发布时间 : 星期日 文章商业银行信息科技监管评级定量和定性标准更新完毕开始阅读113b948d940590c69ec3d5bbfd0a79563c1ed417
息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。
【一级分支机构覆盖率】=【已开展全面信息科技审计的一级分支机构数】/【一级分支机构总数】*100%
【重要信息系统覆盖率】=【已开展信息科技审计的数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%
(2)考察近两年信息科技内(外)审整改率。
【信息科技内(外)审整改率】=【信息科技内(外)审报告中发现问题已完成整改的问题数量】/【信息科技内(外)审报告中发现问题的总和】*100%
(3)考察近两年内(外)审工作中信息科技专项审计占比。 【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%
(四)信息安全管理(14分) 1.信息安全管理体系(8分) (1)是否建立信息安全管理体系。 (2)信息安全管理体系的完整性。 (3)电子银行信息安全管理体系的完整性。
评分原则:(1)考察是否建立合理的信息安全管理组织架构及制度体系。
(2)考察信息安全管理体系是否完整,安全保障措施是否
完善。
物理安全:中心机房及重点区域是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围是否完备等。
网络安全:是否制定完善的网络安全访问控制策略,是否定期进行网络安全漏洞扫描,是否有完备的网络边界策略等。
数据安全:是否有重要或敏感数据的定义标准和访问控制策略,是否制定数据备份和恢复策略,是否有生产数据提取、使用、销毁等环节的安全防护措施。
终端安全:是否有终端安全防控措施,桌面终端是否安装病毒防护及防火墙软件,病毒库是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等。
访问控制:是否建立物理和逻辑访问控制策略;中心机房等重要区域门禁系统认证方式及进出访问安全控制策略是否合理;重要信息系统逻辑访问控制策略是否完善,包括权限管理、密码策略等。
(3)电子银行信息安全管理体系的完整性:电子银行系统是否定期开展渗透性测试;是否有客户端安全防控措施;是否有强制双因素身份认证;是否有客户敏感信息防护措施等。
2.信息安全管理执行力(6分)
信息安全管理规定执行情况;当年发生的信息安全事件情况。
评分原则:(1)信息安全管理组织架构是否存在重大缺陷,信息安全管理制度是否定期评价并修订完善;信息安全管理各项措施是否严格落实,执行过程中是否存在重大缺陷。
(2)当年发生的信息安全事情情况,事件发生次数可与同质同类机构平均值比较,并根据事件的负面影响程度进行酌情扣分。
(五)信息系统开发及测试(12分) 1.信息科技项目管理体系(6分)
是否有完善的信息科技项目管理组织和信息系统开发测试管理制度;是否有规范化的信息科技项目生命周期管理流程。
评分原则:(1)考察是否建立了规范的项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;项目管理组织架构严重缺失的此项最高2分。
(2)考察信息科技项目生命周期管理流程是否包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节,系统开发方法是否与信息科技项目的规模、性质和复杂度相匹配。
2.项目管理过程中的风险控制(6分)
(1)信息科技项目生命周期各重要环节是否开展风险管控。
(2)信息科技项目重点环节的风险管控情况。
评分原则:(1)考察信息科技风险管控是否涵盖信息科技项目生命周期各重要环节,如需求分析阶段是否有业务部门提出明确的风险控制要求,是否有应急恢复目标、灾难恢复目标、数据管理目标等要求,信息科技审计人员或信息安全人员是否参加项目阶段评审,风险管理组织是否开展阶段风险评估等。
(2)是否建立必要的安全隔离措施,包括生产系统与开发系统、测试系统的有效隔离,生产系统与开发系统、测试系统的管理职能相分离,应用程序开发和维护人员未经允许不可进入生产系统等。
(3)考察业务部门在信息系统开发及测试各阶段的参与度。业务部门是否参与需求分析、测试、项目各阶段质量评审、用户验收测试、项目后评价等;已完成开发和测试环境的程序或系统配置变更应用到生产系统前是否经业务部门批准。
(4)考察重要信息系统源代码控制率(定量)。 【重要信息系统源代码控制率】=【机构拥有全部源代码且具备后续自主维护开发能力、外部机构人员未经授权不能访问系统源代码进行功能定制扩展的重要信息系统数】/【重要信息系统总数】*100%