第一篇：信息科技風險管理辦法（最終版）

XXXX銀行信息科技風險管理辦法 總則

為XXXX銀行有效防范銀行運用信息系統進行業務處理、經營管理和內部控制過程中產生的風險，促進我行各項業務安全、持續、穩健運行，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《商業銀行信息科技風險管理指引》、《營口沿海銀操作風險管理指引》，以及國家信息安全相關要求和有關法律法規，制定本管理辦法。

本管理辦法所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在我行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。本管理辦法所稱信息科技風險，是指信息科技在我行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

信息科技風險管理的目標是通過建立有效的機制，實現對我行信息科技風險的識別、計量、監測和控制，促進我行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。機構職責

根據我行信息科技治理的要求，法定代表人是本機構信息科技風險管理的第一責任人，負責組織本管理辦法的貫徹落實, 董事會應履行以下信息科技管理職責： 遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實中國銀行業監督管理委員會（以下簡稱銀監會）相關監管要求。審查批準信息科技戰略，確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。

規范職業道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識。

設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。

在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設，建立人才激勵機制。確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。每年審閱并向銀監會及其派出機構報送信息科技風險管理的年度報告。確保信息科技風險管理工作所需資金。

確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓。

確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢查的要求，防范跨境風險。及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件，按相關預案快速響應。

配合銀監會及其派出機構做好信息科技風險監督檢查工作，并按照監管意見進行整改。履行信息科技風險管理其他相關工作。

我行應設立分管信息科技的副行級領導，直接向行長匯報，并參與決策。副行級領導的職責包括：

直接參與本銀行與信息科技運用有關的業務發展決策。確保信息科技戰略，尤其是信息系統開發戰略，符合本銀行的總體業務戰略和信息科技風險管理策略。

負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一個內設機構和分支機構。

組織專業培訓，提高人才隊伍的專業技能。 履行信息科技風險管理其他相關工作。

科技部負責我行信息安全、信息系統開發、測試和維護、信息科技運行、業務連續性管理；應對內部管理職責進行明確的界定，各崗位的人員應具有相應的專業知識和技能，重要崗位應制定詳細完整的工作手冊并適時更新，并對相關人員采取相關的風險防范措施： 驗證個人信息，包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。審核信息科技員工的道德品行，確保其具備相應的職業操守。

確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求，并同員工簽訂相關協議。評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發生變化后及時變更相關信息。

運營管理部職能交叉，要部門協調是信息系統中涉及賬務交易的操作、系統參數變更、事件管理的主要部門。運營管理部的職責包括：

運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬件、數據進行維護，除應急外，其他維護應在非工作時間進行。

制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息。

提供機房環境、設備使用、網絡運行、系統運行職能交叉，要部門協調等監控信息。記錄運行值班過程中所有現象、操作過程等信息日志。對軟件或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過柜員終端，不得對數據庫進行直接操作；

具備各種詳細的日志信息，包括交易日志和審計日志等，以便維護和審計。提供維護的統計和報表打印功能。對系統參數等設置變更、維護的要求：

應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取權限、方式和授權使用范圍，嚴格審批和登記手續。制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，并遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；

根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性。職能交叉，要部門協調

應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。

實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報并處理，必要時啟動應急處理預案。

風險管理部負責信息科技風險管理工作，并直接向分管行領導（風險管理委員會）報告工作。該部門應為信息科技突發事件應急響應小組的成員之一，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件的發生。風險管理部的職責包括： 擬定信息系統風險管理總體政策，并提交高級管理層審查、審批。會同相關業務部門對信息系統風險進行識別、監測； 審核信息系統風險狀況。對總行相關業務部門和分支機構信息系統風險狀況及維護、運行情況進行監測，并進行實時報告。

組織新投產后信息系統的后評價，并識別、評估新信息系統中所包含的風險，審核相應的操作和風險管理程序。

稽核審計部應在部門設立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計?；藢徲嫴控撠熚倚行畔⑾到y審計任務，也可聘請經國家相應監管部門認定資質的中介機構進行信息系統外部審計。信息科技風險管理

我行應制定全面的信息科技風險管理策略，包括但不限于下述領域： 信息分級與保護。

信息系統開發、測試和維護。信息科技運行和維護。訪問控制。物理安全。人員安全。

業務連續性計劃與應急處置。

我行應制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別（包括外包供應商、產品供應商和服務商）。

我行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：

制定明確的信息科技風險管理制度、技術標準和操作規程等，定期進行更新和公示。

確定潛在風險區域，并對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便于檢查和平衡風險；定義每個業務級別的控制內容，包括： 最高權限用戶的審查。

控制對數據和系統的物理和邏輯訪問。

訪問授權以“必需知道”和“最小授權”為原則。審批和授權。驗證和調節。

我行應建立持續的信息科技風險計量和監測機制，其中應包括： 建立信息科技項目實施前及實施后的評價機制。建立定期檢查系統性能的程序和標準。

建立信息科技服務投訴和事故處理的報告機制。

建立內部審計、外部審計和監管發現問題的整改處理機制。

安排供應商和業務部門對服務水平協議的完成情況進行定期審查。定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。定期進行運行環境下操作風險和管理控制的檢查。定期進行信息科技外包項目的風險狀況評價。信息安全

科技部負責建立和實施信息分類和保護體系，應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程。

科技部應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。信息安全策略應涉及以下領域： 安全制度管理。信息安全組織管理。資產管理。人員安全管理。

物理與環境安全管理。通信與運營管理。訪問控制管理。

系統開發與維護管理。信息安全事故管理。業務連續性管理。合規性管理。

應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開我行時，應在系統中及時檢查、更新或注銷用戶身份。

應確保設立物理安全保護區域，包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區域，明確相應的職責，采取必要的預防、檢測和恢復控制措施。應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。

域內應用程序和用戶組的重要程度。各種通訊渠道進入域的訪問點。

域內配置的網絡設備和應用程序使用的網絡協議和端口。性能要求或標準。

域的性質，如生產域或測試域、內部域或外部域。不同域之間的連通性。域的可信程度。

應通過以下措施，確保所有計算機操作系統和系統軟件的安全：

制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要求。

明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。制定最高權限系統賬戶的審批、驗證和監控流程，并確保最高權限用戶的操作日志被記錄和監察。要求技術人員定期檢查可用的安全補丁，并報告補丁管理狀態。在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監控情況。應通過以下措施，確保所有信息系統安全：

明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。針對信息系統的重要性和敏感程度，采取有效的身份驗證方法。加強職責劃分，對關鍵或敏感崗位進行雙重控制。在關鍵的接合點進行輸入驗證或輸出核對。

采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

確保系統按預先定義的方式處理例外情況，當系統被迫終止時向用戶提供必要信息。以書面或電子格式保存審計痕跡。

要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。

應制定相關策略和流程，管理所有生產系統的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、不同的計算機和網絡設備上完成，日志劃分為兩大類： 交易日志。交易日志由應用軟件和數據庫管理系統產生，內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成，內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定，但不能少于一年。

應保證交易日志和系統日志中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定，并報信息科技管理委員會批準。

應采取加密技術，防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險，并建立密碼設備管理制度，以確保：

使用符合國家要求的加密技術和加密設備。

管理、使用密碼設備的員工經過專業培訓和嚴格審查。加密強度滿足信息機密性的要求。

制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

配備切實有效的系統，確保所有終端用戶設備的安全，并定期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數字助理（PDA）等。

制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。

對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容忍政策。信息系統開發、測試和維護

應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內，組織對系統的后評價，并根據評價結果及時對系統功能進行調整和優化。應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成本，并采取適當的項目管理方法，控制信息科技項目相關的風險。

采取適當的系統開發方法，控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜度。

制定相關控制信息系統變更的制度和流程，確保系統的可靠性、完整性和可維護性，其中應包括以下要求：

生產系統與開發系統、測試系統有效隔離。

生產系統與開發系統、測試系統的管理職能相分離。除得到管理層批準執行緊急修復任務外，禁止應用程序開發和維護人員進入生產系統，且所有的緊急修復活動都應立即進行記錄和審核。

將完成開發和測試環境的程序或系統配置變更應用到生產系統時，應得到信息科技部門和業務部門的聯合批準，并對變更進行及時記錄和定期復查。

制定并落實相關制度、標準和流程，確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性。

建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和說明，并通知相關人員。信息科技運行

在選擇數據中心的地理位置時，應充分考慮環境威脅（如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路），采取物理控制措施，監控對信息處理設備運行構成威脅的環境狀況，并防止因意外斷電或供電干擾影響數據中心的正常運行。

嚴格控制第三方人員（如服務供應商）進入安全區域，如確需進入應得到適當的批準，其活動也應受到監控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調查。應將信息科技運行與系統開發和維護分離，確保信息科技部門內部的崗位制約；對數據中心的崗位和職責做出明確規定。

按照有關法律法規要求保存交易記錄，采取必要的程序和技術，確保存檔數據的完整性，滿足安全保存和可恢復要求。

制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執行步驟，以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求（即備份的頻率、范圍和保留周期）。建立事故管理及處置機制，及時響應信息系統運行事故，逐級向相關的信息科技管理人員報告事故的發生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。我行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

建立服務水平管理相關的制度和流程，對信息科技運行服務水平進行考核。

建立連續監控信息系統性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統性能造成影響前對其進行識別和修正。制定容量規劃，以適應由于外部環境變化產生的業務發展和交易量增長。容量規劃應涵蓋生產系統、備份系統及相關設備。及時進行維護和適當的系統升級，以確保與技術相關服務的連續可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性維護記錄），以確保有效維護設備和設施。制定有效的變更管理流程，以確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，由信息科技部門和業務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的修正以取代緊急變更。業務連續性管理

根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務；定期對規劃進行更新和演練，以保證其有效性。評估因意外事件導致其業務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：

內外部資源的故障或缺失（如人員、系統或其他資產）。信息丟失或受損。

外部事件（如戰爭、地震或臺風等）。

應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性，并通過應急安排和保險等方式降低影響。

建立維持其運營連續性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

規范的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于: 資源需求（如人員、系統和其他資產）以及獲取資源的方式。運行恢復的優先順序。

與內部各部門及外部相關各方（尤其是監管機構、客戶和媒體等）的溝通安排。更新實施業務連續性計劃的流程及相關聯系信息。驗證受中斷影響的信息完整性的步驟。

當我行的業務或風險狀況發生變化時，對本條一到三進行審核并升級。

我行的業務連續性計劃和年度應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。外包與審計 外包

不得將我行信息科技管理責任外包，應合理謹慎監督外包職能的履行。

實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。

在簽署外包協議或對外包協議進行重大變更前，應做好相關準備，其中包括：

分析外包是否適合我行的組織結構和報告路線、業務戰略、總體風險控制，是否滿足我行履行對外包服務商的監督義務。

考慮外包協議是否允許我行監測和控制與外包相關的操作風險。

充分審查、評估外包服務商的財務穩定性和專業經驗，對外包服務商進行風險評估，考查其設施和能力是否足以承擔相應的責任。

考慮外包協議變更前后實施的平穩過渡（包括終止合同可能發生的情況）。

關注可能存在的集中風險，如多家我行共用同一外包服務商帶來的潛在業務連續性風險。在與外包服務商合同談判過程中，應考慮的因素包括但不限于： 對外包服務商的報告要求和談判必要條件。

銀行業監管機構和內部審計、外部審計能執行足夠的監督。

通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息和其他信息。擔保和損失賠償是否充足。

外包服務商遵守我行有關信息科技風險制度和流程的意愿及相關措施。外包服務商提供的業務連續性保障水平，以及提供相關專屬資源的承諾。第三方供應商出現問題時，保證軟件持續可用的相關措施。

變更外包協議的流程，以及我行或外包服務商選擇變更或終止外包協議的條件，例如： 我行或外包服務商的所有權或控制權發生變化。我行或外包服務商的業務經營發生重大變化。

外包服務商提供的服務不充分，造成我行不能履行監督義務。

在實施雙方關系管理，以及起草服務水平協議時，應考慮的因素包括但不限于：

提出定性和定量的績效指標，評估外包服務商為我行及其相關客戶提供服務的充分性。通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。針對績效不達標的情況調整流程，采取整改措施。加強信息科技相關外包管理工作，確保我行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。

按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。要求外包服務商保證其相關人員遵守保密規定。

應將涉及本銀行客戶資料的外包作為重要外包，并告知相關客戶。

嚴格控制外包服務商再次對外轉包，采取足夠措施確保我行相關信息的安全。確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。我行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協議的意外終止。我行所有信息科技外包合同應由科技部、風險管理部、法律合規部和信息科技管理委員會審核通過。我行應設立流程定期審閱和修訂服務水平協議。審計

我行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測?；藢徲嫴块T應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于我行的日常活動，具有適當的授權訪問我行的記錄。我行內部信息科技審計的責任包括：

制定、實施和調整審計計劃，檢查和評估我行信息科技系統和內控機制的充分性和有效性。按照第一款規定完成審計工作，在此基礎上提出整改意見。檢查整改意見是否得到落實。

執行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。

我行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。我行在進行大規模系統開發時，應要求信息科技風險管理部門和內部審計部門參與，保證系統開發符合本銀行信息科技風險管理標準。我行可以在符合法律、法規和監管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。

在委托審計過程中，我行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查，以發現信息科技存在的風險，國家法律、法規及監管部門規章、規范性文件規定的重要商業、技術保密信息除外。

我行在實施外部審計前應與外部審計機構進行充分溝通，詳細確定審計范圍，不應故意隱瞞事實或阻撓審計檢查。

銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對我行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委托或授權對我行進行審計時，應出示委托授權書，并依照委托授權書上規定的范圍進行審計。外部審計機構根據授權出具的審計報告，經銀監會及其派出機構審閱批準后具有與銀監會及其派出機構出具的檢查報告同等的效力，被審計的我行應根據該審計報告提出整改計劃，并在規定的時間內實施整改。

我行在委托外部審計機構進行外部審計時，應與其簽訂保密協議，并督促其嚴格遵守法律法規，保守本銀行的商業秘密和信息科技風險信息，防止其擅自對本銀行提供的任何文件進行修改、復制或帶離現場。附則

本辦法由營口沿海銀風險管理部負責解釋和修訂。

第二篇：村鎮銀行信息科技風險管理辦法

村鎮銀行信息科技風險管理辦法

（征求意見稿）

第一章 總 則

第一條 為加強村鎮銀行信息科技風險管理，確?？萍俭w系持續穩定運轉，根據《商業銀行信息科技風險管理指引》等有關法律、法規，制定本辦法。

第二條 信息科技風險管理是通過建立有效機制，實現對銀行信息系統風險的識別、計量、評價、預警和控制，推動村鎮銀行業務創新，提高信息化管理水平，保障村鎮銀行業務持續平穩發展。

第二章 信息科技風險管理組織架構

第三條 信息科技風險是指信息系統在規劃、研發、建設、運行、維護、監控及退出過程中由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

第四條

發起行科技信息中心是村鎮銀行信息科技風險的主要管理部門，發起行科技信息中心有以下信息科技風險管理的權限和職責：

（一）建立有效的信息科技風險管理管理架構，完善內部組織結構和工作機制，防范和控制信息科技風險管理；

（二）貫徹執行國家有關信息系統相關法律、法規和技術標準，落實人民銀行和銀監會相關監管要求；

（三）履行村鎮銀行信息系統的規劃、研發、建設、運行、維護和管理職責，建立、健全村鎮銀行信息科技風險管理相關規章、制度，并嚴格執行；

（四）負責村鎮銀行信息系統的規劃、研發、建設、運行、維護和監控等工作，提供村鎮銀行信息系統日常信息服務和運行技術支持；

（五）負責指導和監督村鎮銀行科技部門落實有關信息科技風險管理的各項規章制度；

（六）發起行科技信息中心安全科是村鎮銀行信息科技風險管理的牽頭部門,發起行科技信息中心各科室按其職責范圍承擔相應工作。

第三章 信息科技風險具體控制要求

第五條 信息科技總體風險點是指信息系統在策略、制度、機房、軟件、硬件、網絡、數據、文檔等方面影響全局或共有的風險。包括以下風險點：

（一）缺少信息系統風險管理策略；

（二）自然災害、運行環境變化；

（三）信息系統相關規章制度、技術規范、操作規程不完善；

（四）信息安全標準化工作不符合國家相關規定；

（五）缺乏信息安全風險評估機制；

（六）數據中心機房物理安全；

（七）使用盜版軟件及自有成果的知識產權保護；

（八）電子設備自身運行；

（九）主機與網絡運行；

（十）網絡安全；

（十一）密碼安全；

（十二）數據加密安全；

（十三）信息系統配置參數管理；

（十四）數據管理；

（十五）突發事件響應；

（十六）信息系統故障導致影響銀行信譽；（十七）網上銀行安全。

第六條 信息系統總體風險控制措施：

（一）根據村鎮銀行信息系統總體規劃，在村鎮銀行風險管理政策指引下，制定明確、持續的信息系統風險管理策略，根據信息系統的等級保護級別對信息系統進行分析和評估，并實施有效的風險控制；

（二）建立同城信息系統災備中心實現運行環境備份，防止各類突發事故和惡意攻擊事件造成不良后果；

（三）建立健全相關信息科技制度，明確信息系統相關人員的職責權限，建立制約機制，實行最小授權；

（四）嚴格執行國家信息安全相關標準，參照有關國際準則，積極推進信息安全標準化，開展信息安全等級保護等相關工作；

（五）加強對信息系統的風險評估，及時對風險點進行修補和完善，以保證信息系統的安全性和完整性；

（六）信息系統數據中心機房建設時嚴格參照國家有關計算機場地、環境、供配電等技術標準，數據中心機房實行嚴格的門禁管理措施，未經授權不得進入；

（七）加強知識產權保護，使用正版軟件，加強軟件版本管理；積極研發具有自主知識產權的信息系統和相關金融產品，并采取有效措施保護村鎮銀行信息化成果；

（八）嚴格執行與銀行信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標準。信息系統所用的服務器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當數量的備品、備件；

（九）嚴格參照相關標準和規范設計、建設信息系統網絡；網絡設備應兼備技術先進性和產品成熟性；關鍵網絡設備和線路應有冗余備份；嚴格線路租用合同管理，按照業務和交易流量要

求保證傳輸帶寬；監測和管理通信線路及網絡設備，保障網絡安全穩定運行；

（十）加強網絡安全管理。嚴格網絡邊界控制，使用各種技術手段降低外部攻擊、信息泄漏等風險；

（十一）加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度；

（十二）加強數據采集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的管理；優化系統和數據庫安全設置，嚴格按授權使用信息系統和數據庫，采用適當的數據加密技術以保護敏感數據的傳輸和存取，以保證數據的完整性、保密性；

（十三）對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取權限、方式和授權使用范圍，并嚴格審批和登記手續；

（十四）制定信息系統相關應急預案，并定期進行演練、評審和修訂；

（十五）加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本并異地存放，按規定年限保存，調用時應嚴格授權管理；

（十六）在信息系統可能影響客戶服務時，及時通知業務部門，以便以適當方式告知客戶；

（十七）采取有效技術措施，切實加強網上銀行信息安全保

障。加強網銀用戶身份認證管理，與業務部門密切配合，逐步對所有網上銀行高風險賬戶操作統一使用雙重身份認證。積極研發和應用各類維護網上銀行使用安全的技術和手段，保證安全技術和管理水平能夠持續適應網上銀行業務發展的安全要求。

第七條

信息科技研發風險的操作風險點是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。包括以下風險點：

（一）信息系統項目研發管理；

（二）信息系統項目開發人員外包；

（三）信息系統項目需求不明確；

（四）信息系統測試不規范或不完善；

（五）信息系統應用推廣；

（六）信息系統測試發現的軟件缺陷；

（七）信息系統項目文檔管理；

（八）信息系統項目驗收。

第八條

信息科技研發風險具體控制要求：

（一）一般項目研發成立項目工作小組，重大項目還應成立項目領導小組，并指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作；

（二）項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力，保證信息

系統研發質量和進度；

（三）項目組根據業務部門項目需求編制項目功能說明書，依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求；

（四）軟件研發必須建立獨立的測試環境，以保證測試的完整性和準確性。一般測試應包括功能測試、安全性測試、壓力測試、驗收測試等，測試不得直接使用生產數據；

（五）研發人員必須根據測試結果修補信息系統的功能和缺陷，提高信息系統的整體質量；

（六）根據職責范圍配合業務人員分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，并進行演練；

（七）開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認并歸檔保存；

（八）軟件開發項目必須進行嚴格的項目驗收流程，項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投入使用。

第九條 信息科技運行維護風險的操作風險點是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。包括以下風險點：

（一）人為因素導致信息系統運行故障；

（二）運行管理不完善；

（三）信息系統日常變更；

（四）新建信息系統運行；

（五）機房環境變化；

（六）信息系統故障報告程序。

第十條 信息科技運行維護風險具體控制要求：

（一）信息系統運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。對生產狀態的軟硬件、數據進行維護應符合授權和維護規程要求；

（二）相關信息系統運行維護人員嚴格按照信息系統管理制度及維護手冊運行及維護信息系統。對軟件或數據的維護必須通過上級審批、授權后方可進行；

（三）制訂嚴格的信息系統變更處理流程，明確變更流程中各崗位的職責分工，并遵循流程實施控制和管理；

（四）在信息系統投產后一定時期內，應配合業務部門，積極參與組織對系統的后評價，根據評價及時對系統功能進行調整和優化；

（五）對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案；

（六）實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報并處理，必要時啟動應急處理預案。

第十一條

信息科技外包風險的操作風險點外包風險是指

銀行將信息系統的規劃、研發、建設、運行、維護、監控等委托給業務合作伙伴或外部技術供應商時形成的風險。包括以下風險點：

（一）信息科技外包需求控制風險；

（二）信息科技外包承包方合作風險；

（三）信息科技外包項目商業風險；

（四）信息科技外包項目安全風險；

（五）信息科技外包項目質量風險；

（六）信息科技外包項目風險管理；

（七）信息科技外包項目責任風險；（入）信息科技外包項目監控風險。

第十二條 信息科技外包風險具體控制要求：

（一）在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全相關規章制度，制定相應的風險防范措施；

（二）建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，并進行必要的盡職情況調查。評估工作可委托具有國家相應監管部門認定資質、具有相關專業經驗的獨立機構完成；

（三）與承包方簽訂書面合同，明確雙方的權利、義務，并規定承包方在安全、保密、知識產權方面的義務和責任；

（四）充分認識外包服務對信息系統風險控制的直接和間接

影響，并將其納入總體安全策略和風險控制之中；

（五）建立完整的信息系統外包風險評估與檢測程序，審查管理外包產生的風險，提高本機構的外包管理的能力；

（六）信息系統外包風險管理應符合風險管理標準和策略，并建立針對信息系統外包風險的應急計劃；

（七）與信息系統外包承包方建立有效的聯絡、溝通和信息交流機制，并制定在意外情況下能夠實現承包方的順利變更辦法，保證信息系統外包服務不間斷的應急預案；

（八）對信息系統外包承包方進行持續的監控。

第四章 附 則

第十三條 各支行可依據本辦法，結合本單位實際情況，制定具體實施細則。

第十四條 本辦法由村鎮銀行負責解釋和修訂。第十五條 本規定自印發之日起施行。

第三篇：信息科技風險報告 - 副本

信息科技風險自查報告

按照上級領導的指示，認真貫徹《XX通知》（XX文件）精神，為充分做好重要時期金融網絡和信息系統安全保障工作，防范信息科技風險，保障計算機系統運行和操作安全，建立和完善信息科技風險管理機制。對信息科技工作進行了一次全面的自我評估及審查?，F將審查情況報告如下：

一、組織架構、制度建設及管理情況

1、信息科技治理組織架構

信息系統應急處理領導小組負責組織制定全轄應急處置的實施細則，統一組織、協調、指導、檢查全轄應急處置的管理；負責全轄信息系統突發事件的應急指揮、組織協調和過程控制

成立了信息科技部，加強了信息科技管理。

2、信息科技管理制度建設（1）安全管理

對安全管理活動中的各類管理內容建立安全管理制度，制定了《南樂縣農村信用社計算機信息系統安全管理制度》等，并且及時發現缺漏或不足對制度進行修訂。

（2）應急處理

建立較為完善的信息計算機信息系統管理辦法，制定中心機房關鍵基礎設施專項應急預案。

二、信息系統的技術措施情況

1、物理和環境建設

（1）機房的物理訪問控制：機房實現門禁控制，嚴防外部人員進入機房擅自操作。

（2）系統密碼均由專門人員掌管，計算機終端無人看管時鎖定；

（3）機房采用集中監控，監控清晰全面，參數實行24小時不間斷監控，崗位人員具備管理監控專業素質。

（4）機房供電系統均采用雙路UPS供電，線路冗余性好，負載能力強，完全能夠滿足機房電力需求。

（5）機房空調系統的有效性和冗余性，給排風系統的有效性：機房空調系統安全有效，給排風系統工作正常。

（6）中心機房有配套防盜竊、防雷、防火、防水、防靜電、溫濕度控制、電磁保護等措施，確保機房正常運轉。

2、網絡服務連續性、冗余性

1.所有重要通信線路均有備份線路且采用不同運營商，確保網絡無斷點。

2.網絡設備的冗余性：網絡設備均有備份。核心網絡設備，核心生產系統設備均采用雙機熱備，確保關鍵生產設備運行的可靠性。

3.訪問線路的帶寬完全能夠滿足各信息系統的帶寬需求，無網絡擁塞現象。

4.網絡設備管理配置均由專人分管負責，確保合理操作，保障網絡通暢、安全；

3、應用安全

1.業務應用系統的用戶授權及鑒別認證措施

業務應用系統用戶密碼相關業務人員各自保管，通過操作號和密碼進行身份鑒別認證。人員離開時應設置屏幕密碼保護或退出到登陸狀態。

2.業務應用系統的用戶訪問控制

系統軟件用戶訪問實現權限控制，各級人員只能進行權限內操作

三、不足和改進方法

需將管理與技術相結合，進一步加強信息安全管理手段

1、從IT風險管理手段來看，部分系統的風險控制不夠先進，缺乏專業的風險技術支持，事前預防作用有限，事中控制不夠。缺乏對科技風險的集中審計。

2、從組織上保證信息風險有具體人員來承擔責任，強化執行力和合規性。將日常信息風險管理從傳統的檢查模式逐步過渡到基于評估、規劃、執行和監督全面循環改進的模式。制訂詳細的信息科技風險管理架構，確立信息服務管理與信息風險管理的關系，明確信息風險管理的范圍、職責，制訂符合信用社實際情況的管理流程，出臺可操作性強的安全技術規范，從而有效地防范科技風險。

第四篇：信息科技風險自查報告

信息科技自查報告

按照上級領導的指示，我行認真貫徹精神，為充分做好重要時期金融網絡和信息系統安全保障工作，防范我行信息科技風險，保障計算機系統運行和操作安全，建立和完善信息科技風險管理機制。對我行的信息科技工作進行了一次全面的自我評估及審查?，F將審查情況報告如下：

一、設備間建設規范和管理規范

（1）設備間安裝了溫濕度儀表，以用來監控機房溫度和濕度，并能夠及時開啟控溫控濕設備來保證機房的溫度和濕度。

（2）設備間每周由網點經理或支行行長來對設備間的環境狀況進行檢查，并登記成冊，以確保設備間保持整潔和規范。

（3）設備間嚴格控制出入人員，并保證營業網點外來人員有相關證件登記。

（4）支行技術人員每年一次對設備間的主要設備進行巡檢，確保設備能夠正常使用，并在相關登記本上記錄。

二、應急管理和終端安全

（1）支行會不定期對一些預案進行檢查，確保這些預案是最新的，且告知網點人員張貼在需要的地方。

（2）支行每年會抽取一定的網點人員進行培訓和演練，并書寫心得和體會，確保網點人員能夠正確的應對突發狀況。

（3）支行每月會不定期的抽查相關電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開通ADSL等違規的網絡。

第五篇：信息科技風險管理經驗交流

額敏縣農村信用合作聯社

信息科技風險管理經驗交流

塔城地區銀監分局：

根據塔城地區銀監分局《關于召開2011年塔城地區銀行業金融機構信息科技風險管理聯席會議的通知》要求，現將和額敏縣農村信用合作聯社信息科技風險管理情況匯報如下：

一、信息科技風險管理基本情況

為提高安全管理意識，充分認識信息科技風險管理工作的重要性，建立了一把手負責制，明確信息科技風險管理的職責權限，逐級落實信息科技管理責任，嚴格事故追究責任制。成立了以聯社理事長為組長、領導班子成員為副組長、各相關部門及營業網點主任為成員的信息科技工作領導小組，制定了信息科技應急處置預案，明確了因信息科技風險導致營業網點發生業務故障時，聯社各相關部門需采取的措施和步驟，提高了對信息科技風險的預防和處置能力。

2009年10月，自治區聯社鑒于各縣級聯社信息科技風險管理技術力量薄弱，管控能力較差等情況，以地區為單位成立了科技分中心，對各聯社信息科技工作和部分重要設備統一進行管理，并每季對網點進行一次科技風險管理巡檢。

二、聯社信息科技應用情況

（一）網絡情況。目前我社各網點均通過租用電信公司專線與直接與塔城地區科技分中心相聯，業務專線與因特網物理隔離，可以有效的防止了網絡不法分子對我社業務網絡

攻擊和破壞。對部分重要的網絡設備、參數（如網點路由器）由地區科技分中心進行備份。

目前我社網點全部建立了電話線路備份，如網點專線出現故障，通過向地區科技分中心申請后，可以使用電話備份線路辦理業務。

（二）生產環境。為提高農村信用社的業務發展，增強業務處理能力，自治區農村信用社使用了數據集中模式，數據集中到自治區聯社科技中心。各項應用系統的維護、數據備份等由自治區科技中心操作。

（三）科技管理。

我社所有電腦均安裝網絡版殺毒軟件，并及時進行更新，防止病毒傳播和有害程序注入，保證了網點和機關各部門的電腦穩定安全運行。

三、存在的問題

由于縣聯社沒有專職或兼職科技管理人員，對縣聯社的新業務軟件上線，軟硬件的日常維護，科技分中心距離縣聯社較遠，技術支掙不是很方便。如網點線路關鍵設備發生故障，不能迅速排除故障，可能造成網點停業時間較長。

今后我社將在自治區聯社的領導下，在地區銀監局的正確監管下，加強信息科技風險防范，努力提高信息科技防范工作力度，做好對敏感信息的保護和應急能力建設，確保我社信息科技工作穩定、安全發展。

額敏縣農村信用合作聯社

二〇一一年四月二十六日