組分割成不同的邏輯網(wǎng)絡(luò)域(如組織的內(nèi)部網(wǎng)絡(luò)域和外部網(wǎng)絡(luò)域)，每個(gè)域都使用一個(gè)明確的安全界限來加以保護(hù)，是否在兩個(gè)要互連的網(wǎng)絡(luò)之間安裝一個(gè)安全網(wǎng)關(guān)可以實(shí)現(xiàn)這樣的一個(gè)安全界限，從而控制兩個(gè)域之間的訪問和信息流動(dòng)，是否對(duì)該網(wǎng)關(guān)配置，訪問控制策略來阻止非法訪問。4、環(huán)境風(fēng)險(xiǎn)情況(1)檢查對(duì)保密設(shè)備和計(jì)算機(jī)機(jī)房進(jìn)行安全保護(hù)的情況。重點(diǎn)檢查：是否為保密設(shè)備和計(jì)算機(jī)機(jī)房劃分獨(dú)立安全區(qū)域，安全保護(hù)區(qū)的沒置是否合理，是否建立全方位的安全防護(hù)，以防止有人未經(jīng)授權(quán)進(jìn)入安全區(qū)。(

16、2)檢查安全區(qū)出入的控制措施和制度制定執(zhí)行情況。重點(diǎn)檢查：通過查閱制度和各類文字或電子臺(tái)帳，確定該機(jī)構(gòu)是否有完備的安全區(qū)出入控制，是否經(jīng)常審查并更新有關(guān)安全區(qū)域訪問權(quán)限的規(guī)定，是否將安全區(qū)域的來訪者的身份、進(jìn)入和離開安全區(qū)域的日期和時(shí)間記錄在案，是否有嚴(yán)格限定，經(jīng)過授權(quán)的人才能訪問敏感信息，是否有專人對(duì)出入控制措施和制度的落實(shí)情況進(jìn)行定期、不定期的檢查。(3)檢查安全區(qū)內(nèi)設(shè)備使用和維護(hù)管理情況。重點(diǎn)檢查：是否按專業(yè)標(biāo)準(zhǔn)安裝入侵檢測(cè)系統(tǒng)對(duì)無人區(qū)域進(jìn)行24 小時(shí)的報(bào)警監(jiān)視，由該機(jī)構(gòu)自己管理的信息處理設(shè)備是否與由第三方管理的信息處理設(shè)備分開，是否將危險(xiǎn)或易燃材料存儲(chǔ)在安全的地方，與安全區(qū)保持安全距離

17、，應(yīng)急設(shè)備和備份介質(zhì)的存儲(chǔ)位置與主安全區(qū)域是否保持一個(gè)安全距離，以防止主安全區(qū)域發(fā)生的災(zāi)難事件殃及這些設(shè)備。(4)檢查安全區(qū)的防雷、電和火等安全措施實(shí)施情況。重點(diǎn)檢查：通過調(diào)閱相關(guān)檢測(cè)報(bào)告維護(hù)記錄，確定安全區(qū)是非通過配置不間斷電源設(shè)備、采用雙路供電系統(tǒng)、配備發(fā)電機(jī)等手段保障不間斷性供電；其采用的各種方式是否能滿足業(yè)務(wù)系統(tǒng)不間斷供電需求，是否按相關(guān)法規(guī)要求配備消防系統(tǒng)并保證其正常運(yùn)行，是否安裝必要的防雷設(shè)施并按要求做好接地系統(tǒng)。5、操作系統(tǒng)風(fēng)險(xiǎn)情況(i)檢查對(duì)登錄用戶和終端設(shè)備的訪問控制策略。重點(diǎn)檢查：核心業(yè)務(wù)系統(tǒng)用機(jī)的操作系統(tǒng)是否能驗(yàn)證每個(gè)合法用戶的終端或位置，是否記錄成功和失敗的系統(tǒng)訪問，是

18、否提供適當(dāng)?shù)纳矸蒡?yàn)證方法，是否根據(jù)情況限制用戶連接時(shí)間。(2)檢查用戶身份識(shí)別和驗(yàn)證方法。重點(diǎn)檢查：所有操作系統(tǒng)用戶是否都有一個(gè)個(gè)人專用的唯一標(biāo)識(shí)符(用戶id ),以便操作能夠追溯到具體責(zé)任人，如業(yè)務(wù)系統(tǒng)必須可以為一個(gè)用戶組或一項(xiàng)具體工作使用共享用戶id，是否對(duì)此類進(jìn)行嚴(yán)格的審批制度，并采用了相應(yīng)的控制措施，是否采用了先進(jìn)安全的身份驗(yàn)證程序并建立相關(guān)安全機(jī)制以防止非法登錄。(3)檢查系統(tǒng)的漏洞檢測(cè)和補(bǔ)丁安裝的情況。重點(diǎn)檢查：通過相應(yīng)的漏洞檢測(cè)工具，確定該機(jī)構(gòu)是否操作系統(tǒng)的安全是否進(jìn)行加固，是否安裝系統(tǒng)補(bǔ)丁與更新程序，是否關(guān)閉不必要的服務(wù)和端口，是否安裝防病毒軟件，文件共享的訪問控制權(quán)限設(shè)置是否

19、適當(dāng)，是否定期為操作系統(tǒng)進(jìn)行安全漏洞檢測(cè)，以分析系統(tǒng)的安全性，并采取補(bǔ)救措施。(4)檢查事件的日志記錄和評(píng)審分析情況。重點(diǎn)檢查：是否啟用操作系統(tǒng)的審計(jì)功能和安全策略，是否按要求存事件的日志記錄，是否確定專人定期進(jìn)行安全評(píng)審分析，以查找非授權(quán)的應(yīng)用程序運(yùn)行、非授權(quán)的共享、可疑程序和可疑進(jìn)程，計(jì)算機(jī)時(shí)鐘設(shè)置是否正確以保證審計(jì)日志的準(zhǔn)確性。6、應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)情況(1)檢查輸入和輸出數(shù)據(jù)的驗(yàn)證情況。重點(diǎn)檢查：是否對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)輸入進(jìn)行驗(yàn)證，應(yīng)用系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)調(diào)整及帳務(wù)數(shù)據(jù)修改是否規(guī)范，是否定期審查關(guān)鍵字段或數(shù)據(jù)文件的內(nèi)容，確認(rèn)其有效性和完整性，是否檢查硬拷貝輸入文檔是否有對(duì)輸入數(shù)據(jù)進(jìn)行非法變更(所有

20、對(duì)輸入文檔的變更應(yīng)經(jīng)過授權(quán))，是否明確規(guī)定參與數(shù)據(jù)輸入過程的所有人員的責(zé)任。(2)檢查存儲(chǔ)數(shù)據(jù)的加密措施實(shí)施情況。重點(diǎn)檢查：是否對(duì)核心業(yè)務(wù)系統(tǒng)采取了相應(yīng)的加密措施，其加密措施是否合理，加密密鑰管理是否嚴(yán)格，中間業(yè)務(wù)和延伸業(yè)務(wù)的傳輸數(shù)據(jù)是否加密，導(dǎo)入是否配有安全審計(jì)，是否對(duì)數(shù)據(jù)介質(zhì)進(jìn)行安全保護(hù)，對(duì)存有重要數(shù)據(jù)的故障設(shè)備外修時(shí)是否有本單位人員在場(chǎng)監(jiān)督，設(shè)備報(bào)廢是否清除相關(guān)業(yè)務(wù)信息，對(duì)已過安全保存期限的介質(zhì)是否及時(shí)更新復(fù)制，廢棄的數(shù)據(jù)介質(zhì)是否由專人及時(shí)銷毀。(3)檢查測(cè)試數(shù)據(jù)的安全措施實(shí)施情況。重點(diǎn)檢查：通過調(diào)閱系統(tǒng)測(cè)試文檔，確定測(cè)試數(shù)據(jù)是否避免使用包含個(gè)人信息的操作數(shù)據(jù)庫，如果使用這類信息，那么是

21、否在使用前應(yīng)該做非個(gè)性化處理，在操作數(shù)據(jù)用于測(cè)試目的時(shí)，是否每次使用不同的授權(quán)，將操作信息復(fù)制到測(cè)試應(yīng)用系統(tǒng)，是否在測(cè)試完成后立即將操作信息從測(cè)試應(yīng)用系統(tǒng)中清除，是否記錄操作信息的復(fù)制和使用情況，以便提供審計(jì)追蹤。(4)檢查源代碼的訪問控制和審查情況。重點(diǎn)檢查：是否將程序源庫保存在生產(chǎn)系統(tǒng)上，為每一個(gè)應(yīng)用程序指定一個(gè)庫保管員，信息科技支持人員是否可以不受限制地訪問程序源庫，正在開發(fā)或維護(hù)的程序是否保留在操作程序源庫中，更新程序源庫和向程序員提供程序源是否通過指定的庫保管員來執(zhí)行，并且獲得信息科技支持管理員的授權(quán)，程序清單是否保存在安全的環(huán)境中，是否實(shí)時(shí)維護(hù)訪問程序程序庫的審計(jì)日志記錄，是否對(duì)舊

22、版本的源程序進(jìn)行歸檔，明確指明使用創(chuàng)門操作的準(zhǔn)確日期和時(shí)間及所有支持軟件、作業(yè)控制、數(shù)據(jù)定義和過程，維護(hù)和復(fù)制程序源庫是否受嚴(yán)格的變更控制程序的約束。(三)信息科技項(xiàng)目開發(fā)和變更管理1、項(xiàng)目開發(fā)管理(1)檢查被檢查機(jī)構(gòu)在信息科技項(xiàng)目開發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)的全周期管理機(jī)制。重點(diǎn)檢查：制度建設(shè)是否對(duì)項(xiàng)目的審批流程、參與部門的職責(zé)劃分、時(shí)間進(jìn)度、財(cái)務(wù)預(yù)算規(guī)劃、質(zhì)量檢測(cè)、風(fēng)險(xiǎn)評(píng)估等內(nèi)容進(jìn)行嚴(yán)格規(guī)定；外部技術(shù)資源申請(qǐng)是否有統(tǒng)一負(fù)責(zé)機(jī)構(gòu)，如何授權(quán)職能處室進(jìn)行歸口管理。(2)檢查信息科技項(xiàng)目開發(fā)資料完備性。重點(diǎn)檢查：系統(tǒng)項(xiàng)目建設(shè)是否成立項(xiàng)目工作小組及其成員結(jié)構(gòu)；系統(tǒng)建

23、設(shè)項(xiàng)目需求說明書和項(xiàng)目功能說明書是否全面、系統(tǒng)；系統(tǒng)建設(shè)完成后是否編寫了操作說明書，是否具有項(xiàng)目驗(yàn)收?qǐng)?bào)告；查閱被檢查機(jī)構(gòu)對(duì)新信息科技投產(chǎn)后，所撰寫后續(xù)評(píng)價(jià)，根據(jù)后續(xù)評(píng)價(jià)，檢查有沒有根據(jù)評(píng)價(jià)及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。2.項(xiàng)目變更管理(1)檢查項(xiàng)目變更、系統(tǒng)升級(jí)和變更等環(huán)節(jié)的管理情況。重點(diǎn)檢查：信息科技變更時(shí)，是否制訂嚴(yán)密的變更處理流程，明確變更控制中各崗位的職責(zé)，遵循流程實(shí)施控制和管理；變更前有否明確應(yīng)急和回退方案；變更方案件、變更需求、軟件版本變更后的初始版本和所有歷史版本是否妥善保管。(2)檢查系統(tǒng)變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔的正確性、安全性和合法性。重點(diǎn)檢查：對(duì)被檢查機(jī)構(gòu)系統(tǒng)升

24、級(jí)和變更記錄，變更后軟件的初始版本和所有歷史版本是否妥善保管；對(duì)保留所有歷史的變更內(nèi)容核實(shí)清單進(jìn)行核實(shí)；是否設(shè)定了獨(dú)立的版本管理人員復(fù)核版本的提交工作。3、項(xiàng)目資料文檔管理體系。重點(diǎn)檢查：項(xiàng)目資料是否完整詳盡，有無相應(yīng)的檔案資料的管理辦法并執(zhí)行；是否對(duì)項(xiàng)目資料文檔的管理情況進(jìn)行定期審核，包括資料調(diào)閱、資料備份等；是否制定了項(xiàng)目資料文檔格式的標(biāo)準(zhǔn)化規(guī)范并執(zhí)行。4、系統(tǒng)設(shè)計(jì)開發(fā)外包缺陷管理(1)檢查業(yè)務(wù)外包管理制度、業(yè)務(wù)外包評(píng)估制度的制定執(zhí)行情況。重點(diǎn)檢查：對(duì)有關(guān)外包風(fēng)險(xiǎn)的防范方法及措施，是否建立外包業(yè)務(wù)的應(yīng)急機(jī)制，有無外包業(yè)務(wù)的應(yīng)急計(jì)劃和應(yīng)急預(yù)案。(2)檢查針對(duì)有關(guān)業(yè)務(wù)外包制定相應(yīng)的管理和風(fēng)險(xiǎn)防

25、范措施的情況。重點(diǎn)檢查：是否建立對(duì)承包方的評(píng)估機(jī)制；是否規(guī)定了代碼編寫規(guī)范和編碼質(zhì)量檢查方案，從技術(shù)和編碼兩方面對(duì)編碼進(jìn)行全面檢查。(3)檢查被檢查機(jī)構(gòu)外包業(yè)務(wù)風(fēng)險(xiǎn)管理措施。重點(diǎn)檢查：是否建立針對(duì)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃和預(yù)案，以確保在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更，保證外包服務(wù)不間斷；是否組織業(yè)務(wù)人員進(jìn)行外包開發(fā)系統(tǒng)的培訓(xùn)以保障外包開發(fā)技術(shù)的移交工作。(四)信息科技運(yùn)行和操作管理l、信息科技運(yùn)行體系建設(shè)情況(1)運(yùn)行體系的組織架構(gòu)。檢查被檢查單位信息科技運(yùn)行管理的組織架構(gòu)和日常運(yùn)作情況，對(duì)組織體系的科學(xué)性、合理性和運(yùn)作的有效性作出評(píng)體。重點(diǎn)檢查：架構(gòu)是否合理、組織是否嚴(yán)密、職責(zé)是否明確、監(jiān)督是

26、否有力、管理是否有效，反應(yīng)是否迅速、是否具有相互制約的機(jī)制等等。(2)運(yùn)行體系的規(guī)劃與制度。檢查現(xiàn)有和計(jì)劃投產(chǎn)的信息科技的運(yùn)行規(guī)劃的完備性。重點(diǎn)檢查：生產(chǎn)故障和安全事件的管理、職能部門及其職責(zé)、管理對(duì)象、事件報(bào)告、事件解決、事件反饋、匯總、分析、評(píng)價(jià)和報(bào)告等。檢查信息科技運(yùn)行管理制度的完善性。重點(diǎn)檢查：事件管理辦法、問題管理辦法、變更管理辦法、操作管理辦法、數(shù)據(jù)管理辦法、配置管理辦法、安全管理辦法、機(jī)房管理辦法等。這些制度可以是自行制定的，也可以轉(zhuǎn)發(fā)上級(jí)的。重點(diǎn)審計(jì)制度的完整性、嚴(yán)密性和可操作性，考察各項(xiàng)制度的貫徹、執(zhí)行和落實(shí)情況。(3)檢查核心業(yè)務(wù)系統(tǒng)的持續(xù)性或階段性監(jiān)測(cè)情況。重點(diǎn)檢查：建立

27、核心業(yè)務(wù)系統(tǒng)持續(xù)性或階段性的監(jiān)測(cè)、監(jiān)控體系和系統(tǒng)性能的評(píng)估機(jī)制。2、操作環(huán)境控制和預(yù)防性維護(hù)情況(1)檢查信息科技資產(chǎn)登記情況。重點(diǎn)檢查：檢查信息科技資產(chǎn)臺(tái)帳是否包含完整和真實(shí)的計(jì)算機(jī)資源配置的靜態(tài)基本信息和動(dòng)態(tài)履歷信息，是否做到帳帳相符、帳實(shí)相符，配置管理部門是否定期進(jìn)行轄內(nèi)計(jì)算機(jī)資源配置臺(tái)帳的清查核對(duì)。靜態(tài)基本信息包括：檔案卡序號(hào)、計(jì)算機(jī)資源編碼、型號(hào)、性能、具體配置、滿配能力(如硬件的滿配能力、可擴(kuò)充性，軟件的支持情況，配置參數(shù)的極限等)、用途、使用部門和使用責(zé)任人、維護(hù)責(zé)任部門和生產(chǎn)商、經(jīng)銷商、服務(wù)商等；動(dòng)態(tài)履歷信息包括：計(jì)算機(jī)資源配置在生命周期各階段經(jīng)歷過的各種管理流程信息。其中計(jì)劃

28、制訂、設(shè)備采購、合同管理、庫房管理、安裝驗(yàn)收、申領(lǐng)使用以及后面的調(diào)撥遷移、閑置報(bào)廢以及計(jì)算機(jī)資源配置的維護(hù)履歷、配置履歷、包含操作時(shí)間、操作部門、操作用戶、具體操作及變更情況等信息。(2)檢查信息科技性能和容量的管理情況。重點(diǎn)檢查：是否建立信息科技軟、硬件性能、處理能力以及存儲(chǔ)容量等監(jiān)測(cè)和跟蹤措施，保證系統(tǒng)性能和容量有足夠的安全冗余，防止應(yīng)處理負(fù)荷過重或存儲(chǔ)容量不足影響信息科技安全、可靠運(yùn)行；在給定的時(shí)間段內(nèi)是否出現(xiàn)過因上述原因造成重要業(yè)務(wù)系統(tǒng)停頓的情況以及相應(yīng)的損失情況并完整記錄。(3)檢查各類連接的物理位置和交互關(guān)系的系統(tǒng)拓?fù)鋱D。重點(diǎn)檢查：連接信息科技所有電子設(shè)備物理位置和交互關(guān)系的系統(tǒng)拓

29、撲圖與系統(tǒng)實(shí)際配置信息、系統(tǒng)結(jié)構(gòu)圖與物理布局的一致性。(4)檢查應(yīng)急方案制定情況，重點(diǎn)檢查：重要信息科技應(yīng)急方案，評(píng)估應(yīng)急方案的科學(xué)性、可操作性和實(shí)用性；模擬演練的記錄，重點(diǎn)檢查發(fā)現(xiàn)的問題和解決情況。(5)檢查運(yùn)行、操作環(huán)境建設(shè)情況。重點(diǎn)檢查：計(jì)算機(jī)房和網(wǎng)絡(luò)中心的建設(shè)、配置是否符合有關(guān)國家標(biāo)準(zhǔn)，是否設(shè)立了獨(dú)立的安全保護(hù)區(qū)，是否建立進(jìn)入安全區(qū)的授權(quán)、登記制度。安全防范和控制措施是否到位；重要和涉密設(shè)備是否置于計(jì)算機(jī)房內(nèi)，并具有嚴(yán)格的安全防范和風(fēng)險(xiǎn)控制機(jī)制。3、生產(chǎn)變更管理情況(1)檢查準(zhǔn)則和規(guī)章制度制定執(zhí)行情況。重點(diǎn)檢查：通過查閱有關(guān)文件和相應(yīng)的制度，了解生產(chǎn)變更的管理情況，著重了解是否明確了變

30、更的職能部門以及相應(yīng)的職責(zé)；是否制定了相關(guān)的制度；制度的內(nèi)容是否含蓋了：變更申請(qǐng)、變更受理、變更方案、變更審批、變更實(shí)施時(shí)間、變更實(shí)施、變更反饋和匯總、緊急變更、變更指標(biāo)及評(píng)價(jià)、總結(jié)報(bào)告等關(guān)鍵內(nèi)容等等。(2)檢查審批授權(quán)機(jī)制和工作流程規(guī)范性。重點(diǎn)檢查：生產(chǎn)變更的審批授權(quán)制度。生產(chǎn)變更是否按規(guī)定時(shí)間、要求報(bào)送審批部門審批或報(bào)備；變更的實(shí)施是否得到授權(quán)；變更實(shí)施日期和時(shí)間是否符合制度規(guī)定等；對(duì)業(yè)務(wù)有可能造成影響的變更，是否在變更實(shí)施前通知相關(guān)業(yè)務(wù)部門。工作流程。變更的工作流程是否合理、可行：是否貫穿變更申請(qǐng)一變更受理一變更方案一變更審批一變更實(shí)施一變更反饋和匯總一變更指標(biāo)及評(píng)價(jià)、總結(jié)報(bào)告等全過程，

31、變更的實(shí)施過程中是否嚴(yán)格按流程操作。(3)檢查登記、備案和存檔情況。重點(diǎn)檢查：查閱生產(chǎn)變更的檔案，考察被檢查機(jī)構(gòu)變更資料的登記、備案和存檔是否規(guī)范。(4)檢查非計(jì)劃性緊急變更的實(shí)施方案、備份和恢復(fù)制度。重點(diǎn)檢查：非計(jì)劃性緊急變更實(shí)施前，變更牽頭和實(shí)施部門是否制訂簡單的實(shí)施計(jì)劃和驗(yàn)證、回退、恢復(fù)方案，其中回退或恢復(fù)方案是否切實(shí)可行，風(fēng)險(xiǎn)是否可控；變更實(shí)施前是否進(jìn)行相關(guān)的系統(tǒng)備份等。4、信息科技操作風(fēng)險(xiǎn)控制措施(1)檢查風(fēng)險(xiǎn)控制機(jī)制和流程。重點(diǎn)檢查：是否指定了各類應(yīng)用系統(tǒng)的操作、管理工作流程，評(píng)估其合理性、規(guī)范性和科學(xué)性，是否采用軟件工具對(duì)各類生產(chǎn)系統(tǒng)實(shí)施了版本控制。操作人員的崗位職責(zé)是否明確，相

32、應(yīng)的規(guī)章制度是否到位，如：檔案管理、安全生產(chǎn)管理、數(shù)據(jù)管理、應(yīng)用操作管理、運(yùn)行監(jiān)控管理等等；操作人員在上崗前的培訓(xùn)情況：如是否經(jīng)考試合格后才獨(dú)立上崗；當(dāng)信息科技結(jié)構(gòu)或操作流程發(fā)生重大變更時(shí)，是否及時(shí)對(duì)操作人員進(jìn)行再培訓(xùn)等；是否具備以下文字或電子資料：運(yùn)行情況日?qǐng)?bào)、各類運(yùn)行操作手冊(cè)、緊急重大情況的應(yīng)急處理流程、操作人員排班表和工作交接單、詳細(xì)操作日志、所有服務(wù)對(duì)象和技術(shù)支持部門及人員的通訊錄等；操作人員是否嚴(yán)格按照操作規(guī)程進(jìn)行操作，如雙人、復(fù)核、授權(quán)等，是否建立操作日志且真實(shí)記錄所有操作過程，并由本人簽字；操作人員有無違反操作規(guī)程的行為，如：擅自變更操作方法和操作步驟、在生產(chǎn)環(huán)境做任何未經(jīng)授權(quán)的

33、操作、操作人員在操作完畢后或離開操作終端前沒有退出自己的用戶等。運(yùn)行管理和實(shí)施部門是否設(shè)置固定的值班電話、傳真和電子信箱。是否建立了操作人員的交接登記制度及實(shí)際履行情況記錄。有關(guān)操作管理的檔案管理情況。(2)檢查人力資源管理情況。重點(diǎn)檢查：有關(guān)運(yùn)行、操作、管理人員配置的整體情況，人力資源的有效利用和合理配置程度，有關(guān)人員調(diào)離、崗位輪動(dòng)的風(fēng)險(xiǎn)控制情況等。(3)檢查信息資料檔案管理情況。重點(diǎn)檢查：有關(guān)科技文檔的收集、整理、移交、歸檔、保管、使用、鑒定和銷毀等是否符合相關(guān)規(guī)定，科技信息資料檔案管理是否規(guī)范。5、日志管理情況(l)檢查日志采集情況。重點(diǎn)檢查：核心業(yè)務(wù)系統(tǒng)日志采集的范圍、內(nèi)容、頻度、方法

34、以及有關(guān)規(guī)定的合理性及完備性，對(duì)日志內(nèi)容設(shè)置的完整性、科學(xué)性作出評(píng)估、分析與實(shí)際系統(tǒng)運(yùn)行和操作過程的匹配程度。(2)檢查日志保存情況。重點(diǎn)檢查：有關(guān)日志歸檔、保存的有關(guān)規(guī)定以及紙質(zhì)、電子日志資料的保管情況，考察日志保存、管理的規(guī)范性和安全性等。( 3)檢查日志調(diào)閱制度。重點(diǎn)檢查：日志的調(diào)閱、查詢是否有嚴(yán)格的制度，調(diào)閱日志是否經(jīng)過必要的授權(quán)并進(jìn)行如實(shí)的登記等。(4)檢查日志管理崗位和人員設(shè)置。重點(diǎn)檢查：檢查有關(guān)日志采集、保存、管理工作的人員配置等情況。(五)業(yè)務(wù)持續(xù)性規(guī)劃1、董事會(huì)和高管層在業(yè)務(wù)持續(xù)性規(guī)劃中的職責(zé)和工作機(jī)制情況(1)檢查業(yè)務(wù)持續(xù)性規(guī)劃的政策、流程和職責(zé)制定情況。重點(diǎn)檢查：高級(jí)管理

35、層建立業(yè)務(wù)連續(xù)性規(guī)劃的相關(guān)政策、標(biāo)準(zhǔn)和流程的機(jī)制；高級(jí)管理層對(duì)業(yè)務(wù)持續(xù)性規(guī)劃的重視程度，及其在業(yè)務(wù)持續(xù)性規(guī)劃中的職責(zé)和作用。(2)檢查業(yè)務(wù)持續(xù)性規(guī)劃的組織機(jī)構(gòu)及職責(zé)制定情況。重點(diǎn)檢查：是否已建立業(yè)務(wù)持續(xù)性規(guī)劃的各個(gè)組織機(jī)構(gòu)，并明確其職責(zé)。業(yè)務(wù)持續(xù)性規(guī)劃的組織機(jī)構(gòu)由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組成，應(yīng)分為災(zāi)難恢復(fù)規(guī)劃領(lǐng)導(dǎo)小組,災(zāi)難恢復(fù)規(guī)劃實(shí)施組和災(zāi)難恢復(fù)規(guī)劃日常運(yùn)行組。(3)檢查業(yè)務(wù)持續(xù)性規(guī)劃的報(bào)告機(jī)制。重點(diǎn)檢查：是否建立業(yè)務(wù)持續(xù)性管理相關(guān)事項(xiàng)的報(bào)告制度，并及時(shí)向董事會(huì)和高級(jí)管理層報(bào)告實(shí)施狀況、事件、測(cè)試結(jié)果和相關(guān)行動(dòng)計(jì)劃等事項(xiàng)；是否出現(xiàn)過重大營運(yùn)停止的事件并及時(shí)向銀監(jiān)會(huì)上報(bào)。(4)檢查業(yè)務(wù)

36、持續(xù)性規(guī)劃的評(píng)估機(jī)制。重點(diǎn)檢查：業(yè)務(wù)持續(xù)性管理是否經(jīng)過獨(dú)立機(jī)構(gòu)的審查和評(píng)估，例如內(nèi)部或外部審計(jì)，對(duì)業(yè)務(wù)連續(xù)性規(guī)劃的有效性進(jìn)行定期評(píng)估；針對(duì)發(fā)現(xiàn)的問題作出何種整改措施。2、業(yè)務(wù)持續(xù)性規(guī)劃的制定和實(shí)施情況(1)檢查業(yè)務(wù)持續(xù)性規(guī)劃的需求分析情況。重點(diǎn)檢查：是否進(jìn)行充分的潛在風(fēng)險(xiǎn)分析；對(duì)風(fēng)險(xiǎn)的可能性和危害性有否做全面的分析，并針對(duì)風(fēng)險(xiǎn)提出合理的防范措施。(2)檢查業(yè)務(wù)持續(xù)性規(guī)劃策略的制定情況。重點(diǎn)檢查：是否進(jìn)行充分的業(yè)務(wù)影響分析。業(yè)務(wù)影響分析是否包括了客戶、銀行人員、聲譽(yù)、內(nèi)部運(yùn)行以及財(cái)務(wù)和法律等方面的影響，應(yīng)采用定量和或定性的方法，對(duì)各種業(yè)務(wù)功能的中斷造成的影響進(jìn)行評(píng)估；是否已確定在災(zāi)害發(fā)生時(shí)必須保

37、證持續(xù)有效運(yùn)行的重要業(yè)務(wù)部門和后臺(tái)部門，是否確定災(zāi)害過程中銀行對(duì)外提供重要服務(wù)的最低要求。(3)檢查災(zāi)難恢復(fù)應(yīng)急預(yù)案的恢復(fù)策略和目標(biāo)的建立情況。重點(diǎn)檢查：1) 關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先順序、恢復(fù)計(jì)劃的時(shí)間進(jìn)度表；2) 災(zāi)難恢復(fù)時(shí)間范圍，即rto(業(yè)務(wù)恢復(fù)時(shí)間目標(biāo))和rpo(業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo))的范圍。確定每項(xiàng)關(guān)鍵業(yè)務(wù)功能的災(zāi)難恢復(fù)目標(biāo)和策略，不同的業(yè)務(wù)功能可采用不同的災(zāi)難恢復(fù)策略，也可采用同一套災(zāi)難恢復(fù)策略。(4)檢查災(zāi)難恢復(fù)等級(jí)的劃分制定清況。重點(diǎn)檢查：是否已把災(zāi)難恢復(fù)涉及資源分為7個(gè)要素：數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、技術(shù)支持能力、運(yùn)行維護(hù)管理能力、災(zāi)難恢復(fù)應(yīng)急預(yù)

38、案，并詳細(xì)說明各要素的具體要求。(5)檢查災(zāi)難恢復(fù)應(yīng)急預(yù)案的執(zhí)行情況。重點(diǎn)檢查：是否已進(jìn)行測(cè)試和演練，評(píng)估效果如何。3.備份中心的管理和操作情況(1)檢查備份中心的建設(shè)情況。重點(diǎn)檢查：災(zāi)備中心的能力否滿足其業(yè)務(wù)持續(xù)性規(guī)劃的要求，著重從以下幾個(gè)方面進(jìn)行了解：數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、技術(shù)支持能力、運(yùn)行維護(hù)管理能力。(2)檢查備份中心能力。重點(diǎn)檢查：應(yīng)確保省域以下數(shù)據(jù)中心至少實(shí)現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實(shí)現(xiàn)異地?cái)?shù)據(jù)實(shí)時(shí)備份，全國性數(shù)據(jù)中心實(shí)現(xiàn)異地災(zāi)備。(3)檢查外包備份中心的管理。重點(diǎn)檢查：對(duì)外包災(zāi)備的管理是否到位。是否有充分的資質(zhì)證書和能力證明，金融機(jī)構(gòu)如何考慮到對(duì)外包服務(wù)過分依賴導(dǎo)致的風(fēng)險(xiǎn)。4業(yè)務(wù)持續(xù)性規(guī)劃的測(cè)試和維護(hù)情況(1)檢查業(yè)務(wù)持續(xù)性規(guī)劃培訓(xùn)計(jì)劃的實(shí)施情況。重點(diǎn)檢查：是否已組織業(yè)務(wù)持續(xù)性規(guī)劃的教育培訓(xùn)工作。(2)檢查業(yè)務(wù)持續(xù)性規(guī)劃測(cè)試的情況。重點(diǎn)檢查：測(cè)試方案和計(jì)劃、測(cè)試結(jié)果情況及整改情況。(3)檢查變更維護(hù)情況。重點(diǎn)檢查：是否有良好的業(yè)務(wù)持續(xù)性規(guī)劃變更維護(hù)。業(yè)務(wù)流程變化、信息科技的變更、人