发布文号: 银办发[2001]333号
中国人民银行各分行、营业管理部,总行各司(局)、直属企事业单位:
为了维护人民银行计算机信息系统合规、安全、有效运行,加强内审部门对计算机信息系统的监督检查工作,总行制订了《中国人民银行计算机信息系统内审监督检查工作暂行规定》。现印发给你们,请遵照执行。
二00一年十二月十二日
附件 中国人民银行计算机信息系统内审监督检查工作暂行规定
第一条 为了加强和规范中国人民银行计算机信息系统内审监督检查工作,促进人民银行计算机信息系统的合规性、安全性、可靠性和有效性,根据《中国人民银行内审工作制度》及其他有关规定,制定本规定。
第二条 中国人民银行各级行内审部门依据本规定,对本单位计算机信息系统的开发建设、运行环境、使用和维护、内部控制等情况,进行监督、检查并作出评价,提出意见和建议。
本规定所称计算机信息系统,包括人民银行各级行以及有关直属企事业单位开发和使用的计算机网络系统、支付清算系统、业务应用系统、管理信息系统和办公自动化系统。
第三条 中国人民银行计算机信息系统内审监督检查工作主要由各级行内审部门按照“监督同级”的原则组织实施。根据工作需要,上级行内审部门可以对下级行计算机信息系统进行监督检查,也可在辖区内统一组织天展有关的计算机信息系统监督检查工作。
第四条 中国人民银行各级内审部门应当根据开展计算机信息系统监督检查工作的需要,配备必要的具有计算机专业知识和技能的人员,并通过培训不断提高从事计算机信息系统监督检查工作的能力和水平。
根据工作需要,内审部门在符合安全保密要求的条件下,可以聘请必要的专业人员参加有关的计算机信息系统监督检查工作。
第五条 内审人员开展计算机信息系统监督检查工作时,应当严格遵守计算机信息系统安全管理的法律、法规和规章。
第六条 中国人民银行计算机信息系统管理和应用部门应当接受内审部门的监督检查,积极配合内审部门和内审人员开展有关计算机信息系统监督检查工作。
第七条 计算机信息系统管理和应用部门制定有关计算机信息系统管理制度、办法、操作规程等,应当抄送内审部门。
第八条 计算机信息系统管理和应用部门召开与计算机信息系统管理和应用有关的重要工作会议,应当通知内审部门参加。
第九条 计算机信息系统管理和应用部门开发计算机信息系统时,应当根据系统重要性程度和所处理业务的性质,保留充分的审计线索,必要时应当设置相应的内审监督检查接口,并就保留审计线索和内审监督检查接口等问题听取内审部门的意见。
第十条 计算机信息系统管理和应用部门应当及时向内审部门通报下列情况:(一)开发建设新的计算机信息系统;(二)对原有计算机信息系统进行重大变更及废止;(三)系统运行发生重大事故;(四)计算机犯罪情况;(五)与系统管理和应用有关的其他重要事项。
第十一条 内审部门实施计算机信息系统监督检查工作时,被检查部门应当按照内审部门的要求,如实提供下列资料:(一)系统开发、运行、维护有关文件和技术文档资料;(二)系统管理和控制制度;(三)应用软件和数据存储介质;(四)系统运行日志;(五)有关的报表、账簿、凭证;(六)其他有关资料。
第十二条 内审部门对计算机信息系统的开发建设情况主要监督检查以下内容:(一)发展整体规划以及立项审查、审批情况;(二)系统目标和开发计划情况;(三)系统设计和可行性分析情况;(四)系统设备采购管理情况;(五)系统测试、验收、交付使用情况;(六)系统开发建设有关文档和技术资料管理情况;(七)其他应监督检查事项。
第十三条 内审部门对计算机信息系统的运行环境情况主要监督检查以下内容:(一)机房或运行场地建设情况;(二)机房或运行场地管理规章制度及执行情况;(三)机房或运行场地防灾害情况;(四)机房或运行场地供电、空调、监控系统情况;(五)系统与互联网及其他网络的隔离措施和访问控制情况;(六)系统的防侵入、防破坏、防病毒以及网络传输情况;(七)其他应监督检查事项。
第十四条 内审部门对计算机信息系统的使用和维护情况主要监督检查以下内容:(一)使用和维护规章制度的建立健全情况;(二)操作人员的岗位分工和授权管理情况;(三)操作人员口令、密码的管理和使用情况;(四)对重要岗位操作人员的审查、考核、教育、培训情况和离岗、离职审查管理情况;(五)硬件、软件、网络等设施的维护管理情况;(六)硬件、软件、网络等设施的变更管理情况;(七)系统废止管理情况;(八)其他应监督检查事项。
第十五条 内审部门对计算机信息系统的内部控制情况主要监督检查以下内容:(一)系统关键设备安全控制情况;(二)关键岗位制约分离情况;(三)密钥、密码控制情况;(四)程序、数据备份及灾难防范和恢复计划情况;(五)系统运行记录和保留审计线索情况;(六)数据输入控制情况;(七)数据处理过程和数据文件控制情况;(八)数据输出控制情况;(九)其他应监督检查事项。
第十六条 内审部门开展计算机信息系统监督检查工作时,可以通过系统备用机或另行装机形成模拟系统,利用计算机辅助审计技术或其他必要的手段,对系统进行符合性测试和实质性测试。
第十七条 内审部门对计算机信息系统实施监督检查工作后,应当对系统的整体功能、风险状况和内部控制机制作出评价;对监督检查中发现的违规问题和风险隐患,提出纠正和整改意见;对造成重大责任事故和经济损失的单位主要负责人和直接责任人,提出处理建议。
第十八条 内审部门可以根据本规定,制定计算机信息系统监督检查的操作规程。
第十九条 本规定由中国人民银行总行负责解释。
第二十条 本规定自发布之日起施行。