第一篇：村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法

村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法

（征求意見(jiàn)稿）

第一章 總 則

第一條 為加強(qiáng)村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理，確保科技體系持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)，根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等有關(guān)法律、法規(guī)，制定本辦法。

第二條 信息科技風(fēng)險(xiǎn)管理是通過(guò)建立有效機(jī)制，實(shí)現(xiàn)對(duì)銀行信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制，推動(dòng)村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新，提高信息化管理水平，保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。

第二章 信息科技風(fēng)險(xiǎn)管理組織架構(gòu)

第三條 信息科技風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過(guò)程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第四條

發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)的主要管理部門(mén)，發(fā)起行科技信息中心有以下信息科技風(fēng)險(xiǎn)管理的權(quán)限和職責(zé)：

（一）建立有效的信息科技風(fēng)險(xiǎn)管理管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息科技風(fēng)險(xiǎn)管理；

（二）貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求；

（三）履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé)，建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度，并嚴(yán)格執(zhí)行；

（四）負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等工作，提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運(yùn)行技術(shù)支持；

（五）負(fù)責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門(mén)落實(shí)有關(guān)信息科技風(fēng)險(xiǎn)管理的各項(xiàng)規(guī)章制度；

（六）發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理的牽頭部門(mén),發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。

第三章 信息科技風(fēng)險(xiǎn)具體控制要求

第五條 信息科技總體風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）缺少信息系統(tǒng)風(fēng)險(xiǎn)管理策略；

（二）自然災(zāi)害、運(yùn)行環(huán)境變化；

（三）信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善；

（四）信息安全標(biāo)準(zhǔn)化工作不符合國(guó)家相關(guān)規(guī)定；

（五）缺乏信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制；

（六）數(shù)據(jù)中心機(jī)房物理安全；

（七）使用盜版軟件及自有成果的知識(shí)產(chǎn)權(quán)保護(hù)；

（八）電子設(shè)備自身運(yùn)行；

（九）主機(jī)與網(wǎng)絡(luò)運(yùn)行；

（十）網(wǎng)絡(luò)安全；

（十一）密碼安全；

（十二）數(shù)據(jù)加密安全；

（十三）信息系統(tǒng)配置參數(shù)管理；

（十四）數(shù)據(jù)管理；

（十五）突發(fā)事件響應(yīng)；

（十六）信息系統(tǒng)故障導(dǎo)致影響銀行信譽(yù)；（十七）網(wǎng)上銀行安全。

第六條 信息系統(tǒng)總體風(fēng)險(xiǎn)控制措施：

（一）根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃，在村鎮(zhèn)銀行風(fēng)險(xiǎn)管理政策指引下，制定明確、持續(xù)的信息系統(tǒng)風(fēng)險(xiǎn)管理策略，根據(jù)信息系統(tǒng)的等級(jí)保護(hù)級(jí)別對(duì)信息系統(tǒng)進(jìn)行分析和評(píng)估，并實(shí)施有效的風(fēng)險(xiǎn)控制；

（二）建立同城信息系統(tǒng)災(zāi)備中心實(shí)現(xiàn)運(yùn)行環(huán)境備份，防止各類(lèi)突發(fā)事故和惡意攻擊事件造成不良后果；

（三）建立健全相關(guān)信息科技制度，明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)；

（四）嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國(guó)際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，開(kāi)展信息安全等級(jí)保護(hù)等相關(guān)工作；

（五）加強(qiáng)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，及時(shí)對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行修補(bǔ)和完善，以保證信息系統(tǒng)的安全性和完整性；

（六）信息系統(tǒng)數(shù)據(jù)中心機(jī)房建設(shè)時(shí)嚴(yán)格參照國(guó)家有關(guān)計(jì)算機(jī)場(chǎng)地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)，數(shù)據(jù)中心機(jī)房實(shí)行嚴(yán)格的門(mén)禁管理措施，未經(jīng)授權(quán)不得進(jìn)入；

（七）加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理；積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)村鎮(zhèn)銀行信息化成果；

（八）嚴(yán)格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購(gòu)置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過(guò)技術(shù)論證，測(cè)試性能應(yīng)符合國(guó)家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)數(shù)量的備品、備件；

（九）嚴(yán)格參照相關(guān)標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)信息系統(tǒng)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴(yán)格線路租用合同管理，按照業(yè)務(wù)和交易流量要

求保證傳輸帶寬；監(jiān)測(cè)和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行；

（十）加強(qiáng)網(wǎng)絡(luò)安全管理。嚴(yán)格網(wǎng)絡(luò)邊界控制，使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)；

（十一）加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理，使用符合國(guó)家安全標(biāo)準(zhǔn)的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷(xiāo)毀等環(huán)節(jié)管理制度；

（十二）加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷(xiāo)毀等環(huán)節(jié)的管理；優(yōu)化系統(tǒng)和數(shù)據(jù)庫(kù)安全設(shè)置，嚴(yán)格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫(kù)，采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取，以保證數(shù)據(jù)的完整性、保密性；

（十三）對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，并嚴(yán)格審批和登記手續(xù)；

（十四）制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案，并定期進(jìn)行演練、評(píng)審和修訂；

（十五）加強(qiáng)對(duì)技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)管理；

（十六）在信息系統(tǒng)可能影響客戶(hù)服務(wù)時(shí)，及時(shí)通知業(yè)務(wù)部門(mén)，以便以適當(dāng)方式告知客戶(hù)；

（十七）采取有效技術(shù)措施，切實(shí)加強(qiáng)網(wǎng)上銀行信息安全保

障。加強(qiáng)網(wǎng)銀用戶(hù)身份認(rèn)證管理，與業(yè)務(wù)部門(mén)密切配合，逐步對(duì)所有網(wǎng)上銀行高風(fēng)險(xiǎn)賬戶(hù)操作統(tǒng)一使用雙重身份認(rèn)證。積極研發(fā)和應(yīng)用各類(lèi)維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。

第七條

信息科技研發(fā)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）信息系統(tǒng)項(xiàng)目研發(fā)管理；

（二）信息系統(tǒng)項(xiàng)目開(kāi)發(fā)人員外包；

（三）信息系統(tǒng)項(xiàng)目需求不明確；

（四）信息系統(tǒng)測(cè)試不規(guī)范或不完善；

（五）信息系統(tǒng)應(yīng)用推廣；

（六）信息系統(tǒng)測(cè)試發(fā)現(xiàn)的軟件缺陷；

（七）信息系統(tǒng)項(xiàng)目文檔管理；

（八）信息系統(tǒng)項(xiàng)目驗(yàn)收。

第八條

信息科技研發(fā)風(fēng)險(xiǎn)具體控制要求：

（一）一般項(xiàng)目研發(fā)成立項(xiàng)目工作小組，重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組，并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)工作；

（二）項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專(zhuān)業(yè)技術(shù)知識(shí)，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力，保證信息

系統(tǒng)研發(fā)質(zhì)量和進(jìn)度；

（三）項(xiàng)目組根據(jù)業(yè)務(wù)部門(mén)項(xiàng)目需求編制項(xiàng)目功能說(shuō)明書(shū)，依據(jù)項(xiàng)目功能說(shuō)明書(shū)分別編寫(xiě)項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說(shuō)明書(shū)，設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說(shuō)明書(shū)的要求；

（四）軟件研發(fā)必須建立獨(dú)立的測(cè)試環(huán)境，以保證測(cè)試的完整性和準(zhǔn)確性。一般測(cè)試應(yīng)包括功能測(cè)試、安全性測(cè)試、壓力測(cè)試、驗(yàn)收測(cè)試等，測(cè)試不得直接使用生產(chǎn)數(shù)據(jù)；

（五）研發(fā)人員必須根據(jù)測(cè)試結(jié)果修補(bǔ)信息系統(tǒng)的功能和缺陷，提高信息系統(tǒng)的整體質(zhì)量；

（六）根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫(xiě)操作說(shuō)明書(shū)、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃，并進(jìn)行演練；

（七）開(kāi)發(fā)過(guò)程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門(mén)、人員的簽字確認(rèn)并歸檔保存；

（八）軟件開(kāi)發(fā)項(xiàng)目必須進(jìn)行嚴(yán)格的項(xiàng)目驗(yàn)收流程，項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收?qǐng)?bào)告，驗(yàn)收不合格不得投入使用。

第九條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）人為因素導(dǎo)致信息系統(tǒng)運(yùn)行故障；

（二）運(yùn)行管理不完善；

（三）信息系統(tǒng)日常變更；

（四）新建信息系統(tǒng)運(yùn)行；

（五）機(jī)房環(huán)境變化；

（六）信息系統(tǒng)故障報(bào)告程序。

第十條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)具體控制要求：

（一）信息系統(tǒng)運(yùn)行人員應(yīng)實(shí)行專(zhuān)職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)應(yīng)符合授權(quán)和維護(hù)規(guī)程要求；

（二）相關(guān)信息系統(tǒng)運(yùn)行維護(hù)人員嚴(yán)格按照信息系統(tǒng)管理制度及維護(hù)手冊(cè)運(yùn)行及維護(hù)信息系統(tǒng)。對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過(guò)上級(jí)審批、授權(quán)后方可進(jìn)行；

（三）制訂嚴(yán)格的信息系統(tǒng)變更處理流程，明確變更流程中各崗位的職責(zé)分工，并遵循流程實(shí)施控制和管理；

（四）在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，應(yīng)配合業(yè)務(wù)部門(mén)，積極參與組織對(duì)系統(tǒng)的后評(píng)價(jià)，根據(jù)評(píng)價(jià)及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化；

（五）對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案；

（六）實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。

第十一條

信息科技外包風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)外包風(fēng)險(xiǎn)是指

銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）信息科技外包需求控制風(fēng)險(xiǎn)；

（二）信息科技外包承包方合作風(fēng)險(xiǎn)；

（三）信息科技外包項(xiàng)目商業(yè)風(fēng)險(xiǎn)；

（四）信息科技外包項(xiàng)目安全風(fēng)險(xiǎn)；

（五）信息科技外包項(xiàng)目質(zhì)量風(fēng)險(xiǎn)；

（六）信息科技外包項(xiàng)目風(fēng)險(xiǎn)管理；

（七）信息科技外包項(xiàng)目責(zé)任風(fēng)險(xiǎn)；（入）信息科技外包項(xiàng)目監(jiān)控風(fēng)險(xiǎn)。

第十二條 信息科技外包風(fēng)險(xiǎn)具體控制要求：

（一）在進(jìn)行信息系統(tǒng)外包時(shí)，應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要，合理確定外包的原則和范圍，認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn)，建立健全相關(guān)規(guī)章制度，制定相應(yīng)的風(fēng)險(xiǎn)防范措施；

（二）建立健全外包承包方評(píng)估機(jī)制，充分審查、評(píng)估承包方的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職情況調(diào)查。評(píng)估工作可委托具有國(guó)家相應(yīng)監(jiān)管部門(mén)認(rèn)定資質(zhì)、具有相關(guān)專(zhuān)業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成；

（三）與承包方簽訂書(shū)面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任；

（四）充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接

影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中；

（五）建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與檢測(cè)程序，審查管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)的外包管理的能力；

（六）信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并建立針對(duì)信息系統(tǒng)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃；

（七）與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法，保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案；

（八）對(duì)信息系統(tǒng)外包承包方進(jìn)行持續(xù)的監(jiān)控。

第四章 附 則

第十三條 各支行可依據(jù)本辦法，結(jié)合本單位實(shí)際情況，制定具體實(shí)施細(xì)則。

第十四條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。

第二篇：信息科技風(fēng)險(xiǎn)管理辦法（最終版）

XXXX銀行信息科技風(fēng)險(xiǎn)管理辦法 總則

為XXXX銀行有效防范銀行運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營(yíng)管理和內(nèi)部控制過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)我行各項(xiàng)業(yè)務(wù)安全、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《營(yíng)口沿海銀操作風(fēng)險(xiǎn)管理指引》，以及國(guó)家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本管理辦法。

本管理辦法所稱(chēng)信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在我行業(yè)務(wù)交易處理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。本管理辦法所稱(chēng)信息科技風(fēng)險(xiǎn)，是指信息科技在我行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)我行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)我行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。機(jī)構(gòu)職責(zé)

根據(jù)我行信息科技治理的要求，法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本管理辦法的貫徹落實(shí), 董事會(huì)應(yīng)履行以下信息科技管理職責(zé)： 遵守并貫徹執(zhí)行國(guó)家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)銀監(jiān)會(huì)）相關(guān)監(jiān)管要求。審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評(píng)估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率。

掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測(cè)和控制。

規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對(duì)信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。

設(shè)立一個(gè)由來(lái)自高級(jí)管理層、信息科技部門(mén)和主要業(yè)務(wù)部門(mén)的代表組成的專(zhuān)門(mén)信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專(zhuān)業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。確保內(nèi)部審計(jì)部門(mén)進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對(duì)審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。確保信息科技風(fēng)險(xiǎn)管理工作所需資金。

確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。

確保本法人機(jī)構(gòu)涉及客戶(hù)信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國(guó)境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場(chǎng)檢查的要求，防范跨境風(fēng)險(xiǎn)。及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見(jiàn)進(jìn)行整改。履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

我行應(yīng)設(shè)立分管信息科技的副行級(jí)領(lǐng)導(dǎo)，直接向行長(zhǎng)匯報(bào)，并參與決策。副行級(jí)領(lǐng)導(dǎo)的職責(zé)包括：

直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開(kāi)發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。

負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門(mén)，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專(zhuān)業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。

組織專(zhuān)業(yè)培訓(xùn)，提高人才隊(duì)伍的專(zhuān)業(yè)技能。 履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

科技部負(fù)責(zé)我行信息安全、信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理；應(yīng)對(duì)內(nèi)部管理職責(zé)進(jìn)行明確的界定，各崗位的人員應(yīng)具有相應(yīng)的專(zhuān)業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊(cè)并適時(shí)更新，并對(duì)相關(guān)人員采取相關(guān)的風(fēng)險(xiǎn)防范措施： 驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專(zhuān)業(yè)資格證書(shū)等信息。審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。評(píng)估關(guān)鍵崗位信息科技員工流失帶來(lái)的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位接替計(jì)劃等防范措施；在員工崗位發(fā)生變化后及時(shí)變更相關(guān)信息。

運(yùn)營(yíng)管理部職能交叉，要部門(mén)協(xié)調(diào)是信息系統(tǒng)中涉及賬務(wù)交易的操作、系統(tǒng)參數(shù)變更、事件管理的主要部門(mén)。運(yùn)營(yíng)管理部的職責(zé)包括：

運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離，運(yùn)行人員應(yīng)實(shí)行專(zhuān)職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)，除應(yīng)急外，其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行。

制定詳細(xì)的運(yùn)行值班操作表，包括規(guī)定巡檢時(shí)間，操作范圍、內(nèi)容、辦法、命令以及負(fù)責(zé)人員等信息。

提供機(jī)房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運(yùn)行、系統(tǒng)運(yùn)行職能交叉，要部門(mén)協(xié)調(diào)等監(jiān)控信息。記錄運(yùn)行值班過(guò)程中所有現(xiàn)象、操作過(guò)程等信息日志。對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過(guò)特定的應(yīng)用程序進(jìn)行，添加、刪除和修改數(shù)據(jù)應(yīng)通過(guò)柜員終端，不得對(duì)數(shù)據(jù)庫(kù)進(jìn)行直接操作；

具備各種詳細(xì)的日志信息，包括交易日志和審計(jì)日志等，以便維護(hù)和審計(jì)。提供維護(hù)的統(tǒng)計(jì)和報(bào)表打印功能。對(duì)系統(tǒng)參數(shù)等設(shè)置變更、維護(hù)的要求：

應(yīng)對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，嚴(yán)格審批和登記手續(xù)。制訂嚴(yán)密的變更處理流程，明確變更控制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無(wú)授權(quán)不得進(jìn)行變更操作；

根據(jù)變更需求、變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性。職能交叉，要部門(mén)協(xié)調(diào)

應(yīng)對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案，有實(shí)時(shí)交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時(shí)值班。

實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。

風(fēng)險(xiǎn)管理部負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向分管行領(lǐng)導(dǎo)（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。該部門(mén)應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門(mén)和信息科技部門(mén)提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評(píng)估，跟蹤整改意見(jiàn)的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。風(fēng)險(xiǎn)管理部的職責(zé)包括： 擬定信息系統(tǒng)風(fēng)險(xiǎn)管理總體政策，并提交高級(jí)管理層審查、審批。會(huì)同相關(guān)業(yè)務(wù)部門(mén)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行識(shí)別、監(jiān)測(cè)； 審核信息系統(tǒng)風(fēng)險(xiǎn)狀況。對(duì)總行相關(guān)業(yè)務(wù)部門(mén)和分支機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)狀況及維護(hù)、運(yùn)行情況進(jìn)行監(jiān)測(cè)，并進(jìn)行實(shí)時(shí)報(bào)告。

組織新投產(chǎn)后信息系統(tǒng)的后評(píng)價(jià)，并識(shí)別、評(píng)估新信息系統(tǒng)中所包含的風(fēng)險(xiǎn)，審核相應(yīng)的操作和風(fēng)險(xiǎn)管理程序。

稽核審計(jì)部應(yīng)在部門(mén)設(shè)立專(zhuān)門(mén)的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)?；藢徲?jì)部負(fù)責(zé)我行信息系統(tǒng)審計(jì)任務(wù)，也可聘請(qǐng)經(jīng)國(guó)家相應(yīng)監(jiān)管部門(mén)認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。信息科技風(fēng)險(xiǎn)管理

我行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域： 信息分級(jí)與保護(hù)。

信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)。信息科技運(yùn)行和維護(hù)。訪問(wèn)控制。物理安全。人員安全。

業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置。

我行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息科技中存在隱患的區(qū)域，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

我行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：

制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新和公示。

確定潛在風(fēng)險(xiǎn)區(qū)域，并對(duì)這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括： 最高權(quán)限用戶(hù)的審查。

控制對(duì)數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問(wèn)。

訪問(wèn)授權(quán)以“必需知道”和“最小授權(quán)”為原則。審批和授權(quán)。驗(yàn)證和調(diào)節(jié)。

我行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制，其中應(yīng)包括： 建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評(píng)價(jià)機(jī)制。建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。

建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制。

建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問(wèn)題的整改處理機(jī)制。

安排供應(yīng)商和業(yè)務(wù)部門(mén)對(duì)服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查。定期評(píng)估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評(píng)價(jià)。信息安全

科技部負(fù)責(zé)建立和實(shí)施信息分類(lèi)和保護(hù)體系，應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

科技部應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計(jì)劃和保持長(zhǎng)效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問(wèn)題向其他部門(mén)提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評(píng)估報(bào)告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。信息安全策略應(yīng)涉及以下領(lǐng)域： 安全制度管理。信息安全組織管理。資產(chǎn)管理。人員安全管理。

物理與環(huán)境安全管理。通信與運(yùn)營(yíng)管理。訪問(wèn)控制管理。

系統(tǒng)開(kāi)發(fā)與維護(hù)管理。信息安全事故管理。業(yè)務(wù)連續(xù)性管理。合規(guī)性管理。

應(yīng)建立有效管理用戶(hù)認(rèn)證和訪問(wèn)控制的流程。用戶(hù)對(duì)數(shù)據(jù)和系統(tǒng)的訪問(wèn)必須選擇與信息訪問(wèn)級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開(kāi)展所要求的最低限度。用戶(hù)調(diào)動(dòng)到新的工作崗位或離開(kāi)我行時(shí)，應(yīng)在系統(tǒng)中及時(shí)檢查、更新或注銷(xiāo)用戶(hù)身份。

應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測(cè)和恢復(fù)控制措施。應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡(jiǎn)稱(chēng)為域）。應(yīng)該對(duì)下列安全因素進(jìn)行評(píng)估，并根據(jù)安全級(jí)別定義和評(píng)估結(jié)果實(shí)施有效的安全控制，如對(duì)每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過(guò)濾、邏輯訪問(wèn)控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等。

域內(nèi)應(yīng)用程序和用戶(hù)組的重要程度。各種通訊渠道進(jìn)入域的訪問(wèn)點(diǎn)。

域內(nèi)配置的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。性能要求或標(biāo)準(zhǔn)。

域的性質(zhì)，如生產(chǎn)域或測(cè)試域、內(nèi)部域或外部域。不同域之間的連通性。域的可信程度。

應(yīng)通過(guò)以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全：

制定每種類(lèi)型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿(mǎn)足基本安全要求。

明確定義包括終端用戶(hù)、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)測(cè)試人員、計(jì)算機(jī)操作人員、系統(tǒng)管理員和用戶(hù)管理員等不同用戶(hù)組的訪問(wèn)權(quán)限。制定最高權(quán)限系統(tǒng)賬戶(hù)的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶(hù)的操作日志被記錄和監(jiān)察。要求技術(shù)人員定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)。在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問(wèn)、對(duì)用戶(hù)賬戶(hù)的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。應(yīng)通過(guò)以下措施，確保所有信息系統(tǒng)安全：

明確定義終端用戶(hù)和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。針對(duì)信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗(yàn)證方法。加強(qiáng)職責(zé)劃分，對(duì)關(guān)鍵或敏感崗位進(jìn)行雙重控制。在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對(duì)。

采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶(hù)提供必要信息。以書(shū)面或電子格式保存審計(jì)痕跡。

要求用戶(hù)管理員監(jiān)控和審查未成功的登錄和用戶(hù)賬戶(hù)的修改。

應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類(lèi)： 交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶(hù)登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國(guó)家會(huì)計(jì)準(zhǔn)則要求予以保存。系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。

應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿(mǎn)足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門(mén)和有關(guān)業(yè)務(wù)部門(mén)共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。

應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過(guò)程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度，以確保：

使用符合國(guó)家要求的加密技術(shù)和加密設(shè)備。

管理、使用密碼設(shè)備的員工經(jīng)過(guò)專(zhuān)業(yè)培訓(xùn)和嚴(yán)格審查。加密強(qiáng)度滿(mǎn)足信息機(jī)密性的要求。

制定并落實(shí)有效的管理流程，尤其是密鑰和證書(shū)生命周期管理。

配備切實(shí)有效的系統(tǒng)，確保所有終端用戶(hù)設(shè)備的安全，并定期對(duì)所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷(xiāo)售終端（POS）和個(gè)人數(shù)字助理（PDA）等。

制定相關(guān)制度和流程，嚴(yán)格管理客戶(hù)信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷(xiāo)毀。

對(duì)所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對(duì)違反安全規(guī)定的行為采取零容忍政策。信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)

應(yīng)有能力對(duì)信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購(gòu)、開(kāi)發(fā)、測(cè)試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。項(xiàng)目實(shí)施部門(mén)應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對(duì)系統(tǒng)的后評(píng)價(jià)，并根據(jù)評(píng)價(jià)結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無(wú)效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本，并采取適當(dāng)?shù)捻?xiàng)目管理方法，控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。

采取適當(dāng)?shù)南到y(tǒng)開(kāi)發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開(kāi)發(fā)或外購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開(kāi)發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜度。

制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，其中應(yīng)包括以下要求：

生產(chǎn)系統(tǒng)與開(kāi)發(fā)系統(tǒng)、測(cè)試系統(tǒng)有效隔離。

生產(chǎn)系統(tǒng)與開(kāi)發(fā)系統(tǒng)、測(cè)試系統(tǒng)的管理職能相分離。除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開(kāi)發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。

將完成開(kāi)發(fā)和測(cè)試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門(mén)和業(yè)務(wù)部門(mén)的聯(lián)合批準(zhǔn)，并對(duì)變更進(jìn)行及時(shí)記錄和定期復(fù)查。

制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開(kāi)發(fā)、測(cè)試、維護(hù)過(guò)程中數(shù)據(jù)的完整性、保密性和可用性。

建立并完善有效的問(wèn)題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問(wèn)題，并對(duì)問(wèn)題進(jìn)行記錄、分類(lèi)和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過(guò)程記錄在案；對(duì)完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說(shuō)明，并通知相關(guān)人員。信息科技運(yùn)行

在選擇數(shù)據(jù)中心的地理位置時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行。

嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對(duì)長(zhǎng)期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查。應(yīng)將信息科技運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù)分離，確保信息科技部門(mén)內(nèi)部的崗位制約；對(duì)數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。

按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿(mǎn)足安全保存和可恢復(fù)要求。

制定詳盡的信息科技運(yùn)行操作說(shuō)明。如在信息科技運(yùn)行手冊(cè)中說(shuō)明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開(kāi)發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（即備份的頻率、范圍和保留周期）。建立事故管理及處置機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。我行應(yīng)建立服務(wù)臺(tái)，為用戶(hù)提供相關(guān)技術(shù)問(wèn)題的在線支持，并將問(wèn)題提交給相關(guān)信息科技部門(mén)進(jìn)行調(diào)查和解決。

建立服務(wù)水平管理相關(guān)的制度和流程，對(duì)信息科技運(yùn)行服務(wù)水平進(jìn)行考核。

建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)行識(shí)別和修正。制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長(zhǎng)。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄），以確保有效維護(hù)設(shè)備和設(shè)施。制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門(mén)和業(yè)務(wù)部門(mén)共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來(lái)的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過(guò)正常的驗(yàn)收測(cè)試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。業(yè)務(wù)連續(xù)性管理

根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對(duì)規(guī)劃進(jìn)行更新和演練，以保證其有效性。評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響，包括評(píng)估可能由下述原因?qū)е碌钠茐模?/p>

內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。信息丟失或受損。

外部事件（如戰(zhàn)爭(zhēng)、地震或臺(tái)風(fēng)等）。

應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過(guò)應(yīng)急安排和保險(xiǎn)等方式降低影響。

建立維持其運(yùn)營(yíng)連續(xù)性策略的文檔，并制定對(duì)策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括：

規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長(zhǎng)期中斷所造成影響的措施，包括但不限于: 資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。運(yùn)行恢復(fù)的優(yōu)先順序。

與內(nèi)部各部門(mén)及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶(hù)和媒體等）的溝通安排。更新實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃的流程及相關(guān)聯(lián)系信息。驗(yàn)證受中斷影響的信息完整性的步驟。

當(dāng)我行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對(duì)本條一到三進(jìn)行審核并升級(jí)。

我行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門(mén)或信息科技管理委員會(huì)確認(rèn)。外包與審計(jì) 外包

不得將我行信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。

實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書(shū)面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相關(guān)準(zhǔn)備，其中包括：

分析外包是否適合我行的組織結(jié)構(gòu)和報(bào)告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險(xiǎn)控制，是否滿(mǎn)足我行履行對(duì)外包服務(wù)商的監(jiān)督義務(wù)。

考慮外包協(xié)議是否允許我行監(jiān)測(cè)和控制與外包相關(guān)的操作風(fēng)險(xiǎn)。

充分審查、評(píng)估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專(zhuān)業(yè)經(jīng)驗(yàn)，對(duì)外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。

考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過(guò)渡（包括終止合同可能發(fā)生的情況）。

關(guān)注可能存在的集中風(fēng)險(xiǎn)，如多家我行共用同一外包服務(wù)商帶來(lái)的潛在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。在與外包服務(wù)商合同談判過(guò)程中，應(yīng)考慮的因素包括但不限于： 對(duì)外包服務(wù)商的報(bào)告要求和談判必要條件。

銀行業(yè)監(jiān)管機(jī)構(gòu)和內(nèi)部審計(jì)、外部審計(jì)能執(zhí)行足夠的監(jiān)督。

通過(guò)界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶(hù)信息和其他信息。擔(dān)保和損失賠償是否充足。

外包服務(wù)商遵守我行有關(guān)信息科技風(fēng)險(xiǎn)制度和流程的意愿及相關(guān)措施。外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專(zhuān)屬資源的承諾。第三方供應(yīng)商出現(xiàn)問(wèn)題時(shí)，保證軟件持續(xù)可用的相關(guān)措施。

變更外包協(xié)議的流程，以及我行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如： 我行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。我行或外包服務(wù)商的業(yè)務(wù)經(jīng)營(yíng)發(fā)生重大變化。

外包服務(wù)商提供的服務(wù)不充分，造成我行不能履行監(jiān)督義務(wù)。

在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮的因素包括但不限于：

提出定性和定量的績(jī)效指標(biāo)，評(píng)估外包服務(wù)商為我行及其相關(guān)客戶(hù)提供服務(wù)的充分性。通過(guò)服務(wù)水平報(bào)告、定期自我評(píng)估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績(jī)效考核。針對(duì)績(jī)效不達(dá)標(biāo)的情況調(diào)整流程，采取整改措施。加強(qiáng)信息科技相關(guān)外包管理工作，確保我行的客戶(hù)資料等敏感信息的安全，包括但不限于采取以下措施：

實(shí)現(xiàn)本銀行客戶(hù)資料與外包服務(wù)商其他客戶(hù)資料的有效隔離。

按照“必需知道”和“最小授權(quán)”原則對(duì)外包服務(wù)商相關(guān)人員授權(quán)。要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

應(yīng)將涉及本銀行客戶(hù)資料的外包作為重要外包，并告知相關(guān)客戶(hù)。

嚴(yán)格控制外包服務(wù)商再次對(duì)外轉(zhuǎn)包，采取足夠措施確保我行相關(guān)信息的安全。確保在中止外包協(xié)議時(shí)收回或銷(xiāo)毀外包服務(wù)商保存的所有客戶(hù)資料。我行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財(cái)務(wù)損失和重要人員的變動(dòng)，以及外包協(xié)議的意外終止。我行所有信息科技外包合同應(yīng)由科技部、風(fēng)險(xiǎn)管理部、法律合規(guī)部和信息科技管理委員會(huì)審核通過(guò)。我行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。審計(jì)

我行內(nèi)部審計(jì)部門(mén)應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)?；藢徲?jì)部門(mén)應(yīng)配備足夠的資源和具有專(zhuān)業(yè)能力的信息科技審計(jì)人員，獨(dú)立于我行的日常活動(dòng)，具有適當(dāng)?shù)氖跈?quán)訪問(wèn)我行的記錄。我行內(nèi)部信息科技審計(jì)的責(zé)任包括：

制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評(píng)估我行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性。按照第一款規(guī)定完成審計(jì)工作，在此基礎(chǔ)上提出整改意見(jiàn)。檢查整改意見(jiàn)是否得到落實(shí)。

執(zhí)行信息科技專(zhuān)項(xiàng)審計(jì)。信息科技專(zhuān)項(xiàng)審計(jì)，是指對(duì)信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事項(xiàng)進(jìn)行的審計(jì)。

我行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。我行在進(jìn)行大規(guī)模系統(tǒng)開(kāi)發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門(mén)和內(nèi)部審計(jì)部門(mén)參與，保證系統(tǒng)開(kāi)發(fā)符合本銀行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。我行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。

在委托審計(jì)過(guò)程中，我行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國(guó)家法律、法規(guī)及監(jiān)管部門(mén)規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

我行在實(shí)施外部審計(jì)前應(yīng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)確定審計(jì)范圍，不應(yīng)故意隱瞞事實(shí)或阻撓審計(jì)檢查。

銀監(jiān)會(huì)及其派出機(jī)構(gòu)必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對(duì)我行執(zhí)行信息科技審計(jì)或相關(guān)檢查。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對(duì)我行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書(shū)，并依照委托授權(quán)書(shū)上規(guī)定的范圍進(jìn)行審計(jì)。外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的我行應(yīng)根據(jù)該審計(jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。

我行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，防止其擅自對(duì)本銀行提供的任何文件進(jìn)行修改、復(fù)制或帶離現(xiàn)場(chǎng)。附則

本辦法由營(yíng)口沿海銀風(fēng)險(xiǎn)管理部負(fù)責(zé)解釋和修訂。

第三篇：某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法

某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法

第一章

總

則

第一條

為規(guī)范信息科技風(fēng)險(xiǎn)評(píng)估工作，提高某銀行信息科技風(fēng)險(xiǎn)管理水平，促進(jìn)我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)國(guó)家信息安全法律、法規(guī)及銀行業(yè)信息科技監(jiān)管要求及《某銀行信息科技風(fēng)險(xiǎn)管理策略》，結(jié)合我行風(fēng)險(xiǎn)管理實(shí)際情況，特制定本辦法。

第二條

本辦法屬于信息科技風(fēng)險(xiǎn)類(lèi)“管理辦法”，適用于某銀行信息科技工作全過(guò)程的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估對(duì)象包括信息科技組織、管理過(guò)程和信息資產(chǎn)。

第三條

信息科技風(fēng)險(xiǎn)，是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn)營(yíng)過(guò)程中，由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、法律、聲譽(yù)等風(fēng)險(xiǎn)。

第四條

信息科技風(fēng)險(xiǎn)評(píng)估是指在信息科技風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還沒(méi)有結(jié)束），該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。

第五條

本辦法所指的信息科技風(fēng)險(xiǎn)類(lèi)型及來(lái)源包括但不限于以下內(nèi)容：

(一)信息科技總體風(fēng)險(xiǎn)是指信息科技在策略、制度、物理環(huán)境、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。

(二)信息系統(tǒng)風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及下線過(guò)程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險(xiǎn)。

(三)研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。

(四)運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中訪問(wèn)管理、操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。

(五)外包風(fēng)險(xiǎn)是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。

第六條

信息科技風(fēng)險(xiǎn)評(píng)估是識(shí)別、計(jì)量、評(píng)價(jià)信息科技風(fēng)險(xiǎn)的活動(dòng)，旨在客觀反映信息科技對(duì)我行發(fā)展戰(zhàn)略的支撐程度。

第七條

風(fēng)險(xiǎn)評(píng)估應(yīng)遵循“全面覆蓋、突出重點(diǎn)、持續(xù)跟進(jìn)”的原則。

第八條

總行、一級(jí)分行的信息科技風(fēng)險(xiǎn)評(píng)估（含自評(píng)估）工作應(yīng)遵照本辦法執(zhí)行。

第二章

角色分工

第九條

風(fēng)險(xiǎn)評(píng)估可由總行信息科技管理委員會(huì)或一級(jí)分行發(fā)起，承擔(dān)機(jī)構(gòu)是風(fēng)險(xiǎn)管理部，風(fēng)險(xiǎn)管理部負(fù)責(zé)組建風(fēng)險(xiǎn)評(píng)估實(shí) 施團(tuán)隊(duì)。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)由管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成，評(píng)估工作角色分為：評(píng)估管理人員、評(píng)估人員、評(píng)估分 析人員。

（一）評(píng)估管理人員由風(fēng)險(xiǎn)管理部信息科技風(fēng)險(xiǎn)管理崗擔(dān)任，負(fù)責(zé)組織、管理、監(jiān)督風(fēng)險(xiǎn)評(píng)估任務(wù)，包括：

1.制定風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃

2.設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估方案

3.審核風(fēng)險(xiǎn)評(píng)估報(bào)告

4.確認(rèn)風(fēng)險(xiǎn)處置建議

5.跟蹤風(fēng)險(xiǎn)評(píng)估任務(wù)進(jìn)度

6.控制風(fēng)險(xiǎn)評(píng)估任務(wù)質(zhì)量

（二）評(píng)估人員負(fù)責(zé)按照風(fēng)險(xiǎn)評(píng)估任務(wù)要求，收集并提供信息和證據(jù)，如實(shí)反映信息科技工作現(xiàn)狀。評(píng)估人員由評(píng)估對(duì)象 所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔(dān)任；

（三）評(píng)估分析人員負(fù)責(zé)匯總、整理和分析采集到的信息與證據(jù)材料，編寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告。評(píng)估分析人員由行內(nèi)經(jīng)驗(yàn)豐富的專(zhuān)業(yè)人員擔(dān)任，必要時(shí)可聘請(qǐng)業(yè)內(nèi)專(zhuān)業(yè)人員。

第十條

在同一風(fēng)險(xiǎn)評(píng)估任務(wù)中，評(píng)估實(shí)施團(tuán)隊(duì)成員不少于三人，評(píng)估管理人員和評(píng)估分析人員不得兼任評(píng)估人員。

第三章 風(fēng)險(xiǎn)評(píng)估計(jì)劃

第十一條

總行和一級(jí)分行每應(yīng)開(kāi)展一次整體信息科技風(fēng)險(xiǎn)評(píng)估，兩次以上專(zhuān)項(xiàng)信息科技風(fēng)險(xiǎn)評(píng)估。

第十二條

信息科技風(fēng)險(xiǎn)評(píng)估要以信息科技風(fēng)險(xiǎn)監(jiān)測(cè)信息、數(shù)據(jù)以及其他有關(guān)信息為基礎(chǔ)，遵循科學(xué)、透明和個(gè)案處理的原則進(jìn)行。

第十三條

出現(xiàn)以下情況時(shí)，應(yīng)結(jié)合本單位以往風(fēng)險(xiǎn)評(píng)估情況，確定是否啟動(dòng)專(zhuān)項(xiàng)信息科技風(fēng)險(xiǎn)評(píng)估：

（一）新系統(tǒng)上線后或已有系統(tǒng)進(jìn)行重大變更；

（二）信息科技運(yùn)行中發(fā)現(xiàn)重大紕漏或隱患；

（三）內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件；

（四）信息科技審計(jì)中發(fā)現(xiàn)重大問(wèn)題；

（五）監(jiān)管機(jī)構(gòu)發(fā)布風(fēng)險(xiǎn)提示；

（六）其他情況。

第十四條

一級(jí)分行根據(jù)總行風(fēng)險(xiǎn)評(píng)估工作要求，結(jié)合本行實(shí)際情況制定風(fēng)險(xiǎn)評(píng)估計(jì)劃，并報(bào)總行備案。

第四章 風(fēng)險(xiǎn)識(shí)別與評(píng)估方法

第十五條

風(fēng)險(xiǎn)評(píng)估通過(guò)人工評(píng)估或自動(dòng)化工具測(cè)評(píng)等手 段識(shí)別、分析支撐 IT 目標(biāo)的流程和資源中存在的缺失或不足，判斷風(fēng)險(xiǎn)優(yōu)先級(jí)，提出風(fēng)險(xiǎn)處置建議。

第十六條

總行信息科技管理委員會(huì)或一級(jí)分行發(fā)起風(fēng)險(xiǎn)評(píng)估任務(wù)，并下達(dá)任務(wù)書(shū)。評(píng)估管理人員依據(jù)任務(wù)書(shū)組織編寫(xiě)風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃書(shū)和風(fēng)險(xiǎn)評(píng)估方案。

第十七條

評(píng)估管理人員組織人員依據(jù)評(píng)估對(duì)象的業(yè)務(wù)目標(biāo)識(shí)別IT 服務(wù)目標(biāo)，進(jìn)而分析支撐IT 目標(biāo)的流程和資源，并針對(duì)流程要素和資源要素設(shè)計(jì)風(fēng)險(xiǎn)檢查表。

第十八條

評(píng)估人員依據(jù)風(fēng)險(xiǎn)檢查表，采用人工或自動(dòng)化工具對(duì)評(píng)估對(duì)象的信息科技狀況進(jìn)行信息收集。信息收集可采用調(diào)查、檢查、安全測(cè)試等方式：

（一）調(diào)查包括問(wèn)卷調(diào)查、遠(yuǎn)程訪談、現(xiàn)場(chǎng)訪談等；

（二）檢查包括文檔檢查、代碼檢查、流程檢查等；

（三）安全測(cè)試包括人工測(cè)試、自動(dòng)化測(cè)試以及綜合性滲透測(cè)試等。

第十九條

評(píng)估分析人員采用定性或定量的計(jì)算方法，依據(jù)各類(lèi)風(fēng)險(xiǎn)對(duì)實(shí)現(xiàn) IT 目標(biāo)的影響，計(jì)算出評(píng)估對(duì)象的風(fēng)險(xiǎn)優(yōu)先值或級(jí)別，并進(jìn)行分析：

（一）風(fēng)險(xiǎn)成因分析，分析誘發(fā)風(fēng)險(xiǎn)的主觀因素和客觀因素。主觀因素包括流程缺失、控制不足或無(wú)效等；客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。

（二）風(fēng)險(xiǎn)占比分析，依據(jù)對(duì)IT 目標(biāo)的影響程度，分析評(píng)估對(duì)象當(dāng)前狀態(tài)下各類(lèi)、各級(jí)風(fēng)險(xiǎn)占比情況；

（三）風(fēng)險(xiǎn)對(duì)比分析，對(duì)同次任務(wù)中不同機(jī)構(gòu)的風(fēng)險(xiǎn)狀態(tài)進(jìn)行對(duì)比，分析各類(lèi)風(fēng)險(xiǎn)在不同機(jī)構(gòu)的分布狀況及影響；

（四）風(fēng)險(xiǎn)趨勢(shì)分析，對(duì)不同時(shí)期的相同任務(wù)結(jié)果進(jìn)行對(duì)比，分析同一風(fēng)險(xiǎn)的增強(qiáng)或減弱情況，了解風(fēng)險(xiǎn)的發(fā)展趨勢(shì)。

第二十條

風(fēng)險(xiǎn)分析可采用以下手段：

（一）專(zhuān)家經(jīng)驗(yàn)；

（二）風(fēng)險(xiǎn)分析模型；

（三）風(fēng)險(xiǎn)分析工具。

第二十一條 評(píng)估分析人員針對(duì)風(fēng)險(xiǎn)評(píng)估任務(wù)中揭示的風(fēng)險(xiǎn)類(lèi)型和狀態(tài)，結(jié)合組織機(jī)構(gòu)、業(yè)務(wù)需求和安全要求，提出風(fēng)險(xiǎn)處置建議，包括降低、轉(zhuǎn)移或消除風(fēng)險(xiǎn)的措施、預(yù)期效果等。

第二十二條 評(píng)估分析人員編寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告，內(nèi)容包括風(fēng)險(xiǎn)評(píng)估任務(wù)描述、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置建議等。評(píng)估報(bào)告經(jīng)評(píng)估管理人員審核后提交信息科技管理委員會(huì)。

第二十三條 風(fēng)險(xiǎn)評(píng)估過(guò)程(附件1)分為三個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、信息收集和風(fēng)險(xiǎn)識(shí)別分析。

第五章 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

第二十四條 根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)劃，總行信息科技管理委員會(huì)或一級(jí)分行提出信息科技風(fēng)險(xiǎn)評(píng)估任務(wù)，編制風(fēng)險(xiǎn)評(píng)估任務(wù)書(shū)（附件 2），明確任務(wù)目標(biāo)、評(píng)估對(duì)象、評(píng)估范圍、任務(wù)起止時(shí)間、風(fēng)險(xiǎn)管理部門(mén)等。

第二十五條 風(fēng)險(xiǎn)管理部組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)，指定風(fēng)險(xiǎn)評(píng)估管理人員、風(fēng)險(xiǎn)評(píng)估人員和風(fēng)險(xiǎn)評(píng)估分析人員，并授權(quán)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。

第二十六條 評(píng)估管理人員組織制定風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃書(shū)（附件 3），明確風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)的計(jì)劃安排，主要包括：

（一）團(tuán)隊(duì)組織：包括成員名單、角色、職責(zé)等內(nèi)容；

（二）工作計(jì)劃：描述各階段的工作安排，包括工作內(nèi)容、時(shí)間進(jìn)度和各階段成果清單等內(nèi)容。

第二十七條 評(píng)估管理人員組織設(shè)計(jì)評(píng)估方案，評(píng)估方案包括風(fēng)險(xiǎn)檢查表（附件4）、信息收集方式、風(fēng)險(xiǎn)分析方法等。

第二十八條 設(shè)計(jì)風(fēng)險(xiǎn)檢查表時(shí)遵循以下過(guò)程：

（一）分析評(píng)估對(duì)象的業(yè)務(wù)目標(biāo)和IT服務(wù)目標(biāo)；

（二）識(shí)別實(shí)現(xiàn)IT 目標(biāo)的工作流程和資源；

（三）識(shí)別影響工作流程和資源中的關(guān)鍵因素，主要考慮各流程要素的活動(dòng)內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實(shí)現(xiàn)方式、所需資源等；

（四）根據(jù)關(guān)鍵因素設(shè)計(jì)風(fēng)險(xiǎn)檢查項(xiàng)、檢查指標(biāo)和評(píng)價(jià)權(quán)重，形成風(fēng)險(xiǎn)檢查表。

第二十九條 評(píng)估管理人員通過(guò)風(fēng)險(xiǎn)評(píng)估啟動(dòng)會(huì)等形式啟動(dòng)具體風(fēng)險(xiǎn)評(píng)估工作。

第六章 信息收集

第三十條

評(píng)估管理人員將風(fēng)險(xiǎn)檢查表分發(fā)給評(píng)估人員，并告知信息收集方法及填寫(xiě)要求。

第三十一條 評(píng)估人員通過(guò)調(diào)閱文檔、收集日志、現(xiàn)場(chǎng)訪談、工具測(cè)評(píng)等方式獲取風(fēng)險(xiǎn)評(píng)估所需信息。信息內(nèi)容包括但不限于：IT 制度及執(zhí)行情況、技術(shù)文檔、以往審計(jì)報(bào)告、風(fēng)險(xiǎn)管理報(bào)告、日志記錄、訪談?dòng)涗洝y(cè)試報(bào)告等。

第三十二條 評(píng)估人員根據(jù)采集的信息，填寫(xiě)風(fēng)險(xiǎn)檢查表，并保留證據(jù)。

第三十三條 評(píng)估管理人員督查信息收集進(jìn)展情況，按計(jì)劃收回風(fēng)險(xiǎn)檢查表，并審核填報(bào)信息質(zhì)量。必要時(shí)，可要求評(píng)估人員補(bǔ)充信息和附加證據(jù)。

第三十四條 評(píng)估管理人員將風(fēng)險(xiǎn)檢查表提交評(píng)估分析人員。第七章 風(fēng)險(xiǎn)分析

第三十五條 評(píng)估分析人員按評(píng)估方案確定的風(fēng)險(xiǎn)分析方法對(duì)風(fēng)險(xiǎn)檢查表進(jìn)行匯總、梳理，評(píng)定風(fēng)險(xiǎn)等級(jí)，分析風(fēng)險(xiǎn)成因，提出風(fēng)險(xiǎn)處置建議，形成風(fēng)險(xiǎn)評(píng)估報(bào)告（附件5）。報(bào)告包括但不限于以下內(nèi)容：

（一）風(fēng)險(xiǎn)評(píng)估任務(wù)概述

（二）風(fēng)險(xiǎn)評(píng)估活動(dòng)描述

（三）風(fēng)險(xiǎn)分析，包括總體風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)占比分析、風(fēng)險(xiǎn)對(duì)比分析、風(fēng)險(xiǎn)趨勢(shì)分析

（四）風(fēng)險(xiǎn)成因分析

（五）風(fēng)險(xiǎn)處置建議

（六）詳細(xì)風(fēng)險(xiǎn)列表

第三十六條 評(píng)估分析人員將風(fēng)險(xiǎn)評(píng)估報(bào)告提交評(píng)估管理人員。

第三十七條 評(píng)估管理人員定期督查風(fēng)險(xiǎn)分析進(jìn)展情況，指導(dǎo)風(fēng)險(xiǎn)分析工作，組織審核風(fēng)險(xiǎn)評(píng)估報(bào)告，形成正式報(bào)告提交風(fēng)險(xiǎn)管理部負(fù)責(zé)人。

第三十八條 風(fēng)險(xiǎn)管理部將風(fēng)險(xiǎn)評(píng)估報(bào)告上報(bào)信息科技管理委員會(huì)，并通過(guò)風(fēng)險(xiǎn)評(píng)估任務(wù)總結(jié)會(huì)等形式，通報(bào)風(fēng)險(xiǎn)評(píng)估情況。

第三十九條 風(fēng)險(xiǎn)管理部將風(fēng)險(xiǎn)評(píng)估資料歸檔管理。

第八章

附則

第四十條

本管理辦法由某銀行總行制定并負(fù)責(zé)解釋和修訂。

第四十一條 本管理辦法自發(fā)布之日起執(zhí)行。

第四篇：村鎮(zhèn)銀行信息科技整改報(bào)告

關(guān)于鐵嶺新星村鎮(zhèn)銀行 信息科技內(nèi)部審計(jì)的整改報(bào)告

內(nèi)審合規(guī)部于1-2月份對(duì)我部門(mén)的信息科技相關(guān)情況進(jìn)行了內(nèi)部審計(jì)，審計(jì)中發(fā)現(xiàn)了一些問(wèn)題，我部高度重視，認(rèn)真整改，現(xiàn)將整改情況匯報(bào)如下：

一、加強(qiáng)信息技術(shù)內(nèi)控制度的建設(shè)

加強(qiáng)與外包行興業(yè)銀行的互動(dòng)，建立本行與興業(yè)銀行的良性運(yùn)行機(jī)制，積極參與到興業(yè)銀行的相關(guān)內(nèi)部控制流程來(lái)，做到托管行和外包行之間的相互牽制和協(xié)調(diào)。

加強(qiáng)本行內(nèi)部控制制度的建設(shè)，貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求，履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé)，建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度，并嚴(yán)格執(zhí)行。

建立健全良好的控制環(huán)境，控制環(huán)境是村鎮(zhèn)銀行信息科技的風(fēng)險(xiǎn)基調(diào)；做好各項(xiàng)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估；進(jìn)一步做好信息科技的不相容職責(zé)相分離、相關(guān)業(yè)務(wù)流程的授權(quán)審批制度、信息安全管理等控制活動(dòng)；加強(qiáng)信息系統(tǒng)建設(shè)，信息系統(tǒng)不僅處理內(nèi)部資料，而且還處理形成企業(yè)決策和外部報(bào)告所必須的外部事件、行為和條件的信息。我行應(yīng)加強(qiáng)與外包銀行、監(jiān)管機(jī)構(gòu)、高級(jí)管理層、股東以及治理層之間的信息溝通；做到對(duì)信息科技內(nèi)部控制的持續(xù)監(jiān)控。

二、提高系統(tǒng)維護(hù)運(yùn)行效率

進(jìn)一步加強(qiáng)與承包方的溝通管理，溝通管理是企業(yè)組織的生命線。管理的過(guò)程，也就是溝通的過(guò)程。企業(yè)是個(gè)有生命的有機(jī)體，而溝通則是機(jī)體內(nèi)的血管，通過(guò)流動(dòng)來(lái)給組織系統(tǒng)提供養(yǎng)分，實(shí)現(xiàn)機(jī)體的良性循環(huán)。溝通管理是企業(yè)管理的核心內(nèi)容和實(shí)質(zhì)。

我行應(yīng)采用書(shū)面與口頭溝通相結(jié)合的溝通制度，例如，提交運(yùn)維申請(qǐng)單書(shū)面文件后，相關(guān)人員應(yīng)及時(shí)電話通知興業(yè)相關(guān)運(yùn)行維護(hù)人員。采用正式溝通和非正式溝通向結(jié)合的溝通方法，正式溝通是通過(guò)明文規(guī)定的渠道進(jìn)行信息傳遞的交流方式，非正式溝通不僅可以獲得信息，也是建立信任和關(guān)系的溝通。

強(qiáng)化運(yùn)維體系建設(shè)，提升系統(tǒng)服務(wù)水平。要進(jìn)一步完善運(yùn)維管理流程，健全運(yùn)維管理制度和標(biāo)準(zhǔn)，確保配置足夠的人力、物力、財(cái)力來(lái)維持安全、穩(wěn)定的信息科技環(huán)境，提升信息科技運(yùn)維保障能力。在高度上做好管理流程整合，在深度上做好業(yè)務(wù)流程分解，強(qiáng)化事件分級(jí)制度，建立起一個(gè)有效的事件分級(jí)及響應(yīng)機(jī)制，加強(qiáng)對(duì)業(yè)務(wù)連續(xù)性的管理，保障金融服務(wù)持續(xù)穩(wěn)定。

三、加強(qiáng)員工的信息科技安全知識(shí)培訓(xùn)

進(jìn)一步提高信息科技人員履職能力。采取有效方式和途徑，通過(guò)求助發(fā)起行或聘請(qǐng)其他外部專(zhuān)業(yè)技術(shù)人員對(duì)現(xiàn)有科技人員進(jìn)行培訓(xùn)，提高信息科技人員的綜合素質(zhì)和履職能力。

針對(duì)銀行一線員工，集中開(kāi)展關(guān)于銀行業(yè)務(wù)所需的相關(guān)設(shè)備的操作和維護(hù)的培訓(xùn)，使一線工作人員掌握基本的相關(guān)設(shè)備耗材更換，灰塵清理等一些簡(jiǎn)單維護(hù)技能，這樣一來(lái)既能縮短業(yè)務(wù)等待時(shí)間，提高工作的效率，又能節(jié)省科技人員的工作精力，使信息科技人員得以專(zhuān)注信息科技日常管理工作。

鐵嶺新星村鎮(zhèn)銀行信息科技部

2018年3月8日

第五篇：銀行信息科技風(fēng)險(xiǎn)自查報(bào)告

銀行信息科技風(fēng)險(xiǎn)自查報(bào)告

在人們?cè)絹?lái)越注重自身素養(yǎng)的今天，報(bào)告的適用范圍越來(lái)越廣泛，我們?cè)趯?xiě)報(bào)告的時(shí)候要注意語(yǔ)言要準(zhǔn)確、簡(jiǎn)潔。你還在對(duì)寫(xiě)報(bào)告感到一籌莫展嗎？以下是小編為大家收集的銀行信息科技風(fēng)險(xiǎn)自查報(bào)告，僅供參考，歡迎大家閱讀。

按照上級(jí)領(lǐng)導(dǎo)的指示，我行認(rèn)真貫徹精神，為充分做好重要時(shí)期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范我行信息科技風(fēng)險(xiǎn)，保障計(jì)算機(jī)系統(tǒng)運(yùn)行和操作安全，建立和完善信息科技風(fēng)險(xiǎn)管理機(jī)制。對(duì)我行的信息科技工作進(jìn)行了一次全面的自我評(píng)估及審查?，F(xiàn)將審查情況報(bào)告如下：

一、設(shè)備間建設(shè)規(guī)范和管理規(guī)范

（1）設(shè)備間安裝了溫濕度儀表，以用來(lái)監(jiān)控機(jī)房溫度和濕度，并能夠及時(shí)開(kāi)啟控溫控濕設(shè)備來(lái)保證機(jī)房的溫度和濕度。

（2）設(shè)備間每周由網(wǎng)點(diǎn)經(jīng)理或支行行長(zhǎng)來(lái)對(duì)設(shè)備間的環(huán)境狀況進(jìn)行檢查，并登記成冊(cè)，以確保設(shè)備間保持整潔和規(guī)范。

（3）設(shè)備間嚴(yán)格控制出入人員，并保證營(yíng)業(yè)網(wǎng)點(diǎn)外來(lái)人員有相關(guān)證件登記。

（4）支行技術(shù)人員每年一次對(duì)設(shè)備間的主要設(shè)備進(jìn)行巡檢，確保設(shè)備能夠正常使用，并在相關(guān)登記本上記錄。

二、應(yīng)急管理和終端安全

（1）支行會(huì)不定期對(duì)一些預(yù)案進(jìn)行檢查，確保這些預(yù)案是最新的，且告知網(wǎng)點(diǎn)人員張貼在需要的地方。

（2）支行每年會(huì)抽取一定的網(wǎng)點(diǎn)人員進(jìn)行培訓(xùn)和演練，并書(shū)寫(xiě)心得和體會(huì)，確保網(wǎng)點(diǎn)人員能夠正確的應(yīng)對(duì)突發(fā)狀況。

（3）支行每月會(huì)不定期的抽查相關(guān)電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開(kāi)通ADSL等違規(guī)的網(wǎng)絡(luò)。

一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)

1、來(lái)自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計(jì)算機(jī)技術(shù)在農(nóng)村信用社各項(xiàng)業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識(shí)較為薄弱，加上計(jì)算機(jī)水平又是參差不齊，有的員工很難主動(dòng)發(fā)現(xiàn)客戶(hù)端系統(tǒng)出現(xiàn)的漏洞從而實(shí)施補(bǔ)丁升級(jí)，U盤(pán)濫用且從不進(jìn)行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運(yùn)行。

二、操作流程風(fēng)險(xiǎn)

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計(jì)算機(jī)操作業(yè)務(wù)能力與嚴(yán)格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實(shí),不能夠完全掌握農(nóng)信社的各項(xiàng)業(yè)務(wù)操作流程及處置程序,必然會(huì)造成操作失誤而導(dǎo)致風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識(shí)差。目前，我區(qū)農(nóng)村信用社計(jì)算機(jī)操作員一般只通過(guò)了短期輔導(dǎo)培訓(xùn)，未能全面掌握計(jì)算機(jī)理論知識(shí)及運(yùn)用技術(shù)，主要表現(xiàn)在：一是一些操作人員對(duì)計(jì)算機(jī)知識(shí)的`缺乏，

經(jīng)常出現(xiàn)操作性錯(cuò)誤；二是操作人員基本安全意識(shí)不強(qiáng)，缺乏安全防范意識(shí)；三是人員調(diào)離或崗位變動(dòng)時(shí)不及時(shí)注銷(xiāo)操作員，導(dǎo)致操作員不便于管理；四是人離機(jī)不退，個(gè)別人隨意離開(kāi)工作崗位，也不簽退，給他人可乘之機(jī)，造成了嚴(yán)重的信息安全隱患。

2、不嚴(yán)格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐，對(duì)推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險(xiǎn)意識(shí)不強(qiáng)等原因造成了在操作過(guò)程中出現(xiàn)系列風(fēng)險(xiǎn)。一是操作人員不嚴(yán)格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風(fēng)險(xiǎn)；二是沒(méi)有定期對(duì)機(jī)器除塵、保養(yǎng)，使微機(jī)在較惡劣環(huán)境下帶“病”工作，計(jì)算機(jī)運(yùn)行報(bào)錯(cuò)或元器件損壞時(shí)有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；三是不嚴(yán)格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負(fù)擔(dān)。

為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求，對(duì)日常計(jì)算機(jī)信息管理中存在的問(wèn)題經(jīng)行重點(diǎn)監(jiān)督和整改：

1、嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無(wú)法隔離的要隨時(shí)升級(jí)殺毒程序，同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。加強(qiáng)員工計(jì)算機(jī)知識(shí)培訓(xùn)，提高員工的電腦操作技能，制定防

毒策略，養(yǎng)成良好的上網(wǎng)習(xí)慣，嚴(yán)防病毒侵害。

2、加強(qiáng)對(duì)一線人員的操作流程、各項(xiàng)基本規(guī)定的培訓(xùn)，加強(qiáng)對(duì)信息專(zhuān)管員的培訓(xùn)，提高其處理計(jì)算機(jī)及網(wǎng)絡(luò)故障、防范計(jì)算機(jī)及網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力；對(duì)業(yè)務(wù)操作人員要重點(diǎn)抓好計(jì)算機(jī)知識(shí)的普及培訓(xùn)工作，建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計(jì)算機(jī)業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅(jiān)決杜絕各種混崗現(xiàn)象，嚴(yán)格遵循管理制度。

3、嚴(yán)格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財(cái)務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學(xué)習(xí)和掌握農(nóng)村信用社的操作流程和各項(xiàng)規(guī)章制度,加強(qiáng)制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號(hào)，嚴(yán)禁使用6位相同數(shù)字或電話號(hào)碼或生日號(hào)碼等，嚴(yán)禁口頭或電話告知操作密碼。

4、加強(qiáng)內(nèi)控建設(shè)，強(qiáng)化監(jiān)督，完善防范機(jī)制。首先，建立柜員崗位制約為主，做到責(zé)任到崗、落實(shí)到人、相互制約、互相監(jiān)督。其次，

全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實(shí)時(shí)監(jiān)管，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行整改，消除風(fēng)險(xiǎn)隱患。再則，加強(qiáng)會(huì)計(jì)事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點(diǎn)是督促基層社各項(xiàng)計(jì)算機(jī)制度執(zhí)行與落實(shí)，提升基層執(zhí)行力，以此推進(jìn)和完善防范制度，切實(shí)做到防患于未然。

5、日常維護(hù)方面，由基社信息專(zhuān)管員負(fù)責(zé)每周一次對(duì)機(jī)房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)科技信息部處理；每月在各基社網(wǎng)點(diǎn)信息專(zhuān)管員的配合下，對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行和管理進(jìn)行維護(hù)和檢查至少一次，全轄的ATM和POS機(jī)由科技信息部統(tǒng)一管理，落實(shí)基社網(wǎng)點(diǎn)專(zhuān)人負(fù)責(zé)，加大專(zhuān)管人員的培訓(xùn)，使日常操作、維護(hù)工作和安全防范措施得以落實(shí)。

一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)

來(lái)自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計(jì)算機(jī)技術(shù)在農(nóng)村信用社各項(xiàng)業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識(shí)較為薄弱，加上計(jì)算機(jī)水平又是參差不齊，有的員工很難主動(dòng)發(fā)現(xiàn)客戶(hù)端系統(tǒng)出現(xiàn)的漏洞從而實(shí)施補(bǔ)丁升級(jí)，U盤(pán)濫用且從不進(jìn)行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運(yùn)行。

二、操作流程風(fēng)險(xiǎn)

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計(jì)算機(jī)操作業(yè)務(wù)能力與嚴(yán)格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實(shí),不能夠完全掌握農(nóng)信社的各項(xiàng)業(yè)務(wù)操作流程及處置程序,必然會(huì)造成操作失誤而導(dǎo)致風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識(shí)差。目前，我區(qū)農(nóng)村信用社計(jì)算機(jī)操作員一般只通過(guò)了短期輔導(dǎo)培訓(xùn)，未能全面掌握計(jì)算機(jī)理論知識(shí)及運(yùn)用技術(shù)，主要表現(xiàn)在：

一是一些操作人員對(duì)計(jì)算機(jī)知識(shí)的缺乏，經(jīng)常出現(xiàn)操作性錯(cuò)誤；

二是操作人員基本安全意識(shí)不強(qiáng)，缺乏安全防范意識(shí)；

三是人員調(diào)離或崗位變動(dòng)時(shí)不及時(shí)注銷(xiāo)操作員，導(dǎo)致操作員不便于管理；

四是人離機(jī)不退，個(gè)別人隨意離開(kāi)工作崗位，也不簽退，給他人可乘之機(jī)，造成了嚴(yán)重的信息安全隱患。

2、不嚴(yán)格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐，對(duì)推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險(xiǎn)意識(shí)不強(qiáng)等原因造成了在操作過(guò)程中出現(xiàn)系列風(fēng)險(xiǎn)。

一是操作人員不嚴(yán)格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風(fēng)險(xiǎn)；

二是沒(méi)有定期對(duì)機(jī)器除塵、保養(yǎng)，使微機(jī)在較惡劣環(huán)境下帶“病”工作，計(jì)算機(jī)運(yùn)行報(bào)錯(cuò)或元器件損壞時(shí)有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；

三是不嚴(yán)格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負(fù)擔(dān)。

為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求，對(duì)日常計(jì)算機(jī)信息管理中存在的問(wèn)題經(jīng)行重點(diǎn)監(jiān)督和整改：

1、嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無(wú)法隔離的要隨時(shí)升級(jí)殺毒程序，同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。加強(qiáng)員工計(jì)算機(jī)知識(shí)培訓(xùn)，提高員工的電腦操作技能，制定防毒策略，養(yǎng)成良好的上網(wǎng)習(xí)慣，嚴(yán)防病毒侵害。

2、加強(qiáng)對(duì)一線人員的操作流程、各項(xiàng)基本規(guī)定的培訓(xùn)，加強(qiáng)對(duì)信息專(zhuān)管員的培訓(xùn)，提高其處理計(jì)算機(jī)及網(wǎng)絡(luò)故障、防范計(jì)算機(jī)及網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力；對(duì)業(yè)務(wù)操作人員要重點(diǎn)抓好計(jì)算機(jī)知識(shí)的普及培訓(xùn)工作，建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計(jì)算機(jī)業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅(jiān)決杜絕各種混崗現(xiàn)象，嚴(yán)格遵循管理制度。

3、嚴(yán)格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財(cái)務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學(xué)習(xí)和掌握農(nóng)村信用社的操作流程和各項(xiàng)規(guī)章制度,加強(qiáng)制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號(hào)，嚴(yán)禁使用6位相同數(shù)字或電話號(hào)碼或生日號(hào)碼等，嚴(yán)禁口頭或電話告知操作密碼。

4、加強(qiáng)內(nèi)控建設(shè)，強(qiáng)化監(jiān)督，完善防范機(jī)制。首先，建立柜員崗位制約為主，做到責(zé)任到崗、落實(shí)到人、相互制約、互相監(jiān)督。其次，全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實(shí)時(shí)監(jiān)管，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行整改，消除風(fēng)險(xiǎn)隱患。再則，加強(qiáng)會(huì)計(jì)事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點(diǎn)是督促基層社各項(xiàng)計(jì)算機(jī)制度執(zhí)行與落實(shí)，提升基層執(zhí)行力，以此推進(jìn)和完善防范制度，切實(shí)做到防患于未然。

5、日常維護(hù)方面，由基社信息專(zhuān)管員負(fù)責(zé)每周一次對(duì)機(jī)房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)科技信息部處理；每月在各基社網(wǎng)點(diǎn)信息專(zhuān)管員的配合下，對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行和管理進(jìn)行維護(hù)和檢查至少一次，全轄的ATM和POS機(jī)由科技信息部統(tǒng)一管理，落實(shí)基社網(wǎng)點(diǎn)專(zhuān)人負(fù)責(zé)，加大專(zhuān)管人員的培訓(xùn)，使日常操作、維護(hù)工作和安全防范措施得以落實(shí)。