收藏
下载资源 加入VIP,省得不是一点点

信息科技风险管理办法.doc

上传人:11****ws 文档编号:3663185 上传时间:2019-07-05 格式:DOC 页数:29 大小:121KB
下载 相关 举报
信息科技风险管理办法.doc_第1页
第1页 / 共29页
信息科技风险管理办法.doc_第2页
第2页 / 共29页
信息科技风险管理办法.doc_第3页
第3页 / 共29页
信息科技风险管理办法.doc_第4页
第4页 / 共29页
信息科技风险管理办法.doc_第5页
第5页 / 共29页
点击查看更多>>
资源描述

1、信 息 科 技 风 险 管 理 办 法编 制 部 门 : 技 术 部版 次 号 : A/0生 效 日 期 : 20161201目 录修 改 记 录 .3第 一 章 总 则 .4第 二 章 机 构 职 责 .5第 三 章 信 息 科 技 风 险 管 理 .11第 四 章 信 息 安 全 .13第 五 章 信 息 系 统 开 发 、 测 试 和 维 护 .19第 六 章 信 息 科 技 运 行 .21第 七 章 业 务 连 续 性 管 理 .23第 八 章 外 包 与 审 计 .25第 一 节 外 包 .25第 二 节 审 计 .28第 九 章 附 则 .30附 件 : .31修 改 记 录版次号

2、 生效日期 修改原因A/0 流程体系文件 A 版 首次发布第 一 章 总 则第一条 为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我司各项业务安全、持续、稳健运行,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行信息科技风险管理指引、营口沿海银操作风险管理指引,以及国家信息安全相关要求和有关法律法规,制定本管理办法。第二条 本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我司业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第三条 本管理办法所

3、称信息科技风险,是指信息科技在我司运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第四条 信息科技风险管理的目标是通过建立有效的机制,实现对我司信息科技风险的识别、计量、监测和控制,促进我司安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章 机构职责第五条 根据我司信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:( 一 ) 遵 守 并 贯 彻 执 行 国 家 有 关 信 息 科 技 管 理 的 法 律 、 法 规和 技 术 标

4、准 , 落 实 中 国 银 行 业 监 督 管 理 委 员 会 ( 以 下 简 称 银 监 会 )相 关 监 管 要 求 。( 二 ) 审 查 批 准 信 息 科 技 战 略 , 确 保 其 与 银 行 的 总 体 业 务 战略 和 重 大 策 略 相 一 致 。 评 估 信 息 科 技 及 其 风 险 管 理 工 作 的 总 体 效果 和 效 率 。( 三 ) 掌 握 主 要 的 信 息 科 技 风 险 , 确 定 可 接 受 的 风 险 级 别 ,确 保 相 关 风 险 能 够 被 识 别 、 计 量 、 监 测 和 控 制 。( 四 ) 规 范 职 业 道 德 行 为 和 廉 洁 标 准

5、 , 增 强 内 部 文 化 建 设 ,提 高 全 体 人 员 对 信 息 科 技 风 险 管 理 重 要 性 的 认 识 。( 五 ) 设 立 一 个 由 来 自 高 级 管 理 层 、 信 息 科 技 部 门 和 主 要 业务 部 门 的 代 表 组 成 的 专 门 信 息 科 技 管 理 委 员 会 , 负 责 监 督 各 项 职责 的 落 实 , 定 期 向 董 事 会 和 高 级 管 理 层 汇 报 信 息 科 技 战 略 规 划 的执 行 、 信 息 科 技 预 算 和 实 际 支 出 、 信 息 科 技 的 整 体 状 况 。( 六 ) 在 建 立 良 好 的 公 司 治 理 的

6、 基 础 上 进 行 信 息 科 技 治 理 ,形 成 分 工 合 理 、 职 责 明 确 、 相 互 制 衡 、 报 告 关 系 清 晰 的 信 息 科 技治 理 组 织 结 构 。 加 强 信 息 科 技 专 业 队 伍 的 建 设 , 建 立 人 才 激 励 机 制 。( 七 ) 确 保 内 部 审 计 部 门 进 行 独 立 有 效 的 信 息 科 技 风 险 管 理审 计 , 对 审 计 报 告 进 行 确 认 并 落 实 整 改 。( 八 ) 每 年 审 阅 并 向 银 监 会 及 其 派 出 机 构 报 送 信 息 科 技 风 险管 理 的 年 度 报 告 。( 九 ) 确 保

7、信 息 科 技 风 险 管 理 工 作 所 需 资 金 。( 十 ) 确 保 银 行 所 有 员 工 充 分 理 解 和 遵 守 经 其 批 准 的 信 息 科技 风 险 管 理 制 度 和 流 程 , 并 安 排 相 关 培 训 。( 十 一 ) 确 保 本 法 人 机 构 涉 及 客 户 信 息 、 账 务 信 息 以 及 产品 信 息 等 的 核 心 系 统 在 中 国 境 内 独 立 运 行 , 并 保 持 最 高 的 管 理 权限 , 符 合 银 监 会 监 管 和 实 施 现 场 检 查 的 要 求 , 防 范 跨 境 风 险 。( 十 二 ) 及 时 向 银 监 会 及 其 派

8、出 机 构 报 告 本 机 构 发 生 的 重大 信 息 科 技 事 故 或 突 发 事 件 , 按 相 关 预 案 快 速 响 应 。( 十 三 ) 配 合 银 监 会 及 其 派 出 机 构 做 好 信 息 科 技 风 险 监 督检 查 工 作 , 并 按 照 监 管 意 见 进 行 整 改 。( 十 四 ) 履 行 信 息 科 技 风 险 管 理 其 他 相 关 工 作 。第六条 我司应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责包括:(一 ) 直 接 参 与 本 银 行 与 信 息 科 技 运 用 有 关 的 业 务 发 展 决 策 。(二 ) 确 保 信

9、 息 科 技 战 略 , 尤 其 是 信 息 系 统 开 发 战 略 , 符 合 本银 行 的 总 体 业 务 战 略 和 信 息 科 技 风 险 管 理 策 略 。(三 ) 负 责 建 立 一 个 切 实 有 效 的 信 息 科 技 部 门 , 承 担 本 银 行 的信 息 科 技 职 责 。 确 保 其 履 行 : 信 息 科 技 预 算 和 支 出 、 信 息 科 技 策略 、 标 准 和 流 程 、 信 息 科 技 内 部 控 制 、 专 业 化 研 发 、 信 息 科 技 项目 发 起 和 管 理 、 信 息 系 统 和 信 息 科 技 基 础 设 施 的 运 行 、 维 护 和 升

10、级 、 信 息 安 全 管 理 、 灾 难 恢 复 计 划 、 信 息 科 技 外 包 和 信 息 系 统 退出 等 职 责 。(四 ) 确 保 信 息 科 技 风 险 管 理 的 有 效 性 , 并 使 有 关 管 理 措 施落 实 到 相 关 的 每 一 个 内 设 机 构 和 分 支 机 构 。 (五 ) 组 织 专 业 培 训 , 提 高 人 才 队 伍 的 专 业 技 能 。 (六 ) 履 行 信 息 科 技 风 险 管 理 其 他 相 关 工 作 。第七条 科技部负责我司信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应

11、具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施:(一 ) 验 证 个 人 信 息 , 包 括 核 验 有 效 身 份 证 件 、 学 历 证 明 、工 作 经 历 和 专 业 资 格 证 书 等 信 息 。(二 ) 审 核 信 息 科 技 员 工 的 道 德 品 行 , 确 保 其 具 备 相 应 的 职业 操 守 。(三 ) 确 保 员 工 了 解 、 遵 守 信 息 科 技 策 略 、 指 导 原 则 、 信 息保 密 、 授 权 使 用 信 息 系 统 、 信 息 科 技 管 理 制 度 和 流 程 等 要 求 , 并 同员 工

12、签 订 相 关 协 议 。(四 ) 评 估 关 键 岗 位 信 息 科 技 员 工 流 失 带 来 的 风 险 , 做 好 安排 候 补 员 工 和 岗 位 接 替 计 划 等 防 范 措 施 ; 在 员 工 岗 位 发 生 变 化 后及 时 变 更 相 关 信 息 。第八条 运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:(一 ) 运 行 与 维 护 应 实 行 职 责 分 离 , 运 行 人 员 应 实 行 专 职 ,不 得 由 其 他 人 员 兼 任 。 运 行 人 员 应 按 操 作 规 程 巡 检 和 操 作 。

13、维 护人 员 应 按 授 权 和 维 护 规 程 要 求 对 生 产 状 态 的 软 硬 件 、 数 据 进 行 维护 , 除 应 急 外 , 其 他 维 护 应 在 非 工 作 时 间 进 行 。(二 ) 制 定 详 细 的 运 行 值 班 操 作 表 , 包 括 规 定 巡 检 时 间 , 操作 范 围 、 内 容 、 办 法 、 命 令 以 及 负 责 人 员 等 信 息 。(三 ) 提 供 机 房 环 境 、 设 备 使 用 、 网 络 运 行 、 系 统 运 行 职 能交 叉 , 要 部 门 协 调 等 监 控 信 息 。(四 ) 记 录 运 行 值 班 过 程 中 所 有 现 象

14、、 操 作 过 程 等 信 息 日 志 。(五 ) 对 软 件 或 数 据 的 维 护 必 须 通 过 特 定 的 应 用 程 序 进 行 ,添 加 、 删 除 和 修 改 数 据 应 通 过 柜 员 终 端 , 不 得 对 数 据 库 进 行 直 接 操作 ;(六 ) 具 备 各 种 详 细 的 日 志 信 息 , 包 括 交 易 日 志 和 审 计 日 志等 , 以 便 维 护 和 审 计 。(七 ) 提 供 维 护 的 统 计 和 报 表 打 印 功 能 。(八 ) 对 系 统 参 数 等 设 置 变 更 、 维 护 的 要 求 :1、 应 对 信 息 系 统 配 置 参 数 实 施 严

15、 格 的 安 全 与 保 密 管 理 , 防止 非 法 生 成 、 变 更 、 泄 漏 、 丢 失 与 破 坏 。 根 据 敏 感 程 度 和 用 途 ,确 定 存 取 权 限 、 方 式 和 授 权 使 用 范 围 , 严 格 审 批 和 登 记 手 续 。2、 制 订 严 密 的 变 更 处 理 流 程 , 明 确 变 更 控 制 中 各 岗 位 的 职责 , 并 遵 循 流 程 实 施 控 制 和 管 理 ; 变 更 前 应 明 确 应 急 和 回 退 方 案 ,无 授 权 不 得 进 行 变 更 操 作 ;3、 根 据 变 更 需 求 、 变 更 方 案 、 变 更 内 容 核 实 清

16、 单 等 相 关 文档 审 核 变 更 的 正 确 性 、 安 全 性 和 合 法 性 。 职 能 交 叉 , 要 部 门 协 调(九 ) 应 对 机 房 环 境 设 施 实 行 日 常 巡 检 , 明 确 信 息 系 统 及 机房 环 境 设 施 出 现 故 障 时 的 应 急 处 理 流 程 和 预 案 , 有 实 时 交 易 服 务的 数 据 中 心 应 实 行 24 小 时 值 班 。(十 ) 实 行 事 件 报 告 制 度 , 发 生 信 息 系 统 造 成 重 大 经 济 、 声誉 损 失 和 重 大 影 响 事 件 , 应 即 时 上 报 并 处 理 , 必 要 时 启 动 应

17、急 处 理预 案 。第九条 风险管理部负责信息科技风险管理工作,并直接向分管行领导(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部的职责包括:(一 ) 拟 定 信 息 系 统 风 险 管 理 总 体 政 策 , 并 提 交 高 级 管 理 层审 查 、 审 批 。(二 ) 会 同 相 关 业 务 部 门 对 信 息 系 统 风 险

18、进 行 识 别 、 监 测 ;(三 ) 审 核 信 息 系 统 风 险 状 况 。 对 总 行 相 关 业 务 部 门 和 分 支机 构 信 息 系 统 风 险 状 况 及 维 护 、 运 行 情 况 进 行 监 测 , 并 进 行 实 时 报告 。(四 ) 组 织 新 投 产 后 信 息 系 统 的 后 评 价 , 并 识 别 、 评 估 新 信息 系 统 中 所 包 含 的 风 险 , 审 核 相 应 的 操 作 和 风 险 管 理 程 序 。 第十条 稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 策划方案

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。