银行信息系统技术管理安全检查方案.docx

银行信息系统技术管理检查方案

技术管理是一个全面而复杂的领域，它涵盖了多个关键组成部分，以确保商业银行在信息技术方面的稳健运作。具体来说，技术管理包含了12个核心部分，每个部分都提出了详细的基本要求、检查内容和检查方法以及实施步骤。首先，信息技术治理部分强调了建立有效的治理结构和决策机制的重要性，确保科技战略与银行整体战略的一致性。其次，信息技术风险管理部分关注于识别、评估和控制科技风险，以降低潜在的负面影响。信息安全管理部分则着重于保护银行的信息资产，防止数据泄露和未授权访问。信息系统生命周期管理部分涉及系统的规划、开发、实施、维护和退役等各个阶段，确保系统能够满足业务需求并持续改进。信息系统运行管理部分关注于日常的系统运行和维护，确保系统的稳定性和性能。业务连续性管理部分则确保在发生突发事件时，银行能够迅速恢复业务运作，减少损失。应急管理部分则专注于应对突发事件的准备和响应措施。灾难备份管理部分确保在发生重大灾难时，关键数据和系统能够迅速恢复，保障业务的连续性。数据管理部分关注于数据的质量、安全和合规性，确保数据的有效利用。外包管理部分则涉及对外包服务提供商的管理和监督，确保外包活动符合银行的利益和要求。最后，内部审计和外部审计部分分别关注于对银行内部管理和运营的独立评估，以及接受外部审计机构的监督和评估，确保银行的透明度和合规性。通过这些详细的管理要求和方法，商业银行能够全面提升其信息技术管理水平，确保业务的稳健发展。

1信息技术治理

商业银行的董事会和高级管理层应根据本银行的发展战略，运用先进管理理念加强信息技术治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续发展能力。

1.1董事会及高级管理层

检查项1：董事会

基本要求：（1）董事会应对银行的信息技术治理负有最终责任。(2)董事会应及时听取信息技术管理委员会和首席信息官的汇报,了解主要的信息技术风险。(3)信息技术重大事项的决策应经过董事会审议。

检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息技术管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息技术风险;(c)董事会对信息技术重大事项和决策职责的界定,以及董事会信息技术重大决策的流程;(d)经过董事会讨论和决议的信息技术重大事项的落实情况;(e)董事会如何对信息技术的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息技术事项的审批决议的记录等,对上述信息进行验证。

检查项2：信息技术管理委员会

基本要求：（1）银行应建立信息技术管理委员会,该委员会成员应包括银行高级管理层、信息技术部门和主要业务部门的代表。(2)信息技术管理委员会的职责应包括:(a)设定全行IT战略目标，指导IT方面的资金投入，对IT规划进行审批；(b)合理运用现有资源，指导信息技术部门提供高质量的IT服务，同时要监督IT成本管理情况；(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突；(d)确保IT战略的及时更新；(e)对主要的IT政策、标准、原则进行审批；(f)对重要的IT项目和活动进行监控；(g)监督和管理IT绩效，确保达到预期IT服务水平；(h)对重大IT项目进行审批。（3）定期向董事会和高级管理层汇报信息技术战略规划的执行情况、信息技术预算和实际支出情况、信息技术的整体管理状况,面临的主要风险及其应对措施等。

检查方法、步骤：（1）访谈信息技术管理委员会成员,了解信息技术管理委员会的主要职责和开展的主要工作。如(a)是否确保信息技术战略与业务战略的一致性;(b)信息技术管理委员会是否了解本行主要的信息技术风险并制定了应对措施;(c)重大信息技术项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息技术管理委员会相关文件,如信息技术管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3）查阅信息技术管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。

检查项3：首席信息官（CIO）

基本要求：（1）商业银行应建立首席信息官制度，明确其工作职责及报告路线。（2）首席信息官应了解并参与本行业务发展决策。（3）首席信息官应负责制定和及时更新信息技术战略,确保信息技术战略与业务战略保持一致。（4）首席信息官应确保信息技术职能的规范和有效运作。（5）首席信息官应领导和协调信息技术部门做好以下工作：信息技术预算和支出，信息技术政策、标准和流程制定及执行，信息技术内部控制、专业化研发，信息技术项目管理，信息系统和科技基础设施的建设、维护和运行管理，信息安全管理，应急管理和灾难恢复计划，信息技术外包和信息系统退出等。（6）