1、xx银行信息科技风险管理办法xx总发xx211号,xx年10月12日印发第一章 总 则第一条 为了规范xx银行(以下简称“本行”)信息科技风险管理,促进全行信息科技工作的健康发展,根据商业银行信息科技风险管理指引、计算机信息安全等级保护条例以及国家信息安全相关要求和有关法律法规,特制定本办法。第二条 本办法所称信息科技管理,包括:信息科技治理、信息科技风险管理、信息安全、信息系统项目管理、信息科技运行、业务连续性管理、外包管理、内外部审计等。第三条 本办法适用于总行及各分支机构信息科技风险管理。第四条 本办法所指信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在银行业务交易处理、经营
2、管理和内部控制等方面应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第五条 本办法所指重大信息科技项目是指xx银行信息科技项目管理办法中所界定的甲类项目。第二章 信息科技治理第六条 总行设立首席信息官,成立由行长担任主任、首席信息官担任副主任的信息科技管理委员会。明确董事会、信息科技管理委员会、首席信息官以及科技、风险、稽核等部门的职责,全面协调开展信息科技风险管理工作。第七条 董事会应履行以下信息科技管理职责:(一) 遵守并贯彻执行国家和银监会有关信息科技管理的政策和规定;(二) 审查和批准信息科技发展战略规划,评估信息科技风险管理效果;(三) 了解信息风险,
3、明确信息风险等级,落实信息风险识别和评价机制;(四) 监督信息科技战略规划、预算执行和整体状况;(五) 落实信息科技外部审计工作,按要求向银监部门报送信息科技风险管理报告;(六) 及时向银监部门上报重大信息科技事故和突发事件,落实应急响应机制;(七) 履行信息科技风险管理其他相关工作。第八条 信息科技管理委员会承担以下职责:(一) 审议本行中长期信息科技规划,定期(至少每年一次)进行评审,并将评审结果上报董事会;(二) 审议本行年度IT预算,并监督执行情况;(三) 评估本年度本行信息科技及其风险管理工作的总体效果和效率;(四) 根据市场形势及公司业务发展的实际情况,审议调整信息科技工作部署的意
4、见;(五) 审议本行重大信息科技项目报告;(六) 审议本行重大IT管理制度;(七) 研究和评估本行重要信息科技人才激励机制的实施效应,并向高级管理层提出建议;(八) 对本行IT相关的投资及其优先级做出决策;(九) 确保本行提供足够的资源保障信息科技治理工作按既定的目标和议案进行实施,保障公司信息科技治理水平得到持续的改进和提高;(十) 高级管理层授权的其它事宜。第九条 首席信息官直接向行长汇报,并参与决策。首席信息官职责包括:(一) 直接参与本行与信息科技运作有关的业务发展决策;(二) 确保信息科技战略,尤其是信息系统开发战略的实施,保持与总体业务发展战略和信息科技风险管理策略相一致;(三)
5、负责组建信息科技部门,承担信息科技职责,确保科技部门各项职能的良好履行;(四) 确保信息科技风险管理的有效性,有效涵盖所有风险点,使防范措施落实到每一个内设机构和分支机构;(五) 加强信息科技队伍建设,开展专业培训,提高专业技术水平。第十条 总行科技部为全行信息科技工作的主要职能部门,应按照信息科技管理要求合理设置岗位,明确不同岗位的职责和技能要求;人事保卫部对于重要岗位人员应加强审核管理,签定保密协议,落实强制休假,按年度进行考评。总行科技部主要职责包括:(一) 负责并实施董事会和高级管理层下达的各项信息科技工作;(二) 负责并制定全行科技发展规划和电子化建设计划;(三) 负责并管理全行信息
6、科技项目的开发工作;(四) 负责并管理全行计算机信息系统日常运行维护工作;(五) 负责并管理全行电子化设备的维护和电子设备的资产管理工作;(六) 负责并实施全行计算机信息系统风险控制和安全管理工作;(七) 负责并制定总行信息科技管理制度、办法和流程;(八) 负责并管理、指导分支机构开展信息科技工作;(九) 负责并管理全行信息科技成果、保密、知识产权保护等工作;(十) 负责并实施全行计算机安全等级保护和内外部审计整改工作。第十一条 总行风险管理部负责信息科技风险管理工作,风险管理部内设信息科技风险管理岗,部门职责如下:(一) 根据本行信息科技风险管理政策,制定信息科技风险管理策略;(二) 负责开
7、展年度全面信息科技风险评估工作,组织信息科技专项风险评估,监督、跟踪风险整改建议落实情况;(三) 在总行应急领导小组的领导下,组织各部门制定应急预案,并监督业务连续性计划的演练;(四) 负责监控信息科技风险和不合规事件发生,在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供相关合规性信息。第十二条 总行稽核监察部负责信息科技风险审计工作,并设立信息科技风险审计岗,部门职责如下:(一) 负责向信息科技管理委员会及高级管理层汇报信息科技内审工作;(二) 负责制定和实施信息科技审计制度和流程;(三) 负责制定和执行信息科技审计计划;(四) 负责对信息科技整个生命周期和重大
8、事件等进行审计;(五) 配合银行监管部门做好信息科技现场检查,并负责协调外部审计工作。第十三条 总行行政部负责全行电子化设备的采购,协助项目发起部门选择供应商。第三章 信息科技风险管理第一节 风险管理定义第十四条 息科技风险,是指信息科技在银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第十五条 息科技风险管理的基本原则是:体系规范、制度健全、流程合规、措施有效,全面保障信息系统安全稳定的运行。 第二节 风险管理策略第十六条 以业务发展战略为基础,制定和完善信息科技发展战略,落实信息科技运行和风险评估计划,确保人、财、物各项资源的有效保障,并逐步建立和完
9、善与之相适应的全行信息科技风险管理策略。第十七条 信息科技风险管理策略应包括但不限于以下内容:(一) 信息分级和保护;(二) 信息系统开发、测试和维护;(三) 信息科技运行和维护;(四) 访问控制;(五) 物理安全;(六) 人员安全;(七) 业务连续性计划与应急管理。 第三节 风险管理措施第十八条 信息科技风险管理部门应制定和完善信息风险识别和评估流程,鉴定和评价信息风险点及可能对业务带来的潜在影响。并针对风险程度进行排序,实施相应的风险防控措施及确定所需资源的优先级。第十九条 各部门应依据信息科技风险管理策略和风险评估结果,全面实施风险防范措施。防范措施应包括: (一) 健全和完善信息科技风
10、险管理制度、技术标准和操作规程等;(二) 确定潜在风险点,并对风险点进行有效的监测、跟踪和分析,制定相应的控制措施,实现风险最小化。并针对各业务系统定义控制内容,包括:1、最高权限用户的审查;2、控制对数据和系统的物理和逻辑访问;3、访问授权以“必需知道”和“最小授权”为原则;4、审批和授权;5、验证和调节。第二十条 风险管理部门应建立持续的信息科技风险计量和监测机制,其中应包括:(一) 建立信息科技项目实施前及实施后评价机制;(二) 建立定期检查系统性能的程序和标准;(三) 建立内、外部审计和监管发现问题的整改处理机制;(四) 定期对服务供应商服务水平协议的完成情况进行审查;(五) 定期对运
11、行环境下操作风险和管理控制进行检查;(六) 定期对信息科技外包项目的风险状况进行评价。第四章 信息安全管理第一节 安全管理机构第二十一条 建立和完善全行信息安全管理机构,成立全行信息安全管理领导小组,全面负责全行信息安全指导和管理工作。信息安全管理领导小组隶属于总行信息科技管理委员会统一管理,其组成人员包括总行领导、首席信息官、总行科技部以及相关业务部门负责人组成。第二十二条 总行科技部应根据安全管理要求,设立信息安全管理员岗位,并明确职责及职能要求。第二节 安全管理职能第二十三条 总行科技部是全行信息安全管理的主要职能部门,负责全行计算机安全等级保护、技防实施、计划与项目预算、制度制定、安全
12、检查及人员培训和管理等;会计出纳部、个金业务部、授信管理部、公司业务部、国际业务部和计划财务部等部门对信息系统的业务处理以及业务流程的安全承担管理责任;人事保卫部负责涉密信息的统一管理、信息系统场地的安全保障以及系统资产的防灾、防火、防雷、防盗、防破坏等;行政后勤部负责信息资产采购的合法性保障以及水、电等后勤保障工作。第二十四条 信息安全管理主要职能应包括:(一) 制定和完善全行信息安全计划,推进信息安全体系整体建设,构建长效管理机制;(二) 组织并实施全行信息安全项目,负责分支机构和各业务条线信息安全的统一管理;(三) 定期向信息科技管理委员会报告信息安全评估报告和其他重大安全事项;(四)
13、健全信息安全管理机制,完善全行信息安全策略、标准、制度、实施流程和持续维护要求;(五) 建立信息安全资产预算管理,确保安全技防落实;(六) 定期开展安全教育,组织全行员工学习安全防护知识;(七) 配合银行监管部门、公安和其他信息安全管理部门做好现场安全检查和整改落实工作;(八) 组织开展全行安全检查,指导并督促分支机构落实安全管理职责。第二十五条 总行各部室和各分支机构应根据安全管理要求,明确分管科技负责人,并设电脑专管员岗位,负责本部门日常信息管理工作,其主要职能应包括:(一) 负责本部门电脑设备和系统的运行维护管理,做好日常维护,定期进行分析总结,并及时汇报总行科技部;(二) 负责本部门的
14、网络安全使用管理,定期检查、记录网络使用情况,发现故障和安全隐患,及时上报总行科技部,并落实整改;(三) 配合总行以及当地银行监管部门、公安和其他信息安全管理部门做好现场安全检查和整改落实工作;(四) 开展本部门信息安全教育,负责本部门计算机业务应用和安全知识的辅导、培训工作,检查、监督本部门遵守信息科技安全管理方面的法律、规章和制度。第三节 信息安全策略第二十六条 总行信息安全管理部门应依据全行信息科技风险管理总体要求,制定、完善和实施全行信息安全策略。信息安全策略应包括如下内容:(一) 安全制度管理;(二) 信息安全组织管理;(三) 信息资产管理;(四) 人员安全管理;(五) 物理与环境安
15、全管理;(六) 系统运营与网络通信管理;(七) 访问控制管理;(八) 系统、项目开发与维护管理;(九) 信息安全事故管理;(十) 业务连续性管理;(十一) 合规性管理。第二十七条 建立和完善有效的用户认证和访问控制机制,确保用户对数据和系统访问是可控和有效的。当用户发生变更应及时在系统中做好检查、更新和注销用户身份。第二十八条 对于信息科技重要区域应设立安全保护区(如中心机房、灾备中心、存储重要数据和放置重要系统、网络、通信等设备的场所),须明确安全防护措施、控制手段和机房建设标准,确保信息系统重要场所的安全。第二十九条 信息系统网络安全管理应依据信息安全等级,将网络划分为不同的逻辑安全域,并
16、对相关安全因素做出评估,实施有效隔离(如生产、开发、测试和外网隔离),并采取物理或逻辑分区、内容过滤、访问控制、传输加密、网络监控和日志审计等手段。第三十条 对重要信息系统应建立和完善信息安全测评机制,定期开展自评或邀请第三方权威测评,并根据评估报告,持续开展整改工作,明确责任,落实计划,完善措施,确保信息系统整体防护能力。第三十一条 按照国家信息安全监管要求,规范和完善涉密信息管理,包括:互联网行为、涉密计算机和移动存储管理。建立涉密检查机制,防止非涉密计算机装载、储存或传播国家涉密信息;防止将本行重要商业机密信息存储在移动存储和非涉密计算机中,或通过互联网传播。第三十二条 健全防病毒机制,
17、建立全行网络防病毒体系,定期下载和更新病毒库,开展防病毒检查。并依据总行信息安全规划要求,逐步强化安全控制机制,通过技术手段来规范使用行为,如:桌面管理、域管理和文件共享管理等,确保信息系统安全。第三十三条 建立和完善信息系统操作规程,确保操作系统和系统软件的安全:(一) 明确操作系统基本安全要求;(二) 明确不同用户对系统访问权限;(三) 明确最高权限系统帐户的审批、验证和监控流程,以及最高权限用户的日志审计和监察;(四) 明确定期对可用的安全补丁检查,并报告补丁的管理状态;(五) 明确系统日志记录要素,包括:不成功登录、重要系统文件访问、对用户帐户修改等重要事项,以及手动或自动监控系统出现
18、的任何异常事件,定期形成报告。第三十四条 完善信息安全保障机制,应采取包括但不限于下列措施,确保信息系统安全:(一) 明确定义终端用户和信息科技人员在安全管理中的角色和职责;(二) 明确按照信息系统重要性和敏感程度,确认身份验证方法;(三) 明确岗位职责和不相容岗位,对关键或敏感岗位进行双重控制;(四) 明确关键接合点输入验证和输出核对机制;(五) 明确保密信息的处理方式,采取安全手段进行输入/输出处理,防止信息泄露或被盗取、篡改;(六) 明确信息系统能按预先设定的方式处理例外情况,当系统被迫终止时能向用户提供必要信息;(七) 明确以书面或电子形式保存审计痕迹;(八) 明确用户管理员必须监控和
19、审查未成功登录和用户帐户修改情况。第三十五条 完善信息系统日志管理,建立有效的日志管理平台和流程,确保从系统、数据库、应用、网络和安全等不同层面进行有效的活动日志管理,以支持有效审核、取证和预防欺诈。日志分为两大类:(一) 交易日志。由应用软件和数据库系统产生,包括:用户登录、数据修改和错误信息等;(二) 系统日志。由操作系统、数据库系统、防火墙、入侵检测、防病毒系统和路由器等产生,包括:管理登录、系统/网络事件、错误信息等。交易日志和系统日志应包含足够内容,以满足内部控制、解决系统故障和审计需要;应保持日志的同步和完整性,明确日志复查频率和保存期限,第三十六条 运用信息加密技术,防范涉密信息
20、在传输、处理、存储过程中出现泄露或被篡改风险,并建立加密设备和密钥管理制度,以确保:(一) 使用符合国家要求的加密技术和设备;(二) 在启用、操作和管理加密设备中的合规性;(三) 落实专人管理,并经过培训和资格审查;(四) 加密强度能够满足信息机密性要求;(五) 建立有效管理流程,完善密钥和证书生命周期管理。第三十七条 制定和完善设备使用办法,建立信息安全检查机制,定期开展用户终端设备的安全检查。包括但不限于:服务器、台式机、便携机、柜员终端、移动存储、ATM、POS、查询机、加密设备等,确保使用设备的安全、可靠和稳定运行。第三十八条 建立和完善数据存储管理办法,实行信息中心数据的集中管理,明
21、确数据备份操作流程,规范数据信息在采集、处理、存储、传输、分发、备份、恢复、清理和销毁过程中操作流程。第三十九条 建立和完善全行计算机安全和技能培训机制,定期组织全行员工开展安全技能培训,及时了解信息风险管理制度和流程,提高安全防范和风险管控意识,增强防护技能。第五章 信息科技开发、测试和维护管理第四十条 总行设立信息科技项目管理办公室,负责全行信息科技项目的优先排序、立项、审批和控制,协调项目调研、需求分析及项目开发、测试、上线过程中的沟通、协调等工作。第四十一条 健全和完善信息科技项目管理办法,规范项目需求、规划、立项、采购、开发、测试、上线、维护及升级、退出流程,确保项目全过程有效管理。
22、第四十二条 项目管理办公室负责向信息科技管理委员会提交重大信息科技项目进度报告,包括项目实施中的重大变更(需求、架构、范围、预算等)、存在风险、费用支出、人员及供应商变更等与项目相关的重要情况。第四十三条 总行科技部承担全行信息科技项目开发管理职能,应健全和规范项目开发、测试和维护管理工作,有效控制项目开发风险,并根据项目实施要求和计划,组织并配置IT人力资源,完成项目开发、测试和上线工作。第四十四条 建立和完善项目风险控制机制,明确项目实施中可能存在的操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,应通过适当的管控方法去有效控制信息科技项目风险。第四十五条 信息科
23、技项目开发管理应符合软件工程规范,实施信息系统生命周期管理,运用适当的系统开发方法去有效控制信息系统在系统分析、设计、开发或外购、测试、试运行、上线、维护和退出等各个阶段风险管理。第四十六条 建立和完善项目上线后评价机制,对已上线项目经过一段时间运行后在运行、效率、功能等情况进行评价,并根据评价结果对项目进行持续优化和改进。第四十七条 制定和完善项目变更管理办法和流程,确保信息系统的可靠性、完整性和可维护性,包括但不限如下要求:(一) 明确生产、开发、测试系统环境的有效隔离;(二) 明确生产、开发、测试系统管理职能相分离;(三) 明确应用开发人员不得直接进入生产系统维护应用软件。除紧急修复任务
24、并经管理层批准外,开发人员可以进入修复,但所有紧急修复活动应即记录和审核;(四) 明确项目变更审批流程,对于已完成开发和测试的程序或系统配置,若要变更应用到生产系统时,应取得科技部负责人的批准,对特别重大变更报请行领导审批,并做好变更记录和检查。第四十八条 完善信息数据管理办法,落实相关标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。第四十九条 建立和完善有效的问题/事件管理流程,以确保全面跟踪、分析和解决信息系统存在问题,并对问题/事件进行记录、分类和索引。包括:问题/事件描述、故障原因、影响范围(业务、时间),处理方式、内外部支援情况等。第五十条 建立和完善系统
25、升级控制机制,当设备达到使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库系统、中间件)或应用软件必须升级时(不含补丁和小版本升级),应及时进行硬件及系统升级,对该类升级属于重大变更应纳入信息科技项目,按项目要求进行管控,包括测试和验收等。第五十一条 建立和完善科技文档管理制度。第六章 信息科技运行管理第一节 中心机房管理第五十二条 总行科技部负责总行中心机房(含灾备中心)的日常运行、监控、维护管理职责。各支行信息安全管理员(电脑专管员)负责支行机房的运行管理职责。第五十三条 健全和完善信息科技运行管理制度,明确职责,规范流程,授权操作,监控有效。确保中心机房主机、网络、数据库和应用系
26、统以及机房环境得到有效监控和管理,保障信息系统的生产安全。第五十四条 中心机房为重要场所,应充分考虑选址的合理性,机房选址时应规避存在潜在威胁的环境(如:自然灾害多发区、危险或有害设施、繁忙或主要公路等);对信息中心应采取物理控制措施(如门禁、防辐射、监控、消防等);对机房环境配备必要的环境集中监控系统(如:UPS、配电、温湿度、视频监控等);中心机房应确保双路市电、双UPS,并根据实际情况配置自备发电机或向第三方租赁油机发电。第五十五条 建立和完善机房进、出管理制度,明确系统运维人员进出区域和操作权限,并做好上岗审查、身份验证和背景调查;对外来人员进出机房必须经过授权审批,其活动过程应全程监
27、控,并作详细记录。第五十六条 完善中心机房系统运维岗位,合理配置岗位人员,做到系统运行与开发和维护岗位的分离,确保岗位的制约,并明确各岗位的职责。第五十七条 按照有关法律法规要求保存交易数据,运用程序或技术手段确保存档数据的完整性、安全性和可恢复性。第五十八条 完善信息系统用户密码管理制度,按照分类要求明确密码设置规则、变更周期和操作权限等,建立检查和强制变更机制。第五十九条 制定和完善信息科技运行操作说明,编制详细的运行手册,比如:明确操作人员的任务、工作日程、执行步骤,以及在生产与开发环境中数据、软件的备份流程和要求(即备份的频率、范围和保留周期)。第六十条 建立和完善事故处理机制,及时处
28、理和响应各类运行事故,并做好记录、分析和跟踪。对于重大运行事故应建立逐级上报制度,制定应急处理流程。同时,应充分借鉴IT服务管理标准的理念,逐步完善服务平台,提供在线技术支持;并建立和完善服务水平管理制度和流程,对服务质量和水平进行考核。第六十一条 建立和完善系统性能监控机制,充分运用技术手段连续监控信息系统性能,对例外情况做出预警,并及时予以识别和修正。第六十二条 建立和完善系统运行容量规划,定期进行容量分析,并根据业务发展和交易量增加,以及内、外部需求,及时对系统容量做出调整(扩容、增加和升级)。容量规划应包含生产系统、灾备系统和相关设备。第六十三条 健全系统维护和升级机制,及时进行维护和
29、适当的系统升级,确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际故障,预防性和补救性维护记录),确保有效维护设备和设施。第六十四条 制定和完善中心机房变更管理流程(含灾备中心),确保生产环境的完整性和可靠性。涉及生产系统的所有变更(含紧急变更)都必须经过有权部门授权审批,制定详细的变更方案、操作步骤、变更清单和回退计划等。对变更操作必须进行记录,对涉及变更的数据、程序和配置参数等事先必须做好备份,以便必要时恢复原有系统版本和数据文件。第二节 设备管理和知识产权第六十五条 建立和完善设备运维管理制度和流程,对重要设备应建立维护档案,及时购买维保服务,定期开展巡检检查。应建立维护服务
30、流程,明确响应时间,快速处置各种故障设备,确保运行正常。第六十六条 按照总行集中采购和固定资产管理要求,建立和完善计算机设备管理制度和流程,规范IT预算管理,制定设备配置标准,完善设备采购、登记、领用、使用、维护与报废流程,开展设备使用检查,组织员工操作培训等。第六十七条 健全和完善设备采购、服务和项目合同管理,规范合同要素,包括:合同需求、支付方式、双方责任、违约处罚、售后服务、保密条款、知识产权等。严格执行合同审批流程,合同须经行政后勤部、科技部、法规部和相关部门会签及稽核监察部审核。第六十八条 制定和完善知识产权管理制度,对于生产系统运行的各种基础软件(操作系统、数据库、中间件)或应用软
31、件(程序、工具)等应取得合法使用权限,严禁使用非正版化软件或使用侵犯他人知识产权的软件,要定期开展检查,完善正版化软件使用、采购、登记管理。第七章 业务连续性管理第六十九条 建立和完善业务连续性管理架构,成立总行应急管理领导小组,负责全行计算机应急处置和统一协调指挥;下设业务连续性管理办公室,组织实施应急管理领导小组部署的各项应急管理工作,包括:组织各相关部门制定应急预案、组织演练、实施评估和监督整改等。第七十条 按照总行业务发展规划和风险控制策略,结合自身业务特点、规模和系统的复杂程度等,制定和完善与之相适应的全行业务连续性规划(包括灾备中心建设规划),确保信息系统发生例外情况时,仍能提供持
32、续的业务服务。对业务连续性规划应定期开展演练,建立评估和更新机制,确保有效性。第七十一条 建立和完善业务风险评估机制,对于因意外事件导致业务运行中断的可能性和所带来的影响程度,进行有效评估,明确业务连续性保障的优先策略。包括评估由下列因素导致的破坏:(一) 内外部资源的故障或缺失(如人员、系统、外部支援或其他资产);(二) 信息丢失或受损;(三) 外部事件(如战争、地震或台风等)。第七十二条 对于重要信息系统应完善业务连续性保障措施,明确系统恢复和冗余策略,采取双机热备、共享机制等措施,有效降低业务中断可能性,并通过应急举措来降低系统中断影响。第七十三条 建立和完善业务连续性策略文档,并制定持
33、续的检查和沟通计划,确保文档的充分性和有效性。其中包括:(一) 规范业务连续性计划,明确不同中断(短期、中期、长期)状况下,如何有效降低影响的措施,包括但不限于:1、资源需求(如人员、系统、外部支援和其他资产)以及获取资源的方式;2、运行系统恢复的优先顺序;3、内部各部门协调机制及与外部各方的沟通机制(监管机构、客户和媒体等)。(二) 更新实施业务连续性计划的流程和相关联络信息;(三) 验证受中断影响的信息完整性的步骤;(四) 当本行业务或风险状况发生变化时,对本条一至三进行审核并升级。第七十四条 作为业务连续性计划的重要内容,应完善灾备中心的规划建设,健全灾备中心的运行管理机制,实施业务风险
34、评级和应急响应,制定应急预案,开展应急演练和培训,落实后评价机制,持续跟踪和更新系统,确保全行业务的可持续发展。第七十五条 各部门所编制以及实施的业务连续性计划、重大科技项目实施和年度应急演练结果等,应报送风险管理部,并纳入IT年度重要工作内容范畴。第八章 外包管理第七十六条 完善外包管理机制,明确外包范围和管理流程。总行科技部为信息科技外包管理的主要牵头部门,各分支机构未经总行允许不得擅自开展信息科技外包服务项目。第七十七条 外包服务应坚持审慎原则,不得将信息科技管理责任外包。重大信息科技项目的外包风险评估工作纳入专项风险评估,由风险管理部牵头组织评估;其余外包项目评估由科技部自评估,并将评
35、估结果报送风险管理部。第七十八条 对重要外包项目,如:中心机房和信息科技基础设施等,应格外谨慎,在准备实施前应以书面材料报当地银监局。第七十九条 在签署外包协议或对外包协议进行重大变更时,应考虑周密,做好相关准备,其中包括:(一) 分析外包是否适合本行组织结构和报告路线、业务战略、总体风险控制;是否满足本行履行对外包服务商的监督义务;(二) 考虑外包协议是否允许本行检测和控制与外包相关的操作风险;考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况);(三) 充分审查、评估外包服务商的财务状况、专业经验,以及对外包服务商进行风险评估,综合考查其解决方案、行业成功案例和实施能力是否足以
36、承担相应的责任;(四) 关注可能存在的集中风险,如多家银行共用同一外包服务商带来的潜在业务连续性风险。第八十条 在与外包服务商合同谈判中,应充分考虑以下因素,包括但不限于:(一) 对外包服务商的报告要求和谈判必要条件;(二) 银行监管机构和内、外部审计能执行足够的监督;(三) 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息;(四) 担保和损失赔偿是否充足;(五) 外包服务商遵守本行有关信息科技风险制度和流程的意愿及相关措施;(六) 外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺;(七) 第三方供应商出现问题时,保证软件持续可用的相关措施;(八) 变更外
37、包协议的流程,以及本行或外包服务商选择变更或终止外包协议的条件,如:1、 本行或外包服务商的所有权或控制权发生变化;2、 本行或外包服务商的业务经营发生重大变化;3、 外包服务商提供的服务不充分,造成本行无法履行监督义务。第八十一条 在实施外包服务管理中,应明确服务水平指标,旨在充分评估外包服务商的服务效能、质量和水平,并通过服务水平报告、定期自我评估、内/外部审计等方式进行外包服务考核,并针对存在问题,及时调整流程和改进措施。第八十二条 在实施外包服务中,应确保本行客户资料等敏感信息的安全,包括但不限于:(一) 实现本行客户资料和外包服务商其他客户资料的有效隔离;(二) 按照“必须知道”和“
38、最小授权”原则对外包服务商相关人员进行授权;(三) 明确要求外包服务商保证其参与服务人员(无论是雇员或第三方聘用人员)遵守保密规定;(四) 对涉及本行客户资料的外包服务(如信用卡外包等)应作为重要外包服务,并尽可能向客户告之;(五) 严格控制外包服务商的转包行为,采取必要措施确保本行信息的安全;(六) 当终止外包服务协议时,须及时收回和销毁由外包服务商保存的所有客户资料。第八十三条 对外包服务项目,应建立和完善应急措施,以应对外包服务商出现重大服务缺失。应充分考虑外包服务商在重大资源、财务损失和重要人员变动,以及外包协议意外终止的情况。第八十四条 对于重大外包服务项目,应严格审批流程,其合同管
39、理应通过信息科技风险管理部门(或管理岗)、合规部门(或相关职能岗)和信息科技部门审核;对于外包服务协议应建立定期审阅和修订流程,有效降低外包服务风险。第八十五条 外包服务合同具体内容要素及相关要求参照银行业金融机构信息科技外包风险监管指引中“外包服务合同及要求”章节。第九章 内外部审计管理第八十六条 总行稽核监察部为全行信息科技内部审计管理部门,负责总行和分支机构信息科技内部审计工作。第八十七条 建立和完善信息科技内部审计制度和流程,按照独立审计原则,配备必要的专业审计人员,定期开展审计工作;并根据业务性质、规模和复杂程度,对相关信息系统及其控制方式进行适用性和有效性监测。第八十八条 信息科技
40、内部审计责任包括:(一) 制定审计计划,检查、评估信息科技系统和内控机制的充分性和有效性;(二) 执行审计,提出整改意见;(三) 检查整改落实情况。第八十九条 信息科技内部审计范围和频度,应根据本行业务性质、规模和复杂程度,以及信息系统应用情况来确定,至少每三年开展一次信息科技全面审计工作。第九十条 在实施重大信息科技项目审议、开发时,应要求风险管理部和稽核监察部参与,以确保信息科技项目开发符合本行信息科技风险管理标准和要求。第九十一条 信息科技外部审计管理由总行稽核监察部统一负责。在符合法律、法规和监管要求前提下,可委托具有相应资质的外部审计机构进行信息科技外部审计。同时,接受银行监管部门委
41、托并指定的外部审计机构的审计和检查。第九十二条 在实施外部审计前,应与外部审计机构签定保密协议,明确要求外部机构遵守法律法规,保守本行商业机密和信息科技风险信息。不得将本行涉密资料文档进行修改、复制和带离现场。第九十三条 在委托审计过程中,在明确保密责任前提下,允许外部审计机构能够充分了解本行计算机系统、网络、数据和应用架构及文档情况,便于进行有效检查,以发现存在的问题和风险。第九十四条 在实施外部审计前,应与外部审计机构充分沟通,明确审计范围和要求,不得故意隐瞒事实或阻挠审计检查。第九十五条 当审计完毕,外部审计机构应出具审计报告,并提交稽核部门审阅。科技部门应依据审计报告提出的整改意见,提
42、出具体整改时间和计划。第十章 附 则 第九十六条 本办法由总行风险管理部负责解释。 第九十七条 本办法自下发之日起施行。原xx银行信息科技风险管理办法(xx总发201072号)同时废止。 40 附件2xx银行信息科技风险评估管理办法第一章 总 则第一条 为规范本行信息科技风险评估及管理工作,指导信息科技风险评估的有效实施,特制定本办法。第二条 本文件所指的信息科技风险评估(以下简称“风险评估”)是指对本行各类信息资产,在技术、管理等方面存在的脆弱性、威胁发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。第三条 本办法适用于本行的信息科技风险评估工作。第二
43、章 术语与定义第一节 风险评估术语第四条 风险评估是对业务信息系统的资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。第五条 风险评估常见术语(一)资产(asset),即信息资产,对组织具有价值的信息或资源,是安全策略保护的对象。(二)资产组(Asset Team),又称资产组合,是指具有相同或相近的业务功能的资产组合;如由硬件、软件、配置信息等组成的应用系统资产组,由电子文件、纸质文档组成的信息资产组。(三)资产价值(asset value),资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。(四)机密性(confidenti
44、ality),数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。(五)完整性(integrity),保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。(六)可用性(availability),数据或资源的特性,被授权实体按要求能访问和使用数据或资源。(七)残余风险(residual risk),采取了安全措施后,仍然可能存在的风险。(八)威胁(threat),可能导致对系统或组织危害的不希望事故潜在原因。(九)脆弱性(vulnerability),是指可能被威胁所利用的资产或若干资产的弱点,又称弱点,脆弱性和资产本身的特点和性能有
45、关。第二节 风险等级第六条 信息科技风险应划分等级,划分等级的目的是帮助识别和建立风险处置的优先级。本行将风险分为三级:高风险(H):有可能发生并会对业务信息系统造成重大的损失。中风险(M):有可能发生并会对业务信息系统会造成一定的损失。低风险(L):有可能发生但对业务信息系统仅造成的轻微的损失。第七条 在进行风险评估时,应根据资产损失的价值范围和可能性,定义三个级别的具体判据。第八条 对于高风险事件,风险管理部应介入处置;对于中低风险事件,可通过填写当季度的信息科技风险监测与计量监控指标“信息安全报告安全弱点”处体现,须报送至风险管理部。第三节 风险评估范围第九条 专项风险评估专项风险评估是
46、对信息科技的某一领域、某个系统或为某个目的进行的特定评估,本行专项风险评估范畴界定:(一) 核心系统投产。(二) 项目投资费用在500万以上。(三) 重要新业务系统上线。(四) 风险管理部认为需要进行参与评估的其它事宜。第十条 全面风险评估全面风险评估是指对信息科技的各个领域,如治理、信息安全、信息系统开发、信息科技运行、外包等,进行全面的评估,覆盖本行重要信息资产。第十一条 自评估不隶属于专项风险评估和全面风险评估范畴的事项,纳入自评估范畴。自评估内容涵盖管理与技术两个层面,评估方法可以综合使用合规差距分析、信息资产风险评估、技术评估等方法。第三章 组织与职责第十二条 领导组织本行高级管理层
47、对风险评估工作负有领导责任,须对风险评估结论及处置建议进行审阅。第十三条 管理组织总行风险管理部为风险评估工作的管理部门,风险管理部在风险评估中的具体职责如下:(一)制定年度风险评估工作计划,统筹安排风险评估工作的开展。(二)牵头组织专项风险评估,每三年至少开展一次全面风险评估。(三)汇总风险评估结论及风险处置结果。(四)会同科技部将评估结论报送给高级管理层。(五)向风险管理委员会汇报风险及处置情况。第十四条 风险评估责任人风险评估责任人是进行风险评估的主要负责组织,由风险管理部、科技部、业务部门,共同组成风险评估小组,执行风险评估工作。第十五条 被评估部门依照信息科技风险评估计划及上级机构的要求,参与、配合本系统的风险评估工作。被评估部门的主要职责如下:(一)配合风险评估责任人执行风险评估工作。(二)执
浙ICP备2021020529号-1 | 浙B2-20240490 
