商业银行分支机构信息科技风险

快速巡查单

一、基本信息

巡查承担机构： 山东银监局信息科技监管处

被巡查机构： 中国农业发展银行山东省分行

巡查目的：

巡查负责人： 房世晖

巡查员： 王丽颖

巡查日期： 2013年4月22日

二、巡查方法

现场巡查以访谈、实地查看为主，抽样查阅资料、安全测试为辅，其中抽样规则原则上定义为：

1.文档或记录类型的资料，如会议记录、演练记录等，抽样数以近三个月巡查项总数的5％为抽样基准，也可根据访谈情况做出判定；如出现小数点，以四舍五入取整数；如果计算出的抽样数小于2，则至少取2个样例，如抽样数大于5，则取5个样例；

2.设备类、系统类原则上抽样5台（套），同时注意样本分布结构； 3.如需对网点进行巡查，网点的巡查数量控制在3家之内，随机抽取。

三、巡查内容：

第一部分：组织架构

1. 信息科技风险“三道防线”是否完整？

风险控制部负责整体信息科技风险: ■是 □否

科技部负责信息科技工作日常防范: ■是 □否

审计部承担信息科技审计职能: ■是 □否

备 注（事实依据）：

巡查方法：访谈

需关注的问题（根据需要填写）:

风险管理部制定了信息科技风险管理职责，但未制定相应的信息科技风险管理策略、制度、操作流程，也未配备具有相应资质的人员。

2. 高管层在信息科技工作中履职是否到位？

有主管科技工作的行级领导: ■有 □无

高管层对监管部门的监管制度较为了解: ■是 □否

进行信息科技重大投入决策: ■是 □否

审阅信息科技年度工作报告和工作计划： ■是 □否 审阅信息科技风险评估报告并组织制定风险控制策略：

□是 ■否

审阅信息科技审计报告并督促整改：

■是 □否

备 注（事实依据）：

巡查方法：访谈和抽样

需关注的问题（根据需要填写）:

高管层未组织制定风险控制策略。

3. 是否建立完整的信息安全管理组织架构，并正常开展工作？

设立信息安全岗位负责机构信息安全的日常管理工作：

■是 □否

定期开展信息安全管理开展工作并有相应的文档资料：

■是 □否

制定信息安全责任制度：

■有 □无

员工信息安全职责明确：

■是 □否

备 注（事实依据）：

巡查方法：访谈和抽样

需关注的问题（根据需要填写）:

4. 科技岗位设置是否符合规定？

信息技术部科室、岗位设置按照总行要求进行：

■是 □否

项目维护人员有Ａ／Ｂ角设置：

■是

□否

关键业务操作（如：重要密码输入、重要参数修改等）采用双人进行：□是 ■否

信息科技运行与系统开发和维护分离：

■是 □否

备 注（事实依据）：信息科技处不承担涉及生产系统的开发。

巡查方法：访谈

需关注的问题（根据需要填写）:

1.信息科技处明确了岗位和职责，但由于人员较少，兼岗现象比较突出；重要岗位未制定详细完整的工作手册并适时更新。

2.各运维人员共用所维护系统的同一用户、密码，且全部使用超级用户，不能满足最小权限原则。

5. 是否进行人员安全管理？

招聘新员工时，要求技术人员具备良好的职业道德，并掌握履行信息系统相关岗位职责所需的专业知识和技能： ■是 □否

技术人员未经岗前培训或培训不合格者不得上岗：

■是 □否

经考核不合格的技术人员，及时进行调整：

■是 □否

与重要岗位人员签订保密协议：

■是 □否

当技术人员调离重要岗位时按保密协议对其设置脱密期，并进行审查： ■是 □否

备 注（事实依据）：

巡查方法：访谈和抽样

需关注的问题（根据需要填写）:

6.制度落实情况如何？

以适当的方式将监管部门和上级行的信息科技工作要求传达给所有员工：□是 ■否

根据监管部门和上级行的制度要求制订适合实际的操作流程和实施细则：□是 ■否

总行或分行对制度的落实情况定期进行检查,有详细的检查报告：

■是 □否 定期对技术人员进行信息安全教育培训,如：防病毒、网络攻击等： ■是 □否

员工熟悉和了解各自岗位的信息安全要求：

■是 □否

备 注（事实依据）：

巡查方法：访谈和抽样

需关注的问题（根据需要填写）:

未根据《商业银行业务连续性监管指引》、《商业银行信息科技外包风险监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》要求制订适合实际的操作流程和实施细则。

7. 是否确保软件产品在授权准许下使用？

■是

□否

备 注（事实依据）：

巡查方法：抽样

需关注的问题（根据需要填写）:

第二部分：机房管理

1. 新(改)建机房建设是否符合规定？

可行性报告： □有 □无

向监管部门报告：□是 □否

获得总行的批复：□是 □否

通过有资质的质检部门和消防部门等有关部门的检查验收：

□是 □否

按照功能区域实现不同等级的物理分区：

□是 □否

备 注（事实依据）：机房近几年内未进行大规模机房新（改）建工作。

巡查方法：实地查看和查阅资料

需关注的问题（根据需要填写）:

1. 机房空间较小，功能区域划分不规范；机房存放了带易燃包装盒的库存设备及物品。

2.机房布局不合理，进入机房存放空调、UPS等设备的区域，需穿过存放服务器和网络设备的核心区域。

2. 机房监控是否有效？

电视监控录像的保存时间达到3个月： ■是 □否

监控覆盖哪些重要场所： ■主机房 ■网络机房 ■电源室

□运行、监控值班室 ■中心机房走道 ■外门

□部分业务部门的重要机房（银行卡打卡室、SWIFT室）

摄像头电源由UPS专线供电： ■是 □否

重要场所监控是否无死角： □是 ■否

备 注（事实依据）：

巡查方法：实地查看和抽样

需关注的问题（根据需要填写）:

机房内共有3路视频监控，存在盲区；检查时点，其中一路视频监控失效。

3. 机房网络布线是否整齐？

机柜上方和地板下方用线槽整齐： ■是 □否

机柜内线整理整齐： ■是 □否

机房各类布线贴有标签： ■是 □否

标签内容规范： □是 ■否

标签位置合理： ■是 □否

备 注（事实依据）：

巡查方法：实地查看

需关注的问题（根据需要填写）:

设备标签内容较为简单。

4. 中心机房是否落实值班要求？

机房安保24小时值班： ■是 □否

科技部门已安排7*24小时在行值班： □是 ■否

值班人员记录所有可疑故障和实际发生的事故，并同时记录处理过程、处理人、处理时间、影响业务时间：

■是 □否

出入机房已实行审批登记： ■是 □否

机房运行值班人员与开发、维护人员分离：■是 □否

值班人员定期进行巡检： ■是 □否

备 注（事实依据）：值班人员对机房的巡检频率是每天两次。

巡查方法：访谈和抽样

需关注的问题（根据需要填写）:

机房值班及巡检信息录入“信息技术综合管理系统”（ITMS），但该系统用户权限管理不严格，个人用户可修改已登记信息，且可以查看、修改其他用户的登记信息。

5. 机房是否实行门禁管理？

制、读卡等门禁管理工作统一管理：■是 □否

生产机房采用门禁系统： ■是 □否

进入生产机房实行书面授权： ■是 □否 外来人员进入机房采取的控制措施：■严格授权 ■专人陪同 □固定区域 □规定时间

□禁止摄影、录像、录音或其他记录设备

备 注（事实依据）：

巡查方法：访谈

需关注的问题（根据需要填写）:

6. 机房是否实行消防安全管理？

消防报警系统是否年检并有证书： ■是 □否

配备灭火器并按规定定期检查灭火器材： ■是 □否

定期进行消防演练和培训并保存相关记录：■是 □否

使用何种类型的消防灭火器材（在备注栏填写具体型号）

备

注（事实依据）：使用七氟丙烷的消防灭火器材

巡查方法：访谈和实地查看

需关注的问题（根据需要填写）:

7. 机房照明是否有保障？

机房内有应急照明： ■是 □否

应急照明接入UPS： ■是 □否

机房内视频监控的区域有值班照明：■是 □否 视频监控区域值班照明接入UPS： ■是 □否

备 注（事实依据）：

巡查方法：实地查看

需关注的问题（根据需要填写）:

8. 机房UPS供电是否有保障？

机房配电系统为双路供电： ■是 □否

UPS为机房设备供电专用： ■是 □否

供电系统设置防雷击保护装置：■是 □否

UPS配备模式： ■N+1 □2N+1

UPS供电范围： ■主机系统 ■网络通讯设备 ■值班照明

■应急照明

UPS负载小于有效输出功率的80%：■是 □否

UPS满载后备时间大于30分钟：■是 □否

UPS电池定期放电检测: ■是 □否

UPS有专业公司进行维护保养: ■是 □否

备 注（事实依据）：

巡查方法：访谈和实地查看

需关注的问题（根据需要填写）: