商业银行分支机构信息科技风险快速巡查单一、基本信息巡查承担机构:山东银监局信息科技监管处被巡查机构:中国农业发展银行山东省分行巡查目的:巡查负责人:房世晖巡查员:王丽颖巡查日期:2013 年 4 月 22 日二、巡查方法现场巡查以访谈、实地查看为主,抽样查阅资料、安全测试为辅,其中抽样规则原则上定义为:1.文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的 5%为抽样基准,也可根据访谈情况做出判定;如出现小数点,以四舍五入取整数;如果计算出的抽样数小于 2,则至少取 2 个样例,如抽样数大于 5,则取5 个样例;2.设备类、系统类原则上抽样 5 台(套),同时注意样本分布结构;3.如需对网点进行巡查,网点的巡查数量控制在 3 家之内,随机抽取。三、巡查内容:第一部分:组织架构1. 信息科技风险“三道防线”是否完整?风险控制部负责整体信息科技风险: ■是 □否科技部负责信息科技工作日常防范: ■是 □否审计部承担信息科技审计职能: ■是 □否备 注(事实依据):巡查方法:访谈需关注的问题(根据需要填写):风险管理部制定了信息科技风险管理职责,但未制定相应的信息科技风险管理策略、制度、操作流程,也未配备具有相应资质的人员。2. 高管层在信息科技工作中履职是否到位? 有主管科技工作的行级领导: ■有 □无高管层对监管部门的监管制度较为了解: ■是 □否进行信息科技重大投入决策: ■是 □否审阅信息科技年度工作报告和工作计划: ■是 □否审阅信息科技风险评估报告并组织制定风险控制策略:□是 ■否审阅信息科技审计报告并督促整改: ■是 □否备 注(事实依据): 巡查方法:访谈和抽样需关注的问题(根据需要填写):高管层未组织制定风险控制策略。3. 是否建立完整的信息安全管理组织架构,并正常开展工作?设立信息安全岗位负责机构信息安全的日常管理工作:■是 □否定期开展信息安全管理开展工作并有相应的文档资料: ■是 □否制定信息安全责任制度: ■有 □无员工信息安全职责明确: ■是 □否备 注(事实依据):巡查方法:访谈和抽样需关注的问题(根据需要填写): 4. 科技岗位设置是否符合规定?信息技术部科室、岗位设置按照总行要求进行: ■是 □否项目维护人员有A/B角设置: ■是 □否关键业务操作(如:重要密码输入、重要参数修改等)采用双人进行:□是 ■否信息科技运行与系统开发和维护分离: ■是 ...
