返回
2006年度银行业金融机构信息科技风险评价审计要点.doc

2006年度银行业金融机构信息科技风险评价审计要点.doc

ID:58134684

大小:23.50 KB

页数:5页

时间:2020-04-24

2006年度银行业金融机构信息科技风险评价审计要点.doc_第1页
2006年度银行业金融机构信息科技风险评价审计要点.doc_第2页
2006年度银行业金融机构信息科技风险评价审计要点.doc_第3页
2006年度银行业金融机构信息科技风险评价审计要点.doc_第4页
2006年度银行业金融机构信息科技风险评价审计要点.doc_第5页
资源描述:

《2006年度银行业金融机构信息科技风险评价审计要点.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、2006年度银行业金融机构信息科技风险评价审计要点前言为防范银行业金融机构信息科技风险,保障信息系统运行和操作安全,根据中国银监会《银行业金融机构信息系统风险管理指引》,提出对银行业金融机构信息科技风险内部和外部审计要点,以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理和控制,强化银行业金融机构作为信息安全第一责任人的责任,建立和完善信息科技风险管理机制,进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围,制定审计计划、实施审计行为并提供审计报告。一、信息科技治

2、理和组织结构目的:确立信息科技治理、组织结构和相关权责,使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果;在充分考虑银行业金融机构及其服务供应各方的变化的基础上,采取有针对性措施加强信息科技治理和组织结构。(一)制度建设1、信息科技管理制度体系的建设情况;2.已发布实施的主要制度规章和管理办法;3.管理制度规章和管理办法的制定、审批和修订流程.(二)组织结构1.信息科技管理的领导和决策机构设置,其职能和工作机制;2.长期和短期信息科技发展规划的制定、审批和修订;3.信息

3、科技部门的设置、职责和相互关系,重点包括:系统开发、技术支持、系统操作维护和系统安全;4.专门的技术风险管理部门设置,其职责和工作机制;5.技术风险审计部门或岗位设置,审计频率以及问题纠正机制情况:6.信息科技人员的专业素质和培训情况;7.信息科技风险内部审计人员的素质和培训情况。二、信息安全管理目的:充分考虑与信息科技系统相关的风险,维护金融业务的正常操作:保证被认可的用户能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息;确保数据和系统的完整性、机密性和稳定性等。(一)信息安全基本要求l.信息安全工怍的基

4、本原则、基本规划;2.信息安全管理的流程、组织架构和职责分配;3.信息安全的技术体系;4.信息安全风险评估和分级控制;5.信息安全的教育培训,包括法规教育、安全知识教育和职业道德教育等。(二)逻辑访问的风险与控制1.访问控制原则;2.访问授权的授权与核准;3.逻辑访问风险的定义、分类和应对措施;4.访问控制软件的使用情况;5.磁卡、钥匙和口令密码等重要身份凭证的管理。(三)网络安全控制1.内网的安全管理(Intranet的接入安全);2外网的安全管理(Internet和Extranet的接入安全);3.加密技术应用和私钥的

5、管理:4.防火墙的设置、维护和管理:5.入侵检测系统。(四)环境的风险和控制1.消防及防水设施:2.不间断电源保护:3.人员疏散计划和通道。(五)物理访问的风险与控制1.出入通道锁具的可靠性:2.摄像监测设施、警报系统和警卫配备;3.访客、外包服务人员、勤务人员出入管理规定;4.入口数量控制;5.计算机终端无人看管时的锁定;6.敏感性设施及场所的标识隐匿;7.文件柜的锁定和监控.(六)软件的风险与控制1.软件的病毒防护和管理;2.软件的升级和补丁管理;3.软件使用许可和授权管理。三、信息科技项目开发和变更管理目的:提高信息

6、科技管理效率,实现信息科技对主体业务发展的有效支持保证信息科技与企业战略的协调一致。(一)项目开发管理1.项目管理的主要规章制度,包括:项目的审批流程,参与部门的职责划分、时间进度和财务预算管理、质量检测、风险评估等;2.项目周期管理的涵盖范围,包括:立项、可行性分析、制定需求、方案设计、程序开发.系统测试、系统验收、使用培训、实施操作和维护等;3.开发环境、测试环境、生产环境严格分离情况;4.外部技术资源(包括软件、硬件、服务等)管理,包括申请、测评、购买(合同)、使用等。(二)项目变更管理1.变更管理的主要规章制度;2

7、.变更管理的审批授权机制和工作流程:3.变更管理的登记、备案和存档;(三)项目资料文档管理体系1.项目资料文档的管理职责;2.资料文档的起草和审批职责;3.资料文档格式标准化规范:4.程序资料文档的完整保存:程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等;5.项目资科文档的完整保存:项目需求、可行性分析、阶段实施记录(启动、计划、设计、开发、测试、实施、后评价等)。(四)系统设计开发外包缺陷风险管理1.代码检查;2.文档管理(包括:功能规则说明书,系统设计规则说明书,操作运行手册);3.

8、技术传送.四、信息系统运行和操作管理目的:保证当前和规划的信息科技营运体系能够充分满足董事会及高级管理层战略目标实现的需要,围绕战略目标合理配置人力资源、系统设备和管理资料,建立并完善适当的内部控制环境,并依照规范程序有效识别、测量、控制和化解操作风险。(一)信息系统运行体系建设情况1.信息系统运行体系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。