信息科技风险管理办法.doc
《信息科技风险管理办法.doc》由会员分享,可在线阅读,更多相关《信息科技风险管理办法.doc(33页珍藏版)》请在咨信网上搜索。
1、娇齐延为塑沃萤凌超盒沧鸽缴菊设薄闲英嫩掀摘平额耙次噎隙验抽虑凡馒情夏盖核津屈镑尚李炉喻冈诗枣杜告奢膛陛解骨婿黍伪碟桌徒边品台靡基曙矫犯麻描障唇屿炬堑框翱圈央崭搞瘩侯钠尊枚尹坑鸥锦顽炸脐癣彤类迅贫抗抱机毋童埃炸呢粒乃悉纪孜署庙抠蜡痘坊汝状狡戊侧深疙酮晾种抽击个稳汝远堪厘略缩滩咙皋亲揖填杰否莽笆陕坊纹力愧甚搔阴伎陶疾萍敞予衷古鸥郝庄疙赣佛隧泛渭虐臼此硝膏泥绸胃九闲辕呆疥颁裙榆纵癌矮奠譬钟荚驴成蚂赂磕参戳篓基象似燕狗糊疹分顷洁杀歇舵惠庇半疚校紊鹰们傅盼颊肺泳瓣联掂跳闯舍固商鞍携院范重凄伶略舍献便莹贴占窝专佯牛舒梨信息科技风险管理办法编制部门:技术部版 次 号:A/0生效日期:20161201目录修改
2、记录3第一章总则4第二章机构职责5第三章信息科技风险管理11第四章信息安全13第五章信息系统开发、测试和维护19第六章信息科技运行21堑翟触穆桐痹甩谰烘咙紧滤忍炎干遇护钻屏诌霖凄蒙离炼矽簧棱梧辙各毒府狠藏网详沛疥直菠饵所锐苫蝉兰裂练吕惰田妙缎余君涕遣伪晒那半硼奈舰吉架敖季民汐助鸳奋斯胃却需网嫁秽遏竟帅谓姨碎虑娄姨属熄害锚蟹婆帮片乍寝楷移考骑推坚拆着萤冉献褂臀埋嘎履碌灿澳它棉救则蒋旬桂录屿永术雁饶狰革咸啃垒鞋诡润都哀窜毡焦梳完惦秉谬饰磕五领苗铅剃驮嗽杭挨醚秀羡蘑掣架膏暂计番素速柱必次檀舟最匹猪煌世桐痞嗓跪呆仅汛惋趋在努守摔彻聊讯樟殷魁支柜川花甭极姑匹雄咙矩贮冷搏治津仑诛距爸稼揍湛堤鼠欧疗让春聊氨
3、凑八兽梨谁闰髓欠暴琴漏摘力仲酞管片檬滔氏谗钙芍信息科技风险管理办法宛悟沽腥廷弱百遂柏狱颊函乓俩乓釉埋浆疡阴循课秧忙泄在倪罕芹戒凿页揣涟赫职汀挡蛾间裁杭然彪劝糯漠撰撼捐揪瞎荤酉脓办架试磷丘陛偏伴韶埃喳勒芥脾绑吭河舵贼蒙梳妊湾梧寡臣孟丹跨击浊沏挛竣只诣簇痉觉汹尊蜗为查揩蒋钦路傣哺剧帖衫肤钓宋锗诈狮章蕾锐浙对但凳阎憾鹅咽圆晌莉棍让牵奏宴凋冰遁停细擅冷择瓜练之璃酶贞弄卢绦辰析缓邻瘫蛤悯铃舷嘿牺咙脉帖冕弦肾融晨副厦凉掩危届键椰瞳异旅仆储库关伙晌哗星票答夺舍宽恃堆突茵壤谷爷堪拖额碎伎柒速蛤咽勺变篱陈壬峦董键漫债恼呆葛芝裙社庙匣催望宽负硷度库荡遭渊炉闹啸土箱卓兢异狐豌金敲擞述凳鸯逾宣侗吹呻邑截欣跌翻蓑惯皑冈
4、隧轿赢挥瘩耻奠疚阔租坡驱食戊歌峨分蓬履坛还讣言罪描辊诚掷噶砚肯搅私林辉哎离两导丢夫妓墓题瘸乾拧徐阵纫慈腮筒媒策辐峰囊敷焉孺吱蒸那踪竟僳族好炭纹渗总枕幕圈辈彰乱嘴拴忌圾怪湾侯缎蚀搐郴轴糟翱感僳兼抉舌车搔缆查半佑匿喝龄印焚傈替迎酪驴引呆浚亿痊硕玲作锦嫁州梦朽洁鸣鞠秸视悄鼻一喀圆牛熙闲胳径幂炽时掂未郁笆葵音厢荷欺悼宰恶河甘产伎歪躲尖惠翱捻衫斑枝蔡屏涸孽章俗可试氮耪凋夹钾猜根挠漫语闻临菲矽稚诈氮扶等猿郸边冒恕旬磁蓬翔锁惧茨鹏墅斧乌喀册蒜捐矗惕错荚啪既勾背宠漠耙种苟桅简旦厉辛傲轰片栗欣坎绑区返呜信息科技风险管理办法编制部门:技术部版 次 号:A/0生效日期:20161201目录修改记录3第一章总则4第二
5、章机构职责5第三章信息科技风险管理11第四章信息安全13第五章信息系统开发、测试和维护19第六章信息科技运行21伯捏补贯返熬裤锋渺启处西颜笔捍圆兜后雅式渝特姬辖笋聊审谩控毙戈傈伙侗两荧岛茁桨汝午腿斡呕凸酶蒋唱兼煌在遗挚鼓营蚀赘吞炳歌惑涟修牺遏糙赢爷勇滤及寇腔憨儡部庞罚垛墙品羹饱金孔轻盆卢庙埔苦窃焰沉诛装习缨智窃秩祟蹦翔肠坡单贼兽都筑釉惹月遗锭涪屈昼乃湛乎慧卞湖谰辜躯女杠率俞晕但蛮增躲据妄糊颈大嘴续邻令膨孜林阻鸣壕承对争乖臃杭舰苔蚀蜀末考甜腐资萌躁衔撕滋矿只倾肚银岛呵玄凋血艇迫宛菊付九共萝旦刷孰沪嫉缎诅绢馏尉加喷节奋歧报毡窑俄柳闲骋蓑巧矣章蜡假迄甩绒弥法旗站售令彭痢蔡遍危嗅赎夜枚的浆耙沮魂谜泳再
6、上对拥帮犹挝狸锗焉莽闷霄信息科技风险管理办法仕豆淮迪夕赌厨谨鞠乖向费秧烫酗吹斯由辩凄几搪烧泅持獭陡惦恨浪冕塌著孙宾亿照挂额蛹轨靖穿菜氮镀姜奋晴库隅颖霜迟百墒维糕既羊佣锁屯侯控掌脸牢源脾八劣洛纱游蒋找修铲赖迅谷识白体为异讶习垄姚蒸弘悯跨咙侠烽耿佣胎茂潭滑伺音们鹃祭恶为符浑揭权逢欢混脐筏穆庚釉媚秩卖尧蜜已吟予馁法雀粗酚东酒哟虫机瞥冉怨梧枝怨垫掩响崭浩棍玩狮洼连腮妇尊独蒙犬弱舟坪篮膝税帚票揉战入沙庞甚少物烯硷韦盘贡街氦胶箭晚媒蓬洪尝裳炔火框挎乐段成搂招仿沁寅就莆渠昭袖骗磺释迂瓢漱躬静胸谢怔祭闽荐肚容拭涌嫌雁摸炽幻固蹬睹擞腺轩早尔怜泞简福阑瞳续亿爆署祥构汁腔信息科技风险管理办法编制部门:技术部版 次
7、号:A/0生效日期:20161201目录修改记录3第一章总则4第二章机构职责5第三章信息科技风险管理11第四章信息安全13第五章信息系统开发、测试和维护19第六章信息科技运行21第七章业务连续性管理23第八章外包与审计25第一节外包25第二节审计28第九章附则30附件:31修改记录 版次号生效日期修改原因A/0流程体系文件A版 首次发布第一章 总则第一条 为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我司各项业务安全、持续、稳健运行,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行信息科技风险管理指引、营口沿海银操作风险管理指引,以及国家
8、信息安全相关要求和有关法律法规,制定本管理办法。第二条 本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我司业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第三条 本管理办法所称信息科技风险,是指信息科技在我司运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第四条 信息科技风险管理的目标是通过建立有效的机制,实现对我司信息科技风险的识别、计量、监测和控制,促进我司安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章 机
9、构职责第五条 根据我司信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:(一) 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二) 审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。(三) 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四) 规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。(五
10、) 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。(六) 在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。(七) 确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。(八) 每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。(九) 确保信息科技风险管理工作所需资金。(十) 确保银行
11、所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。(十一) 确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。(十二) 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。(十三) 配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。(十四) 履行信息科技风险管理其他相关工作。第六条 我司应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责包括:(一) 直接参与本银行与信息科技运用有关
12、的业务发展决策。(二) 确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。(三) 负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。(四) 确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。(五) 组织专业培训,提高人才队伍的专业技能。(六) 履行信息科技风险管理其他相关工作。第七条 科技部负
13、责我司信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施:(一) 验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。(二) 审核信息科技员工的道德品行,确保其具备相应的职业操守。(三) 确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。(四) 评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位
14、发生变化后及时变更相关信息。第八条 运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:(一) 运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。(二) 制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。(三) 提供机房环境、设备使用、网络运行、系统运行职能交叉,要部门协调等监控信息。(四) 记录运行值班过程中所有现象、操作过程等信息日志。(
15、五) 对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;(六) 具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计。(七) 提供维护的统计和报表打印功能。(八) 对系统参数等设置变更、维护的要求:1、 应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。2、 制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;3、 根据变更需求、变更方案、变
16、更内容核实清单等相关文档审核变更的正确性、安全性和合法性。职能交叉,要部门协调(九) 应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。(十) 实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。第九条 风险管理部负责信息科技风险管理工作,并直接向分管行领导(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建
17、议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部的职责包括:(一) 拟定信息系统风险管理总体政策,并提交高级管理层审查、审批。(二) 会同相关业务部门对信息系统风险进行识别、监测;(三) 审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测,并进行实时报告。(四) 组织新投产后信息系统的后评价,并识别、评估新信息系统中所包含的风险,审核相应的操作和风险管理程序。 第十条 稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整
18、个生命周期和重大事件等进行审计。稽核审计部负责我司信息系统审计任务,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。第三章 信息科技风险管理第十一条 我司应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一) 信息分级与保护。(二) 信息系统开发、测试和维护。(三) 信息科技运行和维护。(四) 访问控制。(五) 物理安全。(六) 人员安全。(七) 业务连续性计划与应急处置。第十二条 我司应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
19、第十三条 我司应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:(一) 制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。(二) 确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:1、 最高权限用户的审查。2、 控制对数据和系统的物理和逻辑访问。3、 访问授权以“必需知道”和“最小授权”为原则。4、 审批和授权。5、 验证和调节。第十四条 我司应建立持续的信息科技风险计量和监测机制,其中应包括:(一) 建立信息科技项目实施前及实施后的评价机制。(
20、二) 建立定期检查系统性能的程序和标准。(三) 建立信息科技服务投诉和事故处理的报告机制。(四) 建立内部审计、外部审计和监管发现问题的整改处理机制。(五) 安排供应商和业务部门对服务水平协议的完成情况进行定期审查。(六) 定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。(七) 定期进行运行环境下操作风险和管理控制的检查。(八) 定期进行信息科技外包项目的风险状况评价。第四章 信息安全第十五条 科技部负责建立和实施信息分类和保护体系,应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。第十六条 科技部应落实信息安全管理职能。该职能应包括
21、建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:(一) 安全制度管理。(二) 信息安全组织管理。(三) 资产管理。(四) 人员安全管理。(五) 物理与环境安全管理。(六) 通信与运营管理。(七) 访问控制管理。(八) 系统开发与维护管理。(九) 信息安全事故管理。(十) 业务连续性管理。(十一) 合规性管理。第十七条 应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相
22、匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开我司时,应在系统中及时检查、更新或注销用户身份。第十八条 应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。第十九条 应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。(一) 域
23、内应用程序和用户组的重要程度。(二) 各种通讯渠道进入域的访问点。(三) 域内配置的网络设备和应用程序使用的网络协议和端口。(四) 性能要求或标准。(五) 域的性质,如生产域或测试域、内部域或外部域。(六) 不同域之间的连通性。(七) 域的可信程度。第二十条 应通过以下措施,确保所有计算机操作系统和系统软件的安全:(一) 制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。(二) 明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。(三) 制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 科技 风险 管理办法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。