信用社信息科技風(fēng)險(xiǎn)管理工作指導(dǎo)意見

1、信用社（銀行）信息科技風(fēng)險(xiǎn)管理工作指導(dǎo)意見為加強(qiáng)全省信用社 （銀行）信息科技風(fēng)險(xiǎn)管理工作， 有效發(fā)揮信息系統(tǒng)技術(shù)支撐和對各項(xiàng)業(yè)務(wù)的助推作用， 根據(jù)中國銀監(jiān)會 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引，結(jié)合我省信息科技風(fēng)險(xiǎn)管理工作實(shí)際，制定本指導(dǎo)意見。一、指導(dǎo)思想全省信用社（銀行）信息科技風(fēng)險(xiǎn)管理工作的指導(dǎo)思想是： 以科學(xué)發(fā)展觀為指導(dǎo)，立足保障全省信用社（銀行）穩(wěn)健經(jīng)營、穩(wěn)步發(fā)展，堅(jiān)持風(fēng)險(xiǎn)防范優(yōu)先和標(biāo)本兼治的原則， 學(xué)習(xí)和借鑒國內(nèi)外信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)， 積極利用科技手段和先進(jìn)技術(shù)提高風(fēng)險(xiǎn)防控水平， 全面落實(shí)信息科技基礎(chǔ)工作規(guī)范， 合理部署和利用信息安全基礎(chǔ)設(shè)施， 提高信息系統(tǒng)安全保護(hù)等級， 加快構(gòu)建

2、完備的信息科技風(fēng)險(xiǎn)防范組織體系、制度體系和工作機(jī)制，有效防范和化解各類信息科技風(fēng)險(xiǎn)。二、工作目標(biāo)全省信用社（銀行）信息科技風(fēng)險(xiǎn)管理工作的總體目標(biāo)是： 通過建立有效的信息科技風(fēng)險(xiǎn)治理機(jī)制， 實(shí)現(xiàn)對信息系統(tǒng)風(fēng)險(xiǎn)的識別、 計(jì)量、評價(jià)、預(yù)警和控制，保障信息系統(tǒng)安全、持續(xù)、穩(wěn)健運(yùn)行。具體目標(biāo)：健全由科技、 風(fēng)險(xiǎn)管理、 審計(jì)、監(jiān)保等部門組成的信息科技風(fēng)險(xiǎn)管理組織體系，實(shí)現(xiàn)科技風(fēng)險(xiǎn)管理共同參與、相互協(xié)調(diào)、齊抓共管。完善信息科技風(fēng)險(xiǎn)管理制度體系， 實(shí)現(xiàn)信息科技風(fēng)險(xiǎn)防控的制度化、 規(guī)范化和精細(xì)化。完善信息科技風(fēng)險(xiǎn)管理機(jī)制，有效識別、測量、控制和化解操作風(fēng)險(xiǎn)，保證當(dāng)前和規(guī)劃的信息系統(tǒng)充分滿足業(yè)務(wù)戰(zhàn)略目標(biāo)實(shí)現(xiàn)的需要

3、。有效防范系統(tǒng)開發(fā)、 變更管理和運(yùn)行維護(hù)風(fēng)險(xiǎn)， 確保業(yè)務(wù)的正常操作和數(shù)據(jù)、系統(tǒng)的完整性、機(jī)密性、穩(wěn)定性。培育一支政治素質(zhì)高、 技術(shù)能力強(qiáng)、工作作風(fēng)扎實(shí)的信息科技風(fēng)險(xiǎn)管理隊(duì)伍。三、主要措施（一）健全信息科技風(fēng)險(xiǎn)管理組織體系。1. 明確各級各部門風(fēng)險(xiǎn)管理職責(zé)。 省聯(lián)社理事會負(fù)責(zé)全省信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項(xiàng)目實(shí)施和信息科技風(fēng)險(xiǎn)的監(jiān)督管理。各級機(jī)構(gòu)要成立“一把手”為主要責(zé)任人的信息科技風(fēng)險(xiǎn)管理委員會， 負(fù)責(zé)制定本單位信息系統(tǒng)總體規(guī)劃、 統(tǒng)籌信息系統(tǒng)項(xiàng)目建設(shè)，定期評估、報(bào)告本單位信息系統(tǒng)風(fēng)險(xiǎn)狀況。 省、市、縣三級都要構(gòu)筑起由科技部門、 風(fēng)險(xiǎn)管理部門、 審計(jì)部門、監(jiān)保部門組成的信息科技風(fēng)險(xiǎn)防范的“四道防

4、線” 。各級科技部門負(fù)責(zé)本單位信息系統(tǒng)規(guī)劃、研發(fā)、建設(shè)、運(yùn)行和維護(hù)，提供日?？萍挤?wù)和運(yùn)行技術(shù)支持； 省聯(lián)社科技中心要強(qiáng)化信息安全管理部門的職責(zé)，承擔(dān)信息科技安全管理和實(shí)施檢查、監(jiān)督、指導(dǎo)等工作；各辦事處、市聯(lián)社及縣級聯(lián)社科技部門要設(shè)立安全管理崗， 負(fù)責(zé)本單位及轄屬單位信息科技安全管理工作。省聯(lián)社風(fēng)險(xiǎn)管理部要設(shè)立信息科技風(fēng)險(xiǎn)管理專職崗位，負(fù)責(zé)全省信息科技風(fēng)險(xiǎn)的識別、評估、監(jiān)控等工作；各辦事處、市聯(lián)社及縣級聯(lián)社風(fēng)險(xiǎn)管理部門要增加信息科技風(fēng)險(xiǎn)管理職責(zé)， 負(fù)責(zé)本單位及轄屬機(jī)構(gòu)信息科技風(fēng)險(xiǎn)的識別、評估、監(jiān)控等工作。各級審計(jì)部門要設(shè)立信息科技審計(jì)專職崗位，負(fù)責(zé)本單位及轄屬單位信息科技審計(jì)工作， 定期組織

5、信息科技審計(jì)培訓(xùn)， 加大信息科技審計(jì)工作力度。 各級監(jiān)保部門要將機(jī)房基礎(chǔ)設(shè)施安全檢查作為一項(xiàng)工作內(nèi)容，納入檢查范圍。2. 配備合格的信息科技風(fēng)險(xiǎn)管理人員。 各級風(fēng)險(xiǎn)管理部門、 審計(jì)部門至少要配備一名受過良好培訓(xùn)并能夠勝任科技風(fēng)險(xiǎn)管理工作的專業(yè)人員， 提高信息科技風(fēng)險(xiǎn)管控水平。 同時(shí)，要加強(qiáng)信息科技風(fēng)險(xiǎn)管理人員培訓(xùn)， 提高風(fēng)險(xiǎn)管理人員的技術(shù)能力和職業(yè)道德水平，增強(qiáng)信息科技風(fēng)險(xiǎn)識別、評估、審計(jì)和控制能力，逐步打造一支素質(zhì)過硬、技術(shù)水平高的科技風(fēng)險(xiǎn)管理隊(duì)伍。（二）構(gòu)建信息科技風(fēng)險(xiǎn)管理制度體系。加強(qiáng)信息科技風(fēng)險(xiǎn)管理的制度建設(shè)， 健全完善內(nèi)部監(jiān)督約束機(jī)制， 建立起“制度健全、體系完備、落實(shí)到位，監(jiān)督有力

6、”的信息科技風(fēng)險(xiǎn)管理體系。一是健全完善科技風(fēng)險(xiǎn)管理制度。 各級科技部門要在 辦事處、市聯(lián)社及縣級聯(lián)社信息科技基礎(chǔ)工作規(guī)范的基礎(chǔ)上，進(jìn)一步梳理、修訂和完善有關(guān)規(guī)章制度，確保規(guī)章制度適應(yīng)科技風(fēng)險(xiǎn)管理的需要。 各級風(fēng)險(xiǎn)管理部門、 審計(jì)部門要制定信息科技風(fēng)險(xiǎn)評估、監(jiān)測及審計(jì)檢查的相關(guān)制度辦法， 構(gòu)建完備的風(fēng)險(xiǎn)管理制度體系。 二是完善信息科技風(fēng)險(xiǎn)管控工作流程。 各級科技部門要對各項(xiàng)工作流程進(jìn)行評估、 分析和完善，增強(qiáng)科學(xué)性、合理性和可操作性。各級風(fēng)險(xiǎn)管理部門、審計(jì)部門要盡快建立起具有較強(qiáng)可操作性的信息科技風(fēng)險(xiǎn)評估、 監(jiān)督、審計(jì)工作流程， 規(guī)范信息科技風(fēng)險(xiǎn)監(jiān)督、審計(jì)行為。三是加大檢查監(jiān)督力度。 建立完善的

7、監(jiān)督檢查體系，保證信息科技風(fēng)險(xiǎn)審計(jì)的頻率， 有效監(jiān)測信息科技風(fēng)險(xiǎn)， 堵塞安全管理漏洞。 各級科技部門信息安全檢查依照 科技基礎(chǔ)工作規(guī)范 的要求執(zhí)行； 各級審計(jì)部門每年至少組織一次全面的信息科技風(fēng)險(xiǎn)審計(jì)； 各級風(fēng)險(xiǎn)管理部門每年至少對科技風(fēng)險(xiǎn)進(jìn)行一次全面的識別、計(jì)量、評估和監(jiān)控，并形成評估分析報(bào)告，報(bào)送本單位理（董）事會或高級管理層。在檢查的基礎(chǔ)上，從嚴(yán)查處違規(guī)行為，保證監(jiān)督檢查的效果。（三）完善信息科技風(fēng)險(xiǎn)管理工作機(jī)制。加強(qiáng)對信息系統(tǒng)風(fēng)險(xiǎn)防范工作的管理，及時(shí)跟蹤信息技術(shù)發(fā)展的最新變化，逐步建立起完善的信息科技風(fēng)險(xiǎn)監(jiān)督、 審計(jì)約束機(jī)制。 一是做好信息科技風(fēng)險(xiǎn)防范總體規(guī)劃。制定風(fēng)險(xiǎn)防范的長遠(yuǎn)規(guī)劃和工

8、作思路， 完善風(fēng)險(xiǎn)管理工作的基本原則、基本規(guī)劃和工作流程， 加強(qiáng)對風(fēng)險(xiǎn)的評估和分級控制， 推廣信息系統(tǒng)安全等級保護(hù)制度，促進(jìn)信息科技風(fēng)險(xiǎn)管理工作穩(wěn)步健康開展。 二是深入開展信息科技安全教育。各級機(jī)構(gòu)要制定切實(shí)可行的科技風(fēng)險(xiǎn)防范工作培訓(xùn)計(jì)劃， 采取分層次、全方位的培訓(xùn)方式， 深入開展信息科技安全教育和職業(yè)道德教育， 進(jìn)一步增強(qiáng)全員風(fēng)險(xiǎn)防范意識， 切實(shí)提高員工風(fēng)險(xiǎn)防范技能和水平。 三是完善信息系統(tǒng)應(yīng)急處置機(jī)制。針對不同級別突發(fā)事件， 制定相應(yīng)的應(yīng)急處置措施和操作流程， 使風(fēng)險(xiǎn)管理涵蓋信息系統(tǒng)的運(yùn)行、管理、維護(hù)等環(huán)節(jié)。定期組織信息系統(tǒng)應(yīng)急演練，及時(shí)對應(yīng)急預(yù)案進(jìn)行評審和完善， 確保業(yè)務(wù)持續(xù)性規(guī)劃的完整

9、有效和可操作性。 四是防范集中辦理業(yè)務(wù)的風(fēng)險(xiǎn)。 在防范信息系統(tǒng)業(yè)務(wù)量風(fēng)險(xiǎn)過程中， 要充分發(fā)揮業(yè)務(wù)部門的作用， 統(tǒng)籌安排集中辦理的業(yè)務(wù)， 對各項(xiàng)業(yè)務(wù)系統(tǒng)要進(jìn)行及時(shí)評估分析和預(yù)測，合理分解系統(tǒng)業(yè)務(wù)量壓力，防范沖擊業(yè)務(wù)量峰值形成的風(fēng)險(xiǎn)。（四）規(guī)范信息系統(tǒng)項(xiàng)目建設(shè)和管理。加強(qiáng)信息系統(tǒng)項(xiàng)目開發(fā)和變更管理， 完善項(xiàng)目開發(fā)的相關(guān)規(guī)章制度， 在項(xiàng)目開發(fā)過程中注重信息系統(tǒng)風(fēng)險(xiǎn)防范。一是加強(qiáng)項(xiàng)目全周期管理。實(shí)現(xiàn)開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境的嚴(yán)格分離，完善項(xiàng)目開發(fā)工作流程、參與部門職責(zé)劃分、時(shí)間進(jìn)度和財(cái)務(wù)預(yù)算管理、 質(zhì)量檢測、風(fēng)險(xiǎn)評估等管理制度， 防范項(xiàng)目開發(fā)過程中的風(fēng)險(xiǎn)。二是加強(qiáng)項(xiàng)目開發(fā)變更管理。 按照軟件開發(fā)變

10、更管理的要求， 完善項(xiàng)目變更管理的審批授權(quán)機(jī)制和工作流程， 做好開發(fā)變更的登記、 備案和存檔管理工作，防范項(xiàng)目開發(fā)變更帶來的風(fēng)險(xiǎn)。三是實(shí)現(xiàn)軟件開發(fā)過程的“留痕” 。要明確項(xiàng)目資料文檔管理的要求，規(guī)范文檔資料的起草和審批流程，程序設(shè)計(jì)標(biāo)準(zhǔn)、代碼清單、系統(tǒng)操作指南、項(xiàng)目需求、可行性分析等資料文檔要保存完整。四是規(guī)范系統(tǒng)開發(fā)外包風(fēng)險(xiǎn)管理。 要規(guī)范功能說明書、 系統(tǒng)設(shè)計(jì)說明書、 運(yùn)行操作手冊等資料文檔的管理，做好技術(shù)傳送等相關(guān)風(fēng)險(xiǎn)的控制， 防范系統(tǒng)開發(fā)外包風(fēng)險(xiǎn)。（五）切實(shí)防范運(yùn)行維護(hù)風(fēng)險(xiǎn)。加強(qiáng)信息系統(tǒng)運(yùn)行和操作管理， 合理配置人力、 系統(tǒng)和設(shè)備資源， 依照規(guī)范的程序有效識別、 測量、控制和化解操作風(fēng)險(xiǎn)

11、。 一是建立完善的信息系統(tǒng)運(yùn)行管理體系。制定信息系統(tǒng)運(yùn)行的總體規(guī)劃、 管理辦法、技術(shù)標(biāo)準(zhǔn)和各組成部分的管理細(xì)則。配備具有較高可靠性和可用性的不間斷電源、 空調(diào)、消防和防水等基礎(chǔ)設(shè)施，安裝攝像、監(jiān)測、報(bào)警等場地監(jiān)控系統(tǒng)和環(huán)境動(dòng)力監(jiān)控系統(tǒng)。二是加強(qiáng)生產(chǎn)系統(tǒng)變更管理。 制定嚴(yán)密的生產(chǎn)變更處理流程， 加強(qiáng)實(shí)施控制和管理， 制定系統(tǒng)備份和恢復(fù)方案，做好生產(chǎn)系統(tǒng)變更的審批、登記、備案和存檔管理工作，確保生產(chǎn)系統(tǒng)變更的正確性、安全性和合法性。三是強(qiáng)化信息科技操作風(fēng)險(xiǎn)控制。根據(jù)信息系統(tǒng)安全訪問控制的要求， 認(rèn)真做好訪問授權(quán)與核準(zhǔn)工作。 完善信息系統(tǒng)操作的職責(zé)分離和崗位輪換制度， 制定避免人員流失的政策和崗位職

12、權(quán)終止的規(guī)定。加強(qiáng)信息系統(tǒng)性能和容量的監(jiān)測， 完善信息系統(tǒng)環(huán)境控制和預(yù)防性維護(hù)的應(yīng)對方案。加強(qiáng)對信息輸出文件的控制， 嚴(yán)格存儲介質(zhì)廢棄和處理程序， 建立重要數(shù)據(jù)資料的備份和恢復(fù)機(jī)制。 四是使用正版軟件。推行全省統(tǒng)一購置正版軟件，利用購置數(shù)量多的優(yōu)勢，節(jié)省軟件購置費(fèi)用，避免使用盜版軟件帶來的風(fēng)險(xiǎn)。四、組織領(lǐng)導(dǎo)信息科技風(fēng)險(xiǎn)涉及面廣、社會影響較大，各級各部門要始終保持清醒頭腦，切實(shí)提高思想認(rèn)識，明確“一把手”負(fù)責(zé)制，切實(shí)做好信息科技風(fēng)險(xiǎn)管理工作。（一）科學(xué)統(tǒng)籌規(guī)劃，合理安排建設(shè)投入。各辦事處、市聯(lián)社要做好調(diào)查摸底， 全面了解本單位及轄屬機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀， 結(jié)合自身實(shí)際， 制定加強(qiáng)信息科技風(fēng)險(xiǎn)管理的規(guī)劃，分期分批逐步達(dá)標(biāo)。要加大科技投入，及時(shí)更新硬件設(shè)備，完善機(jī)房基礎(chǔ)設(shè)施，改善機(jī)房運(yùn)行環(huán)境，并不斷開發(fā)和引進(jìn)運(yùn)行維護(hù)監(jiān)測、網(wǎng)絡(luò)安全管理等新系統(tǒng)， 提高信息科技風(fēng)險(xiǎn)管控水平。（二）強(qiáng)化工作考核，建立獎(jiǎng)懲機(jī)制。從今年起，各級要層層簽訂信息科技風(fēng)險(xiǎn)管理責(zé)任狀，科學(xué)制定考核標(biāo)準(zhǔn)，落實(shí)信息科技風(fēng)險(xiǎn)管理責(zé)任， 凡因信息科技風(fēng)險(xiǎn)管理不到位引起重大安全責(zé)任事故的，按照“上追