商业银行分支机构信息科技风险快速巡查单

商业银行信息科技风险动态监测规程（征求意见稿）第一章总则第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。

第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。

第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。

第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。

第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。

政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。

第二章动态监测指标选取原则及分类第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。

第七条监测指标选取遵循以下四个原则：（一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；（二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；（三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况；（四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。

其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。

第三章动态监测指标体系第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行分支机构信息科技风险
快速巡查单
一、基本信息
二、巡查方法
现场巡查以访谈、实地查看为主，抽样查阅资料、安全测试为辅，其中抽样规则原则上定义为：
1.文档或记录类型的资料，如会议记录、演练记录等，抽样数以近三个月巡查项总数的5％为抽样基准，也可根据访谈情况做出判定；如出现小数点，以四舍五入取整数；如果计算出的抽样数小于2，则至少取2个样例，如抽样数大于5，则取5个样例；
2.设备类、系统类原则上抽样5台（套），同时注意样本分布结构；
3.如需对网点进行巡查，网点的巡查数量控制在3家之内，随机抽取。

三、巡查内容：
第一部分：组织架构
第二部分：机房管理
第三部分：运行管理
第四部分：业务连续性
第五部分：外包管理
第六部分：内外部审计
第七部分：配合监管情况
上述情况请予确认，如有异议请书面反馈并签字盖章后，于2013年5月**日前送达本巡查组。

逾期未送达视同认可巡查组意见。

快速巡查组组长签字：
快速巡查组成员签字：
年月日被巡查机构反馈意见：
单位主要负责人签字：
（公章）
年月日。

银行业金融机构分支机构信息科技非现场监管报表填报机构：联系人：联系方式：目录第一部分年度报表 (4)F-B-1 信息科技基本情况表 (4)F-B-1 填报说明 (9)F-B-2 各类机房情况表 (13)F-B-2 填报说明 (16)F-B-3 信息系统管理情况表 (18)F-B-3 填报说明 (26)F-B-4 业务连续性情况表 (29)F-B-4 填报说明 (30)F-B-5 网络管理情况表 (32)F-B-5 填报说明 (36)F-B-6 外包管理情况表 (38)F-B-6 填报说明 (41)第二部分实时报表 (43)F-A-1 信息科技组织、人员重大变动报告表 (43)F-A-1 填报说明 (43)F-A-2 信息科技重大突发事件报告表 (45)F-A-2 填报说明 (46)F-A-3 重大投产及变更报告表 (48)F-A-3 填报说明 (49)F-A-4 信息科技内外部审计情况报告表 (51)F-A-4 填报说明 (52)第三部分年度报告 (54)F-R-1 信息科技年度报告 (54)F-R-1 填报说明 (56)银行业金融机构分支机构信息科技非现场监管报表填报须知 (57)第一部分年度报表□报送空表F-B-1 信息科技基本情况表填报部门：填报人：联系电话：责任人：填表日期：最新精品资料整理推荐，更新于二〇二一年一月二十日2021年1月20日星期三07:10:36最新精品资料整理推荐，更新于二〇二一年一月二十日2021年1月20日星期三07:10:36最新精品资料整理推荐，更新于二〇二一年一月二十日2021年1月20日星期三07:10:36最新精品资料整理推荐，更新于二〇二一年一月二十日2021年1月20日星期三07:10:36附件：1、信息科技管理职能部门组织结构。

注：分支机构可报送信息科技管理职能部门的组织结构图，但需至少包含上述表格中的基本信息。

2、本年度已完成的信息科技内部审计报告。

银行业金融机构信息科技管理工作考核办法（试行）第一章总则第一条为完善信息科技治理措施，增强银行业信息科技风险防范能力，推动辖内商业银行信息化建设健康发展，更好地运用信息技术提升业务管理和风险防范水平，根据《中国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《商业银行业务连续性监管指引》、《商业银行外包风险管理指引》、《银行业重要信息系统突发事件管理规范》等法律法规，制定本考核办法。

第二条ⅩⅩ银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比，考核评比工作由ⅩⅩ银监分局统计信息科组织实施。

第三条本办法的考核评比周期为一年，自上年度12月份至本年度11月末，考核情况每半年通报1次，每年年底对全年考核结果进行通报表彰。

第四条本办法适用于ⅩⅩ辖区各银行业金融机构。

第二章考核内容及计分方法第五条信息科技管理考核工作的内容，包括信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三个方面，同时设立加分项目对在信息科技管理方面表现优异的机构给予鼓励。

第六条信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法，百分考核得分与加分项目考核得分相加为综合考核得分。

第七条信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三项工作实行百分制考核，每项满分100分，分别按40%、30%、30%的权重计入百分考核得分；加分项目实行单独考核，视完成情况进行奖励加分，直接计入综合考核得分。

第三章考核标准第八条信息科技日常管理考核标准。

法人机构应在完善信息科技治理的基础上，建立信息科技风险“三道防线”，做好信息科技规划，提升信息系统建设效率，确保信息系统稳健运行并采取有效内控措施减少信息系统应用风险；分支机构应重点加强业务连续性和信息安全管理，建立相应的管理制度，确保经营过程中不发生信息安全事故。

1.银行业金融机构未指定信息科技风险牵头管理部门，扣5分；牵头部门及负责人变更未按要求向监管部门报告的，每次扣2分；牵头部门未能积极配合监管部门进行工作协调的，每次扣2分。

银行业金融机构信息科技管理工作考核办法（试行）第一章总则第一条为完善信息科技治理措施，增强银行业信息科技风险防范能力，推动辖内商业银行信息化建设健康发展，更好地运用信息技术提升业务管理和风险防范水平，根据《中国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《商业银行业务连续性监管指引》、《商业银行外包风险管理指引》、《银行业重要信息系统突发事件管理规范》等法律法规，制定本考核办法。

第二条威海银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比，考核评比工作由威海银监分局统计信息科组织实施。

第三条本办法的考核评比周期为一年，自上年度12月份至本年度11月末，考核情况每半年通报1次，每年年底对全年考核结果进行通报表彰。

第四条本办法适用于威海辖区各银行业金融机构。

第二章考核内容及计分方法第五条信息科技管理考核工作的内容，包括信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三个方面，同时设立加分项目对在信息科技管理方面表现优异的机构给予鼓励。

第六条信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法，百分考核得分与加分项目考核得分相加为综合考核得分。

第七条信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三项工作实行百分制考核，每项满分100分，分别按40%、30%、30%的权重计入百分考核得分；加分项目实行单独考核，视完成情况进行奖励加分，直接计入综合考核得分。

第三章考核标准第八条信息科技日常管理考核标准。

法人机构应在完善信息科技治理的基础上，建立信息科技风险“三道防线”，做好信息科技规划，提升信息系统建设效率，确保信息系统稳健运行并采取有效内控措施减少信息系统应用风险；分支机构应重点加强业务连续性和信息安全管理，建立相应的管理制度，确保经营过程中不发生信息安全事故。

1.银行业金融机构未指定信息科技风险牵头管理部门，扣5分；牵头部门及负责人变更未按要求向监管部门报告的，每次扣2分；牵头部门未能积极配合监管部门进行工作协调的，每次扣2分。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

农信社信息化：信息科技风险防范随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合，并成为农信社稳健运营和发展的支柱，然而，对于信息科技风险管控尚处于起步阶段，如何最大限度地防范信息科技风险，充分享受信息科技带来的便捷和效率，已成为当前我们必须认真研究的一个重要课题，信息科技风险防范工作亟待加强。

一、当前信息科技风险防范工作中存在的主要问题信息科技，是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术，在业务交易处理、经营管理和内部控制等方面的应用，并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。

信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

由于近年来农村信用社各项业务快速发展，信息化水平的不断提高，新设备、新技术、新程序的大量应用，信息科技风险防范工作亦面临着新的形势、新的情况和新的问题，呈现出多元发展的趋势其风险范畴也从单一的技术领域延伸至投资、经营、管理的各个层面。

(一)对信息科技风险认识不到位一是思想认识不到位。

目前，基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题，缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要，排起队来次要，出了问题什么都不要”，信息科技风险管理相对薄弱。

二是科技力量相对薄弱。

信息科技管理部门人员配备不足，科技人员数量与辖内网点数量严重不匹配，由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉，往往身兼数岗，关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换，缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。

三是科技人员知识水平不高。

中国银行业协会关于印发《商业银行防范外部欺诈工作指引》的通知文章属性•【制定机关】中国银行业协会•【公布日期】2010.11.16•【文号】银协秘发〔2020〕20号•【施行日期】2010.11.16•【效力等级】行业规定•【时效性】现行有效•【主题分类】银行业监督管理正文关于印发《商业银行防范外部欺诈工作指引》的通知银协秘发〔2020〕20号各会员单位：为了进一步建立健全银行机构外部欺诈防范体系，提升外部欺诈防控能力，有效应对外部风险,中国银行业协会安全保卫专业委员会(以下简称“中银协安保委”)组织起草了《商业银行防范外部欺诈工作指引》，并经中银协安保委第三届一次常委会审议通过。

现印发给你们，供参照执行。

执行过程中出现的相关问题，可将书面意见反馈中银协安保委办公室邮箱：**********************。

中国银行业协会2010年11月16日商业银行防范外部欺诈工作指引（2020年11月16日）第一章总则第一条【宗旨和依据】为提升银行业外部欺诈风险防范化解能力，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《商业银行操作风险管理指引》以及其他相关法律法规，制定本指引。

第二条【适用对象】本指引适用于中华人民共和国境内依法设立的商业银行。

包括集团化经营的国有控股商业银行及其子公司、股份制商业银行、城市商业银行、民营银行、农村商业银行等。

第三条【管理范围】外部欺诈是第三方故意实施行为导致的损失风险，包括抢劫、盗窃、破坏银行实物资产的攻击行为，骗取银行资金或信用的诈骗行为，入侵或破坏银行信息系统行为等。

第四条【工作要求】商业银行坚持主动防范化解金融风险，在全面风险管理框架下，加强外部欺诈防范工作，通过完善体制机制，强化责任落实，改进手段措施，增强抵御外部侵害能力，有效降低外部欺诈损失和化解案件风险，为实现银行持续健康发展提供保证。

第五条【基本原则】（一）依法合规。

严格根据法律法规和监管规定开展外部欺诈防范工作，依法接受银保监会及其派出机构监督管理。

商业银行信息科技风险现场检查指南商业银行信息科技风险现场检查指南目录第一部分概述 (33)1. 指南说明 (34)1.1 目的及适用范围 (34)1.2 编写原则 (35)1.3 指南框架 (36)第二部分科技管理 (38)2. 信息科技治理 (39)2.1 董事会及高级管理层 (39)检查项1 ：董事会 (39)检查项2 ：信息科技管理委员会 (40)检查项3 ：首席信息官（CIO） (41)2.2 信息科技部门 (42)检查项1 ：信息科技部门 (42)检查项2 ：信息科技战略规划 (44)2.3 信息科技风险管理部门 (45)检查项1 ：信息科技风险管理部门.452.4 信息科技风险审计部门 (46)检查项1 ：信息科技风险审计部门.462.5 知识产权保护和信息披露 (47)检查项1 ：知识产权保护 (47)检查项2 ：信息披露 (47)3. 信息科技风险管理 (49)3.1 风险识别和评估 (49)检查项1 ：风险管理策略 (49)检查项2 ：风险识别与评估 (50)3.2 风险防范和检测 (50)检查项1 ：风险防范措施 (50)检查项2 ：风险计量与检测 (51)4. 信息安全管理 (53)4.1 安全管理机制与管理组织 (53)检查项1：信息分类和保护体系 (53)检查项2：安全管理机制 (54)检查项3：信息安全策略 (55)检查项4：信息安全组织 (55)4.2 安全管理制度 (56)检查项1：规章制度 (56)检查项2：制度合规 (57)检查项3：制度执行 (58)4.3 人员管理 (59)检查项1：人员管理 (59)4.4 安全评估报告 (60)检查项1：安全评估报告 (60)4.5 宣传、教育和培训 (60)检查项1：宣传、教育和培训 (60)5.系统开发、测试与维护 (62)5.1开发管理 (62)检查项1：管理架构 (62)检查项2：制度建设 (64)检查项3：项目控制体系 (65)检查项4：系统开发的操作风险 (66)检查项5：数据继承和迁移 (67)5.2系统测试与上线 (68)检查项1：系统测试 (68)检查项2：系统验收 (70)检查项3：投产上线 (70)5.3系统下线 (71)检查项1：系统下线 (71)6. 系统运行管理 (73)6.1 日常管理 (73)检查项1：职责分离 (73)检查项2：值班制度 (74)检查项3：操作管理 (74)检查项4：人员管理 (75)6.2 访问控制策略 (76)检查项1：物理访问控制策略 (76)检查项2：逻辑访问控制策略 (77)检查项3：账号及权限管理 (78)检查项4：用户责任及终端管理 (79)检查项5：远程接入的控制 (80)6.3 日志管理 (81)检查项1：审计日志检查 (81)检查项2：日志信息的保护 (81)检查项3：操作日志的检查 (82)检查项4：错误日志的检查 (82)6.4系统监控 (83)检查项1：基础环境监控 (83)检查项2：系统性能监控 (83)检查项3：系统运行监控 (84)检查项4：测评体系 (85)6.5 事件管理 (86)检查项1：事件报告流程 (86)检查项2：事件管理和改进 (87)检查项3：服务台管理 (88)6.6问题管理 (88)检查项1：事件分析和问题生成 (89)检查项2：台账管理 (89)检查项3：问题处置 (89)6.7 容量管理 (90)检查项1：容量规划 (90)检查项2：容量监测 (91)检查项3：容量变更 (91)6.8 变更管理 (92)检查项1：变更的流程 (93)检查项2：变更的评估 (93)检查项3：变更的授权 (94)检查项4：变更的执行 (94)检查项5：紧急变更 (95)检查项6：重大变更 (95)7. 业务连续性管理 (97)7.1 业务连续性管理组织 (98)检查项1：董事会及高管层的职责 (98)检查项2：业务连续性管理组织的建立 (99)检查项3：业务连续性管理组织职责 (100)7.2 IT服务连续性管理 (101)检查项1：IT服务连续性计划的组织保障 (101)检查项2：风险评估及业务影响分析 (102)检查项3：IT服务连续性计划的制定 (102)检查项4：IT服务连续性计划的测试与维护 (103)检查项5：IT服务连续性计划审计 104检查项6：IT服务连续性相关领域的控制 (105)8. 应急管理 (106)8.1 应急组织 (106)检查项1：应急管理团队 (106)检查项2：应急管理职责 (107)检查项3：应急管理制度 (107)8.2 应急预案 (108)检查项1：应急预案制订 (108)检查项2：应急预案内容 (108)检查项3：应急预案更新 (110)检查项4：外包服务应急 (110)检查项5：应急预案培训 (111)8.3 应急保障 (111)检查项1：人员保障 (111)检查项2：物质保障 (111)检查项3：技术保障 (112)检查项4：沟通保障 (112)8.4 应急演练 (113)检查项1：应急演练的计划 (113)检查项2：应急演练的实施 (113)检查项3：应急演练的总结 (114)8.5 应急响应 (115)检查项1：应急响应流程 (115)检查项2：全程记录处置过程 (115)检查项3：应急事件报告 (116)检查项4：与第三方沟通 (116)检查项5：向新闻媒体通报制度 (117)检查项6：应急处置总结 (117)8.6 持续改进 (118)检查项1：应急事件评估 (118)检查项2：应急响应评估 (118)检查项3：应急管理改进 (119)9. 灾难恢复管理 (120)9.1 灾难恢复组织架构 (120)检查项1：灾难恢复相关组织架构.1209.2 灾难恢复策略 (122)检查项1：总体控制 (122)检查项2：灾难恢复策略 (122)检查项3：灾难备份策略 (124)检查项4：外包风险 (125)9.3 灾难恢复预案 (126)检查项1：灾难恢复预案 (126)检查项2：联络与通讯 (127)检查项3：教育、培训和演练 (128)9.4评估和维护更新 (128)检查项1：灾备策略的评估和维护更新 (128)检查项2：灾难恢复预案的评估和维护更新 (129)10. 数据管理 (130)10.1 数据管理制度和岗位 (130)检查项1: 数据管理制度 (130)检查项2 ：数据管理岗位 (131)10.2 数据备份、恢复策略 (131)检查项1：数据备份、转储策略 (131)检查项2：数据恢复、抽检策略 (132)10.3数据存储介质管理 (133)检查项1：介质管理 (133)检查项2：介质的清理和销毁 (134)11. 外包管理 (135)11.1外包管理制度 (135)检查项1：外包管理制度 (135)检查项2：外包审批流程 (135)检查项3：外包协议 (136)检查项4：服务水平协议 (136)检查项5：外包安全保密措施 (137)检查项6：外包文档管理 (137)11.2外包评估和监督 (138)检查项1：外包服务商的评估 (138)检查项2：外包项目的监督管理 (138)12. 内部审计 (140)12.1 内部审计管理 (140)检查项1：内部审计部门、岗位、人员和职责 (140)检查项2：内部审计制度和办法 (140)12.2 内部审计要求 (141)检查项1：内部审计范围和频率 (141)检查项2：内部审计结果的有效性.141 13. 外部审计 (143)13.1 外部审计资质 (143)检查项1：外部审计机构的资质 (143)13.2 外部审计要求 (143)检查项1：商业银行配合外部审计情况 (143)检查项2：外部审计有效性 (144)检查项3：外审过程中的保密要求.144 第三部分基础设施 (146)14. 计算机机房 (147)14.1计算机机房建设 (147)检查项1：计算机机房选址 (147)检查项2：机房功能分区 (148)检查项3：计算机机房基础设施建设 (148)检查项4：计算机机房的环境要求.151检查项5：计算机机房日常维护 (152)14.2计算机机房管理 (153)检查项1：计算机机房安全管理 (153)检查项2：计算机机房集中监控系统 (154)检查项3：计算机机房安全区域访问控制 (155)检查项4：计算机机房运行管理 (156)14.3机房设备管理 (157)检查项1：机房设备的环境安全 (157)15. 网络通讯 (158)15.1 内控管理 (158)检查项1：内控制度 (158)检查项2：人员管理 (159)检查项3：访问控制 (159)检查项4：日志管理 (160)检查项5：第三方管理 (161)检查项6：服务外包 (162)检查项7：文档管理 (162)检查项8：风险评估 (163)15.2 网络运行维护 (164)检查项1：运行监控 (164)检查项2：性能监控 (164)检查项3：流量监控 (165)检查项4：监控预警 (165)检查项5：性能调优 (165)检查项6：事件管理 (166)检查项7：运行检查 (166)15.3 网络变更管理 (167)检查项1：变更发起 (167)检查项2：变更计划 (168)检查项3：变更测试 (168)检查项4：变更审批 (168)检查项5：变更实施 (169)15.4 网络服务可用性 (170)检查项1：容量管理 (170)检查项2：冗余管理 (170)检查项3：带外管理 (171)检查项4：压力测试 (172)检查项5：应急管理 (172)15.5 网络安全技术 (172)检查项1：结构安全 (172)检查项2：物理安全 (174)检查项3：传输安全 (174)检查项4：访问控制 (175)检查项5：接入安全 (177)检查项6：网络边界安全 (177)检查项7：入侵检测防范 (178)检查项8：恶意代码防范 (179)检查项9：网络设备防护 (179)检查项10：网络安全测试 (181)检查项11：安全审计日志 (182)检查项12：安全检查 (183)16. 操作系统 (184)16.1账号及密码管理 (184)检查项1：管理制度 (184)检查项2：账号、密码管理 (184)检查项3：账号、密码管理检查 (186)16.2系统访问控制 (186)检查项1：访问控制策略 (186)检查项2：用户登录行为管理 (187)检查项3：登录失败日志管理 (188)检查项4：最小化访问 (188)16.3远程接入管理 (190)检查项1：远程管理制度 (190)检查项2：远程维护管理 (190)检查项3：远程维护审查 (191)16.4日常维护 (191)检查项1：系统性能监控 (191)检查项2：补丁及漏洞管理 (192)检查项3：日常维护管理 (192)检查项4：系统备份和故障恢复 (193)检查项5：病毒及恶意代码管理 (194)检查项6：定时进程设置管理 (194)检查项7：系统审计功能 (195)17. 数据库管理系统 (196)17.1访问控制 (196)检查项1：身份认证 (196)检查项2：授权控制 (197)检查项3：远程访问 (198)检查项4：安全参数设置 (199)17.2日常管理 (199)检查项1：数据安全 (199)检查项2：审计功能 (200)检查项3：性能管理 (201)检查项4：补丁升级 (202)17.3连续性管理 (202)检查项1：备份和恢复 (202)检查项2：连续性和应急管理 (203)18. 第三方中间件 (205)18.1 产品管理 (205)检查项1：中间件测试 (205)检查项2：中间件管理 (205)检查项3：中间件与业务系统架构.20618.2 运行管理 (206)检查项1：维护流程和操作手册 (206)检查项2：中间件配置管理 (206)检查项3：中间件日志管理的程序.207检查项4：中间件的性能监控 (207)检查项5：中间件产生的事件和问题管理 (208)检查项6：中间件的变更 (208)检查项7：单点故障问题和负载均衡 (208)检查项8：压力测试 (209)第四部分应用系统 (210)19. 应用系统 (211)19.1 应用系统管理 (211)检查项1：业务管理办法与操作流程 (211)检查项2：重要应用系统评估 (211)检查项3：应用系统版本管理 (212)检查项4：应用系统培训教育 (213)19.2 应用系统操作 (213)检查项1：终端用户管理 (213)检查项2：访问控制与授权管理 (214)检查项3：数据保密处理 (215)检查项4：数据完整性处理 (216)检查项5：数据准确性处理 (216)检查项6：日志管理机制 (217)检查项7：备份、恢复机制 (218)检查项8：文档资料管理 (219)检查项9：内部审计的参与 (220)20. 电子银行 (221)20.1 电子银行业务合规性 (221)检查项1：电子银行业务合规性 (221)20.2 电子银行风险管理体系 (222)检查项1：电子银行风险管理体系.22220.3 电子银行安全管理 (223)检查项1：电子银行安全策略管理.223检查项2：电子银行安全措施 (224)检查项3：电子银行安全监控 (225)检查项4：电子银行安全评估 (225)20.4 电子银行可用性管理 (226)检查项1：电子银行基础设施 (226)检查项2：电子银行性能监测和评估 (227)20.5 电子银行应急管理 (227)检查项1：电子银行应急预案 (227)检查项2：电子银行应急演练 (228)21. 银行卡系统 (229)21.1 银行卡系统管理 (229)检查项1：银行卡系统容量的合理规划 (229)检查项2：银行卡系统物理设备风险和故障处理 (230)检查项3：银行卡交易监控 (230)检查项4：账户密码和交易数据的存储和传输 (231)检查项5：银行卡系统应急预案 (232)21.2 终端设备 (233)检查项1：自助银行机具和安装环境的物理安全 (233)检查项2：自助银行机具的通信安全 (233)检查项3：自助银行机具的安全装置 (234)检查项4：自助银行业务操作流程（机具软件） (234)检查项5：自助银行机具的巡查维护 (235)检查项6：POS机 (235)21.3 自助银行监控 (236)检查项1：自助银行设备日常运行的监控情况 (236)检查项2：监控中心和监控设备 (236)检查项3：自助银行监控发现问题的处置情况 (237)检查项4：自助银行设施安全评估（信息科技方面） (237)22. 第三方存管系统 (238)22.1 管理架构和职责 (238)检查项1：管理架构与岗位职责分工 (238)22.2 系统功能 (238)检查项1：系统功能 (238)22.3 系统一般安全与账户处理 (239)检查项1：账户冲正处理 (239)检查项2：网络访问控制与病毒防范 (239)22.4 数据交换 (240)检查项1：数据交换安全性 (240)22.5 运行维护 (241)检查项1：运行维护安全性 (241)22.6 系统备份 (241)检查项1：系统备份安全性 (241)22.7 应急恢复与事故处理 (242)检查项1：应急恢复与事故处理流程 (242)22.8 系统测试 (242)检查项1：系统测试 (242)22.9 临时派出柜台 (243)检查项1：系统派出柜台安全性 (243)附录 (244)23. 常用检查方法 (245)23.1 问卷与函证 (245)23.2 访谈 (246)23.3 查阅 (247)23.4 观察 (248)23.5 测试 (248)26.6 分析性复核 (251)26.7 评审 (252)24. 主要网络设备常用操作 (253)24.1 Cisco设备常用操作 (253)交换机 (253)路由器 (254)防火墙 (255)24.2 H3C设备常用操作 (257)交换机 (257)路由器 (258)防火墙 (260)25. 主要操作系统常用操作 (262)25.1 AIX系统检查常用操作 (262)25.2 HP/UX系统检查常用操作 (276)25.3 Solaris系统检查常用操作 (290)25.4 Windows系统检查常用操作 (291)26. 主要数据库管理系统常用操作 (309)26.1 DB2 系统检查常用操作 (309)26.2 Sybase 系统检查常用操作 (310)26.3 Oracle 系统检查常用操作 (311)26.4 Informix 系统检查常用操作 (313)26.5 SQL SERVER系统检查常用操作 (316)第一部分概述1. 指南说明1.1 目的及适用范围信息科技与银行业务高度融合，已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。

中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2009.03.03•【文号】银监发[2009]19号•【施行日期】2009.03.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知（银监发[2009]19号）各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮政储蓄银行，各省级农村信用联社，银监会直接监管的信托公司、财务公司、金融租赁公司，中央国债登记结算公司：现将《商业银行信息科技风险管理指引》印发给你们，请认真执行。

请各银监局将本通知转发至辖内各银行业金融机构（含外资银行）。

中国银行业监督管理委员会二00九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

银行巡查制度范本一、总则第一条为加强银行风险管理，提高服务质量和业务水平，确保银行各项业务的正常运行，根据《中华人民共和国银行业监督管理法》及《商业银行管理条例》等法律法规，制定本制度。

第二条银行巡查制度是指银行业金融机构（以下简称银行）对其分支机构、部门和员工进行定期、不定期的检查、评估和监督，以确保各项业务合规、风险可控、效益提升。

第三条银行巡查制度遵循依法依规、全面覆盖、突出重点、注重实效的原则。

二、巡查组织第四条银行总行设立巡查领导小组，负责全行巡查工作的统一领导、组织和协调。

巡查领导小组由董事长、行长、监事长等高层领导组成。

第五条银行总行设立巡查办公室，负责巡查工作的具体实施、协调和监督。

巡查办公室设在各分行、支行，负责对本级行及所辖分支机构进行巡查。

第六条银行巡查人员应具备较强的业务能力、责任心和公正性。

巡查人员从银行内部选拔，经过专业培训、考核合格后担任。

三、巡查内容第七条银行巡查内容包括但不限于：（一）业务合规性：检查各项业务是否符合国家法律法规、监管部门要求和银行内部规章制度。

（二）风险管理：评估风险防控措施的有效性，检查风险隐患，确保风险可控。

（三）内部控制：检查内部控制体系建设和执行情况，确保业务运行顺畅、合规。

（四）服务质量：评估服务水平，提高客户满意度。

（五）人力资源：检查人力资源政策、制度执行情况，确保员工素质符合业务发展需要。

（六）科技信息安全：检查科技信息系统运行状况，确保信息安全。

四、巡查程序第八条银行巡查工作按照以下程序进行：（一）制定巡查计划：巡查办公室根据业务发展和风险防控需要，制定巡查计划，报巡查领导小组审批。

（二）组织实施：巡查办公室根据巡查计划，组织巡查人员进行实地检查。

（三）发现问题：巡查人员通过检查、访谈等方式，发现存在的问题和不足。

（四）整改落实：被巡查单位对巡查发现的问题进行整改，并将整改情况报告巡查办公室。

（五）巡查总结：巡查办公室对巡查情况进行总结，形成巡查报告，报巡查领导小组。

商业银行分支机构信息科技风险快速巡查单巡查日期：___________巡查人员：___________分支机构名称：____________I. 基础信息1. 分支机构名称：____________2. 分支机构地址：____________3. 联系电话：____________4. 分支机构负责人：____________II. 硬件设备和网络基础设施1. 服务器和网络设备是否正常运行？- [ ] 是- [ ] 否2. 硬件设备和网络设备是否隔离并保护免受未经授权的访问？- [ ] 是- [ ] 否3. 数据存储设备是否定期备份？- [ ] 是- [ ] 否4. 是否存在网络设备漏洞？- [ ] 是- [ ] 否III. 信息安全管理1. 分支机构是否有信息安全策略和相关制度，并已经定期培训员工？- [ ] 是2. 是否存在未经授权的软件安装？- [ ] 是- [ ] 否3. 是否对员工进行网络安全意识培养和教育？- [ ] 是- [ ] 否4. 是否按照安全要求设置密码，并定期更改？- [ ] 是- [ ] 否IV. 业务系统和应用程序1. 是否存在系统漏洞，如操作系统或应用程序更新未及时？- [ ] 是- [ ] 否2. 是否存在弱密码访问系统？- [ ] 是- [ ] 否3. 是否及时备份业务系统和应用程序？- [ ] 是- [ ] 否4. 是否存在数据恢复计划？- [ ] 是- [ ] 否V. 数据管理1. 是否有数据分类和存储策略？- [ ] 否2. 是否存在敏感数据保护措施，如数据加密？- [ ] 是- [ ] 否3. 是否定期审查和更新用户访问权限？- [ ] 是- [ ] 否4. 是否有数据备份和灾难恢复计划？- [ ] 是- [ ] 否VI. 外部合作伙伴和供应商安全1. 分支机构是否与外部合作伙伴签署了安全合作协议？- [ ] 是- [ ] 否2. 是否对供应商进行风险评估？- [ ] 是- [ ] 否3. 是否对供应商进行信息安全审计？- [ ] 是- [ ] 否VII. 事件响应和灾难恢复1. 是否建立了事件响应计划，包括对安全事件的报告和处理程序？- [ ] 是- [ ] 否2. 是否定期进行演练和测试事件响应计划？- [ ] 是- [ ] 否3. 是否建立了灾难恢复计划？- [ ] 是- [ ] 否VIII. 其他风险1. 是否存在其他与信息科技相关的风险？- [ ] 是- [ ] 否2. 请列出其他风险：__________________________________________________巡查汇总：- 总体评级：_______________________- 需要改进的事项：______________________________________________- 巡查人员意见：______________________________________________巡查人员签名：___________ 日期：____________分支机构负责人签名：___________ 日期：____________尊敬的分支机构负责人，根据我们的巡查结果，我将向您提供关于您的分支机构信息安全状况的详细报告。

商业银行信息科技风险现场检查指南一、引言随着信息科技的快速发展，商业银行在业务运营中越来越依赖于信息系统。

信息科技的进步为商业银行提供了便利，但同时也带来了一系列的风险。

为了确保商业银行的信息科技系统安全可靠，提高其风险管理水平，现场检查是必不可少的环节。

本文将基于商业银行信息科技风险现场检查的实践经验，提出一份指南，帮助检查员顺利完成检查任务。

二、信息科技风险管理框架商业银行应建立完善的信息科技风险管理框架，包括明确的组织结构、责任分工、流程和制度。

检查员在现场检查中，应对该框架进行全面的评估和检查。

1.组织结构和责任分工：检查员应查看商业银行的信息科技部门组织结构，并核实是否合理。

同时，要评估各个部门的职责和权限划分是否清晰。

2.流程和制度：检查员应检查商业银行是否建立了科学合理的信息科技风险管理流程和制度。

这些流程和制度应包括风险评估、风险控制、风险监测和风险应对等方面的内容。

三、信息系统安全2.访问控制：检查员应检查商业银行是否建立了完备的访问控制机制，包括身份认证、授权和审计功能。

同时，还需评估银行内部员工和外部用户访问系统的安全措施。

3.网络安全：检查员应评估商业银行的网络安全措施，包括防火墙、入侵检测系统、网络监控等。

要确保这些安全措施能及时发现并阻止网络攻击。

四、数据安全商业银行的数据是其最重要的资产之一，保护数据安全是商业银行信息科技风险管理的关键要素。

现场检查中，检查员应特别关注以下方面：1.数据备份和恢复：检查员应检查商业银行的数据备份和恢复机制。

要评估备份的频率、备份的存储地点、恢复的可行性和有效性等情况。

2.数据加密和传输：检查员应评估商业银行的数据加密和传输机制。

要确保敏感数据在传输过程中得到合理的加密保护，防止数据泄露和篡改。

3.数据安全管理：检查员应评估商业银行的数据安全管理制度，包括数据分类、访问控制、加密和销毁等。

要确保这些制度的有效执行和合规性。

五、风险监测和应对1.事件监测和报告：检查员应检查商业银行的事件监测和报告机制。

银行、金融机构安全检查表
1. 机构信息
- 机构名称：
- 成立日期：
- 注册地：
- 分支机构数量：
- 机构类型（银行、非银行金融机构）：
- 机构规模（大型、中型、小型）：
2. 硬件设施安全
- 是否存在安全保护设施（如监控摄像头、门禁系统）：- 是否存在安全防范措施（如防火墙、入侵检测系统）：- 是否定期对硬件设施进行维护和检查：
3. 数据保护和隐私
- 是否存在数据备份和恢复机制：
- 是否存在访问控制措施：
- 是否对个人隐私信息进行保护：
- 是否制定了数据安全管理制度：
- 是否定期进行数据备份和恢复测试：
4. 网络安全
- 是否存在网络安全防范设施（如防火墙、反病毒软件）：- 是否有网络安全意识培训计划：
- 是否进行定期的网络安全评估和漏洞扫描：
- 是否有风险管理和事件响应措施：
5. 内部安全管理
- 是否建立了有效的安全管理制度：
- 是否有分工明确的安全管理人员：
- 是否对员工进行安全教育和培训：
- 是否有有效的内部安全监察机制：
- 是否定期开展内部安全审计：
6. 业务风险管理
- 是否制定了风险管理制度和政策：
- 是否有有效的风险评估和控制机制：
- 是否进行业务风险监测和预警：
- 是否建立了风险管理报告制度：
7. 外部合规和监管
- 是否遵守相关法律法规和规章制度：
- 是否配合行业监管部门的检查和调查：
- 是否建立了合规风险管理制度：
- 是否定期进行合规风险评估和报告：
以上为银行、金融机构安全检查表，请根据实际情况填写相关内容。

如有疑问或需进一步了解，请联系安全管理部门或咨询法律专业人士。