- 银行信息技术部合规管理综合报告
- 银行信用社党委书记在2020年工作部署会议上的讲话
- 银行信用社对照党章党规找差距专题会发言材料
- 论文:商业银行信息披露问题研究
- 银行信用社客户经理带班班主任带班总结
- 在银行信息宣传工作会议上的讲话
- 银行信审人员述职报告
- 建设银行信用卡业务培训心得
- 做好银行信息工作的几点建议
- 各县级银行信用社关于开展大额存款案件风险排查工作情况的报告
- 各县级银行信用社开展年度安全大检查工作自查报告
- 银行信托公司合作业务专项检查报告
- 银行信贷客户经理工作交接管理规定
- 银行信贷产品创新管理办法
- _群众路线教育实践活动心得体会(银行信用社,3篇)
- 毕业论文:中国建设银行信贷风险管理的现状及对策研究
- 毕业论文:中国建设银行信贷风险管理策略的研究
- 我国商业银行信贷风险管理理论与实证研究
- 银行信贷客户参与民间借贷识别方法参考
银行信息科技风险检查方案
发表时间:2017/9/27 7:46:53
目录/提纲:……
一、检查依据
二、检查原则和方法
(一)检查原则
(二)检查方法
三、检查内容
(一)信息科技治理
(二)信息科技风险管理
(三)信息安全
(四)信息科技运行
(五)业务连续性管理
(六)外包管理
(七)硬件系统
四、相关要求
……
银行信息科技风险检查方案
为进一步落实监管部门的风险防控要求,全面掌握和评估信息科技运行及管理现状,保障信息系统安全、稳定运行,按照监管部门信息科技风险监管工作要求,省联社决定开展信息科技风险检查。为做好此项工作,特制定本检查方案。
一、检查依据
1.《商业银行信息科技风险管理指引》;
2.《商业银行数据中心监管指引》;
3.《中国银监会办公厅关于印发商业银行业务连续性监管指引的通知》;
4.《银行业重要信息系统突发事件应急管理规范》;
5.《银行业金融机构重要信息系统投产及变更管理办法》;
6.《**省农村信用社科技工作管理规定》;
7.《**省农村信用社稽核工作暂行办法》;
8.《**省农村信用社信息科技稽核办法(试行)》;
9.国家相关金融政策、方针、法律、法规等以及省联社其他与信息科技有关的文件、制度和规定。
二、检查原则和方法
(一)检查原则
本次抽查是遵循“全面与重点”相结合原则:一是检查要覆盖被查机构的各个层面,包括被查机构理事会及高管层、信息科技“三道防线”职能部门、相关业务部室、基层营业网点。重点检查被查机构信息科技“三道防线”职能部门关于信息科技工作开展情况。二是结合被查机构信息科技
……(新文秘网https://www.wm114.cn省略831字,正式会员可完整阅读)……
职情况;
⑨其他需要了解的事项。
(2)通过查阅相关资料,如理事会、高管层及信息科技委员会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
2.信息科技风险管理“三道防线”
(1)访谈该机构分管信息科技工作的领导,了解是否信息科技风险管理的“三道防线”工作开展情况。
(2)访谈该机构信息科技部门、风险管理部门、稽核部门的负责人,了解其是否明确本部门在“三道防线”中需要承担的角色和职责,以及风险管理部门和稽核部门参与信息科技风险管理的相关工作情况。
3.知识产权保护和信息披露
(1)调阅该机构遵守知识产权法律的相关制度并审查其内容。(如自行采购软件需制定自身的知识产权方面制度)
(2)调阅该机构自行采购的软件清单,检查是否拥有产权或授权及到期状况。
(3)调阅该机构有关信息科技风险披露的制度,重点关注是否及时规范发布信息科技风险信息。
(二)信息科技风险管理
1.访谈风险管理部门负责人,并调阅相关资料了解以下内容:
(1)风险管理组织架构
是否明确信息科技风险管理部门并设置了信息科技风险管理岗位;调阅信息科技风险管理策略,检查是否包含信息科技风险报告机制及流程等;是否对全体员工进行持续的信息科技风险教育培训。
(2)风险识别和评估
是否开展本机构全面的信息科技风险识别、评估工作并针对风险评估结果开展后续风险管理工作;是否将风险评估结果报告管理层,按照管理层要求进行风险处置;是否评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别。
(3)风险防范和检测
①是否制定明确的信息科技风险管理制度、技术标准和操作规程,并定期进行更新和公布;是否制定了信息科技运行风险管理策略、访问控制风险管理策略、物理访问风险管理、业务连续性策略。
②是否建立了风险信息报告制度;是否建立了风险处理流程;是否建立了与风险管理部门沟通的机制,是否具有与风险管理部门进行沟通的记录;信息科技风险管理培训的内容、人员是否合理。
③是否建立了信息科技项目实施前及实施后的评价机制;是否安排对信息科技外包服务水平的完成情况进行定期审查;是否对银行和银行业面临的内外部信息科技风险以及由此引发的信誉风险、法律风险进行有效识别和客观评价评级;是否定期进行运行环境下信息科技操作风险和管理控制的检查;是否建立常态化的信息科技风险监测、预警与处置流程并执行。
2.信息科技《非现场监管报表》管理情况,调阅包括年度报表、季度报表和实时报表,以及报送相关记录,并访谈相关填报部门负责人,了解以下内容:
(1)是否明确《非现场监管报表》报送工作的归口管理部门;
(2)是否明确《非现场监管报表》的数据提供部门,其职责是否明确,其与归口管理部门的协作关系是否明确;
(3)是否明确《非现场监管报表》报送责任人和填报人的职责;
(4)是否建立了《非现场监管报表》报送管理制度;是否有明确的数据采集、填写、报送的流程;是否发生过迟报、漏报、瞒报现象;
(5)是否将《非现场监管报表》数据质量及报送情况纳入部门和个人绩效考核。
(三)信息安全
1.安全管理机制
(1)检查科技部门是否落实信息安全管理职能:是否对全体员工进行信息安全培训;是否定期向上级提交本机构信息安全评估报告等;是否定期召开信息安全保障方面的会议。
(2)是否制订了详细的信息安全制度,至少包括以下内容:信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理等。
2.信息安全组织
(1)调阅科技部门相关岗位职责说明文件,检查是否设立了安全管理员岗位,并定义职责。是否限制了安全管理员不能兼任网l管理员、系统管理员等。
(2)检查是否明确信息安全责任,并层层签订信息安全责任书。
(3)调阅信息安全检查记录,检查安全管理员是否定期进行安全检查,检查结果是否进行及时报告和处理。
3. 信息资产安全
(1)是否对信息资产进行了分类;是否制定了信息资产分级标准;各类信息资产是否进行了登记。
(2)设备进行维护和更换之前,是否做好相关的数据备份工作;如果是设备进行更换,对于含有存储信息的设备是否做好信息消除工作。
4.机房安全
(1 ……(未完,全文共8539字,当前仅显示2332字,请阅读下面提示信息。收藏《银行信息科技风险检查方案》)
一、检查依据
二、检查原则和方法
(一)检查原则
(二)检查方法
三、检查内容
(一)信息科技治理
(二)信息科技风险管理
(三)信息安全
(四)信息科技运行
(五)业务连续性管理
(六)外包管理
(七)硬件系统
四、相关要求
……
银行信息科技风险检查方案
为进一步落实监管部门的风险防控要求,全面掌握和评估信息科技运行及管理现状,保障信息系统安全、稳定运行,按照监管部门信息科技风险监管工作要求,省联社决定开展信息科技风险检查。为做好此项工作,特制定本检查方案。
一、检查依据
1.《商业银行信息科技风险管理指引》;
2.《商业银行数据中心监管指引》;
3.《中国银监会办公厅关于印发商业银行业务连续性监管指引的通知》;
4.《银行业重要信息系统突发事件应急管理规范》;
5.《银行业金融机构重要信息系统投产及变更管理办法》;
6.《**省农村信用社科技工作管理规定》;
7.《**省农村信用社稽核工作暂行办法》;
8.《**省农村信用社信息科技稽核办法(试行)》;
9.国家相关金融政策、方针、法律、法规等以及省联社其他与信息科技有关的文件、制度和规定。
二、检查原则和方法
(一)检查原则
本次抽查是遵循“全面与重点”相结合原则:一是检查要覆盖被查机构的各个层面,包括被查机构理事会及高管层、信息科技“三道防线”职能部门、相关业务部室、基层营业网点。重点检查被查机构信息科技“三道防线”职能部门关于信息科技工作开展情况。二是结合被查机构信息科技
……(新文秘网https://www.wm114.cn省略831字,正式会员可完整阅读)……
职情况;
⑨其他需要了解的事项。
(2)通过查阅相关资料,如理事会、高管层及信息科技委员会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
2.信息科技风险管理“三道防线”
(1)访谈该机构分管信息科技工作的领导,了解是否信息科技风险管理的“三道防线”工作开展情况。
(2)访谈该机构信息科技部门、风险管理部门、稽核部门的负责人,了解其是否明确本部门在“三道防线”中需要承担的角色和职责,以及风险管理部门和稽核部门参与信息科技风险管理的相关工作情况。
3.知识产权保护和信息披露
(1)调阅该机构遵守知识产权法律的相关制度并审查其内容。(如自行采购软件需制定自身的知识产权方面制度)
(2)调阅该机构自行采购的软件清单,检查是否拥有产权或授权及到期状况。
(3)调阅该机构有关信息科技风险披露的制度,重点关注是否及时规范发布信息科技风险信息。
(二)信息科技风险管理
1.访谈风险管理部门负责人,并调阅相关资料了解以下内容:
(1)风险管理组织架构
是否明确信息科技风险管理部门并设置了信息科技风险管理岗位;调阅信息科技风险管理策略,检查是否包含信息科技风险报告机制及流程等;是否对全体员工进行持续的信息科技风险教育培训。
(2)风险识别和评估
是否开展本机构全面的信息科技风险识别、评估工作并针对风险评估结果开展后续风险管理工作;是否将风险评估结果报告管理层,按照管理层要求进行风险处置;是否评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别。
(3)风险防范和检测
①是否制定明确的信息科技风险管理制度、技术标准和操作规程,并定期进行更新和公布;是否制定了信息科技运行风险管理策略、访问控制风险管理策略、物理访问风险管理、业务连续性策略。
②是否建立了风险信息报告制度;是否建立了风险处理流程;是否建立了与风险管理部门沟通的机制,是否具有与风险管理部门进行沟通的记录;信息科技风险管理培训的内容、人员是否合理。
③是否建立了信息科技项目实施前及实施后的评价机制;是否安排对信息科技外包服务水平的完成情况进行定期审查;是否对银行和银行业面临的内外部信息科技风险以及由此引发的信誉风险、法律风险进行有效识别和客观评价评级;是否定期进行运行环境下信息科技操作风险和管理控制的检查;是否建立常态化的信息科技风险监测、预警与处置流程并执行。
2.信息科技《非现场监管报表》管理情况,调阅包括年度报表、季度报表和实时报表,以及报送相关记录,并访谈相关填报部门负责人,了解以下内容:
(1)是否明确《非现场监管报表》报送工作的归口管理部门;
(2)是否明确《非现场监管报表》的数据提供部门,其职责是否明确,其与归口管理部门的协作关系是否明确;
(3)是否明确《非现场监管报表》报送责任人和填报人的职责;
(4)是否建立了《非现场监管报表》报送管理制度;是否有明确的数据采集、填写、报送的流程;是否发生过迟报、漏报、瞒报现象;
(5)是否将《非现场监管报表》数据质量及报送情况纳入部门和个人绩效考核。
(三)信息安全
1.安全管理机制
(1)检查科技部门是否落实信息安全管理职能:是否对全体员工进行信息安全培训;是否定期向上级提交本机构信息安全评估报告等;是否定期召开信息安全保障方面的会议。
(2)是否制订了详细的信息安全制度,至少包括以下内容:信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理等。
2.信息安全组织
(1)调阅科技部门相关岗位职责说明文件,检查是否设立了安全管理员岗位,并定义职责。是否限制了安全管理员不能兼任网l管理员、系统管理员等。
(2)检查是否明确信息安全责任,并层层签订信息安全责任书。
(3)调阅信息安全检查记录,检查安全管理员是否定期进行安全检查,检查结果是否进行及时报告和处理。
3. 信息资产安全
(1)是否对信息资产进行了分类;是否制定了信息资产分级标准;各类信息资产是否进行了登记。
(2)设备进行维护和更换之前,是否做好相关的数据备份工作;如果是设备进行更换,对于含有存储信息的设备是否做好信息消除工作。
4.机房安全
(1 ……(未完,全文共8539字,当前仅显示2332字,请阅读下面提示信息。收藏《银行信息科技风险检查方案》)
文章搜索 相关文章Copyright © 2001-2100 新文秘网为会员提供免费的“收费文章一站通”服务 免费拥有天下文章 本站客服:徐老师 请记住本站域名:wm114.cn
会员短信:13469927287 会员客服QQ:
徐老师(81072268) 会员邮箱:wm114@sohu.com
〖代写专用QQ:912986527 代写专用邮箱:zyouxian@126.com〗