下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、精選優(yōu)質(zhì)文檔-傾情為你奉上2006年度銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)評(píng)價(jià)審計(jì)要點(diǎn)前 言 為防范銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn),保障信息系統(tǒng)運(yùn)行和操作安全,根據(jù)中國銀監(jiān)會(huì)銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引,提出對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)內(nèi)部和外部審計(jì)要點(diǎn),以切實(shí)加強(qiáng)銀行業(yè)金融機(jī)構(gòu)對(duì)戰(zhàn)略性風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、聲譽(yù)和法律風(fēng)險(xiǎn)的管理和控制,強(qiáng)化銀行業(yè)金融機(jī)構(gòu)作為信息安全第一責(zé)任人的責(zé)任,建立和完善信息科技風(fēng)險(xiǎn)管理機(jī)制,進(jìn)行有針對(duì)性的分類監(jiān)管。銀行業(yè)金融機(jī)構(gòu)的內(nèi)部和外部審計(jì)機(jī)構(gòu)應(yīng)按評(píng)價(jià)審計(jì)要點(diǎn)確定審計(jì)目標(biāo)和范圍,制定審計(jì)計(jì)劃、實(shí)施審計(jì)行為并提供審計(jì)報(bào)告。 一、信息科技治理和組織結(jié)構(gòu)目的:確立信息科技治理、組織結(jié)構(gòu)
2、和相關(guān)權(quán)責(zé),使董事會(huì)、獨(dú)立的審計(jì)部門和相關(guān)業(yè)務(wù)部門定期借助于真實(shí)業(yè)務(wù)數(shù)據(jù)和使用效果識(shí)別和明確信息系統(tǒng)操作的實(shí)施效果;在充分考慮銀行業(yè)金融機(jī)構(gòu)及其服務(wù)供應(yīng)各方的變化的基礎(chǔ)上,采取有針對(duì)性措施加強(qiáng)信息科技治理和組織結(jié)構(gòu)。 (一)制度建設(shè) 1、信息科技管理制度體系的建設(shè)情況; 2已發(fā)布實(shí)施的主要制度規(guī)章和管理辦法;3管理制度規(guī)章和管理辦法的制定、審批和修訂流程 (二)組織結(jié)構(gòu) 1信息科技管理的領(lǐng)導(dǎo)和決策機(jī)構(gòu)設(shè)置,其職能和工作機(jī)制; 2長期和短期信息科技發(fā)展規(guī)劃的制定、審批和修訂; 3信息科技部門的設(shè)置、職責(zé)和相互關(guān)系,重點(diǎn)包括:系統(tǒng)開發(fā)、技術(shù)支持、系統(tǒng)操作維護(hù)和系統(tǒng)安全; 4專門的技術(shù)風(fēng)險(xiǎn)管理部門設(shè)
3、置,其職責(zé)和工作機(jī)制; 5技術(shù)風(fēng)險(xiǎn)審計(jì)部門或崗位設(shè)置,審計(jì)頻率以及問題糾正機(jī)制情況: 6信息科技人員的專業(yè)素質(zhì)和培訓(xùn)情況;7信息科技風(fēng)險(xiǎn)內(nèi)部審計(jì)人員的素質(zhì)和培訓(xùn)情況。 二、信息安全管理目的:充分考慮與信息科技系統(tǒng)相關(guān)的風(fēng)險(xiǎn),維護(hù)金融業(yè)務(wù)的正常操作:保證被認(rèn)可的用戶能夠通過科學(xué)高效的系統(tǒng)架構(gòu)、操作流程和管理措施迅速地訪問所需信息;確保數(shù)據(jù)和系統(tǒng)的完整性、機(jī)密性和穩(wěn)定性等。 (一)信息安全基本要求 l. 信息安全工怍的基本原則、基本規(guī)劃; 2. 信息安全管理的流程、組織架構(gòu)和職責(zé)分配; 3信息安全的技術(shù)體系; 4. 信息安全風(fēng)險(xiǎn)評(píng)估和分級(jí)控制; 5信息安全的教育培訓(xùn),包括法規(guī)教育、安全知識(shí)教育和職
4、業(yè)道德教育等。 (二)邏輯訪問的風(fēng)險(xiǎn)與控制 1訪問控制原則; 2訪問授權(quán)的授權(quán)與核準(zhǔn); 3. 邏輯訪問風(fēng)險(xiǎn)的定義、分類和應(yīng)對(duì)措施; 4訪問控制軟件的使用情況;5磁卡、鑰匙和口令密碼等重要身份憑證的管理。 (三)網(wǎng)絡(luò)安全控制 1內(nèi)網(wǎng)的安全管理(Intranet的接入安全); 2 外網(wǎng)的安全管理(Internet和Extranet的接入安全); 3加密技術(shù)應(yīng)用和私鑰的管理: 4防火墻的設(shè)置、維護(hù)和管理:5入侵檢測系統(tǒng)。(四)環(huán)境的風(fēng)險(xiǎn)和控制1消防及防水設(shè)施:2不間斷電源保護(hù):3人員疏散計(jì)劃和通道。(五)物理訪問的風(fēng)險(xiǎn)與控制1出入通道鎖具的可靠性:2. 攝像監(jiān)測設(shè)施、警報(bào)系統(tǒng)和警衛(wèi)配備;3訪客、外包
5、服務(wù)人員、勤務(wù)人員出入管理規(guī)定;4入口數(shù)量控制;5計(jì)算機(jī)終端無人看管時(shí)的鎖定;6敏感性設(shè)施及場所的標(biāo)識(shí)隱匿;7文件柜的鎖定和監(jiān)控(六)軟件的風(fēng)險(xiǎn)與控制1軟件的病毒防護(hù)和管理;2軟件的升級(jí)和補(bǔ)丁管理;3軟件使用許可和授權(quán)管理。 三、信息科技項(xiàng)目開發(fā)和變更管理 目的:提高信息科技管理效率,實(shí)現(xiàn)信息科技對(duì)主體業(yè)務(wù)發(fā)展的有效支持保證信息科技與企業(yè)戰(zhàn)略的協(xié)調(diào)一致。 (一)項(xiàng)目開發(fā)管理 1項(xiàng)目管理的主要規(guī)章制度,包括:項(xiàng)目的審批流程,參與部門的職責(zé)劃分、時(shí)間進(jìn)度和財(cái)務(wù)預(yù)算管理、質(zhì)量檢測、風(fēng)險(xiǎn)評(píng)估等; 2項(xiàng)目周期管理的涵蓋范圍,包括:立項(xiàng)、可行性分析、制定需求、方案設(shè)計(jì)、程序開發(fā)系統(tǒng)測試、系統(tǒng)驗(yàn)收、使用培訓(xùn)
6、、實(shí)施操作和維護(hù)等;3開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境嚴(yán)格分離情況;4. 外部技術(shù)資源(包括軟件、硬件、服務(wù)等)管理,包括申請(qǐng)、測評(píng)、購買(合同)、使用等。 (二) 項(xiàng)目變更管理 1變更管理的主要規(guī)章制度; 2變更管理的審批授權(quán)機(jī)制和工作流程:3. 變更管理的登記、備案和存檔; (三) 項(xiàng)目資料文檔管理體系 1項(xiàng)目資料文檔的管理職責(zé); 2資料文檔的起草和審批職責(zé); 3資料文檔格式標(biāo)準(zhǔn)化規(guī)范: 4程序資料文檔的完整保存:程序設(shè)計(jì)和代碼標(biāo)準(zhǔn)、程序描述程序設(shè)計(jì)資料、代碼清單、源代碼命名規(guī)則、系統(tǒng)操作指南等; 5項(xiàng)目資科文檔的完整保存:項(xiàng)目需求、可行性分析、階段實(shí)施記錄(啟動(dòng)、計(jì)劃、設(shè)計(jì)、開發(fā)、測試、實(shí)施
7、、后評(píng)價(jià)等)。 (四) 系統(tǒng)設(shè)計(jì)開發(fā)外包缺陷風(fēng)險(xiǎn)管理 1代碼檢查; 2文檔管理 (包括:功能規(guī)則說明書,系統(tǒng)設(shè)計(jì)規(guī)則說明書,操作運(yùn)行手冊(cè));3. 技術(shù)傳送 四 、信息系統(tǒng)運(yùn)行和操作管理 目的:保證當(dāng)前和規(guī)劃的信息科技營運(yùn)體系能夠充分滿足董事會(huì)及高級(jí)管理層戰(zhàn)略目標(biāo)實(shí)現(xiàn)的需要,圍繞戰(zhàn)略目標(biāo)合理配置人力資源、系統(tǒng)設(shè)備和管理資料,建立并完善適當(dāng)?shù)膬?nèi)部控制環(huán)境,并依照規(guī)范程序有效識(shí)別、測量、控制和化解操作風(fēng)險(xiǎn)。 (一) 信息系統(tǒng)運(yùn)行體系建設(shè)情況 1. 信息系統(tǒng)運(yùn)行體系的組織架構(gòu); 2. 信息系統(tǒng)運(yùn)行體系的總體規(guī)劃、管理辦法、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)運(yùn)行體系各組成部分的管理細(xì)則; 3. 對(duì)于銀行核心業(yè)務(wù)系統(tǒng)的持
8、續(xù)性或階段性監(jiān)測:響應(yīng)時(shí)間和處理量、系統(tǒng)承載能力、任務(wù)處理失敗的次數(shù)、比例、類型和原因、系統(tǒng)使用的峰值和均值,系統(tǒng)使用趨向和容量等。 (二) 操作環(huán)境控制和預(yù)防性維護(hù)情況 1信息科技資產(chǎn)清單登記,包括計(jì)算機(jī)設(shè)備(供貸商和型號(hào))、網(wǎng)絡(luò)組件、應(yīng)用和系統(tǒng)軟件(品名、發(fā)布日期和版本號(hào))、應(yīng)用處理模式(實(shí)時(shí)處理、批赴理和延時(shí)處理); 2對(duì)信息系統(tǒng)性能和容量的管理: 3 制定反映各類連接物理位置和交互關(guān)系的系統(tǒng)圖和拓?fù)鋱D; 4. 信息系統(tǒng)環(huán)境控制和預(yù)防性維護(hù)應(yīng)對(duì)方案,包括:不間斷電源、不間斷網(wǎng)絡(luò)通信、物理環(huán)境適宜度控制(溫度、灰塵濕度等)、計(jì)算機(jī)連線、消防、防滲水、內(nèi)部和服務(wù)商日常預(yù)防性維護(hù)的管理等。 (
9、三) 生產(chǎn)變更管理 l. 變更管理的主要準(zhǔn)則和規(guī)章制度: 2. 變更管理的審批授權(quán)機(jī)制和工作流程: 3. 變更管理的登記、備案和存檔;4. 非計(jì)劃性緊急變更的實(shí)施方案、備份和恢復(fù)。 (四). 信息科技操作風(fēng)險(xiǎn)控制措施 1信息系統(tǒng)操作風(fēng)險(xiǎn)控制機(jī)制和流程; 2人力資源管理方案:對(duì)所有敏感性崗位人員的持續(xù)性背景檢查,充分的職責(zé)分離和崗位輪換,有效避免人員過度流失的政策有效的崗位職權(quán)中止規(guī)定; 3信息資料檔案管理:對(duì)信息輸出文件的控制和管理(電子和紙質(zhì)文檔的調(diào)閱、打印、復(fù)制、存放、銷毀等)。信息文件的傳輸管理(網(wǎng)絡(luò)隔離、加密技術(shù)的應(yīng)用)存儲(chǔ)介質(zhì)廢棄和處理,內(nèi)容的備份和恢復(fù)等。 (五) 日志管理 1對(duì)網(wǎng)
10、絡(luò)設(shè)備、防火墻、主機(jī)、數(shù)據(jù)庫等系統(tǒng)產(chǎn)生的日志實(shí)現(xiàn)100%的采集;2. 對(duì)采集的日志設(shè)定的保存期限;3. 日志資料的安全保護(hù)和調(diào)閱管理制度;4. 日志監(jiān)控和管理的崗位和人員設(shè)置情況。 五、業(yè)務(wù)持續(xù)性規(guī)劃 目的:制定并不斷完善書面的信息科技系統(tǒng)風(fēng)險(xiǎn)應(yīng)急處理方案,使信息科技風(fēng)險(xiǎn)管理涵蓋整個(gè)機(jī)構(gòu)的信息科技系統(tǒng)的管理、維護(hù)、重啟、恢復(fù)等各環(huán)節(jié)。 (一) 董事會(huì)和高級(jí)管理層在業(yè)務(wù)持續(xù)性規(guī)劃中的職責(zé)和工作機(jī)制1.規(guī)劃與業(yè)務(wù)發(fā)展策略的一致性; 2.資源和專業(yè)人員的配備情況; 3 管理體系架構(gòu)和風(fēng)險(xiǎn)控制策略制定情況;4. 商業(yè)保險(xiǎn)的使用和覆蓋情況; (二)業(yè)務(wù)持續(xù)性規(guī)劃的制定和實(shí)施 1.業(yè)務(wù)持續(xù)性規(guī)劃的涵蓋范圍; 2. 預(yù)測性的業(yè)務(wù)影響分析機(jī)制; 3. 業(yè)務(wù)恢復(fù)的組織機(jī)構(gòu)和應(yīng)對(duì)措施;4業(yè)務(wù)持續(xù)性規(guī)劃中涉及的各類文檔和資料管理。 (三) 備份中心的管理與操作 1 備份中心的建設(shè)、配置、組織機(jī)構(gòu)和操
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年度智能建筑通風(fēng)防排煙系統(tǒng)安裝合同范本3篇
- 2024企業(yè)環(huán)保項(xiàng)目勞務(wù)輸出與污染治理合同范本3篇
- 2024年離婚途徑對(duì)比:訴訟離婚與合同離婚速度研究一
- 2024年磚廠產(chǎn)品設(shè)計(jì)與質(zhì)量控制合同3篇
- 2024年度嬰幼兒看護(hù)服務(wù)合同范本3篇
- 2024年物流行業(yè)倉儲(chǔ)服務(wù)合同
- 2024年標(biāo)準(zhǔn)建筑工程承包合同條款版B版
- 生產(chǎn)車間安全管理處罰制度
- 企業(yè)辦公室日常管理制度
- 2025來料加工合同書范本
- 紅色簡約中國英雄人物李大釗課件
- 上海市住院醫(yī)師規(guī)范化培訓(xùn)公共科目考試題庫-重點(diǎn)傳染病防治知識(shí)
- 人民日?qǐng)?bào)出版社有限責(zé)任公司招聘筆試題庫2024
- 2024年煤礦事故匯編
- Unit 2 Different families(教學(xué)設(shè)計(jì))-2024-2025學(xué)年人教PEP版英語三年級(jí)上冊(cè)
- 西師大版五年級(jí)上冊(cè)小數(shù)混合運(yùn)算題100道及答案
- 2022年7月國家開放大學(xué)本科《中國法律史》期末紙質(zhì)考試試題及答案
- 行政文秘筆試題
- 2024-2025學(xué)年七年級(jí)數(shù)學(xué)上冊(cè)第一學(xué)期 期末模擬測試卷(湘教版)
- 2024年部門年終工作總結(jié)參考(四篇)
- 主題四 第1課 節(jié)氣與我們的生活(教學(xué)設(shè)計(jì))教科版五年級(jí)下冊(cè)綜合實(shí)踐活動(dòng)
評(píng)論
0/150
提交評(píng)論