信用社銀行信息科技風險管理工作指導意見

1、信用社（銀行）信息科技風險管理工作指導意見為加強全省信用社 （銀行） 信息科技風險管理工作， 有效發(fā)揮信息系統(tǒng)技術(shù) 支撐和對各項業(yè)務的助推作用， 根據(jù)中國銀監(jiān)會 銀行業(yè)金融機構(gòu)信息系統(tǒng)風險 管理指引，結(jié)合我省信息科技風險管理工作實際，制定本指導意見。一、指導思想全省信用社（銀行） 信息科技風險管理工作的指導思想是： 以科學發(fā)展觀為 指導，立足保障全省信用社（銀行）穩(wěn)健經(jīng)營、穩(wěn)步發(fā)展，堅持風險防范優(yōu)先和 標本兼治的原則， 學習和借鑒國內(nèi)外信息科技風險管理經(jīng)驗， 積極利用科技手段 和先進技術(shù)提高風險防控水平， 全面落實信息科技基礎(chǔ)工作規(guī)范， 合理部署和利 用信息安全基礎(chǔ)設施， 提高信息系統(tǒng)安全保護

2、等級， 加快構(gòu)建完備的信息科技風 險防范組織體系、制度體系和工作機制，有效防范和化解各類信息科技風險。二、工作目標全省信用社（銀行） 信息科技風險管理工作的總體目標是： 通過建立有效的 信息科技風險治理機制， 實現(xiàn)對信息系統(tǒng)風險的識別、 計量、評價、預警和控制， 保障信息系統(tǒng)安全、持續(xù)、穩(wěn)健運行。具體目標：健全由科技、 風險管理、 審計、監(jiān)保等部門組成的信息科技風險管理組 織體系，實現(xiàn)科技風險管理共同參與、相互協(xié)調(diào)、齊抓共管。完善信息科技風險管理制度體系， 實現(xiàn)信息科技風險防控的制度化、 規(guī) 范化和精細化。完善信息科技風險管理機制，有效識別、測量、控制和化解操作風險， 保證當前和規(guī)劃的信息系統(tǒng)

3、充分滿足業(yè)務戰(zhàn)略目標實現(xiàn)的需要。有效防范系統(tǒng)開發(fā)、 變更管理和運行維護風險， 確保業(yè)務的正常操作和 數(shù)據(jù)、系統(tǒng)的完整性、機密性、穩(wěn)定性。培育一支政治素質(zhì)高、 技術(shù)能力強、 工作作風扎實的信息科技風險管理 隊伍。三、主要措施（一）健全信息科技風險管理組織體系。1. 明確各級各部門風險管理職責。 省聯(lián)社理事會負責全省信息系統(tǒng)的戰(zhàn)略規(guī) 劃、重大項目實施和信息科技風險的監(jiān)督管理。各級機構(gòu)要成立“一把手”為主 要責任人的信息科技風險管理委員會， 負責制定本單位信息系統(tǒng)總體規(guī)劃、 統(tǒng)籌 信息系統(tǒng)項目建設，定期評估、報告本單位信息系統(tǒng)風險狀況。 省、市、縣三 級都要構(gòu)筑起由科技部門、 風險管理部門、 審計部

4、門、 監(jiān)保部門組成的信息科技 風險防范的“四道防線” 。各級科技部門負責本單位信息系統(tǒng)規(guī)劃、研發(fā)、建設、 運行和維護， 提供日常科技服務和運行技術(shù)支持； 省聯(lián)社科技中心要強化信息安 全管理部門的職責，承擔信息科技安全管理和實施檢查、監(jiān)督、指導等工作；各 辦事處、市聯(lián)社及縣級聯(lián)社科技部門要設立安全管理崗， 負責本單位及轄屬單位 信息科技安全管理工作。省聯(lián)社風險管理部要設立信息科技風險管理專職崗位， 負責全省信息科技風險的識別、評估、監(jiān)控等工作；各辦事處、市聯(lián)社及縣級聯(lián) 社風險管理部門要增加信息科技風險管理職責， 負責本單位及轄屬機構(gòu)信息科技 風險的識別、評估、監(jiān)控等工作。各級審計部門要設立信息科

5、技審計專職崗位， 負責本單位及轄屬單位信息科技審計工作， 定期組織信息科技審計培訓， 加大信 息科技審計工作力度。 各級監(jiān)保部門要將機房基礎(chǔ)設施安全檢查作為一項工作內(nèi) 容，納入檢查范圍。2.配備合格的信息科技風險管理人員。 各級風險管理部門、 審計部門至少要 配備一名受過良好培訓并能夠勝任科技風險管理工作的專業(yè)人員， 提高信息科技 風險管控水平。 同時，要加強信息科技風險管理人員培訓， 提高風險管理人員的 技術(shù)能力和職業(yè)道德水平，增強信息科技風險識別、評估、審計和控制能力，逐 步打造一支素質(zhì)過硬、技術(shù)水平高的科技風險管理隊伍。（二）構(gòu)建信息科技風險管理制度體系。 加強信息科技風險管理的制度建設

6、， 健全完善內(nèi)部監(jiān)督約束機制， 建立起“制 度健全、體系完備、落實到位，監(jiān)督有力”的信息科技風險管理體系。一是健全 完善科技風險管理制度。 各級科技部門要在 辦事處、 市聯(lián)社及縣級聯(lián)社信息科 技基礎(chǔ)工作規(guī)范的基礎(chǔ)上，進一步梳理、修訂和完善有關(guān)規(guī)章制度，確保規(guī)章 制度適應科技風險管理的需要。 各級風險管理部門、 審計部門要制定信息科技風 險評估、 監(jiān)測及審計檢查的相關(guān)制度辦法， 構(gòu)建完備的風險管理制度體系。 二是 完善信息科技風險管控工作流程。 各級科技部門要對各項工作流程進行評估、 分 析和完善，增強科學性、合理性和可操作性。各級風險管理部門、審計部門要盡 快建立起具有較強可操作性的信息科技風

7、險評估、 監(jiān)督、 審計工作流程， 規(guī)范信 息科技風險監(jiān)督、 審計行為。三是加大檢查監(jiān)督力度。 建立完善的監(jiān)督檢查體系， 保證信息科技風險審計的頻率， 有效監(jiān)測信息科技風險， 堵塞安全管理漏洞。 各 級科技部門信息安全檢查依照 科技基礎(chǔ)工作規(guī)范 的要求執(zhí)行； 各級審計部門 每年至少組織一次全面的信息科技風險審計； 各級風險管理部門每年至少對科技 風險進行一次全面的識別、計量、評估和監(jiān)控，并形成評估分析報告，報送本單 位理（董）事會或高級管理層。在檢查的基礎(chǔ)上，從嚴查處違規(guī)行為，保證監(jiān)督 檢查的效果。（三）完善信息科技風險管理工作機制。加強對信息系統(tǒng)風險防范工作的管理，及時跟蹤信息技術(shù)發(fā)展的最新變

8、化， 逐步建立起完善的信息科技風險監(jiān)督、審計約束機制。一是做好信息科技風險防 范總體規(guī)劃。制定風險防范的長遠規(guī)劃和工作思路，完善風險管理工作的基本原 則、基本規(guī)劃和工作流程，加強對風險的評估和分級控制，推廣信息系統(tǒng)安全等 級保護制度，促進信息科技風險管理工作穩(wěn)步健康開展。 二是深入開展信息科技 安全教育。各級機構(gòu)要制定切實可行的科技風險防范工作培訓計劃，采取分層次、 全方位的培訓方式，深入開展信息科技安全教育和職業(yè)道德教育，進一步增強全員風險防范意識，切實提高員工風險防范技能和水平。三是完善信息系統(tǒng)應急處 置機制。針對不同級別突發(fā)事件，制定相應的應急處置措施和操作流程， 使風險 管理涵蓋信息系

9、統(tǒng)的運行、管理、維護等環(huán)節(jié)。定期組織信息系統(tǒng)應急演練，及 時對應急預案進行評審和完善，確保業(yè)務持續(xù)性規(guī)劃的完整有效和可操作性。 四 是防范集中辦理業(yè)務的風險。在防范信息系統(tǒng)業(yè)務量風險過程中，要充分發(fā)揮業(yè) 務部門的作用，統(tǒng)籌安排集中辦理的業(yè)務，對各項業(yè)務系統(tǒng)要進行及時評估分析 和預測，合理分解系統(tǒng)業(yè)務量壓力，防范沖擊業(yè)務量峰值形成的風險。（四）規(guī)范信息系統(tǒng)項目建設和管理。加強信息系統(tǒng)項目開發(fā)和變更管理，完善項目開發(fā)的相關(guān)規(guī)章制度，在項目 開發(fā)過程中注重信息系統(tǒng)風險防范。一是加強項目全周期管理。實現(xiàn)開發(fā)環(huán)境、 測試環(huán)境、生產(chǎn)環(huán)境的嚴格分離，完善項目開發(fā)工作流程、參與部門職責劃分、 時間進度和財務預

10、算管理、質(zhì)量檢測、風險評估等管理制度，防范項目開發(fā)過程 中的風險。二是加強項目開發(fā)變更管理。 按照軟件開發(fā)變更管理的要求， 完善項 目變更管理的審批授權(quán)機制和工作流程，做好開發(fā)變更的登記、備案和存檔管理 工作，防范項目開發(fā)變更帶來的風險。三是實現(xiàn)軟件開發(fā)過程的“留痕”。要明確項目資料文檔管理的要求，規(guī)范文檔資料的起草和審批流程，程序設計標準、 代碼清單、系統(tǒng)操作指南、項目需求、可行性分析等資料文檔要保存完整。四是 規(guī)范系統(tǒng)開發(fā)外包風險管理。要規(guī)范功能說明書、系統(tǒng)設計說明書、運行操作手 冊等資料文檔的管理，做好技術(shù)傳送等相關(guān)風險的控制，防范系統(tǒng)開發(fā)外包風險。（五）切實防范運行維護風險。加強信息系

11、統(tǒng)運行和操作管理，合理配置人力、系統(tǒng)和設備資源，依照規(guī)范 的程序有效識別、測量、控制和化解操作風險。一是建立完善的信息系統(tǒng)運行管 理體系。制定信息系統(tǒng)運行的總體規(guī)劃、管理辦法、技術(shù)標準和各組成部分的管 理細則。配備具有較高可靠性和可用性的不間斷電源、空調(diào)、消防和防水等基礎(chǔ)設施，安裝攝像、監(jiān)測、報警等場地監(jiān)控系統(tǒng)和環(huán)境動力監(jiān)控系統(tǒng)。二是加強生 產(chǎn)系統(tǒng)變更管理。制定嚴密的生產(chǎn)變更處理流程，加強實施控制和管理，制定系 統(tǒng)備份和恢復方案，做好生產(chǎn)系統(tǒng)變更的審批、登記、備案和存檔管理工作，確 保生產(chǎn)系統(tǒng)變更的正確性、安全性和合法性。三是強化信息科技操作風險控制。 根據(jù)信息系統(tǒng)安全訪問控制的要求，認真做好

12、訪問授權(quán)與核準工作。完善信息系 統(tǒng)操作的職責分離和崗位輪換制度，制定避免人員流失的政策和崗位職權(quán)終止的 規(guī)定。加強信息系統(tǒng)性能和容量的監(jiān)測，完善信息系統(tǒng)環(huán)境控制和預防性維護的 應對方案。加強對信息輸出文件的控制，嚴格存儲介質(zhì)廢棄和處理程序，建立重 要數(shù)據(jù)資料的備份和恢復機制。四是使用正版軟件。推行全省統(tǒng)一購置正版軟件， 利用購置數(shù)量多的優(yōu)勢，節(jié)省軟件購置費用，避免使用盜版軟件帶來的風險。四、組織領(lǐng)導信息科技風險涉及面廣、社會影響較大，各級各部門要始終保持清醒頭腦，切實提高思想認識，明確“一把手”負責制，切實做好信息科技風險管理工作。（一）科學統(tǒng)籌規(guī)劃，合理安排建設投入。各辦事處、市聯(lián)社要做好調(diào)查摸底，全面了解本單位及轄屬機構(gòu)信息科技風 險管理現(xiàn)狀，結(jié)合自身實際，制定加強信息科技風險管理的規(guī)劃， 分期分批逐步 達標。要加大科技投入，及時更新硬件設備，完善機房基礎(chǔ)設施，改善機房運行 環(huán)境，并不斷開發(fā)和引進運行維護監(jiān)測、 網(wǎng)絡安全管理等新系統(tǒng)，提高信息科技 風險管控水平。（二）強化工作考核，建立獎懲機制。從今年起，各級要層層簽訂信息科技風險管理責任狀，科學制定考核標準，落實信息科技風險管理責任，凡因信息科技風險管理不到位引起重大安全責任事 故的，按照“上