農(nóng)信社省聯(lián)社金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理五年規(guī)劃

附件

堵府村合行金融機(jī)構(gòu)

魚患科技風(fēng)噲管理五年規(guī)則

二零二二年三月五日

第二章全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀..............................

第一節(jié)信息科技風(fēng)哈管理二秒情效..............................................................

一、信息科技管理取得一定成效..................................

二、信息科技風(fēng)險(xiǎn)管理策略構(gòu)建取得一定成效.....................

三、信息科技風(fēng)險(xiǎn)評(píng)估取得初步成效..............................

四、信息系統(tǒng)安全等級(jí)保護(hù)取得初步發(fā)展.........................

五、業(yè)務(wù)連續(xù)性管理初上軌道....................................

第二節(jié)信息科技風(fēng)險(xiǎn)管理存在的問題...............................................

一*、信息科技管理不夠健全......................................

二、信息科技風(fēng)險(xiǎn)管埋策稍不完善................................

三、風(fēng)險(xiǎn)控制層面的“三重控制”機(jī)制未有效構(gòu)建.................

四、數(shù)據(jù)大集中系統(tǒng)安全等級(jí)定級(jí)偏低...........................

五、業(yè)務(wù)連續(xù)性管理還比較薄弱..................................

六、信息科技風(fēng)險(xiǎn)管理績效體系尚未建立..........................

第三章信息科技風(fēng)險(xiǎn)管理五年規(guī)劃目標(biāo)和實(shí)施路線........................

第一節(jié)信息科技風(fēng)險(xiǎn)管理五年規(guī)劃總體目標(biāo)........................................

策〔巧信.電科牯風(fēng)險(xiǎn)筲現(xiàn)11年視即京臨路絆...................................................

一、持續(xù)完善信息科技管理......................................

二、逐步完善信息科技風(fēng)險(xiǎn)管理策略..............................

三、構(gòu)建信息科技風(fēng)險(xiǎn)控制層面的“三重控制”...................

四、全面貫徹落實(shí)信息系統(tǒng)安全等級(jí)保護(hù).........................

五、持續(xù)完善業(yè)務(wù)連續(xù)性管理體系................................

六、加強(qiáng)分中心和法人聯(lián)社的信息科技風(fēng)險(xiǎn)管理...................

七、探索建立信息科技風(fēng)險(xiǎn)管理績效體系..........................

第四章2022年信息科技風(fēng)險(xiǎn)管理工作計(jì)劃...............................

一、進(jìn)一步完善信息科技管理....................................

二、初步建立信息科技風(fēng)險(xiǎn)管理策略..............................

三、初步構(gòu)建風(fēng)險(xiǎn)控制層面“三重控制”.........................

四、落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)..................................

五、初步建立業(yè)務(wù)連續(xù)性管理體系................................

六、落實(shí)信息科技風(fēng)險(xiǎn)隱患的整改工作............................

第一章引言

信息科技風(fēng)險(xiǎn)指信息科技在全省農(nóng)合機(jī)構(gòu)運(yùn)用過程中，由于自

然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)

等風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)管理指通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息科

技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測、和控制，促進(jìn)全省農(nóng)合機(jī)構(gòu)安全、持

續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息科技使用水平，增強(qiáng)核心

競爭力和可持續(xù)發(fā)展能力。

信息科技風(fēng)險(xiǎn)管理主要范圍包括信息科技管理、信息科技風(fēng)險(xiǎn)

管理策略、信息科技風(fēng)險(xiǎn)控制、信息系統(tǒng)安全等級(jí)保護(hù)、業(yè)務(wù)連續(xù)

性管理和信息科技風(fēng)險(xiǎn)管理績效體系等。其中，信息科技管理主要

涉及信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)〃三道防

線〃建設(shè)，信息科技風(fēng)險(xiǎn)管理策略包括風(fēng)險(xiǎn)管理目標(biāo)規(guī)劃及信息系

統(tǒng)架構(gòu)風(fēng)險(xiǎn)管理策略、信息安全管理策略、生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策

暗、開辟測試和維護(hù)風(fēng)險(xiǎn)管理策略、外包風(fēng)險(xiǎn)管理策略等具體風(fēng)險(xiǎn)

管理策略;信息科技風(fēng)險(xiǎn)控制包括由事前評(píng)估識(shí)別、事中監(jiān)測檢

查、事后審計(jì)核查組成的〃三重控制〃；信息系統(tǒng)安全等級(jí)保護(hù)包

括建立信息系統(tǒng)安全等級(jí)劃分標(biāo)準(zhǔn)，制定信息系統(tǒng)安全控制基線，

并在此基礎(chǔ)上采用相應(yīng)的安全技術(shù)實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)；業(yè)

務(wù)連續(xù)性管理包括業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性計(jì)劃、突發(fā)事件應(yīng)急

處理和災(zāi)難恢復(fù)等；信息科技風(fēng)險(xiǎn)管理績效體系主要包括生產(chǎn)安全

運(yùn)行績效考核體系和生產(chǎn)運(yùn)行服務(wù)水平績效考核體系。

近年來銀監(jiān)會(huì)非常重視銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理工

作，強(qiáng)化信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)〃三道

防線〃建設(shè)，先后發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指弓I》，《銀

行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》《商業(yè)銀行數(shù)據(jù)中心監(jiān)管

指引》，《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》、《網(wǎng)上

銀行安全風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》等信

息科技風(fēng)險(xiǎn)管理的綱領(lǐng)性文件，同時(shí)在《中國銀行業(yè)信息科技〃十

二五〃發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》中，對(duì)農(nóng)合機(jī)構(gòu)在〃十二五”期間

的信息科技風(fēng)險(xiǎn)管理提出了具體的發(fā)展目標(biāo)。

全省目前已有93家農(nóng)合機(jī)構(gòu)和1家村鎮(zhèn)銀行接入大集中系

統(tǒng)，數(shù)據(jù)大集中在提升農(nóng)合機(jī)構(gòu)管理水平、促進(jìn)業(yè)務(wù)發(fā)展的同時(shí)，

也帶來了信息科技風(fēng)險(xiǎn)的高度集中，信息科技風(fēng)險(xiǎn)管理顯得尤其重

簡稱銀信中心），內(nèi)設(shè)綜合部、信息技術(shù)部、電子銀行部、會(huì)計(jì)結(jié)算

部、信息科技風(fēng)險(xiǎn)管理部等5個(gè)部門及茂名、清遠(yuǎn)、揭陽等14個(gè)

分中心，初步建立了省聯(lián)社高管層參預(yù)、跨業(yè)務(wù)條線的信息科技工

作決策組織和決策流程，基本明確了省聯(lián)社理事會(huì)、管理層、信息

科技管理委員會(huì)、信息技術(shù)部、信息科技風(fēng)險(xiǎn)管理部及有關(guān)業(yè)務(wù)部

門的信息科技職責(zé)。

（二）科技管理制度建設(shè)初具規(guī)模。省聯(lián)社和銀信中心目前已

發(fā)布的各類規(guī)章制度有30多項(xiàng)，內(nèi)部管理辦法和操作手冊(cè)60

多項(xiàng)，制度、辦法和手冊(cè)初步覆蓋了機(jī)房管理、設(shè)備管理、網(wǎng)絡(luò)

管理、系統(tǒng)管理、需求管理、開辟管理、測試管理、運(yùn)行管理和

應(yīng)急管理等信息科技工作的主要方面。

二、信息科技風(fēng)險(xiǎn)管理策略構(gòu)建取得一定成效

（一）信息系統(tǒng)架構(gòu)風(fēng)險(xiǎn)管理策略構(gòu)建取得一定效果。

1、在機(jī)房設(shè)施架構(gòu)風(fēng)險(xiǎn)管理策略方面，機(jī)房供電、綜合布

線、空調(diào)等均采用全冗余架構(gòu)設(shè)計(jì)，并建立了比較完備的機(jī)房環(huán)境

監(jiān)控預(yù)警指標(biāo)體系，有效降低了數(shù)據(jù)中心機(jī)房的運(yùn)行風(fēng)險(xiǎn)。

2、在地市分中心機(jī)房運(yùn)行風(fēng)險(xiǎn)管理策略方面，制定并推廣了

《銀信中心地市分中心機(jī)房建設(shè)標(biāo)準(zhǔn)》，從而有效降低了地市分中

心基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。

3、在網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)管理策略方面，省聯(lián)社早在2022年初就制

定印發(fā)了《省農(nóng)村信用社網(wǎng)絡(luò)建設(shè)和管理規(guī)范》，并按規(guī)范要求在全

省農(nóng)合機(jī)構(gòu)范圍內(nèi)進(jìn)行了網(wǎng)絡(luò)改造工作，提高了數(shù)據(jù)大集中網(wǎng)絡(luò)系

統(tǒng)的冗余性、穩(wěn)定性和安全性，為大集中上線和推廣工作和信息科

技風(fēng)險(xiǎn)控制提供了有力的保障。

4、在硬件平臺(tái)架構(gòu)風(fēng)險(xiǎn)管理策略方面，數(shù)據(jù)大集中主要生產(chǎn)

系統(tǒng)硬件平臺(tái)均采用了全冗余架構(gòu)設(shè)計(jì)，確保業(yè)務(wù)連續(xù)性和客戶數(shù)

據(jù)安全。

（二）信息安全管理策略構(gòu)建取得較好效果。建立了物理安全管

理、生產(chǎn)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)物理隔離，初步實(shí)現(xiàn)了網(wǎng)絡(luò)分區(qū)安全控制、

用戶認(rèn)證和訪問控制、操作系統(tǒng)安全管理、密鑰及密碼設(shè)備管理、

操作審計(jì)等策略。

（三）生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策略構(gòu)建取得較大進(jìn)步。初步構(gòu)建了

機(jī)房、網(wǎng)絡(luò)、主機(jī)和應(yīng)用等系統(tǒng)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)、生產(chǎn)事件的監(jiān)控預(yù)

警系統(tǒng)，初步建立了生產(chǎn)系統(tǒng)問題管理、變更管理等的制度和流

程，操作自動(dòng)化水平逐步提高。

三、信息科技風(fēng)險(xiǎn)評(píng)估取得初步成效

除信息科技風(fēng)險(xiǎn)的自評(píng)和2022年銀監(jiān)會(huì)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的檢

查評(píng)估外，銀信中心還禮聘德勤會(huì)計(jì)事務(wù)所按銀監(jiān)會(huì)《商業(yè)眼行信

息科技風(fēng)險(xiǎn)管理指引》要求對(duì)數(shù)據(jù)大集中系統(tǒng)進(jìn)行了全面的信息科

技風(fēng)險(xiǎn)評(píng)估，對(duì)評(píng)估中發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患，銀信中心相關(guān)部室均進(jìn)行

了有效整改或者制定了整改計(jì)劃，有效控制了風(fēng)險(xiǎn)。

四、信息系統(tǒng)安全等級(jí)保護(hù)取得初步發(fā)展

信息科技風(fēng)險(xiǎn)管理部在2022年底開始著手對(duì)重要信息系統(tǒng)安

全實(shí)施等級(jí)保護(hù)，目前已完成數(shù)據(jù)大集中主要信息系統(tǒng)安全等級(jí)保

護(hù)的分級(jí)及初評(píng)，已進(jìn)入報(bào)備階段。

五、業(yè)務(wù)連續(xù)性管理初上軌道

修訂印發(fā)了信息系統(tǒng)突發(fā)事件應(yīng)急管理預(yù)案，建立了包括事件

監(jiān)控和預(yù)警、發(fā)現(xiàn)和通知、組織協(xié)調(diào)、應(yīng)急處置、應(yīng)急通告、總結(jié)

和報(bào)告等流程的信息系統(tǒng)突發(fā)事件應(yīng)急響應(yīng)機(jī)制，進(jìn)一步完善了應(yīng)

急預(yù)案和應(yīng)急演練機(jī)制。同時(shí)，根據(jù)省聯(lián)社及下屬農(nóng)合機(jī)構(gòu)實(shí)際情

況，初步制定了部份重要業(yè)務(wù)系統(tǒng)針對(duì)普通突發(fā)事件和重大災(zāi)難性

突發(fā)事件的業(yè)務(wù)恢復(fù)優(yōu)先順序、RTO（恢復(fù)時(shí)間目標(biāo)）和RPO（恢

復(fù)點(diǎn)目標(biāo)）等業(yè)務(wù)連續(xù)性指標(biāo)。

第二節(jié)信息科技風(fēng)險(xiǎn)管理存在的問題

數(shù)據(jù)大集中使原來分散在全省各個(gè)網(wǎng)絡(luò)中心的信息科技風(fēng)險(xiǎn)現(xiàn)

在主要集中到了省中心，由于銀信中心信息科技風(fēng)險(xiǎn)管理部成立不

久，全省農(nóng)合機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理工作也剛剛起步，有的還處

于摸索階段，與銀監(jiān)會(huì)有關(guān)信息科技風(fēng)險(xiǎn)監(jiān)管規(guī)范要求相比有相當(dāng)

大的差距，問題主要體現(xiàn)在以下幾方面：

一、信息科技管理不夠健全

（一）在管理層面的信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技

審計(jì)〃三道防線〃中，信息科技審計(jì)部門及審計(jì)崗位尚未設(shè)置，審

計(jì)制度尚未建立，省聯(lián)社和全省農(nóng)合機(jī)構(gòu)尚未建立專業(yè)的信息科技

審計(jì)隊(duì)伍；信息科技風(fēng)險(xiǎn)管理剛剛設(shè)立，信息科技風(fēng)險(xiǎn)管理隊(duì)伍建

設(shè)剛剛起步，關(guān)鍵崗位配比較低、缺乏核心技術(shù)人材，部份信息科

技風(fēng)險(xiǎn)管理制度尚處于探索、研究階段，〃三道防線〃還未起到應(yīng)

有的管理、制約和監(jiān)督作用。

（二）信息科技風(fēng)險(xiǎn)披露機(jī)制不完善。尚未建立信息科技風(fēng)險(xiǎn)

的月報(bào)、季報(bào)和年報(bào)等的披露規(guī)范，也未定期向省聯(lián)社領(lǐng)導(dǎo)、信息

科技管理委員會(huì)和銀信中心管理層提交信息科技風(fēng)險(xiǎn)評(píng)估報(bào)告、信

息安全報(bào)告、現(xiàn)場檢查報(bào)告和審計(jì)報(bào)告。

（三）信息科技風(fēng)險(xiǎn)意識(shí)教育培訓(xùn)工作有待加強(qiáng)

尚未建立全省農(nóng)合機(jī)構(gòu)常態(tài)化的信息科技風(fēng)險(xiǎn)管理意識(shí)培訓(xùn)教

育機(jī)制，全省農(nóng)合機(jī)構(gòu)科技人員的信息安全意識(shí)、風(fēng)險(xiǎn)意識(shí)有待進(jìn)

一步提局1。

二、信息科技風(fēng)險(xiǎn)管理策稍不完善

（一）信息系統(tǒng)架構(gòu)風(fēng)險(xiǎn)管理策略未有效建立。尚未建立專業(yè)

化的架構(gòu)風(fēng)險(xiǎn)評(píng)估組織和評(píng)估機(jī)制，以實(shí)現(xiàn)對(duì)應(yīng)用架構(gòu)、數(shù)據(jù)架

構(gòu)、基礎(chǔ)設(shè)施架構(gòu)、組織架構(gòu)等的架構(gòu)風(fēng)險(xiǎn)評(píng)估，規(guī)避架構(gòu)缺陷帶

來的信息科技長期風(fēng)險(xiǎn)。

（二）信息安全管理策略存在漏洞和缺陷。信息安全策略覆蓋

面不全，在網(wǎng)絡(luò)隔離、遠(yuǎn)程訪問控制方面存在安全隱患，網(wǎng)絡(luò)設(shè)

備、安全設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫的用戶權(quán)限和密碼管理策稍不完

善，生產(chǎn)系統(tǒng)日志管理、操作審計(jì)管理策略存在缺陷，敏感數(shù)據(jù)安

全管控不足。

（三）生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策稍不夠完備。生產(chǎn)運(yùn)行風(fēng)險(xiǎn)監(jiān)測平

臺(tái)尚未建立，生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理制度和標(biāo)準(zhǔn)不夠完善，事件管理、

問題管理、變更管理、配置管理過程中的風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)監(jiān)測機(jī)制

有待進(jìn)一步細(xì)化。

（四）開辟、測試和維護(hù)風(fēng)險(xiǎn)管理策略也存在不足和缺陷。安全需

求分析、安全架構(gòu)規(guī)劃、詳細(xì)安全設(shè)計(jì)、安全測試不完善，軟件研

發(fā)質(zhì)量保證體系有待進(jìn)一步規(guī)范化，重要信息系統(tǒng)的變更投產(chǎn)風(fēng)險(xiǎn)

管控有缺陷，安全質(zhì)量管理有待進(jìn)一步提高。

（五）外包管理制度不夠完善。對(duì)外包服務(wù)商的風(fēng)險(xiǎn)控制能力

有較大缺陷，尚未建立外包相關(guān)風(fēng)險(xiǎn)防范能力制度和風(fēng)險(xiǎn)評(píng)估流

程，也未建立有效的外包服務(wù)商評(píng)價(jià)、定期檢查和跟蹤機(jī)制。

三、風(fēng)險(xiǎn)控制層面的“三重控制”機(jī)制未有效構(gòu)建

尚未在風(fēng)險(xiǎn)控制層面建立有效的信息科技風(fēng)險(xiǎn)的事前評(píng)估識(shí)別、事

中監(jiān)測檢查、事后審計(jì)核查的〃三重控制〃機(jī)制：

（一）事前評(píng)估識(shí)別機(jī)制存在較大缺陷。風(fēng)險(xiǎn)評(píng)估制度和流程尚不

規(guī)范，信息科技風(fēng)險(xiǎn)評(píng)估自評(píng)、外部評(píng)估流程制度尚未完善，常態(tài)

化信息科技風(fēng)險(xiǎn)定期評(píng)估，重要信息系統(tǒng)變更投產(chǎn)前的風(fēng)險(xiǎn)評(píng)估規(guī)

范和流程也有待進(jìn)一步改進(jìn)和完善。

（二）事中監(jiān)測檢查機(jī)制未建立。信息科技風(fēng)險(xiǎn)信息監(jiān)測、檢查、

評(píng)估體系不完善，日常現(xiàn)場檢查機(jī)制也尚未建立，信息科技風(fēng)險(xiǎn)監(jiān)

測平臺(tái)尚未建立。

（三）事后審計(jì)核查尚未實(shí)施。常態(tài)化的信息科技審計(jì)制度、流程

未建立，信息系統(tǒng)開辟、變更、數(shù)據(jù)提取、日常運(yùn)行操作的合規(guī)性

核查未有效開展。

四、數(shù)據(jù)大集中系統(tǒng)安全等級(jí)定級(jí)偏低

尚未建立信息系統(tǒng)安全控制基線，目前正在進(jìn)行的信息系統(tǒng)安

全等級(jí)保護(hù)工作涉及的數(shù)據(jù)大集中系統(tǒng)安全等級(jí)劃分標(biāo)準(zhǔn)偏低。數(shù)

據(jù)大集中核心系統(tǒng)目前僅定為三級(jí)，而國有商業(yè)銀行核心系統(tǒng)的定

級(jí)普通都在四級(jí)以上，這在一定程度上降低了大集中系統(tǒng)的安全

性。

五、業(yè)務(wù)連續(xù)性管理還比較薄弱

（一）尚未建立完整的業(yè)務(wù)連續(xù)性管理框架和流程

1、尚未制定有效的業(yè)務(wù)連續(xù)性管理規(guī)范，未按照業(yè)務(wù)連續(xù)性

監(jiān)管要求建立包括業(yè)務(wù)連續(xù)性管理架構(gòu)及管理、業(yè)務(wù)影響分析、業(yè)

務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)等規(guī)范和流程的業(yè)務(wù)連續(xù)性管理體系，業(yè)

務(wù)連續(xù)性預(yù)案編制、演練機(jī)制等也有待進(jìn)一步建立完善。

2、IT基礎(chǔ)設(shè)施的高可用性與監(jiān)管規(guī)范要求比有較大差距。機(jī)房、

系統(tǒng)和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施高可用性的覆蓋率不夠高；機(jī)房外部環(huán)境的

安全性存在缺陷，機(jī)房供電容量不足、發(fā)機(jī)電容量配比不足、機(jī)房

空調(diào)冷量嚴(yán)重不足等因素一定程度制約了全省農(nóng)合機(jī)構(gòu)新產(chǎn)品的不

斷投產(chǎn)上線；災(zāi)備中心建設(shè)滯后、災(zāi)備有效性不足，數(shù)據(jù)大集中目

前只實(shí)現(xiàn)了核心系統(tǒng)的同城數(shù)據(jù)級(jí)的備份，未覆蓋所有的重要生產(chǎn)

應(yīng)用，遠(yuǎn)未達(dá)到監(jiān)管部門提出的〃二地三中心〃應(yīng)用級(jí)災(zāi)備要求；

全省農(nóng)合機(jī)構(gòu)大多數(shù)網(wǎng)點(diǎn)也仍未實(shí)現(xiàn)主、備雙路線的接入。

3、突發(fā)事件應(yīng)急管理能力有待進(jìn)一步改進(jìn)。信息科技突發(fā)事

件的監(jiān)控預(yù)警、應(yīng)急預(yù)案、應(yīng)急響應(yīng)等存在不足或者缺陷，應(yīng)急預(yù)

案的科學(xué)性、完整性、可操作性有待進(jìn)一步改進(jìn)，多點(diǎn)故障的應(yīng)

急處

理能力有待進(jìn)一步提升和完善，應(yīng)急演練覆蓋面有待進(jìn)一步提高。

（二）總體業(yè)務(wù)連續(xù)性水平有待提高。2022年數(shù)據(jù)大集中核心系

統(tǒng)計(jì)劃性停機(jī)時(shí)間約為6小時(shí)，非計(jì)劃性停機(jī)約為4小時(shí)，總停機(jī)

時(shí)間約為10小時(shí)，而國內(nèi)先進(jìn)商業(yè)銀行去年全年總停機(jī)時(shí)間不到

半小時(shí)，差距較大。止匕外，2022年大集中核心因系統(tǒng)和軟件故障

引起的帳務(wù)數(shù)據(jù)差錯(cuò)水平也維持在較高水平。

六、信息科技風(fēng)險(xiǎn)管理績效體系尚未建立

全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理尚缺乏有效的激勵(lì)與約束機(jī)

制，信息科技風(fēng)險(xiǎn)事件的問責(zé)機(jī)制不完善，尚未制定生產(chǎn)運(yùn)行關(guān)鍵

風(fēng)險(xiǎn)控制的績效指標(biāo)、建立生產(chǎn)安全運(yùn)行績效考核制度，尚未建立

生產(chǎn)運(yùn)行服務(wù)水平績效考核及信息科技風(fēng)險(xiǎn)管理水平績效考核體

系。

第三章信息科技風(fēng)險(xiǎn)管理五年規(guī)劃目標(biāo)和實(shí)施路線

第一節(jié)信息科技風(fēng)險(xiǎn)管理五年規(guī)劃總體目標(biāo)

按照全省農(nóng)合機(jī)構(gòu)信息科技戰(zhàn)略規(guī)劃和《商業(yè)銀行信息科技風(fēng)

險(xiǎn)管理指引》的監(jiān)管要求，推行信息科技風(fēng)險(xiǎn)管理的監(jiān)管規(guī)范化和

國際標(biāo)準(zhǔn)化管理，進(jìn)一步完善信息科技管理組織架構(gòu)，充實(shí)細(xì)化信

息科技管理的各項(xiàng)制度和流程；遵循監(jiān)管部門信息科技風(fēng)險(xiǎn)監(jiān)管要

求，充實(shí)優(yōu)化信息科技風(fēng)險(xiǎn)管理組織架構(gòu)，制定風(fēng)險(xiǎn)策略層面涵蓋

信息系統(tǒng)生命周期各個(gè)環(huán)節(jié)的信息科技風(fēng)險(xiǎn)管理策略和規(guī)范，構(gòu)建

具有農(nóng)合機(jī)構(gòu)特色的信息科技風(fēng)險(xiǎn)管理體系；建立風(fēng)險(xiǎn)控制層面的

事前評(píng)估識(shí)別、事中監(jiān)測檢查、事后審計(jì)核查的〃三重控制"，建

設(shè)信息科技風(fēng)險(xiǎn)評(píng)估平臺(tái)；全面貫徹落實(shí)國家信息系統(tǒng)安全等級(jí)保

護(hù)要求，建設(shè)包括網(wǎng)絡(luò)安全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫

基線檢查、應(yīng)用安全基線檢查和代碼安全基線檢查等內(nèi)容的信息安

全評(píng)估平臺(tái)，有效提高信息安全管理水平；持續(xù)完善業(yè)務(wù)連續(xù)性管

理，逐步建立信息科技風(fēng)險(xiǎn)信息采集、評(píng)估與監(jiān)控管理的風(fēng)險(xiǎn)監(jiān)測

平臺(tái)，在此基礎(chǔ)上健全常態(tài)化的信息科技風(fēng)險(xiǎn)監(jiān)測、預(yù)警與應(yīng)急處

置機(jī)制；逐年降低數(shù)據(jù)大集中系統(tǒng)的計(jì)劃性與非計(jì)劃性停機(jī)時(shí)間，

大幅度減少因系統(tǒng)軟、硬件故障引起的數(shù)據(jù)差錯(cuò)水平，最終基本達(dá)

到國內(nèi)先進(jìn)商業(yè)銀行的業(yè)務(wù)連續(xù)性水平。

第二節(jié)信息科技風(fēng)險(xiǎn)管理五年規(guī)劃實(shí)施路

線一、持續(xù)完善信息科技管理

（一）進(jìn)一步完善信息科技管理組織架構(gòu)

全面落實(shí)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》的各項(xiàng)監(jiān)管要求，

積極推行信息科技COBIT管理標(biāo)準(zhǔn)的實(shí)施，進(jìn)一步完善信息科技管

理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)"三道防線”建設(shè)。在信息

科技管理上，逐步細(xì)化完善信息科技管理的各項(xiàng)流程、規(guī)范和制

度，優(yōu)化信息科技管理組織架構(gòu)，實(shí)現(xiàn)產(chǎn)品研發(fā)、軟件開辟、測試

和生產(chǎn)運(yùn)行的相互制約和分離；在信息科技風(fēng)險(xiǎn)管理上，建立完善

風(fēng)險(xiǎn)管理部內(nèi)部組織架構(gòu)，在信息科技風(fēng)險(xiǎn)管理部設(shè)立風(fēng)險(xiǎn)管理崗

位、安全檢查崗位及業(yè)務(wù)連續(xù)性管理崗位；在信息科技審計(jì)上，建

立完善全省農(nóng)合機(jī)構(gòu)的信息科技審計(jì)體系，規(guī)劃實(shí)施初期，推動(dòng)省

聯(lián)社在稽審中心設(shè)立獨(dú)立的信息科技審計(jì)崗位，條件成熟后，再在

省聯(lián)社或者銀信金融服務(wù)中心設(shè)立單獨(dú)的信息科技審計(jì)部門。

（二）推行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)化管理

按照Baseim的要求,將信息科技風(fēng)險(xiǎn)明確劃歸到操作風(fēng)險(xiǎn)范

疇，從而將信息科技風(fēng)險(xiǎn)管理納入到全面風(fēng)險(xiǎn)管理體系中。在信息

科技風(fēng)險(xiǎn)管理體系建設(shè)上，積極推行信息科技風(fēng)險(xiǎn)管理的RISKIT

管理標(biāo)準(zhǔn)的實(shí)施，參考借鑒國內(nèi)外信息科技風(fēng)險(xiǎn)管理領(lǐng)域的最佳實(shí)

踐，從信息科技風(fēng)險(xiǎn)管理策略、信息科技風(fēng)險(xiǎn)控制、信息系統(tǒng)安全

等級(jí)保護(hù)、業(yè)務(wù)連續(xù)性管理、信息科技風(fēng)險(xiǎn)管理績效體系等方面逐

步落實(shí)銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》中有關(guān)第二道防

線的工作職能，逐步實(shí)現(xiàn)科技管理的自動(dòng)化，將各項(xiàng)管理要求體現(xiàn)

到系統(tǒng)平臺(tái)中，確保各項(xiàng)既定管理要求得到有效落實(shí)，把風(fēng)險(xiǎn)管控

貫通于信息系統(tǒng)生命周期，建立起信息科技風(fēng)險(xiǎn)管控的日常化、流

程化、持續(xù)化機(jī)制，提高信息科技風(fēng)險(xiǎn)防范管理水平。

（三）充實(shí)優(yōu)化信息科技風(fēng)險(xiǎn)管理部

信息科技風(fēng)險(xiǎn)管理部目前承擔(dān)著規(guī)劃、構(gòu)建全省農(nóng)合機(jī)構(gòu)信息

科技風(fēng)險(xiǎn)管理相關(guān)的風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)控制、信息安全管理和業(yè)

務(wù)連續(xù)性管理等職能，但目前管理和技術(shù)人員總共惟獨(dú)5人，遠(yuǎn)遠(yuǎn)

不能滿足全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理工作的需要，必須加強(qiáng)技

術(shù)人員的引進(jìn)和培養(yǎng)，同時(shí)強(qiáng)化技術(shù)人員的專業(yè)培訓(xùn)和任職資質(zhì)要

求，二年內(nèi)信息科技風(fēng)險(xiǎn)管理部主要技術(shù)人員必須獲得注冊(cè)信息安

全專業(yè)人員證書（CISP）或者國際信息系統(tǒng)審計(jì)師證書（QSA）。

五年內(nèi)預(yù)期信息科技風(fēng)險(xiǎn)管理部總?cè)藬?shù)達(dá)到12人，其中中層管

理人員2人，信息科技風(fēng)險(xiǎn)管理人員4人，安全檢查人員4人，

業(yè)務(wù)連

續(xù)性管理人員2人。

（四）建立信息科技風(fēng)險(xiǎn)披露機(jī)制

建立行之有效的信息科技風(fēng)險(xiǎn)的報(bào)告路線，制定信息科技風(fēng)險(xiǎn)

月報(bào)、季報(bào)和年報(bào)等的披露規(guī)范，定期向省聯(lián)社領(lǐng)導(dǎo)、信息科技管

理委員會(huì)和銀信中心管理層提交信息科技風(fēng)險(xiǎn)評(píng)估報(bào)告、信息安全

報(bào)告、現(xiàn)場檢查報(bào)告和審計(jì)報(bào)告，確保省聯(lián)社理事會(huì)、管理層掌握

主要的信息科技風(fēng)險(xiǎn)并在此基礎(chǔ)上確定可接受的風(fēng)險(xiǎn)級(jí)別，從而確

保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測和控制，切實(shí)提升省聯(lián)社理事

會(huì)及管理層的信息科技風(fēng)險(xiǎn)管理的履職能力。

（五）加強(qiáng)信息科技風(fēng)險(xiǎn)意識(shí)的教育和培訓(xùn)

1、建立全省農(nóng)合機(jī)構(gòu)常態(tài)化的信息科技風(fēng)險(xiǎn)管理意識(shí)培訓(xùn)教育機(jī)

制。定期組織全省農(nóng)合機(jī)構(gòu)科技人員學(xué)習(xí)銀監(jiān)會(huì)、人民銀行和省聯(lián)

社有關(guān)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管指引、規(guī)范和制度，確保

所有科技人員了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授

權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，逐步提高全省

農(nóng)合機(jī)構(gòu)科技人員的信息科技風(fēng)險(xiǎn)管理水平。

2、定期舉辦信息科技管理和風(fēng)險(xiǎn)控制相關(guān)國際標(biāo)準(zhǔn)及最佳實(shí)

踐體系的培訓(xùn)。在信息科技管理方面舉辦COBIT控制體系培訓(xùn)，在

信息科技風(fēng)險(xiǎn)管理方面舉辦RISKIT控制體系培訓(xùn)，在信息安全方

面舉辦IS027002控制體系培訓(xùn)，在生產(chǎn)運(yùn)行方面進(jìn)行ITIL最佳實(shí)

踐體系培訓(xùn)，在軟件開辟方面舉辦CMMI質(zhì)量控制體系培訓(xùn)。通過

培訓(xùn)，逐步提升全省農(nóng)合機(jī)構(gòu)科技人員的安全意識(shí)、風(fēng)險(xiǎn)意識(shí)，促

進(jìn)信息科技風(fēng)險(xiǎn)管理文化建設(shè)，保障全省農(nóng)合機(jī)構(gòu)數(shù)據(jù)大集中系統(tǒng)

的安全運(yùn)行。

二、逐步完善信息科技風(fēng)險(xiǎn)管理策略

（一）細(xì)化銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《銀

行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》、《商業(yè)銀行數(shù)據(jù)中心監(jiān)

管指引》、《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》等文件

要求，逐步建立信息系統(tǒng)架構(gòu)風(fēng)險(xiǎn)管理、信息安全管理、生產(chǎn)運(yùn)行

風(fēng)險(xiǎn)管理，開辟測試和維護(hù)風(fēng)險(xiǎn)管理、外包風(fēng)險(xiǎn)管理的具體策略，

并在此基礎(chǔ)上禮聘專業(yè)咨詢公司協(xié)助完善信息科技風(fēng)險(xiǎn)管理體系。

（二）積極引進(jìn)國內(nèi)外銀行業(yè)金融機(jī)構(gòu)先進(jìn)的信息科技風(fēng)險(xiǎn)管理策

略：

1、在信息科技架構(gòu)管理策略上，積極引進(jìn)國內(nèi)外銀行業(yè)金融機(jī)構(gòu)

先進(jìn)的信息科技架構(gòu)管控流程和最佳實(shí)踐，逐步健全業(yè)務(wù)架構(gòu)、應(yīng)

用架構(gòu)、數(shù)據(jù)架構(gòu)、基礎(chǔ)設(shè)施架構(gòu)、組織架構(gòu)等方面風(fēng)險(xiǎn)的內(nèi)外評(píng)

審機(jī)制，逐步完善架構(gòu)評(píng)價(jià)體系，持續(xù)跟蹤并監(jiān)測架構(gòu)規(guī)劃的執(zhí)行

情況，在保持架構(gòu)相對(duì)穩(wěn)定的基礎(chǔ)上，適時(shí)調(diào)整架構(gòu)規(guī)劃以適應(yīng)發(fā)

展要求，實(shí)現(xiàn)信息科技架構(gòu)風(fēng)險(xiǎn)的有效管理。

2、在信息安全管理策略上，積極推行IS027002信息安全治

理標(biāo)準(zhǔn)的實(shí)施。建立健全信息安全的內(nèi)部控制體系，通過技術(shù)和管

理手段，確保信息系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性和可用性，提升信

息安全保障體系的茁壯性和有效性；合理劃份內(nèi)部網(wǎng)絡(luò)區(qū)域，有效

隔離生產(chǎn)網(wǎng)、辦公網(wǎng)和測試網(wǎng)，在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、桌

面、數(shù)據(jù)、開辟、運(yùn)行等不同層面完善身份認(rèn)證、訪問控制、日志

分析、操作審計(jì)等安全風(fēng)險(xiǎn)控制策略；建立業(yè)務(wù)安全監(jiān)控機(jī)制，細(xì)

化客戶端安全、互聯(lián)網(wǎng)安全、應(yīng)用交易安全等方面的安全防范策

暗，及時(shí)識(shí)別危（wei）險(xiǎn)賬戶和客戶異常行為，實(shí)現(xiàn)技術(shù)防范與

業(yè)務(wù)交易安全監(jiān)控聯(lián)動(dòng)；統(tǒng)一規(guī)劃互聯(lián)網(wǎng)、外聯(lián)網(wǎng)安全防護(hù)標(biāo)準(zhǔn)

策略，主動(dòng)應(yīng)對(duì)安全威脅，嚴(yán)格防止敏感數(shù)據(jù)泄露，重點(diǎn)防范外

部攻擊；加強(qiáng)網(wǎng)上銀行安全威脅發(fā)展趨勢(shì)的跟蹤、分析和研究，

推動(dòng)新技術(shù)新產(chǎn)品在網(wǎng)上銀行等互聯(lián)網(wǎng)系統(tǒng)中的應(yīng)用，在互聯(lián)網(wǎng)

系統(tǒng)客戶端引入安全掃描等機(jī)制，主動(dòng)評(píng)價(jià)客戶平臺(tái)安全狀況，

加強(qiáng)客戶平臺(tái)準(zhǔn)入管理，增強(qiáng)客戶異常行為檢查，通過識(shí)別客戶

交易時(shí)段、地點(diǎn)、交易頻率及額度等信息，提前預(yù)警防范風(fēng)險(xiǎn)。

3、在生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策略上，積極推動(dòng)生產(chǎn)運(yùn)行管理的

ITIL最佳實(shí)踐體系的實(shí)施。對(duì)生產(chǎn)運(yùn)行涉及的事件管理、問題管

理、變更管理、數(shù)據(jù)管理、系統(tǒng)管理、網(wǎng)絡(luò)管理、機(jī)房管理等流程

進(jìn)行全面梳理，明確主要風(fēng)險(xiǎn)點(diǎn)和薄弱環(huán)節(jié)，制定有效的風(fēng)險(xiǎn)防范

或者緩釋策略；持續(xù)完善變更風(fēng)險(xiǎn)管理策略，加強(qiáng)變更流程的審

核和控制，有效降低變更操作風(fēng)險(xiǎn)；完善生產(chǎn)數(shù)據(jù)備份策略，建

立備份數(shù)據(jù)驗(yàn)證環(huán)境，提高數(shù)據(jù)安全保障能力；完善生產(chǎn)事件的

管理策略，細(xì)化生產(chǎn)運(yùn)行事件分類，建立完善事件處理知識(shí)庫，

提高運(yùn)行事件響應(yīng)處理能力；推進(jìn)自動(dòng)化生產(chǎn)運(yùn)行操作平臺(tái)建設(shè)，

強(qiáng)化操作復(fù)核機(jī)制和權(quán)限控制，實(shí)現(xiàn)日常運(yùn)維中重復(fù)性工作的自

動(dòng)化和規(guī)范化操作，避免人為操作帶來的風(fēng)險(xiǎn)隱患；部署全面的

安全防護(hù)系統(tǒng)和風(fēng)險(xiǎn)監(jiān)測工具，對(duì)運(yùn)行風(fēng)險(xiǎn)進(jìn)行有效的監(jiān)測、預(yù)

警和及時(shí)處置。

4、在開辟測試、維護(hù)和項(xiàng)目投產(chǎn)風(fēng)險(xiǎn)管理策略上，積極推動(dòng)

軟件開辟CMMI質(zhì)量控制體系的實(shí)施，提高軟件開辟質(zhì)量管理能

力。在項(xiàng)目管理上，加強(qiáng)項(xiàng)目需求與設(shè)計(jì)階段的架構(gòu)審核和安全評(píng)

審，嚴(yán)格執(zhí)行信息安全技術(shù)架構(gòu)原則；在軟件開辟管理上，大力推

廣使用代碼檢測技術(shù)和漏洞測試工具，提高軟件編碼質(zhì)量，防范軟

件開辟過程中存在的風(fēng)險(xiǎn)和漏洞；在變更投產(chǎn)管理上，建立重要

信息系統(tǒng)變更投產(chǎn)前的風(fēng)險(xiǎn)評(píng)估機(jī)制，有效提升軟件開辟和項(xiàng)目

投產(chǎn)風(fēng)險(xiǎn)管控水平。

5、在外包風(fēng)險(xiǎn)管理策略上，完善外包合同協(xié)議的風(fēng)險(xiǎn)審核機(jī)

制，建立外包實(shí)施過程中的操作安全、數(shù)據(jù)保密、人員變更等風(fēng)險(xiǎn)

防范策略，完善外包突發(fā)事件應(yīng)急預(yù)案，防范外包供應(yīng)商服務(wù)中斷

或者異常退出風(fēng)險(xiǎn)。

（三）建立完善業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)防范策略

L健全業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)防范規(guī)范、制度和流程，定期進(jìn)行業(yè)務(wù)

系統(tǒng)應(yīng)用風(fēng)險(xiǎn)分析，及時(shí)發(fā)現(xiàn)、修正業(yè)務(wù)操作過程、交易流程、操

作權(quán)限等的風(fēng)險(xiǎn)隱患和漏洞。

2、制定業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)指標(biāo)，構(gòu)建業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)分析

系統(tǒng)，確保內(nèi)審機(jī)構(gòu)和管理部門能夠及時(shí)、準(zhǔn)確掌握業(yè)務(wù)操作風(fēng)險(xiǎn)

狀況，實(shí)現(xiàn)對(duì)業(yè)務(wù)操作行為實(shí)時(shí)或者定期風(fēng)險(xiǎn)分析、預(yù)警。

三、構(gòu)建信息科技風(fēng)險(xiǎn)控制層面的“三重控制”

（一）構(gòu)建事前評(píng)估識(shí)別機(jī)制

1、建設(shè)信息科技風(fēng)險(xiǎn)評(píng)估平臺(tái)。制定信息分級(jí)與保護(hù)、系統(tǒng)

開辟測試和維護(hù)、信息科技運(yùn)行和維護(hù)、訪問控制、物理安全、

人

員安全、業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置等的風(fēng)險(xiǎn)評(píng)估規(guī)范，構(gòu)建內(nèi)部

評(píng)估和外部評(píng)估相結(jié)合的常態(tài)化信息科技風(fēng)險(xiǎn)評(píng)估、識(shí)別機(jī)制；建

設(shè)信息科技風(fēng)險(xiǎn)評(píng)估平臺(tái)，優(yōu)化風(fēng)險(xiǎn)識(shí)別標(biāo)準(zhǔn)，建立信息科技風(fēng)險(xiǎn)

控制基線，確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別，實(shí)現(xiàn)對(duì)信息

科技風(fēng)險(xiǎn)的有效控制。

2、建立關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。制定并定期更新風(fēng)險(xiǎn)級(jí)別分類標(biāo)準(zhǔn)和

響應(yīng)優(yōu)先順序，加強(qiáng)對(duì)組織架構(gòu)風(fēng)險(xiǎn)、技術(shù)架構(gòu)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、

應(yīng)用變更風(fēng)險(xiǎn)、生產(chǎn)調(diào)度風(fēng)險(xiǎn)、基礎(chǔ)軟件風(fēng)險(xiǎn)、硬件風(fēng)險(xiǎn)、應(yīng)急處

置風(fēng)險(xiǎn)等關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的識(shí)別梳理，綜合運(yùn)用系統(tǒng)失效點(diǎn)影響分析、

系統(tǒng)高可用性設(shè)計(jì)分析、服務(wù)接口安全風(fēng)險(xiǎn)分析等方法科學(xué)評(píng)估信

息系統(tǒng)故障發(fā)生后的業(yè)務(wù)影響范圍和風(fēng)險(xiǎn)級(jí)別，建立關(guān)鍵風(fēng)險(xiǎn)指

標(biāo)。

（二）構(gòu)建事中監(jiān)測檢查機(jī)制

1、完善信息科技風(fēng)瞼的日?，F(xiàn)場檢查及定期檢查制度和流程。根

據(jù)銀監(jiān)會(huì)《銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管現(xiàn)場檢查手冊(cè)》等規(guī)范要求，

制定適合農(nóng)合機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)現(xiàn)場檢查和非現(xiàn)場檢查規(guī)范，綜

合利用技術(shù)手段和管理手段加強(qiáng)對(duì)關(guān)鍵信息科技風(fēng)險(xiǎn)的現(xiàn)場和非現(xiàn)

場檢查。每半年開展1次全面的現(xiàn)場檢查，每月利用各類技術(shù)管理

平臺(tái)開展1次非現(xiàn)場檢查，每日對(duì)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行一次現(xiàn)場檢

查，并對(duì)檢查發(fā)現(xiàn)問題的整改發(fā)展進(jìn)行持續(xù)的跟蹤、管理，確保整

改措施落實(shí)到位。

2、以銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技非現(xiàn)場監(jiān)管報(bào)表》為基礎(chǔ)，

建立適合農(nóng)合機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)監(jiān)測指標(biāo)體系，在此基礎(chǔ)上建設(shè)

信息科技風(fēng)險(xiǎn)監(jiān)測平臺(tái)。持續(xù)優(yōu)化完善風(fēng)險(xiǎn)監(jiān)測指標(biāo)體系，逐步建

立信息科技風(fēng)險(xiǎn)損失數(shù)據(jù)庫，實(shí)施信息科技風(fēng)險(xiǎn)定量分析及趨勢(shì)分

析，支持信息科技風(fēng)險(xiǎn)管理決策。

（三）構(gòu)建事后審計(jì)核查機(jī)制

建立健全信息科技內(nèi)、外審計(jì)制度，強(qiáng)化信息科技審計(jì)在信息

科技管理、內(nèi)部控制和風(fēng)險(xiǎn)管理中的作用，充分發(fā)揮信息科技審計(jì)

監(jiān)督評(píng)價(jià)職能。對(duì)照銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，

《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》《商業(yè)銀行數(shù)據(jù)中心

監(jiān)i指弓I》，《銀行業(yè)垂信，息系球發(fā)事件應(yīng)急i理規(guī)范》、《商

業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》等規(guī)范和指引要求，每年至少組織一

次全面的信息科技內(nèi)部審計(jì)，每二年組織一次信息科技外部審計(jì)，

有效提升全省農(nóng)合機(jī)構(gòu)信息科技管理法規(guī)遵從性的水平。

四、全面貫徹落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)

（一）積極推行信息系統(tǒng)的等級(jí)保護(hù)，建立和完善信息資產(chǎn)分

類分級(jí)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全控制基線，并在此基礎(chǔ)上采用相應(yīng)

的技術(shù)手段逐步實(shí)現(xiàn)對(duì)不同類型、不同級(jí)別信息資產(chǎn)的分級(jí)保護(hù)措

施，逐步提高大集中核心系統(tǒng)等重要信息系統(tǒng)的安全保護(hù)等級(jí)。

（二）構(gòu)建有效的信息安全等級(jí)評(píng)估機(jī)制，建設(shè)包括網(wǎng)絡(luò)安全

基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全基

線檢查和代碼安全基線檢查等檢查測試內(nèi)容的信息安全評(píng)估平臺(tái)，

重點(diǎn)加強(qiáng)銀行卡、網(wǎng)銀系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估識(shí)別，健全電子交易渠

道的安全風(fēng)險(xiǎn)控制機(jī)制，有效提高信息系統(tǒng)安全的等級(jí)保護(hù)水平。

五、持續(xù)完善業(yè)務(wù)連續(xù)性管理體系

(-)禮聘專業(yè)咨詢公司協(xié)助建立滿足銀監(jiān)會(huì)《商業(yè)銀行業(yè)務(wù)

連續(xù)性監(jiān)管指引》要求的業(yè)務(wù)連續(xù)性管理體系。明確省聯(lián)社、銀信

中心各部門和各法人聯(lián)社的業(yè)務(wù)連續(xù)性管理職責(zé)，在業(yè)務(wù)影響分析

基礎(chǔ)上制定業(yè)務(wù)分類分級(jí)保護(hù)策略，制定業(yè)務(wù)連續(xù)性計(jì)劃，確定關(guān)

鍵業(yè)務(wù)恢復(fù)次序與恢復(fù)時(shí)間要求，加快災(zāi)難恢復(fù)系統(tǒng)建設(shè)。

1、持續(xù)完善業(yè)務(wù)連續(xù)性計(jì)劃。建立總體業(yè)務(wù)連續(xù)性計(jì)劃、完

善總體應(yīng)急預(yù)案，以此為基準(zhǔn)整理和完善專項(xiàng)業(yè)務(wù)應(yīng)急預(yù)案與技術(shù)

應(yīng)急預(yù)案，建立多層次、多場景和可操作應(yīng)急預(yù)案管理體系。加強(qiáng)

總體應(yīng)急預(yù)案、專項(xiàng)應(yīng)急預(yù)案的管理，加強(qiáng)預(yù)案之間的銜接與配

套；制定預(yù)案編制規(guī)范，保證預(yù)案編制質(zhì)量，建立涵蓋預(yù)案制定、

評(píng)審、發(fā)布、變更和回收等過程的預(yù)案維護(hù)機(jī)制；強(qiáng)化預(yù)案后評(píng)價(jià)

與持續(xù)改進(jìn)機(jī)制，保證預(yù)案的有效性。

2、加快業(yè)務(wù)連續(xù)性資源建設(shè)，研究建立適合農(nóng)合機(jī)構(gòu)的災(zāi)難恢

復(fù)系統(tǒng)架構(gòu)。推進(jìn)〃雙活〃數(shù)據(jù)中心建設(shè)，提高生產(chǎn)中心和備份中

心之間的相互備份、切換和接管能力，逐步加大數(shù)據(jù)、系統(tǒng)、基礎(chǔ)

設(shè)施等各類資源的保護(hù)范圍以及恢復(fù)能力，提高電子銀行渠道災(zāi)難

恢復(fù)能力，推進(jìn)外聯(lián)交易、支付、清算等重要渠道災(zāi)難備份建設(shè)。

3、完善業(yè)務(wù)連續(xù)性計(jì)劃的演練和驗(yàn)證工作。采取計(jì)劃性、非

計(jì)劃性等多種演練形式，有效驗(yàn)證應(yīng)急響應(yīng)、決策機(jī)制、指揮體

系、報(bào)告渠道、資源保障、業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)的效果與能

力，全面提高應(yīng)對(duì)重大突發(fā)事件能力；逐步推行以真實(shí)業(yè)務(wù)接管為

目標(biāo)的實(shí)戰(zhàn)演練，逐步加大實(shí)戰(zhàn)演練頻度，擴(kuò)大演練覆蓋范圍。

4、完善應(yīng)急處置流程。完善信息科技風(fēng)險(xiǎn)監(jiān)測、預(yù)警機(jī)制，

健全應(yīng)對(duì)突發(fā)事件的預(yù)警、報(bào)告、決策、指揮、響應(yīng)及退出等環(huán)節(jié)

的應(yīng)急管理機(jī)制。制定監(jiān)測指標(biāo)，實(shí)時(shí)監(jiān)測業(yè)務(wù)運(yùn)行狀態(tài)，及時(shí)發(fā)

現(xiàn)異常情況，及時(shí)預(yù)警；建立清晰的報(bào)告流程，明確報(bào)告路線；建

立應(yīng)急指揮、決策體系，統(tǒng)籌協(xié)調(diào)，高效決策，保證指揮流程暢

通；完善應(yīng)急處置響應(yīng)流程，加強(qiáng)關(guān)鍵崗位人員配置。

5、加強(qiáng)突發(fā)事件危機(jī)處理管理。逐步完善全省農(nóng)合機(jī)構(gòu)與外

部機(jī)構(gòu)的應(yīng)急協(xié)作機(jī)制，加強(qiáng)突發(fā)事件處置時(shí)的聯(lián)動(dòng)和協(xié)調(diào)配合。

逐步建立各級(jí)農(nóng)合機(jī)構(gòu)與當(dāng)?shù)卣畽C(jī)構(gòu)和公共事業(yè)機(jī)構(gòu)的有效的溝

通機(jī)制，重點(diǎn)是建立與電力、能源、通訊、消防、衛(wèi)生、新聞等機(jī)

構(gòu)的協(xié)調(diào)機(jī)制。

（二）推進(jìn)數(shù)據(jù)中心服務(wù)水平的量化管理。建立系統(tǒng)的、可操

作的數(shù)據(jù)中心服務(wù)評(píng)價(jià)指標(biāo)，包括數(shù)據(jù)中心配置對(duì)業(yè)務(wù)應(yīng)用需求滿

足程度、提供服務(wù)的可用性、資源變更的有效性、資源成本的可控

性等。

（三）逐年降低數(shù)據(jù)大集中系統(tǒng)計(jì)劃性與非計(jì)劃性停機(jī)時(shí)間，

大幅度降低因系統(tǒng)和軟件故障引起的帳務(wù)數(shù)據(jù)差錯(cuò)水平，最終基本

達(dá)到國內(nèi)先進(jìn)商業(yè)銀行的業(yè)務(wù)連續(xù)性水平。

六、加強(qiáng)分中心和法人聯(lián)社的信息科技風(fēng)險(xiǎn)管理

加快推進(jìn)全省法人聯(lián)社網(wǎng)點(diǎn)通信的備份路線建設(shè)，積極推進(jìn)發(fā)

達(dá)地區(qū)法人聯(lián)社前置系統(tǒng)和管理系統(tǒng)的災(zāi)難備份建設(shè)，完善分中心

機(jī)房、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的應(yīng)急管理預(yù)案，加強(qiáng)應(yīng)急預(yù)案的演練，切

實(shí)提高分中心在信息科技突發(fā)事件中的協(xié)調(diào)能力和應(yīng)急處置水平。

七、探索建立信息科技風(fēng)險(xiǎn)管理績效體系

探索建立適合全省農(nóng)合機(jī)構(gòu)實(shí)際情況的可計(jì)量、可操作的生產(chǎn)

運(yùn)行服務(wù)水平、信息科技風(fēng)險(xiǎn)管理水平的績效指標(biāo)，將項(xiàng)目開辟與

生產(chǎn)運(yùn)行過程中的風(fēng)險(xiǎn)管理能力和風(fēng)險(xiǎn)事件特別是大集中系統(tǒng)的數(shù)

據(jù)安全水平和非計(jì)劃性停機(jī)事件納入到相關(guān)責(zé)任主體的績效考核

中。強(qiáng)化信息科技風(fēng)險(xiǎn)事件的問責(zé)機(jī)制，完善全省農(nóng)合機(jī)構(gòu)信息科

技風(fēng)險(xiǎn)管理中的激勵(lì)與約束機(jī)制。

第四章2022年信息科技風(fēng)險(xiǎn)管理工作計(jì)劃

2022年全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理工作的重點(diǎn)是進(jìn)一步

完善信息科技管理的"三道防線”建設(shè)，充實(shí)科技管理制度，初步

構(gòu)建風(fēng)險(xiǎn)控制層面〃三重控制〃，啟動(dòng)風(fēng)險(xiǎn)評(píng)估、安全評(píng)估和風(fēng)險(xiǎn)

監(jiān)測等〃三個(gè)平臺(tái)〃建設(shè)，總體實(shí)施目標(biāo)為：

按照全省農(nóng)合機(jī)構(gòu)信息科技戰(zhàn)略規(guī)劃和監(jiān)管規(guī)范要求，推行信

息科技風(fēng)險(xiǎn)管理的監(jiān)管規(guī)范化管理，充實(shí)信息科技管理的各項(xiàng)制度

和流程；遵循監(jiān)管部門信息科技風(fēng)險(xiǎn)監(jiān)管要求，充實(shí)信息科技風(fēng)險(xiǎn)

管理組織架構(gòu)；制定涵蓋信息系統(tǒng)生命周期各個(gè)環(huán)節(jié)的信息科技風(fēng)

險(xiǎn)管理策略和規(guī)范；初步構(gòu)建風(fēng)險(xiǎn)控制層面的事前評(píng)估識(shí)別、事中

監(jiān)測檢查、事后審計(jì)核查的〃三重控制〃，啟動(dòng)信息科技風(fēng)險(xiǎn)評(píng)估

平臺(tái)建設(shè)；落實(shí)國家信息系統(tǒng)安全等級(jí)保護(hù)要求，啟動(dòng)包括網(wǎng)絡(luò)安

全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全

基線檢查和代碼安全基線檢查等內(nèi)容的信息安全評(píng)估平臺(tái)建設(shè)；完

善突發(fā)事件應(yīng)急管理，初步建立業(yè)務(wù)連續(xù)性管理，啟動(dòng)建設(shè)信息科

技風(fēng)險(xiǎn)信息采集、評(píng)估與監(jiān)控管理的風(fēng)險(xiǎn)監(jiān)測平臺(tái)；有效提高數(shù)據(jù)

大集中系統(tǒng)的業(yè)務(wù)連續(xù)性水平，將業(yè)務(wù)服務(wù)時(shí)段非計(jì)劃性停機(jī)時(shí)間

降低到1小時(shí)內(nèi)，有效降低因系統(tǒng)軟、硬件故障引起的帳務(wù)數(shù)據(jù)差

錯(cuò)水平。

一、進(jìn)一步完善信息科技管理

（一）落實(shí)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》的各項(xiàng)監(jiān)管要

求，進(jìn)一步完善信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)

〃三道防線〃建設(shè)。在信息科技管理上J逐步補(bǔ)充、細(xì)化完善信息

科技管理的各項(xiàng)流程、規(guī)范和制度；在信息科技風(fēng)險(xiǎn)管理上，加快

完善風(fēng)險(xiǎn)管理部內(nèi)部組織架構(gòu)，在信息科技風(fēng)險(xiǎn)管理部設(shè)立風(fēng)險(xiǎn)管

理崗位、安全檢查崗位，總?cè)藬?shù)達(dá)到7人其中中層管理人員2人，

風(fēng)險(xiǎn)管理人員3人，安全檢查人員2人；在信息科技審計(jì)上，推動(dòng)

省聯(lián)社在稽審中心設(shè)立獨(dú)立的信息科技審計(jì)崗位。

（二）初步建立信息科技風(fēng)險(xiǎn)披露機(jī)制。進(jìn)一步完善信息科技

風(fēng)險(xiǎn)的報(bào)告路線，制定信息科技風(fēng)險(xiǎn)月報(bào)、季報(bào)和年報(bào)等的披露規(guī)

范，定期向省聯(lián)社理事會(huì)、省聯(lián)社領(lǐng)導(dǎo)、信息科技管理委員會(huì)和銀

信中心管理層提交信息科技風(fēng)險(xiǎn)評(píng)估報(bào)告、信息安全報(bào)告、現(xiàn)場檢

查報(bào)告，確保省聯(lián)社理事會(huì)、管理層掌握主要的信息科技風(fēng)險(xiǎn)，提

升省聯(lián)社理事會(huì)及管理層在信息科技風(fēng)險(xiǎn)管理上的履職能力。

（三）強(qiáng)化信息科技風(fēng)險(xiǎn)意識(shí)的教育和培訓(xùn)

組織全省農(nóng)合機(jī)構(gòu)科技人員對(duì)銀監(jiān)會(huì)有關(guān)銀行業(yè)金融機(jī)構(gòu)信息

科技風(fēng)險(xiǎn)監(jiān)管指引和管理規(guī)范的培訓(xùn)學(xué)習(xí)，邀請(qǐng)銀監(jiān)會(huì)和國內(nèi)著名

信息安全、信息科技風(fēng)險(xiǎn)管理專家為銀信中心全體人員進(jìn)行安全或

者風(fēng)險(xiǎn)管理專題培訓(xùn)。通過強(qiáng)化培訓(xùn)，逐步提升全省農(nóng)合機(jī)構(gòu)科

技人員的安全意識(shí)、風(fēng)險(xiǎn)意識(shí)，確保銀信中心所有科技人員了解、

遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、

信息科技管理制度和流程等要求，有效促進(jìn)信息科技風(fēng)險(xiǎn)管理文

化建設(shè)。

二、初步建立信息科技風(fēng)險(xiǎn)管理策略

（一）按照銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求，

禮聘專業(yè)咨詢公司協(xié)助完善信息科技風(fēng)險(xiǎn)管理體系、建立適合數(shù)據(jù)

大集中后農(nóng)合機(jī)構(gòu)信息化要求的信息安全管理、生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管

理，開辟測試和維護(hù)風(fēng)險(xiǎn)管理、外包風(fēng)險(xiǎn)管理的具體策略：

1、在信息安全管理策略上，建立健全信息安全的內(nèi)部控制體

系。合理劃份內(nèi)部網(wǎng)絡(luò)區(qū)域，有效隔離生產(chǎn)網(wǎng)、辦公網(wǎng)和測試網(wǎng)；

在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、桌面、數(shù)據(jù)、開辟、運(yùn)行等不同層面

完善身份認(rèn)證、訪問控制、日志分析、操作審計(jì)等安全風(fēng)險(xiǎn)控制策

略;統(tǒng)一規(guī)劃互聯(lián)網(wǎng)、外聯(lián)網(wǎng)安全防護(hù)標(biāo)準(zhǔn)策略，嚴(yán)格防止敏感數(shù)

據(jù)泄露，重點(diǎn)防范外部攻擊；加強(qiáng)網(wǎng)上銀行安全威脅發(fā)展趨勢(shì)的跟

蹤、分析和研究，推動(dòng)新技術(shù)新產(chǎn)品在網(wǎng)上銀行等互聯(lián)網(wǎng)系統(tǒng)中的

應(yīng)用。

2、在生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策略上，對(duì)生產(chǎn)運(yùn)行涉及的事件管

理、問題管理、變更管理、數(shù)據(jù)管理、系統(tǒng)管理、網(wǎng)絡(luò)管理、機(jī)房

管理等流程進(jìn)行全面梳理，明確主要風(fēng)險(xiǎn)點(diǎn)和薄弱環(huán)節(jié)，制定有效

的風(fēng)險(xiǎn)防范或者緩釋策略；持續(xù)完善變更風(fēng)險(xiǎn)管理策略，加強(qiáng)變更

流程的審核和控制，有效降低變更操作風(fēng)險(xiǎn)；完善生產(chǎn)數(shù)據(jù)備份

策略，建立備份數(shù)據(jù)驗(yàn)證環(huán)境，提高數(shù)據(jù)安全保障能力。

3、在開辟測試、維護(hù)和項(xiàng)目投產(chǎn)風(fēng)險(xiǎn)管理策略上，推廣使用

代碼檢測技術(shù)和漏洞測試工具，加強(qiáng)項(xiàng)目需求與設(shè)計(jì)階段的安全評(píng)

審，建立重要信息系統(tǒng)變更投產(chǎn)前的風(fēng)險(xiǎn)評(píng)估機(jī)制，有效提升軟件

開辟和項(xiàng)目投產(chǎn)風(fēng)險(xiǎn)管控水平。

4、在外包風(fēng)險(xiǎn)管理策略上，完善外包合同協(xié)議的風(fēng)險(xiǎn)審核機(jī)

制。初步建立外包實(shí)施過程中的操作安全、數(shù)據(jù)保密、人員變更等

風(fēng)險(xiǎn)防范策略，制定外包突發(fā)事件應(yīng)急預(yù)案，防范供應(yīng)商服務(wù)中斷

或者異常退出風(fēng)險(xiǎn)。

（二）探索建立業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)防范策略

著手建立業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)防范規(guī)范、制度和流程，定期進(jìn)行

業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險(xiǎn)分析，及時(shí)發(fā)現(xiàn)、修正業(yè)務(wù)操作過程、交易流

程、操作權(quán)限等的風(fēng)險(xiǎn)隱患和漏洞。

三、初步構(gòu)建風(fēng)險(xiǎn)控制層面“三重控制”

（一）初步構(gòu)建事前評(píng)估識(shí)別機(jī)制

1、初步構(gòu)建信息科技風(fēng)險(xiǎn)評(píng)估平臺(tái)。建立信息科技風(fēng)險(xiǎn)控制

基線，制定信息分級(jí)與保護(hù)、系統(tǒng)開辟測試和維護(hù)、信息科技運(yùn)行

和維護(hù)、訪問控制、物理安全、人員安全、業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急

處置等的風(fēng)險(xiǎn)評(píng)估規(guī)范，初步構(gòu)建內(nèi)部評(píng)估和外部評(píng)估相結(jié)合的常

態(tài)化信息科技風(fēng)險(xiǎn)評(píng)估、識(shí)別機(jī)制，初