收藏
下载资源 加入VIP,省得不是一点点

金融业信息科技风险管理.doc

上传人:99****p 文档编号:1468191 上传时间:2019-03-01 格式:DOC 页数:25 大小:88.50KB
下载 相关 举报
金融业信息科技风险管理.doc_第1页
第1页 / 共25页
金融业信息科技风险管理.doc_第2页
第2页 / 共25页
金融业信息科技风险管理.doc_第3页
第3页 / 共25页
金融业信息科技风险管理.doc_第4页
第4页 / 共25页
金融业信息科技风险管理.doc_第5页
第5页 / 共25页
点击查看更多>>
资源描述

1、信 息 科 技 风 险 管 理 办 法第 一 章 总 则第一条 为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行信息科技风险管理指引、营口沿海银操作风险管理指引,以及国家信息安全相关要求和有关法律法规,制定本管理办法。第二条 本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第三条 本管理办法所称信息科技风险,是指信息

2、科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第四条 信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第 二 章 机 构 职 责第五条 根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:( 一 ) 遵 守 并 贯 彻 执 行 国 家 有 关 信 息 科 技 管 理 的 法 律 、 法 规和 技 术 标 准 , 落 实

3、 中 国 银 行 业 监 督 管 理 委 员 会 ( 以 下 简 称 银 监 会 )相 关 监 管 要 求 。( 二 ) 审 查 批 准 信 息 科 技 战 略 , 确 保 其 与 银 行 的 总 体 业 务 战略 和 重 大 策 略 相 一 致 。 评 估 信 息 科 技 及 其 风 险 管 理 工 作 的 总 体 效果 和 效 率 。( 三 ) 掌 握 主 要 的 信 息 科 技 风 险 , 确 定 可 接 受 的 风 险 级 别 ,确 保 相 关 风 险 能 够 被 识 别 、 计 量 、 监 测 和 控 制 。( 四 ) 规 范 职 业 道 德 行 为 和 廉 洁 标 准 , 增 强

4、内 部 文 化 建 设 ,提 高 全 体 人 员 对 信 息 科 技 风 险 管 理 重 要 性 的 认 识 。( 五 ) 设 立 一 个 由 来 自 高 级 管 理 层 、 信 息 科 技 部 门 和 主 要 业务 部 门 的 代 表 组 成 的 专 门 信 息 科 技 管 理 委 员 会 , 负 责 监 督 各 项 职责 的 落 实 , 定 期 向 董 事 会 和 高 级 管 理 层 汇 报 信 息 科 技 战 略 规 划 的执 行 、 信 息 科 技 预 算 和 实 际 支 出 、 信 息 科 技 的 整 体 状 况 。( 六 ) 在 建 立 良 好 的 公 司 治 理 的 基 础 上

5、进 行 信 息 科 技 治 理 ,形 成 分 工 合 理 、 职 责 明 确 、 相 互 制 衡 、 报 告 关 系 清 晰 的 信 息 科 技治 理 组 织 结 构 。 加 强 信 息 科 技 专 业 队 伍 的 建 设 , 建 立 人 才 激 励 机 制 。( 七 ) 确 保 内 部 审 计 部 门 进 行 独 立 有 效 的 信 息 科 技 风 险 管 理审 计 , 对 审 计 报 告 进 行 确 认 并 落 实 整 改 。( 八 ) 每 年 审 阅 并 向 银 监 会 及 其 派 出 机 构 报 送 信 息 科 技 风 险管 理 的 年 度 报 告 。( 九 ) 确 保 信 息 科 技

6、 风 险 管 理 工 作 所 需 资 金 。( 十 ) 确 保 银 行 所 有 员 工 充 分 理 解 和 遵 守 经 其 批 准 的 信 息 科技 风 险 管 理 制 度 和 流 程 , 并 安 排 相 关 培 训 。( 十 一 ) 确 保 本 法 人 机 构 涉 及 客 户 信 息 、 账 务 信 息 以 及 产品 信 息 等 的 核 心 系 统 在 中 国 境 内 独 立 运 行 , 并 保 持 最 高 的 管 理 权限 , 符 合 银 监 会 监 管 和 实 施 现 场 检 查 的 要 求 , 防 范 跨 境 风 险 。( 十 二 ) 及 时 向 银 监 会 及 其 派 出 机 构 报

7、 告 本 机 构 发 生 的 重大 信 息 科 技 事 故 或 突 发 事 件 , 按 相 关 预 案 快 速 响 应 。( 十 三 ) 配 合 银 监 会 及 其 派 出 机 构 做 好 信 息 科 技 风 险 监 督检 查 工 作 , 并 按 照 监 管 意 见 进 行 整 改 。( 十 四 ) 履 行 信 息 科 技 风 险 管 理 其 他 相 关 工 作 。第六条 我行应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责包括:(一 ) 直 接 参 与 本 银 行 与 信 息 科 技 运 用 有 关 的 业 务 发 展 决 策 。(二 ) 确 保 信 息 科 技

8、战 略 , 尤 其 是 信 息 系 统 开 发 战 略 , 符 合 本银 行 的 总 体 业 务 战 略 和 信 息 科 技 风 险 管 理 策 略 。(三 ) 负 责 建 立 一 个 切 实 有 效 的 信 息 科 技 部 门 , 承 担 本 银 行 的信 息 科 技 职 责 。 确 保 其 履 行 : 信 息 科 技 预 算 和 支 出 、 信 息 科 技 策略 、 标 准 和 流 程 、 信 息 科 技 内 部 控 制 、 专 业 化 研 发 、 信 息 科 技 项目 发 起 和 管 理 、 信 息 系 统 和 信 息 科 技 基 础 设 施 的 运 行 、 维 护 和 升级 、 信 息

9、 安 全 管 理 、 灾 难 恢 复 计 划 、 信 息 科 技 外 包 和 信 息 系 统 退出 等 职 责 。(四 ) 确 保 信 息 科 技 风 险 管 理 的 有 效 性 , 并 使 有 关 管 理 措 施落 实 到 相 关 的 每 一 个 内 设 机 构 和 分 支 机 构 。 (五 ) 组 织 专 业 培 训 , 提 高 人 才 队 伍 的 专 业 技 能 。 (六 ) 履 行 信 息 科 技 风 险 管 理 其 他 相 关 工 作 。第七条 科技部负责我行信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业

10、知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施:(一 ) 验 证 个 人 信 息 , 包 括 核 验 有 效 身 份 证 件 、 学 历 证 明 、工 作 经 历 和 专 业 资 格 证 书 等 信 息 。(二 ) 审 核 信 息 科 技 员 工 的 道 德 品 行 , 确 保 其 具 备 相 应 的 职业 操 守 。(三 ) 确 保 员 工 了 解 、 遵 守 信 息 科 技 策 略 、 指 导 原 则 、 信 息保 密 、 授 权 使 用 信 息 系 统 、 信 息 科 技 管 理 制 度 和 流 程 等 要 求 , 并 同员 工 签 订 相 关

11、 协 议 。(四 ) 评 估 关 键 岗 位 信 息 科 技 员 工 流 失 带 来 的 风 险 , 做 好 安排 候 补 员 工 和 岗 位 接 替 计 划 等 防 范 措 施 ; 在 员 工 岗 位 发 生 变 化 后及 时 变 更 相 关 信 息 。第八条 运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:(一 ) 运 行 与 维 护 应 实 行 职 责 分 离 , 运 行 人 员 应 实 行 专 职 ,不 得 由 其 他 人 员 兼 任 。 运 行 人 员 应 按 操 作 规 程 巡 检 和 操 作 。 维 护人 员

12、应 按 授 权 和 维 护 规 程 要 求 对 生 产 状 态 的 软 硬 件 、 数 据 进 行 维护 , 除 应 急 外 , 其 他 维 护 应 在 非 工 作 时 间 进 行 。(二 ) 制 定 详 细 的 运 行 值 班 操 作 表 , 包 括 规 定 巡 检 时 间 , 操作 范 围 、 内 容 、 办 法 、 命 令 以 及 负 责 人 员 等 信 息 。(三 ) 提 供 机 房 环 境 、 设 备 使 用 、 网 络 运 行 、 系 统 运 行 职 能交 叉 , 要 部 门 协 调 等 监 控 信 息 。(四 ) 记 录 运 行 值 班 过 程 中 所 有 现 象 、 操 作 过

13、 程 等 信 息 日 志 。(五 ) 对 软 件 或 数 据 的 维 护 必 须 通 过 特 定 的 应 用 程 序 进 行 ,添 加 、 删 除 和 修 改 数 据 应 通 过 柜 员 终 端 , 不 得 对 数 据 库 进 行 直 接操 作 ;(六 ) 具 备 各 种 详 细 的 日 志 信 息 , 包 括 交 易 日 志 和 审 计 日 志等 , 以 便 维 护 和 审 计 。(七 ) 提 供 维 护 的 统 计 和 报 表 打 印 功 能 。(八 ) 对 系 统 参 数 等 设 置 变 更 、 维 护 的 要 求 :1、 应 对 信 息 系 统 配 置 参 数 实 施 严 格 的 安

14、全 与 保 密 管 理 , 防止 非 法 生 成 、 变 更 、 泄 漏 、 丢 失 与 破 坏 。 根 据 敏 感 程 度 和 用 途 ,确 定 存 取 权 限 、 方 式 和 授 权 使 用 范 围 , 严 格 审 批 和 登 记 手 续 。2、 制 订 严 密 的 变 更 处 理 流 程 , 明 确 变 更 控 制 中 各 岗 位 的 职责 , 并 遵 循 流 程 实 施 控 制 和 管 理 ; 变 更 前 应 明 确 应 急 和 回 退 方 案 ,无 授 权 不 得 进 行 变 更 操 作 ;3、 根 据 变 更 需 求 、 变 更 方 案 、 变 更 内 容 核 实 清 单 等 相

15、关 文档 审 核 变 更 的 正 确 性 、 安 全 性 和 合 法 性 。 职 能 交 叉 , 要 部 门 协 调(九 ) 应 对 机 房 环 境 设 施 实 行 日 常 巡 检 , 明 确 信 息 系 统 及 机房 环 境 设 施 出 现 故 障 时 的 应 急 处 理 流 程 和 预 案 , 有 实 时 交 易 服 务的 数 据 中 心 应 实 行 24 小 时 值 班 。(十 ) 实 行 事 件 报 告 制 度 , 发 生 信 息 系 统 造 成 重 大 经 济 、 声誉 损 失 和 重 大 影 响 事 件 , 应 即 时 上 报 并 处 理 , 必 要 时 启 动 应 急 处理 预

16、案 。第九条 风险管理部负责信息科技风险管理工作,并直接向分管行领导(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部的职责包括:(一 ) 拟 定 信 息 系 统 风 险 管 理 总 体 政 策 , 并 提 交 高 级 管 理 层审 查 、 审 批 。(二 ) 会 同 相 关 业 务 部 门 对 信 息 系 统 风 险 进 行 识 别

17、 、 监 测 ;(三 ) 审 核 信 息 系 统 风 险 状 况 。 对 总 行 相 关 业 务 部 门 和 分 支机 构 信 息 系 统 风 险 状 况 及 维 护 、 运 行 情 况 进 行 监 测 , 并 进 行 实 时报 告 。(四 ) 组 织 新 投 产 后 信 息 系 统 的 后 评 价 , 并 识 别 、 评 估 新 信息 系 统 中 所 包 含 的 风 险 , 审 核 相 应 的 操 作 和 风 险 管 理 程 序 。 第十条 稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审

18、计。稽核审计部负责我行信息系统审计任务,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。第 三 章 信 息 科 技 风 险 管 理第十一条 我行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一 ) 信 息 分 级 与 保 护 。 (二 ) 信 息 系 统 开 发 、 测 试 和 维 护 。(三 ) 信 息 科 技 运 行 和 维 护 。(四 ) 访 问 控 制 。(五 ) 物 理 安 全 。(六 ) 人 员 安 全 。(七 ) 业 务 连 续 性 计 划 与 应 急 处 置 。第十二条 我行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其

19、业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。第十三条 我行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:(一 ) 制 定 明 确 的 信 息 科 技 风 险 管 理 制 度 、 技 术 标 准 和 操 作规 程 等 , 定 期 进 行 更 新 和 公 示 。(二 ) 确 定 潜 在 风 险 区 域 , 并 对 这 些 区 域 进 行 详 细 和 独 立 的监 控 , 实 现 风 险 最 小 化 。 建 立 适 当 的 控 制 框 架 , 以 便 于 检 查 和 平衡 风 险 ; 定 义 每 个

20、 业 务 级 别 的 控 制 内 容 , 包 括 :1、 最 高 权 限 用 户 的 审 查 。2、 控 制 对 数 据 和 系 统 的 物 理 和 逻 辑 访 问 。3、 访 问 授 权 以 “必 需 知 道 ”和 “最 小 授 权 ”为 原 则 。4、 审 批 和 授 权 。5、 验 证 和 调 节 。第十四条 我行应建立持续的信息科技风险计量和监测机制,其中应包括:(一 ) 建 立 信 息 科 技 项 目 实 施 前 及 实 施 后 的 评 价 机 制 。(二 ) 建 立 定 期 检 查 系 统 性 能 的 程 序 和 标 准 。(三 ) 建 立 信 息 科 技 服 务 投 诉 和 事

21、故 处 理 的 报 告 机 制 。(四 ) 建 立 内 部 审 计 、 外 部 审 计 和 监 管 发 现 问 题 的 整 改 处 理机 制 。(五 ) 安 排 供 应 商 和 业 务 部 门 对 服 务 水 平 协 议 的 完 成 情 况 进行 定 期 审 查 。(六 ) 定 期 评 估 新 技 术 发 展 可 能 造 成 的 影 响 和 已 使 用 软 件 面临 的 新 威 胁 。(七 ) 定 期 进 行 运 行 环 境 下 操 作 风 险 和 管 理 控 制 的 检 查 。(八 ) 定 期 进 行 信 息 科 技 外 包 项 目 的 风 险 状 况 评 价 。第 四 章 信 息 安 全第

22、十五条 科技部负责建立和实施信息分类和保护体系,应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。第十六条 科技部应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:(一 ) 安 全 制 度 管 理 。(二 ) 信 息 安 全 组 织 管 理 。(三 ) 资 产 管 理 。(四 ) 人 员 安 全 管 理 。(五 ) 物 理 与 环 境 安 全 管 理 。(六 ) 通 信 与 运 营 管 理 。(七 ) 访 问 控 制 管 理 。(八 ) 系 统 开 发 与 维 护 管 理 。(九 ) 信 息 安 全 事 故 管 理 。(十 ) 业 务 连 续 性 管 理 。(十 一 ) 合 规 性 管 理 。第十七条 应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 课件讲义

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。