文档介绍:合规性要求介绍页数1招商银行信息系统内部审计培训招商银行信息系统内部审计培训合规性要求介绍2009年3月合规性要求介绍页数2招商银行信息系统内部审计培训1234中国银监会要求上交所要求SOX404要求C-SOX要求目录5国际监管机构相关法律法规合规性要求介绍页数3招商银行信息系统内部审计培训1234中国银监会要求上交所要求SOX404要求C-SOX要求目录5国际监管机构相关法律法规合规性要求介绍页数4招商银行信息系统内部审计培训中国银监会要求?《商业银行内部控制指引》?《银行业金融机构信息系统风险管理指引》?电子银行监管要求?《电子银行业务管理办法》?《电子银行安全评估指引》?信用卡监管要求?《关于加强银行卡安全管理有关问题的通知》?《关于发卡业务风险管理的通知》?不定期的监管要求?《2006年度信息科技风险内部和外部评价审计》?《银行业金融机构信息科技风险奥运专项自查》合规性要求介绍页数5招商银行信息系统内部审计培训商业银行内部控制指引《商业银行内部控制指引》第八章计算机信息系统的内部控制,在如下方面对信息系统内部控制进行了要求:?内部控制制度?职责分离?项目开发和维护?软硬件采购?机房安全?网络管理?用户帐号和密码管理?数据管理?系统安全设置?防病毒?日志和审计?电子银行安全?应用系统控制?备份管理?灾备和应急合规性要求介绍页数6招商银行信息系统内部审计培训银行业金融机构信息系统风险管理指引适用机构:?在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行?在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构信息系统范围:?银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统合规性要求介绍页数7招商银行信息系统内部审计培训银行业金融机构信息系统风险管理指引内容概述:?定义银行业金融机构中负责信息系统风险管理的角色和职责?要求加强信息系统风险管理的专业队伍建设?要求制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制?在如下各个层面具体实施风险管理控制,并进行定期审计:?总体风险控制?研发风险控制?运行维护风险控制?外包风险控制合规性要求介绍页数8招商银行信息系统内部审计培训指引对金融机构的影响?为银行业金融机构提供信息系统风险管理的参考标准,帮助改进组织内部的信息系统风险管理水平?要求银行业金融机构管理层在信息系统风险管理上承担更大的责任和投入更多的资源,设计和实施各个层面的风险控制措施?对银行业金融机构提出了更多的内部和外部的信息系统风险管理监管要求合规性要求介绍页数9招商银行信息系统内部审计培训指引对金融机构的影响(续)?每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告?至少每3年对机构内信息系统进行一次整体风险审计?对信息系统实施投产前和投产后的系统审计?对信息安全事故、信息系统重大调整或按特殊需要实施信息系统专项审计?银监会依据《银行业金融机构信息系统风险管理指引》不定期发布信息系统风险评估要求,例如:“2006年度信息科技风险内部和外部评价审计”和“银行业金融机构信息科技风险奥运专项自查”对银行业金融机构信息系统风险管理的监管要求合规性要求介绍页数10招商银行信息系统内部审计培训指引对金融机构的影响(续)根据《银行业金融机构信息系统风险管理指引》的相关要求,对机构内信息系统进行风险控制评估,提出评估发现和建议。审计的内容要点包括:?信息科技制度和流程建设?信息科技组织结构和人力资源管理?信息系统开发管理?信息系统变更管理?信息系统设计开发外包管理?逻辑访问的风险控制?网络安全管理?物理环境安全管理?物理访问的风险控制?软件的风险控制?信息系统基础架构变更管理?信息系统容量管理?信息系统日常运行风险风险控制?运行和安全监控?灾难恢复计划?业务连续性计划信息系统风险管理审计内容