目 录
第一部分 概述 …………………………………………………………………………………………………………….. 12
- 指南说明 ………………………………………………………………………………………………………………….. 13
1.1 目的适用范围 ………………………………………………………………………………………………. 13
1.2 编写原则 …………………………………………………………………………………………………………. 14
1.3 指南框架 …………………………………………………………………………………………………………. 15
第二部分 科技管理 ……………………………………………………………………………………………………… 17 - 信息科技治理 …………………………………………………………………………………………………………… 18
2.1 董事会高级管理层 ……………………………………………………………………………………….. 18
检查项 1 :董事会 ………………………………………………………………………………………….. 18
检查项 2 :信息科技管理委员会 …………………………………………………………………….. 19
检查项 3 :首席信息官(CIO) ………………………………………………………………………. 20
2.2 信息科技部门 ………………………………………………………………………………………………….. 21
检查项 1 :信息科技部门 ……………………………………………………………………………….. 21
检查项 2 :信息科技战略规划 ………………………………………………………………………… 23
2.3 信息科技风险管理部门 ……………………………………………………………………………………. 24
检查项 1 :信息科技风险管理部门 …………………………………………………………………. 24
2.4 信息科技风险审计部门 ……………………………………………………………………………………. 25
检查项 1 :信息科技风险审计部门 …………………………………………………………………. 25
2.5 知识产权保护和信息披露 ………………………………………………………………………………… 26
检查项 1 :知识产权保护 ……………………………………………………………………………….. 26
检查项 2 :信息披露 ………………………………………………………………………………………. 26 - 信息科技风险管理 ……………………………………………………………………………………………………. 28
3.1 风险识别和评估 ………………………………………………………………………………………………. 28
检查项 1 :风险管理策略 ……………………………………………………………………………….. 28
检查项 2 :风险识别与评估 ……………………………………………………………………………. 29
3.2 风险防范和检测 ………………………………………………………………………………………………. 29
检查项 1 :风险防范措施 ……………………………………………………………………………….. 29
检查项 2 :风险计量与检测 ……………………………………………………………………………. 30 - 信息安全管理 …………………………………………………………………………………………………………… 32
4.1 安全管理机制与管理组织 ………………………………………………………………………………… 32
检查项 1:信息分类和保护体系 ………………………………………………………………………. 32
检查项 2:安全管理机制 …………………………………………………………………………………. 33
检查项 3:信息安全策略 …………………………………………………………………………………. 34
检查项 4:信息安全组织 …………………………………………………………………………………. 34
4.2 安全管理制度 ………………………………………………………………………………………………….. 35
检查项 1:规章制度 ………………………………………………………………………………………… 35
检查项 2:制度合规 ………………………………………………………………………………………… 36
3
检查项 3:制度执行 ………………………………………………………………………………………… 37
4.3 人员管理 …………………………………………………………………………………………………………. 38
检查项 1:人员管理 ………………………………………………………………………………………… 38
4.4 安全评估报告 ………………………………………………………………………………………………….. 39
检查项 1:安全评估报告 …………………………………………………………………………………. 39
4.5 宣传、教育和培训 …………………………………………………………………………………………… 39
检查项 1:宣传、教育和培训 ………………………………………………………………………….. 39
5.系统开发、测试与维护 ………………………………………………………………………………………………. 41
5.1 开发管理 ………………………………………………………………………………………………………….. 41
检查项 1:管理架构 ………………………………………………………………………………………… 41
检查项 2:制度建设 ………………………………………………………………………………………… 43
检查项 3:项目控制体系 …………………………………………………………………………………. 44
检查项 4:系统开发的操作风险 ………………………………………………………………………. 45
检查项 5:数据继承和迁移 ……………………………………………………………………………… 46
5.2 系统测试与上线 ……………………………………………………………………………………………….. 47
检查项 1:系统测试 ………………………………………………………………………………………… 47
检查项 2:系统验收 ………………………………………………………………………………………… 49
检查项 3:投产上线 ………………………………………………………………………………………… 49
5.3 系统下线 ………………………………………………………………………………………………………….. 50
检查项 1:系统下线 ………………………………………………………………………………………… 50 - 系统运行管理 …………………………………………………………………………………………………………… 52
6.1 日常管理 …………………………………………………………………………………………………………. 52
检查项 1:职责分离 ………………………………………………………………………………………… 52
检查项 2:值班制度 ………………………………………………………………………………………… 53
检查项 3:操作管理 ………………………………………………………………………………………… 53
检查项 4:人员管理 ………………………………………………………………………………………… 54
6.2 访问控制策略 ………………………………………………………………………………………………….. 55
检查项 1:物理访问控制策略 ………………………………………………………………………….. 55
检查项 2:逻辑访问控制策略 ………………………………………………………………………….. 56
检查项 3:账号权限管理 ……………………………………………………………………………… 57
检查项 4:用户责任终端管理 ………………………………………………………………………. 58
检查项 5:远程接入的控制 ……………………………………………………………………………… 59
6.3 日志管理 …………………………………………………………………………………………………………. 60
检查项 1:审计日志检查 …………………………………………………………………………………. 60
检查项 2:日志信息的保护 ……………………………………………………………………………… 60
检查项 3:操作日志的检查 ……………………………………………………………………………… 61
检查项 4:错误日志的检查 ……………………………………………………………………………… 61
6.4 系统监控 ………………………………………………………………………………………………………….. 62
检查项 1:基础环境监控 …………………………………………………………………………………. 62
检查项 2:系统性能监控 …………………………………………………………………………………. 62
检查项 3:系统运行监控 …………………………………………………………………………………. 63
检查项 4:测评体系 ………………………………………………………………………………………… 64
6.5 事件管理 …………………………………………………………………………………………………………. 65
4
检查项 1:事件报告流程 …………………………………………………………………………………. 65
检查项 2:事件管理和改进 ……………………………………………………………………………… 66
检查项 3:服务台管理 …………………………………………………………………………………….. 67
6.6 问题管理 ………………………………………………………………………………………………………….. 67
检查项 1:事件分析和问题生成 ………………………………………………………………………. 68
检查项 2:台账管理 ………………………………………………………………………………………… 68
检查项 3:问题处置 ………………………………………………………………………………………… 68
6.7 容量管理 …………………………………………………………………………………………………………. 69
检查项 1:容量规划 ………………………………………………………………………………………… 69
检查项 2:容量监测 ………………………………………………………………………………………… 70
检查项 3:容量变更 ………………………………………………………………………………………… 70
6.8 变更管理 …………………………………………………………………………………………………………. 71
检查项 1:变更的流程 …………………………………………………………………………………….. 72
检查项 2:变更的评估 …………………………………………………………………………………….. 72
检查项 3:变更的授权 …………………………………………………………………………………….. 73
检查项 4:变更的执行 …………………………………………………………………………………….. 73
检查项 5:紧急变更 ………………………………………………………………………………………… 74
检查项 6:重大变更 ………………………………………………………………………………………… 74 - 业务连续性管理 ……………………………………………………………………………………………………….. 76
7.1 业务连续性管理组织 ……………………………………………………………………………………….. 77
检查项 1:董事会高管层的职责 …………………………………………………………………… 77
检查项 2:业务连续性管理组织的建立 ……………………………………………………………. 78
检查项 3:业务连续性管理组织职责 ……………………………………………………………….. 79
7.2 IT 服务连续性管理 ………………………………………………………………………………………….. 80
检查项 1:IT 服务连续性计划的组织保障 ……………………………………………………….. 80
检查项 2:风险评估业务影响分析 ……………………………………………………………….. 81
检查项 3:IT 服务连续性计划的制定 ………………………………………………………………. 81
检查项 4:IT 服务连续性计划的测试与维护 ……………………………………………………. 82
检查项 5:IT 服务连续性计划审计 ………………………………………………………………….. 83
检查项 6:IT 服务连续性相关领域的控制 ……………………………………………………….. 84 - 应急管理 ………………………………………………………………………………………………………………….. 85
8.1 应急组织 …………………………………………………………………………………………………………. 85
检查项 1:应急管理团队 …………………………………………………………………………………. 85
检查项 2:应急管理职责 …………………………………………………………………………………. 86
检查项 3:应急管理制度 …………………………………………………………………………………. 86
8.2 应急预案 …………………………………………………………………………………………………………. 87
检查项 1:应急预案制订 …………………………………………………………………………………. 87
检查项 2:应急预案内容 …………………………………………………………………………………. 87
检查项 3:应急预案更新 …………………………………………………………………………………. 89
检查项 4:外包服务应急 …………………………………………………………………………………. 89
检查项 5:应急预案培训 …………………………………………………………………………………. 90
8.3 应急保障 …………………………………………………………………………………………………………. 90
检查项 1:人员保障 ………………………………………………………………………………………… 90
5
检查项 2:物质保障 ………………………………………………………………………………………… 90
检查项 3:技术保障 ………………………………………………………………………………………… 91
检查项 4:沟通保障 ………………………………………………………………………………………… 91
8.4 应急演练 …………………………………………………………………………………………………………. 92
检查项 1:应急演练的计划 ……………………………………………………………………………… 92
检查项 2:应急演练的实施 ……………………………………………………………………………… 92
检查项 3:应急演练的总结 ……………………………………………………………………………… 93
8.5 应急响应 …………………………………………………………………………………………………………. 93
检查项 1:应急响应流程 …………………………………………………………………………………. 93
检查项 2:全程记录处置过程 ………………………………………………………………………….. 94
检查项 3:应急事件报告 …………………………………………………………………………………. 95
检查项 4:与第三方沟通 …………………………………………………………………………………. 95
检查项 5:向新闻媒体通报制度 ………………………………………………………………………. 96
检查项 6:应急处置总结 …………………………………………………………………………………. 96
8.6 持续改进 …………………………………………………………………………………………………………. 97
检查项 1:应急事件评估 …………………………………………………………………………………. 97
检查项 2:应急响应评估 …………………………………………………………………………………. 97
检查项 3:应急管理改进 …………………………………………………………………………………. 97 - 灾难恢复管理 …………………………………………………………………………………………………………… 99
9.1 灾难恢复组织架构 …………………………………………………………………………………………… 99
检查项 1:灾难恢复相关组织架构 …………………………………………………………………… 99
9.2 灾难恢复策略 ………………………………………………………………………………………………… 101
检查项 1:总体控制 ………………………………………………………………………………………. 101
检查项 2:灾难恢复策略 ……………………………………………………………………………….. 101
检查项 3:灾难备份策略 ……………………………………………………………………………….. 103
检查项 4:外包风险 ………………………………………………………………………………………. 104
9.3 灾难恢复预案 ………………………………………………………………………………………………… 105
检查项 1:灾难恢复预案 ……………………………………………………………………………….. 105
检查项 2:联络与通讯 …………………………………………………………………………………… 106
检查项 3:教育、培训和演练 ………………………………………………………………………… 107
9.4 评估和维护更新 ……………………………………………………………………………………………… 107
检查项 1:灾备策略的评估和维护更新 ………………………………………………………….. 107
检查项 2:灾难恢复预案的评估和维护更新 …………………………………………………… 108 - 数据管理 ………………………………………………………………………………………………………………. 109
10.1 数据管理制度和岗位 ……………………………………………………………………………………. 109
检查项 1: 数据管理制度 ……………………………………………………………………………….. 109
检查项 2 :数据管理岗位 ……………………………………………………………………………… 110
10.2 数据备份、恢复策略 ……………………………………………………………………………………. 110
检查项 1:数据备份、转储策略 …………………………………………………………………….. 110
检查项 2:数据恢复、抽检策略 …………………………………………………………………….. 111
10.3 数据存储介质管理 ………………………………………………………………………………………… 112
检查项 1:介质管理 ………………………………………………………………………………………. 112
检查项 2:介质的清理和销毁 ………………………………………………………………………… 113
6 - 外包管理 ………………………………………………………………………………………………………………. 114
11.1 外包管理制度 ……………………………………………………………………………………………….. 114
检查项 1:外包管理制度 ……………………………………………………………………………….. 114
检查项 2:外包审批流程 ……………………………………………………………………………….. 114
检查项 3:外包协议 ………………………………………………………………………………………. 115
检查项 4:服务水平协议 ……………………………………………………………………………….. 115
检查项 5:外包安全保密措施 ………………………………………………………………………… 116
检查项 6:外包文档管理 ……………………………………………………………………………….. 116
11.2 外包评估和监督 ……………………………………………………………………………………………. 117
检查项 1:外包服务商的评估 ………………………………………………………………………… 117
检查项 2:外包项目的监督管理 …………………………………………………………………….. 117 - 内部审计 ………………………………………………………………………………………………………………. 119
12.1 内部审计管理 ………………………………………………………………………………………………. 119
检查项 1:内部审计部门、岗位、人员和职责 ……………………………………………….. 119
检查项 2:内部审计制度和办法 …………………………………………………………………….. 119
12.2 内部审计要求 ………………………………………………………………………………………………. 120
检查项 1:内部审计范围和频率 …………………………………………………………………….. 120
检查项 2:内部审计结果的有效性 …………………………………………………………………. 120 - 外部审计 ………………………………………………………………………………………………………………. 122
13.1 外部审计资质 ………………………………………………………………………………………………. 122
检查项 1:外部审计机构的资质 …………………………………………………………………….. 122
13.2 外部审计要求 ………………………………………………………………………………………………. 122
检查项 1:商业银行配合外部审计情况 ………………………………………………………….. 122
检查项 2:外部审计有效性 ……………………………………………………………………………. 123
检查项 3:外审过程中的保密要求 …………………………………………………………………. 123
第三部分 基础设施 ……………………………………………………………………………………………………. 125 - 计算机机房 …………………………………………………………………………………………………………… 126
14.1 计算机机房建设 ……………………………………………………………………………………………. 126
检查项 1:计算机机房选址 ……………………………………………………………………………. 126
检查项 2:机房功能分区 ……………………………………………………………………………….. 127
检查项 3:计算机机房基础设施建设 ……………………………………………………………… 127
检查项 4:计算机机房的环境要求 …………………………………………………………………. 130
检查项 5:计算机机房日常维护 …………………………………………………………………….. 131
14.2 计算机机房管理 ……………………………………………………………………………………………. 132
检查项 1:计算机机房安全管理 …………………………………………………………………….. 132
检查项 2:计算机机房集中监控系统 ……………………………………………………………… 133
检查项 3:计算机机房安全区域访问控制 ………………………………………………………. 134
检查项 4:计算机机房运行管理 …………………………………………………………………….. 135
14.3 机房设备管理 ……………………………………………………………………………………………….. 136
检查项 1:机房设备的环境安全 …………………………………………………………………….. 136 - 网络通讯 ………………………………………………………………………………………………………………. 137
15.1 内控管理 ……………………………………………………………………………………………………… 137
检查项 1:内控制度 ………………………………………………………………………………………. 137
7
检查项 2:人员管理 ………………………………………………………………………………………. 138
检查项 3:访问控制 ………………………………………………………………………………………. 138
检查项 4:日志管理 ………………………………………………………………………………………. 139
检查项 5:第三方管理 …………………………………………………………………………………… 140
检查项 6:服务外包 ………………………………………………………………………………………. 141
检查项 7:文档管理 ………………………………………………………………………………………. 141
检查项 8:风险评估 ………………………………………………………………………………………. 142
15.2 网络运行维护 ………………………………………………………………………………………………. 143
检查项 1:运行监控 ………………………………………………………………………………………. 143
检查项 2:性能监控 ………………………………………………………………………………………. 143
检查项 3:流量监控 ………………………………………………………………………………………. 144
检查项 4:监控预警 ………………………………………………………………………………………. 144
检查项 5:性能调优 ………………………………………………………………………………………. 144
检查项 6:事件管理 ………………………………………………………………………………………. 145
检查项 7:运行检查 ………………………………………………………………………………………. 145
15.3 网络变更管理 ………………………………………………………………………………………………. 146
检查项 1:变更发起 ………………………………………………………………………………………. 146
检查项 2:变更计划 ………………………………………………………………………………………. 147
检查项 3:变更测试 ………………………………………………………………………………………. 147
检查项 4:变更审批 ………………………………………………………………………………………. 147
检查项 5:变更实施 ………………………………………………………………………………………. 148
15.4 网络服务可用性 …………………………………………………………………………………………… 149
检查项 1:容量管理 ………………………………………………………………………………………. 149
检查项 2:冗余管理 ………………………………………………………………………………………. 149
检查项 3:带外管理 ………………………………………………………………………………………. 150
检查项 4:压力测试 ………………………………………………………………………………………. 151
检查项 5:应急管理 ………………………………………………………………………………………. 151
15.5 网络安全技术 ………………………………………………………………………………………………. 151
检查项 1:结构安全 ………………………………………………………………………………………. 151
检查项 2:物理安全 ………………………………………………………………………………………. 153
检查项 3:传输安全 ………………………………………………………………………………………. 153
检查项 4:访问控制 ………………………………………………………………………………………. 154
检查项 5:接入安全 ………………………………………………………………………………………. 155
检查项 6:网络边界安全 ……………………………………………………………………………….. 156
检查项 7:入侵检测防范 ……………………………………………………………………………….. 157
检查项 8:恶意代码防范 ……………………………………………………………………………….. 158
检查项 9:网络设备防护 ……………………………………………………………………………….. 158
检查项 10:网络安全测试 ……………………………………………………………………………… 160
检查项 11:安全审计日志 ……………………………………………………………………………… 161
检查项 12:安全检查 …………………………………………………………………………………….. 162 - 操作系统 ………………………………………………………………………………………………………………. 163
16.1 账号密码管理 ……………………………………………………………………………………………. 163
检查项 1:管理制度 ………………………………………………………………………………………. 163
8
检查项 2:账号、密码管理 ……………………………………………………………………………. 163
检查项 3:账号、密码管理检查 …………………………………………………………………….. 165
16.2 系统访问控制 ……………………………………………………………………………………………….. 165
检查项 1:访问控制策略 ……………………………………………………………………………….. 165
检查项 2:用户登录行为管理 ………………………………………………………………………… 166
检查项 3:登录失败日志管理 ………………………………………………………………………… 166
检查项 4:最小化访问 …………………………………………………………………………………… 167
16.3 远程接入管理 ……………………………………………………………………………………………….. 168
检查项 1:远程管理制度 ……………………………………………………………………………….. 168
检查项 2:远程维护管理 ……………………………………………………………………………….. 169
检查项 3:远程维护审查 ……………………………………………………………………………….. 169
16.4 日常维护 ……………………………………………………………………………………………………….. 170
检查项 1:系统性能监控 ……………………………………………………………………………….. 170
检查项 2:补丁漏洞管理 ……………………………………………………………………………. 170
检查项 3:日常维护管理 ……………………………………………………………………………….. 171
检查项 4:系统备份和故障恢复 …………………………………………………………………….. 172
检查项 5:病毒恶意代码管理 …………………………………………………………………….. 172
检查项 6:定时进程设置管理 ………………………………………………………………………… 173
检查项 7:系统审计功能 ……………………………………………………………………………….. 173 - 数据库管理系统 ……………………………………………………………………………………………………. 175
17.1 访问控制 ……………………………………………………………………………………………………….. 175
检查项 1:身份认证 ………………………………………………………………………………………. 175
检查项 2:授权控制 ………………………………………………………………………………………. 176
检查项 3:远程访问 ………………………………………………………………………………………. 177
检查项 4:安全参数设置 ……………………………………………………………………………….. 178
17.2 日常管理 ……………………………………………………………………………………………………….. 178
检查项 1:数据安全 ………………………………………………………………………………………. 178
检查项 2:审计功能 ………………………………………………………………………………………. 179
检查项 3:性能管理 ………………………………………………………………………………………. 180
检查项 4:补丁升级 ………………………………………………………………………………………. 181
17.3 连续性管理 ……………………………………………………………………………………………………. 181
检查项 1:备份和恢复 …………………………………………………………………………………… 181
检查项 2:连续性和应急管理 ………………………………………………………………………… 182 - 第三方中间件 ……………………………………………………………………………………………………….. 184
18.1 产品管理 ……………………………………………………………………………………………………… 184
检查项 1:中间件测试 …………………………………………………………………………………… 184
检查项 2:中间件管理 …………………………………………………………………………………… 184
检查项 3:中间件与业务系统架构 …………………………………………………………………. 185
18.2 运行管理 ……………………………………………………………………………………………………… 185
检查项 1:维护流程和操作手册 …………………………………………………………………….. 185
检查项 2:中间件配置管理 ……………………………………………………………………………. 185
检查项 3:中间件日志管理的程序 …………………………………………………………………. 186
检查项 4:中间件的性能监控 ………………………………………………………………………… 186
9
检查项 5:中间件产生的事件和问题管理 ………………………………………………………. 187
检查项 6:中间件的变更 ……………………………………………………………………………….. 187
检查项 7:单点故障问题和负载均衡 ……………………………………………………………… 187
检查项 8:压力测试 ………………………………………………………………………………………. 188
第四部分 应用系统 ……………………………………………………………………………………………………. 189 - 应用系统 ………………………………………………………………………………………………………………. 190
19.1 应用系统管理 ………………………………………………………………………………………………. 190
检查项 1:业务管理办法与操作流程 ……………………………………………………………… 190
检查项 2:重要应用系统评估 ………………………………………………………………………… 190
检查项 3:应用系统版本管理 ………………………………………………………………………… 191
检查项 4:应用系统培训教育 ………………………………………………………………………… 192
19.2 应用系统操作 ………………………………………………………………………………………………. 192
检查项 1:终端用户管理 ……………………………………………………………………………….. 192
检查项 2:访问控制与授权管理 …………………………………………………………………….. 193
检查项 3:数据保密处理 ……………………………………………………………………………….. 194
检查项 4:数据完整性处理 ……………………………………………………………………………. 195
检查项 5:数据准确性处理 ……………………………………………………………………………. 195
检查项 6:日志管理机制 ……………………………………………………………………………….. 196
检查项 7:备份、恢复机制 ……………………………………………………………………………. 197
检查项 8:文档资料管理 ……………………………………………………………………………….. 198
检查项 9:内部审计的参与 ……………………………………………………………………………. 199 - 电子银行 ………………………………………………………………………………………………………………. 200
20.1 电子银行业务合规性 ……………………………………………………………………………………. 200
检查项 1:电子银行业务合规性 …………………………………………………………………….. 200
20.2 电子银行风险管理体系 ………………………………………………………………………………… 201
检查项 1:电子银行风险管理体系 …………………………………………………………………. 201
20.3 电子银行安全管理 ……………………………………………………………………………………….. 202
检查项 1:电子银行安全策略管理 …………………………………………………………………. 202
检查项 2:电子银行安全措施 ………………………………………………………………………… 203
检查项 3:电子银行安全监控 ………………………………………………………………………… 204
检查项 4:电子银行安全评估 ………………………………………………………………………… 204
20.4 电子银行可用性管理 ……………………………………………………………………………………. 205
检查项 1:电子银行基础设施 ………………………………………………………………………… 205
检查项 2:电子银行性能监测和评估 ……………………………………………………………… 205
20.5 电子银行应急管理 ……………………………………………………………………………………….. 206
检查项 1: 电子银行应急预案 ………………………………………………………………………. 206
检查项 2:电子银行应急演练 ………………………………………………………………………… 207 - 银行卡系统 …………………………………………………………………………………………………………… 208
21.1 银行卡系统管理 …………………………………………………………………………………………… 208
检查项 1:银行卡系统容量的合理规划 ………………………………………………………….. 208
检查项 2:银行卡系统物理设备风险和故障处理 ……………………………………………. 209
检查项 3:银行卡交易监控 ……………………………………………………………………………. 209
检查项 4:账户密码和交易数据的存储和传输 ……………………………………………….. 210
10
检查项 5:银行卡系统应急预案 …………………………………………………………………….. 211
21.2 终端设备 ……………………………………………………………………………………………………… 212
检查项 1:自助银行机具和安装环境的物理安全 ……………………………………………. 212
检查项 2:自助银行机具的通信安全 ……………………………………………………………… 212
检查项 3:自助银行机具的安全装置 ……………………………………………………………… 213
检查项 4:自助银行业务操作流程(机具软件) ……………………………………………. 213
检查项 5:自助银行机具的巡查维护 ……………………………………………………………… 214
检查项 6:POS 机 …………………………………………………………………………………………… 214
21.3 自助银行监控 ………………………………………………………………………………………………. 215
检查项 1:自助银行设备日常运行的监控情况 ……………………………………………….. 215
检查项 2:监控中心和监控设备 …………………………………………………………………….. 215
检查项 3:自助银行监控发现问题的处置情况 ……………………………………………….. 216
检查项 4:自助银行设施安全评估(信息科技方面) …………………………………….. 216 - 第三方存管系统 ……………………………………………………………………………………………………. 217
22.1 管理架构和职责 …………………………………………………………………………………………… 217
检查项 1:管理架构与岗位职责分工 ……………………………………………………………… 217
22.2 系统功能 ……………………………………………………………………………………………………… 217
检查项 1:系统功能 ………………………………………………………………………………………. 217
22.3 系统一般安全与账户处理 …………………………………………………………………………….. 218
检查项 1:账户冲正处理 ……………………………………………………………………………….. 218
检查项 2:网络访问控制与病毒防范 ……………………………………………………………… 218
22.4 数据交换 ……………………………………………………………………………………………………… 219
检查项 1:数据交换安全性 ……………………………………………………………………………. 219
22.5 运行维护 ……………………………………………………………………………………………………… 220
检查项 1:运行维护安全性 ……………………………………………………………………………. 220
22.6 系统备份 ……………………………………………………………………………………………………… 220
检查项 1:系统备份安全性 ……………………………………………………………………………. 220
22.7 应急恢复与事故处理 ……………………………………………………………………………………. 221
检查项 1:应急恢复与事故处理流程 ……………………………………………………………… 221
22.8 系统测试 ……………………………………………………………………………………………………… 221
检查项 1:系统测试 ………………………………………………………………………………………. 221
22.9 临时派出柜台 ………………………………………………………………………………………………. 222
检查项 1:系统派出柜台安全性 …………………………………………………………………….. 222
附录…………………………………………………………………………………………………………………………….. 223 - 常用检查方法 ……………………………………………………………………………………………………….. 224
23.1 问卷与函证 ………………………………………………………………………………………………….. 224
23.2 访谈 …………………………………………………………………………………………………………….. 225
23.3 查阅 …………………………………………………………………………………………………………….. 226
23.4 观察 …………………………………………………………………………………………………………….. 227
23.5 测试 …………………………………………………………………………………………………………….. 227
26.6 分析性复核 ………………………………………………………………………………………………….. 230
26.7 评审 …………………………………………………………………………………………………………….. 231 - 主要网络设备常用操作 …………………………………………………………………………………………. 232
11
24.1 Cisco 设备常用操作 …………………………………………………………………………………….. 232
交换机 …………………………………………………………………………………………………………… 232
路由器 …………………………………………………………………………………………………………… 233
防火墙 …………………………………………………………………………………………………………… 234
24.2 H3C 设备常用操作 ………………………………………………………………………………………… 234
交换机 …………………………………………………………………………………………………………… 234
路由器 …………………………………………………………………………………………………………… 236
防火墙 …………………………………………………………………………………………………………… 237 - 主要操作系统常用操作 …………………………………………………………………………………………. 238
25.1 AIX 系统检查常用操作 …………………………………………………………………………………. 238
25.2 HP/UX 系统检查常用操作 ……………………………………………………………………………… 246
25.3 Solaris 系统检查常用操作 ………………………………………………………………………….. 250
25.4 Windows 系统检查常用操作 ………………………………………………………………………….. 251 - 主要数据库管理系统常用操作 ………………………………………………………………………………. 256
26.1 DB2 系统检查常用操作 ………………………………………………………………………………… 256
26.2 Sybase 系统检查常用操作 …………………………………………………………………………… 257
26.3 Oracle 系统检查常用操作 …………………………………………………………………………… 257
26.4 Informix 系统检查常用操作 ……………………………………………………………………….. 259
26.5 SQL SERVER 系统检查常用操作 …………………………………………………………………….. 261