银行信息技术风险管理检查方法及步骤.docx

银行信息技术风险管理检查方法及步骤商业银行应制定信息技术风险管理策略，制定风险识别和评估、风险防范措施，对风险进行持续监测。2.1 风险识别和评估检查项1，风险管理策略基本要求：（I）商业银行应制定符合侬行息体业务发展规划的信息技术战略、信息技术运行计划和信息技术风险评估计划：（2）应配置足够人力、财力资源，维持稳定、安全的信息技术环境：（3）应制定全面的信息技术风险管理策略，包括但不限于：信息分级与保护，信息系统开发、测试和维护，信息技术运行和维护，访问控制，物理安全，人员安全，业务连续性计划与应急处置“检查方法、步I1.h（1）访谈信息技术部门及信息技术风险管理部门负责人虬了解以下内容：（八）信息技术风险管理策略和方法,如风降框架和分类,评估方法和标准,以及对风险容忍度的界定：（b）银行的主要信息技术风险及其应对措施：（C）在开展信息技术风险管理过程中遇到的主要挑战。（2）调阅信息技术风险管理文档,如信息技术风险管理政策和流程.风险评估规范或手册等。检查项2:风险识别与评估基本要求：（1）商业银行应制定持续的风险识别和评估流程，确定信息技术风险隐患：2）定期评估信息技术风险对其业务的潜在影响，对风险进行排序.并确定风险防范措施及所需资源的优先级别。检查方法、步修；1）调阅风险识别和评估流程文档,风险评估报告和相关工作底稿，r解具体工作开展情况。（2）与信息技术风险管理相关人m（如信息技术部门人员和信息技术风险管理部门人员）访谈,了解信息技术风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。2.2 风险防范和检测检查项1，风险防范措籁基本要求：（1）商业银行应依据信息技术风险管理策略和风险评估结果，实满全面的风险防范措施，防范措施应包括：制定明确的信息技术风险管理制度、技术标准和操作规程，并定刖进行更新和公布：（2）确定潜在风险区域.并对这些区域进行有效的监控，实现风险及早发现、影响最小化；（3）建立适当的控制框架，以便于检直和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户审查，控制数据和系统的物理及逻辑访问，访问授权以“必需知道''和"最小授权”为原则，审批和授权，验证和调节等。检查方法、步:（1）调阅信息技术管理制度、技术标准、操作规程等文档,并访谈信息技术人力和风险管理人m,r解信息技术风险控制的主要原则和措演（注:这里应主要关注风险控制的原则,如怎样落实访问控制的最小授权,对风唆/安全事件的监控,灾难快发的安排等，具体控制的设计和执行情况将在各个领域中进行检查。）2）调阅风险监控相关工作记录,如风险评估报告,信息技术各职能部门关于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控情况；（3）了解信息技术职能和风降管理职能如何对主要风险进行监控,如定期汇总各条线（如运行.开发.测试等）的汇报,对一些武要事项和指标的持续监测，内外审的发现和建议的落实,问题上报制度等。检查项2：风险计量与检测基本要求：（1）商业银行应建立持续的信息技术风险计量和检测机制，技中包括：建立信息技术项目实施前及实施后的评价机制.建立定期检查系统性能的程序和标准,建立信息技术服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检杳,定期进行信息技术外包项H的风险状况评价。（2）中资商业银行在境外设立的机构及境内的外资法人银行，应对境内外监管机构有关信息技术风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步（1）调阅有美文档（如风险评估制度和方法,评估报告次于风险和安全事件的汇报等），了解商业银行是否建立信息技术风险计址和监测机制。（2）访谈相关工作人员，了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取仃效风险防范措施。