银监会信息系统现场检查指南

信息系统现场检查指南（架构）

为了规范和指导信息系统现场检查工作，提高信息系统现场检查的水平，确保信息系统现场检查的质量，特制定本指南。

一、检查目的

（一）了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况，以及从业人员有关业务、技术和安全培训情况，评价其信息科技管理组织水平；

（二）了解和掌握银行业金融机构信息安全保障体系和内部控制规程，信息系统风险管理岗位责任制度和监督落实情况，评价其计算机安全管理水平；

（三）了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况，关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节，评价其管理水平；

（四）了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况，促进银行业金融机构完善内控环境，控制和化解操作风险；

（五）了解和掌握银行业．金融机构信息系统在业务持续性计划方面制度建设和执行情况，促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。

二、检查要点

（一）检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性，评估信息科技规划和管理的水平，了解信息科技人才管理机制，分析业务、技术和安全培训工作的及时性和有效性，确保合理及时地防范和控制信息系统组织、规划风险。

（二）检查信息安全管理的流程情况，分析相关系统用户管理制度、密码管理制度及网络安全制度，测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性，评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。

（三）检查分析软件及项目开发管理制度，了解信息科技部门档案管理流程，审阅外包项目涉及的软件质量验收标准，检查银行业金融机构信息系统风险管理效率及水平，评估系统开发的流程、质量及安全的管理情况。

（四）检查信息系统运行和操作管理情况，检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式，评估系统运行和操作管理的风险状况，促进运行操作管理的科学化、制度化和规范化，确保信息系统安全可靠的运行。

(五)检查业务持续性规划的制定情况，分析其是否明确定义了管理层关于维护信息系统可用性及更新相关业务持续性计划的责任和义务，并制定了合适的负责人员。评估建设及实施关于灾难恢复的组织机构、业务流程和应对措施的合理性。

三、检查内容

（一）信息科技公司治理和组织结构

1．制度建设

（1）检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则，分析制度制定、审批、修订和发布等流程的规范性。

（2）检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查：各项制度规章是否正式发文，内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和监控等范畴，是否明确相关人员的职责权限并实行最小授权的制约机制，是否建立制订后评价程序或机制，现有的制度是否适应组织结构、业务管理、信息安全的需要。

（3）检查实施知识产权保护情况。重点检查：正版软件版本管理情况；国产自有知识产权的软硬件的使用情况；信息化安全等级保护工作情况；自主知识产权信息化成果保护情况。

2．组织结构

（1）检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。重点检查：

①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责；负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门的建设情况；信息科技风险管理职责的归属以及管理情况；公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。

②该银行组织结构设计的战略定位，组织结构的合理性是否符合风险管理的需要；董事会和高管层面是否重视科技管理和信息科技规划工作；了解董事会对信息科技所担负的职责，管理层如何发挥对信息科技的监督和指导作用；辨析组织的灵活性以及角色与职责的清晰程度，了解内部平衡监督和放权的关系；分析对安全、质量和内部控制等的组织定位。

(2）检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。重点检查：信息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容；评估近期、中期和远期关于信息科技的重大策略和目标的合理性。着重从以下几个方面了解：

①银行如何利用信息科技技术更好地为企业创新服务，在进行信息科技治理时如何贯彻“以组织战略目标为中心’，的思想，确保信息科技资源与业务匹配；银行的信息科技投资是否与战略目标相一致；是否合理配置信息科技资源以实现面向服务的架构，核心业务系统是否能满足银行变化的需求；业务流程如何整合信息科技流程，在关键战略决策中信息科技的融入程度，确保无信息孤岛现象。

②信息科技规划中如何更好的控制风险，包括控制业务风险和控制由信息科技使用带来的风险。是否在信息科技建设规划每个环节考虑到风险因素，满足银行最低风险控制需要；是否考虑到风险管理系统的建设，特别是满足监管当局的监管需求；能否实现自动从业务或风险系统中采集监管数据，以提高银行风险监管能力。

③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平，比如可以按信息资产规模分为落后型、发展型、追随型和领先型。

（3）检查高管层对本机构信息系统风险状况的控制程度。重点检查：是否定期组织内部评估、审计、报告本机构信息系统风险状况；针对存在的风险状况是否采取相应的风险控制措施，以及各项措施的卜具体内容环节、主要实施部门和评估结果；是否建立了对整改工作的监督机制。

（4）检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。重点检查：人员素质情况，包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构；人员在系统内的占比情况；内审部门是否有既懂科技又懂业务的审计人员，风险管理部门是否有专职IT 人员和已获得上岗证书的信息安全管理员；对信息科技人员的行为规范管理情况。

（5)检查科技队伍培训、激励等管理机制的建设执行情况。重点检查：培训规划和历史记录，包括职业培训、岗前培训情况，相关职责所需专业知识和技能的实际符合情况；分析信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透明。

（二）信息安全管理

1.信息安全建设基本情况

（1)检查内部科技风险管理机构对信息系统面临的风险开展评估的情况。重点检查：通过调阅该机构安全领导小组成立（或调整）的文件，其他与计算机安全相关的会议记录或文件，了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门，是否充分履行有关计算机安全管理和监督检查职责。

（2）检查服务承包商和提供商与相关法律、法规等的符合程度。重点检查：通过调阅该机构所有承包商和服务提供商的详细资料和合同文本，确认所有承包商和服务提供商是否