银行信息安全管理检查步骤方法及方案.docx

银行信息安全管理检查步骤方法及方案保证信息安全是商业银行的一项重要任务，商业银行应在信息技术部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。提示：在对商业银行的信息安全管理进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不设置单独的安全管理部门，但应设置专职的询位：信息技术岗位设置可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理/和其他系统管理员彼此分离、批任处理人员和业务数据库管理员彼此分离。3.1安全管理机制与管理组织检查项1：信息分类和保护体系基本要求，商业银行信息技术部门应对各类信息系统进行风险评估，根据信息系统的盎要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。检查方法、步骤，1）调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的范圉、级别作出明确规定：（2）检杳商业银行是否针对不同的信息系统，制订了不同的安全防范措施，采取了不同的技术防范手段：（3）检查商业银行是否对信息系统风险进行评估和防范.检查项2,安全管理机制基本要求，商业银行信息技术部门应落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问睡向其他部门提供建议，定期向信息技术管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。检查方法、步骤：1）调阅商业银行信息安全计划或相关文档，检隹商业银行是否制订信息安全计划。（2）分析信息安全计划，评估商业银行信息技术部门能否对信息安全进行持续、长期和有效的管理，确保信息安全和信息系统安全运行。3）检查商业银行信息技术部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。4）检查商业银行信息技术部门是否对各类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计划。通过访谈f解这些管理策略和计划是否有效实施。（5）调阅信息安全评估报告，检查信息技术部门是否定期对本行信息安全进行评估。检查项土信息安全策略基本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否制定信息安全策略及其内容是否完整、全面.（2）调阅信息安全管理规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则.检查项4,信息安全组织基本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负贡人岗位，并定义各负或人的职贡：应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批：安全管理人员应负货定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。检查方法、步骤：1）调阅相关岗位职贲说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职货：（2检查是否限制安全管理员不能兼任网络管理分、系统管理员、数据库管理分等；（3）三询相关制度文件和审批记录，检查是否根据各个部门和岗位的职时明询授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；（4）调阅信息安全检查记录，检隹安全管理员是否定期进行安全检杳，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否及时报告和处理“3.2安全管理制度检查项h规章制度基本要求：商业银行应对信息安全风险进行分析、评估：应对信息安全管理工作建立相应的管理制度：应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级程度，并进行密级管理：信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敬感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款：重要工作和岗位应制订详尽的管理办法和工作职货：信息安全制度应包括对服务商的货任和义务要求：信息安全事件报告制度和处理流程应清晰明确：信息安全管理制度应注明发布范围，有发文编号和相关部门的收文记录：信息安全制度应及时发布和修订。商业银行应建立完善的信息系统管理制度，管理制度应正式发文予以公布,或收集整理形成制度汇编以便于员工学习掌握。检查方法、步鼻I（1）调阅商业银行信息安全管理相关的会议记录。（2）调阅信息安全相关的制度，查看：（八）是否围绕着风险分析、评估报告开展制度建设，各项制度能否有效防范风险;（b）已有制度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容：（c）是否包含违规的处罚条款；（d）是否包括针对服务商的管理要求，如职贵和义务:（e）是否建立信息安全事件报告制度和处理流程，制度和流程是否清晰和明确；（3）调阅信息安全管理部门职责和工作计划，隹看是否对IR要的信息系统安全管理岗位制定了明确的管理办法和工作职成。（4）信息安全管理负贡人员座谈，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。检杳项2«制度合规基本要求：信息安全制度应符合国家有关信息技术管理的法律法规：应符合国家有关信息技术管理的技术标准：应符合银监会有关要求：对于拥有境外机构的银行，其制度也应符合境外监管机构的要求.检查方法、步（1）调阅信息安全制度，检杳：（八）制度是否遵循国家有关信息技术管理的法律法规要求：（b）技术性比较强的信息系统安全制度是否低于国家相关标准规定；（C）审杳其是否与银监会相关办法、要求相冲突.（2）与信息安全管理负货人座谈，了解该银行是否在境外设立分支机构，境外分支机构信息安全制度是否符合所在国、地区监管机构的要求.检查项M制度执行基本要求：信息技术相关工作应严格遵守信息安全制度规定：对违规操作的应根据相应条款进行处罚：被处罚管理部门或个人应对违规操作进行整改：审计部门应对信息安全制度执行情况定期进行审计。检查方法、步（1）与负费信息安全的人员访谈，了解信息安全制度执行情况；（2）调阅银行或部门会议记录，铿君银行或部门是否对日志、视频等记录中出现的违规操作行为进行过认定，并对违规人员或部门进行过处罚：（3）调阅银行或部门会议记录，查看是否对违规操作进行过整改，整改的后续情况如何。对于因制度漏洞造成的风险，是否及时对相关制度进行了修改：（4）调阅内、外部审计资料,查看是否有关于信息安全制度执行情况的审计报告：（5）调阅审计文件，查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求：（6）调阅银行或部门文件，查看是否对审计发现的问题进行过整改落实，后续的整改落实情况是否符合审计要求。3.3人员管理检查项I:人员管理基本要求：（1）信息技术的闵位设置应合理，应做到分工明确、职贡清晰，至要微位需要相互制约、监督：（2）信息技术人员应无不良记录：信息技术人员的专业知识和业务水平应达到本行要求：应加强对临时聘用或合同制信息技术人力的安全管理措施：（3）应时信息技术人员权限进行分级管理，关键岗位应有ABffJ;应分离不相容岗位人员职贡，不得兼任：（4）信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机要人员管理要求，对涉密人员应卷订保密协议：（5）信息技术人员管理要全面，应包括背景调食、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。检查方法、步骤：1）调阅银行人事制度，/解银行的信息技术岗位设置情况，是否配备了专门的安全管理岗位：（2）与信息技术管理人员和普通员工进行座谈，听取其对信息技术岗位设置的意见.分析岗位设四是否合理：（3）调阅银行人事档案，杳看是否建立了信息技术人员的绩效考核制度，食看信息技术人员是否有不良记录：（4）调阅银行人事档案和与信息技术从业人员进行座谈，了解信息技术人员的专业知识和业务水平：（5）调阅银行人事管理制度或部门人事管理制度，分析是否有针对正式信息技术人员、临时聘用或合同制信息技术人员及顾问制定不同的人事管理制度：（6）调阅信息安全管理的相关制度，确认是否对不同信息技术岗位进行f权限划分和分级管理，并能贯彻落实上述制度和要求.3.4安全评佶报告检查项h安全评估报告基本要求：商业银行应定期对信息系统安全楮况进行评估，并提交安全评估报告。当信息系统发牛.重大变化时，应及时进行信息安全评估。对安全评估中发现的问题，应及时整改.检查方法、步骤：1）调阅安全评估报告，检杳商业银行是否定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后，是否及时进行信息安全评估：（2）检查安全评估是否全面，是否序盖所有信息系统，是否覆盖所有信息安全范围：（3）检查安全评估报告反映的问题是否及时得到处理或改进。3.5宣传、教育和培训检查项h宣传、教育和培训基本要求：高管层、信息安全管理部门负贵人应知晓信息安全政策：银行应加强时客户的佶息安全重要性的宣传教育工作：银行应定期组织历工进行信息系统安全亚要性教育：银行应组织员工学习基本的信息系统安全管理制度：信息技术人员应掌握与其岗位相关的信息安全管理制度。检查方法、步IIh（I）与高管层、信息安全管理部门负贡人座谈，/解是否知晓本银行的信息安全政策：（2）与高管层座谈，了解银行是否对客户进行过信息安全方面的宣传教育，其内容、力度和频度如何：（3）与普通员工座谈，了解是否接受过有关信息安全方面教育：（4）抽杳银行内部部门的学习记录，君是否组织过信息安全防范知识方面的学习培训：（5与普通员工座谈，看是否知晓本银行基本的信息安全制度：（6）调阅信息技术部门的学习记录，看是否对信息技术人员进行过信息安全制度的传达，是否组织过信息安全制度的学习培训：（7与信息技术人员座谈，看是否掌握与其从事岗位相关的信息安全管理制度。