(最新)信息科技风险管理办法

《(最新)信息科技风险管理办法》由会员分享，可在线阅读，更多相关《(最新)信息科技风险管理办法（31页珍藏版）》请在金锄头文库上搜索。

1、制度体系文件信息科技风险管理办法 版次号： A/0 信息科技风风险管理理办法编制部门：信息科技技部版 次 号号：A/0生效日期：目录修改记录3第一章总总则4第二章机机构职责责5第三章信信息科技技风险管管理11第四章信信息安全全13第五章信信息系统统开发、测测试和维维护19第六章信信息科技技运行21第七章业业务连续续性管理理23第八章外外包与审审计25第一节外外包25第二节审审计28第九章附附则30附件：331修改记录 版次号生效日期修改原因A/0流程体系文文件A版版 首次次发布第一章 总则第一条 为有效防范范银行运用用信息系系统进行行业务处处理、经经营管理理和内部部控制过过程中产产生的风风险，

2、促促进我行行各项业业务安全全、持续续、稳健健运行，根根据中中华人民民共和国国银行业业监督管管理法、中中华人民民共和国国商业银银行法、商业银行信息科技风险管理指引、营口沿海银操作风险管理指引，以及国家信息安全相关要求和有关法律法规，制定本管理办法。第二条 本管理办法法所称信信息科技技是指计计算机、通通信、微微电子和和软件工工程等现现代信息息技术，在在我行业业务交易易处理、经经营管理理和内部部控制等等方面的的应用，并并包括进进行信息息科技治治理，建建立完整整的管理理组织架架构，制制订完善善的管理理制度和和流程。第三条 本管理办法法所称信信息科技技风险，是是指信息息科技在在我行运运用过程程中，由由于

3、自然然因素、人人为因素素、技术术漏洞和和管理缺缺陷产生生的操作作、法律律和声誉誉等风险险。第四条 信息科技风风险管理理的目标标是通过过建立有有效的机机制，实实现对我我行信息息科技风风险的识识别、计计量、监监测和控控制，促促进我行行安全、持持续、稳稳健运行行，推动动业务创创新，提提高信息息技术使使用水平平，增强强核心竞竞争力和和可持续续发展能能力。第二章 机构职责第五条 根据我行信信息科技技治理的的要求，法法定代表表人是本本机构信信息科技技风险管管理的第第一责任任人，负负责组织织本管理理办法的的贯彻落落实, 董事会会应履行行以下信信息科技技管理职职责：（一） 遵守并贯彻彻执行国国家有关关信息科科

4、技管理理的法律律、法规规和技术术标准，落落实中国国银行业业监督管管理委员员会（以以下简称称银监会会）相关关监管要要求。（二） 审查批准信信息科技技战略，确确保其与与银行的的总体业业务战略略和重大大策略相相一致。评评估信息息科技及及其风险险管理工工作的总总体效果果和效率率。（三） 掌握主要的的信息科科技风险险，确定定可接受受的风险险级别，确确保相关关风险能能够被识识别、计计量、监监测和控控制。（四） 规范职业道道德行为为和廉洁洁标准，增增强内部部文化建建设，提提高全体体人员对对信息科科技风险险管理重重要性的的认识。（五） 设立一个由由来自高高级管理理层、信信息科技技部门和和主要业业务部门门的代表

5、表组成的的专门信信息科技技管理委委员会，负负责监督督各项职职责的落落实，定定期向董董事会和和高级管管理层汇汇报信息息科技战战略规划划的执行行、信息息科技预预算和实实际支出出、信息息科技的的整体状状况。（六） 在建立良好好的公司司治理的的基础上上进行信信息科技技治理，形形成分工工合理、职职责明确确、相互互制衡、报报告关系系清晰的的信息科科技治理理组织结结构。加加强信息息科技专专业队伍伍的建设设，建立立人才激激励机制制。（七） 确保内部审审计部门门进行独独立有效效的信息息科技风风险管理理审计，对对审计报报告进行行确认并并落实整整改。（八） 每年审阅并并向银监监会及其其派出机机构报送送信息科科技风险

6、险管理的的年度报报告。（九） 确保信息科科技风险险管理工工作所需需资金。（十） 确保银行所所有员工工充分理理解和遵遵守经其其批准的的信息科科技风险险管理制制度和流流程，并并安排相相关培训训。（十一） 确保本法人人机构涉涉及客户户信息、账账务信息息以及产产品信息息等的核核心系统统在中国国境内独独立运行行，并保保持最高高的管理理权限，符符合银监监会监管管和实施施现场检检查的要要求，防防范跨境境风险。（十二） 及时向银监监会及其其派出机机构报告告本机构构发生的的重大信信息科技技事故或或突发事事件，按按相关预预案快速速响应。（十三） 配合银监会会及其派派出机构构做好信信息科技技风险监监督检查查工作，并

7、并按照监监管意见见进行整整改。（十四） 履行信息科科技风险险管理其其他相关关工作。第六条 我行应设立立分管信信息科技技的副行行级领导导，直接接向行长长汇报，并并参与决决策。副副行级领领导的职职责包括括：(一) 直接参与本本银行与与信息科科技运用用有关的的业务发发展决策策。(二) 确保信息科科技战略略，尤其其是信息息系统开开发战略略，符合合本银行行的总体体业务战战略和信信息科技技风险管管理策略略。(三) 负责建立一一个切实实有效的的信息科科技部门门，承担担本银行行的信息息科技职职责。确确保其履履行：信信息科技技预算和和支出、信信息科技技策略、标标准和流流程、信信息科技技内部控控制、专专业化研研发

8、、信信息科技技项目发发起和管管理、信信息系统统和信息息科技基基础设施施的运行行、维护护和升级级、信息息安全管管理、灾灾难恢复复计划、信信息科技技外包和和信息系系统退出出等职责责。(四) 确保信息科科技风险险管理的的有效性性，并使使有关管管理措施施落实到到相关的的每一个个内设机机构和分分支机构构。(五) 组织专业培培训，提提高人才才队伍的的专业技技能。(六) 履行信息科科技风险险管理其其他相关关工作。第七条 科技部负责责我行信信息安全全、信息息系统开开发、测测试和维维护、信信息科技技运行、业业务连续续性管理理；应对对内部管管理职责责进行明明确的界界定，各各岗位的的人员应应具有相相应的专专业知识识

9、和技能能，重要要岗位应应制定详详细完整整的工作作手册并并适时更更新，并并对相关关人员采采取相关关的风险险防范措措施：(一) 验证个人信信息，包包括核验验有效身身份证件件、学历历证明、工工作经历历和专业业资格证证书等信信息。(二) 审核信息科科技员工工的道德德品行，确确保其具具备相应应的职业业操守。(三) 确保员工了了解、遵遵守信息息科技策策略、指指导原则则、信息息保密、授授权使用用信息系系统、信信息科技技管理制制度和流流程等要要求，并并同员工工签订相相关协议议。(四) 评估关键岗岗位信息息科技员员工流失失带来的的风险，做做好安排排候补员员工和岗岗位接替替计划等等防范措措施；在在员工岗岗位发生生

10、变化后后及时变变更相关关信息。第八条 运营管理部部职能交交叉，要要部门协协调是信信息系统统中涉及及账务交交易的操操作、系系统参数数变更、事事件管理理的主要要部门。运运营管理理部的职职责包括括：(一) 运行与维护护应实行行职责分分离，运运行人员员应实行行专职，不不得由其其他人员员兼任。运运行人员员应按操操作规程程巡检和和操作。维维护人员员应按授授权和维维护规程程要求对对生产状状态的软软硬件、数数据进行行维护，除除应急外外，其他他维护应应在非工工作时间间进行。(二) 制定详细的的运行值值班操作作表，包包括规定定巡检时时间，操操作范围围、内容容、办法法、命令令以及负负责人员员等信息息。(三) 提供机

11、房环环境、设设备使用用、网络络运行、系系统运行行职能交交叉，要要部门协协调等监监控信息息。(四) 记录运行值值班过程程中所有有现象、操操作过程程等信息息日志。(五) 对软件或数数据的维维护必须须通过特特定的应应用程序序进行，添添加、删删除和修修改数据据应通过过柜员终终端，不不得对数数据库进进行直接接操作；(六) 具备各种详详细的日日志信息息，包括括交易日日志和审审计日志志等，以以便维护护和审计计。(七) 提供维护的的统计和和报表打打印功能能。(八) 对系统参数数等设置置变更、维维护的要要求：1、 应对信息系系统配置置参数实实施严格格的安全全与保密密管理，防防止非法法生成、变变更、泄泄漏、丢丢失

12、与破破坏。根根据敏感感程度和和用途，确确定存取取权限、方方式和授授权使用用范围，严严格审批批和登记记手续。2、 制订严密的的变更处处理流程程，明确确变更控控制中各各岗位的的职责，并并遵循流流程实施施控制和和管理；变更前前应明确确应急和和回退方方案，无无授权不不得进行行变更操操作；3、 根据变更需需求、变变更方案案、变更更内容核核实清单单等相关关文档审审核变更更的正确确性、安安全性和和合法性性。职能能交叉，要要部门协协调(九) 应对机房环环境设施施实行日日常巡检检，明确确信息系系统及机机房环境境设施出出现故障障时的应应急处理理流程和和预案，有有实时交交易服务务的数据据中心应应实行224小时时值班

13、。(十) 实行事件报报告制度度，发生生信息系系统造成成重大经经济、声声誉损失失和重大大影响事事件，应应即时上上报并处处理，必必要时启启动应急急处理预预案。第九条 风险管理部部负责信信息科技技风险管管理工作作，并直直接向分分管行领领导（风风险管理理委员会会）报告告工作。该该部门应应为信息息科技突突发事件件应急响响应小组组的成员员之一，负负责协调调制定有有关信息息科技风风险管理理策略，尤尤其是在在涉及信信息安全全、业务务连续性性计划和和合规性性风险等等方面，为为业务部部门和信信息科技技部门提提供建议议及相关关合规性性信息，实实施持续续信息科科技风险险评估，跟跟踪整改改意见的的落实，监监控信息息安全

14、威威胁和不不合规事事件的发发生。风风险管理理部的职职责包括括：(一) 拟定信息系系统风险险管理总总体政策策，并提提交高级级管理层层审查、审审批。(二) 会同相关业业务部门门对信息息系统风风险进行行识别、监监测；(三) 审核信息系系统风险险状况。对对总行相相关业务务部门和和分支机机构信息息系统风风险状况况及维护护、运行行情况进进行监测测，并进进行实时时报告。(四) 组织新投产产后信息息系统的的后评价价，并识识别、评评估新信信息系统统中所包包含的风风险，审审核相应应的操作作和风险险管理程程序。 第十条 稽核审计部部应在部部门设立立专门的的信息科科技风险险审计岗岗位，负负责信息息科技审审计制度度和流

15、程程的实施施，制订订和执行行信息科科技审计计计划，对对信息科科技整个个生命周周期和重重大事件件等进行行审计。稽稽核审计计部负责责我行信信息系统统审计任任务，也也可聘请请经国家家相应监监管部门门认定资资质的中中介机构构进行信信息系统统外部审审计。第三章 信息科技风风险管理理第十一条 我行应制定定全面的的信息科科技风险险管理策策略，包包括但不不限于下下述领域域：(一) 信息分级与与保护。(二) 信息系统开开发、测测试和维维护。(三) 信息科技运运行和维维护。(四) 访问控制。(五) 物理安全。(六) 人员安全。(七) 业务连续性性计划与与应急处处置。第十二条 我行应制定定持续的的风险识识别和评评估流程程，确定定信息科科技中存存在隐患患的区域域，评价价风险对对其业务务的潜在在影响，对对风险进进行排序序，并确确定风险险防范措措施及所所需资源源的优先先级别（包包括外包包供应商商、产品品供应商商和服务务商）。第十三条 我行应依据据信息科科技风险险管理策策略和风风险评估估结果