商业银行信息科技审计操作细则.docx

XXX银行信息科技审计操作细贝u目录第一章总则 1第二章信息科技审计职责与权限 1第三章信息科技审计方法及内容 2第四章信息科技审计操作流程 5第五章附则 6第一章总则第一条为进一步明确XXX银行（以下简称本行）总行审计部对本 行信息科技审计（以下简称IT审计）的职责，充分识别信息科技风险， 完善控制措施，实现IT系统的可用性、安全性、完整性、有效性，监 督审计全行的信息科技管控对各级监管政策法规的合规性，规范IT审 计操作程序，持续提升工作效率，保障IT审计工作的指导性和规范 性，依据《XXX银行内部审计章程》，特制定本细则第二条本细则为总行审计部对信息科技进行审计提供指导第二章信息科技审计职责与权限第三条总行审计部应设立专门的信息科技审计岗位，配备专业的 信息科技审计人员，负责信息科技审计制度和流程的实施，执行信息 科技审计计划，对信息科技整个生命周期和重大事件等进行审计第四条信息科技审计的职责包括：（一） 实施和调整审计计划，检查本行信息科技系统和内控机制 的充分性和有效性二） 按照本行规章制度完成IT审计工作，在此基础上提出整改 意见三） 检查整改意见是否得到落实四） 实施信息科技专项审计。

信息科技专项审计，是指对信息 科技安全事故进行的调查、分析，或审计部门根据风险结果对认为必 要的特殊事项进行的审计第五条根据业务性质、规模和复杂程度，信息科技应用情况以及 信息科技风险状况，决定信息科技内部审计范围和频率，至少应每三 年进行一次IT全面审计第六条在进行大规模系统开发时，总行审计部应派人参与，保证 系统开发符合本银行信息科技风险管理标准第七条审计人员具有适当的权限调阅或查看行内系统或审计相 关资料第三章信息科技审计方法及内容第八条信息科技审计项目实施过程中需要搜集大量的信息，掌握多方面的证据搜集和取证需要运用多种方法和工具采用的方法有：（一） 访谈：访谈信息科技和有关业务部门相关人员，了解项目 现状二） 实地考察：实地考察信息系统运行的实际情况三） 审阅：检查相关制度、记录和文件，作为审计的证据四） 系统验证：测试信息系统中的自动化控制是否按设计要求 运行五） 穿行性测试:追踪交易在信息系统/业务流程中的处理过程，以证实所了解的流程与控制一般可与访谈方法一起执行六） 数据验证：直接抽取数据进行完整性与准确性的验证第九条审计依据包括：（一）国际标准ISO27001： 2005《信息技术安全技术信息安全管理体系要求》ISO27002： 2005《信息技术 安全技术 信息安全管理体系实用规则》BS25999-1： 2006《业务连续性管理 第一部分 实用规则》BS25999-2： 2006《业务连续性管理 第二部分 规范》（二） 国家标准《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006）《信息安全技术信息系统安全保障评估框架》（GB/T 20274-2006）（三） 行业规范《商业银行信息科技风险管理指引》（银监发〔2009〕19号）《商业银行业务连续性监管指引》（银监发〔2011〕104号）《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号）《银行业金融机构重要信息系统投产及变更管理办法》（银监办发〔2009〕437 号）《商业银行数据中心、监管指引》（银监办发〔2010〕114号）（四） 行业标准《银行业信息系统灾难恢复管理规范》（JR/T 0044-2008）《网上银行系统信息安全通用规范》（JR/T 0068-2012）《金融行业信息系统信息安全等级保护实施指引》（JR/T 00712012）第十条信息科技审计的内容包括：信息科技治理和组织结构，信 息科技风险管理，信息安全，信息系统开发、测试和维护，信息科技 运行，业务连续性管理，系统外包管理等。

第十一条信息科技治理和组织结构审计审计内容包括：董事会 对信息科技的管理情况；信息科技管理委员会履职情况；首席信息官 的职责；信息技术部岗位职责及人员管理；信息科技风险管理部门及 审计部门的设置；制度建设（例如：制度体系、规章、手册等）覆盖 范围的全面性、合理性；知识产权管理等第十二条信息科技风险管理审计审计内容包括:信息科技战略、 风险评估计划的制定；风险识别和评估流程、风险计量和监测机制的 建立；风险管理策略的全面性；信息科技风险防范措施和落实情况第十三条 信息安全审计审计内容包括：信息安全管理体系的建 设情况；信息分类和保护体系的建立和实施；建立信息安全计划和管 理机制，定期向信息科技管理委员会提交的信息安全评估报告；用户 认证和访问控制流程；机房安全措施；网络的逻辑划分；最高权限系 统账户的审批、验证和监控流程；操作系统的补丁管理；信息系统的 安全控制措施；交易日志和系统日志的管理；密码管理；客户数据使 用流程等第十四条信息系统开发、测试和维护审计审计内容包括：信息 科技项目管理、系统开发管理和文档管理的制度、标准和流程；信息 系统变更制度和流程；问题管理流程；系统升级的相关制度和流程； 系统的后评价。

第十五条信息科技运行审计审计内容包括：第三方人员进入安 全区域的管理；信息科技运行操作说明；系统开发和维护的分离；事 故管理及处置机制；信息系统性能监控；容量规划第十六条 业务连续性管理审计审计内容包括：业务连续性组织架构；业务影响分析；业务连续性计划与资源建设；业务连续性演练 与持续改进；运营中断事件应急处置等第十七条外包管理审计审计内容包括：外包管理的组织架构； 外包战略；外包风险；外包的管理；非驻场外包管理等第四章信息科技审计操作流程第十八条审计准备阶段确定审计项目、明确审计组成员、收集 资料、制定实施方案、调查问卷、调查统计表等，通知被审计单位第十九条审计实施阶段进驻被审计单位，听取汇报，查阅资料， 双人访谈，调查取证，核实问题编制审计工作底稿，形成审计检查 事实确认书第二十条审计报告阶段审计成员汇总整理资料，审计组长（或 主审人）根据审计工作底稿、审计检查事实确认书等，撰写审计项目 交换意见书，并由被审计单位反馈意见，形成审计报告报送主管行领 导审阅批准经批准的审计结论或决定，送达被审计单位第二十一条审计处理阶段总行审计部提出审计意见与建议，下 发审计整改通知书；被审计单位根据整改通知书对问题进行整改，并 按要求形成书面整改报告报送总行审计部。

若有不能即时整改的，需 每半年以书面形式报送一次整改进度情况，直到所有问题整改完毕 总行审计部根据实际情况开展后续审计第二十二条审计档案阶段收集资料，按照档案管理要求，装订 档案交由总行审计部档案管理员保管第二十三条审计结果直接向董事会、监事会及信息科技管理委员会汇报第五章附则第二十四条本细则由总行审计部负责解释第二十五条 本细则自发文之日起生效。