面试指南之保监会

面试指南之保监会（精选3篇）

1.面试指南之保监会 篇一

天津中公教育·tj.offcn

2018国考面试提前学：专业专项之证监会篇

2018国考面试备考已经提上日程，中公教育专家根据多年的面试辅导经验，针对国考面试专业专项内容为广大考生进行分析与指导，望助大家一臂之力。

知 证监会面试考情

2017国考笔试已经结束，入围面试的考生相当于已经打赢“第一役”，而对于即将打响的面试之战，考生们则要秣马厉兵了。为帮助考生有针对性地备考，力挫群雄，中公教育专家将对国考证监会面试的相关情况作出介绍。

一、面试基本情况(一)招录人数

2017年证监会招录职位91个，占总招录职位的0.58%，招录人数164人，占总招录人数的0.6%，与去年的招录职位和招录人数相比降幅分别为16.48%，3.04%。

(二)面试形式

根据2012年至2016年的真题情况来看，证监会系统的面试形式均为结构化面试，不涉及无领导的面试形式。2014-2016年面试时间均为20分钟。

值得注意的是：2013年面试时间为25分钟，其中2013年国际合作部面试为3道题，15分钟，结束后会有追问，总计时间不超过25分钟。因此，预计2017年证监会的面试形式为结构化面试的概率较大。

二、面试特点综述(一)真题题本结构

13年：普通结构化1道+专业题各2道

14年：普通结构化2道+专业题各2道(会计两个2选1)

天津中公教育

天津中公教育·tj.offcn

15年：普通结构化2道+专业题各2道(会计两个2选1，财金、法律、计算机3选2)16年：普通结构化2道+专业题各2道(均为3选2)2013年—2016年，专业题在证监会财金综合类、会计类、法律类、计算机类四类面试中一直占有比较大的比重，数量每年均为2道。可见，证监会各类岗位面试对于专业能力较为看重。

2016年证监会面试共4道题，2道必答题，2道选答题(4道专业题中选2道)，针对个别考生有随机的追问，并计入答题时间。2013年个别地区考官也就答过的专业题进行了追问。2012年为材料题，主要考查材料中涉及的专业知识和考生的知识背景与思维拓展的能力。

值得特殊注意的是：2016年会计类的考生专业题目由原来的4道专业题(2道会计专业、2道审计专业)中各选1道题目，共计2道，转变为从3道会计专业题目中任选2道。取消在专业题中考查审计内容。

(二)真题特点 1.普通题目特点(1)四类考生相同。

(2)侧重考察：综合分析、岗位匹配性、应变能力。(3)考察重点： 统考题目主要考查：

①岗位匹配——证监会工作特点，如：专业性、纪律性和工作稳定性等。②综合分析能力和岗位匹配相结合，如：机关工作以及年轻人职场相关的现象、哲理。③结合社会热点考查考生运用专业知识解决问题的能力和思维，如：经济热点现象，如电子商务。

2、专业题目特点

天津中公教育

天津中公教育·tj.offcn

(1)各类岗位专业题的考查内容不同，但设问方式存在一定的相似性，大致有简答和论述两种形式。简答围绕“是什么”“有哪些”提问，有比较准确的答案，不需要考生过多发挥自己的见解。论述围绕“谈看法”“谈理解”“怎么做”提问，需要考生有一定的发挥，或结合“热点”或结合“工作实际”。

(2)考查内容主要围绕“基础知识”“工作实务”“热点”三个部分，基础知识重点考查各岗位所需的专业基础知识，多来源于考生本身的知识积累;工作实务重点考查工作业务操作相关知识，需要将专业知识与具体工作相结合;热点重点考查普遍关注的与证监会职能相关的特点，主要体现在财金岗和法律岗。

以上是中公教育专家结合多年公考培训经验为考生总结的国考证监会面试考情分析，希望考生能将其转化为己有，在备考中找准方向，在最后的面试考场上勇得桂冠。

看 证监会面试真题

一、2017国家公务员考试证监会面试真题：（上海证监会2.25）考生回忆版

1、请你谈谈对于邻避效应的看法(居民或当地单位因担心建设项目(如垃圾场、核电厂、殡仪馆等邻避设施)对身体健康、环境质量和资产价值等带来诸多负面影响，从而激发人们的嫌恶情结，滋生“不要建在我家后院”的心理，及采取的强烈和坚决的、有时高度情绪化的集体反对甚至抗争行为。)

2、你是A公司项目总监，代表A公司与B公司谈判，期间B公司老总很看好你，想挖你去B公司，你怎么办? 专业题(3选2)

3、期货与期权的各自特点

4、谈一谈互联网金融与非法集资的认识

5、美国加息对于中国的影响

二、2016国家公务员考试证监会面试真题：（会计岗2.27）

1、近年来，电子商务发展迅速，有人说电子商务冲击了传统的商业，天津中公教育

天津中公教育·tj.offcn

减少了国家税收，以及就业机会，你怎么看?

2、有人说，在机关工作要听领导的话，只有听领导的话，才能工作好，有人说，在机关要和同事搞好关系，你怎么看? 专业题：三选二

1、材料讲的是，钢铁公司并购互联网公司。

(1)上市公司并购的动机有哪些?横向并购，纵向并购，混合并购中，材料属于什么类型的并购?(2)企业价值评估方法有哪几种?

2、材料讲的是某公司因诉讼，被被告方索赔130万，年末法院判决没有下来，律师鼓励赔偿最可能金融为120万。

(1)解释或有事项的含义，有哪几种分类，或有负债在什么条件下，在财报中确认计量?(2)根据材料中的情况，该事项是不是需要在报表中计量?(3)会计政策变更在财务报表中如何处理? 注明：上述所有题目为学员回忆整理所得，仅供参考!文/天津中公教育（tjoffcn）

天津中公教育

2.银监会信息系统现场检查指南 篇二

为了规范和指导信息系统现场检查工作，提高信息系统现场检查的水平，确保信息系统 现场检查的质量，特制定本指南。

一、检查目的

（一）了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况，以及从业人员有关业务、技术和安全培训情况，评价其信息科技管理组织水平；

（二）了解和掌握银行业金融机构信息安全保障体系和内部控制规程，信息系统风险管 理岗位责任制度和监督落实情况，评价其计算机安全管理水平；

（三）了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况，关 注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节，评价其管理水平；

（四）了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况，促进银行业金融机构完善内控环境，控制和化解操作风险；

（五）了解和掌握银行业．金融机构信息系统在业务持续性计划方面制度建设和执行情 况，促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。

二、检查要点

（一）检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善 性和有效性，评估信息科技规划和管理的水平，了解信息科技人才管理机制，分析业务、技 术和安全培训工作的及时性和有效性，确保合理及时地防范和控制信息系统组织、规划风险。

（二）检查信息安全管理的流程情况，分析相关系统用户管理制度、密码管理制度及网 络安全制度，测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性，评估被检查 银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。

（三）检查分析软件及项目开发管理制度，了解信息科技部门档案管理流程，审阅外包 项目涉及的软件质量验收标准，检查银行业金融机构信息系统风险管理效率及水平，评估系 统开发的流程、质量及安全的管理情况。

（四）检查信息系统运行和操作管理情况，检查系统监控层面的处理流程及各类系统参 数、生产环境变更的受控方式，评估系统运行和操作管理的风险状况，促进运行操作管理的 科学化、制度化和规范化，确保信息系统安全可靠的运行。

(五)检查业务持续性规划的制定情况，分析其是否明确定义了管理层关于维护信息系统 可用性及更新相关业务持续性计划的责任和义务，并制定了合适的负责人员。评估建设及实 施关于灾难恢复的组织机构、业务流程和应对措施的合理性。

三、检查内容

（一）信息科技公司治理和组织结构 1．制度建设

（1）检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则，分析制 度制定、审批、修订和发布等流程的规范性。

（2）检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查：各项制 度规章是否正式发文，内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和 监控等范畴，是否明确相关人员的职责权限并实行最小授权的制约机制，是否建立制订后评 价程序或机制，现有的制度是否适应组织结构、业务管理、信息安全的需要。

（3）检查实施知识产权保护情况。重点检查：正版软件版本管理情况；国产自有知识 产权的软硬件的使用情况；信息化安全等级保护工作情况；自主知识产权信息化成果保护情 况。

2．组织结构

（1）检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。重点 检查：

①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责； 负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门 的建设情况；信息科技风险管理职责的归属以及管理情况；公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。

②该银行组织结构设计的战略定位，组织结构的合理性是否符合风险管理的需要；董事 会和高管层面是否重视科技管理和信息科技规划工作；了解董事会对信息科技所担负的职 责，管理层如何发挥对信息科技的监督和指导作用；辨析组织的灵活性以及角色与职责的清 晰程度，了解内部平衡监督和放权的关系；分析对安全、质量和内部控制等的组织定位。

(2）检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。重点检查：信 息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容；评估近期、中期和远期关于信息科技的重大策略和目标的合理性。着重从以下几个方面了解：

①银行如何利用信息科技技术更好地为企业创新服务，在进行信息科技治理时如何贯彻 “以组织战略目标为中心’，的思想，确保信息科技资源与业务匹配；银行的信息科技投资 是否与战略目标相一致；是否合理配臵信息科技资源以实现面向服务的架构，核心业务系统 是否能满足银行变化的需求；业务流程如何整合信息科技流程，在关键战略决策中信息科技 的融入程度，确保无信息孤岛现象。

②信息科技规划中如何更好的控制风险，包括控制业务风险和控制由信息科技使用带来 的风险。是否在信息科技建设规划每个环节考虑到风险因素，满足银行最低风险控制需要； 是否考虑到风险管理系统的建设，特别是满足监管当局的监管需求；能否实现自动从业务或 风险系统中采集监管数据，以提高银行风险监管能力。

③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平，比如可以按 信息资产规模分为落后型、发展型、追随型和领先型。

（3）检查高管层对本机构信息系统风险状况的控制程度。重点检查：是否定期组织内 部评估、审计、报告本机构信息系统风险状况；针对存在的风险状况是否采取相应的风险控 制措施，以及各项措施的卜具体内容环节、主要实施部门和评估结果；是否建立了对整改工 作的监督机制。

（4）检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。重点检查：人员 素质情况，包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构；人 员在系统内的占比情况；内审部门是否有既懂科技又懂业务的审计人员，风险管理部门是否 有专职IT 人员和已获得上岗证书的信息安全管理员；对信息科技人员的行为规范管理情况。（5)检查科技队伍培训、激励等管理机制的建设执行情况。重点检查：培训规划和历史 记录，包括职业培训、岗前培训情况，相关职责所需专业知识和技能的实际符合情况；分析 信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透 明。

（二）信息安全管理 1.信息安全建设基本情况

（1)检查内部科技风险管理机构对信息系统面临的风险开展评估的情况。重点检查：通 过调阅该机构安全领导小组成立（或调整）的文件，其他与计算机安全相关的会议记录或文 件，了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门，是否充分履行 有关计算机安全管理和监督检查职责。

（2）检查服务承包商和提供商与相关法律、法规等的符合程度。重点检查：通过调阅

该机构所有承包商和服务提供商的详细资料和合同文本，确认所有承包商和服务提供商是否 符合法律法规要求，合同文本是否符合法律要求（如数据保护法规），是否明确各自的安全 责任，是否有确保业务资产的完整性和保密性的条款等。

（3)检查信息安全处理的原则、目标和要求的制度建设的完备性。重点检查：调阅与计 算机系统运行、安全保障和文档管理等相关规章制度，其范围除自行制定的制度还包括转发 的上级文件，审计是否建立必要的计算机安全制度，审核各类制度的科学性、严密性和可操 作性。

2.逻辑访问风险控制情况

（1)检查访问控制业务要求、策略要求和访问规则的制订情况。重点检查：通过阅读源 程序或第三方业务系统安全审计报告，确定该机构的业务系统是否制订访问控制的业务要 求、策略要求和访问规则，并确定其安全性、完备性。

(2)检查访问用户的注册管理制度。重点检查：是否制定了正式的用户注册和取消注册 程序，规范对所有多用户信息系统与服务的访问授权。是否使用唯一用户ID 使用户对其操 作负责（组ID 只有适合所进行的工作，才允许使用），用户离开组织时是否立即取消其用 户ID，是否定期检查并取消多余的用户ID 和帐户。

（3)检查访问用户的权限管理和权限检查流程。重点检查：是否建立了正式的用户的权 限管理和权限检查程序，系统所有者对信息系统或服务授予的权限是否合适业务的开展，所 授予的访问权限级别是否与组织的安全策略相一致，例如它会不会影响责任划分；用户因工 作变更或离开组织时是否立即取消其访问权限；用户权限设定是否采用双人复核；是否对用 户访问权限分配进行定期检查确保没有对用户授予非法权限。

（4）检查访问用户的口令管理。重点检查：是否采用了正式的管理程序来控制口令的 分配，是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令，用户忘记 口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令，是否还采用了其他的 用户身份识别和验证技术（如生物统计学中的指纹鉴定；建立新的用户，是否建立了申请审 批程序，并采用双人控制。

（5）检查访问用户的责任管理。重点检查：所有用户是否做到避免在纸上记录口令，只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令，是否选用高质量的口令，是 否定期更改口令。

3.网络安全控制情况

（1）检查网络管理和网络服务的安全策略制定情况。重点检查：通过调阅网络建设文 档或第三方网络安全审计报告，确定该机构是否制定网络和网络服务的安全策略，并确定此 策略是否业务访问控制策略相一致。

（2）检查实施网络控制的安全手段。重点检查：通过调阅网络建设文档或第三方网络 安全审计报告，确定该机构是否制定网络控制的安全途径，并确定实施控制的路径的要求是 否是业务访问控制策略所必要的，是否通过专线或专门电话号码联网，是否自动将端口连接 到指定应用系统或安全网关，是否限制个人用户的菜单和子菜单选项，是否防止无限制的网 络漫游，是否强制外部网络用户使用指定应用系统和／或安全网关，是否为组织内用户组设 臵不同的逻辑域（如虚拟专用网）来限制网络访问。

（3)检查外部连接的用户身份验证方法。重点检查：是否通过使用加密技术、硬件标记 或问答协议对远程用户访问进行身份验证，对于专线用户是否安装了网络用户地址检查工具 来对连接源提供安全保障，对拨号用户是否使用反向拨叫程序和控制措施（如使用反向拨叫 调制解调器）可以防止与组织信息处理设施的非法连接和有害连接。

（4)检查远程诊断端口的保护情况。重点检查：是否使用适当的安全机制（如密钥锁）对诊断端口进行保护，保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行

适当的安排后才能访问。

（5）检查网络的划分和路由控制情况。重点检查：是否在网络内采用一些控制措施把 信息服务组、用户组和信息系统组分割成不同的逻辑网络域（如组织的内部网络域和外部网 络域），每个域都使用一个明确的安全界限来加以保护，是否在两个要互连的网络之间安装 一个安全网关可以实现这样的一个安全界限，从而控制两个域之间的访问和信息流动，是否 对该网关配臵，访问控制策略来阻止非法访问。

4．环境风险情况

（1）检查对保密设备和计算机机房进行安全保护的情况。重点检查：是否为保密设备 和计算机机房划分独立安全区域，安全保护区的没臵是否合理，是否建立全方位的安全防护，以防止有人未经授权进入安全区。

（2）检查安全区出入的控制措施和制度制定执行情况。重点检查：通过查阅制度和各 类文字或电子台帐，确定该机构是否有完备的安全区出入控制，是否经常审查并更新有关安 全区域访问权限的规定，是否将安全区域的来访者的身份、进入和离开安全区域的日期和时 间记录在案，是否有严格限定，经过授权的人才能访问敏感信息，是否有专人对出入控制措 施和制度的落实情况进行定期、不定期的检查。

（3)检查安全区内设备使用和维护管理情况。重点检查：是否按专业标准安装入侵检测 系统对无人区域进行24 小时的报警监视，由该机构自己管理的信息处理设备是否与由第三 方管理的信息处理设备分开，是否将危险或易燃材料存储在安全的地方，与安全区保持安全 距离，应急设备和备份介质的存储位臵与主安全区域是否保持一个安全距离，以防止主安全 区域发生的灾难事件殃及这些设备。

（4）检查安全区的防雷、电和火等安全措施实施情况。重点检查：通过调阅相关检测 报告维护记录，确定安全区是非通过配臵不间断电源设备、采用双路供电系统、配备发电机 等手段保障不间断性供电；其采用的各种方式是否能满足业务系统不间断供电需求，是否按 相关法规要求配备消防系统并保证其正常运行，是否安装必要的防雷设施并按要求做好接地 系统。

5.操作系统风险情况

（I）检查对登录用户和终端设备的访问控制策略。重点检查：核心业务系统用机的操 作系统是否能验证每个合法用户的终端或位臵，是否记录成功和失败的系统访问，是否提供 适当的身份验证方法，是否根据情况限制用户连接时间。

（2）检查用户身份识别和验证方法。重点检查：所有操作系统用户是否都有一个个人 专用的唯一标识符（用户ID),以便操作能够追溯到具体责任人，如业务系统必须可以为一 个用户组或一项具体工作使用共享用户ID，是否对此类进行严格的审批制度，并采用了相 应的控制措施，是否采用了先进安全的身份验证程序并建立相关安全机制以防止非法登录。(3）检查系统的漏洞检测和补丁安装的情况。重点检查：通过相应的漏洞检测工具，确 定该机构是否操作系统的安全是否进行加固，是否安装系统补丁与更新程序，是否关闭不必 要的服务和端口，是否安装防病毒软件，文件共享的访问控制权限设臵是否适当，是否定期 为操作系统进行安全漏洞检测，以分析系统的安全性，并采取补救措施。

(4)检查事件的日志记录和评审分析情况。重点检查：是否启用操作系统的审计功能和 安全策略，是否按要求存事件的日志记录，是否确定专人定期进行安全评审分析，以查找非 授权的应用程序运行、非授权的共享、可疑程序和可疑进程，计算机时钟设臵是否正确以保 证审计日志的准确性。

6.应用系统的风险情况

（1)检查输入和输出数据的验证情况。重点检查：是否对应用系统的数据输入进行验证，应用系统的标准数据调整及帐务数据修改是否规范，是否定期审查关键字段或数据文件的内

容，确认其有效性和完整性，是否检查硬拷贝输入文档是否有对输入数据进行非法变更（所 有对输入文档的变更应经过授权），是否明确规定参与数据输入过程的所有人员的责任。（2）检查存储数据的加密措施实施情况。重点检查：是否对核心业务系统采取了相应 的加密措施，其加密措施是否合理，加密密钥管理是否严格，中间业务和延伸业务的传输数 据是否加密，导入是否配有安全审计，是否对数据介质进行安全保护，对存有重要数据的故 障设备外修时是否有本单位人员在场监督，设备报废是否清除相关业务信息，对已过安全保 存期限的介质是否及时更新复制，废弃的数据介质是否由专人及时销毁。

（3）检查测试数据的安全措施实施情况。重点检查：通过调阅系统测试文档，确定测 试数据是否避免使用包含个人信息的操作数据库，如果使用这类信息，那么是否在使用前应 该做非个性化处理，在操作数据用于测试目的时，是否每次使用不同的授权，将操作信息复 制到测试应用系统，是否在测试完成后立即将操作信息从测试应用系统中清除，是否记录操 作信息的复制和使用情况，以便提供审计追踪。

（4）检查源代码的访问控制和审查情况。重点检查：是否将程序源库保存在生产系统 上，为每一个应用程序指定一个库保管员，信息科技支持人员是否可以不受限制地访问程序 源库，正在开发或维护的程序是否保留在操作程序源库中，更新程序源库和向程序员提供程 序源是否通过指定的库保管员来执行，并且获得信息科技支持管理员的授权，程序清单是否 保存在安全的环境中，是否实时维护访问程序程序库的审计日志记录，是否对旧版本的源程 序进行归档，明确指明使用创门操作的准确日期和时间及所有支持软件、作业控制、数据定 义和过程，维护和复制程序源库是否受严格的变更控制程序的约束。

（三）信息科技项目开发和变更管理 1.项目开发管理

（1)检查被检查机构在信息科技项目开发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节的全周期管理机制。重点检查：制度建设是否对项目的审批流程、参与部 门的职责划分、时间进度、财务预算规划、质量检测、风险评估等内容进行严格规定；外部 技术资源申请是否有统一负责机构，如何授权职能处室进行归口管理。

（2）检查信息系统项目开发资料完备性。重点检查：系统项目建设是否成立项目工作 小组及其成员结构；系统建设项目需求说明书和项目功能说明书是否全面、系统；系统建设 完成后是否编写了操作说明书，是否具有项目验收报告；查阅被检查机构对新信息系统投产 后，所撰写后续评价，根据后续评价，检查有没有根据评价及时对系统功能进行调整和优化。

2.项目变更管理

（1）检查项目变更、系统升级和变更等环节的管理情况。重点检查：信息系统变更时，是否制订严密的变更处理流程，明确变更控制中各岗位的职责，遵循流程实施控制和管理； 变更前有否明确应急和回退方案；变更方案件、变更需求、软件版本变更后的初始版本和所 有历史版本是否妥善保管。

（2）检查系统变更方案、变更内容核实清单等相关文档的正确性、安全性和合法性。重点检查：对被检查机构系统升级和变更记录，变更后软件的初始版本和所有历史版本是否 妥善保管；对保留所有历史的变更内容核实清单进行核实；是否设定了独立的版本管理人员 复核版本的提交工作。

3.项目资料文档管理体系

重点检查：项目资料是否完整详尽，有无相应的档案资料的管理办法并执行；是否对项 目资料文档的管理情况进行定期审核，包括资料调阅、资料备份等；是否制定了项目资料文 档格式的标准化规范并执行。

4.系统设计开发外包缺陷管理

（1）检查业务外包管理制度、业务外包评估制度的制定执行情况。重点检查：对有关

外包风险的防范方法及措施，是否建立外包业务的应急机制，有无外包业务的应急计划和应 急预案。

（2)检查针对有关业务外包制定相应的管理和风险防范措施的情况。重点检查：是否建 立对承包方的评估机制；是否规定了代码编写规范和编码质量检查方案，从技术和编码两方 面对编码进行全面检查。

（3)检查被检查机构外包业务风险管理措施。重点检查：是否建立针对外包风险的应急 计划和预案，以确保在意外情况下能够实现承包方的顺利变更，保证外包服务不间断；是否 组织业务人员进行外包开发系统的培训以保障外包开发技术的移交工作。

（四）信息系统运行和操作管理 l．信息系统运行体系建设情况（1）运行体系的组织架构

检查被检查单位信息系统运行管理的组织架构和日常运作情况，对组织体系的科学性、合理性和运作的有效性作出评体。重点检查：架构是否合理、组织是否严密、职责是否明确、监督是否有力、管理是否有效，反应是否迅速、是否具有相互制约的机制等等。（2)运行体系的规划与制度

检查现有和计划投产的信息系统的运行规划的完备性。重点检查：生产故障和安全事件 的管理、职能部门及其职责、管理对象、事件报告、事件解决、事件反馈、汇总、分析、评 价和报告等。检查信息系统运行管理制度的完善性。重点检查：事件管理办法、问题管理办 法、变更管理办法、操作管理办法、数据管理办法、配臵管理办法、安全管理办法、机房管 理办法等。这些制度可以是自行．制定的，也可以转发上级的。重点审计制度的完整性、严 密性和可操作性，考察各项制度的贯彻、执行和落实情况。

（3)检查核心业务系统的持续性或阶段性监测情况。重点检查：建立核心业务系统持续 性或阶段性的监测、监控体系和系统性能的评估机制。

2.操作环境控制和预防性维护情况

（1)检查信息科技资产登记情况。重点检查：检查信息科技资产台帐是否包含完整和真 实的计算机资源配臵的静态基本信息和动态履历信息，是否做到帐帐相符、帐实相符，配臵 管理部门是否定期进行辖内计算机资源配臵台帐的清查核对。

静态基本信息包括：档案卡序号、计算机资源编码、型号、性能、具体配臵、、满配能 力（如硬件的满配能力、可扩充性，软件的支持情况，配臵参数的极限等）、用途、使用部 门和使用责任人、维护责任部门和生产商、经销商、服务商等；

动态履历信息包括：计算机资源配臵在生命周期各阶段经历过的各种管理流程信息。其 中计划制订、设备采购、合同管理、库房管理、安装验收、申领使用以及后面的调拨迁移、闲臵报废以及计算机资源配臵的维护履历、配臵履历、包含操作时间、操作部门、操作用户、具体操作及变更情况等信息。

（2）检查信息系统性能和容量的管理情况。重点检查：是否建立信息系统软、硬件性 能、处理能力以及存储容量等监测和跟踪措施，保证系统性能和容量有足够的安全冗余，防 止应处理负荷过重或存储容量不足影响信息系统安全、可靠运行；在给定的时间段内是否出 现过因上述原因造成重要业务系统停顿的情况以及相应的损失情况并完整记录。

(3）检查各类连接的物理位臵和交互关系的系统拓扑图。重点检查：连接信息系统所有 电子设备物理位臵和交互关系的系统拓扑图与系统实际配臵信息、系统结构图与物理布局的 一致性。

（4）检查应急方案制定情况，重点检查：重要信息系统应急方案，评估应急方案的科 学性、可操作性和实用性；模拟演练的记录，重点检查发现的问题和解决情况。

（5）检查运行、操作环境建设情况。重点检查：计算机房和网络中心的建设、配臵是

否符合有关国家标准，是否设立了独立的安全保护区，是否建立进入安全区的授权、登记制 度。安全防范和控制措施是否到位；重要和涉密设备是否臵于计算机房内，并具有严格的安 全防范和风险控制机制。

3.生产变更管理情况

（1)检查准则和规章制度制定执行情况。重点检查：通过查阅有关文件和相应的制度，了解生产变更的管理情况，着重了解是否明确了变更的职能部门以及相应的职责；是否制定 了相关的制度；制度的内容是否含盖了：变更申请、变更受理、变更方案、变更审批、变更 实施时间、变更实施、变更反馈和汇总、紧急变更、变更指标及评价、总结报告等关键内容 等等。

（2）检查审批授权机制和工作流程规范性。重点检查： ①生产变更的审批授权制度。生产变更是否按规定时间、要求报送审批部门审批或报备； 变更的实施是否得到授权；变更实施日期和时间是否符合制度规定等；对业务有可能造成影 响的变更，是否在变更实施前通知相关业务部门。

②工作流程。变更的工作流程是否合理、可行：是否贯穿变更申请一变更受理一变更方 案一变更审批一变更实施一变更反馈和汇总一变更指标及评价、总结报告等全过程，变更的 实施过程中是否严格按流程操作。

（3）检查登记、备案和存档情况。重点检查：查阅生产变更的档案，考察被检查机构 变更资料的登记、备案和存档是否规范。

（4）检查非计划性紧急变更的实施方案、备份和恢复制度。重点检查：非计划性紧急 变更实施前，变更牵头和实施部门是否制订简单的实施计划和验证、回退、恢复方案，其中 回退或恢复方案是否切实可行，风险是否可控；变更实施前是否进行相关的系统备份等。

4.信息科技操作风险控制措施

（1)检查风险控制机制和流程。重点检查：

①是否指定了各类应用系统的操作、管理工作流程，评估其合理性、规范性和科学性，是否采用软件工具对各类生产系统实施了版本控制。

②操作人员的岗位职责是否明确，相应的规章制度是否到位，如：档案管理、安全生产 管理、数据管理、应用操作管理、运行监控管理等等；

③操作人员在上岗前的培训情况：如是否经考试合格后才独立上岗；当信息系统结构或 操作流程发生重大变更时，是否及时对操作人员进行再培训等；

④是否具备以下文字或电子资料：运行情况日报、各类运行操作手册、紧急重大情况的 应急处理流程、操作人员排班表和工作交接单、详细操作日志、所有服务对象和技术支持部 门及人员的通讯录等；

⑤操作人员是否严格按照操作规程进行操作，如双人、复核、授权等，是否建立操作日 志且真实记录所有操作过程，并由本人签字；操作人员有无违反操作规程的行为，如：擅自 变更操作方法和操作步骤、在生产环境做任何未经授权的操作、操作人员在操作完毕后或离 开操作终端前没有退出自己的用户等。

⑥运行管理和实施部门是否设臵固定的值班电话、传真和电子信箱。⑦是否建立了操作人员的交接登记制度及实际履行情况记录。⑧有关操作管理的档案管理情况。

（2）检查人力资源管理情况。重点检查：有关运行、操作、管理人员配臵的整体情况，人力资源的有效利用和合理配臵程度，有关人员调离、岗位轮动的风险控制情况等。

（3)检查信息资料档案管理情况。重点检查：有关科技文档的收集、整理、移交、归档、保管、使用、鉴定和销毁等是否符合相关规定，科技信息资料档案管理是否规范。

5.日志管理情况

7（l）检查日志采集情况。重点检查：核心业务系统日志采集的范围、内容、频度、方 法以及有关规定的合理性及完备性，对日志内容设臵的完整性、科学性作出评估、分析与实 际系统运行和操作过程的匹配程度。

(2)检查日志保存情况。重点检查：有关日志归档、保存的有关规定以及纸质、电子日 志资料的保管情况，考察日志保存、管理的规范性和安全性等。

(3)检查日志调阅制度。重点检查：日志的调阅、查询是否有严格的制度，调阅日志是 否经过必要的授权并进行如实的登记等。

(4)检查日志管理岗位和人员设臵。重点检查：检查有关日志采集、保存、管理工作的 人员配臵等情况。

（五）业务持续性规划

1.董事会和高管层在业务持续性规划中的职责和工作机制情况

（1)检查业务持续性规划的政策、流程和职责制定情况。重点检查：高级管理层建立业 务连续性规划的相关政策、标准和流程的机制；高级管理层对业务持续性规划的重视程度，及其在业务持续性规划中的职责和作用。

（2）检查业务持续性规划的组织机构及职责制定情况。重点检查：是否已建立业务持 续性规划的各个组织机构，并明确其职责。业务持续性规划的组织机构由管理、业务、技术 和行政后勤等人员组成，应分为灾难恢复规划领导小组,灾难恢复规划实施组和灾难恢复规 划日常运行组。

（3)检查业务持续性规划的报告机制。重点检查：是否建立业务持续性管理相关事项的 报告制度，并及时向董事会和高级管理层报告实施状况、事件、测试结果和相关行动计划等 事项；是否出现过重大营运停止的事件并及时向银监会上报。

（4)检查业务持续性规划的评估机制。重点检查：业务持续性管理是否经过独立机构的 审查和评估，例如内部或外部审计，对业务连续性规划的有效性进行定期评估；针对发现的 问题作出何种整改措施。

2.业务持续性规划的制定和实施情况

（1)检查业务持续性规划的需求分析情况。重点检查：是否进行充分的潜在风险分析； 对风险的可能性和危害性有否做全面的分析，并针对风险提出合理的防范措施。

（2）检查业务持续性规划策略的制定情况。重点检查：是否进行充分的业务影响分析。业务影响分析是否包括了客户、银行人员、声誉、内部运行以及财务和法律等方面的影响，应采用定量和／或定性的方法，对各种业务功能的中断造成的影响进行评估；是否已确定 在灾害发生时必须保证持续有效运行的重要业务部门和后台部门，是否确定灾害过程中 银行对外提供重要服务的最低要求。

（3)检查灾难恢复应急预案的恢复策略和目标的建立情况。重点检查：

1)关键业务功能及恢复的优先顺序、恢复计划的时间进度表；

2)灾难恢复时间范围，即RTO（业务恢复时间目标）和RPO（业务恢复点目标）的范围。确定每项关键业务功能的灾难恢复目标和策略，不同的业务功能可采用不同的 灾难恢复策略，也可采用同一套灾难恢复策略。

（4)检查灾难恢复等级的划分制定清况。重点检查：是否已把灾难恢复涉及资源分为7 个要素：数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力、灾难恢复应急预案，并详细说明各要素的具体要求。

（5)检查灾难恢复应急预案的执行情况。重点检查：是否已进行测试和演练，评估效果 如何。

3.备份中心的管理和操作情况

（1)检查备份中心的建设情况。重点检查：灾备中心的能力否满足其业务持续性规划的

要求，着重从以下几个方面进行了解：数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力。

（2）检查备份中心能力。重点检查：应确保省域以下数据中心至少实现数据备份异地 保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。

（3)检查外包备份中心的管理。重点检查：对外包灾备的管理是否到位。是否有充分的 资质证书和能力证明，金融机构如何考虑到对外包服务过分依赖导致的风险。

4．业务持续性规划的测试和维护情况

（1）检查业务持续性规划培训计划的实施情况。重点检查：是否已组织业务持续性规 划的教育培训工作。

（2）检查业务持续性规划测试的情况。重点检查：测试方案和计划、测试结果情况及 整改情况

（3）检查变更维护情况。重点检查：是否有良好的业务持续性规划变更维护。业务流 程变化、信息系统的变更、人员的变更是否在业务持续性规划中及时反映；预案在测试、演 练和灾难发生后实际执行时，其过程是否有详细的记录；是否对业务持续性规划定期评审和 修订。

（4）检查业务持续性规划文档的存取管理制度制定情况。重点检查： ①是否由专人负责保存与分发；

②是否具有多份拷贝在不同的地点保存；

③是否已分发给参与业务持续性规划工作的所有人员；

④在每次修订后是否将所有拷贝统一更新，并保留一套，以备查阅，原分发的旧版本应 予销毁。

四．检查依据

（一）资料调阅清单

1.信息科技公司治理和组织结构（1）信息系统风险自查报告

（2）金融机构信息系统管理建设情况问卷调查表（3）金融机构有关科技规划、项目建设类制度；（4）有关岗位责任制；

（5）贯彻落实国家和银监会有关信息系统管理制度的实施细则；（6）行长会议研究科技工作会议记录；（7）全行性科技工作会议记录；（8）科技培训记录；（9）公司章程；

（10）董事会及各科技信息相关专业委员会职责和工作制度（11）董事会有关科技信息工作和系统建设的会议记录 2.信息安全管理

（1）有关信息安全的组织及工作制度；

（2）审计部门或发现控制部门对信息资产风险评估报告；（3）对外承包或服务提供商的有关合约；（4）访问风险控制策略和规则的业务说明；（5）访问用户的安全策略及管理；

（6）重要操作系统的访问、漏洞扫描和日志时间记录及评审；（7）应用系统用户访问、数据存储和文件存放的安全设计文档；（8）控制环境风险的规章制度和具体措施；

3.信息科技项目开发和变更管理（1）检查行内不科技信息管理制度（2）项目验收报告

（3）产品测试记录及有关报告材料（4）项目需求说明书（5）项目验收报告

（6）系统修改或升级或变更记录

（7）系统外包风险评估报告或有关材料（8）业务外包协议、合同（9）外包风险的应急计划 4.信息系统运行和操作管理

（1）运行管理组织成立和有关人员任命的文件集相关会议记录等材料；（2）重要信息系统运行规划书；

（3）有关信息系统运行管理的各项规章制度、实施细则及上级机构的规范性文件等；（4）信息资产台帐（包括：软件、硬件配臵资料、系统拓扑图等）；（5）重要信息系统的应急方案；

（6）系统运行日志、机房出入激励、运行管理部门值班记录等； 5.业务持续性规划

（1）管理章程（包括负责部门、策略及流程等）（2）各组织和小组人员名单（3）外部评估报告（4）报告

（5）风险和业务影响分析报告（6）灾难恢复策略和等级（7）灾难恢复应急预案（8）备份中心管理制度（9）备份中心建设目标（10）培训方案

（11）测试方案及测试报告（12）变更文档（13）外包情况说明

（二）检查应用规章制度

（1）《银行业金融机构信息系统风险管理指引》（2）《金融机构计算机信息系统安全保护条例》（3）《国家计算机信息安全保护条例》（4）《电子银行业务管理办法》（5）《电子银行安全评估指引》

（6）《电子银行业务的风险管理原则》（7）《网上银行银行业务管理办法》（8）《重要信息系统灾难恢复指南》（9）《保证业务持续性的高标准原则》（10）《国家突发公共事件总体应急预案》

3.银监会英文面试题 篇三

2.what do you know about CRBC？why do you want to be a banking regulator？

3.Tell me the hardest time of study in your life.4.What is the relationship between CRBC and your study?

5.What is CRBC?

6.Where did you get the information of CRBC?

7.How do you adjust yourself if you are not capable of the work division?

8.What is your advantage and disadvantage?

9.What is your favorite subject?

10.How do your schoolmates describe you?

11.How do you handle the disapproval?

12.Tell me how you try your best in CRBC.13.What is the favorite book that you have read and what is inspiration of the book?