第1页共35页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共35页商业银行分支机构信息科技风险快速巡查单一、基本信息巡查承担机构:山东银监局信息科技监管处被巡查机构:中国农业发展银行山东省分行巡查目的:巡查负责人:房世晖巡查员:王丽颖巡查日期:2013年4月22日二、巡查方法现场巡查以访谈、实地查看为主,抽样查阅资料、安全测试为辅,其中抽样规则原则上定义为:1.文档或记录类型的资料,如会议记录、演练记录等,抽样数以近三个月巡查项总数的5%为抽样基准,也可根据访谈情况做出判定;如出现小数点,以四舍五入取整数;如果计算第2页共35页第1页共35页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共35页出的抽样数小于2,则至少取2个样例,如抽样数大于5,则取5个样例;2.设备类、系统类原则上抽样5台(套),同时注意样本分布结构;3.如需对网点进行巡查,网点的巡查数量控制在3家之内,随机抽取。三、巡查内容:第一部分:组织架构1.信息科技风险“三道防线”是否完整?风险控制部负责整体信息科技风险:■是□否科技部负责信息科技工作日常防范:■是□否审计部承担信息科技审计职能:■是□否备注(事实依据):巡查方法:访谈需关注的问题(根据需要填写):风险管理部制定了信息科技风险管理职责,但未制定相应第3页共35页第2页共35页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共35页的信息科技风险管理策略、制度、操作流程,也未配备具有相应资质的人员。2.高管层在信息科技工作中履职是否到位?有主管科技工作的行级领导:■有□无高管层对监管部门的监管制度较为了解:■是□否进行信息科技重大投入决策:■是□否审阅信息科技年度工作报告和工作计划:■是□否审阅信息科技风险评估报告并组织制定风险控制策略:□是■否审阅信息科技审计报告并督促整改:■是□否备注(事实依据):巡查方法:访谈和抽样需关注的问题(根据需要填写):高管层未组织制定风险控制策略。3.是否建立完整的信息安全管理组织架构,并正常开展工作?设立信息安全岗位负责机构信息安全的日常管理工作:第4页共35页第3页共35页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共35页■是□否定期开展信息安全管理开展工作并有相应的文档资料:■是□否制定信息安全责任制度:■有□无员工信息安全职责明确:■是□否备注(事实依据):巡查方法:访谈和抽样需关注的问题(根据需要填写):4.科技岗位设置是否符合规定?信息技术部科室、岗位设置按照总行要求进行:■是□否项目维护人员有A/B角设置:■是□否关键业务操作(如:重要密码输入、重要参数修改等)采用双第5页共35页第4页共35页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共35页人进行:□是■否信息科技运行与系统开发和维护分离:■是□否备注(事实依据):信息科技处不承担涉及生产系统的开发。巡查方法:访谈需关注的问题(根据需要填写):1.信息科技处明确了岗位和职责,但由于人员较少,兼岗现象比较突出;重要岗位未制定详细完整的工作手册并适时更新。2.各运维人员共用所维护系统的同一用户、密码,且全部使用超级用户,不能满足最小权限原则。5.是否进行人员安全管理?招聘新员工时,要求技术人员具备良好的职业道德,并掌握履行信息系统相关岗位职责所需的专业知识和技能:■是□否技术人员未经岗前培训或培训不合格者不得上岗:第6页共35页第5页共35页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第6页共35页■是□否经考核不合格的技术人员,及时进行调整:■是□否与重要岗位人员签订保密协议:■是□否当技术人员调离重要岗位时按保密协议对其设置脱密期,并进行审查:■是□否备注(事实依据):巡查方法:访谈和抽样需关注的问题(根据需要填写):6.制度落实情况如何?以适当的方式将监管部门和上级行的信息科技工作要求传达给所有员工:□是■否根据监管部门和上级行的制度要求制订适合实际的操作流程和实施细则:□是■否总行或分行对制度的落实情况定期进行检查...
