商业银行分支机构信息科技风险快速巡查单一、基本信息巡查承担机构:山东银监局信息科技监管处被巡查机构:中国农业发展银行山东省分行巡查目的:巡查负责人:房世晖巡查员:王丽颖巡查日期:2013 年 4 月 22 日二、巡查方法现场巡查以访谈、实地查看为主,抽样查阅资料、安全测试为辅,其中抽样规则原则上定义为:1
文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的 5%为抽样基准,也可根据访谈情况做出判定;如出现小数点,以四舍五入取整数;如果计算出的抽样数小于 2,则至少取 2 个样例,如抽样数大于 5,则取5 个样例;2
设备类、系统类原则上抽样 5 台(套),同时注意样本分布结构;3
如需对网点进行巡查,网点的巡查数量控制在 3 家之内,随机抽取
三、巡查内容:第一部分:组织架构1
信息科技风险“三道防线”是否完整
风险控制部负责整体信息科技风险: ■是 □否科技部负责信息科技工作日常防范: ■是 □否审计部承担信息科技审计职能: ■是 □否备 注(事实依据):巡查方法:访谈需关注的问题(根据需要填写):风险管理部制定了信息科技风险管理职责,但未制定相应的信息科技风险管理策略、制度、操作流程,也未配备具有相应资质的人员
高管层在信息科技工作中履职是否到位
有主管科技工作的行级领导: ■有 □无高管层对监管部门的监管制度较为了解: ■是 □否进行信息科技重大投入决策: ■是 □否审阅信息科技年度工作报告和工作计划: ■是 □否审阅信息科技风险评估报告并组织制定风险控制策略:□是 ■否审阅信息科技审计报告并督促整改: ■是 □否备 注(事实依据): 巡查方法:访谈和抽样需关注的问题(根据需要填写):高管层未组织制定风险控制策略
是否建立完整的信息安全管理组织架构,并正常开展工作
设立信息安全岗位负责机构信息安全的日常管理工作:■是 □否定期开
