信息科技風(fēng)險管理制度匯編

信息科技風(fēng)險治理制度第一章總則各項業(yè)務(wù)安全、持續(xù)、穩(wěn)健運信息中介機構(gòu)，依據(jù)求和有關(guān)法律法規(guī)，制定本治理方法。生的操作、法律和聲譽等風(fēng)險。第四條信息科技風(fēng)險治理的目標是通過建立有效的機制，實現(xiàn)對我信息中介機構(gòu)信息科技風(fēng)險的識別、 計量、監(jiān)測和把握，促進我信息中介機構(gòu)安全、持續(xù)、穩(wěn)健運信息中介機構(gòu)，推動業(yè)務(wù)創(chuàng)，提高信息技術(shù)使用水平，增加核心競爭力和可持續(xù)進展力氣。其次章機構(gòu)職責(zé)董事會應(yīng)履信息中介機構(gòu)以下信息科技治理職責(zé)：〔一〕〔以下簡稱銀監(jiān)會〕相關(guān)監(jiān)管要求?！捕承Ч托省１Ｏ嚓P(guān)風(fēng)險能夠被識別、計量、監(jiān)測和把握?！菜摹郴ㄔO(shè)，提高全體人員對信息科技風(fēng)險治理重要性的生疏。〔五〕實，定期向董事會和高級治理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)信息中介機構(gòu)、信息科技預(yù)算和實際支出、信息科技的整體狀況?！擦臣贾卫恚纬煞止ず侠?、職責(zé)明確、相互制衡、報告關(guān)系清楚的機制?！财摺筹L(fēng)險治理審計，對審計報告進信息中介機構(gòu)確認并落實整改。〔八〕的年度報告。〔九〕〔十〕信息科技風(fēng)險治理制度和流程，并安排相關(guān)培訓(xùn)。〔十一〕〔十二〕息科技事故或突發(fā)大事，按相關(guān)預(yù)案快速響應(yīng)?！彩彻ぷ?，并依據(jù)監(jiān)管意見進信息中介機構(gòu)整改?！彩摹硨?dǎo)的職責(zé)包括：〔一〕展決策?！捕炒_保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀信息中介機構(gòu)的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險治理策略?！踩吵?、信息科技策略、標準和流程、信息科技內(nèi)部把握、專業(yè)化研和信息系統(tǒng)退出等職責(zé)?！菜摹车较嚓P(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)?！参濉辰M織專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能?！擦陈男畔⒅薪闄C構(gòu)信息科技風(fēng)險治理其他相關(guān)工作。員實行相關(guān)的風(fēng)險防范措施：〔一〕經(jīng)受和專業(yè)資格證書等信息?！捕诚鄳?yīng)的職業(yè)操守。〔三〕確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保訂相關(guān)協(xié)議?！菜摹吃u估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補員工和崗位接替打算等防范措施；在員工崗位發(fā)生變化后準時變更相關(guān)信息。包括：〔一〕外，其他維護應(yīng)在非工作時間進信息中介機構(gòu)。〔二〕時間，操作范圍、內(nèi)容、方法、命令以及負責(zé)人員等信息?！踩承畔⒅薪闄C構(gòu)職能穿插，要部門協(xié)調(diào)等監(jiān)控信息?！菜摹场参濉辰闄C構(gòu)直接操作；〔六〕以便維護和審計?！财摺彻┙o維護的統(tǒng)計和報表打印功能。〔八〕對系統(tǒng)參數(shù)等設(shè)置變更、維護的要求：1限、方式和授權(quán)使用范圍，嚴格審批和登記手續(xù)。2得進信息中介機構(gòu)變更操作；3核變更的正確性、安全性和合法性。職能穿插，要部門協(xié)調(diào)〔九〕應(yīng)對機房環(huán)境設(shè)施實信息中介機構(gòu)日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施消滅故障時的應(yīng)急處理流程和預(yù)案，有實時交易效勞的數(shù)據(jù)中心應(yīng)實信息中介機構(gòu)24小時值班?！彩忱眍A(yù)案。息中介機構(gòu)領(lǐng)導(dǎo)〔風(fēng)險治理委員會〕〔一〕擬定信息系統(tǒng)風(fēng)險治理總體政策，并提交高級治理層審查、審批?！捕硶嚓P(guān)業(yè)務(wù)部門對信息系統(tǒng)風(fēng)險進信息中介機構(gòu)識別、監(jiān)測；〔三〕和分支機構(gòu)信息系統(tǒng)風(fēng)險狀況及維護、運信息中介機構(gòu)狀況進信息中介機構(gòu)監(jiān)測，并進信息中介機構(gòu)實時報告?！菜摹诚到y(tǒng)中所包含的風(fēng)險，審核相應(yīng)的操作和風(fēng)險治理程序。經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì)的中介機構(gòu)進信息中介機構(gòu)信息系統(tǒng)外部審計。第三章信息科技風(fēng)險治理策略，包括但不限于下述領(lǐng)域：〔一〕信息分級與保護?！捕承畔⑾到y(tǒng)開發(fā)、測試和維護?！踩承畔⒖萍歼\信息中介機構(gòu)和維護?！菜摹吃L問把握。〔五〕物理安全?！擦橙藛T安全。〔七〕業(yè)務(wù)連續(xù)性打算與應(yīng)急處置。第十二條我信息中介機構(gòu)應(yīng)制定持續(xù)的風(fēng)險識別和評估流別〔包括外包供給商、產(chǎn)品供給商和效勞商〕。第十三條我信息中介機構(gòu)應(yīng)依據(jù)信息科技風(fēng)險治理策略和風(fēng)險評估結(jié)果，實施全面的風(fēng)險防范措施。防范措施應(yīng)包括：〔一〕等，定期進信息中介機構(gòu)更和公示。〕平衡風(fēng)險；定義每個業(yè)務(wù)級別的把握內(nèi)容，包括：12345機制，其中應(yīng)包括：〔一〕建立信息科技工程實施前及實施后的評價機制?！捕辰⒍ㄆ跈z查系統(tǒng)性能的程序和標準?！踩辰⑿畔⒖萍夹谕对V和事故處理的報告機制?！菜摹辰?nèi)部審計、外部審計和監(jiān)管覺察問題的整改處理機制。五〕中介機構(gòu)定期審查。六〕威逼?！财摺嘲盐盏臋z查?！舶恕车谒恼滦畔踩谑鍡l科技部負責(zé)建立和實施信息分類和保護體系， 應(yīng)使員工都了解信息安全的重要性，并組織供給必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護流程?！病场病嘲踩贫戎卫?。〔二〕信息安全組織治理?！踩迟Y產(chǎn)治理?！菜摹橙藛T安全治理。〔五〕物理與環(huán)境安全管理?！擦惩ㄐ排c運營治理?！财摺吃L問把握治理?！舶恕诚到y(tǒng)開發(fā)與維護治理?！簿拧承畔踩鹿手卫怼！彩硺I(yè)務(wù)連續(xù)性治理?！彩弧澈弦?guī)性治理。第十七條應(yīng)建立有效治理用戶認證和訪問把握的流程。用戶檢查、更或注銷用戶身份。確相應(yīng)的職責(zé)，實行必要的預(yù)防、檢測和恢復(fù)把握措施?！惨韵潞喎Q為域〕傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等?！惨弧秤騼?nèi)應(yīng)用程序和用戶組的重要程度。〔二〕各種通訊渠道進入域的訪問點。〔三〕域內(nèi)配置的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。〔四〕性能要求或標準?！参濉秤虻男再|(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域?！擦巢煌蛑g的連通性。〔七〕域的可信程度。的安全：〔一〕制定每種類型操作系統(tǒng)的根本安全要求，確保全部系統(tǒng)滿足根本安全要求?！捕趁鞔_定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、〔三〕制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察?！菜摹骋蠹夹g(shù)人員定期檢查可用的安全補丁，并報告補丁管理狀態(tài)?！参濉吃谙到y(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪任何特別大事，定期匯報監(jiān)控狀況。其次^〔一〕的角色和職責(zé)?！捕匙C方法?！踩??！菜摹吃陉P(guān)鍵的接合點進信息中介機構(gòu)輸入驗證或輸出核對?！参濉承孤痘虮槐I取、篡改?！擦辰K止時向用戶供給必要信息?！财摺骋詴婊螂娮痈袷奖４鎸徲嫼圹E。〔八〕改。〔一〕會計準則要求予以保存?！捕?、網(wǎng)絡(luò)大事、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險等級確定，但不能少于一年。以確保：

并建立密碼設(shè)備治理制度，〔一〕使用符合國家要求的加密技術(shù)和加密設(shè)備?！捕持卫?、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴格審查?！踩臣用軓姸葷M足信息機密性的要求?！菜摹持卫?。其次十五條配備切實有效的系統(tǒng)，確保全部終端用戶設(shè)備的安〔PC、便攜式計算機、柜員終端、自動柜員機〔ATM等。

POS和個人數(shù)字助理〔PDA理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。規(guī)定的信息中介機構(gòu)為實行零容忍政策。第五章信息系統(tǒng)開發(fā)、測試和維護整和優(yōu)化。生的時機本錢，并實行適當?shù)墓こ讨卫矸椒ǎ盐招畔⒖萍脊こ滔嚓P(guān)的風(fēng)險。息科技工程的規(guī)模、性質(zhì)和簡潔度。的牢靠性、完整性和可維護性，其中應(yīng)包括以下要求：〔一〕生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離?！捕成a(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的治理職能相分別?！踩绸R上進信息中介機構(gòu)記錄和審核?！菜摹硨⑼瓿砷_發(fā)和測試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準， 并對變更進信息中介機構(gòu)準時記錄和定期復(fù)查。〔五〕制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、保密性和可用性。第三十二條建立并完善有效的問題治理流程，以確保全面地追蹤同和相關(guān)信息，并將過程記錄在案；對完成通知相關(guān)人員。第六章信息科技運信息中介機構(gòu)〔〕，機構(gòu)。第三十四條嚴格把握第三方人員〔如效勞供給商〕明確規(guī)定。程、執(zhí)信息中介機構(gòu)步驟，以及生產(chǎn)與開發(fā)環(huán)境中〔周期〕。信息中介機構(gòu)效勞水平進信息中介機構(gòu)考核。第四十條建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序， 準時、完地報告例外狀況；該程序應(yīng)供給預(yù)警功能，在例外狀況對系統(tǒng)性能造成影響前對其進信息中介機構(gòu)識別和修正?！舱稀㈩A(yù)防性和補救性維護記錄〕，門和業(yè)務(wù)部門共同審核簽字，并事先進信息中介機構(gòu)備份，成功后，，取代緊急變更。第七章業(yè)務(wù)連續(xù)性治理其有效性。能性及其影響，包括評估可能由下述緣由導(dǎo)致的破壞：〔一〕內(nèi)外部資源的故障或缺失〔如人員、系統(tǒng)或其他資產(chǎn)〕〔二〕信息喪失或受損?！踩惩獠看笫隆踩鐟?zhàn)斗、地震或臺風(fēng)等〕。第四十六條應(yīng)實行系統(tǒng)恢復(fù)和雙機熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險等方式降低影響?！惨弧硺藴实臉I(yè)務(wù)連續(xù)性打算，所造成影響的措施，包括但不限于：1、資源需求〔如人員、系統(tǒng)和其他資產(chǎn)〕以及獵取資源的方式。23〔尤其是監(jiān)管機構(gòu)、客戶和媒體等〕的溝通安排。〔二〕更實施業(yè)務(wù)連續(xù)性打算的流程及相關(guān)聯(lián)系信息?！踩场菜摹瞅炞C受中斷影響的信息完整性的步驟。當我信息中介機構(gòu)的業(yè)務(wù)或風(fēng)險狀況發(fā)生變化時，對本條一到三進信息中介機構(gòu)審核并升級。第一節(jié)