銀行信息系統(tǒng)運行管理檢查程序

1、銀行信息系統(tǒng)運行管理檢查程序 1.1 日常運行管理 運行管理部門應制定詳 細的操作規(guī)程，以保證運行管理工作有序開展 。操作規(guī)程應當明確說明信息系統(tǒng)、信息 資產與具體業(yè)務的關聯(lián)關系，數(shù)據(jù)在業(yè)務系統(tǒng) 間流轉的過程，工作安排以及操作細則，并確保能被正確的理解和使用。 檢查項 1：運行部門和崗位設置 基本要求：銀行負責信息科 技運行的職能部門，應當合理設 置運行的各個崗位，對崗位職責、權限進行明 確劃分，保持崗位職責與崗位權限保持一致，并對 崗位的最小權限進行限定及不兼容崗位進行不兼崗限定，同時重要崗位、重要系統(tǒng)管理人員應該有雙人備份機制。 檢查方法、步驟：1、調閱有關崗位職責及權限的說明書，人員清單

2、，不兼容崗位清單等資料；2、詢問兩個不兼容崗位的人員，了解同一個人是否存在不兼容崗位。 檢查項 2：信息科技部門人員管理 基本要求：對 IT 業(yè)務從業(yè)人員有嚴格的管理制度，并能夠按照制度要求實行定期輪崗，同時 保證 一人不 會存在 兩個 有危險 交叉的 崗位 上實行 輪換， 保證 重要崗 位執(zhí)行 強制 休假制度。 檢查方法、步驟：1、調閱 IT 部門相關人員管理制度、崗位職責等相關文件；2、調閱 IT部門崗位交接相關制度文件；3、調閱有人員調離或換崗時的登記記錄，并對調離人員簽署相應的安全協(xié)議；4 詢問重要崗位備份人員相關情況，檢查是否滿足人員備份要求；5、調閱重要崗位強制休假記錄。 檢查項

3、3：信息科技部門人員培訓 基本要求：信息科技部門人員須定期進行培訓，并保證操作人員已掌握了新業(yè)務的操作，并對新業(yè)務帶來的風險有防范意識。 檢查方法、步驟： 1、調閱業(yè)務培訓計劃和以往培訓記錄等相關資料；2、詢問 IT 部門業(yè)務主管，是否對相關業(yè)務人員根據(jù)業(yè)務發(fā)展制定相關的培訓計劃。 檢查項 4：系統(tǒng)用戶的管理 基本要求：銀行信息科技運 行部門應當加強應用系統(tǒng)、主機 系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的授權管理。 檢查方法、步驟：1、詢問系統(tǒng)管理員是否嚴格按照系統(tǒng)授權管理制度進行了用戶管理，并定期檢查系統(tǒng)用戶賬號，確保每個賬號有唯一的、合規(guī)的使用人員；2、詢問系統(tǒng)管理員在使用超級用戶職權時，是否采取了如雙人

4、管理等制約措施并留有操作記錄；3、調閱授權管理制度，各類系統(tǒng)用戶清 單，定期檢查記錄，訪問日志，用戶設置、變 更、刪除的審批記錄等相關；4、參考人員換崗、離職清單，檢查其權限變更、刪除情況 檢查項 5：系統(tǒng)性能的監(jiān)控 基本要求：銀行應當建立重 要信息系統(tǒng)的性能監(jiān)控系統(tǒng)，尤 其是加強對系統(tǒng)重要性能參數(shù)的監(jiān)控，并合理設置監(jiān)控系統(tǒng)的預警值。 檢查方法、步驟：1、詢問 IT 部門主管，是否建立了系統(tǒng)性能的監(jiān)控系統(tǒng)，并設定了系統(tǒng)重要核心參數(shù)監(jiān)控清單和合理的預警值（至少包含：CPU 利用率、網(wǎng)絡利用率、存儲容量、系統(tǒng)狀態(tài)等）；2、調閱性能狀況、趨勢的分析報告；3、調閱峰值記錄的分析。4、調閱系統(tǒng)設計文檔等

5、資料。 檢查項 6：信息系統(tǒng)配置的管理 基本要求：銀行信息科技部 門應當對運行環(huán)境的系統(tǒng)配置進 行嚴格的控制，并與備份配置保持一致，絕對禁止任何非授權的修改配置行為。 檢查方法、步驟：1、詢問 IT 部門主管，是否建立了有效的配置管理措施。2、調閱配置管理機制或系統(tǒng)，配置管理記錄，檢查安全配置策略等。 檢查項 7：系統(tǒng)設置參數(shù)的更改 基本要求：各類系統(tǒng)的管理 人員更改系統(tǒng)的設置參數(shù)時，必 須提出書面申請并經信息科技管理部門負責人簽字確認，特別重要的系統(tǒng)，如：主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng),需經 CIO 簽字確認,其執(zhí)行情況應在操作日志中記錄。 檢查方法、步驟：1、調閱資料：檢查管理員更改系統(tǒng)的設置參

6、數(shù)時，是否提出書面申請，并經過科技部門負 責人的簽字確認；檢查對主要系統(tǒng)主機操作系統(tǒng)和 數(shù)據(jù)庫的更改是否經過CIO 的簽字確認；2、檢查更改的執(zhí)行情況是否在操作日志中留有記錄。 檢查項 8：設備和介質的生命周期管理 基本要求：銀行 應當按照設備和介質的安全等級，制定生命周期全流 程的管理措施，尤其是加強報廢期的安全管理。硬件設備主要包括：主機、小型機、服務器、網(wǎng)絡和撥號設備、網(wǎng)絡安全設備、通訊設備、PC 等終端設備和外來的特定用途設備等。介質包括：文檔、磁帶、磁盤、遠程存儲器、光盤、移動存儲器等。 檢查方法、步驟：1、詢問 IT 部門主管，是否按照設備和介質的安全等級，制定了生命周期的管理措施

7、；2、調閱管理措施，監(jiān)控或檢查記錄等相關資料；3、查看相關資料，查看有無報廢控制的要求； 檢查項 9：日志管理 基本要求：銀行信息科技運 行部門應當加強日志管理，對日志實行分級管理，確保重要 的運行行為被記錄和分析，對重要日志實行定期備份，保證當發(fā)生安全事件時做到有據(jù)可查。 檢查方法、步驟：1、詢問 IT 部門主管，是否有專人負責日志管理和定期分析的記錄；2、調閱日志，定期分析記錄等資料。 檢查項 10：問題管理 基本要求：銀行應當建立有 效的問題管理機制，及時響應信 息系統(tǒng)運行事故，逐級向相關的信息科技管理人員 匯報事故的發(fā)生，記錄、分析和跟蹤所有事故 ，直到對事故進行徹底的改正并完成根本原

8、因的分析。 檢查方法、步驟：1、詢問 IT 部門主管，是否建立了問題管理機制；2、是否有問題管理處理過程記錄文檔;3、調閱問題管理機制，問題管理處理過程記錄文檔等資料。 檢查項 11：服務臺管理 基本要求：銀行信息科技應 當建立服務臺，為行內用戶提供 所有技術相關問題的在線支持，并將問題提交給相關信息科技職能部門進行調查核實解決。 檢查方法、步驟：1、 詢問相關人員，是否建立了服務臺及管理制度；2、是否保有服務臺服務過程記錄文檔；3、調閱服務臺管理制度，服務臺服務過程記錄文檔等資料。 檢查項 12：呼叫中心 基本要求：銀行信息科技部 門應為呼叫中心提供給技術支持 ，對信息科技事件做出迅速響應，

9、制定問題與事件 管理機制，記錄、分析與追蹤所有問題及事件 的發(fā)展，直至問題和事件解決為止。 檢查方法、步驟：訪談負責系統(tǒng)維護管理的主管，調閱相關制度和文檔，了解以下要點：1、是否為呼叫中心提供技術支持；2、是否建立問題與事件管理機制，記錄、分析與追蹤所有這些問題及事件的發(fā)展。 檢查項 13：桌面管理 基本要求：信息科技運行部 門應當對系統(tǒng)運行部門桌面進行 有效管理，建立桌面管理制度。 檢查方法、步驟：1、 調閱相應的桌面管理制度；2、查看是否有離開時間使用屏幕保護的要求；3、是否有定期更改密碼的要求及相應得記錄；4、調閱定期修改密碼的檢查記錄等資料。 1.2 日常運行的監(jiān)督 運行管理部門應定期

10、通 過自我評估或獨立的審計活動，結合業(yè)務系統(tǒng) 間的關聯(lián)關系，識別運行中的風險因素，并完善風險控制措施。對各類管理人員的履行職責情況進行定期檢查、核對，并及時糾正其錯誤。 檢查項 1：規(guī)章制度及信息安全控制執(zhí)行情況的檢查 基本要求：銀行信息科技 部門應當對規(guī)章制度執(zhí)行情況進行 檢查，確保規(guī)章制定得到有效落實；對信息安 全策略、標準及制度的執(zhí)行情況進行檢查，及時發(fā) 現(xiàn)制度執(zhí)行過程存在的問題。 檢查方法、步驟：1、 調閱檢查制度；2、調 閱按照規(guī)章制度要求對執(zhí)行情況進行檢查的記錄；3、調閱對安全策略和標準的執(zhí)行進行跟蹤和檢查的記錄；4、調閱對制度執(zhí)行過程存在問題的原因進行分析的相關記錄；5、調閱審計

11、部門出具的評估報告等。 檢查項 2：運行報告 基本要求：信息科技運行部門應當定期將重要信息系統(tǒng)的運行報告提交管理層。 檢查方法、步驟：1、 調閱重要信息系統(tǒng)運行報告；2、檢查管理層是否閱讀了運行分析報告并簽字確認。 1.3 可靠性運行管理 運行管理部門應制定詳 細的業(yè)務連續(xù)性計劃，以保障業(yè)務系統(tǒng)的穩(wěn)定 運行，并能在業(yè)務中斷以及災難情況下，快速的恢復。 檢查項 1：單點故障的排查 基本要求：銀行信息科技部門應當定期排查單點故障問題。 檢查方法、步驟：1、 調閱資料，檢查是否有完整的定期關鍵單點故障排查的記錄；2、調閱排查機制，排查記錄等相關資料。3、詢問 IT 部門主管，是否對故障采取了有效的措

12、施。 檢查項 2：信息系統(tǒng)漏洞導致業(yè)務失控的風險排查 基本要求：銀行信息科技部 門應當及時對偶然發(fā)生的因信息 系統(tǒng)漏洞導致業(yè)務失控的風險進行排查，并采取相應的控制措施。如：ATM 偶然出現(xiàn)超大額現(xiàn)金支取權限等。 檢查方法、步驟：調閱資料，查看是否保留案例故障原因排查的記錄等。 檢查項 3：數(shù)據(jù)的管理 基本要求：銀行應當建立了 足夠的數(shù)據(jù)管理措施，保證重要 的業(yè)務信息和客戶信息在采集、傳輸、使用、存儲、備份、恢復、查詢、銷毀等過程中得到保護。 檢查方法、步驟：詢問 IT 部門主管，調閱相關資料，了解是否制定了數(shù)據(jù)管理各環(huán)節(jié)的嚴格控制制度，并保留相關的管理記錄； 1.4 安全運行管理 銀行業(yè)金融機

13、構應建立 完善的信息安全組織體系，清晰、明確地闡明 各層組織機構、信息技術管理各相關部門及崗位的安全職責，確保信息安全的決策、管理、指導、執(zhí)行、監(jiān)督、審查等各環(huán)節(jié)工作的有效落實、改進和不斷完善。 檢查項 1：對已獲知的外部安全問題信息的反應 基本要求：銀行信息科技運 行部門對已獲知的外部安全問題 信息應該引起重視，研究自身是否有同樣的問題隱患，及時采取安全防范措施。 檢查方法、步驟：1、調閱資料，檢查是否有外部信息系統(tǒng)安全事件，本部門研究記錄；2、詢問 IT 部門主管，是否對已獲知的外部事件針對本行采取向應的應對措施 檢查項 2：信息安全事件的響應 基本要求：銀行應當建立信息安全事件的響應機制

14、。 檢查方法、步驟：1、 調閱資料，檢查是否建立了信息安全事件的響應機制和流程；2、查看信息安全事件的響應過程是否符合響應機制和流程的要求。 檢查項 3：信息安全設備的完備性 基本要求：銀行應當配備足 夠網(wǎng)絡安全設備，并符合信息系 統(tǒng)安全保護的等級要求。安全設備主要包括：邊界控制設備（如防火墻、網(wǎng)關等）、身份識別設備（如門禁、證書系統(tǒng)、用戶登錄系統(tǒng)等）、加密設備（如加密機、加密卡等）、病毒和黑客防范設備（如防病毒系統(tǒng)、防篡改系統(tǒng)、防病毒網(wǎng)關等）等。 檢查方法、步驟：1、詢問 IT 部門主管，信息系統(tǒng)是否達到信息系統(tǒng)安全保護的等級要求；2、在系統(tǒng)投入生產前是否有生產前測試 3、有無防攻擊演練記錄

15、； 3、調閱設備配置清單，網(wǎng)絡拓撲圖，攻擊演練記錄，系統(tǒng)設計文檔等相關資料。 檢查項 4：信息安全的管理工具 基本要求：銀行應當合理配 置信息安全管理工具，并經授權 后使用管理工具進行分析和報告。信息安全管理工 具包括但不限于：入侵檢查管理工具、性能檢 測管理工具、網(wǎng)絡管理工具、配置管理工具。 檢查方法、步驟：1、詢問 IT 部門主管，是否留有使用管理工具進行有效分析的記錄和 報告；2、是 否配置入侵檢 測管理工具；3、有 無防攻擊演練記 錄；4、調閱管理工 具清單，分析記錄或報告，攻擊演練記錄等相關資料。 檢查項 5：病毒的檢測和預防 基本要求：銀行應當制定病毒檢測和預防的措施，預防病毒的大

16、規(guī)模爆發(fā)。 檢查方法、步驟：1、詢問 IT 部門主管，病毒檢測系統(tǒng)能否覆蓋全部的信息科技設備和終端；2、是否對病毒檢測系統(tǒng)及時升級和維護；3、詢問是否發(fā)生過大規(guī)模的病毒爆發(fā)，如果出現(xiàn)過，是怎么樣進行處理的 4、調閱資料，查看處理記錄；5、查看病毒定義版本。 1.5 保密運行管理 銀行要對數(shù)字簽名、認證和口令進行嚴格管理，達到國家有關密碼管理要求，根據(jù)交易的重要性和安全程度建立必要的交易驗證機制，尤其是對高風險業(yè)務。 檢查項 1：數(shù)字簽名和認證的安全性 基本要求：銀行建立的數(shù)字 簽名和認證系統(tǒng)應當符合國家法 律法規(guī)的要求，并有國家權威部門的認證。 檢查方法、步驟：1、 數(shù)字簽名和認證系統(tǒng)符合國家

17、相關法律的要求；2、數(shù)字簽名和認證系統(tǒng)獲得國家權威部門的銷售許可和安全監(jiān)測；3、使用第三方的數(shù)字簽名和認證系統(tǒng)，服務提供方獲得了相關法律許可，使用的數(shù)字簽名和認證系統(tǒng)進行過充分測試；4、調閱資料，查看產品說明書，產品認證證書，測試記錄，數(shù)字簽名和認證安全等資料等。 檢查項 2：口令的管理 基本要求：銀行口令管理應達到口令和密碼安全策略的要求，并制定了口令和安全策略。 檢查方法、步驟：1、詢問 IT 部門主管，詢問口令設置符合口令和密碼安全策略，對弱口令進行了屏蔽；2、調閱審計部門的或 IT 部門根據(jù)相關制度文件，對于口令管理的現(xiàn)場檢查記錄等。 檢查項 3：交易的驗證 基本要求：銀行應當根據(jù)交 易的重要性和安全程度建立必要 的交易驗證機制，尤其是對高風險業(yè)務。 檢查方法、步驟：1、詢問 IT 部門主管，是否有對交易的重要性和安全程度進行驗證、