《(风险管理)农信社省联社金融机构信息科技风险管理五年规划》由会员分享,可在线阅读,更多相关《(风险管理)农信社省联社金融机构信息科技风险管理五年规划(32页珍藏版)》请在金锄头文库上搜索。
1、附件 省农村合作金融机构信息科技风险管理五年规划二一二年三月五日第一章 引言3第二章 全省农合机构信息科技风险管理现状5第一节 信息科技风险管理主要成效5一、信息科技治理取得一定成效5二、信息科技风险管理策略构建取得一定成效6三、信息科技风险评估取得初步成效7四、信息系统安全等级保护取得初步进展7五、业务连续性管理初上轨道8第二节 信息科技风险管理存在的问题8一、信息科技治理不够健全8二、信息科技风险管理策略不完善9三、风险控制层面的“三重控制”机制未有效构建10四、数据大集中系统安全等级定级偏低11五、业务连续性管理还比较薄弱11六、信息科技风险管理绩效体系尚未建立12第三章 信息科技风险管
2、理五年规划目标和实施路线12第一节 信息科技风险管理五年规划总体目标13第二节 信息科技风险管理五年规划实施路线14一、持续完善信息科技治理14二、逐步完善信息科技风险管理策略17三、构建信息科技风险控制层面的“三重控制”20四、全面贯彻落实信息系统安全等级保护21五、持续完善业务连续性管理体系22六、加强分中心和法人联社的信息科技风险管理24七、探索建立信息科技风险管理绩效体系24第四章 2012年信息科技风险管理工作计划25一、进一步完善信息科技治理26二、初步建立信息科技风险管理策略27三、初步构建风险控制层面“三重控制”29四、落实信息系统安全等级保护30五、初步建立业务连续性管理体系
3、30六、落实信息科技风险隐患的整改工作32 第一章 引言信息科技风险指信息科技在全省农合机构运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理指通过建立有效的机制,实现对信息科技风险的识别、计量、监测、和控制,促进全省农合机构安全、持续、稳健运行,推动业务创新,提高信息科技使用水平,增强核心竞争力和可持续发展能力。信息科技风险管理主要范围包括信息科技治理、信息科技风险管理策略、信息科技风险控制、信息系统安全等级保护、业务连续性管理和信息科技风险管理绩效体系等。其中,信息科技治理主要涉及信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设
4、,信息科技风险管理策略包括风险管理目标规划及信息系统架构风险管理策略、信息安全管理策略、生产运行风险管理策略、开发测试和维护风险管理策略、外包风险管理策略等具体风险管理策略; 信息科技风险控制包括由事前评估识别、事中监测检查、事后审计核查组成的“三重控制”;信息系统安全等级保护包括建立信息系统安全等级划分标准,制定信息系统安全控制基线,并在此基础上采用相应的安全技术实现信息系统安全等级保护;业务连续性管理包括业务影响分析、业务连续性计划、突发事件应急处理和灾难恢复等;信息科技风险管理绩效体系主要包括生产安全运行绩效考核体系和生产运行服务水平绩效考核体系。近年来银监会非常重视银行业金融机构的信息
5、科技风险管理工作,强化信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设,先后发布了商业银行信息科技风险管理指引,银行业重要信息系统投产与变更管理办法商业银行数据中心监管指引,银行业重要信息系统突发事件应急管理规范、网上银行安全风险管理指引、商业银行业务连续性监管指引等信息科技风险管理的纲领性文件,同时在中国银行业信息科技“十二五”发展规划监管指导意见中,对农合机构在“十二五”期间的信息科技风险管理提出了具体的发展目标。全省目前已有93家农合机构和1家村镇银行接入大集中系统,数据大集中在提升农合机构管理水平、促进业务发展的同时,也带来了信息科技风险的高度集中,信息科技风险管理显得尤为
6、重要。为持续提升、改进数据大集中系统和全省农合机构信息科技风险管理水平,根据银监会商业银行信息科技风险管理指引、中国银行业信息科技“十二五”发展规划监管指导意见和人民银行中国金融业信息化“十二五”发展规划有关信息科技风险管理发展目标要求,省联社银信中心信息科技风险管理部牵头编写了全省农合机构2012年到2016年信息科技风险管理五年规划。规划在客观分析全省农合机构信息科技风险管理现状基础上,梳理出了数据大集中后信息科技风险管理的基本思路,制定了今后五年信息科技风险管理的总体目标和实施路线。规划的重点是:强化治理层面的“三道防线”,构建策略层面的风险管理策略,建立控制层面的“三重控制”,贯彻落实
7、信息系统安全等级保护,完善业务连续性管理,提升全省农合机构的数据安全水平和业务连续性水平。第二章 全省农合机构信息科技风险管理现状第一节 信息科技风险管理主要成效随着数据大集中工作进入尾声,全省农合机构信息科技风险管理也初见成效,信息科技风险控制水平稳步提高,主要成效体现在以下几个方面: 一、信息科技治理取得一定成效(一)信息科技治理架构初具雏形。省联社理事会设立了信息科技管理委员会,同时省联社整合成立了 银信金融服务中心(以下简称银信中心),内设综合部、信息技术部、电子银行部、会计结算部、信息科技风险管理部等5个部门及茂名、清远、揭阳等14个分中心,初步建立了省联社高管层参与、跨业务条线的信
8、息科技工作决策组织和决策流程,基本明确了省联社理事会、管理层、信息科技管理委员会、信息技术部、信息科技风险管理部及有关业务部门的信息科技职责。(二)科技管理制度建设初具规模。省联社和银信中心目前已发布的各类规章制度有30多项,内部管理办法和操作手册60多项,制度、办法和手册初步覆盖了机房管理、设备管理、网络管理、系统管理、需求管理、开发管理、测试管理、运行管理和应急管理等信息科技工作的主要方面。 二、信息科技风险管理策略构建取得一定成效 (一)信息系统架构风险管理策略构建取得一定效果。1、在机房设施架构风险管理策略方面,机房供电、综合布线、空调等均采用全冗余架构设计,并建立了比较完备的机房环境
9、监控预警指标体系,有效降低了数据中心机房的运行风险。2、在地市分中心机房运行风险管理策略方面,制定并推广了银信中心地市分中心机房建设标准,从而有效降低了地市分中心基础设施的风险。3、在网络架构风险管理策略方面,省联社早在2007年初就制定印发了 省农村信用社网络建设和管理规范,并按规范要求在全省农合机构范围内进行了网络改造工作,提高了数据大集中网络系统的冗余性、稳定性和安全性,为大集中上线和推广工作和信息科技风险控制提供了有力的保障。4、在硬件平台架构风险管理策略方面,数据大集中主要生产系统硬件平台均采用了全冗余架构设计,确保业务连续性和客户数据安全。 (二)信息安全管理策略构建取得较好效果。
10、建立了物理安全管理、生产网络和其它网络物理隔离,初步实现了网络分区安全控制、用户认证和访问控制、操作系统安全管理、密钥及密码设备管理、操作审计等策略。(三)生产运行风险管理策略构建取得较大进步。初步构建了机房、网络、主机和应用等系统关键风险指标、生产事件的监控预警系统,初步建立了生产系统问题管理、变更管理等的制度和流程,操作自动化水平逐步提高。 三、信息科技风险评估取得初步成效除信息科技风险的自评和2010年银监会对信息系统风险的检查评估外,银信中心还聘请德勤会计事务所按银监会商业银行信息科技风险管理指引要求对数据大集中系统进行了全面的信息科技风险评估,对评估中发现的风险隐患,银信中心相关部室
11、均进行了有效整改或制定了整改计划,有效控制了风险。 四、信息系统安全等级保护取得初步进展信息科技风险管理部在2011年底开始着手对重要信息系统安全实施等级保护,目前已完成数据大集中主要信息系统安全等级保护的分级及初评,已进入报备阶段。 五、业务连续性管理初上轨道 修订印发了信息系统突发事件应急管理预案,建立了包括事件监控和预警、发现和通知、组织协调、应急处置、应急通告、总结和报告等流程的信息系统突发事件应急响应机制,进一步完善了应急预案和应急演练机制。同时,根据省联社及下属农合机构实际情况,初步制定了部分重要业务系统针对普通突发事件和重大灾难性突发事件的业务恢复优先顺序、RTO(恢复时间目标)
12、和RPO(恢复点目标)等业务连续性指标。 第二节 信息科技风险管理存在的问题数据大集中使原来分散在全省各个网络中心的信息科技风险现在主要集中到了省中心,由于银信中心信息科技风险管理部成立不久,全省农合机构的信息科技风险管理工作也刚刚起步,有的还处于摸索阶段,与银监会有关信息科技风险监管规范要求相比有相当大的差距,问题主要体现在以下几方面: 一、信息科技治理不够健全 (一)在治理层面的信息科技管理、信息科技风险管理、信息科技审计“三道防线”中,信息科技审计部门及审计岗位尚未设置,审计制度尚未建立,省联社和全省农合机构尚未建立专业的信息科技审计队伍;信息科技风险管理刚刚设立,信息科技风险管理队伍建
13、设刚刚起步,关键岗位配比较低、缺乏核心技术人才,部分信息科技风险管理制度尚处于探索、研究阶段,“三道防线”还未起到应有的管理、制约和监督作用。(二)信息科技风险披露机制不完善。尚未建立信息科技风险的月报、季报和年报等的披露规范,也未定期向省联社领导、信息科技管理委员会和银信中心管理层提交信息科技风险评估报告、信息安全报告、现场检查报告和审计报告。(三)信息科技风险意识教育培训工作有待加强尚未建立全省农合机构常态化的信息科技风险管理意识培训教育机制,全省农合机构科技人员的信息安全意识、风险意识有待进一步提高。 二、信息科技风险管理策略不完善(一)信息系统架构风险管理策略未有效建立。尚未建立专业化
14、的架构风险评估组织和评估机制,以实现对应用架构、数据架构、基础设施架构、组织架构等的架构风险评估,规避架构缺陷带来的信息科技长期风险。(二)信息安全管理策略存在漏洞和缺陷。信息安全策略覆盖面不全,在网络隔离、远程访问控制方面存在安全隐患,网络设备、安全设备、操作系统和数据库的用户权限和密码管理策略不完善,生产系统日志管理、操作审计管理策略存在缺陷,敏感数据安全管控不足。(三)生产运行风险管理策略不够完备。生产运行风险监测平台尚未建立,生产运行风险管理制度和标准不够完善,事件管理、问题管理、变更管理、配置管理过程中的风险管理和风险监测机制有待进一步细化。 (四)开发、测试和维护风险管理策略也存在
15、不足和缺陷。安全需求分析、安全架构规划、详细安全设计、安全测试不完善,软件研发质量保证体系有待进一步规范化,重要信息系统的变更投产风险管控有缺陷,安全质量管理有待进一步提高。(五)外包管理制度不够完善。对外包服务商的风险控制能力有较大缺陷,尚未建立外包相关风险防范能力制度和风险评估流程,也未建立有效的外包服务商评价、定期检查和跟踪机制。 三、风险控制层面的“三重控制”机制未有效构建 尚未在风险控制层面建立有效的信息科技风险的事前评估识别、事中监测检查、事后审计核查的“三重控制”机制: (一)事前评估识别机制存在较大缺陷。风险评估制度和流程尚不规范,信息科技风险评估自评、外部评估流程制度尚未完善,常态化信息科技风险定期评估,重要信息系统变更投产前的风险评估规范和流程也有待进一步改进和完善。 (二)事中监测检查机制未建立。信息科技风险信息监测、检查、评估体系不完善,日常现场检查机制也尚未建立,信息科技风险监测平台尚未建立。 (
