《金融业信息科技风险管理》由会员分享,可在线阅读,更多相关《金融业信息科技风险管理(26页珍藏版)》请在金锄头文库上搜索。
1、信息科技风险管理办法总则第一条 为有效防范运用信息系统进行业务处理、经营管理 和内部控制过程中产生的风险,促进我行各项业务安全、持续、 稳健运行,根据中华人民共和国银行业监督管理法、中华 人民共和国商业银行法、商业银行信息科技风险管理指引 营口沿海银操作风险管理指引,以及国家信息安全相关要求 和有关法律法规,制定本管理办法。第二条 本管理办法所称信息科技是指计算机、通信、微电 子和软件工程等现代信息技术,在我行业务交易处理、经营管理 和内部控制等方面的应用,并包括进行信息科技治理,建立完整 的管理组织架构,制订完善的管理制度和流程。第三条 本管理办法所称信息科技风险,是指信息科技在我 行运用过
2、程中,由于自然因素、人为因素、技术漏洞和管理缺陷 产生的操作、法律和声誉等风险。第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行 安全、持续、稳健运行,推动业务创新,提高信息技术使用水平 增强核心竞争力和可持续发展能力。机构职责第五条 根据我行信息科技治理的要求,法定代表人是本机 构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻 落实,董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规 和技术标准,落实中国银行业监督管理委员会(以下简称银监会) 相关监管要求。(二)审查批准信息科技战略,确保其
3、与银行的总体业务战 略和重大策略相一致。评估信息科技及其风险管理工作的总体效 果和效率。(三)掌握主要的信息科技风险,确定可接受的风险级别, 确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设, 提高全体人员对信息科技风险管理重要性的认识。(五)设立一个由来自高级管理层、信息科技部门和主要业 务部门的代表组成的专门信息科技管理委员会,负责监督各项职 责的落实,定期向董事会和高级管理层汇报信息科技战略规划的 执行、信息科技预算和实际支出、信息科技的整体状况。(六)在建立良好的公司治理的基础上进行信息科技治理, 形成分工合理、职责明确、相互制衡、报告关系清
4、晰的信息科技 治理组织结构。加强信息科技专业队伍的建设,建立人才激励机 制。(七)确保内部审计部门进行独立有效的信息科技风险管 理审计,对审计报告进行确认并落实整改。(八)每年审阅并向银监会及其派出机构报送信息科技风 险管理的年度报告。(九)确保信息科技风险管理工作所需资金。(十)确保银行所有员工充分理解和遵守经其批准的信息 科技风险管理制度和流程,并安排相关培训。(十一) 确保本法人机构涉及客户信息、账务信息以及产品 信息等的核心系统在中国境内独立运行,并保持最高的管理权限, 符合银监会监管和实施现场检查的要求,防范跨境风险。(十二) 及时向银监会及其派出机构报告本机构发生的重 大信息科技事
5、故或突发事件,按相关预案快速响应。(十三) 配合银监会及其派出机构做好信息科技风险监督 检查工作,并按照监管意见进行整改。(十四) 履行信息科技风险管理其他相关工作。第六条 我行应设立分管信息科技的副行级领导,直接向行 长汇报,并参与决策。副行级领导的职责包括:(一)直接参与本银行与信息科技运用有关的业务发展决策。(二)确保信息科技战略,尤其是信息系统开发战略,符合本 银行的总体业务战略和信息科技风险管理策略。(三)负责建立一个切实有效的信息科技部门,承担本银行的 信息科技职责。确保其履行:信息科技预算和支出、信息科技策 略、标准和流程、信息科技内部控制、专业化研发、信息科技项 目发起和管理、
6、信息系统和信息科技基础设施的运行、维护和升 级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退 出等职责。(四)确保信息科技风险管理的有效性,并使有关管理措施 落实到相关的每一个内设机构和分支机构。(五)组织专业培训,提高人才队伍的专业技能。(六)履行信息科技风险管理其他相关工作。第七条 科技部负责我行信息安全、信息系统开发、测试和 维护、信息科技运行、业务连续性管理;应对内部管理职责进行 明确的界定,各岗位的人员应具有相应的专业知识和技能,重要 岗位应制定详细完整的工作手册并适时更新,并对相关人员采取 相关的风险防范措施:(一)验证个人信息,包括核验有效身份证件、学历证明、 工作经历和
7、专业资格证书等信息。(二)审核信息科技员工的道德品行,确保其具备相应的职 业操守。(三)确保员工了解、遵守信息科技策略、指导原则、信息 保密、授权使用信息系统、信息科技管理制度和流程等要求,并 同员工签订相关协议。(四)评估关键岗位信息科技员工流失带来的风险,做好安 排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后 及时变更相关信息。第八条 运营管理部职能交叉,要部门协调是信息系统中涉 及账务交易的操作、系统参数变更、事件管理的主要部门。运营 管理部的职责包括:(一)运行与维护应实行职责分离,运行人员应实行专职, 不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护 人员应按授权和
8、维护规程要求对生产状态的软硬件、数据进行维 护,除应急外,其他维护应在非工作时间进行。(二)制定详细的运行值班操作表,包括规定巡检时间,操 作范围、内容、办法、命令以及负责人员等信息。(三)提供机房环境、设备使用、网络运行、系统运行职能 交叉,要部门协调等监控信息。(四)记录运行值班过程中所有现象、操作过程等信息日 志。(五)对软件或数据的维护必须通过特定的应用程序进行, 添加、删除和修改数据应通过柜员终端,不得对数据库进行直接 操作;(六)具备各种详细的日志信息,包括交易日志和审计日志 等,以便维护和审计。(七)提供维护的统计和报表打印功能。(八)对系统参数等设置变更、维护的要求:1、应对信
9、息系统配置参数实施严格的安全与保密管理,防 止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途, 确定存取权限、方式和授权使用范围,严格审批和登记手续。2、制订严密的变更处理流程,明确变更控制中各岗位的职 责,并遵循流程实施控制和管理;变更前应明确应急和回退方案, 无授权不得进行变更操作;3、根据变更需求、变更方案、变更内容核实清单等相关文 档审核变更的正确性、安全性和合法性。职能交叉,要部门协调(九)应对机房环境设施实行日常巡检,明确信息系统及机 房环境设施出现故障时的应急处理流程和预案,有实时交易服务 的数据中心应实行 24小时值班。(十) 实行事件报告制度,发生信息系统造成重大经济、
10、声 誉损失和重大影响事件,应即时上报并处理,必要时启动应急处 理预案。第九条 风险管理部负责信息科技风险管理工作,并直接向 分管行领导(风险管理委员会)报告工作。该部门应为信息科技 突发事件应急响应小组的成员之一,负责协调制定有关信息科技 风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规 性风险等方面,为业务部门和信息科技部门提供建议及相关合规 性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监 控信息安全威胁和不合规事件的发生。风险管理部的职责包括:(一)拟定信息系统风险管理总体政策,并提交高级管理层 审查、审批。(二)会同相关业务部门对信息系统风险进行识别、监测;(三)审核信
11、息系统风险状况。对总行相关业务部门和分支 机构信息系统风险状况及维护、运行情况进行监测,并进行实时 报告。(四)组织新投产后信息系统的后评价,并识别、评估新信 息系统中所包含的风险,审核相应的操作和风险管理程序。第十条 稽核审计部应在部门设立专门的信息科技风险审计 岗位,负责信息科技审计制度和流程的实施,制订和执行信息科 技审计计划,对信息科技整个生命周期和重大事件等进行审计。 稽核审计部负责我行信息系统审计任务,也可聘请经国家相应监 管部门认定资质的中介机构进行信息系统外部审计。 信息科技风险管理第十一条 我行应制定全面的信息科技风险管理策略,包括但 不限于下述领域:(一)信息分级与保护。(
12、二)信息系统开发、测试和维护。(三)信息科技运行和维护。( 四 ) 访问控制。( 五 ) 物理安全。( 六 ) 人员安全。(七)业务连续性计划与应急处置。第十二条 我行应制定持续的风险识别和评估流程,确定信息 科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险 进行排序,并确定风险防范措施及所需资源的优先级别(包括外 包供应商、产品供应商和服务商)。第十三条 我行应依据信息科技风险管理策略和风险评估结 果,实施全面的风险防范措施。防范措施应包括:(一)制定明确的信息科技风险管理制度、技术标准和操作 规程等,定期进行更新和公示。(二)确定潜在风险区域,并对这些区域进行详细和独立的 监控,实
13、现风险最小化。建立适当的控制框架,以便于检查和平 衡风险;定义每个业务级别的控制内容,包括:1、最高权限用户的审查。2、控制对数据和系统的物理和逻辑访问。3、访问授权以“必需知道”和“最小授权”为原则。4、审批和授权。5、验证和调节。第十四条 我行应建立持续的信息科技风险计量和监测机制, 其中应包括:(一)建立信息科技项目实施前及实施后的评价机制。(二)建立定期检查系统性能的程序和标准。(三)建立信息科技服务投诉和事故处理的报告机制。(四)建立内部审计、外部审计和监管发现问题的整改处理 机制。(五)安排供应商和业务部门对服务水平协议的完成情况 进行定期审查。(六)定期评估新技术发展可能造成的影
14、响和已使用软件 面临的新威胁。(七)定期进行运行环境下操作风险和管理控制的检查。(八)定期进行信息科技外包项目的风险状况评价。 信息安全第十五条 科技部负责建立和实施信息分类和保护体系,应使 所有员工都了解信息安全的重要性,并组织提供必要的培训,让 员工充分了解其职责范围内的信息保护流程。第十六条 科技部应落实信息安全管理职能。该职能应包括建 立信息安全计划和保持长效的管理机制,提高全体员工信息安全 意识,就安全问题向其他部门提供建议,并定期向信息科技管理 委员会提交本银行信息安全评估报告。信息安全管理机制应包括 信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:(一)(
15、二)(三)安全制度管理。 信息安全组织管理。 资产管理。(四)人员安全管理。(五)物理与环境安全管理(六)通信与运营管理。(七)访问控制管理。(八)系统开发与维护管理(九)信息安全事故管理。(十)业务连续性管理。(十一)合规性管理。第十七条 应建立有效管理用户认证和访问控制的流程。用户 对数据和系统的访问必须选择与信息访问级别相匹配的认证机 制,并且确保其在信息系统内的活动只限于相关业务能合法开展 所要求的最低限度。用户调动到新的工作岗位或离开我行时,应 在系统中及时检查、更新或注销用户身份。第十八条 应确保设立物理安全保护区域,包括计算机中心或 数据中心、存储机密信息或放置网络设备等重要信息科技设备的 区域,明确相应的职责,采取必要的预防、检测和恢复控制措施第十九条 应根据信息安全级别,将网络划分为不同的逻辑安 全域(以下简称为域)。应该对下列安全因素进行评估,并根据 安全级别定义和评估结果实施有效的安全控制,如对每个域和整 个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、 传输加密、网络监控、记录活动日志等。(一)域内应用程序和用户组的重要程度。(二)各种通讯渠道进入域的访问点。(三)域内配置的网络设备和应用程序使用的网络
