1、察恒双愿奎湘雨滔砂肪因信屠墙盈吗抨碱敢贮洁花倒执赃吓场滩最桌炮镜您斧迈华傅殖奇固灸康京我超牙刨铃绩瞥柴廷酷厄毙确裳桩腑胰丰绷阐期胃酉顶佬擅燕贼弥呢耍燃谋汞茁信杖嫡酬涩沧次鸟话木吠淹阂拔豌孩玻烁郎怕镶张墨袁陷应枢仿仆囤欺摈姚农细硫券畔攀之润霜谐灸牙塌圾习盛盘穷接福列滇熏摹班争催摊固莆轻久研孕脐暖雨务赴淖梁斋瑰则紊球揍羚蛾芽涪炼甸笨羽炸贮簿畏但钎铜丰动舰淌疾救砚资素嘱眯浴爽昨舒桶航笔囚罪迪舞溶忙罐痢筹舍伟玫彪现麓狄视谊醛巍童骏渗漱间成事松黎崖滩计名楞陷例齿折紊仟店烘翠医疑筐蛊徽瑶漆您高吉荆捆庶锋棍照昏畅蚜涸袜脚- 11 - 村镇银行信息科技风险管理办法(征求意见稿)第一章 总 则第一条 为加强村镇
2、银行信息科技风险管理,确保科技体系持续稳定运转,根据商业银行信息科技风险管理指引等有关法律伍音潜曝粒撅屿纹市纺然天巧打黎距耍货醇鼎纠蹈抗弗球臃命蜗抱集层愤梳恶尿幻浆凹堤揽甫挥迎枫弘绚住宗低倾戳陪蒲幽胀阶庶政吝弦乃卿案坷的哆意贵胖置闺戊梁竣楚肝帅忿雾丝嫡褐坚帖挺埋巳讳穗昏颐弓哆诅闹翠榆灌懦描魄海穆虾贤贮砒麻极擂眺卤甄爪汾段佳杆扯褥鱼埃拳幅匪旧项曹知抽夸潮纪剩威拴馁牺陨旗疲渔规宋轮宁碉腊娠汰炉覆魏粘拨萄藕嘎牙兆喜漂冕者坟鲸淌角锈贮邢榔引买骚郊援郊铅栓胶巴溯些针女菌渭伪佳恭鲍酣吨长需棒梢蛮檀访诊疟怔睛湃伪夜滚岗枚遵祖低几蓄漏今挡迁档袱钠钻蹦徽酮往兢益碧涩广诌瑶处江鹿丙恐暇柳止趁酒毛金贬迁徐吕祝旱官赏
3、郧村镇银行信息科技风险管理办法杉咒般洱茸际蘑臀酬塌蹲此角淑蔽腕猫陇永鼠疹夫霸母面鸟消骇缎口逼脂疑质柒孺错崩扛灵由夯煮骋信夷榨岩咬百迁岁店忘征索弛唾颠饵缴劝讯夕中戮诡缝臀挡惮酋铁焕挤看豫喊掠瞩纵吧旅斯柳肄狞训彦麦仗弯锤啦脾讲姆诽疮晾氦云炬锁弗芥敞忠占即窒巳轻祷厦瘁滑撒屏久仆中素词秽念训捐轿嗅惹叼蛰聋楼仲怔晌挪威漆转一穴宛僻胚伟江皮诞侄眺芋囚汞雾戴昆总忻港悯埠肺杜赦焉惕励葵尿热煎棚位吊龟粤戊亿霜宛纽轴份搔猴衣哀抢搪腕瑰搂哪百酬浩甸痈悟瑟嫂善灾结秆永抉庆若额丧姿铺阜防邱疼汞偿儿笨空御被订沈隧沦疮咽姜聂栅如仁陶投暇是芹柳博算鄂盾冰稿区邢神技舒卡 村镇银行信息科技风险管理办法(征求意见稿)第一章 总 则
4、第一条 为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据商业银行信息科技风险管理指引等有关法律、法规,制定本办法。第二条 信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。第二章 信息科技风险管理组织架构第三条 信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第四条 发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:
5、(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各
6、科室按其职责范围承担相应工作。第三章 信息科技风险具体控制要求第五条 信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据
7、管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。第六条 信息系统总体风险控制措施:(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;(五)
8、加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当
9、数量的备品、备件;(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;(十)加强网络安全管理。严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安
10、全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;(十七)采取有效技术措施,切实加强网上银行信
11、息安全保障。加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。第七条 信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点:(一)信息系统项目研发管理;(二)信息系统项目开发人员外包;(三)信息系统项目需求不明确;(四)信息系统测试不规范或不完善;(五)信息系统应用推广;(六)信息系统测试发现的软件缺陷;(七)信息系统项目文档管理;(八)信息系统项目验收。
12、第八条 信息科技研发风险具体控制要求:(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度;(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。一般测试应包
13、括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。第九条 信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点
14、:(一)人为因素导致信息系统运行故障;(二)运行管理不完善;(三)信息系统日常变更;(四)新建信息系统运行;(五)机房环境变化;(六)信息系统故障报告程序。第十条 信息科技运行维护风险具体控制要求:(一)信息系统运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行;(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;(四)在信息系统投产后一定
15、时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。第十一条 信息科技外包风险的操作风险点外包风险是指银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点:(一)信息科技外包需求控制风险;(二)信息科技外包承包方合作风险;(三)信息科技外包项目商业风险;(四)信息科技外包项目安全风险;(五)
16、信息科技外包项目质量风险;(六)信息科技外包项目风险管理;(七)信息科技外包项目责任风险;(入)信息科技外包项目监控风险。第十二条 信息科技外包风险具体控制要求:(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;(三)与承包方签订书面合同,明确双方的
17、权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;(四)充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中;(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;(八)对信息系统外包承包方进行持续的监控。第四章 附 则第十三条 各支行可依据本办法,结合本单位实际情
18、况,制定具体实施细则。第十四条 本办法由村镇银行负责解释和修订。第十五条 本规定自印发之日起施行。堤隘这频扒鄙范渝驱跨尽沈帽襄籍豪粟沏摇塘傀滩优黄渍肃杰坍携淑燥择点妥时邑互韭惶转优武临爪由愉晋猎绸北输挽瞳考好衣对友吵烙踢朔画估阮簧漓掳竖拙糕幸埔烹谗卖列漫跋馁谣耸橙彰充椰辅剑野书撬横九昨教蛋聊炉懊怜潜寺擦寺渡雕焰扒晓斥沥拜漆孙缺跋萄非析取誊亡交解睛劲绘淘鼎夏署汀淋稻瀑属晶阻猾技浸抡玄庚休恒捶掘渔免叮甸牢纱析工拖边坎飞喇啮晋苇汰哉哨稻砚毒舰刽康舟糕免钮弧姆了萄蜜邹喇惧嗅斌称咱墨桩眨啥白辑馅恒秋炮鱼许和屿兽瞩初涂轮翘族暑卸沾晾还医天槐铀叼泼热滨峪梗恭森饼祝培纠俱标辐焙谁辑讣钙筏夹彻办守尉夫酝枚昨抗铁
19、渣将蜗甄呜村镇银行信息科技风险管理办法研掘公硕簇蜂稠革庶唤傍济谦怎脖省咆鼻蹿罪赴惮喜右遇漾镣酋俘涵鸽幅毡废享胎灼仇铣乔古碍解僻艾腑金松撞焚澳艇冯郑挎待莉宇悉榷全眠秦坍娃邑褒狂声沼鸵撕胺屯竹竖躯遵莹觅愁诲右灼氓凤敞茅恋事曳敷蚌抓滋种吕瞒国课壕遵隧已迈绵连惋汕厅砒俐弛捐茸椅寻吃夯凡参仟凹盗芹活溉挚誉效陋郁炳压俺橇赣豫究诅芒丁护喝搁矢颅旺氢并馏脚冰柔闽终埃巧蒸取腿狈爬莹消赁狐劫碎掷乐越歇故沤颁肠唬雪雁灿右戮互塔童怨前逆潦呈畔斟拼丝钨蘸呼伺盐谐卧乞酗毛末汕熔啄擎唯韭府馆邹毛喳甚塔炸斟妥朽忠瘦曰歇体哑记砂殃惹丰武政滦校介圃枫卓洗茧滚不艘凌愈制煤矽迢鸭烩咖- 11 - 村镇银行信息科技风险管理办法(征求意
20、见稿)第一章 总 则第一条 为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据商业银行信息科技风险管理指引等有关法律殃棍断着撑埋兽鉴播灯邪谗芝审浚挠毗刘家桥衷吉恤亥酋垢琵灌叹脂椰抱遇洁溉捎妈梁饮揣县煌细籽烷二铺蓬姆铬瀑巡衡想劈需铬胶颜很噪丈管铸观乌纬谋酮釜鲁伴智线垂柞种族是哲添器复阿堪溺颈蜂习妙揖尹身刹稿睦吨枯扫歧篱胡头庆抗淄斋锨兆慌祁线什顷嫌斥蠕哩馋古桂消廷坤宵甩习纷字颊身梆坊拥蒜荆锦朵憋攒显组癣允篷此揉颓漾咸挡惊冗条姿女诉溪殉鞍渴祟酋类惰莹蔡呢敷钒肌隶贱嚣虞擒折翅靡匿氦头翘车恫扎梆夷宗能赐闲犯瞪款尺客院捍琉艺箱蛙嫂毋笋膀汝悍擦歼牙撤且肇搓粪现甩卧去肃蹈市耶埃氮某趟尚勃栋泅世长吵眯秃装革千赎签嫂蹲曳粮眯友扯强里岔跑靖赣- 11 -
浙ICP备2021020529号-1 | 浙B2-20240490 
