第一篇：信息科技與電子銀行風險管理

信息科技與電子銀行風險管理專題

信息科技發(fā)展現(xiàn)狀

? 完成了全省數(shù)據(jù)大集中

? 各類業(yè)務(wù)系統(tǒng)和管理信息系統(tǒng)不斷豐富 ? 更好更快更優(yōu)的服務(wù)

? 對業(yè)務(wù)的支撐作用越來越大

? 信息科技地位和受關(guān)注程度越來越高 ? 信息科技風險日益積聚 信息科技風險的概念

? IT風險是指在對信息科技的運用過程中，由于自然因素、人為因素、技術(shù)漏洞、管理缺陷產(chǎn)生的操作風險、法律和聲譽等風險。

? 特點：風險發(fā)生時影響較大

風險出現(xiàn)具有不確定性

對風險的估計或防范手段不足

對其他風險具有傳導(dǎo)性

? 對當前農(nóng)村合作金融機構(gòu)而言，最大的風險是對科技的不夠了解，以至于沒有納入日常管理內(nèi)容。

? 信息科技風險管理的目標：通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

近年銀行信息科技風險事件

? 2007年3月21日，某全國性銀行因主機監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近4個小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務(wù);

? 8月15日，某全國性銀行對計算機系統(tǒng)進行升級，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個人業(yè)務(wù)系統(tǒng)運行不暢，業(yè)務(wù)辦理速度緩慢，部分代理證券業(yè)務(wù)受阻，在持續(xù)5個半小時之后，系統(tǒng)才逐步恢復(fù)正常 ；

? 12月21日，某全國性銀行因運行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進行，雖啟動應(yīng)急預(yù)案，但仍然中斷營業(yè)近1個小時；

? 08年元月7日，某地方銀行因主干專線的接入設(shè)備發(fā)生故障，造成在京117家支行網(wǎng)點柜臺交易緩慢，業(yè)務(wù)無法正常進行，故障持續(xù)1個多小時才得以解決。

? 06年4月，某大型銀行間組織發(fā)生系統(tǒng)故障，導(dǎo)致所有銀行卡跨行業(yè)務(wù)影響8個多小時

? 2010年，發(fā)生多起某全國性銀行、地方性銀行、外資銀行、銀行間組織等嚴重信息科技運行事故。

監(jiān)管當局VS信息科技風險

? 2006年，銀行業(yè)機構(gòu)信息科技風險評價審計通知；

? 2007年，落實信息科技風險評價審計整改及自評估工作的通知 ? 2008年，發(fā)布《銀行業(yè)重要信息系統(tǒng)應(yīng)急管理規(guī)范（試行）》； ? 2009年，發(fā)布《商業(yè)銀行信息科技風險管理指引》 ? 2010年，發(fā)布《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》、《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》、《銀行業(yè)金融機構(gòu)外包風險管理指引等》

目前存在的主要風險及應(yīng)對措施

? 內(nèi)控制度建設(shè)不完善，沒有將科技納入日常管理工作范圍

二級法人體制下的科技建設(shè)矛盾和信息安全管理的矛盾

主要業(yè)務(wù)平臺和結(jié)算渠道建設(shè)完成后,行社將成為特色業(yè)務(wù)、產(chǎn)品創(chuàng)新的主要角色

信息化快速發(fā)展造成行社科技管理的缺失：

對系統(tǒng)功能沒有充分了解，影響業(yè)務(wù)管理，如授權(quán)、流程、勞動組合、產(chǎn)品創(chuàng)新

? 科技人員不足、內(nèi)部審計的空缺

現(xiàn)狀：科技人員的缺乏，法人行社內(nèi)部審計對科技信息風險管理監(jiān)測的缺失

措施：未雨綢繆，結(jié)合精英培養(yǎng)工程，制定人才補充、培養(yǎng)計劃

內(nèi)部審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日常活動，具有適當?shù)氖跈?quán)訪問本銀行的記錄

充分重視科技隊伍建設(shè)，做好人才儲備，關(guān)鍵崗位

實現(xiàn)A、B崗

? 沒有正確認識業(yè)務(wù)與科技關(guān)系

科技的工具作用：引領(lǐng)作用、創(chuàng)新作用

科技工具的雙面性：提高生產(chǎn)力水平和風險的隱蔽性、聚集性

關(guān)鍵工作：

業(yè)務(wù)規(guī)劃、市場調(diào)研：科技充分介入

業(yè)務(wù)需求說明書：科學、詳細，業(yè)務(wù)為主、科技參與

測試：重點關(guān)注、運行風險及業(yè)務(wù)風險關(guān)鍵

科技工作特點:風險大、責任大、壓力大

科技人員工作軟環(huán)境：理解、認可、支持，科技人員不是電工

科技為業(yè)務(wù)服務(wù)，科技需要走在業(yè)務(wù)的前面

? 外包風險將是銀行未來主要關(guān)注的信息科技風險

案例：

2006年4月21日，許霆與朋友郭安山利用ATM機故障漏洞取款，許取出17.5萬元，許霆被廣州中院判處無期徒刑。

2010年5月23日，云南農(nóng)信昆明關(guān)雨信用社ATM出現(xiàn)故障，何鵬取1000元，取款機吐出了3700，ATM大方送錢近6萬元。何鵬被抓，判無期，去年最高人民法院又改判為8年6個月。

措施：關(guān)鍵系統(tǒng)維護必須嚴格管理，制定完善的實施方案，清晰職責、履行審批手續(xù)，雙人操作，換人復(fù)核，做好維護記錄。

自己的系統(tǒng)自己管，落實制度、不能偷懶，外面的人員更要嚴管

? 訪問控制（內(nèi)外網(wǎng)互聯(lián)）

案例：

2004年，某大學生非法侵入合肥多家銀行的計算機盜取客戶資料，并公布于互聯(lián)網(wǎng)上，對銀行聲譽產(chǎn)生了很大影響，該案是公安部成立網(wǎng)監(jiān)部門后破獲的第一起案件，該罪犯被判處2年徒刑。

某銀行員工，采用撥號接入方式，在家中登陸業(yè)務(wù)系統(tǒng)，非法竊取資金500多萬。

措施：關(guān)鍵系統(tǒng)維護必須嚴格管理，制定完善的實施方案，履行審批手續(xù)，雙人操作，換人復(fù)核，做好維護記錄。

專機專用、內(nèi)外網(wǎng)物理分離、部署檢測工具軟件、不在外網(wǎng)機器存放敏感、涉密信息

? 由業(yè)務(wù)而導(dǎo)致的科技風險

案例：

2010年，某大型銀行一分行，提交50000筆代發(fā)工資業(yè)務(wù)，隨即又進行取消操作，導(dǎo)致該行計算機系統(tǒng)停止服務(wù)20小時，該分行行長被調(diào)離崗位，科技部門負責人受到處分。

分析：數(shù)據(jù)修改、批量代發(fā)、中間業(yè)務(wù)等，業(yè)務(wù)對科技風險具有傳導(dǎo)性。

措施：嚴格操作管理，對批量業(yè)務(wù)事先做好準備工作。計算機物理環(huán)境風險

? 計算機實體安全：資源管理、冗余、防盜、變更、維護 ? 機房基礎(chǔ)設(shè)施：防火、防水、溫控、冗余 ? 機房出入管理：門禁、登記、陪同、監(jiān)控 ? 值班與監(jiān)控： ? 物理安全域

所有設(shè)備都要有備份、冗余 銀行卡的種類及功能

? 按照能否提供透支功能，銀行卡可分為信用卡和借記卡 ? 針對發(fā)卡對象的不同，銀行卡可分為單位卡和個人卡

? 按銀行卡的帳號幣種不同，銀行卡可分為人民幣卡、外幣卡和雙幣種卡 ? 儲蓄功能、支付結(jié)算功能、匯兌轉(zhuǎn)賬功能、消費信貸功能 銀行卡業(yè)務(wù)風險

? 銀行卡風險管理的一般原則： ? 確定管理目標 ? 進行風險評價

? 風險控制及處置

銀行卡風險管理的原則

? 銀行卡業(yè)務(wù)特有風險管理原則：

? 從上到下的風險管理策略和流程明晰化原則

? 深刻理解風險和收益對稱的原則

? 應(yīng)用統(tǒng)計手段和系統(tǒng)化管理的原則

? 有效風險管理組織架構(gòu)的原則。

銀行卡業(yè)務(wù)風險

? 銀行卡風險：信用風險、市場風險、操作風險、法律政策風險、聲譽風險

? 借記卡風險較低，主要是管理責任，包括：反洗錢、受理環(huán)境保障、風險提示義務(wù) 銀行卡業(yè)務(wù)風險

? 信用風險：是指由于持卡人主觀或者客觀上的原因，違約拒付欠款而產(chǎn)生的壞賬風險，由于信用卡屬于無擔保、無抵押的小額消費信貸產(chǎn)品，因此，信用風險是信用卡業(yè)務(wù)的一個最主要損失來源。

? 應(yīng)對措施：做好信用卡申請人員的身份、還款來源的審查工作，系統(tǒng)提供預(yù)警機制。? 操作風險：是指由于人員、系統(tǒng)以及業(yè)務(wù)流程方面的問題而產(chǎn)生的風險，主要包括欺詐風險、內(nèi)部操作風險、中介機構(gòu)交易風險和系統(tǒng)安全風險。

? 欺詐風險又分為欺詐性申請和欺詐性交易。欺詐者盜用他人身份信息而申請開戶信用卡，是欺詐性申請，欺詐者盜取卡片或卡片的信息進行刷卡，是欺詐性交易。? 欺詐風險也是目前最嚴重、危害最大的一類風險。

? 應(yīng)對措施：一是加強本行信息系統(tǒng)安全管理，建立各種交易風險監(jiān)控機制，構(gòu)建數(shù)據(jù)分析和風險預(yù)測模型，? 二是加大與中國銀聯(lián)、公安部門及同業(yè)之間的信息溝通與交流合作，共享銀行卡風險信息和風險控制的最新措施，通過各方的力量化解風險事件，? 三是做好銀行卡受理環(huán)境的預(yù)防工作，按照“誰發(fā)卡，誰負責”和“誰發(fā)展的特約商戶，誰負責”的原則建立發(fā)卡機構(gòu)和收單機構(gòu)責任追究制度，定期對特約商戶進行回訪制度；加大對收單機構(gòu)人員銀行卡受理流程的培訓，做到規(guī)范受理，不給犯罪分子可乘之機。

? 四是加強對自助設(shè)備的巡查和監(jiān)控力度。

? 五是加強銀行卡風險宣傳工作，提高持卡人風險防范意識。? 內(nèi)部操作風險

? 是指銀行工作人員違規(guī)操作或操作失誤造成銀行資金損失，或者工作人員利用職務(wù)之便，與不法分子勾結(jié)、串通作案，引起發(fā)卡行或客戶資金損失的風險。

? 與外部欺詐風險和中介機構(gòu)交易風險相比，此類案件不具有普遍性，但是由于是內(nèi)部專業(yè)人員作案，手段更加隱蔽，對銀行聲譽的影響也更嚴重。? 規(guī)范內(nèi)部流程、明確崗位責任、加強監(jiān)督制約

? 聲譽風險：往往是一種結(jié)果性的體現(xiàn)，銀行卡業(yè)務(wù)環(huán)節(jié)中某一個利益主體在出現(xiàn)欺詐風險、系統(tǒng)安全風險或法律、政策性風險時，其未必會有直接性的財務(wù)損失，但往往會影響其良好品牌形象的維護，從而間接帶來經(jīng)濟上的損失

? 聲譽風險也來自于客戶的錯誤操作或是疏忽。安全風險會被夸大從而導(dǎo)致客戶對銀行失去信心。

? 克隆網(wǎng)站、釣魚網(wǎng)站等虛假網(wǎng)站會帶來客戶敏感信息泄露，引起資金損失從而影響銀行聲譽。

案例一：2009年3月8日，雷某在深圳某ATM機取錢，在正常輸入密碼后，聽到點鈔聲，但出鈔口未見錢出來，這時，雷某看到ATM機旁有一張“溫馨提示”，就按照“溫馨提示”留下的“服務(wù)熱線”撥過去，對方在電話中稱事主的銀行卡出現(xiàn)故障，卡內(nèi)資金已不安全，要求按提示轉(zhuǎn)移到另一“安全賬戶內(nèi)”，雷某立即在ATM上進行轉(zhuǎn)賬。導(dǎo)致資金受損1萬元

? 應(yīng)對措施：加強對ATM機和轉(zhuǎn)賬業(yè)務(wù)的管理，未經(jīng)持卡人主動申請并書面確認，發(fā)卡機構(gòu)不得為持卡人開通電話轉(zhuǎn)賬、ATM轉(zhuǎn)賬、網(wǎng)上銀行轉(zhuǎn)賬等自助轉(zhuǎn)賬類業(yè)務(wù) ? 為持卡人開通自助轉(zhuǎn)賬業(yè)務(wù)時，要向持卡人充分提示開通有關(guān)業(yè)務(wù)的風險，并要對持卡人進行更為嚴格的真實身份核查，確保實名開戶。同時提示持卡銀行卡密碼設(shè)置不能過于簡單、銀行卡與身份證等證件盡量不要放在一處保管，領(lǐng)卡時及時在卡片背面簽署持卡人姓名，不要在不安全的網(wǎng)站鏈接網(wǎng)銀。

總結(jié)

? 風險是可以轉(zhuǎn)移的 ? 風險就是收益

? 最大的風險是不能正確認識風險，不能充分管理風險

第二篇：南京銀行信息科技風險管理政策

南京銀行股份有限公司信息科技風險管理政策

第一章 總則

第一條 為進一步完善南京銀行股份有限公司（以下簡稱“本行”）全面風險管

理體系，保證本行業(yè)務(wù)的可持續(xù)發(fā)展，依據(jù)中國銀行業(yè)監(jiān)督管理委員會《商業(yè)銀行

信息科技風險管理指引》并結(jié)合本行實際，制定本政策。

第二條 本政策所稱信息科技風險是指本行在運用信息科技過程中，由于自然

因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

第三條 本行信息科技風險政策取向是：穩(wěn)健。實行規(guī)避、預(yù)防、緩釋、抵補

等管理策略。

第四條 本行通過搭建科學的風險管理組織架構(gòu)、劃分明確的風險管理職責、制定有效的風險管理制度和操作流程等措施，持續(xù)推動信息科技風險管理工作的開

展。

第五條 本行信息科技風險管理的管理原則是：全員參與、協(xié)調(diào)統(tǒng)一、預(yù)防為

主、動態(tài)管理。

第六條 本行信息科技風險的管理目標是通過建立完整、合理、有效的風險管

理機制，實現(xiàn)對信息科技風險的識別、評估、計量、監(jiān)測和控制，促進本行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高本行信息技術(shù)使用水平，增強核心競爭力和

可持續(xù)發(fā)展能力。

第二章 信息科技風險的組織架構(gòu)和職責

第七條 本行建立與信息科技風險特點相適應(yīng)的組織架構(gòu)，包括董事會、董事會

風險管理委員會、高級管理層。

第八條 董事會承擔本行信息科技風險管理的最終職責。具體職責包括：

（一）建立并完善分工合理、職責明確、相互制衡、報告關(guān)系清晰的信息科技

治理組織結(jié)構(gòu)；

（二）審查批準信息科技戰(zhàn)略，確保其與本行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一

致；

（三）動態(tài)掌握信息科技風險政策和信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技

預(yù)算和實際支出情況及信息科技的整體狀況；

（四）定期聽取專門委員會工作事項的執(zhí)行情況。2 第九條 董事會授權(quán)風險管理委員會行使以下職責：

（一）依據(jù)本行信息科技戰(zhàn)略，制定信息科技風險管理政策；

（二）監(jiān)督高級管理層制定具體有效的信息科技風險管理制度和操作流程；

（三）按聽取高級管理層的信息科技風險監(jiān)測報告，評估信息科技風險管

理工作的總體效果和效率并提出完善的建議和意見；

（四）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作，及時決策本

行發(fā)生的重大信息科技事故或突發(fā)事件，向銀監(jiān)會及其派出機構(gòu)報送信息科技風險

管理的報告；

（五）確保內(nèi)外部審計部門獨立有效的進行信息科技風險審計，并確認審計報

告；

（六）履行董事會授權(quán)的其他信息科技風險管理職能。

第十條 高級管理層行使以下職責：

（一）負責執(zhí)行本行信息科技風險政策和發(fā)展戰(zhàn)略；

（二）制定具體的信息科技風險管理制度及具體的操作流程，確定可接受的信

息科技風險級別，確保境內(nèi)外信息科技風險能夠被識別、評估、計量、監(jiān)測和控制，統(tǒng)一協(xié)調(diào)各經(jīng)營部門有效開展信息科技風險管理工作；

（三）確保本行信息科技系統(tǒng)正常運行，有效防范跨境風險；

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部企業(yè)文化建設(shè)，提高全體人員

對信息科技風險管理重要性的認識；

（五）組織專業(yè)培訓，加強信息科技專業(yè)隊伍的建設(shè)，建立人才激勵機制；

（六）對董事會風險管理委員會確認的信息科技風險內(nèi)外部審計報告，落實具

體的整改措施；

（七）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作，并落實整改

措施，及時向銀監(jiān)會及其派出機構(gòu)報告本行發(fā)生的重大信息科技事故或突發(fā)事件，并按相關(guān)預(yù)案快速響應(yīng)；

（八）其他信息科技風險的管理職能。

第三章 信息科技風險管理的內(nèi)容

第十一條 本行信息科技風險管理的內(nèi)容包括但不限于：信息安全管理、信息系

統(tǒng)開發(fā)、測試和維護管理、信息科技運行管理、業(yè)務(wù)連續(xù)性管理和外包管理等方面。

第十二條 本行通過制定各類有效的信息科技管理制度，優(yōu)化風險管理流程，提3 高制度約束的執(zhí)行力水平，不斷完善信息安全管理機制，最終實現(xiàn)信息的持續(xù)安全

管理。

第十三條 本行在信息系統(tǒng)開發(fā)中，采取適當?shù)南到y(tǒng)開發(fā)方法，充分評估信息科

技項目風險，合理安排信息科技項目的排序、立項、審批和控制；在測試和維護中，強化數(shù)據(jù)的完整性、保密性和可用性，確保系統(tǒng)的可靠性、完整性和可維護性，合理控制信息系統(tǒng)的生命周期。

第十四條 本行在信息系統(tǒng)運行過程中，實施必要的隔離措施，建立應(yīng)急的信息

系統(tǒng)運行事故管理機制。

第十五條 本行在業(yè)務(wù)連續(xù)性管理過程中，通過制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，確

保信息系統(tǒng)在無法預(yù)見的中斷時能夠有效的運行。

第十六條 本行實施重要信息科技外包(如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)時，堅持謹慎原則，經(jīng)必要的分析、論證和審查程序，不得將信息科技管理責任外包；

適時謹慎的履行監(jiān)督外包職能；在外包管理過程中，確保本行的客戶資料等敏感信

息的安全。

第四章 信息科技風險管理的程序

第十七條 高級管理層按向董事會風險管理委員會出具本行信息科技風險

管理書面監(jiān)測報告，詳細說明信息科技風險管理情況和下一步完善措施。

第十八條 對本行重大的信息科技風險事件，在第一時間向董事會風險管理委員

會和監(jiān)管部門報告。

第十九條 對監(jiān)管部門現(xiàn)場檢查和內(nèi)外部審計機構(gòu)審計中發(fā)現(xiàn)的問題，落實整改

措施并及時向董事會風險管理委員會報告。

第五章 考核與獎懲

第二十條 本行董事會將信息科技風險管理情況納入到對董事、高級管理層的履職考核中。

第二十一條 高級管理層通過建立科學的信息科技風險管理問責制度，將信息科

技風險管理的考核指標納入全面風險管理考核體系，以推動業(yè)務(wù)發(fā)展質(zhì)量的全面提

升。

第六章 附則

第二十二條 本政策由南京銀行股份有限公司董事會風險管理委員會負責解釋。

第二十三條 本辦法自董事會批準之日起執(zhí)行。

第三篇：信息科技風險管理經(jīng)驗交流

額敏縣農(nóng)村信用合作聯(lián)社

信息科技風險管理經(jīng)驗交流

塔城地區(qū)銀監(jiān)分局：

根據(jù)塔城地區(qū)銀監(jiān)分局《關(guān)于召開2011年塔城地區(qū)銀行業(yè)金融機構(gòu)信息科技風險管理聯(lián)席會議的通知》要求，現(xiàn)將和額敏縣農(nóng)村信用合作聯(lián)社信息科技風險管理情況匯報如下：

一、信息科技風險管理基本情況

為提高安全管理意識，充分認識信息科技風險管理工作的重要性，建立了一把手負責制，明確信息科技風險管理的職責權(quán)限，逐級落實信息科技管理責任，嚴格事故追究責任制。成立了以聯(lián)社理事長為組長、領(lǐng)導(dǎo)班子成員為副組長、各相關(guān)部門及營業(yè)網(wǎng)點主任為成員的信息科技工作領(lǐng)導(dǎo)小組，制定了信息科技應(yīng)急處置預(yù)案，明確了因信息科技風險導(dǎo)致營業(yè)網(wǎng)點發(fā)生業(yè)務(wù)故障時，聯(lián)社各相關(guān)部門需采取的措施和步驟，提高了對信息科技風險的預(yù)防和處置能力。

2009年10月，自治區(qū)聯(lián)社鑒于各縣級聯(lián)社信息科技風險管理技術(shù)力量薄弱，管控能力較差等情況，以地區(qū)為單位成立了科技分中心，對各聯(lián)社信息科技工作和部分重要設(shè)備統(tǒng)一進行管理，并每季對網(wǎng)點進行一次科技風險管理巡檢。

二、聯(lián)社信息科技應(yīng)用情況

（一）網(wǎng)絡(luò)情況。目前我社各網(wǎng)點均通過租用電信公司專線與直接與塔城地區(qū)科技分中心相聯(lián)，業(yè)務(wù)專線與因特網(wǎng)物理隔離，可以有效的防止了網(wǎng)絡(luò)不法分子對我社業(yè)務(wù)網(wǎng)絡(luò)

攻擊和破壞。對部分重要的網(wǎng)絡(luò)設(shè)備、參數(shù)（如網(wǎng)點路由器）由地區(qū)科技分中心進行備份。

目前我社網(wǎng)點全部建立了電話線路備份，如網(wǎng)點專線出現(xiàn)故障，通過向地區(qū)科技分中心申請后，可以使用電話備份線路辦理業(yè)務(wù)。

（二）生產(chǎn)環(huán)境。為提高農(nóng)村信用社的業(yè)務(wù)發(fā)展，增強業(yè)務(wù)處理能力，自治區(qū)農(nóng)村信用社使用了數(shù)據(jù)集中模式，數(shù)據(jù)集中到自治區(qū)聯(lián)社科技中心。各項應(yīng)用系統(tǒng)的維護、數(shù)據(jù)備份等由自治區(qū)科技中心操作。

（三）科技管理。

我社所有電腦均安裝網(wǎng)絡(luò)版殺毒軟件，并及時進行更新，防止病毒傳播和有害程序注入，保證了網(wǎng)點和機關(guān)各部門的電腦穩(wěn)定安全運行。

三、存在的問題

由于縣聯(lián)社沒有專職或兼職科技管理人員，對縣聯(lián)社的新業(yè)務(wù)軟件上線，軟硬件的日常維護，科技分中心距離縣聯(lián)社較遠，技術(shù)支掙不是很方便。如網(wǎng)點線路關(guān)鍵設(shè)備發(fā)生故障，不能迅速排除故障，可能造成網(wǎng)點停業(yè)時間較長。

今后我社將在自治區(qū)聯(lián)社的領(lǐng)導(dǎo)下，在地區(qū)銀監(jiān)局的正確監(jiān)管下，加強信息科技風險防范，努力提高信息科技防范工作力度，做好對敏感信息的保護和應(yīng)急能力建設(shè)，確保我社信息科技工作穩(wěn)定、安全發(fā)展。

額敏縣農(nóng)村信用合作聯(lián)社

二〇一一年四月二十六日

第四篇：銀行信息科技風險自查報告

銀行信息科技風險自查報告

在人們越來越注重自身素養(yǎng)的今天，報告的適用范圍越來越廣泛，我們在寫報告的時候要注意語言要準確、簡潔。你還在對寫報告感到一籌莫展嗎？以下是小編為大家收集的銀行信息科技風險自查報告，僅供參考，歡迎大家閱讀。

按照上級領(lǐng)導(dǎo)的指示，我行認真貫徹精神，為充分做好重要時期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范我行信息科技風險，保障計算機系統(tǒng)運行和操作安全，建立和完善信息科技風險管理機制。對我行的信息科技工作進行了一次全面的自我評估及審查?，F(xiàn)將審查情況報告如下：

一、設(shè)備間建設(shè)規(guī)范和管理規(guī)范

（1）設(shè)備間安裝了溫濕度儀表，以用來監(jiān)控機房溫度和濕度，并能夠及時開啟控溫控濕設(shè)備來保證機房的溫度和濕度。

（2）設(shè)備間每周由網(wǎng)點經(jīng)理或支行行長來對設(shè)備間的環(huán)境狀況進行檢查，并登記成冊，以確保設(shè)備間保持整潔和規(guī)范。

（3）設(shè)備間嚴格控制出入人員，并保證營業(yè)網(wǎng)點外來人員有相關(guān)證件登記。

（4）支行技術(shù)人員每年一次對設(shè)備間的主要設(shè)備進行巡檢，確保設(shè)備能夠正常使用，并在相關(guān)登記本上記錄。

二、應(yīng)急管理和終端安全

（1）支行會不定期對一些預(yù)案進行檢查，確保這些預(yù)案是最新的，且告知網(wǎng)點人員張貼在需要的地方。

（2）支行每年會抽取一定的網(wǎng)點人員進行培訓和演練，并書寫心得和體會，確保網(wǎng)點人員能夠正確的應(yīng)對突發(fā)狀況。

（3）支行每月會不定期的抽查相關(guān)電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開通ADSL等違規(guī)的網(wǎng)絡(luò)。

一、網(wǎng)絡(luò)運行風險

1、來自互聯(lián)網(wǎng)和移動磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計算機技術(shù)在農(nóng)村信用社各項業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識較為薄弱，加上計算機水平又是參差不齊，有的員工很難主動發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實施補丁升級，U盤濫用且從不進行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運行。

二、操作流程風險

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計算機操作業(yè)務(wù)能力與嚴格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實,不能夠完全掌握農(nóng)信社的各項業(yè)務(wù)操作流程及處置程序,必然會造成操作失誤而導(dǎo)致風險。操作風險大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識差。目前，我區(qū)農(nóng)村信用社計算機操作員一般只通過了短期輔導(dǎo)培訓，未能全面掌握計算機理論知識及運用技術(shù)，主要表現(xiàn)在：一是一些操作人員對計算機知識的`缺乏，

經(jīng)常出現(xiàn)操作性錯誤；二是操作人員基本安全意識不強，缺乏安全防范意識；三是人員調(diào)離或崗位變動時不及時注銷操作員，導(dǎo)致操作員不便于管理；四是人離機不退，個別人隨意離開工作崗位，也不簽退，給他人可乘之機，造成了嚴重的信息安全隱患。

2、不嚴格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現(xiàn)系列風險。一是操作人員不嚴格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風險；二是沒有定期對機器除塵、保養(yǎng)，使微機在較惡劣環(huán)境下帶“病”工作，計算機運行報錯或元器件損壞時有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；三是不嚴格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負擔。

為此我們將嚴格按照省市聯(lián)社關(guān)于計算機管理的一系列相關(guān)要求，對日常計算機信息管理中存在的問題經(jīng)行重點監(jiān)督和整改：

1、嚴格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質(zhì)的使用范圍、殺毒流程。加強員工計算機知識培訓，提高員工的電腦操作技能，制定防

毒策略，養(yǎng)成良好的上網(wǎng)習慣，嚴防病毒侵害。

2、加強對一線人員的操作流程、各項基本規(guī)定的培訓，加強對信息專管員的培訓，提高其處理計算機及網(wǎng)絡(luò)故障、防范計算機及網(wǎng)絡(luò)風險的能力；對業(yè)務(wù)操作人員要重點抓好計算機知識的普及培訓工作，建立各種形式的崗位培訓和定期輪訓制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計算機業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅決杜絕各種混崗現(xiàn)象，嚴格遵循管理制度。

3、嚴格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學習和掌握農(nóng)村信用社的操作流程和各項規(guī)章制度,加強制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴禁使用6位相同數(shù)字或電話號碼或生日號碼等，嚴禁口頭或電話告知操作密碼。

4、加強內(nèi)控建設(shè)，強化監(jiān)督，完善防范機制。首先，建立柜員崗位制約為主，做到責任到崗、落實到人、相互制約、互相監(jiān)督。其次，

全面落實以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實時監(jiān)管，及時發(fā)現(xiàn)問題，及時進行整改，消除風險隱患。再則，加強會計事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點是督促基層社各項計算機制度執(zhí)行與落實，提升基層執(zhí)行力，以此推進和完善防范制度，切實做到防患于未然。

5、日常維護方面，由基社信息專管員負責每周一次對機房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問題及時上報科技信息部處理；每月在各基社網(wǎng)點信息專管員的配合下，對網(wǎng)絡(luò)設(shè)備的運行和管理進行維護和檢查至少一次，全轄的ATM和POS機由科技信息部統(tǒng)一管理，落實基社網(wǎng)點專人負責，加大專管人員的培訓，使日常操作、維護工作和安全防范措施得以落實。

一、網(wǎng)絡(luò)運行風險

來自互聯(lián)網(wǎng)和移動磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計算機技術(shù)在農(nóng)村信用社各項業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識較為薄弱，加上計算機水平又是參差不齊，有的員工很難主動發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實施補丁升級，U盤濫用且從不進行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運行。

二、操作流程風險

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計算機操作業(yè)務(wù)能力與嚴格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實,不能夠完全掌握農(nóng)信社的各項業(yè)務(wù)操作流程及處置程序,必然會造成操作失誤而導(dǎo)致風險。操作風險大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識差。目前，我區(qū)農(nóng)村信用社計算機操作員一般只通過了短期輔導(dǎo)培訓，未能全面掌握計算機理論知識及運用技術(shù)，主要表現(xiàn)在：

一是一些操作人員對計算機知識的缺乏，經(jīng)常出現(xiàn)操作性錯誤；

二是操作人員基本安全意識不強，缺乏安全防范意識；

三是人員調(diào)離或崗位變動時不及時注銷操作員，導(dǎo)致操作員不便于管理；

四是人離機不退，個別人隨意離開工作崗位，也不簽退，給他人可乘之機，造成了嚴重的信息安全隱患。

2、不嚴格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現(xiàn)系列風險。

一是操作人員不嚴格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風險；

二是沒有定期對機器除塵、保養(yǎng)，使微機在較惡劣環(huán)境下帶“病”工作，計算機運行報錯或元器件損壞時有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；

三是不嚴格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負擔。

為此我們將嚴格按照省市聯(lián)社關(guān)于計算機管理的一系列相關(guān)要求，對日常計算機信息管理中存在的問題經(jīng)行重點監(jiān)督和整改：

1、嚴格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質(zhì)的使用范圍、殺毒流程。加強員工計算機知識培訓，提高員工的電腦操作技能，制定防毒策略，養(yǎng)成良好的上網(wǎng)習慣，嚴防病毒侵害。

2、加強對一線人員的操作流程、各項基本規(guī)定的培訓，加強對信息專管員的培訓，提高其處理計算機及網(wǎng)絡(luò)故障、防范計算機及網(wǎng)絡(luò)風險的能力；對業(yè)務(wù)操作人員要重點抓好計算機知識的普及培訓工作，建立各種形式的崗位培訓和定期輪訓制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計算機業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅決杜絕各種混崗現(xiàn)象，嚴格遵循管理制度。

3、嚴格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學習和掌握農(nóng)村信用社的操作流程和各項規(guī)章制度,加強制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴禁使用6位相同數(shù)字或電話號碼或生日號碼等，嚴禁口頭或電話告知操作密碼。

4、加強內(nèi)控建設(shè)，強化監(jiān)督，完善防范機制。首先，建立柜員崗位制約為主，做到責任到崗、落實到人、相互制約、互相監(jiān)督。其次，全面落實以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實時監(jiān)管，及時發(fā)現(xiàn)問題，及時進行整改，消除風險隱患。再則，加強會計事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點是督促基層社各項計算機制度執(zhí)行與落實，提升基層執(zhí)行力，以此推進和完善防范制度，切實做到防患于未然。

5、日常維護方面，由基社信息專管員負責每周一次對機房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問題及時上報科技信息部處理；每月在各基社網(wǎng)點信息專管員的配合下，對網(wǎng)絡(luò)設(shè)備的運行和管理進行維護和檢查至少一次，全轄的ATM和POS機由科技信息部統(tǒng)一管理，落實基社網(wǎng)點專人負責，加大專管人員的培訓，使日常操作、維護工作和安全防范措施得以落實。

第五篇：村鎮(zhèn)銀行信息科技風險管理辦法

村鎮(zhèn)銀行信息科技風險管理辦法

（征求意見稿）

第一章 總 則

第一條 為加強村鎮(zhèn)銀行信息科技風險管理，確?？萍俭w系持續(xù)穩(wěn)定運轉(zhuǎn)，根據(jù)《商業(yè)銀行信息科技風險管理指引》等有關(guān)法律、法規(guī)，制定本辦法。

第二條 信息科技風險管理是通過建立有效機制，實現(xiàn)對銀行信息系統(tǒng)風險的識別、計量、評價、預(yù)警和控制，推動村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新，提高信息化管理水平，保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。

第二章 信息科技風險管理組織架構(gòu)

第三條 信息科技風險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

第四條

發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風險的主要管理部門，發(fā)起行科技信息中心有以下信息科技風險管理的權(quán)限和職責：

（一）建立有效的信息科技風險管理管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機制，防范和控制信息科技風險管理；

（二）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標準，落實人民銀行和銀監(jiān)會相關(guān)監(jiān)管要求；

（三）履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和管理職責，建立、健全村鎮(zhèn)銀行信息科技風險管理相關(guān)規(guī)章、制度，并嚴格執(zhí)行；

（四）負責村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和監(jiān)控等工作，提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運行技術(shù)支持；

（五）負責指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實有關(guān)信息科技風險管理的各項規(guī)章制度；

（六）發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風險管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責范圍承擔相應(yīng)工作。

第三章 信息科技風險具體控制要求

第五條 信息科技總體風險點是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風險。包括以下風險點：

（一）缺少信息系統(tǒng)風險管理策略；

（二）自然災(zāi)害、運行環(huán)境變化；

（三）信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善；

（四）信息安全標準化工作不符合國家相關(guān)規(guī)定；

（五）缺乏信息安全風險評估機制；

（六）數(shù)據(jù)中心機房物理安全；

（七）使用盜版軟件及自有成果的知識產(chǎn)權(quán)保護；

（八）電子設(shè)備自身運行；

（九）主機與網(wǎng)絡(luò)運行；

（十）網(wǎng)絡(luò)安全；

（十一）密碼安全；

（十二）數(shù)據(jù)加密安全；

（十三）信息系統(tǒng)配置參數(shù)管理；

（十四）數(shù)據(jù)管理；

（十五）突發(fā)事件響應(yīng)；

（十六）信息系統(tǒng)故障導(dǎo)致影響銀行信譽；（十七）網(wǎng)上銀行安全。

第六條 信息系統(tǒng)總體風險控制措施：

（一）根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃，在村鎮(zhèn)銀行風險管理政策指引下，制定明確、持續(xù)的信息系統(tǒng)風險管理策略，根據(jù)信息系統(tǒng)的等級保護級別對信息系統(tǒng)進行分析和評估，并實施有效的風險控制；

（二）建立同城信息系統(tǒng)災(zāi)備中心實現(xiàn)運行環(huán)境備份，防止各類突發(fā)事故和惡意攻擊事件造成不良后果；

（三）建立健全相關(guān)信息科技制度，明確信息系統(tǒng)相關(guān)人員的職責權(quán)限，建立制約機制，實行最小授權(quán)；

（四）嚴格執(zhí)行國家信息安全相關(guān)標準，參照有關(guān)國際準則，積極推進信息安全標準化，開展信息安全等級保護等相關(guān)工作；

（五）加強對信息系統(tǒng)的風險評估，及時對風險點進行修補和完善，以保證信息系統(tǒng)的安全性和完整性；

（六）信息系統(tǒng)數(shù)據(jù)中心機房建設(shè)時嚴格參照國家有關(guān)計算機場地、環(huán)境、供配電等技術(shù)標準，數(shù)據(jù)中心機房實行嚴格的門禁管理措施，未經(jīng)授權(quán)不得進入；

（七）加強知識產(chǎn)權(quán)保護，使用正版軟件，加強軟件版本管理；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護村鎮(zhèn)銀行信息化成果；

（八）嚴格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標準。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當數(shù)量的備品、備件；

（九）嚴格參照相關(guān)標準和規(guī)范設(shè)計、建設(shè)信息系統(tǒng)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進性和產(chǎn)品成熟性；關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴格線路租用合同管理，按照業(yè)務(wù)和交易流量要

求保證傳輸帶寬；監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運行；

（十）加強網(wǎng)絡(luò)安全管理。嚴格網(wǎng)絡(luò)邊界控制，使用各種技術(shù)手段降低外部攻擊、信息泄漏等風險；

（十一）加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度；

（十二）加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫，采用適當?shù)臄?shù)據(jù)加密技術(shù)以保護敏感數(shù)據(jù)的傳輸和存取，以保證數(shù)據(jù)的完整性、保密性；

（十三）對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，并嚴格審批和登記手續(xù)；

（十四）制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案，并定期進行演練、評審和修訂；

（十五）加強對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時應(yīng)嚴格授權(quán)管理；

（十六）在信息系統(tǒng)可能影響客戶服務(wù)時，及時通知業(yè)務(wù)部門，以便以適當方式告知客戶；

（十七）采取有效技術(shù)措施，切實加強網(wǎng)上銀行信息安全保

障。加強網(wǎng)銀用戶身份認證管理，與業(yè)務(wù)部門密切配合，逐步對所有網(wǎng)上銀行高風險賬戶操作統(tǒng)一使用雙重身份認證。積極研發(fā)和應(yīng)用各類維護網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。

第七條

信息科技研發(fā)風險的操作風險點是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險。包括以下風險點：

（一）信息系統(tǒng)項目研發(fā)管理；

（二）信息系統(tǒng)項目開發(fā)人員外包；

（三）信息系統(tǒng)項目需求不明確；

（四）信息系統(tǒng)測試不規(guī)范或不完善；

（五）信息系統(tǒng)應(yīng)用推廣；

（六）信息系統(tǒng)測試發(fā)現(xiàn)的軟件缺陷；

（七）信息系統(tǒng)項目文檔管理；

（八）信息系統(tǒng)項目驗收。

第八條

信息科技研發(fā)風險具體控制要求：

（一）一般項目研發(fā)成立項目工作小組，重大項目還應(yīng)成立項目領(lǐng)導(dǎo)小組，并指定負責人。項目領(lǐng)導(dǎo)小組負責項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負責整個項目的開發(fā)工作；

（二）項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識，小組負責人需具備組織領(lǐng)導(dǎo)能力，保證信息

系統(tǒng)研發(fā)質(zhì)量和進度；

（三）項目組根據(jù)業(yè)務(wù)部門項目需求編制項目功能說明書，依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書，設(shè)計和編碼應(yīng)符合項目功能說明書的要求；

（四）軟件研發(fā)必須建立獨立的測試環(huán)境，以保證測試的完整性和準確性。一般測試應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試等，測試不得直接使用生產(chǎn)數(shù)據(jù)；

（五）研發(fā)人員必須根據(jù)測試結(jié)果修補信息系統(tǒng)的功能和缺陷，提高信息系統(tǒng)的整體質(zhì)量；

（六）根據(jù)職責范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃，并進行演練；

（七）開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認并歸檔保存；

（八）軟件開發(fā)項目必須進行嚴格的項目驗收流程，項目驗收應(yīng)出具由相關(guān)負責人簽字的項目驗收報告，驗收不合格不得投入使用。

第九條 信息科技運行維護風險的操作風險點是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險。包括以下風險點：

（一）人為因素導(dǎo)致信息系統(tǒng)運行故障；

（二）運行管理不完善；

（三）信息系統(tǒng)日常變更；

（四）新建信息系統(tǒng)運行；

（五）機房環(huán)境變化；

（六）信息系統(tǒng)故障報告程序。

第十條 信息科技運行維護風險具體控制要求：

（一）信息系統(tǒng)運行人員應(yīng)實行專職，不得由其他人員兼任。運行人員應(yīng)按操作規(guī)程巡檢和操作。對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護應(yīng)符合授權(quán)和維護規(guī)程要求；

（二）相關(guān)信息系統(tǒng)運行維護人員嚴格按照信息系統(tǒng)管理制度及維護手冊運行及維護信息系統(tǒng)。對軟件或數(shù)據(jù)的維護必須通過上級審批、授權(quán)后方可進行；

（三）制訂嚴格的信息系統(tǒng)變更處理流程，明確變更流程中各崗位的職責分工，并遵循流程實施控制和管理；

（四）在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，應(yīng)配合業(yè)務(wù)部門，積極參與組織對系統(tǒng)的后評價，根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化；

（五）對機房環(huán)境設(shè)施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案；

（六）實行事件報告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件，應(yīng)即時上報并處理，必要時啟動應(yīng)急處理預(yù)案。

第十一條

信息科技外包風險的操作風險點外包風險是指

銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風險。包括以下風險點：

（一）信息科技外包需求控制風險；

（二）信息科技外包承包方合作風險；

（三）信息科技外包項目商業(yè)風險；

（四）信息科技外包項目安全風險；

（五）信息科技外包項目質(zhì)量風險；

（六）信息科技外包項目風險管理；

（七）信息科技外包項目責任風險；（入）信息科技外包項目監(jiān)控風險。

第十二條 信息科技外包風險具體控制要求：

（一）在進行信息系統(tǒng)外包時，應(yīng)根據(jù)風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全相關(guān)規(guī)章制度，制定相應(yīng)的風險防范措施；

（二）建立健全外包承包方評估機制，充分審查、評估承包方的經(jīng)營狀況、財務(wù)實力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實際風險控制與責任承擔水平，并進行必要的盡職情況調(diào)查。評估工作可委托具有國家相應(yīng)監(jiān)管部門認定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗的獨立機構(gòu)完成；

（三）與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責任；

（四）充分認識外包服務(wù)對信息系統(tǒng)風險控制的直接和間接

影響，并將其納入總體安全策略和風險控制之中；

（五）建立完整的信息系統(tǒng)外包風險評估與檢測程序，審查管理外包產(chǎn)生的風險，提高本機構(gòu)的外包管理的能力；

（六）信息系統(tǒng)外包風險管理應(yīng)符合風險管理標準和策略，并建立針對信息系統(tǒng)外包風險的應(yīng)急計劃；

（七）與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法，保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案；

（八）對信息系統(tǒng)外包承包方進行持續(xù)的監(jiān)控。

第四章 附 則

第十三條 各支行可依據(jù)本辦法，結(jié)合本單位實際情況，制定具體實施細則。

第十四條 本辦法由村鎮(zhèn)銀行負責解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。