银行信息系统开发、测试与维护安全检查方法步骤.docx

银行信息系统开发、测试与维护安全检查方法步骤

1开发管理

良好的系统开发管理是一个系统能否稳健运行的必要前提，因此应加强对商业银行系统开发管理工作的检查力度，从而准确评估各运行系统以及即将上线系统的稳定性和可靠性。通过对商业银行的相关制度、规定、流程以及文档、记录的检查和分析，了解其管理层是否统筹考虑系统开发与信息技术战略规划及业务发展目标的一致性，是否对系统开发的可行性、必要性、成本效益核算以及存在的风险等方面进行全面评估，是否建设了合理的开发管理组织框架，是否对开发过程进行了全面的风险管控，以确保系统开发过程的合理、高效和安全。

检查项1：管理架构

基本要求：应建立信息技术管理委员会对信息系统项目建设的审批、授权机制，重大信息系统项目开发应经过银行董事会的批准，并符合该机构的IT战略规划和业务发展目标。信息技术部门应设置独立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统项目开发进行集中管理，系统开发应成立专门的开发建设项目组，具体负责信息系统的开发建设。在系统开发立项审批前，应进行系统开发可行性研究，以控制与信息技术有关的风险。项目开发过程中应定期向首席信息官或高级管理层汇报项目实施状况。信息系统开发过程应有业务需求部门人员参与，并定期与业务需求部门一起审核信息系统开发建设情况，查看是否能够满足生产业务的需要，是否与业务需求相符合，是否对关键业务风险点进行了有效控制。

检查方法、步骤：（1）检查商业银行是否有系统开发的可行性研究、成本效益分析、风险评估等报告，查看是否对项目的可行性、成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规划等进行了深入的分析；（2）调阅相关会议纪要，查看相关分析结果是否得到信息技术管理委员会的认可，分析信息技术管理委员会是否对系统开发的可行性、必要性以及与IT战略规划和业务发展目标的一致有充分认识；（3）对于重大信息系统开发项目，查看是否有银行董事会批准实施系统开发的记录；（4）调阅重大项目相关开发建设文档，查看是否成立了专门的项目组，具体负责项目的开发建设。如成立有项目组，调阅项目组相关工作文件，检查项目组是否尽职完成其相关职责；（5）查看是否有项目实施部门定期向信息技术管理委员会报告系统开发进展的报告；（6）查看商业银行是否设置独立的部门负责系统开发，调阅部门人员清单及简介（含资质），判断该部门人员的数量和专业背景对于其承担的系统开发职责是否充分和适当；（7）调阅项目开发相关文件，查看信息系统开发过程是否有业务部门人员参与，检查项目开发过程中开发部门是否与业务部门定期总结信息系统开发建设情况，以确认正在开发的系统是否与业务需求相符合，是否对关键业务风险点进行了有效控制；（8）检查信息系统投产后，实施部门是否组织了对系统的后评价，并根据评估结果及时对系统功能进行调整和优化。

检查项2：制度建设

基本要求：商业银行应制定全面的信息系统开发管理制度和流程，包括但不限于系统的开发流程和组织管理、参与部门的职责划分、时间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制度和流程，应涵盖信息系统开发的全周期，包括：分析、设计、开发或外购、测试、试运行、部署、维护和退出等，制度和流程应经过高级管理层和相关部门的认可，明确相关部门和人员的职责，并定期进行评估和更新。

检查方法、步骤：（1）调阅商业银行系统开发相关的制度和流程，检查其是否明确了管理组织及职责，是否对开发流程管理进行全面的管控。是否建立了质量检测和风险评估机制等；（2）询问相关人员，是否有高级管理层和所有有关部门认可这些制度和流程的说明，查看相关会议纪要、相关文件的传阅痕迹等；（3）检查系统开发过程中，相关制度和流程是否得到有效的实施，如是否界定了明确的部门和人员职责，职责划分是否合理，是否有完整的时间进度管理和财务预算管理，是否要求实施部门定期向信息技术管理委员会提交重大信息技术项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况等；（4）检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等各环节。

检查项3：项目控制体系

基本要求：（1）商业银行应制定合理的项目生命周期，加强项目生命周期管理，包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出；（2）应开展对系统需求和技术架构的管理，使系统需求与业务目标保持一致；（3）应当建立一套符合质量管理标准的质量控制体系，有效控制开发质量；（4）应根据项目风险评估，在系统开发过程中落实主要风险点的风险控制措施；（5）系统开发环境与运行环境应当分离，包括网络分离、设备分离、数据分离、人员分离等，防止开发活动对业务运行环境