《银行信息科技管理基本制度》由会员分享,可在线阅读,更多相关《银行信息科技管理基本制度(17页珍藏版)》请在金锄头文库上搜索。
1、*银行信息科技管理基本制度第一章 总则第-条 为规范材银行(以下简称“木行”)信息科技管理,促进全行倍息科技工 作的健康发展,根据中华人民共利国银行业监忏管理法、商业银行信息科技风险 管理指引、计算机信息安全等级保护条例以及国家信息安全和关耍求和自关法律 法规,制定本制度。第二条 木制度所称信息科技管理,包括:信息科技治理、信息科技风险管理、 信息安全、信息系统项H管理、信息科技运行、业务连续性管理、信息科技外包管理、 信息科技内外部审计等。第三条木制度适用于总行及各分支机构信息科技管理。第四条木制度所指信息科技是指涉及硕件、通信、网络和软件工程等现代科技 的信息技术,在银行业务交易处理、经营
2、管理和内部控制等方血应用,并包括进行信息 科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第五条 本制度所指信息科技风险,是指信息科技在银行运用过程中,由于H然 因素、人为因索、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第六条 倍息科技风险管理的棊本原则是:规范管理,风险可控,机制健全,流 程合理,保障有效,全面促进全行各项业务安全、稳健、持续发展,以推动技术创新, 提高核心竞争能力。第七条 木行信息科技风险管理是在当地银行监管部门、公安部门和国家有关信 息安全管理部门的监督、指导下开展。第二章 组织体系第八条 健全和完善信息科技管理架构,设立分管副行长、明确董爭会、信息科
3、技、风险管理及稍核卅计部门的职责,总行信息科技部负责全面协调开展信息科技风险管理工作。第九条董事会应履行以下侑息科技管理职能:(一)遵守并贯彻执行国家和银监会有关信息科技管理的政策和规定;(二)市查和批准信息科技发展战略规划,评估信息科技风险管理效果;(三)掌握信息风险,确定信息风险等级,落实信息风险识别和评价机制;(四)增强企业文化建设,规范员工职业道徳行为,加强员工培训,提高 信息科技风险意识;(五)监督信息科技战略规划、预算执行和整体状况,确保信息科技管理 所需资金到位;(六)加强信息科技队伍建设,健全人才培养、激励机制;(七)确保稍核审计部门能独立有效开展信息科技内部中计丄作。并按年
4、向银监部门报送信息科技风险管理报告;(八)及时向银监部门报告重大信息科技事故和突发申件,完善应急响应 机制;(九)配合银行监管部门做好信息科技风险监督和检查丁作,并按监管意 见整改;履行信息科技风险管理其他相关工作。(十) 履行信息科技风险管理其他相关工作。第十条 分管副行长直接向行领导汇报,并参与决策。分管副行长职责包括:(-) 直接参与木行与信息科技运用有关的业务发展决策;(二)确保信息科技战略,尤其是信息系统开发战略的实施,保持与总体业 务发展战略和信息科技风险管理策略相一致;(三)分管部门,确保信息科技部门各项职能的良好履行;(四)确保信息科技风险管理的冇效性,冇效涵盖所冇风险点,使防
5、范措施落实到每一个内设机构和分支机构;(五)负责信息科技队伍建设,开展专业培训,提高其专业技术水平。第十一条总行信息科技部为全行信息科技工作的主要职能部门,应按照信息科技 管理要求合理设置岗位,明确不同岗位的职责和技能耍求;对于主机系统维护、数据库 维护、网络维护、运行维护、核心软件开发和安全管理等重要岗位的人员加强审核管理, 签定保密协议,落实强制休假及岗位制约,并对重要岗位人员的进入及退出进行岗前审 查和离岗卅计。总行信息科技部主耍职责包括:(一)负责并实施萤事会和总行经营层下达的各项信息科技工作;(二)负责并制定全行科技发展规划和电子化建设计划;(三)负责并管理全行信息科技项目的立项、开
6、发和上线丄作;(四)负责并管理全行计算机信息系统日常运行维护工作;(五)负责协调全行业务类电子化设备的采购、登记和维护工作;(六)负责并实施全行计算机信息系统风险控制和安全管理工作:(七)负责并制定总行信息科技管理制度、办法和流程;(八)负责并实施全行信息系统应急管理和业务连续性计划;(九)负责并管理、指导分支机构开展信息科技工作;(十)(十一负责并管理全行信息科技成果、保密、知识产权保护等工作;)负责并实施全行计算机安全等级保护和内外部审计榕改工作。第十二条总行风险管理部门负责信息科技风险管理工作,并设立信息科技安全管理岗,其职责如下:(一)负责分管副行长报告工作;(二)负责协调制定冇关信息
7、科技风睑管理策略;(三)参与重大信息科技项目的风险审议;(四)组织参与信息科技突发事件应急响应小组工作;(五)负责就信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议和介规性信息;(六)负责并实施持续信息科技风险评估,监俘、跟踪各项整改意见落实情 况;(七)负责监控信息安全威胁和不合规事件发生,及时提出预警和风险提示。第十三条总行稍核审计部负责信息科技风险审计工作,并设立信息科技风险审计 岗,其职责如下:(-) 负责向分管副行长报告信息科技内审报告;(二)负责制定和实施信息科技审计制度和流程;(三)负责制定和执行信息科技审计计划;(四)负责对信息科技整个生命周期和重人
8、事件等进行X计;(五)配合银行监管部门做好信息科技现场检查,并负责协调外部审计丄作。第十四条各支行应设置信息科技职能部门,负责本辖区的信息科技建设、管理及 维护工作。第三章信息科技风险管理第一节 风险策略第卜五条信息科技风险管理策略应包括但不限丁以F内容:(-)信息分级和保护;(二)信息系统开发、测试和维护;(三)信息科技运行和维护;(四)访问控制;(五)物理安全;(六)人员安全;(七)业务连续性计划与应急管理。第二节风险措施第卜六条信息科技风险管理部门负责制定和完善信息风险识別和评估流程,鉴定 和评价信息风险点及町能対业务带来的潜在影响。并针对风险程度进行排序,实施相应 的风险防控措施及确定
9、所需资源的优先级。第十七条本行信息科技部应依据信息科技风险管理策略和风险评估结果,全而实 適风险防范措施。防范措施应包括:(-)健全和完善信息科技风险管理制度、技术标准和操作规程等;(二)应的控制措施,确定潜在风险点,并对风险点进行冇效的监测、跟踪和分析,制定相实现风险最小化。并针对各业务系统定义控制内容,包括:1.域高权限用户的审查;2.3.控制对数据和系统的物理和逻辑访问;访问授权以“必需知道”和“最小授权”为原则;4.审批和授权;5.验证和调节。1 vx 1 1 1笫十八条应建立持续的信息科技风险监测和评估机制,其中应包括(一)建立垂大倍息科技项H实施前及实施后评价机制;(二)建立定期检
10、查系统性能的程序和标准;(三)建立信息科技服务投诉和事故处理的报告制度;(四)建立内、外部审计和监管发现问题的整改处理机制;(五)定期对服务供应商服务水平协议的完成情况进行审查;(六)定期对运行环境下操作风险和管理控制进行检查;(七)定期对巫大佶息科技外包项H的风险状况进行评价;(八)定期对新技术发展可能造成的影响和已使用软件血临的新威胁进行评估。第四章 信息安全管理第一节 信息安全管理机构第卜九条建立和完善全行信息安全风险管理机构,成立全行信息安全管理领导 小组,全面负责全行信息女全指导和管理工作。信息安全管理领导小组隶属于总行信息 科技委员会统一管理,其组成人员包括总行领导、分管副行长、总
11、行信息科技部以及相 关业务部门负责人组成。第二十条各支行应根据监管耍求,完善支行机构信息安全管理组织,由支行主 耍领导、科技主管部门负责人及各相关业务部门负责人组成,负责木辖区各分支机构信 息安全管理工作。第二节 信息安全管理职能第二十一条总行信息科技部是全行信息安全管理的最高职能部门,负责全行计 算机安全等级保护、技防实施、计划与项忖预算、制度制定、安全检杳及人员培训和管 理等。| II.III第二十二条信息安全管理主要职能应包括:(一)制定和完善全行信息安全计划,推进信息安全体系整体建设,构建长 效管理机制;(二)组织并实施全行信息安全项目,负责分支机构和各业务条线信息安全 的统管理;(三
12、)定期向信息科技委员会报告信息安全评估报告和其他重大安全事项;(四)健全信息安全管理机制,完善全行信息安全策略、标准、制度、实施 流程和持续维护耍求;(五)建立信息安全资产预算管理,确保安全技防落实;(六)配介银行监管部门、公安和其他信息安全管理部门做好现场安全检査 和整改落实工作;(七)纽织开展全行安全检查,指导并督促分支机构落实安全管理职责。第二十三条各支行应依据本制度,并结合当地银行监管部门和国家信息安全管 理部门的规定和要求,健全和完善信息安金管理职能。第三节 信息安全策略第二十四条总行信息安全管理部门应依据全行信息科技风险管理总体要求,制 定、完善和实施全行信息安全策略。信息安全策略
13、应包括如下内容:(一)安全制度管理;(二)信息安全组织管理;(三)信息资产管理;(四)人员安全管理;(五)物理与环境安全管理;(A)系统运莒与网络通信管理;(七)访问控制管理;(八)系统、项目开发与维护管理;(九)信息安全事故管理;(十)业务连续性管理。第二十五条 建立和完善有效的用户认证和访问控制机制,确保用户对数据和系 统访问是可控和有效的。当用户发生变更应及时在系统中做好检查、更新和注销用户身 份。第二十六条对于信息科技重要区域应设立安全保护区(如生产中心和灾备中 心),须明确安全防护措池、控制乎段和机房建设标准,确保信息系统震要场所的安全。第二十七条信息系统网络安全管理应依据信息安全等
14、级,将网络划分为不同的 逻辑安全域,并对相关安全因素做出评估,实施有效隔离(如生产、开发、测试和外网 隔离),并采取物理或逻辑分区、内容过滤、访问控制、传输加密、网络监控和L1志审 计等手段。第二十八条对重要信息系统应建立和完善信息安全测评机制,定期开展自评或 邀请第三方权威测评,并根据评估报告,持续开展整改工作,明确责任,落实计划,完 善措施,确保信息系统整体防护能力。第二十九条按照国家信息安全临管要求,规范和完善涉密信息管理,包括:互 联网行为、涉密计算机和移动存储管理。建立涉密检査机制,防止非涉密计算机装载、 储存或传播国家涉密信息;防止将本行重要商业机密信息存储在移动存储和非涉密计算
15、机中,或通过互联网传播。第三十条 健全防病毒机制,建立全行网络防病毒体系,定期下载和更新病痔 库,开展防病毒检査。并依据总行信息安全规划要求,逐步强化安全控制机制,通过技 术于段來规范使用行为(如桌而管理等),确保信息系统安全。第三十一条建立和完善信息系统操作规程,确保操作系统和应用系统软件的女 全:(一)明确操作系统基木安全要求;(二)明确不同用户对系统访问权限;(三)明确瑕高权限系统账户的审批、验证和监控流程,以及最高权限用八 的F1志审计和监察;(四)明确定期对可用的安全补丁检查,并报告补丁的管理状态;(五)明确系统日志记录耍索,包括:不成功登录、重耍系统文件访问、对 用户账户修改等重要事项,以及于动或自动监控系统出现的任何异常事件,定期形成报 告。第三十二条完善信息安全保障机制,应采取包插但不限于下列措施,确保信息 系统安全:(-)
