商业银行信息科技风险现场检查指南(DOC294).doc

下载

下载

80积分

100积分

下载

100积分

VIP价：80积分

1 商业银行信息科技风险 现场检查指南 2 目 录 第一部分 概述..............................................................................................................................12 1. 指南说明.....................................................................................................................................13 目的及适用范围...............................................................................................................13 编写原则...........................................................................................................................14 指南框架...........................................................................................................................15 第二部分 科技管理......................................................................................................................17 2. 信息科技治理.............................................................................................................................18 董事会及高级管理层.......................................................................................................18 检查项 1 ：董事会.........................................................................................................18 检查项 2 ：信息科技管理委员会.................................................................................19 检查项 3 ：首席信息官（CIO）..................................................................................20 信息科技部门...................................................................................................................21 检查项 1 ：信息科技部门.............................................................................................21 检查项 2 ：信息科技战略规划.....................................................................................23 信息科技风险管理部门...................................................................................................24 检查项 1 ：信息科技风险管理部门.............................................................................24 信息科技风险审计部门...................................................................................................25 检查项 1 ：信息科技风险审计部门.............................................................................25 知识产权保护和信息披露...............................................................................................26 检查项 1 ：知识产权保护.............................................................................................26 检查项 2 ：信息披露.....................................................................................................26 3. 信息科技风险管理.....................................................................................................................28 风险识别和评估...............................................................................................................28 检查项 1 ：风险管理策略.............................................................................................28 检查项 2 ：风险识别与评估.........................................................................................29 风险防范和检测...............................................................................................................29 检查项 1 ：风险防范措施.............................................................................................29 检查项 2 ：风险计量与检测.........................................................................................30 4. 信息安全管理.............................................................................................................................32 安全管理机制与管理组织...............................................................................................32 检查项 1：信息分类和保护体系...................................................................................32 检查项 2：安全管理机制...............................................................................................33 检查项 3：信息安全策略...............................................................................................34 检查项 4：信息安全组织...............................................................................................34 安全管理制度...................................................................................................................35 检查项 1：规章制度.......................................................................................................35 检查项 2：制度合规.......................................................................................................36 3 检查项 3：制度执行.......................................................................................................37 人员管理...........................................................................................................................38 检查项 1：人员管理.......................................................................................................38 安全评估报告...................................................................................................................39 检查项 1：安全评估报告...............................................................................................39 宣传、教育和培训...........................................................................................................39 检查项 1：宣传、教育和培训.......................................................................................39 5.系统开发、测试与维护...............................................................................................................41 开发管理............................................................................................................................41 检查项 1：管理架构.......................................................................................................41 检查项 2：制度建设.......................................................................................................43 检查项 3：项目控制体系...............................................................................................44 检查项 4：系统开发的操作风险...................................................................................45 检查项 5：数据继承和迁移...........................................................................................46 系统测试与上线................................................................................................................47 检查项 1：系统测试.......................................................................................................47 检查项 2：系统验收.......................................................................................................49 检查项 3：投产上线.......................................................................................................49 系统下线............................................................................................................................50 检查项 1：系统下线.......................................................................................................50 6. 系统运行管理.............................................................................................................................52 日常管理...........................................................................................................................52 检查项 1：职责分离.......................................................................................................52 检查项 2：值班制度.......................................................................................................53 检查项 3：操作管理.......................................................................................................53 检查项 4：人员管理.......................................................................................................54 访问控制策略...................................................................................................................55 检查项 1：物理访问控制策略.......................................................................................55 检查项 2：逻辑访问控制策略.......................................................................................56 检查项 3：账号及权限管理...........................................................................................57 检查项 4：用户责任及终端管理...................................................................................58 检查项 5：远程接入的控制...........................................................................................59 日志管理...........................................................................................................................60 检查项 1：审计日志检查...............................................................................................60 检查项 2：日志信息的保护...........................................................................................60 检查项 3：操作日志的检查...........................................................................................61 检查项 4：错误日志的检查...........................................................................................61 系统监控............................................................................................................................62 检查项 1：基础环境监控...............................................................................................62 检查项 2：系统性能监控...............................................................................................62 检查项 3：系统运行监控...............................................................................................63 检查项 4：测评体系.......................................................................................................64 事件管理...........................................................................................................................65 4 检查项 1：事件报告流程...............................................................................................65 检查项 2：事件管理和改进...........................................................................................66 检查项 3：服务台管理...................................................................................................67 问题管理............................................................................................................................67 检查项 1：事件分析和问题生成...................................................................................68 检查项 2：台账管理.......................................................................................................68 检查项 3：问题处置.......................................................................................................68 容量管理...........................................................................................................................69 检查项 1：容量规划.......................................................................................................69 检查项 2：容量监测.......................................................................................................70 检查项 3：容量变更.......................................................................................................70 变更管理...........................................................................................................................71 检查项 1：变更的流程...................................................................................................72 检查项 2：变更的评估...................................................................................................72 检查项 3：变更的授权...................................................................................................73 检查项 4：变更的执行...................................................................................................73 检查项 5：紧急变更.......................................................................................................74 检查项 6：重大变更.......................................................................................................74 7. 业务连续性管理.........................................................................................................................76 业务连续性管理组织.......................................................................................................77 检查项 1：董事会及高管层的职责...............................................................................77 检查项 2：业务连续性管理组织的建立.......................................................................78 检查项 3：业务连续性管理组织职责...........................................................................79 IT 服务连续性管理 ...........................................................................................................80 检查项 1：IT 服务连续性计划的组织保障 ..................................................................80 检查项 2：风险评估及业务影响分析...........................................................................81 检查项 3：IT 服务连续性计划的制定 ..........................................................................81 检查项 4：IT 服务连续性计划的测试与维护 ..............................................................82 检查项 5：IT 服务连续性计划审计 ..............................................................................83 检查项 6：IT 服务连续性相关领域的控制 ..................................................................84 8. 应急管理.....................................................................................................................................85 应急组织...........................................................................................................................85 检查项 1：应急管理团队...............................................................................................85 检查项 2：应急管理职责...............................................................................................86 检查项 3：应急管理制度...............................................................................................86 应急预案...........................................................................................................................87 检查项 1：应急预案制订...............................................................................................87 检查项 2：应急预案内容...............................................................................................87 检查项 3：应急预案更新...............................................................................................89 检查项 4：外包服务应急...............................................................................................89 检查项 5：应急预案培训...............................................................................................90 应急保障...........................................................................................................................90 检查项 1：人员保障.......................................................................................................90 5 检查项 2：物质保障.......................................................................................................90 检查项 3：技术保障.......................................................................................................91 检查项 4：沟通保障.......................................................................................................91 应急演练...........................................................................................................................92 检查项 1：应急演练的计划...........................................................................................92 检查项 2：应急演练的实施...........................................................................................92 检查项 3：应急演练的总结...........................................................................................93 应急响应...........................................................................................................................93 检查项 1：应急响应流程...............................................................................................93 检查项 2：全程记录处置过程.......................................................................................94 检查项 3：应急事件报告...............................................................................................95 检查项 4：与第三方沟通...............................................................................................95 检查项 5：向新闻媒体通报制度...................................................................................96 检查项 6：应急处置总结...............................................................................................96 持续改进...........................................................................................................................97 检查项 1：应急事件评估...............................................................................................97 检查项 2：应急响应评估...............................................................................................97 检查项 3：应急管理改进...............................................................................................97 9. 灾难恢复管理.............................................................................................................................99 灾难恢复组织架构...........................................................................................................99 检查项 1：灾难恢复相关组织架构...............................................................................99 灾难恢复策略.................................................................................................................101 检查项 1：总体控制.....................................................................................................101 检查项 2：灾难恢复策略.............................................................................................101 检查项 3：灾难备份策略.............................................................................................103 检查项 4：外包风险.....................................................................................................104 灾难恢复预案.................................................................................................................105 检查项 1：灾难恢复预案.............................................................................................105 检查项 2：联络与通讯.................................................................................................106 检查项 3：教育、培训和演练.....................................................................................107 评估和维护更新..............................................................................................................107 检查项 1：灾备策略的评估和维护更新.....................................................................107 检查项 2：灾难恢复预案的评估和维护更新.............................................................108 10. 数据管理.................................................................................................................................109 数据管理制度和岗位...................................................................................................109 检查项 1: 数据管理制度..............................................................................................109 检查项 2 ：数据管理岗位...........................................................................................110 数据备份、恢复策略...................................................................................................110 检查项 1：数据备份、转储策略.................................................................................110 检查项 2：数据恢复、抽检策略.................................................................................111 数据存储介质管理........................................................................................................112 检查项 1：介质管理.....................................................................................................112 检查项 2：介质的清理和销毁.....................................................................................113 6 11. 外包管理.................................................................................................................................114 外包管理制度................................................................................................................114 检查项 1：外包管理制度.............................................................................................114 检查项 2：外包审批流程.............................................................................................114 检查项 3：外包协议.....................................................................................................115 检查项 4：服务水平协议.............................................................................................115 检查项 5：外包安全保密措施.....................................................................................116 检查项 6：外包文档管理.............................................................................................116 外包评估和监督............................................................................................................117 检查项 1：外包服务商的评估.....................................................................................117 检查项 2：外包项目的监督管理.................................................................................117 12. 内部审计.................................................................................................................................119 内部审计管理...............................................................................................................119 检查项 1：内部审计部门、岗位、人员和职责.........................................................119 检查项 2：内部审计制度和办法.................................................................................119 内部审计要求...............................................................................................................120 检查项 1：内部审计范围和频率.................................................................................120 检查项 2：内部审计结果的有效性.............................................................................120 13. 外部审计.................................................................................................................................122 外部审计资质...............................................................................................................122 检查项 1：外部审计机构的资质.................................................................................122 外部审计要求...............................................................................................................122 检查项 1：商业银行配合外部审计情况.....................................................................122 检查项 2：外部审计有效性.........................................................................................123 检查项 3：外审过程中的保密要求.............................................................................123 第三部分 基础设施....................................................................................................................125 14. 计算机机房.............................................................................................................................126 计算机机房建设............................................................................................................126 检查项 1：计算机机房选址.........................................................................................126 检查项 2：机房功能分区.............................................................................................127 检查项 3：计算机机房基础设施建设.........................................................................127 检查项 4：计算机机房的环境要求.............................................................................130 检查项 5：计算机机房日常维护.................................................................................131 计算机机房管理............................................................................................................132 检查项 1：计算机机房安全管理.................................................................................132 检查项 2：计算机机房集中监控系统.........................................................................133 检查项 3：计算机机房安全区域访问控制.................................................................134 检查项 4：计算机机房运行管理.................................................................................135 机房设备管理................................................................................................................136 检查项 1：机房设备的环境安全.................................................................................136 15. 网络通讯.................................................................................................................................137 内控管理.......................................................................................................................137 检查项 1：内控制度.....................................................................................................137 7 检查项 2：人员管理.....................................................................................................138 检查项 3：访问控制.....................................................................................................138 检查项 4：日志管理.....................................................................................................139 检查项 5：第三方管理.................................................................................................140 检查项 6：服务外包.....................................................................................................141 检查项 7：文档管理.....................................................................................................141 检查项 8：风险评估.....................................................................................................142 网络运行维护...............................................................................................................143 检查项 1：运行监控.....................................................................................................143 检查项 2：性能监控.....................................................................................................143 检查项 3：流量监控.....................................................................................................144 检查项 4：监控预警.....................................................................................................144 检查项 5：性能调优.....................................................................................................144 检查项 6：事件管理.....................................................................................................145 检查项 7：运行检查.....................................................................................................145 网络变更管理...............................................................................................................146 检查项 1：变更发起.....................................................................................................146 检查项 2：变更计划.....................................................................................................147 检查项 3：变更测试.....................................................................................................147 检查项 4：变更审批.....................................................................................................147 检查项 5：变更实施.....................................................................................................148 网络服务可用性...........................................................................................................149 检查项 1：容量管理.....................................................................................................149 检查项 2：冗余管理.....................................................................................................149 检查项 3：带外管理.....................................................................................................150 检查项 4：压力测试.....................................................................................................151 检查项 5：应急管理.....................................................................................................151 网络安全技术...............................................................................................................151 检查项 1：结构安全.....................................................................................................151 检查项 2：物理安全.....................................................................................................153 检查项 3：传输安全.....................................................................................................153 检查项 4：访问控制.....................................................................................................154 检查项 5：接入安全.....................................................................................................155 检查项 6：网络边界安全.............................................................................................156 检查项 7：入侵检测防范.............................................................................................157 检查项 8：恶意代码防范.............................................................................................158 检查项 9：网络设备防护.............................................................................................158 检查项 10：网络安全测试...........................................................................................160 检查项 11：安全审计日志...........................................................................................161 检查项 12：安全检查...................................................................................................162 16. 操作系统.................................................................................................................................163 账号及密码管理............................................................................................................163 检查项 1：管理制度.....................................................................................................163 8 检查项 2：账号、密码管理.........................................................................................163 检查项 3：账号、密码管理检查.................................................................................165 系统访问控制................................................................................................................165 检查项 1：访问控制策略.............................................................................................165 检查项 2：用户登录行为管理.....................................................................................166 检查项 3：登录失败日志管理.....................................................................................166 检查项 4：最小化访问.................................................................................................167 远程接入管理................................................................................................................168 检查项 1：远程管理制度.............................................................................................168 检查项 2：远程维护管理.............................................................................................169 检查项 3：远程维护审查.............................................................................................169 日常维护........................................................................................................................170 检查项 1：系统性能监控.............................................................................................170 检查项 2：补丁及漏洞管理.........................................................................................170 检查项 3：日常维护管理.............................................................................................171 检查项 4：系统备份和故障恢复.................................................................................172 检查项 5：病毒及恶意代码管理.................................................................................172 检查项 6：定时进程设置管理.....................................................................................173 检查项 7：系统审计功能.............................................................................................173 17. 数据库管理系统.....................................................................................................................175 访问控制........................................................................................................................175 检查项 1：身份认证.....................................................................................................175 检查项 2：授权控制.....................................................................................................176 检查项 3：远程访问.....................................................................................................177 检查项 4：安全参数设置.............................................................................................178 日常管理........................................................................................................................178 检查项 1：数据安全.....................................................................................................178 检查项 2：审计功能.....................................................................................................179 检查项 3：性能管理.....................................................................................................180 检查项 4：补丁升级.....................................................................................................181 连续性管理....................................................................................................................181 检查项 1：备份和恢复.................................................................................................181 检查项 2：连续性和应急管理.....................................................................................182 18. 第三方中间件.........................................................................................................................184 产品管理.......................................................................................................................184 检查项 1：中间件测试.................................................................................................184 检查项 2：中间件管理.................................................................................................184 检查项 3：中间件与业务系统架构.............................................................................185 运行管理.......................................................................................................................185 检查项 1：维护流程和操作手册.................................................................................185 检查项 2：中间件配置管理.........................................................................................185 检查项 3：中间件日志管理的程序.............................................................................186 检查项 4：中间件的性能监控.....................................................................................186 9 检查项 5：中间件产生的事件和问题管理.................................................................187 检查项 6：中间件的变更.............................................................................................187 检查项 7：单点故障问题和负载均衡.........................................................................187 检查项 8：压力测试.....................................................................................................188 第四部分 应用系统....................................................................................................................189 19. 应用系统.................................................................................................................................190 应用系统管理...............................................................................................................190 检查项 1：业务管理办法与操作流程.........................................................................190 检查项 2：重要应用系统评估.....................................................................................190 检查项 3：应用系统版本管理.....................................................................................191 检查项 4：应用系统培训教育.....................................................................................192 应用系统操作...............................................................................................................192 检查项 1：终端用户管理.............................................................................................192 检查项 2：访问控制与授权管理.................................................................................193 检查项 3：数据保密处理.............................................................................................194 检查项 4：数据完整性处理.........................................................................................195 检查项 5：数据准确性处理.........................................................................................195 检查项 6：日志管理机制.............................................................................................196 检查项 7：备份、恢复机制.........................................................................................197 检查项 8：文档资料管理.............................................................................................198 检查项 9：内部审计的参与.........................................................................................199 20. 电子银行.................................................................................................................................200 电子银行业务合规性...................................................................................................200 检查项 1：电子银行业务合规性.................................................................................200 电子银行风险管理体系...............................................................................................201 检查项 1：电子银行风险管理体系.............................................................................201 电子银行安全管理.......................................................................................................202 检查项 1：电子银行安全策略管理.............................................................................202 检查项 2：电子银行安全措施.....................................................................................203 检查项 3：电子银行安全监控.....................................................................................204 检查项 4：电子银行安全评估.....................................................................................204 电子银行可用性管理...................................................................................................205 检查项 1：电子银行基础设施.....................................................................................205 检查项 2：电子银行性能监测和评估.........................................................................205 电子银行应急管理.......................................................................................................206 检查项 1： 电子银行应急预案...................................................................................206 检查项 2：电子银行应急演练.....................................................................................207 21. 银行卡系统.............................................................................................................................208 银行卡系统管理...........................................................................................................208 检查项 1：银行卡系统容量的合理规划.....................................................................208 检查项 2：银行卡系统物理设备风险和故障处理.....................................................209 检查项 3：银行卡交易监控.........................................................................................209 检查项 4：账户密码和交易数据的存储和传输.........................................................210 10 检查项 5：银行卡系统应急预案.................................................................................211 终端设备.......................................................................................................................212 检查项 1：自助银行机具和安装环境的物理安全.....................................................212 检查项 2：自助银行机具的通信安全.........................................................................212 检查项 3：自助银行机具的安全装置.........................................................................213 检查项 4：自助银行业务操作流程（机具软件）.....................................................213 检查项 5：自助银行机具的巡查维护.........................................................................214 检查项 6：POS 机 ........................................................................................................214 自助银行监控...............................................................................................................215 检查项 1：自助银行设备日常运行的监控情况.........................................................215 检查项 2：监控中心和监控设备.................................................................................215 检查项 3：自助银行监控发现问题的处置情况.........................................................216 检查项 4：自助银行设施安全评估（信息科技方面）.............................................216 22. 第三方存管系统.....................................................................................................................217 管理架构和职责...........................................................................................................217 检查项 1：管理架构与岗位职责分工.........................................................................217 系统功能.......................................................................................................................217 检查项 1：系统功能.....................................................................................................217 系统一般安全与账户处理...........................................................................................218 检查项 1：账户冲正处理.............................................................................................218 检查项 2：网络访问控制与病毒防范.........................................................................218 数据交换.......................................................................................................................219 检查项 1：数据交换安全性.........................................................................................219 运行维护.......................................................................................................................220 检查项 1：运行维护安全性.........................................................................................220 系统备份.......................................................................................................................220 检查项 1：系统备份安全性.........................................................................................220 应急恢复与事故处理...................................................................................................221 检查项 1：应急恢复与事故处理流程.........................................................................221 系统测试.......................................................................................................................221 检查项 1：系统测试.....................................................................................................221 临时派出柜台...............................................................................................................222 检查项 1：系统派出柜台安全性.................................................................................222 附录................................................................................................................................................223 23. 常用检查方法.........................................................................................................................224 问卷与函证...................................................................................................................224 访谈...............................................................................................................................225 查阅...............................................................................................................................226 观察...............................................................................................................................227 测试...............................................................................................................................227 分析性复核...................................................................................................................230 评审...............................................................................................................................231 24. 主要网络设备常用操作.........................................................................................................232 11 Cisco 设备常用操作......................................................................................................232 交换机............................................................................................................................232 路由器............................................................................................................................233 防火墙............................................................................................................................234 H3C 设备常用操作 .......................................................................................................234 交换机............................................................................................................................234 路由器............................................................................................................................236 防火墙............................................................................................................................237 25. 主要操作系统常用操作.........................................................................................................238 AIX 系统检查常用操作................................................................................................238 HP/UX 系统检查常用操作...........................................................................................246 Solaris 系统检查常用操作............................................................................................250 Windows 系统检查常用操作 .......................................................................................251 26. 主要数据库管理系统常用操作.............................................................................................256 DB2 系统检查常用操作 ..............................................................................................256 Sybase 系统检查常用操作 ..........................................................................................257 Oracle 系统检查常用操作 ...........................................................................................257 Informix 系统检查常用操作 .......................................................................................259 SQL SERVER 系统检查常用操作...............................................................................261 12 第一部分 概述 13 1. 指南说明 目的及适用范围 信息科技与银行业务高度融合，已成为银行业金融机构提高运营 效率、实现经营战略和加快金融创新的重要手段。与此同时，银行业 对信息科技的高度依赖，使得信息科技风险成为影响银行业稳健运行 的主要隐患之一。银监会按照科学发展观要求，与时俱进，大力加强 信息科技风险监管，充分利用现场检查这一监管手段，深入检查银行 机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行 等领域的科技风险及管理情况，发现问题、排查隐患，督促银行及时 整改。商业银行信息科技风险现场检查工作，既是银监会深入掌握银 行信息化建设、科技管理整体情况的有效方法，也是对银行机构信息 科技风险状况进行准确分析和评价的重要手段，对及时预警风险，提 高银行机构信息科技风险管控能力和水平，保护存款人和公众利益， 维护金融体系安全和稳定有着重要的意义。 为提高信息科技风险现场检查质量，规范检查行为，银监会在“管 法人、管风险、管内控、提高透明度”监管理念指导下，全面总结信 息科技现场检查经验，充分借鉴国外监管机构的检查规范和最佳实践， 编写了《商业银行信息科技风险现场检查指南》（以下简称《指南》）。 《指南》编制的主要目的在于：一是明确了商业银行目前主要的信息 科技风险领域、主要风险点，阐明了检查思路和主要方法，帮助检查 14 人员明确检查目标，从而提高信息科技风险现场检查的有效性和针对 性，提升现场检查质量，为银监会及各级派出机构开展信息科技风险 现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技 风险管理各领域状况的参考标准，并提出了具体的检查要求和步骤， 进一步规范了信息科技风险现场检查的程序、手段和行为，是银监会 及各级派出机构实施现场检查工作的一个重要参考依据和检查指导 工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关 键风险点，提出了风险识别、预警和控制的具体手段，商业银行可以 充分借鉴《指南》内的信息科技风险防控原则和指导思想，应用到银 行信息科技建设和管理实践中，成为指导银行全面开展科技风险防控、 提升管理能力的有力武器。 《指南》主要适用于在中华人民共和国境内依法设立的国有商 业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。 政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用 社的信息科技风险现场检查，应考虑区域经济水平、机构规模与公司 治理结构差异，按照本指南的风险防控原则，结合实际情况进行检查。 村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金 融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的 信息科技风险现场检查可参考本《指南》。 编写原则 一、突出风险为本的监管理念。《指南》坚持法人监管、风险为 15 本的监管理念，紧扣信息科技风险这一中心，详细说明了商业银行信 息科技风险管理中的 300 多个关键风险点，明确提出了具体的控制要 求和检查方法、步骤，涵盖了商业银行信息科技风险管控的各个方面 和环节。 二、坚持分类监管的原则。《指南》参照相关行业标准和规范，指 出了商业银行信息科技风险控制所应达到的标准，同时兼顾不同类型 银行机构的特点体现分类监管原则，针对不同的被检查主体，在检查 目标上有所区别和侧重，以便于监管人员正确把握检查标准和尺度， 对商业银行的指导更具有针对性。 三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险 管理和监管的最新理念，也充分吸收了国内先进银行的成功经验，商 业银行可以对照《指南》分析差距，将《指南》要求作为持续提高信 息科技风险管控水平的目标。 指南框架 《指南》强调：商业银行信息科技风险管理应以科技治理为核心， 通过完善科技治理架构，形成有效内控机制，将信息科技风险管控理 念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。 《指南》包含 4 个部分和附录，共 26 章节。第一部分“概述”主 要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原 则等内容。第二部分“科技管理”包含 12 个章节，提出了对商业银行 信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周 16 期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份 管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查 内容和检查方法、步骤等。第三部分“基础设施”包含 5 个章节，提出 了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第 三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。 第四部分“应用系统”包含 4 个章节，提出了对商业银行核心业务系统、 电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容 和检查方法、步骤等。 附录包含 4 个章节，收录了常用检查方法和常用操作命令，常用 操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命 令、主要数据库管理系统常用操作命令等。 17 第二部分 科技管理 18 2. 信息科技治理 商业银行的董事会和高级管理层应根据本银行的发展战略，运用 先进管理理念加强信息科技治理，提高信息技术使用效益，推动商业 银行的业务创新，增强核心竞争力和可持续发展能力。 提示：在对商业银行的信息科技治理情况进行检查和评价时，可 根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把 握标准与尺度。如，有的银行机构还不具备建立专门信息科技管理委 员会的条件时，可以指定其他委员会暂时代行其职责，也可以由一个 专门的管理协调小组或由一个已存在的机构（例如董事会）承担其职 责。又如：在监管部门没有对商业银行首席信息官制度作出更加明确 的规定或银行机构还不具备设立首席信息官的条件时，可以指定一位 具有科技从业背景或工作经验的高管人员承担首席信息官的工作职 责。 董事会及高级管理层 检查项 1 ：董事会 基本要求：（1）董事会应对银行的信息科技治理负有最终责任。 (2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解 主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。 检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:(a)董事会 19 在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面 临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的 界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决 议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设 和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪 要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。 检查项 2 ：信息科技管理委员会 基本要求：（1）银行应建立信息科技管理委员会,该委员会成员 应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2) 信息科技管理委员会的职责应包括:(a)设定全行 IT 战略目标，指导 IT 方面的资金投入，对 IT 规划进行审批；(b)合理运用现有资源，指导 信息科技部门提供高质量的 IT 服务，同时要监督 IT 成本管理情况； (c)通过调整 IT 项目和活动的优先级解决资源短缺造成的冲突；(d)确 保 IT 战略的及时更新；(e)对主要的 IT 政策、标准、原则进行审批； (f)对重要的 IT 项目和活动进行监控；(g)监督和管理 IT 绩效，确保达 到预期 IT 服务水平；(h)对重大 IT 项目进行审批。（3）定期向董事会 和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实 际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措 施等。 检查方法、步骤：（1）访谈信息科技管理委员会成员,了解信息 科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科 20 技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主 要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审 批情况;(e)预算和执行情况;(f)IT 绩效等。(2)调阅信息科技管理委员会 相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的 讨论和审批记录等,对访谈了解到的信息进行验证。(3）查阅信息科技 管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解 其向董事会和高级管理层汇报工作的情况。 检查项 3 ：首席信息官（CIO） 基本要求：（1）商业银行应建立首席信息官制度，明确其工作 职责及报告路线。（2）首席信息官应了解并参与本行业务发展决策。 （3）首席信息官应负责制定和及时更新信息科技战略,确保信息科技 战略与业务战略保持一致。（4）首席信息官应确保信息科技职能的 规范和有效运作。（5）首席信息官应领导和协调信息科技部门做好 以下工作：信息科技预算和支出，信息科技政策、标准和流程制定及 执行，信息科技内部控制、专业化研发，信息科技项目管理，信息系 统和科技基础设施的建设、维护和运行管理，信息安全管理，应急管 理和灾难恢复计划，信息科技外包和信息系统退出等。（6）首席信息 官应确保信息科技人才队伍具备充分的专业技能。 检查方法、步骤：（1）访谈首席信息官，关注以下内容:(a)银行 的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信 息科技风险和应对策略;(c)银行未来 1-3 年的信息科技发展规划;(d)首 21 席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事 会/信息科技管理委员会等保持有效沟通;(f) 首席信息官对银行信息 科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息 科技部门的活动和绩效进行监控。（2）查阅相关文档资料，如信息科 技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技 重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告 等,对访谈了解到的信息进行验证。 信息科技部门 检查项 1 ：信息科技部门 基本要求：（1）商业银行应建立与银行业务相适应的信息科技 部门，负责信息科技产品的开发、外包、测试、上线和变更，负责相 应信息系统的运行、维护和安全，为银行提供信息科技业务产品。 （2）信息科技部门应该根据工作内容，制定完整的内部工作流程和 内控制度，建立与相关职能部门之间的协调配合机制，保证信息科技 工作的有序、高效。（3）信息科技部门应定期分析评估信息系统生命 周期各阶段的风险，制定风险防控策略、措施和检查流程，切实做好 信息科技风险管控。（4）信息科技部门所配置的信息科技人员的数 量应适应业务及 IT 发展水平，能保证各个信息系统和各项信息科技 工作安全持续地运转。信息科技部门应做好科技人员管理，注重科技 专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记 22 录，具备相应的专业知识技能。（5）信息科技部门应该建设一支与银 行信息科技产品开发战略相适应的信息科技开发队伍，应做好信息科 技开发管理，以及相关的外包服务管理、知识产权管理和开发环节的 风险管理，为银行提供安全的信息科技业务产品。（6）信息科技部门 应建设好银行信息科技系统安全连续运行的环境（包括场地、设备、 网络、系统、数据安全、访问控制和管理制度等），做好各种环境的 监测控制，做好事件、问题管理和变更管理，做好紧急事件应急预案。 （7）信息科技部门应严格遵守国家各项安全管理制度，配合风险管 理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册 和访问控制制度，协助做好业务部门信息科技风险控制和安全教育。 检查方法、步骤:（1）调阅信息科技部门的各项工作流程和规章 制度。（2）调阅信息科技风险管理政策和制度。（3）调阅信息科技部 门的组织结构图,岗位职责说明。(4)访谈信息科技部门负责人、内部 各条线负责人和信息科技风险管理人员，关注以下内容：（a）信息 科技部门内部设置了哪些条线？各条线是否实现了必要的职责分离, 如开发团队和运行团队分离, 信息科技人员不从事业务操作, 有专门 的团队开展安全检查等；(b) 信息科技部门的资源状况,包括人员是否 充足,是否拥有充分的技能；(c)问题和风险的报告路线、流程和处置 效率； (d) 信息科技人员的激励机制；(e)如何对信息科技人员进行 职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内 部控制的理念；(f)信息科技人员的任免和招聘,是否进行背景调查;(g) 23 主要岗位是否轮岗;(h)信息科技人员的技能培训情况;(i)信息科技人员 是否了解本行的信息科技政策/流程/规范/标准等。 检查项 2 ：信息科技战略规划 基本要求：（1）商业银行信息科技战略规划应在充分的市场调 查和技术分析的基础上，由首席信息官, 银行高级管理层, 科技部门、 风险管理和业务部门共同讨论制定，并经过信息科技管理委员会审查 和批准，并报董事会审议。（2）信息科技战略规划应该与业务发展规 划保持一致,为实现银行发展战略提供紧密的信息科技支持。（3）信 息科技战略规划应包含但不限于：IT 治理建设的规划(关注于管理组 织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技 基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时, 银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信 息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情 况进行监督。 检查方法、步骤:（1）调阅信息科技发展战略规划或其他中长期 发展规划，关注相关规划的配合和衔接。（2）访谈信息科技管理部门 负责人和相关工作人员，重点关注：（a）信息科技发展战略规划的 制定是否有各方面人员参与，是否经过高级管理层审批；（b）信息 科技发展战略规划的内容是否包含了应用架构,基础设施,IT 治理等 方面；（c）信息科技发展战略规划完成情况、信息科技工作的总体 状况、信息科技工作的薄弱点和问题；(d)信息科技战略规划是否依据 24 环境变化,总体战略变更等进行调整。 信息科技风险管理部门 检查项 1 ：信息科技风险管理部门 基本要求：（1）商业银行应建立全行信息科技风险管理框架， 设立或指定信息科技风险管理部门，明确相应的管理职责，设置必要 的岗位，配置足够的信息科技风险管理人员。（2）信息科技风险管理 部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特 点、识别和评估流程、持续的控制措施和报告处理机制。（3）信息科 技风险管理部门应定期审查各个相关部门和环节的信息科技风险控 制流程和管理制度，定期检查制度的执行情况，防止出现失控的环节 和管理制度老化的情况。（4）信息科技风险管理部门应对重要的信 息科技工作环节进行风险识别和评估，定期检查和上报信息科技风险 控制状况。（5）信息科技风险管理部门应对全行员工进行持续的信 息科技风险教育。 检查方法、步骤:（1）调阅信息科技风险管理的相关政策, 流程, 管理规范, 工作手册,以及开展信息科技风险管理的记录, 如日常工作 记录、会议纪要和风险评估报告等。（2）调阅组织结构图和职责说明, 了解信息科技风险管理部门的组织结构和人员的配置情况。（3）了 解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标准, 是否定期开展风险评估, 风险评估的结果,主要风险和应对措施等。 25 （4）了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门 和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的 开展情况,并调阅培训资料和记录等。 信息科技风险审计部门 检查项 1 ：信息科技风险审计部门 基本要求：（1）商业银行应指定专门负责信息科技风险审计的 部门，设置必要的岗位，并配备适量信息科技风险专业审计人员。 （2）制定信息科技风险审计制度和相应的审计手册。（3）应有计划、 有侧重点地开展信息科技风险审计工作。（4）及时向董事会和监事 会报告信息科技风险审计情况。（5）审计发现重大风险隐患应及时 报告。 检查方法、步骤：（1）访谈信息科技审计部门负责人和工作人 员, 了解以下信息:(a)信息科技审计职能的定位, 工作范围,组织结构和 分工(包括信息科技内审团队内部的分工,以及与其他内审团队的分工), 汇报路线, 人员配置, 技能 (如是否拥有专业资格)等情况；(b)信息科 技审计计划, 关注计划制定过程中是否考虑了风险,并基于风险状况 制定相应计划；(c)信息科技审计工作的标准和规范；(d)信息科技内 审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改 情况等；(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整 改,及与高级管理层和董事会的汇报。(f)内审人员的持续培训情况。(2) 26 调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度； (b)信息科技审计部组织结构图,职责说明等；(c)信息科技风险审计手 册或其他标准规范文档。（3）调阅商业银行审计工作计划、工作底稿 和审计报告。（4）调阅审计发现落实整改情况的记录;。(5) 调阅培训 记录。 知识产权保护和信息披露 检查项 1 ：知识产权保护 基本要求：（1）商业银行应按照国家有关知识产权法律、法规 的要求，制定本单位知识产权保护制度。（2）应采取有效措施确保所 有员工充分理解知识产权保护制度并遵照执行。（3）规范合法软件 的购买和使用，禁止使用盗版软件。（4）做好自主开发的信息科技产 品的知识产权保护工作。 检查方法、步骤：（1）调阅商业银行遵守知识产权法律的相关 制度并审查其内容。（2）查阅商业银行的软件清单，检查是否拥有产 权或授权及到期状况。（3）查阅外包服务协议和相关文件中是否有 知识产权的保护条款，并检查落实情况。 检查项 2 ：信息披露 基本要求：商业银行应依据国家有关法律、法规的要求，按照监 管机构规定的格式和时间，及时规范地披露信息科技风险信息。 检查方法、步骤：（1）调阅商业银行有关信息科技风险披露的 27 制度。（2）查阅商业银行披露信息科技风险评估结果的记录。（3）重 点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法 规的要求，是否按照监管机构规定的格式和时间及时规范地发布。(4) 访谈信息科技人员了解信息披露的流程, 以及信息披露执行情况,如 科技人员是否了解披露要求,如何确保披露信息的及时和准确等。 28 3. 信息科技风险管理 商业银行应制定信息科技风险管理策略，制定风险识别和评估、 风险防范措施，对风险进行持续监测。 风险识别和评估 检查项 1 ：风险管理策略 基本要求：（1）商业银行应制定符合银行总体业务发展规划的 信息科技战略、信息科技运行计划和信息科技风险评估计划；（2） 应配置足够人力、财力资源，维持稳定、安全的信息科技环境；（3） 应制定全面的信息科技风险管理策略，包括但不限于：信息分级与保 护，信息系统开发、测试和维护，信息科技运行和维护，访问控制， 物理安全，人员安全，业务连续性计划与应急处置。 检查方法、步骤：（1）访谈信息科技部门及信息科技风险管理 部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风 险框架和分类,评估方法和标准,以及对风险容忍度的界定；(b) 银行的 主要信息科技风险及其应对措施；(c)在开展信息科技风险管理过程中 遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管 理政策和流程, 风险评估规范或手册等。 29 检查项 2 ：风险识别与评估 基本要求：（1）商业银行应制定持续的风险识别和评估流程， 确定信息科技风险隐患；（2）定期评估信息科技风险对其业务的潜 在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级 别。 检查方法、步骤：（1）调阅风险识别和评估流程文档，风险评 估报告和相关工作底稿，了解具体工作开展情况。（2）与信息科技风 险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员) 访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以及对识别 的风险是否制定了应对措施。 风险防范和检测 检查项 1 ：风险防范措施 基本要求：（1）商业银行应依据信息科技风险管理策略和风险 评估结果，实施全面的风险防范措施。防范措施应包括：制定明确的 信息科技风险管理制度、技术标准和操作规程，并定期进行更新和公 布；（2）确定潜在风险区域，并对这些区域进行有效的监控，实现 风险及早发现、影响最小化；（3）建立适当的控制框架，以便于检 查和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户 审查，控制数据和系统的物理及逻辑访问，访问授权以“必需知道”和 “最小授权”为原则，审批和授权，验证和调节等。 30 检查方法、步骤：（1）调阅信息科技管理制度、技术标准、操 作规程等文档,并访谈信息科技人员和风险管理人员,了解信息科技风 险控制的主要原则和措施.(注:这里应主要关注风险控制的原则, 如怎 样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安 排等，具体控制的设计和执行情况将在各个领域中进行检查。)（2） 调阅风险监控相关工作记录,如风险评估报告,信息科技各职能部门关 于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控 情况；(3)了解信息科技职能和风险管理职能如何对主要风险进行监控, 如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指 标的持续监测, 内外审的发现和建议的落实,问题上报制度等。 检查项 2 ：风险计量与检测 基本要求：（1）商业银行应建立持续的信息科技风险计量和检 测机制，其中包括：建立信息科技项目实施前及实施后的评价机制, 建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故 处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处 理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技 术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环 境下操作风险和管理控制的检查,定期进行信息科技外包项目的风险 状况评价。（2）中资商业银行在境外设立的机构及境内的外资法人 银行，应对境内外监管机构有关信息科技风险监管政策的差异性进行 分析并防范由此可能产生的风险。 31 检查方法、步骤：（1）调阅有关文档(如风险评估制度和方法,评 估报告,关于风险和安全事件的汇报等)，了解商业银行是否建立信息 科技风险计量和监测机制。（2）访谈相关工作人员，了解中资商业银 行在境外设立的机构及境内的外资法人银行是否对监管政策的差异 性进行了充分分析并采取有效风险防范措施。 32 4. 信息安全管理 保证信息安全是商业银行的一项重要任务，商业银行应在信息科 技部门内部设置专门的信息安全管理部门或岗位，建立完善的信息安 全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到 人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全 的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。 提示：在对商业银行的信息安全管理进行检查和评价时，可根据 银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标 准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不 设置单独的安全管理部门，但应设置专职的岗位；信息科技岗位设置 可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系 统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼 此分离、批量处理人员和业务数据库管理员彼此分离。 安全管理机制与管理组织 检查项 1：信息分类和保护体系 基本要求：商业银行信息科技部门应对各类信息系统进行风险评 估，根据信息系统的重要程度等因素，建立和实施信息系统分类和保 护体系，并保证该体系在银行内部的贯彻落实。 检查方法、步骤：（1）调阅信息系统分类管理制度，查看相关 33 制度是否建立健全，是否对信息类别和访问人员的范围、级别作出明 确规定；（2）检查商业银行是否针对不同的信息系统，制订了不同 的安全防范措施，采取了不同的技术防范手段；（3）检查商业银行 是否对信息系统风险进行评估和防范。 检查项 2：安全管理机制 基本要求：商业银行信息科技部门应落实信息安全管理职能。包 括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安 全意识，就安全问题向其他部门提供建议，定期向信息科技管理委员 会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全 标准、策略、实施计划和持续维护计划。 检查方法、步骤：（1）调阅商业银行信息安全计划或相关文档， 检查商业银行是否制订信息安全计划。（2）分析信息安全计划，评估 商业银行信息科技部门能否对信息安全进行持续、长期和有效的管理， 确保信息安全和信息系统安全运行。（3）检查商业银行信息科技部 门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是 否就安全问题向其他部门提供安全建议。（4）检查商业银行信息科 技部门是否对各类信息和信息系统制订相应的信息安全标准，是否制 订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计 划。通过访谈了解这些管理策略和计划是否有效实施。（5）调阅信息 安全评估报告，检查信息科技部门是否定期对本行信息安全进行评估。 34 检查项 3：信息安全策略 基本要求：商业银行应制订详细的信息安全策略，至少包括以下 内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全 管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统 开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。 检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否 制定信息安全策略及其内容是否完整、全面。（2）调阅信息安全管理 规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求 和细则。 检查项 4：信息安全组织 基本要求：商业银行应建立配套的安全管理职能部门，通过管理 机构的岗位设置、人员的分工以及各种资源的配备，为信息系统的安 全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负 责人岗位，并定义各负责人的职责；应根据各个部门和岗位的职责明 确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资 源的访问等关键活动进行审批；安全管理人员应负责定期进行安全检 查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。 检查方法、步骤：（1）调阅相关岗位职责说明文件，检查是否 设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作 岗位的职责；（2）检查是否限制安全管理员不能兼任网络管理员、 35 系统管理员、数据库管理员等；（3）查询相关制度文件和审批记录， 检查是否根据各个部门和岗位的职责明确授权审批部门及批准人，对 系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批； （4）调阅信息安全检查记录，检查安全管理员是否定期进行安全检 查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查 结果是否及时报告和处理。 安全管理制度 检查项 1：规章制度 基本要求：商业银行应对信息安全风险进行分析、评估；应对信 息安全管理工作建立相应的管理制度；应要求管理人员或操作人员严 格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级 程度，并进行密级管理；信息安全制度建设应全面涵盖信息系统的安 全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数 据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保 护、文档管理等内容。信息安全制度应包含违规处罚条款；重要工作 和岗位应制订详尽的管理办法和工作职责；信息安全制度应包括对服 务商的责任和义务要求；信息安全事件报告制度和处理流程应清晰明 确；信息安全管理制度应注明发布范围，有发文编号和相关部门的收 文记录；信息安全制度应及时发布和修订。 商业银行应建立完善的信息系统管理制度，管理制度应正式发文 36 予以公布，或收集整理形成制度汇编以便于员工学习掌握。 检查方法、步骤：（1）调阅商业银行信息安全管理相关的会议 记录。（2）调阅信息安全相关的制度，查看：(a)是否围绕着风险分析、 评估报告开展制度建设，各项制度能否有效防范风险；（b）已有制 度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络 安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端 安全、病毒防护、敏感数据保护、文档管理等内容；（c）是否包含 违规的处罚条款；（d）是否包括针对服务商的管理要求，如职责和 义务；（e）是否建立信息安全事件报告制度和处理流程，制度和流 程是否清晰和明确；(3)调阅信息安全管理部门职责和工作计划，查看 是否对重要的信息系统安全管理岗位制定了明确的管理办法和工作 职责。（4）信息安全管理负责人员座谈，了解近期信息安全方面的重 大（管理、安全、人事等方面）事件，检查是否已经针对上述事件对 信息安全制度进行了及时修订和颁布实施。 检查项 2：制度合规 基本要求：信息安全制度应符合国家有关信息科技管理的法律法 规；应符合国家有关信息科技管理的技术标准；应符合银监会有关要 求；对于拥有境外机构的银行，其制度也应符合境外监管机构的要求。 检查方法、步骤：（1）调阅信息安全制度，检查：（a）制度是 否遵循国家有关信息科技管理的法律法规要求；（b）技术性比较强 的信息系统安全制度是否低于国家相关标准规定；（c）审查其是否 37 与银监会相关办法、要求相冲突。（2）与信息安全管理负责人座谈， 了解该银行是否在境外设立分支机构，境外分支机构信息安全制度是 否符合所在国、地区监管机构的要求。 检查项 3：制度执行 基本要求：信息科技相关工作应严格遵守信息安全制度规定；对 违规操作的应根据相应条款进行处罚；被处罚管理部门或个人应对违 规操作进行整改；审计部门应对信息安全制度执行情况定期进行审计。 检查方法、步骤：（1）与负责信息安全的人员访谈，了解信息 安全制度执行情况；（2）调阅银行或部门会议记录，查看银行或部 门是否对日志、视频等记录中出现的违规操作行为进行过认定，并对 违规人员或部门进行过处罚；（3）调阅银行或部门会议记录，查看 是否对违规操作进行过整改，整改的后续情况如何。对于因制度漏洞 造成的风险，是否及时对相关制度进行了修改：（4）调阅内、外部 审计资料，查看是否有关于信息安全制度执行情况的审计报告；（5） 调阅审计文件，查看对信息安全制度执行情况的审计频度和审计内容 是否符合银行要求；（6）调阅银行或部门文件，查看是否对审计发 现的问题进行过整改落实，后续的整改落实情况是否符合审计要求。 人员管理 检查项 1：人员管理 基本要求：（1）信息科技的岗位设置应合理，应做到分工明确、 38 职责清晰，重要岗位需要相互制约、监督；（2）信息科技人员应无 不良记录；信息科技人员的专业知识和业务水平应达到本行要求；应 加强对临时聘用或合同制信息科技人员的安全管理措施；（3）应对 信息科技人员权限进行分级管理，关键岗位应有 AB 角；应分离不相 容岗位人员职责，不得兼任；（4）信息安全管理岗位应配备专职安 全管理员。关键区域或部位的安全管理员应符合机要人员管理要求， 对涉密人员应签订保密协议；（5）信息科技人员管理要全面，应包 括背景调查、人员招聘、上岗培训、安全培训、人员离岗审查、强制 休假等方面。 检查方法、步骤：（1）调阅银行人事制度，了解银行的信息科 技岗位设置情况，是否配备了专门的安全管理岗位；（2）与信息科 技管理人员和普通员工进行座谈，听取其对信息科技岗位设置的意见， 分析岗位设置是否合理；（3）调阅银行人事档案，查看是否建立了 信息科技人员的绩效考核制度，查看信息科技人员是否有不良记录； （4）调阅银行人事档案和与信息科技从业人员进行座谈，了解信息 科技人员的专业知识和业务水平；（5）调阅银行人事管理制度或部 门人事管理制度，分析是否有针对正式信息科技人员、临时聘用或合 同制信息科技人员及顾问制定不同的人事管理制度；（6）调阅信息 安全管理的相关制度，确认是否对不同信息科技岗位进行了权限划分 和分级管理，并能贯彻落实上述制度和要求。 39 安全评估报告 检查项 1：安全评估报告 基本要求：商业银行应定期对信息系统安全情况进行评估，并提 交安全评估报告。当信息系统发生重大变化时，应及时进行信息安全 评估。对安全评估中发现的问题，应及时整改。 检查方法、步骤：（1）调阅安全评估报告，检查商业银行是否 定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后， 是否及时进行信息安全评估：（2）检查安全评估是否全面，是否覆 盖所有信息系统，是否覆盖所有信息安全范围；（3）检查安全评估 报告反映的问题是否及时得到处理或改进。 宣传、教育和培训 检查项 1：宣传、教育和培训 基本要求：高管层、信息安全管理部门负责人应知晓信息安全政 策；银行应加强对客户的信息安全重要性的宣传教育工作；银行应定 期组织员工进行信息系统安全重要性教育；银行应组织员工学习基本 的信息系统安全管理制度；信息科技人员应掌握与其岗位相关的信息 安全管理制度。 检查方法、步骤：（1）与高管层、信息安全管理部门负责人座 谈，了解是否知晓本银行的信息安全政策；（2）与高管层座谈，了 解银行是否对客户进行过信息安全方面的宣传教育，其内容、力度和 40 频度如何；（3）与普通员工座谈，了解是否接受过有关信息安全方 面教育；（4）抽查银行内部部门的学习记录，看是否组织过信息安 全防范知识方面的学习培训；（5）与普通员工座谈，看是否知晓本 银行基本的信息安全制度；（6）调阅信息科技部门的学习记录，看 是否对信息科技人员进行过信息安全制度的传达，是否组织过信息安 全制度的学习培训；（7）与信息科技人员座谈，看是否掌握与其从 事岗位相关的信息安全管理制度。 41 5.系统开发、测试与维护 开发管理 良好的系统开发管理是一个系统能否稳健运行的必要前提，因此 应加强对商业银行系统开发管理工作的检查力度，从而准确评估各运 行系统以及即将上线系统的稳定性和可靠性。通过对商业银行的相关 制度、规定、流程以及文档、记录的检查和分析，了解其管理层是否 统筹考虑系统开发与信息科技战略规划及业务发展目标的一致性，是 否对系统开发的可行性、必要性、成本效益核算以及存在的风险等方 面进行全面评估，是否建设了合理的开发管理组织框架，是否对开发 过程进行了全面的风险管控，以确保系统开发过程的合理、高效和安 全。 检查项 1：管理架构 基本要求：应建立信息科技管理委员会对信息系统项目建设的审 批、授权机制，重大信息系统项目开发应经过银行董事会的批准，并 符合该机构的 IT 战略规划和业务发展目标。信息科技部门应设置独 立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统 项目开发进行集中管理，系统开发应成立专门的开发建设项目组，具 体负责信息系统的开发建设。在系统开发立项审批前，应进行系统开 发可行性研究，以控制与信息科技有关的风险。项目开发过程中应定 42 期向首席信息官或高级管理层汇报项目实施状况。信息系统开发过程 应有业务需求部门人员参与，并定期与业务需求部门一起审核信息系 统开发建设情况，查看是否能够满足生产业务的需要，是否与业务需 求相符合，是否对关键业务风险点进行了有效控制。 检查方法、步骤：（1）检查商业银行是否有系统开发的可行性 研究、成本效益分析、风险评估等报告，查看是否对项目的可行性、 成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规 划等进行了深入的分析；（2）调阅相关会议纪要，查看相关分析结 果是否得到信息科技管理委员会的认可，分析信息科技管理委员会是 否对系统开发的可行性、必要性以及与 IT 战略规划和业务发展目标 的一致有充分认识；（3）对于重大信息系统开发项目，查看是否有 银行董事会批准实施系统开发的记录；（4）调阅重大项目相关开发 建设文档，查看是否成立了专门的项目组，具体负责项目的开发建设。 如成立有项目组，调阅项目组相关工作文件，检查项目组是否尽职完 成其相关职责；（5）查看是否有项目实施部门定期向信息科技管理 委员会报告系统开发进展的报告；（6）查看商业银行是否设置独立 的部门负责系统开发，调阅部门人员清单及简介（含资质），判断该 部门人员的数量和专业背景对于其承担的系统开发职责是否充分和 适当；（7）调阅项目开发相关文件，查看信息系统开发过程是否有 业务部门人员参与，检查项目开发过程中开发部门是否与业务部门定 期总结信息系统开发建设情况，以确认正在开发的系统是否与业务需 求相符合，是否对关键业务风险点进行了有效控制；（8）检查信息 43 系统投产后，实施部门是否组织了对系统的后评价，并根据评估结果 及时对系统功能进行调整和优化。 检查项 2：制度建设 基本要求：商业银行应制定全面的信息系统开发管理制度和流程， 包括但不限于系统的开发流程和组织管理、参与部门的职责划分、时 间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制 度和流程，应涵盖信息系统开发的全周期，包括：分析、设计、开发 或外购、测试、试运行、部署、维护和退出等，制度和流程应经过高 级管理层和相关部门的认可，明确相关部门和人员的职责，并定期进 行评估和更新。 检查方法、步骤：（1）调阅商业银行系统开发相关的制度和流 程，检查其是否明确了管理组织及职责，是否对开发流程管理进行全 面的管控。是否建立了质量检测和风险评估机制等；（2）询问相关 人员，是否有高级管理层和所有有关部门认可这些制度和流程的说明， 查看相关会议纪要、相关文件的传阅痕迹等；（3）检查系统开发过 程中，相关制度和流程是否得到有效的实施，如是否界定了明确的部 门和人员职责，职责划分是否合理，是否有完整的时间进度管理和财 务预算管理，是否要求实施部门定期向信息科技管理委员会提交重大 信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的 重大变更、关键人员或供应商的变更以及主要费用支出情况等；（4） 检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可 44 行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、 使用培训、实施操作和维护等各环节。 检查项 3：项目控制体系 基本要求：（1）商业银行应制定合理的项目生命周期，加强项 目生命周期管理，包括系统分析、设计、开发或外购、测试、试运行、 部署、维护和退出；（2）应开展对系统需求和技术架构的管理，使 系统需求与业务目标保持一致；（3）应当建立一套符合质量管理标 准的质量控制体系，有效控制开发质量；（4）应根据项目风险评估， 在系统开发过程中落实主要风险点的风险控制措施；（5）系统开发 环境与运行环境应当分离，包括网络分离、设备分离、数据分离、人 员分离等，防止开发活动对业务运行环境造成风险；（6）系统开发 过程中应进行必要的安全控制，应对源代码进行有效管理，对程序源 代码进行严格的审查，不应留有“后门”，即不应以维护、支持或操作 需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中 未说明的任何模式的入口。 检查方法、步骤：（1）检查银行是否有信息系统生命周期管理 制度，是否有项目生命周期管理流程和记录；（2）检查系统需求和 技术架构的评估文档，看系统需求与业务目标是否保持一致；（3） 询问系统开发部门负责人，银行是否建立了系统开发质量控制体系， 调阅其项目质量控制标准、代码编写规范（软件）以及质量控制检查 和监督的记录；（4）检查是否有项目需求和计划的风险评估以及业 45 务的风险点分析,是否有对业务操作环境（如人员素质、操作场所等 环境）的相关风险分析，是否有对项目延期的风险、项目进程中发现 的风险、项目外包的风险等关键控制点制定风险控制措施，是否有风 险控制措施的落实记录和监督记录；（5）检查系统开发环境和运行 环境是否分离，网络是否有效隔离，设备是否独立于生产系统，开发 人员是否接触生产系统，开发过程中是否使用了生产数据,使用的生 产数据是否得到高级管理层的批准并经过脱敏或相关限制；（6）检 查系统开发过程中，是否进行安全控制，是否对源代码进行有效管理 和严格的审查，系统所有入口是否都经过安全规则的控制，并在系统 开发文档中全部注明。 检查项 4：系统开发的操作风险 基本要求：商业银行应当加强对开发队伍的管理，合理选择具备 相当专业知识和技术水平的项目经理，并应对技术人员，尤其是外来 技术人员的开发行为加强管理，对于外包开发与合作开发的开发方应 进行充分调研分析，以保证系统的可靠性；应当加强信息科技项目文 档管理和文档版本控制；银行信息科技开发部门应当加强对开发过程 的检查，确保开发目标的实现。对以外包和合作开发为主进行信息系 统开发建设的银行机构，应特别重视对外来技术人员的开发行为加强 管理，对于外包开发与合作开发的开发方应进行充分调研分析，以保 证系统的可靠性。 检查方法、步骤：（1）询问商业银行对项目开发经理的知识水 46 平要求，查看部分项目开发经理的资信历史、资格证书、从业经历的 调查记录；（2）对于外包开发与合作开发的项目，询问项目管理成 员，开发方是否在业内有过针对客户的不良纪录,商业银行是否有对 开发方技术实力与人力资源充分性进行分析；（3）检查是否制定了 文档管理规范制度，查看项目开发设计、源代码、技术使用和运行维 护说明书、用户使用手册，风险评估报告等项目文档管理是否符合规 范，是否进行了文档的版本控制；（4）检查银行是否有系统开发过 程的检查记录，是否对系统完整性、恶意代码和后门程序进行了检查。 检查项 5：数据继承和迁移 基本要求：信息系统升级变更，应特别重视对历史数据的继承和 迁移。应合理规划数据结构，并进行数据兼容性分析，防止因兼容性 不够而造成历史数据的无法使用和继承，进而影响业务生产和客户利 益。信息系统升级变更前，应制订详细的数据迁移计划，并提前进行 数据迁移测试和数据有效性、兼容性验证。商业银行应制定并落实相 关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的 完整性、安全性和可用性。 检查方法、步骤：（1）检查是否进行新旧系统业务数据兼容程 度分析，并形成书面报告；（2）检查业务系统上线前，是否制订详 细的数据迁移计划，数据迁移计划是否严密；（3）检查业务系统上 线或升级前，是否进行过数据迁移测试和数据有效性、兼容程度验证； 有数据移植时，检查是否针对新旧系统中被移植部分数据的一致性进 47 行过验证，对数据调整时，是否对调整过程进行了完整记录并由相关 人员签字；（4）检查是否制定了相关制度、标准和流程，以保证信 息系统开发、测试、维护过程中数据的完整性、安全性和可用性。 系统测试与上线 充分的系统测试和周密的上线程序是保障系统正常稳定运行的重 要环节，商业银行应该确保充分的系统测试和具备完善系统上线程序 的管理，以确保系统的测试结果是可信的，上线流程是完善的。通过 对相关制度、流程和程序的检查，分析商业银行在系统测试和上线过 程是否存在缺陷，从而对各系统做出合理的评估，避免系统测试不充 分上线，或上线程序不周密，导致系统风险，造成损失。 检查项 1：系统测试 基本要求：商业银行应为所有的主要变更建立充分的测试体系 （如：系统单元测试、系统集成测试、系统验收测试、用户测试、预 演、数据转换的验证、平行测试等）以保证系统测试的完整和充分； 商业银行应建立完善的测试团队，并确保测试工作的公正性和独立性； 应当确保充分，完整的系统测试；测试环境应与生产环境相隔离；应 当对信息系统功能进行充分测试，保障系统功能与业务目标一致；应 当对信息系统进行非功能测试，保证系统的兼容性、可靠性、通用性、 安装的可操作性，防范在信息系统性能峰值情况下发生的问题。系统 变更应建立回滚变更的程序，以便于在发生问题的情况下可以恢复到 48 原始的程序、系统配置和数据，在变更迁徙到生产环境前应进行回滚 程序的试运行，以保证回滚程序是有效、可靠的。系统测试过程中应 对测试的情况进行规范的记录，最终形成测试文档并进行分析。 检查方法、步骤：：1）检查系统变更的测试报告，分析测试内 容和测试步骤是否完整，测试用例是否充分涵盖所有业务场景；（2） 调阅测试团队人员清单，分析测试团队人员角色、知识水平等是否充 分，询问相关负责人通过哪些措施保证测试团队的公正性和独立性； （3）调阅测试方案、测试用例、测试记录等，分析银行的测试方案 是否完善，测试计划是否完整，测试环境是否与生产环境相隔离，测 试用例是否充分，测试用例是否有生产数据，当使用生产数据测试时 是否得到高级管理层的审批并采取相关限制及进行脱敏处理，测试执 行情况记录是否完整，查看是否有对充分测试的审核报告；（4）调 阅功能测试记录，查看系统功能测试结果是否与业务需求一致；（5） 调阅非功能性测试报告或记录（非功能测试技术主要包括：配置和安 装测试、兼容性和互操作性测试、文档和帮助测试、错误恢复测试、 性能测试、可靠性测试、保密性测试、压力测试、可用性测试、容量 测试），分析测试用例是否充分，测试结果是否与业务需求一致； （6）检查是否建立系统变更的回退程序，是否有回退程序的测试或 试运行成功的记录；（7）调阅系统测试报告，检查系统测试过程中 是否对测试的情况进行规范的记录，是否形成测试文档；对测试过程 是否进行分析，并提出相应修改意见。 49 检查项 2：系统验收 基本要求：商业银行应当在系统发布前对测试过程进行充分审查， 防止未经充分测试的系统上线运行；应当在系统发布前对系统交付物 的完整性进行检查，以及对代码进行检验；对打包销售的系统，应要 求其提供充分可靠的测试证明，并进行代码审查；应当对系统进行一 段时间的试运行，及时发现试运行中存在的问题，改正后方可正式上 线。 检查方法、步骤：（1）调阅系统验收记录和测试质量的评估报 告，检查系统发布前商业银行是否对测试的过程和有关测试充分进行 了审查并对测试质量进行了评估；（2）查看验收记录中是否对系统 交付物的完整性进行了检查，检查的内容还应该包括软件发布计划、 操作手册和应急预案等文档；（3）检查打包销售的软件是否有完整 的、充分的和可靠的测试报告，是否有对软件代码的审查记录，特别 是对秘密信道及特洛伊木马程序审查；（4）检查是否有完整的试运 行报告、试运行记录、系统错误修正记录等，查看系统的试运行是否 通过。 检查项 3：投产上线 基本要求：商业银行应重视信息系统的投产上线工作，做到以下 几点：（1）包括用户需求书、功能说明书、设计说明书、技术与业 务操作手册等在内的所有文档资料在上线前应正式归档保管；（2） 50 投产上线所用的系统生产环境已经建立并经验收测试证明有效；（3） 清除投产上线用的系统生产环境中的验收测试数据（另行安排生产环 境除外）；（4）完成投产上线计划书、上线操作手册、回退操作手册 并经验证；（5）有数据移植时还需对新旧系统中被移植部分数据的 一致性进行验证，对数据调整时应对调整过程完整记录并请相关人员 签字；（6）已对运行人员、业务管理人员、业务操作人员进行了培 训，开发人员与运行维护人员已经完成了职责移交。 检查方法、步骤:（1）检查文档资料管理系统，确认与该信息系 统有关的各类文档资料已经正式归档保管，纳入生产系统文档资料管 理范围；（2）与业务和技术人员访谈，了解投产上线的完整过程， 判断投产上线用的环境是否在启用时已经验证有效、测试业务数据得 到完全清理、被移植到生产环境的数据与在原环境中数据保持一致性； （3）与运行人员和开发维护人员访谈，了解在投产时，运行人员是 否熟悉运行操作，维护人员是否接管维护职责，从而判断是否实行岗 位分离和存在操作风险。 系统下线 商业银行应对系统下线按规范流程妥善处理，确保下线系统敏感 数据的安全性和完整性。 检查项 1：系统下线 基本要求：商业银行应当关注系统下线工作，并做到以下几点： 51 （1）下线前，应当做好充分的论证，证明该信息系统的功能已经失 效或已有其它系统替代；（2）系统下线应有下线计划和操作手册； （3）确保信息系统的环境数据、客户数据和交易数据保存一定时间， 并继续实施安全管理；（4）在对信息系统设备留作他用、出卖或销 毁时，应当对其中的信息进行删除等处理，整个过程应记录。 检查方法、步骤:（1）调阅文档资料管理系统，确认是否有下线 计划和操作手册并对整个过程进行记录；（2）与技术人员访谈并现 场抽查部分退出使用的设备，确认系统下线后对应该保留的信息是否 进行了有效的的保管，该删除的信息是否得到了彻底销毁。 52 6. 系统运行管理 日常管理 商业银行应将信息科技运行与系统开发和维护分离，确保信息科 技部门内部的岗位制约，并且应从录用前、任职期间、离职全过程对 科技人员进行管理，以确保员工充分了解其责任、能够严格遵守机构 的信息安全方针、并确保员工离职后不对本机构造成损失。 检查项 1：职责分离 基本要求：商业银行应将不相容岗位实现职责分离，以降低未授 权访问、无意识修改以及故意犯罪给机构带来损失的机会。其目标是 做到在未授权或未被监测时，个人不能擅自访问、修改或使用机构信 息资产，并做到事件的启动与其授权相分离。 检查方法、步骤：（1）访谈科技部门负责人及信息科技风险审 计负责人，判断该机构哪些职责应实现分离。开发与日常维护、业务 与后台管理必须实现分离；（2）调取该机构岗位职责及人员名单， 验证不相容岗位是否实现了分离，是否存在岗位分离但人员兼岗的现 象；（3）抽取部分应用系统，从系统中取得操作系统用户清单、数 据库用户清单、应用系统用户清单以及开发测试系统的相应清单，验 证是否存在事实上的兼岗现象，是否存在开发人员在生产系统中存在 账户的现象。 53 检查项 2：值班制度 基本要求：商业银行应制定信息科技运行 7*24 小时值班制度， 每班值班人员不能少于 2 人，并确保值班人员专人、专职，不能兼任 系统维护人员及开发人员。值班人员应对系统运行情况进行全面监控， 运行记录应完善、详实。 检查方法、步骤：（1）通过调阅信息科技部门岗位、人员名单， 确认值班人员是否为专人、专职，是否兼任维护及开发职能；（2） 调阅值班监控登记簿，确认是否能够做到 24 小时值班，运行监控记 录是否完善、详实，是否存在无运行监控记录的日期；（3）通过调 阅值班室视频记录，验证能否做到双人在岗。 检查项 3：操作管理 基本要求：商业银行应制定详尽的信息科技运行操作程序。如在 信息科技运行手册中说明值班人员的任务、执行步骤，以及生产与开 发环境中数据、软件的现场及非现场备份流程和要求（备份的频率、 范围和保留周期），严禁值班人员脱离文档对生产环境进行操作。 检查方法、步骤：（1）到数据中心实地查看，验证值班室是否 保存有较为完整的操作手册；（2）对比值班人员职责，验证值班室 的操作手册能否完整覆盖值班人员的职责；（3）通过调阅值班室视 频记录，验证是否存在值班人员脱离文档操作的现象。 54 检查项 4：人员管理 基本要求：（1）商业银行应根据相关法律、法规要求，对所有 求职者进行背景验证检查，该检查应与业务要求、接触信息的类别及 已知风险相适应；（2）商业银行应加强对员工的管理，尽可能减少 由于人员因素引起的安全风险，加强对员工的安全培训，培养员工的 安全意识，使其了解所承担的责任和义务，并在日常工作中认真贯彻 机构的信息安全方针；（3）商业银行应确保员工离职过程的有序性， 并确保其归还所有设备，及时取消其对系统及信息的访问权限。组织 内部职责和工作变化后应及时调整系统权限。 检查方法、步骤：（1）录取过程验证。选取部分关键岗位人员 名单并调阅其录取过程的文档，验证录取前是否查验了以下内容： （a）申请人的履历；（b）相关学历、资质；（c）身份证件；（d） 其他细节，例如信用卡记录或犯罪记录;（2）录取条件验证。调阅商 业银行与录取员工签署的录用合同，验证是否包括以下内容：（a） 是否签署保密协议；（b）员工需遵守的法律职责，例如知识产权保 护等；（c）与员工有关的信息保护与资产管理职责；（d）员工违规 所要承受的惩罚；（3）管理职责验证。调阅银行机构有关安全管理 的文件，验证其是否明确定义定义了员工的信息安全责任，并确保员 工了解；（4）信息安全培训验证。调阅商业银行对员工所进行的有 关安全的培训，验证商业银行是否定期就本单位信息安全方针、制度 等内容对员工进行培训，并通过查阅培训记录确认员工均参加了培训； 55 （5）惩戒过程验证。调阅商业银行有关安全管理的文件，验证其是 否就员工违规行为的后果作出规定，并通过访谈、查看记录等多种方 式验证相关惩戒制度是否得到执行；（6）验证是否及时撤销访问权 限。调阅商业银行相关制度，验证是否明确了员工离职、调离、岗位 变换等情况下应执行的相关操作程序。调阅部分离职人员名单并抽查 部分业务系统，验证相关人员的访问权限已得到及时删除、更改；验 证是否及时归还信息资产。调阅商业银行相关制度，验证是否就员工 离职、调离、岗位变换等情况所应归还的信息资产做出明确定义。调 阅部分离职人员名单及相关离职手续，验证相关人员的信息资产已得 到及时归还。 访问控制策略 商业银行应加强对物理设施、数据、信息系统以及业务过程的访 问控制管理。 检查项 1：物理访问控制策略 基本要求：商业银行应将关键或敏感的信息处理设施放置在安全 区域内，并受到安全边界的保护，安全边界应包括入口控制，以避免 未授权访问、损坏和干扰，商业银行应该根据物理安全区域的重要性 进行分级管理，按照重要性的风险程度提供相当的保护。 检查方法、步骤：（1）调阅其物理（例如机房）访问控制策略， 验证其是否包括以下方面：（a）访问控制权限定义，对禁止在物理 56 安全区域内开展的活动进行限定；（b）访问控制授权过程；（c）访 问记录；（d）控制策略定期更新规定；（2）抽查部分访问控制登记 薄，验证以下信息：（a）是否记录访问者进入和离开的日期、时间 和事由，所有的访问者应予以监督，访问者只能访问特定的、已授权 的目标，并应向其宣布关于该区域的安全要求和应急程序说明；（b） 通过观察或调阅录像，验证所有访问者是否都佩戴某种形式的可视标 识；（c）验证第三方支持人员是否只有在需要时才能有限制的访问 安全区域或敏感信息处理设施，这种访问是否被授权并全程监督； （d）调阅访问权限修改记录，验证是否定期审阅权限的变化；（e） 选取部分离职人员名单，验证是否依然存在于已授权人员名单内； （f）随机调取进出录像，验证进出人员是否在登记簿中进行过登记； （3）验证是否有门禁系统，不同区域间是否通过门禁分割，门禁是 否有记录，对电子门禁卡的授权、发放和注销是否有明确规定。 检查项 2：逻辑访问控制策略 基本要求：商业银行的访问控制策略应清晰的描述每个用户或一 组用户的访问控制规则和权力，需要对访问控制策略有清晰的描述并 告知其使用者。 检查方法、步骤：（1）调阅其信息系统访问控制策略，验证其 是否包括以下方面：（a）各个业务系统的安全要求；（b）数据的分 类与授权策略；（c）不同系统和网络的访问控制策略与数据分类策 略的一致性；（d）访问控制角色的分离，例如访问请求、访问授权、 57 访问管理；（e）访问要求的正式授权要求；（f）访问控制的周期性 评审要求；（g）访问权力的取消；（2）验证商业银行访问控制策略 是否考虑了以下方面：（a）是否区分了必须强制执行的规则和有条 件执行的规则；（b）是否建立在“未经允许，一律禁止”的基础之上， 而不是“未经禁止，一切允许”。 检查项 3：账号及权限管理 基本要求：商业银行的业务系统应保证只有经授权的用户才能访 问，防止非授权访问。应建立正式的程序来控制对信息系统和服务的 访问权限的分配，这些程序应涵盖用户生存周期的各个阶段（从新用 户注册到用户注销，例如账号申请流程、账号注册流程、账号变更流 程、账号注销流程），应特别注意对特权用户的分配。 检查方法、步骤：（1）抽查商业银行部分重要应用系统，通过 调阅用户清单和实际员工名单，核实以下问题：（a）用户是否使用 唯一 ID；（b）检查用户所拥有的权力是否与其工作职责相适应； （c）是否有用户授权的书面文件；（d）离职或职位变更的用户是否 立即在信息系统中对权限进行调整；（e）是否周期性检验系统中的 多余 ID；（f）确保不发放多余的 ID;（2）核实其特权用户的管理。 （a）通过访谈了解每个系统所必须赋予的特权用户；（b）是否存在 分配特权用户的授权过程及其记录；（c）验证银行应用程序是否必 须要特权用户才能运行；（d）特权用户应避免分配给业务人员;（3） 验证其口令管理。（a）是否制定有内部口令管理规定，保证口令有一 58 定强度及不易破解；（b）是否以安全方式将初始口令给予用户，避 免用于第三方或不受保护（明文）电子邮件中；（c）口令不能以不 受保护的形式存储在计算机系统内；（d）用户是否迅速改变默认口 令;（4）用户访问权限的评审。（a）是否定期（不能超过半年）和在 任何变更之后（提升、降级、终止工作），对用户访问权限进行评审； （b）用户的工作岗位发生变化，应重新评审和分配用户的访问权限； （c）以更加频繁的时间间隔评审特权用户的授权；（d）特权账户的 变更应在周期性评审时记入日志。 检查项 4：用户责任及终端管理 基本要求：商业银行应加强对职工的安全培训，使其充分意识到 自身所承担的信息安全责任，加强安全意识，特别是关于口令的使用 和设备安全的职责。远程接入用户应当加强对客户端的安全防护，防 止未授权用户非法使用客户端进行远程接入。 检查方法、步骤：（1）验证最终用户口令的使用。抽取部分用 户，验证其密码是否存在以下现象:（a）是否使用保密口令；（b） 是否未经批准保存了口令副本；（c）是否在有迹象表明口令可能受 到损害时变更口令；（d）口令是否具有一定的复杂性（不能基于别 人易于猜出的信息、不容易遭到字典攻击、避免连续相同的字符或全 数字、全字母）；（e）系统是否能提醒并强制性要求用户定期或以访 问次数为基础变更口令（特权用户应比常规口令更频繁的进行更改）， 并且避免重新使用旧口令或周期性使用旧口令；（f）是否在初次登 59 录时更改临时口令；（g）是否在任何自动登录过程中（例如以宏或 功能键）包含口令；（h）是否存在个人用户共享口令现象；（i）是 否在不同业务系统中使用相同口令; （j）登录帐号若一段时间不使用， 系统是否能自动锁定帐号；（k）系统是否对密码反复尝试错误的次 数进行了限制；（2）验证无人值守设备的保护情况。（a）用户离开 时，是否终止有效会话，或利用一种合适的锁定机制保障安全（例如 有口令的屏保程序）；（b）当不使用设备时，利用带钥匙的锁或等价 措施来保护 PC 或终端不被未授权使用;（3）桌面和屏幕清空策略。 （a）当无人值守时，计算机和终端用户应注销或使用口令、令牌或 类似的用户认证机制对屏幕和键盘进行保护；（b）应防止复印机、 扫描仪、数字相机的未授权使用；（c）包含敏感或分类信息的文件 应立即从打印机中清除。 检查项 5：远程接入的控制 基本要求：商业银行应加强对远程接入的管理，只有在安全和控 制措施到位并符合组织安全策略原则的情况下，才能授权远程工作活 动。远程工作场地应防止设备和信息被盗、未授权泄露信息、远程访 问滥用。远程工作应由管理层授权和控制。 检查方法、步骤：调阅相关远程访问管理制度和相关访问记录， 验证以下内容:（1）通信是否安全，是否远程访问了内部敏感信息； （2）远程访问人员的家人、朋友是否有可能未授权访问信息资源； （3）远程访问的网络环境是否使用无线网络；（4）访问过程中是否 60 有防病毒软件和防火墙保护；（5）远程访问是否每次都有相应的授 权记录；（6）远程访问是否保存有用于事后审计的日志资料；（7） 当远程工作活动停止时，是否及时撤销授权；（8）是否对客户端连 接服务进行访问时间段限制；（9）客户端在登录前是否显示警告信 息，描述未授权的访问可能导致的后果。 日志管理 商业银行应按照有关法律法规要求保存交易记录，采取必要的程 序和技术，确保存档数据的完整性，满足安全保存和可恢复的要求。 检查项 1：审计日志检查 基本要求：商业银行应记录用户活动以及信息安全事件日志，并 按照约定的期限进行保留，以支持将来的调查和访问控制审查。 检查方法、步骤：调阅商业银行相关审计及交易日志，验证其是 否包含以下内容:（1）用户 ID；（2）日期、时间和关键事件的细节， 例如登录和退出；（3）终端用户身份或位置；（4）成功和被拒绝的 对系统的访问记录；（5）成功和被拒绝的对数据以及其他资源的访 问记录；（6）系统配置的变化；（7）特权的使用；（8）系统工具 和应用的使用；（9）访问的文件和访问类型；（10）网络地址和协 议；（11）访问控制系统引发的报警；（12）防护系统的激活和停用， 例如防病毒系统和入侵检测系统。 61 检查项 2：日志信息的保护 基本要求：商业银行应保护日志设施和日志信息免受破坏和未授 权的访问，以确保日志的可恢复。 检查方法、步骤：（1）调阅商业银行日志信息，验证是否存在 以下情况:（a）日志信息被编辑或删除；（b）日志保存介质耗尽， 或者不能记录事件以及自身覆盖重写。（2）调阅商业银行日志恢复 记录，检查日志是否能够顺利恢复，对于不能恢复的情况，是否进行 了必要的跟进。 检查项 3：操作日志的检查 基本要求：商业银行应记录系统管理员和系统操作员的活动。系 统管理员和操作员日志须定期评审。 检查方法、步骤：（1）调阅商业银行日志信息，验证是否存在 以下信息:（a）事件（成功的或失败的）发生的时间；（b）关于事 件（例如处理的文件）或故障（发生的差错和采取的纠正措施）的信 息；（c）涉及的账号和管理员或操作员；（d）涉及的过程;（2）调 阅日志审查记录，核实相关日志是否被定期评审。 检查项 4：错误日志的检查 基本要求：商业银行应记录并分析错误日志，并采取适当的措施。 检查方法、步骤：调阅商业银行错误日志，验证是否完整的记录 信息处理、应用系统以及通信系统的问题，对于所记录的故障应有明 62 确的处理。主要包括:（1）评审故障日志，确保已满意地解决故障； （2）评审纠正措施，以确保控制未被损害，并对所采取的动作予以 充分授权；（3）日志的分析应由能够胜任的职员进行。 系统监控 商业银行应建立连续监控基础环境、信息系统性能的相关程序， 及时、完整地报告例外情况；该程序应提供预警功能，在例外情况对 系统性能造成影响前对其进行识别和修正。 检查项 1：基础环境监控 基本要求：商业银行应建立 IT 基础环境（如温湿度、消防、防 水、空调、电力）监控机制，加强日常巡检，确保记录清晰、分析及 时，能够及时发现基础环境出现的问题并采取及时、适当措施进行处 置。 检查方法、步骤：（1）调阅商业银行基础环境监控相关制度， 验证商业银行是否建立了相关制度，相关制度是否明确规定了基础环 境监测相关内容;（2）调阅商业银行日常巡检登记簿，验证商业银行 是否按照相关制度严格进行监控、登记簿登记内容是否完整;（3）调 阅商业银行故障记录，并对比日常巡查登记簿，验证该行是否能够及 时发现基础环境中出现的问题；（4）通过实地查看，检查商业银行 IT 基础环境是否满足要求。 63 检查项 2：系统性能监控 基本要求：商业银行应建立系统性能（如网络、主机等）监控机 制，通过人工与自动化监控系统相结合方式加强日常巡检，确保记录 清晰、分析及时，能够及时发现系统性能出现的问题并采取适当处置 措施。 检查方法、步骤：（1）调阅商业银行系统性能监控相关制度， 验证商业银行是否建立了相关制度，相关制度是否明确规定了系统性 能监测相关内容;（2）调阅商业银行日常巡检登记簿，验证商业银行 是否按照相关制度严格进行监控、登记簿登记是否完整;（3）实地查 看监控系统，验证其监测内容是否完善，监控指标能否完整反映线路 质量、通信设备的处理能力和网络服务质量，如误码率、主机的 CPU、内存、端口的使用率、吞吐量、传输和时延、响应时间等指标； （4）通过查询商业银行系统故障记录验证监控的有效性。商业银行 应当能够在监测到性能异常时及时产生告警，及时确定当前系统中哪 些部件的性能正在下降或已经降低，哪些部件在满负荷或超负荷运行; （5）参照事件管理处置流程，验证商业银行在监测到系统性能异常 后能否及时处置。 检查项 3：系统运行监控 基本要求：商业银行应建立应用系统运行状况（如交易系统、渠 道系统等）监控机制，通过人工与自动化监控系统相结合方式加强日 64 常巡检，确保记录清晰、分析及时，能够及时发现系统性能出现的问 题并采取适当措施进行处置，确保对业务的影响降低到最小。 检查方法、步骤：（1）调阅商业银行应用系统监控相关制度， 验证商业银行是否建立了相关制度，相关制度是否明确定义了应用系 统监测内容;（2）调阅商业银行日常巡检登记簿，验证商业银行是否 按照相关制度严格进行监控、登记簿登记是否完整;（3）实地查看监 控系统，验证其监测内容是否完善。监控指标能否完整反映系统运行 状态、并发用户数量、异常交易等;（4）实地查看数据中心网管工作 站、系统性能监视屏、系统资源监视屏、会话连接监视屏、应用错误 监视屏是否有专人负责监控;（5）通过查询商业银行系统故障记录验 证监控的有效性。商业银行应当能够在监测到应用中断等异常时及时 产生告警;（6）参照事件管理处置流程，验证商业银行在监测到应用 异常后能否及时处置。 检查项 4：测评体系 基本要求：（1）商业银行应制定主机设备维护指标考评体系， 指标考评体系应当至少包括以下内容:（a）主机设备的平均无故障运 行时间；（b）主机设备的故障修复时间；（c）主机设备的故障恢复 时间；（d）主机设备的故障发生率（次数和频度）；（e）对设备发 生故障的类型统计；（f）评估主机设备故障对业务连续性的影响； （g）主机设备厂商的技术支持提供能力;（2）商业银行应当指定人 员负责监督和执行该考评体系；（3）考评的结果应当至少反映到对 65 主机设备供应商的选择。 检查方法、步骤：（1）调阅商业银行相关文档，验证是否建立 了针对系统运行的测评体系;（2）调阅该行测评文档，验证测评内容 是否覆盖到上述基本要求的内容;（3）通过访谈及文档查阅，验证针 对测评指标不达标的方面是否进行了及时处置;（4）验证是否指定人 员负责系统测评考核工作。 事件管理 事件(Event)可被定义为任何可察觉和可识别的、对 IT 基础设施 管理或者 IT 正常服务造成影响的现象。事件管理的目标是在最短的 时间内，在尽可能小地影响业务服务的情况下，尽快恢复信息系统正 常服务，并记录事件及处理过程。 检查项 1：事件报告流程 基本要求：商业银行应建立信息系统事件报告、应答和分类机制， 在接到事件报告后立即采取措施，并按照相关制度及时通知相关方。 检查方法、步骤：调阅商业银行有关事件的管理制度，查看历史 事件处置记录，验证是否实现以下要求:（1）事件发生后采取正确的 行为：（a）立即记录下所有重要细节（如冲突类型、发生的故障、 屏幕上的信息、异常行为等）；（b）自身不要采取任何行动，立即依 照商业银行事件处理流程向相关联系人报告；（c）如符合重大事件 管理规定等文件规定的情况，立即向银监会等机构进行报告；（2） 66 事件的报告清楚、完整的记录下事件中的所有行为；（3）采取合适 的反馈机制，以确保在事件处理完成后，能够将处理结果通知事件报 告方及相关方。 检查项 2：事件管理和改进 基本要求：商业银行接到信息系统事件的报告后，应立即明确责 任，按照规程进行有效处理，并制定一个连续的改进过程对事件进行 响应、监视、评估和总体管理。 检查方法、步骤：（1）调阅商业银行相关事件管理规定及流程， 验证是否建立了合适的机制以处理不同类型的信息系统突发事件。包 括：（a）信息系统服务中断；（b）恶意代码；（c）拒绝服务攻击； （d）不完善或不准确的业务数据导致的错误；（e）违背保密性和完 整性的行为；（2）验证相关规定和流程是否还包括以下方面：（a） 事件原因的分析和确认；（b）遏制事件再次发生的策略；（c）向银 监会等政府机关报告发生的行为；（3）调阅商业银行历史事件处置 记录，验证是否收集、保护审计踪迹和类似的证据以应用于：（a） 内部问题分析；（b）用作将来的司法证据；（c）同软件和服务供应 商谈判赔偿时使用；（4）调阅信息系统安全事件报告制度和处理流 程规定，查看是否对信息安全管理部门和信息科技人员进行过职责划 分，职责划分是否清晰；（5）与信息安全管理人员座谈，了解是否 进行过信息系统安全事件应急响应流程演练，是否知晓演练内容和要 求；（6）调阅信息系统安全事件报告制度和处理流程规定，查看演 67 练内容、流程和频度是否符合信息安全制度的要求；（7）审计部门 是否对信息系统安全事件响应演练进行过审计评估。信息安全管理部 门是否根据审计结果进行过整改。 检查项 3：服务台管理 基本要求：商业银行应当建立信息科技服务台，为行内用户提供 所有技术相关问题的在线支持，并将问题提交给相关信息科技职能部 门进行调查核实解决。接到事件报告后，服务台应对事件进行响应、 过滤、记录、合理分类，对服务台能够处理的事件进行及时处置，将 其他事件及时分发给后台技术支持部门。 检查方法、步骤：（1）调阅相关文档并询问相关人员，验证商 业银行是否建立了服务台及管理制度；（2）调阅服务台管理制度并 询问工作台工作人员，验证该服务台是否为该行 IT 部门提供的唯一 事件受理渠道；（3）调阅服务台事件登记记录，验证该服务台是否 对所受理的所有事件均进行了详细记录（事件发生时间、报告人、事 件描述、处理记录等）；（4）根据抽样规则选取部分事件记录，通过 访谈事件报告人和最终处理人验证服务台受理是否及时、任务分发是 否及时合理。 问题管理 商业银行应加强对事件的管理，定期组织人员对事件进行评估、 68 分析，对有共源性的事件升级到问题管理流程。商业银行应建立问题 管理台帐，以确保全面地追踪、分析和解决信息系统问题，及时组织 相关人员分析问题发生的根源，从根本上消除问题。 检查项 1：事件分析和问题生成 基本要求：商业银行应定期对信息系统事件进行分类、评估、分 析，制定事件管理升级为问题管理的规章制度，对有共源性的事件及 时升级到问题管理流程。 检查方法、步骤：（1）调阅商业银行相关文档，验证该行是否 制定了完善的事件管理升级为问题管理的标准；（2）调阅商业银行 事件管理登记表及详细记录，验证该行是否能够按照相关规定及时将 事件管理升级为问题管理流程。 检查项 2：台账管理 基本要求：商业银行应制定完善的问题管理制度，并建立问题管 理台账，对问题的整个生命周期进行管理。 检查方法、步骤：（1）调阅商业银行相关文档，验证该行是否 制定了完善的问题管理制度；（2）调阅商业银行问题管理记录，验 证该行是否建立了问题管理台账，台账是否记录了问题处理的全过程。 检查项 3：问题处置 基本要求：对信息系统问题，商业银行及时组织相关人员分析问 69 题发生的根源，从根本上消除问题。 检查方法、步骤：（1）约谈商业银行事件管理人员，了解该行 是否能够及时对信息事件进行分析、评估；（2）根据抽样规则抽取 部分检查人员认为应当升级为问题管理流程的事件，验证该行是否及 时将事件升级为问题管理；（3）查证事件管理记录，验证升级为问 题管理流程并经过处置的信息事件是否再次发生，从而证明问题解决 的有效性。 容量管理 商业银行应通过预先的规划和准备，确保提供足够的容量和资源 可用性以保证业务系统持续运行。对于每一个新的和正在进行的活动 来说，应识别容量需求，应对系统进行监视以确保必要时调整系统容 量，确保系统的可用性和效率。未来容量的需求应综合考虑新业务对 系统的要求、当前状况和未来趋势。 检查项 1：容量规划 基本要求：商业银行在制定应用系统需求分析时，应认真分析系 统容量需求、预测所需资源未来的使用情况以及为满足预计的使用情 况而需要的资源，以此制定容量规划。 检查方法、步骤：（1）调阅机构部分项目需求文档，验证需求 分析阶段是否考虑了容量需求；（2）验证机构是否使用了分析、模 拟和趋势预测等模型来确定系统的容量需求、确定最佳的容量方案， 70 并验证模拟过程是否考虑到了各种不同的情形，以此来确定最佳的容 量方案。 检查项 2：容量监测 基本要求：商业银行应通过日常巡检和系统监控来监控系统容量， 并设置合理阈值，在容量超阈值时能够及时报警。信息科技部门应迅 速对报警情况进行分析，及时提出解决方案，并在尽量减少对业务影 响的前提下合理扩充系统容量。 检查方法、步骤：（1）调阅商业银行有关系统监控的管理规定， 验证有关规定是否完备，能否覆盖主机性能、数据库、应用运行情况 等方面；（2）验证商业银行是否采取了自动监控手段，调阅监控记 录的审阅记录，验证相关监控记录能否及时得到审阅、分析，在容量 超阈值的情况下能否及时报警；（3）调阅商业银行的监控记录，验 证对容量报警的情况是否及时进行了分析、处置。 检查项 3：容量变更 基本要求：商业银行应对性能监控记录进行及时分析，并根据分 析结果决定是否进行容量变更。如是，则应制定完备变更预案、完善 应急措施、通知相关人员，并选取对业务影响最小的时间段进行变更 操作。变更结束后，应由相关部门从业务、技术各个层面进行完整测 试。 检查方法、步骤：（1）调阅商业银行系统监控报表，抽取部分 71 性能监控超过阈值报警的情况；（2）调阅此部分报警事件的处理记 录，验证银行是否对事件进行了及时、合理处置，是否根据情况制定 了容量升级规划；（3）如果制定了容量升级规划，验证该规划是否 对欲扩充的容量进行了计算、是否制定了较为完备的升级预案和应急 措施，是否选取对业务影响最小的时间段进行升级；（4）通过查阅 容量变更记录及了解变更相关人员，以确定容量变更之前是否已通知 了所有系统相关人员；（5）调阅商业银行容量扩充后的测试报告， 验证容量扩充后是否进行了全面、严格的测试。 变更管理 商业银行变更管理的目标是在最短的时间内实施变更，将由变更 所导致的业务中断对业务的影响减小到最低，并确保信息系统的变更 不会降低信息安全保护水平。变更管理依靠可控的变更流程和完整的 配置文档来监控信息系统变更对信息系统产生的影响，及时的识别、 控制风险，确保实现信息系统安全策略要求。 信息系统的变更方式主要有：软件打补丁和升级、硬件修正、新 增的网络和网络间互联、安全控制措施的变更等。 商业银行应制定变更管理制度，确定变更管理的流程、角色和职 责。每个信息系统都应该有一个专门的组织或人员来负责变更的全过 程，并由信息安全管理人员来判断这些变更是否会影响系统的安全， 以及如何进行安全控制。对于新硬件、软件和服务的重大变更，应进 行全面风险分析来确定新的安全需求，实施新的安全控制措施。信息 72 系统的变更应得到安全部门的批准，任何在变更流程之外的修改都应 该被禁止，以确保系统变更对信息安全的影响处在可控范围内。 检查项 1：变更的流程 基本要求：商业银行应针对生产系统的每一项变更制定详细的流 程，流程应涵盖变更标识、策划和测试、影响评估、授权管理、文档 传递、变更反馈等过程。 检查方法、步骤：（1）调阅商业银行变更系统变更日志，从中 选取部分变更做抽样检测；（2）调取此部分变更的变更文档，查看 是否包括以下部分：（a）变更的标识和记录；（b）变更的策划和测 试；(c)变更影响的评估，包括安全影响；（d）对变更的授权批准程 序；（e）向变更设计人员传递变更细节；（f）反馈程序，包括多次 不成功变更、未预料事件中退出及恢复的程序；（3）验证是否包括 变更后的测试及评估报告和上线审批报告。 检查项 2：变更的评估 基本要求：商业银行应针对生产系统的每一项重要变更进行影响 评估，评估应包括技术可行性评估、业务影响分析评估、风险评估等 方面。 检查方法、步骤：（1）抽取商业银行部分变更样本，查阅其变 更记录，验证变更记录中是否有对业务影响分析进行评估的内容;（2） 验证其评估内容是否完善，是否对技术可行性、业务影响、风险等级 73 等方面分别进行了评估;（3）对于重要变更，查看评估报告是否有相 关负责人签字。 检查项 3：变更的授权 基本要求：商业银行应根据变更的影响程度、技术复杂度等指标 制定严格的变更级别定义，并针对不同的变更级别制定不同的授权等 级。 检查方法、步骤：（1）调阅商业银行相关变更管理规定，验证 是否根据变更的影响程度、技术复杂度等指标对变更进行了级别划分， 并针对不同级别的变更制定有分级授权管理办法;（2）调阅商业银行 系统变更日志，从中选取部分变更做抽样检测，验证相关变更授权过 程记录是否完整，是否符合该机构变更管理规定中有关授权级别的规 定，是否存在超授权、无授权变更的情况。 检查项 4：变更的执行 基本要求：商业银行应对变更进行明确分类，制定严格的变更执 行流程，并应针对生产系统的每一项变更编制文件化的操作文档，详 细记录变更的各个方面。 检查方法、步骤：（1）调阅商业银行变更分类标准，查看是否 至少分为常规变更、紧急变更和特急变更;（2）查阅变更记录，验证 商业银行是否尽量采用常规变更、减少紧急变更、尽量不用特急变更。 如果紧急变更、特急变更较多，说明被查机构变更管理存在问题; 74 （3）查阅变更记录，验证相关变更是否定期安排进行而不是无序进 行。验证除紧急变更外，常规变更是否均安排在非工作时间、对业务 影响最小的时间完成;（4）查阅变更记录，验证每次变更前是否制定 了应急回退计划，因特殊情况无法回退的，是否说明了原因;（5）查 阅变更记录，验证变更手续是否完备，特殊情况无法书面申请的，是 否在变更后及时补办了相关手续。 检查项 5：紧急变更 基本要求：商业银行应确保所有的紧急变更请求的来源可信，应 维持适当的控制机制对紧急变更进行授权，应确保所有紧急变更都完 全地记录在相关文档上并由相关负责人进行补签批准，应保持适当的 文档记录，详述紧急变更的性质、为解决问题采取的紧急措施，以及 为永久更正问题而采取的后续行动，应对执行紧急变更的原因的合理 性进行评估。 检查方法、步骤：（1）调阅商业银行系统紧急变更相关的制度、 流程，查看是否有明确的紧急变更发起来源，检查采取了哪些紧急变 更授权的控制措施；（2）检查是否有紧急变更后相关负责人的补签 记录；（3）检查是否有对紧急变更合理性的评估。 检查项 6：重大变更 基本要求：重大和大规模的信息系统变更前应向商业银行高级管 理层提供全面的研究报告；所有主要的信息系统变更都应经过高级管 75 理层的批准，符合该机构的 IT 战略规划和业务发展目标；所有主要 的信息系统变更，应定期向高级管理层上报该变更实施进度报告；商 业银行应明确部门负责管理变更流程。 检查方法、步骤：（1）检查商业银行是否有重大和大规模的信 息系统变更的可行性研究、成本效益分析、风险评估、影响分析等报 告，查看是否对变更的可行性、成本效益性以及可能出现的各种风险 等进行了深入的分析；（2）询问相关人员该分析结果是否得到高级 管理层的认可，调阅相关审批记录或会议纪要；（3）查看是否有高 级管理层同意实施系统变更的相关记录；（4）查看是否有定期向高 级管理层报告的系统变更进展报告；（5）询问商业银行是否有明确 的部门负责系统重大变更，调阅重大变更记录，分析该部门是否严格 按照变更流程对变更过程进行监督、记录和管控。 76 7. 业务连续性管理 业务连续性管理是机构全面、整体的管理过程，其主要目标是机 构通过预防和恢复机制的结合，防止业务活动中断，保护关键业务流 程不受信息系统失效或自然灾害的影响，将意外事件或灾难对业务的 影响降低到最低水平。业务连续性管理包括识别和降低风险，制订连 续性计划，建立应对意外事件或灾难的响应与恢复机制，测试和检查 计划的有效性与合规性，维护业务连续性计划。 商业银行应确定本机构的业务连续性管理策略，建立业务连续性 管理的组织架构和管理机制，根据其业务性质、规模和复杂性妥善制 订业务连续性计划，提高风险防范能力，降低灾难事件对业务的影响。 商业银行应定期对业务连续性计划进行评估，适时更新以确保有效。 商业银行应建立业务连续性管理委员会，统筹协调业务部门、风险管 理部门、IT 部门、审计部门及其它相关部门，保证业务连续性计划 的有效执行、适时评估与更新。 IT 服务连续性管理是银行支撑全行层面的业务连续管理的重要 领域。该管理的目的是在组织通过业务影响分析、风险分析、确定业 务连续管理策略后，通过有效的 IT 可用性方案、IT 响应和恢复预案 的设计、培训、测试、维护等措施，确保在意外事件或灾难发生后， 在最短时间内恢复业务运作所需的 IT 基础设施、信息系统和 IT 服务， 最终使机构能够按照 IT 服务连续管理方案中规定的水平与恢复时间 等目标对外提供服务。 77 业务连续性的现场检查主要包括：商业银行业务连续性管理的完 整性；制定、管理、执行的组织架构、工作人员管理的健全程度；IT 服务连续性计划制定是否完善；IT 服务连续性计划测试、更新的管 理；对相关人员的培训；对 IT 服务连续性计划的审计以及管理工作 的合规性等方面。 业务连续性管理组织 检查项 1：董事会及高管层的职责 基本要求：商业银行的董事会及高管层应当履行以下管理职责以 满足本单位业务连续性管理的要求:（1）应配置足够的资源以及经过 充分培训的员工以建立本单位业务连续性计划；（2）负责授权制定 本机构识别、管理、控制风险的策略；（3）负责审阅并批准本机构 业务连续性计划，审阅业务连续性计划的测试结果和重大改动；（4） 至少以年度为单位审阅本单位业务连续性计划；（5）确保本单位业 务连续性计划及时更新以符合业务变化的需要，保证本单位员工得到 充足培训并充分理解自身在业务连续性计划中的角色及担负的责任。 检查方法、步骤：（1）调阅以下报告查看以往发现的问题，重 点是过去的报告中悬而未决的问题:（a）以往监管部门检查报告； （b）内部和外部相关审计报告；（c）业务连续性计划测试报告； （d）机构总体风险的评估报告;（2）查看机构董事会或高级管理层 对所发现重大问题的反应，主要包括：（a）是否采取了及时、充足 的改正措施；（b）是否解决问题的根源而不是仅解决具体的问题； 78 （c）是否存在尚未整改的问题;（3）对管理层进行访谈并审阅业务 连续性计划需求以识别：（a）如果发生变化可能会影响业务恢复过 程的业务策略或活动；（b）与业务连续性计划有关的审计程序、范 围或安排的变化；（c）内部业务流程的更改；（d）内部管理模式的 重要更改；（e）信息技术环境和系统配置的变化；（f）关键服务提 供者（技术，通讯，备份/ 回收等）和软件供应商是否发生变化； （h）其他一些可能影响业务连续性的内外部因素;（4）了解高管层 针对新发现的重大威胁或系统弱点对其业务连续性影响的考虑。主要 了解：（a）技术和安全漏洞的影响；（b）内部可识别威胁的影响； （c）外部威胁的影响;（5）通过对上述问题的了解以判断该机构董 事会及高管层是否了解其所担负的职责，是否对能够影响本单位业务 连续性的因素有清楚的认识，是否能够及时督促解决检查中所发现的 问题。 检查项 2：业务连续性管理组织的建立 基本要求：（1）商业银行应综合考虑其业务和系统规模，建立 一个专门组织或指定一个部门负责本机构业务连续性管理工作；（2） 该组织应包含但不限于风险管理部门、业务牵头管理部门、信息科技 部门或跨部门的业务连续性管理委员会。 检查方法、步骤：（1）调阅商业银行业务连续性管理相关规章 制度、文件以及人员名单，检查其是否设立了业务连续性管理组织及 明确其职责；（2）与业务连续性管理组织相关人员进行座谈，包括 79 商业银行董事会、高级管理层、风险管理部门、业务部门、信息科技 部门人员，询问业务连续性管理情况，对相关规章制度、文件的内容 进行证实，检查其对自身职责是否充分了解。 检查项 3：业务连续性管理组织职责 基本要求：（1）业务连续性管理组织应根据董事会和高级管理 层审定的业务连续性战略、政策、管理制度等，统一组织、协调、指 导、检查本机构业务连续性管理工作，定期分析风险状况，组织制订 业务连续性计划，统一指挥、协调有关部门开展应急管理和灾难恢复 工作，对业务连续性管理工作进行审计评估，履行向董事会和高级管 理层的报告职责，经董事会和高级管理层授权后履行向银监会的报告 职责等；（2）业务牵头管理部门和信息科技部门负责本机构 IT 服务 连续性管理工作的具体落实，制定业务和技术层面的预防措施、预警 标准、业务连续性管理策略、IT 服务连续性管理策略，并实施。(3) 信息科技部门做好信息系统营运监测和维护，实施 IT 服务连续性管 理和处置，评估总结信息系统突发事件及 IT 服务连续性管理中暴露 的问题，完成症结问题的整改，履行向业务连续性管理组织的报告职 责，定期开展 IT 服务连续性演练，持续改进本机构 IT 服务连续性管 理计划等； 检查方法、步骤：（1）调阅商业银行业务连续性管理相关规章 制度、文件，检查是否对业务连续性管理组织的职责作出明确规定， 分析其职责界定是否合理、完整；（2）调阅业务连续性管理组织相 80 关会议纪要、领导讲话等资料，检查其是否展开业务连续性管理工作； （3）与业务连续性管理组织相关人员进行座谈，包括商业银行董事 会、高级管理层、信息系统风险管理部门、业务牵头管理部门、信息 系统管理部门人员，询问业务连续性、IT 服务连续性管理情况，对 相关规章制度、文件的内容进行证实，检查其对自身职责是否明确了 解。 IT 服务连续性管理 检查项 1：IT 服务连续性计划的组织保障 基本要求：IT 服务连续性计划中应规定以下几方面的组织保障要 求:（1）商业银行应组建 IT 服务连续性计划执行团队，统一指挥， 各负其责，协调配合，启动和执行相应的 IT 服务连续性计划；（2） IT 服务连续性执行团队应包括但不限于：IT 服务连续性计划领导小 组、专家小组、执行小组、支持保障小组；（3）领导小组负责信息 系统突发事件应急处置工作；（4）专家小组应由信息系统相关业务 和技术专家组成；（5）执行小组由业务牵头管理部门、信息系统管 理部门、信息系统开发部门、信息系统营运部门等派员组成；（6） 支持保障小组由客户部门和支持部门派员组成。（7）应明确 IT 服务 连续性执行团队的职责要求 检查方法、步骤：（1）调阅商业银行与 IT 服务连续性计划执行 相关的规章制度、文件以及人员名单，检查其是否制定了业务连续性 81 计划执行组织及明确其职责，检查其建立健全情况；（2）调阅 IT 服 务连续性计划组织相关会议纪要、演练记录等资料，检查其工作开展 情况；（3）与 IT 服务连续性计划执行组织相关人员进行座谈，包括 执行领导小组、专家小组、执行小组、支持保障小组等人员，对相关 规章制度、文件的内容进行证实，检查其对自身职责是否明确了解。 检查项 2：风险评估及业务影响分析 基本要求：商业银行制定 IT 服务连续性计划,应基于风险分析与 业务影响分析的结果,包括：（1）分析信息系统运行环境面临的各种 风险，确定可能造成机构业务中断事件的风险点，对其实施管控并关 注遗留风险。（2）识别本单位的关键业务，评估关键业务中断后可能 为组织带来的影响及其可接受的最大限度的中断时间，确定业务恢复 优先级；（3）分析支撑关键业务运行的信息系统资源，根据业务的 恢复需求和业务优先级，制定 IT 服务连续性策略和解决方案。 检查方法、步骤：（1）查看业务影响分析，审阅是否对重要信 息系统支撑的业务进行了分析，确定业务优先级的制定是否合适； （2）业务影响分析是否明确了本机构关键业务系统所允许的最大非 正常停止时间及数据丢失数量，是否明确定义了时间恢复目标；（3） 调阅风险评估报告，验证其是否包括了信息服务、技术、人员、设施 以及服务提供商可能出现问题的场景。（4）调阅相关记录，验证业务 影响分析和风险评估报告是否经过了高级管理层和董事会的审核。 82 检查项 3：IT 服务连续性计划的制定 基本要求：商业银行制定的 IT 服务连续性计划应当以文档形式 记载，并在全行范围内得到执行，其内容应包括但不限于以下方面： （1）商业银行应在该机构统一的业务连续性计划框架下制定 IT 服 务连续性计划；（2）商业银行应制定明确的 IT 服务连续性控制的总 体目标；（3）商业银行应根据业务影响分析与风险分析的结果，制 定合理的 IT 系统恢复策略；（4）IT 服务连续性计划应包含恢复点目 标(RPO)和恢复时间目标(RTO)、最小恢复资源配置等；（5）IT 服务 连续性计划应规定应急执行团队的职责与人员；（6）IT 服务连续性 计划应明确启动条件、处理流程、减少影响的措施、系统恢复流程、 事后教育和培训等内容；（7）应从人力、设备、技术、财务和服务 商等方面确保 IT 服务连续性计划的执行有足够的资源保障；（8）应 明确应急联络渠道，确保在事件发生时能及时通报情况和获得支持； （9）IT 服务连续性计划应落实到书面并及时下发，保证各部门人员 能够以适当方式执行； 检查方法、步骤：（1）调阅商业银行 IT 服务连续性计划，查看 其内容、要点是否具备以上相关基本要求；（2）与 IT 服务连续性计 划负责人、相关工作人员进行座谈，了解其对 IT 服务连续性计划的 掌握程度； 83 检查项 4：IT 服务连续性计划的测试与维护 基本要求：（1）商业银行应规定定期对 IT 服务连续性计划进行 测试；（2）应根据不同的应急恢复内容，确定合理的测试周期，保 证 IT 服务连续性计划在特殊情况下能有效的发挥作用；（3）测试前 应预先制订测试计划，测试内容应包含基本单元测试、关联测试和整 体测试；（4）测试的整个过程应有详细的记录，并形成测试报告； （5）测试结果和报告应由信息科技部门、信息科技风险管理部门、 内审部门签字确认；（6）应根据测试的记录和报告，对 IT 服务连续 性计划进一步完善；（7）应规定定期评估、审查 IT 服务连续性计划， 以确保 IT 服务连续性计划的有效性；（8）应规定随着信息系统的变 更定期对原有的 IT 服务连续性计划重新评估，修订完善，并按照执 行。 检查方法、步骤：（1）调阅 IT 服务连续性计划测试记录和更新 记录，检查与相关支持部门的联系方式和记录，测试联系渠道是否保 持畅通；检查业务流程、信息系统、人员变更是否在 IT 服务连续性 计划中及时反映和修订；（2）调阅 IT 服务连续性计划测试、更新记 录，检查其在测试、演练和灾难发生后实际执行时，其过程是否均有 详细的记录，是否对测试、演练和执行的效果进行评估，是否对 IT 服务连续性计划进行相应的修订；（3）调阅 IT 服务连续性计划测试 记录，检查对该计划是否定期测试、评审和修订；检查计划的修订和 年度测试结果是否经过信息科技部门、信息科技风险管理部门、内审 84 部门的签字。 检查项 5：IT 服务连续性计划审计 基本要求：（1）商业银行内审部门应对 IT 服务连续性计划策划、 测试、维护与改进等工作进行全面审计，并报银监会备案；（2）商 业银行可聘请具备信息系统风险审计资质的外部审计部门对 IT 服务 连续性计划按有关规定进行审计，并报银监会备案；（3）商业银行 每年应至少组织一次 IT 服务连续性计划全面评审。 检查方法、步骤：（1）调阅商业银行有关审计的规章制度、计 划等资料，检查其是否制定系统连续行计划的审计计划，分析其制定 的内容是否合理；（2）调阅有关 IT 服务连续性计划内部、外部审计 报告，检查商业银行对 IT 服务连续性计划的审计是否合规，审计频 率是否合乎标准，尤其关注外部审计部门是否具备审计资质；（3） 调阅有关 IT 服务连续性计划的审计整改报告，检查其整改措施是否 合理、有效、及时；（4）与内审人员、IT 服务连续性计划有关工作 人员进行座谈，具体检查其对 IT 服务连续性计划审计工作的开展情 况。 检查项 6：IT 服务连续性相关领域的控制 基本要求：商业银行应当在其他信息科技管理领域内体现 IT 服 务连续性计划的要求，包括：（1）新系统开发和投产。在该过程中 应充分考虑 IT 服务连续性需要：（a）重要业务数据的备份；（b）IT 85 系统高可用性的保障；（c）IT 系统灾难恢复的需要；（2）变更管理。 在变更过程中应充分考虑 IT 服务连续性需要：（a）变更管理中应充 分考虑备份系统的同步变更；（b）生产系统的配置和容量发生变化， 相应的备份系统的配置和容量管理也与生产同步。 检查方法、步骤：调阅商业银行上述制度与过程记录，检查机构 上述管理过程是否考虑 IT 服务连续性管理的要求。 86 8. 应急管理 信息系统突发事件应急管理是业务连续性管理的重要组成部分， 是商业银行预防和处置信息系统突发事件，做好信息科技风险防控的 一项重要工作。 应急组织 检查项 1：应急管理团队 基本要求：应建立应急管理组织机构，该机构至少包括应急领导 小组、应急执行小组和应急保障小组。应急领导小组由管理层成员担 任组长，并得到管理层授权实施应急管理，其成员由相关职能部门负 责人组成。应急执行小组由相关业务部门和科技部门共同组成。应急 保障小组由人力资源、财务、法律、公共关系、安全保卫和后勤部门 组成。 检查方法、步骤：查阅有关文件或规章制度，确认是否制定相关 规章制度。商业银行可以只设置一个突发事件应急管理小组，但在小 组内至少应明确有关领导、执行和保障的岗位；商业银行也可以设置 多于要求设置的小组数量，但至少包括负责领导、执行和保障的具体 小组。在相关小组建立的前提下，应分析相关组成人员的合理性，是 否能够确保突发事件应急处置工作的开展。在查阅有关文件或规章制 度的基础上，可以通过与相关人员交谈，对有关文件或规章制度的内 87 容进行证实，同时应注意突发事件应急管理小组成立时间，以判断其 时效性。 检查项 2：应急管理职责 基本要求：（1）应急领导小组的职责：指挥、协调和控制应急 事件处置，指定应急事件报告责任人并授权向银监会报告，指定新闻 发布人并授权其对外发布信息，建立应急处置预授权制度，宣布应急 事件状态，向管理层报告应急处置进展和总结报告；（2）应急执行 小组的职责：实施应急处置具体工作，对突发应急事件影响做出分析 和评估，收集应急事件处置过程中的相关信息，向应急领导小组报告 应急事件处置情况和发展情况，提出应急预案修订意见；（3）应急 保障小组的职责：提供做好应急管理的人力、物力保障，做好对外宣 传工作，做好秩序维护、安全保障、法律咨询和其他支援工作。 检查方法、步骤：查阅有关文件或规章制度，查看有无相关的职 责规定。重点关注职责划分是否清晰，是否将突发事件应急管理各个 环节都考虑在内。进一步可以通过抽查访谈有关成员，确认是否明确 其应急管理职责。 检查项 3：应急管理制度 基本要求：应该建立一套有效的应急管理制度，明确相关职责， 对应急管理、应急准备、应急处置、应急保障以及有关奖惩措施等做 出明确规定。 88 检查方法、步骤：查阅有关文件或规章制度，检查是否制订相关 的规章制度，也可以与相关工作人员交谈，检查是否建立有关规定。 如已建立相关规定，则应关注相关规章制度内容，分析其合理性。 应急预案 检查项 1：应急预案制订 基本要求：商业银行应根据业务要求，制订总体应急预案和分类 应急预案，分类应急预案至少包括基础设施、网络通讯、信息系统和 业务流程等。 检查方法、步骤：查阅相关资料，了解商业银行是否制订总体应 急预案和 IT 应急预案，二者是否衔接一致。IT 应急预案的每个分项 是否涵盖关键基础设施、网络通讯、信息系统和业务流程等内容，预 案是否科学、合理。应急预案是否得到了管理层的审核和批准。 检查项 2：应急预案内容 基本要求：应急预案应包含的主要内容：（1）明确有关各方的 分工和责任；（2）说明重要信息系统的业务影响范围、恢复时间目 标、恢复点目标、以及信息系统包括的系统资源，明确资源的物理位 置、设备型号、软件资源、网络配置等关键信息；（3）明确各类事 件的应急处置方法和流程；应急场景应至少覆盖电力故障、通信线路 故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、 计算机硬件故障、网络故障、操作系统故障、漏洞、应用系统故障以 89 及其他各类与信息系统相关的故障；（4）制定系统恢复流程和应急 处置操作手册，应尽可能将操作代码化、自动化，降低应急处置过程 中产生的操作风险；（5）明确应急恢复过程中的关键状态，并明确 不同状态的沟通和报告内容及等级；（6）明确应急人员的协调内容 和沟通方式；（7）明确系统重建步骤，确保信息系统恢复正常业务 处理能力。 检查方法、步骤：查阅相关资料，走访相关人员，确定应急预案 是否建立，是否仔细考虑每一个可能出现问题的环节，对不可预见事 件考虑是否周全，IT 应急预案与业务整体应急预案内容是否相衔接， 应急预案对突发事件的定级是否清楚，应急预案关于应急流程的描述 是否简单清晰，对 RTO 和 RPO 的描述是否清晰和准确。 一般突发事件分三个等级：（1）特别重大突发事件(℃级)。（a） 单家商业银行在主要业务服务时段，导致 50％(含)以上的客户无法办 理业务的信息系统突发事件；（b）两家(含)以上商业银行同时发生℃ 级信息系统突发事件；（2）重大突发事件(℃级)。（a）单家商业银行 在主要业务服务时段，导致 10％(含)以上、50％以下的客户无法办理 业务的信息系统突发事件；（b）单家商业银行在主要业务服务时段， 导致 3％(含)以上、10％以下的客户在 30 分钟(含)以上无法办理业务 的信息系统突发事件；（3）较大突发事件(℃级)。单家商业银行在主 要业务服务时段，导致 3％(含)以上、10％以下的客户在 30 分钟以内 无法办理业务的信息系统突发事件。 90 检查项 3：应急预案更新 基本要求：商业银行应对应急预案进行测试和演练，并根据测试 和演练情况对应急预案进行修订，当信息系统发生软件升级、系统补 丁安装、配置参数调整、网络改造等变更时应及时更新应急预案，并 适时实施演练。 检查方法、步骤：查阅相关资料，约谈相关人员，确认是否具备 应急预案更新机制，更新频率是否满足实际需要，过程是否合理，是 否根据应急演练进行了更新，是否根据业务发展变化、系统变化进行 了应急预案的更新。 检查项 4：外包服务应急 基本要求：商业银行应将支撑重要信息系统运行的外包服务应急 管理纳入预案范围，建立重要外包服务的专项应急预案，对于重要基 础设施、重要设备、网络、系统集成以及其他外包服务商的技术与产 品政策、服务水平、服务能力制定风险应对措施，外包服务的应急预 案应能够保障银行业信息系统恢复时间目标和恢复点目标的要求。 检查方法、步骤：查阅有关资料，约谈相关人员，检查：（1） 应急预案中是否充分考虑了外包服务应急管理，是否明确了外包供应 商的职责；（2）外包服务协议是否包含了应急响应的条款；（3）是 否对应急管理外包服务商进行评估；（4）是否定期对服务外包商进 行考核。 91 检查项 5：应急预案培训 基本要求：应专门组织对技术人员、业务人员及相关人员进行应 急预案有关培训，以达到明确应急预案内容，清楚角色职责的目的。 检查方法、步骤：是否建立培训机制，培训程度是否确保相关人 员明确应急预案内容，明确其角色职责。 应急保障 检查项 1：人员保障 基本要求：应急人员具备必要的资质，并定期组织应急培训；确 保重要岗位建立主、备角色机制，并能够定期互换。 检查方法、步骤：查阅应急人员清单和联系方式。查阅有关培训 资料，包括培训指南、培训讲义等确认是否进行了培训，约谈相关人 员，通过提问方式了解培训工作是否到位。 检查项 2：物质保障 基本要求：确保应急处置不会因为物资保障问题而中断。应储备 一定数量的应急设备和应急物资，保证物资供应渠道畅通。应建立应 急响应专项资金审批制度，保证急需物资的采购。 检查方法、步骤：查阅保障物资清单，并抽查核实主要保障物资 的真实性，了解供应渠道是否畅通，存放位置是否合理，性能是否良 好。了解银行对应急物资是否有定期的检查盘点机制。调阅应急专项 92 资金审批制度，分析是否能够满足应急工作需要。 检查项 3：技术保障 基本要求：确保应急处置不会因为技术问题而导致应急响应中断 或延长应急处置时间。建立预警平台确保应急事件及时被发现并及时 传达相关人员。确认第三方能够提供及时有效的技术保障。 检查方法、步骤：调阅应急预案有关资料，了解相关技术要求， 了解负责该环节工作人员背景，判断其是否具备适当的技术水平和能 力，同时关注 B 角人员的技术水平，了解银行对技术人员的绩效考核 机制；对第三方应急技术保障环节要重点关注，是否签订有关应急保 障协议。 检查项 4：沟通保障 基本要求：应有明确的应急管理部门、岗位的联络方式，包括第 三方联系方式和联系电话，并做到及时更新，应有多种联系方式。 检查方法、步骤：询问是否有应急联络清单，如有，参照应急管 理相关规定，分析是否全面，是否具有多种联系方式，重点应关注第 三方单位、人员联系方式是否包含在内。必要时根据联系方式一览表， 抽查部分人员的联系方式，验证是否畅通。 93 应急演练 检查项 1：应急演练的计划 基本要求：商业银行应制订应急演练计划，明确应急演练时间、 内容、依据、目的、负责人和相关部门，演练对照应急预案进行，应 验证应急预案各个环节是否有效，应急资源是否完备，应急人员是否 胜任，应急演练是否包括全面演练和专项演练，全面演练至少每年进 行一次。 检查方法、步骤：调阅相关资料及演练报告确认是否建立总体应 急演练计划和 IT 应急演练计划，分析应急演练是否全面、合理，任 务是否明确清晰，全面应急演练和专项演练是否满足需求。 检查项 2：应急演练的实施 基本要求：商业银行应严格按照应急演练计划实施应急演练，并 确保做到：（1）以应急预案为基础，制定应急演练总体方案，并进 行风险再评估，制定相应的保障措施；（2）应急演练内容应全面完 整，涵盖信息系统的各类应急场景；（3）严格控制应急演练引起的 信息系统变更风险，避免因演练导致服务中断；（4）应急演练应选 择在非主要业务时段进行；（5）应急演练完成后，应保证实施应急 预案所需的各项资源恢复正常；（6）定期对应急演练相关人员进行 培训。 检查方法、步骤：查阅有关应急演练过程记录和应急演练报告， 94 并约谈相关人员，确认：（1）应急演练是否能够按照一定的时间间 隔进行，是否严格按照应急预案进行；（2）应急演练过程是否真实， 是否达到演练目的；（3）应急演练保障措施是否得到很好执行，时 间段选择是否合理；（4）应急演练培训工作落实情况。 检查项 3：应急演练的总结 基本要求：应急演练结束后，商业银行应撰写应急演练总结报告， 大型或重要的应急演练总结报告应提交管理层。总结报告包括但不限 于：内容和目的、总体方案、参与人员、准备工作、主要过程和关键 时间点记录、存在的问题、后续改进措施及实施计划、演练结论。根 据演练总结报告提出改进措施并进行整改，及时修订相应的应急预案。 组织审计部门对整改情况进行监督和检查。根据审计要求以及监管部 门检查要求，将应急演练计划、过程记录和结果分析等归档留存。 检查方法、步骤：调阅应急演练报告和应急演练记录资料，约谈 相关工作人员，确认：（1）应急演练过程记录详细、真实；（2）应 急演练报告内容全面、客观，有过程描述、问题分析和改进建议等内 容；（3）演练报告是否及时报告管理层并得到了管理层的认可； （4）根据应急演练情况及时对应急演练方案进行了修改，并整理归 档。 95 应急响应 检查项 1：应急响应流程 基本要求：（1）突发事件发生后，应急执行小组应根据既定的 应急预案，启动授权的应急操作，并及时报告应急领导小组。应急处 置应集中于建立临时业务处理能力、修复原系统损害、在原系统或新 设施中恢复运行业务能力等应急措施；（2）对于应急预案没有覆盖 的突发事件，应立即报告应急领导小组进行应急决策；（3）应急领 导小组应立即启动本机构应急组织，组织协调机构内部进行应急处置， 并负责向监管部门报告应急响应情况；（4）支持保障小组做好各项 应急保障工作，为应急处置提供场地、交通、通讯及其他后勤保障。 检查方法、步骤：关注商业银行是否按照控制受损程度、对外界 及时发布信息、启动应急响应预案原则处理问题，评估其应急响应流 程，应急响应流程一般包括：宣布应急事件的发生，启动应急响应流 程，联系相关人员（员工、危机处理专家等），执行评估，控制所受 损失，对外界及时发布信息，评估损失以索赔，调查根本原因并采取 预防措施。查阅银行应急流程是否包含了上述步骤，其中控制所受损 失部分的进一步细分步骤是否科学也应重点关注。 检查项 2：全程记录处置过程 基本要求：应急处置中所有相关的信息和处理过程都应进行严格 记录，外部供应商的处理过程应有专门的记录文件，如果设计保险理 96 赔，中间过程和场景可用相机和录像机进行记录。所有相关资料都应 有专人存档保管。 检查方法、步骤：查阅应急处理记录，查看应急流程是否被得到 很好的执行以及流程是否合理，重点关注应急预案失效时的处理流程。 检查项 3：应急事件报告 基本要求：突发事件发生后，应急领导小组应根据事件严重程度， 及时将情况报告管理层，根据监管要求及时报告监管部门。报告内容 应包括突发事件时间、地点、现象、影响范围、原因分析、后果初步 判断、已采取的措施、后续拟采取的措施建议、报告单位、报告人以 及其他与事件有关的内容。 检查方法、步骤：查阅相关资料，确认是否建立应急事件报告制 度，关注相关事件是否报告了管理层和监管部门，关注对事件严重程 度划分依据是否合理。 检查项 4：与第三方沟通 基本要求：突发事件发生后，商业银行应将相关信息及时通报给 受到影响的外部机构以及重要客户，并将相关信息准确通报给相关设 备和服务提供商、电信、电力等外部组织以及业务合作方，以获得适 当的应急响应支持。 检查方法、步骤：（1）验证商业银行是否建立外部服务商及业 务联系方联系表，是否掌握第三方沟通清单及联系方式，是否指定联 97 系人员，何种情况下与何机构、何人联系是否清晰；（2）如果商业 银行制定有联系表，通过对比该文档变更记录及该机构信息系统变更 表，验证该文档是否根据情况变化而及时更新。 检查项 5：向新闻媒体通报制度 基本要求：商业银行应针对各应急场景预先制定新闻发布稿，根 据突发事件严重程度，应急领导小组应按照事先制定好的新闻稿及时 向新闻媒体发布相关信息，信息发布严格按照行业、机构相关规定和 要求进行，机构内其他部门和个人不得随意接受新闻媒体采访或对外 发表个人看法。 检查方法、步骤：查阅突发事件应急管理制度，了解是否有向新 闻媒体通报信息的相关规定，查阅有关新闻稿，分析是否按照有关新 闻通报制度规定操作。 检查项 6：应急处置总结 基本要求：应急终止后，应针对应急工作进行评估和总结，总结 报告应包括信息系统突发事件评估、处置工作总结以及症结分析和相 应建议等内容。突发事件评估应包括现象、影响范围、处理时间和过 程以及造成的损失；处置工作总结应评价应急预案的可用性，分析处 置工作中存在的问题，总结处置工作的整体过程；症结分析和相应建 议应分析突发事件的深层次原因，明确存在的困难和问题，提出改进 措施、计划及相关建议。 98 检查方法、步骤：查阅评估报告和建议书，确认是否进行了应急 处置总结，进一步分析总结是否深刻，建议是否合理，相关建议是否 得到了改进。 持续改进 检查项 1：应急事件评估 基本要求：银行金融机构每年至少应对各种突发事件进行一次评 估，评估内容包括：风险识别、措施的有效性、预案是否完备、演练 是否完备、及时等。 检查方法、步骤：询问有关人员是否开展了应急事件评估和持续 改进工作，查阅有关底稿或会议记录，对比前后风险预案的变化是否 有改进。 检查项 2：应急响应评估 基本要求：每年至少开展一次对应急响应工作的全面评估和审计， 评估重点包括：响应和报告是否及时，资源是否充分。 检查方法、步骤：询问有关工作人员，了解是否对应急响应进行 评估；调阅相关资料，了解是否针对年度应急演练或出现的突发事件 对应急响应进行过评估，评估是否细致、到位。 检查项 3：应急管理改进 基本要求：根据发展情况和实际应急管理的经验，每年对应急管 99 理策略、机制、方法和流程进行持续改进。董事会和高管层将应急管 理纳入全面风险防范工作之中，建立长效机制，保证应急管理持续和 有效。 检查方法、步骤：（1）询问相关人员，查阅有关工作底稿或会 议记录（纪要），了解是否对本机构应急管理工作进行整体评估，并 提出改进措施，重点关注信息技术应急管理评估是否到位；（2）查 阅有关全面风险管理制度中是否有应急管理内容，并检查是否落实。 100 9. 灾难恢复管理 灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到 可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢 复到可接受状态而设计的活动和流程。灾难备份（以下简称灾备）是 指为了灾难恢复而对数据、业务系统、网络系统、基础设施、专业支 持能力和运行管理能力进行备份的过程。灾难备份系统（以下简称灾 备系统）是以数据备份系统、备用数据处理系统和备用网络系统组成 的信息系统。商业银行应根据其经营规模和业务发展的具体情况建立 相应的灾备系统。 灾难恢复组织架构 检查项 1：灾难恢复相关组织架构 基本要求：商业银行应根据其经营规模和业务发展的具体情况建 立相应的负责灾难备份和恢复的组织架构。一般可分为灾难恢复领导 小组和灾难恢复执行小组，它们的设立遵从 IT 服务连续性计划的要 求，并与商业银行业务连续性管理组织职责相关要求保持一致。下面 描述的组织架构，是指是灾难恢复工作的常设机构，即负责灾备中心 日常数据备份和灾备系统例行维护工作的日常运行组织机构。 商业银行灾难备份中心内应设置运行维护部门，负责对灾难备份 系统进行日常运行维护和技术支持，确保灾难备份系统稳定运行。应 101 建立技术支持及运行维护的部门、处室或团队，并确定各自的职责分 工。商业银行需建立正式的文档，明确定义灾备中心组织架构、人员 组成和职责定位。商业银行应与外部供应商如设备商、公共服务机构 等签订服务合同或协议，明确在灾难发生或其它必要的时间内，外部 供应商需为银行提供的支持和服务。 检查方法、步骤：（1）调阅相关资料或通过会谈的方式，了解 商业银行是否根据 IT 服务连续性和灾备策略的要求，建立了负责备 份数据和灾备系统运行维护的常设机构，检查是否有正式文件明确规 定灾备系统日常运行小组的职责和分工，并明确重要人员的备份策略； （2）检查是否明确定义了如下职责：灾难恢复系统的建设，灾难备 份中心的日常管理，灾备系统运行维护，参与和协助灾难恢复预案的 教育、培训和演练，维护和管理灾难恢复预案，突发事件发生时的损 失控制和损害评估，灾难发生后信息系统和业务功能的恢复，灾难发 生后的外部协作。（3）检查商业银行是否明确本机构信息系统的灾 难恢复等级，灾难备份系统的维护范围及所应达到的服务要求。检查 是否灾难备份中心的基础设施和灾难备份系统已明确日常维护及技 术支持要求，是否明确数据备份系统的日常维护及技术支持要求； （4）查阅灾备数据备份和灾备系统维护的相关记录文件，检查灾备 日常运行小组是否按照职责和维护要求按时完成相关备份和系统维 护工作，确保灾备数据和灾备系统的可用性。(5)审阅与外部供应商签 订的合同或协议，验证是否明确外部供应商的服务内容和响应要求。 102 灾难恢复策略 检查项 1：总体控制 基本要求：商业银行应根据其经营规模和业务发展的具体情况建 立完备的灾难恢复策略。 检查方法、步骤：（1）根据商业银行的情况，面谈或现场查看 是否建立了相应的灾难备份、恢复机制及其总体控制目标；（2）与 信息科技主管人员会谈，了解是否明确定义了为减少灾难带来的损失 以及保证信息系统所支持的关键业务能够在灾难后迅速恢复和继续 运行的总体安排和计划；（3）与信息科技主管人员会谈，审阅相关 资料，查看总体策略的内容是否合理、完整。是否包括灾备中心日常 运行、关键业务功能的恢复和重续运行机制、主系统灾后重建和回退 工作、突发事件响应等内容；（4）确定灾难恢复策略的生命周期是 否完整，检查这些过程中的文档和正式审批过程。主要包括灾难恢复 需求的确定过程，灾难恢复策略、备份策略的制定过程，灾难恢复、 备份策略的实现过程，灾难恢复预案的制定、落实和维护更新过程等。 检查项 2：灾难恢复策略 基本要求：灾难恢复策略的制定过程中，应根据系统风险分析和 业务影响分析的结果进行灾难恢复等级划分，并根据成本风险平衡的 原则确定每项关键业务功能的灾难恢复策略。 检查方法、步骤：（1）审阅灾难恢复策略制定过程中的风险分 103 析文档，确认是否对信息系统自身的风险进行了全面分析，确保是否 覆盖了所有关键业务系统；（2）检查是否根据风险分析结果确定了 风险防范措施和可接受的风险容忍度，并出具正式的分析文档做为灾 备系统开发的重要依据，该文档是否经过管理层的正式审批；（3） 审阅灾难恢复策略制定开发过程的相关文档，确认商业银行在灾难恢 复策略制定过程中实施了全面的业务影响分析，确保覆盖了所有关键 业务系统，并明确相关信息的保密性、完整性和可用性要求；（4） 审阅灾难恢复策略制定开发过程的相关文档，确认灾难恢复策略制定 开发过程中是否实施了中断影响的评估。确定是否利用量化或定性分 析的方法，评估业务功能中断可能给组织带来的非经济损失，及由此 带来的风险。并形成正式的、经管理层审批的业务影响分析文档； （5）审阅灾难恢复策略制定开发过程的相关文档，检查是否明确定 义了关键业务功能及恢复的优先顺序。确认该优先恢复顺序的制定过 程中是由业务部门发起，并经高级管理层的审批；（6）审阅灾难恢 复策略制定开发过程的相关文档，确认明确定义了灾难恢复时间范围 （RTO 和 RPO 的范围）。确认该优先恢复顺序的制定过程中是由业 务部门发起，并经高级管理层的审批；（7）审阅 RTO/RPO 与灾难 恢复能力等级关系的相关文档。查看 RTO/RPO 时间定义是否符合商 业银行业务连续性的要求；（8）审阅灾难恢复策略制定过程中产生 的文档，确认商业银行是否平衡了灾难恢复成本与风险可能造成的损 失，并以此确定每项关键业务功能的不同灾难恢复策略；（9）确认 灾难恢复策略内容的完整性，是否完全包括了灾难恢复资源的获取方 104 式和灾难恢复能力等级。 检查项 3：灾难备份策略 基本要求：灾难备份策略的制定过程中，应根据灾难恢复策略的 需求明确定义灾难恢复资源（数据备份系统、备用数据处理系统、备 用网络系统、备用基础设施、专业技术支持能力、运行维护管理能力） 及其备份策略。 检查方法、步骤：（1）检查数据备份系统。审阅灾难恢复策略 制定过程中产生的文档，确认是否根据成本风险平衡原则，明确定义 了数据备份的范围、时间间隔、技术及介质、数据备份线路的速率及 相关通信设备的规格和要求，采用定性的方式确认其保证 RTO 和 RPO 要求的能力；（2）检查备用数据处理系统的获取方式。审阅灾 难备份策略制定过程中产生的文档，确认备用数据处理系统的数据处 理能力、与主系统的兼容性要求，日常运维过程就绪或运行状态的情 况，结合恢复的时间要求，确认备用数据处理系统取得方式是否能够 满足业务连续性的要求（三种方式：事前的紧急供货协议、灾备中心 或设备仓库储备的数据处理设备、外包服务提供的兼容设备）；（3） 检查备用网络系统。审阅灾难备份策略制定过程中产生的文档及灾备 中心制定的相关操作规程和管理制度，确认备用数据通信线路的可用 性（可参考“网络”部分进行实际测试，审核数据通信的技术和线路带 宽，网络通信设备的功能和容量，确认其可用性）；（4）检查备用基 础设施。审阅灾难备份策略制定过程中产生的文档，是否按照成本风 105 险平衡原则，考虑与主中心的距离要求、场地和环境要求（参考“基 础设施/计算机机房”）、运行维护和管理要求等三个方面的内容，确 认备用基础设施的可用性。租用的商业化灾难备份中心的基础设施， 应考虑外包协议的内容确认其服务水平协议的有效性，或根据公允的 第三方提供的安全评估报告来确认其可靠性；（5）检查专业技术支 持能力。审阅灾难备份策略制定过程中产生的文档，审核灾难备份中 心设置专职技术支持人员的技术能力，以及相应资质。由主中心技术 支持人员兼任灾备中心的技术支持时，审核灾难发生后如果交通和通 讯不正常时的备用技术支持方案。外包方面的技术支持应根据外包协 议相关内容核实其可用性；（6）检查运行维护管理能力。审阅灾难 备份策略制定过程中产生的文档，确认是否按照成本风险平衡的原则 确定灾难备份中心在软件、硬件和网络等方面的技术支持要求。进一 步审阅灾备中心运行维护的相关制度、流程和相关审批与操作记录， 确认其技术支持的组织架构、技术支持人员数量和素质是否满足灾备 中心运维能力的需要。委托外包方运行维护的需要根据外包协议内容 确认其可用性或根据公允第三方评估报告确认其可用性。 检查项 4：外包风险 基本要求：商业银行在灾备系统建设中应控制外包风险，在聘 请相应资质的外部专家，或委托具有相应资质的外部机构承担实施和 运行的部分或全部工作时应对相应的风险进行评估。 检查方法、步骤：（1）查看聘请的外部专家是否有相应的资质， 106 确认外部专家是否有足够的能力提供相应的服务；（2）查看聘用外 部专家的相关文件，确认其工作职责、范围是否明确，并制定了正式 的安全保密措施；（3）如果商业银行委托相应资质的外部机构进行 灾备系统建设，应查看与外部机构之间的服务水平协议（SLA），确 认其中安全保密措施是否适当；（4）考察灾难恢复、备份策略中涉 及到的电信运营商、电力供应商、设备及技术支持供应商之间的服务 水平协议（SLA），确保灾难发生时可以得到及时的服务。 灾难恢复预案 检查项 1：灾难恢复预案 基本要求：灾难恢复预案应定义信息系统灾难恢复过程中所需的 任务、行动、数据和资源，指导相关人员根据预定的灾难恢复目标、 按灾难恢复手册的要求，恢复信息系统支持的关键业务功能。 检查方法、步骤：（1）审阅灾难恢复预案，检查是否涵盖了灾 难恢复的整个过程，是否全面包括灾难恢复所需的数据和资料，并明 确定义了恢复的启动过程、启动条件、启动流程和灾难恢复完成后的 业务验证流程；（2）审阅灾难恢复预案，检查其使用的语言和图表 的易于理解程度，其结构的清晰程度，资源描述的清楚程度，工作内 容和步骤的具体程度和相应责任人员定义的明晰程度，确保灾难恢复 表述简洁明了；（3）与负责应急系统管理和灾备系统管理的主管人 员进行会谈，了解灾难恢复预案与其他应急体系的结合程度，确保其 107 兼容性；（4）审阅灾难恢复预案制定过程产生的文档记录，确认灾 难恢复预案经过了起草、评审、测试、完善、审核和批准的全过程。 查看评审流程，确认对预案的完整、易用、明确、有效和兼容性进行 了严格评审。查看测试报告，确认测试包含了单元测试、关联测试和 整体测试；（5）查看预案的审批稿，确认评审和测试过程中发现的 问题和缺陷得到有效整改。查看预案的执行稿，确认灾备系统领导小 组对审批稿进行了正式的审核和批准；（6）与灾难恢复预案的管理 人员进行会谈，调阅相关的管理制度。了解其保存和分发的流程，确 定其在如下几个方面的合理性：专人负责；多份拷贝异地保存；分发 给所有参与灾难恢复工作的人员；每次修订后的所有拷贝统一更新， 并保留一套备查；旧版本按规定销毁。 检查项 2：联络与通讯 基本要求：灾难恢复预案中所涉及关键岗位的联系与通讯地址应 该详细记录并持续更新，建立完备的通讯和报告机制。 检查方法、步骤：（1）检查灾难恢复预案是否记录了涉及的关 键岗位的详细通讯方式。包括：所有相关人员的姓名、地址，家庭和 办公电话号码、移动电话号码，其他可以迅速取得联系的方式，以及 灾难发生时可用的备份联系方式；（2）根据灾难恢复预案中的记录， 确认关键岗位通讯方式的有效性；（3）同灾难恢复预案中涉及的人 员会谈，确认所有人都已经得到该通讯记录，并在异地进行了备份存 储，且可以及时取得。 108 检查项 3：教育、培训和演练 基本要求：为了使相关人员了解灾备系统的目标和过程，确保灾 备系统的有效性，需要对相关人员进行持续的教育和培训，并实施灾 难恢复预案演练。 检查方法、步骤：（1）与灾备系统相关人员进行会谈，确认商 业银行从灾备系统规划的初期就开始了灾备系统观念的宣传教育，并 不断进行灾备系统观念或相关知识的宣传教育活动；（2）检查已实 施的培训计划和未实施的培训计划，并与灾备相关的技术支持人员进 行会谈，确认商业银行持续提供关于灾备、应急、专业技术、业务系 统方面的培训，以提升专业技术支持能力；（3）检查已经实施的灾 难恢复演练计划所形成的报告，根据演练的类型（桌面演练，模拟演 练，真实演练，混合演练）和结果，确认其演练过程的有效性。每年 应至少完成一次有最终用户参与的完整演练。 评估和维护更新 检查项 1：灾备策略的评估和维护更新 基本要求：商业银行应根据自身业务发展状况，定期对灾备系统 策略进行分析和评估，并严格做到持续维护和更新。 检查方法、步骤：（1）与相关人员进行会谈，了解商业银行是 否随着自身业务发展，定期进行系统风险分析和业务影响分析，并根 据其结果对灾难恢复、备份策略进行补充和修订；（2）审阅相关制 109 度和会议记录，明确灾备策略评估、维护、更新经过了管理层及所有 业务部门的参与和审批。 检查项 2：灾难恢复预案的评估和维护更新 基本要求：灾难恢复预案应实施严格有效的管理流程，及时根据 灾备策略的变更和演练结果进行评估,并严格做到持续维护、更新。 检查方法、步骤：（1）审阅相关制度和会议记录，明确灾难恢 复预案的评估和修订经过管理层及相关部门的参与和审批。所有的修 订都应经过起草、评审、测试、完善、审核和批准等程序；（2）检 查灾难恢复预案的维护和变更记录及审核文档，确保业务流程的变化、 信息系统的变更、人员的变更都在灾难恢复预案中及时反映；（3） 审阅测试、演练和执行效果的评估结果，以及预案相应的修订记录， 确保灾难恢复预案进行了相应的修订；（4）审阅针对灾难恢复预案 进行的评审或内部 IT 审计的相关报告，确认灾难恢复预案进行了相 应的修订。 110 10. 数据管理 数据管理制度和岗位 数据是企业最重要的资产，它是银行日常运营和管理决策的基础， 加强数据管理尤其是数据安全性管理非常重要。商业银行应对数据的 采集、处理、存储、传输、分发、备份、恢复、清理和销毁等各个环 节进行严格管理，确保数据的完整性、可用性和安全性。 检查项 1: 数据管理制度 基本要求：商业银行应制定相关制度和流程，严格管理数据的采 集、处理、存储、传输、分发、备份、恢复、清理和销毁。 检查方法、步骤：（1）调阅商业银行数据管理制度，确认其涵 盖了数据的采集、处理、存储、传输、分发、备份、恢复、清理和销 毁；（2）调阅数据管理制度，查看是否对其业务和管理数据进行了 适当分级，并对各级数据制定了相应的数据管理流程。关键数据的访 问和操作应经过严格的审批流程，相关的日志记录应长期保存和保护 以供备查；（3）调阅数据管理制度，查看是否有数据安全管理方面 的管控措施，用户私密信息的保护措施是否符合国家相关法律法规的 要求；（4）与数据安全管理维护人员会谈，了解是否将数据管理制 度完整的发布到相关人员手中，并确认其是否适当，询问相关工作人 员，了解其对商业银行数据管理制度的知晓情况。 111 检查项 2 ：数据管理岗位 基本要求：商业银行应针对数据管理的内容和等级，以及数据采 集、处理、存储、传输、分发、备份、恢复、清理和销毁的过程，建 立完整的岗位责任制度，责任落实到人。 检查方法、步骤：（1）检查岗位划分的相关文档，了解各岗位 在数据的采集、处理、存储、传输、分发、备份、恢复、清理和销毁 过程中的职责和权限划分；（2）调阅数据管理制度和岗位职责，分 析各岗位之间职责分离的遵循程度，确认其划分的合理性，确保关键 岗位职责分离；（3）与数据安全管理负责人员进行会谈，了解各个 工作岗位的人员情况，确认人员的相关资质是否符合数据安全管理的 要求；（4）调阅相关的文档，确认与机密数据相关的工作岗位人员 都签订了相关的安全保密协定。可进一步与相关人员