计算机系统的内部控制

三、计算机系统的内部控制

●《商业银行内部控制指引》

◣商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。（第117条）

◣商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。（第118条）

◣商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境应当与生产环境严格分离。技术部门与业务部门之间应当进行沟通协调，确保系统的整体安全。（第119条）

◣商业银行购买计算机软、硬件设备，应当对供应商的资格条件进行严格审查，在使用前进行试用性安全测试，明确产品供应商对产品在使用期间应当承担的责任，确保产品的正常使用和有效维护。（第120条）

◣商业银行计算机机房建设应当符合国家的有关标准，出入计算机机房应当有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全。计算机机房和营业网点应当有完备的计算机监控系统，确保计算机终端的正常使用。（第121条）

◣商业银行应当建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。（第122条）

◣商业银行应当对计算机信息系统实施有效的用户管理和密码（口令）管理，对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。员工之间严禁转让计算机信息系统的用户名或权限卡，员工离岗后应当及时更换密码和密码信息。（第123条）

◣商业银行应当对计算机信息系统的接入建立适当的授权程序，并对接入后的操作进行安全控制。输入计算机信息系统的数据应当核对无误，数据的修改应当经过批准并建立日志。（第124条）

◣商业银行应当及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保计算机信息系统的安全。（第125条）

◣商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。（第126条）

◣商业银行应当严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。（第127条）

◣商业银行运用计算机处理业务，应当具有可复核性和可追溯性，并为有关的审计或检查留有接口。（第128条）

◣商业银行的电子银行服务应当具备客户身份识别、安全认证等功能，防止发生泄密事件，确保交易安全。（第129条）

◣商业银行应当尽可能利用计算机信息系统的系统设定，防范各种操作风险和违法犯罪行为。（第130条）

◣商业银行应当建立计算机安全应急系统，制定详细的应急方案，并定期进行修订和演练。数据备份应当做到异地存放，条件允许时，应当建立异地计算机灾难备份中心。（第131条）

●《商业银行内部控制评价试行办法》

计算机系统环境下的控制。商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。（第21条）