银行信息安全：检查内容与管理

1.典型的信息科技相关安全检查

下文对银行内典型的信息科技相关的信息安全检查内容进行了描述。在具体实践过程中，各银行可按照其自身的信息安全管理信息科技建设的成熟度对安全检查的内容进行相应的调整。

（1）数据中心安全检查 此部分内容可考虑：

1）数据中心及附属设施的建设标准。

2）数据中心的外部供电系统、双UPS机组。

3）数据中心内照明、生产、维修用电。

4）数据中心机房环境温度、湿度。

5）数据中心机房场地监控系统、门禁保安系统、紧急联络系统及消防系统等，防静电、防雷、防电磁干扰及防水、防鼠害等技术措施。

6）数据中心各类设备的测试、检修和易损（耗）部件更换。

7）数据中心机房的日常管理情况。

（2）主机设备安全检查 此部分内容可考虑：

1）设备运行监控、维护、故障处理、应急操作规程。

2）主机设备及附属设备的保养及维护工作。

3）设备故障的处理记录。

4）备份设备的可靠性。

（3）操作系统安全检查 此部分内容可考虑：

1）超级用户的管理情况。

2）系统管理员的管理情况。

3）用户的管理情况。

4）系统维护后的记录和归档。

5）系统运行监控、维护、变更、应急操作规程。

6）系统运行故障应急方案。

（4）网络系统安全检查 此部分内容可考虑：

1）重要计算机网络的传输加密、访问控制、身份（设备）验证等安全措施。

2）生产网、测试网和办公网之间的安全控制和隔离措施。

3）与外单位联网的安全控制和隔离措施。

4）与国际互联网（Internet）联网的安全控制和隔离措施。

（5）应用系统安全检查 此部分内容可考虑：

1）应用系统投产前的《测试报告》和《验收报告》。

2）应用系统投产后的运行情况。

3）操作员身份识别管理制度和数据备份制度。

4）应用系统的变更管理。

5）应用系统维护档案的完整性。

2.银行日常信息科技相关操作

（1）日常操作安全检查 该部分内容可考虑：

1）按规定权限和操作规程操作。

2）密码管理制度执行。

3）日常运行中的异常处理规程和记录。

4）生产运行工作日志。

（2）日常监控安全检查 该部分内容可考虑：(www.xing528.com)

1）主控台信息、系统运行状态和性能、资源使用、网络运行等情况的监控。

2）对系统用户行为的监控。

3）对系统配置的监控。

4）对黑客入侵、病毒扩散等安全事件的监控。

5）对业务交易的监控。

6）应用系统新上线运行和特殊处理日（节假日、结息日、月终、年终决算日等）的运行监控。

（3）生产数据备份安全检查 该部分内容可考虑：

1）日常的备份。

2）特殊处理日的备份。

3）定期整理生产数据的备份。

4）备份介质的存放。

5）定期检查备份数据的有效性。

（4）信息安全开发检查 该部分内容可考虑：

1）开发安全生命周期安全评审情况。

2）源代码访问授权管理情况。

3）开发过程变更管理。

4）上线及系统迁移管理。

（5）技术档案安全检查 该部分内容可考虑：

1）技术档案管理制度和办法。

2）技术档案的完整、准确、安全。

3）技术档案使用登记记录和审批手续。

4）技术档案在保管和传递过程中的保密和安全措施。

（6）终端安全防范检查 该部分内容可考虑：

1）终端层面安全管理工具部署。

2）终端病毒预防和控制。

3）终端黑客防范，入侵事件报告、保护和事件后的检查等。

3.典型的非科技条线安全检查

（1）信息安全培训检查 该部分内容可考虑：

1）信息安全培训覆盖面。

2）信息安全培训开展评估。

3）信息安全培训效果评价。

4）信息安全培训安全培训记录。

（2）信息安全组织建设情况检查 该部分内容可考虑信息安全组织岗位人员配备及信息安全组织职责履行。

（3）人员安全管理检查 该部分内容可考虑入职过程安全管理、在岗人员安全管理及离职过程安全管理。

（4）外包安全管理检查 该部分内容可考虑外包供应商管理及外包人员安全管理。

（5）信息安全制度建设情况检查 该部分内容可考虑信息安全制度的定期更新。

（6）安全事件管理检查 该部分内容可考虑重大安全事件的报告情况及重大安全事件的处置与记录。

（7）信息安全应急管理检查 该部分内容包括应急方案建设和应急演练情况。