第一篇:銀行科技風(fēng)險(xiǎn)問題
隨著銀行業(yè)信息化建設(shè)步伐的加快,信息科技不斷為各項(xiàng)業(yè)務(wù)發(fā)展注入活力,其作用從業(yè)務(wù)保障正逐步走向與業(yè)務(wù)深度融合,并逐步成為農(nóng)信社各項(xiàng)業(yè)務(wù)穩(wěn)健運(yùn)營(yíng)和發(fā)展的重要支柱。在充分享受信息科技帶來的便捷和高效的同時(shí),我們也清楚的認(rèn)識(shí)到,農(nóng)信社的信息科技風(fēng)險(xiǎn)管理尚不完善,需將風(fēng)險(xiǎn)管理作為重點(diǎn)進(jìn)行防控。
信息科技風(fēng)險(xiǎn)管理存在的問題
信息科技風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過程中,由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。信息科技管理架構(gòu)、信息安全體系、業(yè)務(wù)連續(xù)能力、合規(guī)與風(fēng)險(xiǎn)控制等多元化的風(fēng)險(xiǎn)范疇影響著農(nóng)信社的日常經(jīng)營(yíng)管理。
首先是信息科技風(fēng)險(xiǎn)管理組織未能履行職責(zé)。雖然各農(nóng)村信用社均成立了信息安全管理領(lǐng)導(dǎo)小組、信息科技風(fēng)險(xiǎn)管理委員會(huì),但大多數(shù)并未真正實(shí)施起信息科技風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)決策職責(zé);年度的信息科技風(fēng)險(xiǎn)評(píng)估往往是做為一項(xiàng)自查進(jìn)行,風(fēng)險(xiǎn)管理崗位人員均為兼職,風(fēng)險(xiǎn)評(píng)估時(shí)只為走形式,評(píng)估發(fā)現(xiàn)的問題僅為表面不涉及本質(zhì)。
其次是信息科技風(fēng)險(xiǎn)管理制度不完善。部分信用社沒有制定專門的風(fēng)險(xiǎn)管理制度,只是作為某制度的一部分,操作性不強(qiáng),缺乏具體的風(fēng)險(xiǎn)管控措施,不能對(duì)風(fēng)險(xiǎn)進(jìn)行有效的識(shí)別、監(jiān)測(cè)和控制。即便制定了制度,但落實(shí)不到位,也不能很好的實(shí)施制度的約束性。
第三是信息科技風(fēng)險(xiǎn)防范意識(shí)淡薄。農(nóng)信社只注重業(yè)務(wù)發(fā)展,只對(duì)存款、利息等數(shù)字敏感,提及信息科技就嗤之以鼻,認(rèn)為科技部門屬于服務(wù)部門,上至高層領(lǐng)導(dǎo)的決策管理,下至每位臨柜人員的業(yè)務(wù)操作,廣大員工對(duì)信息科技風(fēng)險(xiǎn)防范的重要性置若罔聞,未產(chǎn)生人人有責(zé)的共鳴。
系統(tǒng)災(zāi)備及應(yīng)急預(yù)案存在缺陷
農(nóng)信社的應(yīng)急預(yù)案缺乏實(shí)戰(zhàn)操作。雖然制定了應(yīng)急預(yù)案,但實(shí)戰(zhàn)演練不到位,壓力測(cè)試可能從未進(jìn)行過,信息科技安全防范不具實(shí)效性,不能有效提高風(fēng)險(xiǎn)預(yù)警能力。信息科技突發(fā)事件處置包括技術(shù)、聲譽(yù)、業(yè)務(wù)等,涵蓋面大,在進(jìn)行預(yù)案演練時(shí),統(tǒng)一指揮、協(xié)調(diào)存在一定困難,只注重技術(shù)支持,忽視其它相關(guān)方面的配合。
系統(tǒng)災(zāi)備不夠全面。數(shù)據(jù)集中后,部分農(nóng)信社只對(duì)重要信息系統(tǒng)進(jìn)行災(zāi)備,忽視各應(yīng)用系統(tǒng)的備份機(jī)制,甚至不做要求。此外,不能定期對(duì)災(zāi)備數(shù)據(jù)進(jìn)行有效性檢測(cè),即使檢測(cè),也不是在生產(chǎn)環(huán)境中,未能達(dá)到檢測(cè)效果。
基礎(chǔ)設(shè)施不過硬。部分信用社的信息科技風(fēng)險(xiǎn)系統(tǒng)運(yùn)行存在隱患,供電、空調(diào)、接地防雷和消防等基礎(chǔ)設(shè)施配備不足,即使配備不間斷電源,但信用社網(wǎng)點(diǎn)設(shè)置多在農(nóng)村,電池存量不能保證足夠長(zhǎng)時(shí)間;農(nóng)村網(wǎng)點(diǎn)對(duì)電子設(shè)備缺乏清潔、保養(yǎng),大大影響設(shè)備的使用效果和使用壽命;主、備通訊線路不能做到全部暢通,未能對(duì)備線進(jìn)行定期測(cè)試,一旦主線出現(xiàn)問題,營(yíng)業(yè)就會(huì)受到影響,存在潛在的風(fēng)險(xiǎn)。
信息科技專業(yè)人才匱乏
科技人員力量薄弱。信息科技管理部門人員配備不足,人員數(shù)量與網(wǎng)點(diǎn)、設(shè)備數(shù)量不匹配,崗位設(shè)置不夠精細(xì)化,一身兼數(shù)職現(xiàn)象嚴(yán)重,AB崗制度難以落實(shí);關(guān)鍵崗位輪換、強(qiáng)制休假等制度形同虛設(shè),僅做表面文章,崗多人少不能進(jìn)行有效的監(jiān)督約束。
科技人員知識(shí)水平弱勢(shì)。農(nóng)村信用社缺乏高素質(zhì)、專業(yè)的系統(tǒng)設(shè)計(jì)、開發(fā)人才;科技人員武裝的知識(shí)不能適應(yīng)當(dāng)前業(yè)務(wù)拓展和IT水平發(fā)展的需要,缺乏系統(tǒng)的專業(yè)知識(shí)和信息科技風(fēng)險(xiǎn)知識(shí)培訓(xùn),各農(nóng)村單位間缺乏交流;大部分科技人員還存在錯(cuò)誤觀念,認(rèn)為科技風(fēng)險(xiǎn)就是保證系統(tǒng)、網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn),忽視了各條線的風(fēng)險(xiǎn)排查,在風(fēng)險(xiǎn)防范上存在誤區(qū)和盲區(qū);網(wǎng)點(diǎn)信息安全員多為柜員兼職,分身乏術(shù),時(shí)間上缺乏工作主動(dòng)性。
農(nóng)信社信息科技風(fēng)險(xiǎn)防控建議
農(nóng)信社應(yīng)借鑒其它商業(yè)銀行的先進(jìn)經(jīng)驗(yàn)和國(guó)際標(biāo)準(zhǔn),結(jié)合自身實(shí)際,以信息科技管理架構(gòu)、信息安全體系、業(yè)務(wù)連續(xù)能力、合規(guī)與風(fēng)險(xiǎn)控制等方面為信息科技風(fēng)險(xiǎn)管理發(fā)展目標(biāo)與實(shí)施路線,做到“事前有防范、事中有控制、事后有監(jiān)督”,將技術(shù)防范為(博客,微博)主的信息科技風(fēng)險(xiǎn)管控落實(shí)到實(shí)處。
進(jìn)一步明確信息科技風(fēng)險(xiǎn)管理責(zé)任目標(biāo),落實(shí)信息科技風(fēng)險(xiǎn)防范責(zé)任,提高思想認(rèn)識(shí),上下齊抓共管,處理好業(yè)務(wù)發(fā)展與信息科技風(fēng)險(xiǎn)防范之間的關(guān)系,構(gòu)筑起信息科技風(fēng)險(xiǎn)防范防線。積極探索實(shí)踐并形成適應(yīng)本單位發(fā)展特點(diǎn)的信息科技風(fēng)險(xiǎn)管理模式,定位清晰,擺脫因人設(shè)崗的舊模式,科學(xué)安排信息科技崗位,使信息科技風(fēng)險(xiǎn)管理工作標(biāo)準(zhǔn)化、規(guī)范化、科學(xué)化,信息化建設(shè)有序推進(jìn),進(jìn)入良性循環(huán)。
注重信息科技安全防范,提高風(fēng)險(xiǎn)預(yù)警能力。首先是通過技術(shù)管理手段,確保信息系統(tǒng)實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全。根據(jù)業(yè)務(wù)系統(tǒng)的重要性、災(zāi)難恢復(fù)的時(shí)效性和自身的風(fēng)險(xiǎn)承受能力等及時(shí)分析和解決科技條線的業(yè)務(wù)隱患,建立完備的災(zāi)備體系,不斷規(guī)范預(yù)案演練切實(shí)提高應(yīng)急水平和能力,熟練掌握各種應(yīng)急手段,積極落實(shí)信息安全等級(jí)保護(hù)措施,有效降低信息科技風(fēng)險(xiǎn)發(fā)生概率。其次是完善信息系統(tǒng)運(yùn)行安全體系,對(duì)機(jī)房、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、消防、供電、門禁等設(shè)施的運(yùn)行安全進(jìn)行全面評(píng)估,嚴(yán)格執(zhí)行相關(guān)管理制度,加大信息科技投入,確保基礎(chǔ)設(shè)施后備充足。
加強(qiáng)信息科技風(fēng)險(xiǎn)防控,積極培育科技創(chuàng)新主體。大力實(shí)施科技素質(zhì)教育工程,建立健全信息科技人員激勵(lì)機(jī)制,不斷充實(shí)農(nóng)村科技人員的業(yè)務(wù)知識(shí),在全社范圍內(nèi)形成比學(xué)比優(yōu)的良好學(xué)習(xí)氛圍,積極培養(yǎng)、引進(jìn)優(yōu)秀的信息科技專業(yè)人才,給予其施展才華、體現(xiàn)價(jià)值的平臺(tái),將“信息創(chuàng)新價(jià)值、科技引領(lǐng)發(fā)展”的信息專業(yè)理念融入信用社文化建設(shè)中,保證信息科技資源有效利用,全面提升信息科技風(fēng)險(xiǎn)管理水平。加強(qiáng)要害崗位的管理,按照責(zé)任范圍實(shí)行嚴(yán)格的限制,相互制約、互相監(jiān)督,加強(qiáng)信息系統(tǒng)的安全運(yùn)行監(jiān)測(cè),切實(shí)提高信息系統(tǒng)的安全效能。
第二篇:銀行信息科技風(fēng)險(xiǎn)自查報(bào)告
銀行信息科技風(fēng)險(xiǎn)自查報(bào)告
在人們?cè)絹碓阶⒅刈陨硭仞B(yǎng)的今天,報(bào)告的適用范圍越來越廣泛,我們?cè)趯憟?bào)告的時(shí)候要注意語言要準(zhǔn)確、簡(jiǎn)潔。你還在對(duì)寫報(bào)告感到一籌莫展嗎?以下是小編為大家收集的銀行信息科技風(fēng)險(xiǎn)自查報(bào)告,僅供參考,歡迎大家閱讀。
銀行信息科技風(fēng)險(xiǎn)自查報(bào)告1按照上級(jí)領(lǐng)導(dǎo)的指示,我行認(rèn)真貫徹精神,為充分做好重要時(shí)期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作,防范我行信息科技風(fēng)險(xiǎn),保障計(jì)算機(jī)系統(tǒng)運(yùn)行和操作安全,建立和完善信息科技風(fēng)險(xiǎn)管理機(jī)制。對(duì)我行的信息科技工作進(jìn)行了一次全面的自我評(píng)估及審查。現(xiàn)將審查情況報(bào)告如下:
一、設(shè)備間建設(shè)規(guī)范和管理規(guī)范
(1)設(shè)備間安裝了溫濕度儀表,以用來監(jiān)控機(jī)房溫度和濕度,并能夠及時(shí)開啟控溫控濕設(shè)備來保證機(jī)房的溫度和濕度。
(2)設(shè)備間每周由網(wǎng)點(diǎn)經(jīng)理或支行行長(zhǎng)來對(duì)設(shè)備間的環(huán)境狀況進(jìn)行檢查,并登記成冊(cè),以確保設(shè)備間保持整潔和規(guī)范。
(3)設(shè)備間嚴(yán)格控制出入人員,并保證營(yíng)業(yè)網(wǎng)點(diǎn)外來人員有相關(guān)證件登記。
(4)支行技術(shù)人員每年一次對(duì)設(shè)備間的主要設(shè)備進(jìn)行巡檢,確保設(shè)備能夠正常使用,并在相關(guān)登記本上記錄。
二、應(yīng)急管理和終端安全
(1)支行會(huì)不定期對(duì)一些預(yù)案進(jìn)行檢查,確保這些預(yù)案是最新的,且告知網(wǎng)點(diǎn)人員張貼在需要的地方。
(2)支行每年會(huì)抽取一定的網(wǎng)點(diǎn)人員進(jìn)行培訓(xùn)和演練,并書寫心得和體會(huì),確保網(wǎng)點(diǎn)人員能夠正確的應(yīng)對(duì)突發(fā)狀況。
(3)支行每月會(huì)不定期的抽查相關(guān)電腦的軟件安裝情況,檢查是否存在私自安裝不必要的軟件,以及是否私自開通ADSL等違規(guī)的網(wǎng)絡(luò)。
銀行信息科技風(fēng)險(xiǎn)自查報(bào)告2一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)
1、來自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展,計(jì)算機(jī)技術(shù)在農(nóng)村信用社各項(xiàng)業(yè)務(wù)中的廣泛應(yīng)用,部分員工因病毒防范意識(shí)較為薄弱,加上計(jì)算機(jī)水平又是參差不齊,有的員工很難主動(dòng)發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實(shí)施補(bǔ)丁升級(jí),U盤濫用且從不進(jìn)行病毒掃描,這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞,中斷重要業(yè)務(wù)的正常運(yùn)行。
二、操作流程風(fēng)險(xiǎn)
隨著業(yè)務(wù)的更新和科技步伐的加快,員工的計(jì)算機(jī)操作業(yè)務(wù)能力與嚴(yán)格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實(shí),不能夠完全掌握農(nóng)信社的各項(xiàng)業(yè)務(wù)操作流程及處置程序,必然會(huì)造成操作失誤而導(dǎo)致風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)大致分為以下幾方面:
1、操作行為不規(guī)范,安全防范意識(shí)差。目前,我區(qū)農(nóng)村信用社計(jì)算機(jī)操作員一般只通過了短期輔導(dǎo)培訓(xùn),未能全面掌握計(jì)算機(jī)理論知識(shí)及運(yùn)用技術(shù),主要表現(xiàn)在:一是一些操作人員對(duì)計(jì)算機(jī)知識(shí)的`缺乏,
經(jīng)常出現(xiàn)操作性錯(cuò)誤;二是操作人員基本安全意識(shí)不強(qiáng),缺乏安全防范意識(shí);三是人員調(diào)離或崗位變動(dòng)時(shí)不及時(shí)注銷操作員,導(dǎo)致操作員不便于管理;四是人離機(jī)不退,個(gè)別人隨意離開工作崗位,也不簽退,給他人可乘之機(jī),造成了嚴(yán)重的信息安全隱患。
2、不嚴(yán)格執(zhí)行操作流程,造成安全隱患。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐,對(duì)推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險(xiǎn)意識(shí)不強(qiáng)等原因造成了在操作過程中出現(xiàn)系列風(fēng)險(xiǎn)。一是操作人員不嚴(yán)格執(zhí)行硬件設(shè)備的操作流程,造成設(shè)備損壞,致使重要業(yè)務(wù)中斷的風(fēng)險(xiǎn);二是沒有定期對(duì)機(jī)器除塵、保養(yǎng),使微機(jī)在較惡劣環(huán)境下帶“病”工作,計(jì)算機(jī)運(yùn)行報(bào)錯(cuò)或元器件損壞時(shí)有發(fā)生,影響了信用社窗口的服務(wù)效率和形象;三是不嚴(yán)格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序,給他人或科技結(jié)算中心造成不必要的負(fù)擔(dān)。
為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求,對(duì)日常計(jì)算機(jī)信息管理中存在的問題經(jīng)行重點(diǎn)監(jiān)督和整改:
1、嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離,無法隔離的要隨時(shí)升級(jí)殺毒程序,同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。加強(qiáng)員工計(jì)算機(jī)知識(shí)培訓(xùn),提高員工的電腦操作技能,制定防
毒策略,養(yǎng)成良好的上網(wǎng)習(xí)慣,嚴(yán)防病毒侵害。
2、加強(qiáng)對(duì)一線人員的操作流程、各項(xiàng)基本規(guī)定的培訓(xùn),加強(qiáng)對(duì)信息專管員的培訓(xùn),提高其處理計(jì)算機(jī)及網(wǎng)絡(luò)故障、防范計(jì)算機(jī)及網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力;對(duì)業(yè)務(wù)操作人員要重點(diǎn)抓好計(jì)算機(jī)知識(shí)的普及培訓(xùn)工作,建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度,提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計(jì)算機(jī)業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式,堅(jiān)決杜絕各種混崗現(xiàn)象,嚴(yán)格遵循管理制度。
3、嚴(yán)格操作規(guī)范及操作權(quán)限管理
隨著農(nóng)村信用社的發(fā)展,信貸系統(tǒng),財(cái)務(wù)系統(tǒng),OA系統(tǒng)的成功上線并投入使用,操作人員必須學(xué)習(xí)和掌握農(nóng)村信用社的操作流程和各項(xiàng)規(guī)章制度,加強(qiáng)制度執(zhí)行力的管理。操作員密碼必須定期不定期修改,并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼,還需定期修改密碼,多用字母或符號(hào),嚴(yán)禁使用6位相同數(shù)字或電話號(hào)碼或生日號(hào)碼等,嚴(yán)禁口頭或電話告知操作密碼。
4、加強(qiáng)內(nèi)控建設(shè),強(qiáng)化監(jiān)督,完善防范機(jī)制。首先,建立柜員崗位制約為主,做到責(zé)任到崗、落實(shí)到人、相互制約、互相監(jiān)督。其次,
全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系,確保做到實(shí)時(shí)監(jiān)管,及時(shí)發(fā)現(xiàn)問題,及時(shí)進(jìn)行整改,消除風(fēng)險(xiǎn)隱患。再則,加強(qiáng)會(huì)計(jì)事后監(jiān)督和電視監(jiān)控系統(tǒng)管理,加大查處力度,重點(diǎn)是督促基層社各項(xiàng)計(jì)算機(jī)制度執(zhí)行與落實(shí),提升基層執(zhí)行力,以此推進(jìn)和完善防范制度,切實(shí)做到防患于未然。
5、日常維護(hù)方面,由基社信息專管員負(fù)責(zé)每周一次對(duì)機(jī)房衛(wèi)生清理和設(shè)備故障排查,發(fā)現(xiàn)問題及時(shí)上報(bào)科技信息部處理;每月在各基社網(wǎng)點(diǎn)信息專管員的配合下,對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行和管理進(jìn)行維護(hù)和檢查至少一次,全轄的ATM和POS機(jī)由科技信息部統(tǒng)一管理,落實(shí)基社網(wǎng)點(diǎn)專人負(fù)責(zé),加大專管人員的培訓(xùn),使日常操作、維護(hù)工作和安全防范措施得以落實(shí)。
銀行信息科技風(fēng)險(xiǎn)自查報(bào)告3一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)
來自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展,計(jì)算機(jī)技術(shù)在農(nóng)村信用社各項(xiàng)業(yè)務(wù)中的廣泛應(yīng)用,部分員工因病毒防范意識(shí)較為薄弱,加上計(jì)算機(jī)水平又是參差不齊,有的員工很難主動(dòng)發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實(shí)施補(bǔ)丁升級(jí),U盤濫用且從不進(jìn)行病毒掃描,這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞,中斷重要業(yè)務(wù)的正常運(yùn)行。
二、操作流程風(fēng)險(xiǎn)
隨著業(yè)務(wù)的更新和科技步伐的加快,員工的計(jì)算機(jī)操作業(yè)務(wù)能力與嚴(yán)格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實(shí),不能夠完全掌握農(nóng)信社的各項(xiàng)業(yè)務(wù)操作流程及處置程序,必然會(huì)造成操作失誤而導(dǎo)致風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)大致分為以下幾方面:
1、操作行為不規(guī)范,安全防范意識(shí)差。目前,我區(qū)農(nóng)村信用社計(jì)算機(jī)操作員一般只通過了短期輔導(dǎo)培訓(xùn),未能全面掌握計(jì)算機(jī)理論知識(shí)及運(yùn)用技術(shù),主要表現(xiàn)在:
四是人離機(jī)不退,個(gè)別人隨意離開工作崗位,也不簽退,給他人可乘之機(jī),造成了嚴(yán)重的信息安全隱患。
2、不嚴(yán)格執(zhí)行操作流程,造成安全隱患。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐,對(duì)推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險(xiǎn)意識(shí)不強(qiáng)等原因造成了在操作過程中出現(xiàn)系列風(fēng)險(xiǎn)。
三是不嚴(yán)格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序,給他人或科技結(jié)算中心造成不必要的負(fù)擔(dān)。
為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求,對(duì)日常計(jì)算機(jī)信息管理中存在的問題經(jīng)行重點(diǎn)監(jiān)督和整改:
1、嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離,無法隔離的要隨時(shí)升級(jí)殺毒程序,同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。加強(qiáng)員工計(jì)算機(jī)知識(shí)培訓(xùn),提高員工的電腦操作技能,制定防毒策略,養(yǎng)成良好的上網(wǎng)習(xí)慣,嚴(yán)防病毒侵害。
2、加強(qiáng)對(duì)一線人員的操作流程、各項(xiàng)基本規(guī)定的培訓(xùn),加強(qiáng)對(duì)信息專管員的培訓(xùn),提高其處理計(jì)算機(jī)及網(wǎng)絡(luò)故障、防范計(jì)算機(jī)及網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力;對(duì)業(yè)務(wù)操作人員要重點(diǎn)抓好計(jì)算機(jī)知識(shí)的普及培訓(xùn)工作,建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度,提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計(jì)算機(jī)業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式,堅(jiān)決杜絕各種混崗現(xiàn)象,嚴(yán)格遵循管理制度。
3、嚴(yán)格操作規(guī)范及操作權(quán)限管理
隨著農(nóng)村信用社的發(fā)展,信貸系統(tǒng),財(cái)務(wù)系統(tǒng),OA系統(tǒng)的成功上線并投入使用,操作人員必須學(xué)習(xí)和掌握農(nóng)村信用社的操作流程和各項(xiàng)規(guī)章制度,加強(qiáng)制度執(zhí)行力的管理。操作員密碼必須定期不定期修改,并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼,還需定期修改密碼,多用字母或符號(hào),嚴(yán)禁使用6位相同數(shù)字或電話號(hào)碼或生日號(hào)碼等,嚴(yán)禁口頭或電話告知操作密碼。
4、加強(qiáng)內(nèi)控建設(shè),強(qiáng)化監(jiān)督,完善防范機(jī)制。首先,建立柜員崗位制約為主,做到責(zé)任到崗、落實(shí)到人、相互制約、互相監(jiān)督。其次,全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系,確保做到實(shí)時(shí)監(jiān)管,及時(shí)發(fā)現(xiàn)問題,及時(shí)進(jìn)行整改,消除風(fēng)險(xiǎn)隱患。再則,加強(qiáng)會(huì)計(jì)事后監(jiān)督和電視監(jiān)控系統(tǒng)管理,加大查處力度,重點(diǎn)是督促基層社各項(xiàng)計(jì)算機(jī)制度執(zhí)行與落實(shí),提升基層執(zhí)行力,以此推進(jìn)和完善防范制度,切實(shí)做到防患于未然。
5、日常維護(hù)方面,由基社信息專管員負(fù)責(zé)每周一次對(duì)機(jī)房衛(wèi)生清理和設(shè)備故障排查,發(fā)現(xiàn)問題及時(shí)上報(bào)科技信息部處理;每月在各基社網(wǎng)點(diǎn)信息專管員的配合下,對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行和管理進(jìn)行維護(hù)和檢查至少一次,全轄的ATM和POS機(jī)由科技信息部統(tǒng)一管理,落實(shí)基社網(wǎng)點(diǎn)專人負(fù)責(zé),加大專管人員的培訓(xùn),使日常操作、維護(hù)工作和安全防范措施得以落實(shí)。
第三篇:村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法
村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法
(征求意見稿)
第一章 總 則
第一條 為加強(qiáng)村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理,確保科技體系持續(xù)穩(wěn)定運(yùn)轉(zhuǎn),根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等有關(guān)法律、法規(guī),制定本辦法。
第二條 信息科技風(fēng)險(xiǎn)管理是通過建立有效機(jī)制,實(shí)現(xiàn)對(duì)銀行信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制,推動(dòng)村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新,提高信息化管理水平,保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。
第二章 信息科技風(fēng)險(xiǎn)管理組織架構(gòu)
第三條 信息科技風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。
第四條
發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)的主要管理部門,發(fā)起行科技信息中心有以下信息科技風(fēng)險(xiǎn)管理的權(quán)限和職責(zé):
(一)建立有效的信息科技風(fēng)險(xiǎn)管理管理架構(gòu),完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制,防范和控制信息科技風(fēng)險(xiǎn)管理;
(二)貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求;
(三)履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé),建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度,并嚴(yán)格執(zhí)行;
(四)負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等工作,提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運(yùn)行技術(shù)支持;
(五)負(fù)責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實(shí)有關(guān)信息科技風(fēng)險(xiǎn)管理的各項(xiàng)規(guī)章制度;
(六)發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。
第三章 信息科技風(fēng)險(xiǎn)具體控制要求
第五條 信息科技總體風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)缺少信息系統(tǒng)風(fēng)險(xiǎn)管理策略;
(二)自然災(zāi)害、運(yùn)行環(huán)境變化;
(三)信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善;
(四)信息安全標(biāo)準(zhǔn)化工作不符合國(guó)家相關(guān)規(guī)定;
(五)缺乏信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制;
(六)數(shù)據(jù)中心機(jī)房物理安全;
(七)使用盜版軟件及自有成果的知識(shí)產(chǎn)權(quán)保護(hù);
(八)電子設(shè)備自身運(yùn)行;
(九)主機(jī)與網(wǎng)絡(luò)運(yùn)行;
(十)網(wǎng)絡(luò)安全;
(十一)密碼安全;
(十二)數(shù)據(jù)加密安全;
(十三)信息系統(tǒng)配置參數(shù)管理;
(十四)數(shù)據(jù)管理;
(十五)突發(fā)事件響應(yīng);
(十六)信息系統(tǒng)故障導(dǎo)致影響銀行信譽(yù);(十七)網(wǎng)上銀行安全。
第六條 信息系統(tǒng)總體風(fēng)險(xiǎn)控制措施:
(一)根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃,在村鎮(zhèn)銀行風(fēng)險(xiǎn)管理政策指引下,制定明確、持續(xù)的信息系統(tǒng)風(fēng)險(xiǎn)管理策略,根據(jù)信息系統(tǒng)的等級(jí)保護(hù)級(jí)別對(duì)信息系統(tǒng)進(jìn)行分析和評(píng)估,并實(shí)施有效的風(fēng)險(xiǎn)控制;
(二)建立同城信息系統(tǒng)災(zāi)備中心實(shí)現(xiàn)運(yùn)行環(huán)境備份,防止各類突發(fā)事故和惡意攻擊事件造成不良后果;
(三)建立健全相關(guān)信息科技制度,明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限,建立制約機(jī)制,實(shí)行最小授權(quán);
(四)嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn),參照有關(guān)國(guó)際準(zhǔn)則,積極推進(jìn)信息安全標(biāo)準(zhǔn)化,開展信息安全等級(jí)保護(hù)等相關(guān)工作;
(五)加強(qiáng)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,及時(shí)對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行修補(bǔ)和完善,以保證信息系統(tǒng)的安全性和完整性;
(六)信息系統(tǒng)數(shù)據(jù)中心機(jī)房建設(shè)時(shí)嚴(yán)格參照國(guó)家有關(guān)計(jì)算機(jī)場(chǎng)地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn),數(shù)據(jù)中心機(jī)房實(shí)行嚴(yán)格的門禁管理措施,未經(jīng)授權(quán)不得進(jìn)入;
(七)加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù),使用正版軟件,加強(qiáng)軟件版本管理;積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品,并采取有效措施保護(hù)村鎮(zhèn)銀行信息化成果;
(八)嚴(yán)格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)規(guī)程,選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證,測(cè)試性能應(yīng)符合國(guó)家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性,并配置適當(dāng)數(shù)量的備品、備件;
(九)嚴(yán)格參照相關(guān)標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)信息系統(tǒng)網(wǎng)絡(luò);網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性;關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份;嚴(yán)格線路租用合同管理,按照業(yè)務(wù)和交易流量要
求保證傳輸帶寬;監(jiān)測(cè)和管理通信線路及網(wǎng)絡(luò)設(shè)備,保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行;
(十)加強(qiáng)網(wǎng)絡(luò)安全管理。嚴(yán)格網(wǎng)絡(luò)邊界控制,使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險(xiǎn);
(十一)加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理,使用符合國(guó)家安全標(biāo)準(zhǔn)的密碼設(shè)備,完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度;
(十二)加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理;優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置,嚴(yán)格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫,采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取,以保證數(shù)據(jù)的完整性、保密性;
(十三)對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途,確定存取權(quán)限、方式和授權(quán)使用范圍,并嚴(yán)格審批和登記手續(xù);
(十四)制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案,并定期進(jìn)行演練、評(píng)審和修訂;
(十五)加強(qiáng)對(duì)技術(shù)文檔資料和重要數(shù)據(jù)的備份管理;技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放,按規(guī)定年限保存,調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)管理;
(十六)在信息系統(tǒng)可能影響客戶服務(wù)時(shí),及時(shí)通知業(yè)務(wù)部門,以便以適當(dāng)方式告知客戶;
(十七)采取有效技術(shù)措施,切實(shí)加強(qiáng)網(wǎng)上銀行信息安全保
障。加強(qiáng)網(wǎng)銀用戶身份認(rèn)證管理,與業(yè)務(wù)部門密切配合,逐步對(duì)所有網(wǎng)上銀行高風(fēng)險(xiǎn)賬戶操作統(tǒng)一使用雙重身份認(rèn)證。積極研發(fā)和應(yīng)用各類維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段,保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。
第七條
信息科技研發(fā)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)信息系統(tǒng)項(xiàng)目研發(fā)管理;
(二)信息系統(tǒng)項(xiàng)目開發(fā)人員外包;
(三)信息系統(tǒng)項(xiàng)目需求不明確;
(四)信息系統(tǒng)測(cè)試不規(guī)范或不完善;
(五)信息系統(tǒng)應(yīng)用推廣;
(六)信息系統(tǒng)測(cè)試發(fā)現(xiàn)的軟件缺陷;
(七)信息系統(tǒng)項(xiàng)目文檔管理;
(八)信息系統(tǒng)項(xiàng)目驗(yàn)收。
第八條
信息科技研發(fā)風(fēng)險(xiǎn)具體控制要求:
(一)一般項(xiàng)目研發(fā)成立項(xiàng)目工作小組,重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組,并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成,具體負(fù)責(zé)整個(gè)項(xiàng)目的開發(fā)工作;
(二)項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專業(yè)技術(shù)知識(shí),小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息
系統(tǒng)研發(fā)質(zhì)量和進(jìn)度;
(三)項(xiàng)目組根據(jù)業(yè)務(wù)部門項(xiàng)目需求編制項(xiàng)目功能說明書,依據(jù)項(xiàng)目功能說明書分別編寫項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說明書,設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說明書的要求;
(四)軟件研發(fā)必須建立獨(dú)立的測(cè)試環(huán)境,以保證測(cè)試的完整性和準(zhǔn)確性。一般測(cè)試應(yīng)包括功能測(cè)試、安全性測(cè)試、壓力測(cè)試、驗(yàn)收測(cè)試等,測(cè)試不得直接使用生產(chǎn)數(shù)據(jù);
(五)研發(fā)人員必須根據(jù)測(cè)試結(jié)果修補(bǔ)信息系統(tǒng)的功能和缺陷,提高信息系統(tǒng)的整體質(zhì)量;
(六)根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃,并進(jìn)行演練;
(七)開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認(rèn)并歸檔保存;
(八)軟件開發(fā)項(xiàng)目必須進(jìn)行嚴(yán)格的項(xiàng)目驗(yàn)收流程,項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收?qǐng)?bào)告,驗(yàn)收不合格不得投入使用。
第九條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)人為因素導(dǎo)致信息系統(tǒng)運(yùn)行故障;
(二)運(yùn)行管理不完善;
(三)信息系統(tǒng)日常變更;
(四)新建信息系統(tǒng)運(yùn)行;
(五)機(jī)房環(huán)境變化;
(六)信息系統(tǒng)故障報(bào)告程序。
第十條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)具體控制要求:
(一)信息系統(tǒng)運(yùn)行人員應(yīng)實(shí)行專職,不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)應(yīng)符合授權(quán)和維護(hù)規(guī)程要求;
(二)相關(guān)信息系統(tǒng)運(yùn)行維護(hù)人員嚴(yán)格按照信息系統(tǒng)管理制度及維護(hù)手冊(cè)運(yùn)行及維護(hù)信息系統(tǒng)。對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過上級(jí)審批、授權(quán)后方可進(jìn)行;
(三)制訂嚴(yán)格的信息系統(tǒng)變更處理流程,明確變更流程中各崗位的職責(zé)分工,并遵循流程實(shí)施控制和管理;
(四)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi),應(yīng)配合業(yè)務(wù)部門,積極參與組織對(duì)系統(tǒng)的后評(píng)價(jià),根據(jù)評(píng)價(jià)及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化;
(五)對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢,明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案;
(六)實(shí)行事件報(bào)告制度,發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件,應(yīng)即時(shí)上報(bào)并處理,必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。
第十一條
信息科技外包風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)外包風(fēng)險(xiǎn)是指
銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)信息科技外包需求控制風(fēng)險(xiǎn);
(二)信息科技外包承包方合作風(fēng)險(xiǎn);
(三)信息科技外包項(xiàng)目商業(yè)風(fēng)險(xiǎn);
(四)信息科技外包項(xiàng)目安全風(fēng)險(xiǎn);
(五)信息科技外包項(xiàng)目質(zhì)量風(fēng)險(xiǎn);
(六)信息科技外包項(xiàng)目風(fēng)險(xiǎn)管理;
(七)信息科技外包項(xiàng)目責(zé)任風(fēng)險(xiǎn);(入)信息科技外包項(xiàng)目監(jiān)控風(fēng)險(xiǎn)。
第十二條 信息科技外包風(fēng)險(xiǎn)具體控制要求:
(一)在進(jìn)行信息系統(tǒng)外包時(shí),應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要,合理確定外包的原則和范圍,認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn),建立健全相關(guān)規(guī)章制度,制定相應(yīng)的風(fēng)險(xiǎn)防范措施;
(二)建立健全外包承包方評(píng)估機(jī)制,充分審查、評(píng)估承包方的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平,并進(jìn)行必要的盡職情況調(diào)查。評(píng)估工作可委托具有國(guó)家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成;
(三)與承包方簽訂書面合同,明確雙方的權(quán)利、義務(wù),并規(guī)定承包方在安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任;
(四)充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接
影響,并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中;
(五)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與檢測(cè)程序,審查管理外包產(chǎn)生的風(fēng)險(xiǎn),提高本機(jī)構(gòu)的外包管理的能力;
(六)信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略,并建立針對(duì)信息系統(tǒng)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃;
(七)與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制,并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法,保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案;
(八)對(duì)信息系統(tǒng)外包承包方進(jìn)行持續(xù)的監(jiān)控。
第四章 附 則
第十三條 各支行可依據(jù)本辦法,結(jié)合本單位實(shí)際情況,制定具體實(shí)施細(xì)則。
第十四條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。
第四篇:銀行信息科技風(fēng)險(xiǎn)的治理途徑
銀行信息科技風(fēng)險(xiǎn)的治理途徑
中國(guó)農(nóng)業(yè)發(fā)展銀行總行營(yíng)運(yùn)中心 李小慶
信息科技風(fēng)險(xiǎn)治理的主要目標(biāo)是為了采取一定的有效措施,規(guī)避信息科技風(fēng)險(xiǎn)帶來的損失,同時(shí)需要平衡信息科技風(fēng)險(xiǎn)防控所收獲的價(jià)值和開展信息科技風(fēng)險(xiǎn)防控活動(dòng)所需的成本。257 信息化建設(shè)一直是現(xiàn)代銀行發(fā)展戰(zhàn)略的重要組成部分。最近十年,銀行信息化建設(shè)一直在高速向前發(fā)展。隨著數(shù)據(jù)大集中工程的啟動(dòng)及完成,銀行信息化從信息基礎(chǔ)設(shè)施到業(yè)務(wù)系統(tǒng)的建設(shè),都取得了較為明顯的成效,信息化總體架構(gòu)已經(jīng)成熟,各類業(yè)務(wù)應(yīng)用系統(tǒng)已經(jīng)初具規(guī)模。各類信息系統(tǒng)已經(jīng)成為銀行提供客戶服務(wù)、獲取市場(chǎng)價(jià)值、培育核心競(jìng)爭(zhēng)力的重要途徑。
但是,隨著銀行信息化規(guī)模的日益擴(kuò)大,信息科技風(fēng)險(xiǎn)的防控及治理始終是銀行信息化建設(shè)和管理的薄弱環(huán)節(jié)。2009年,銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)治理指引》(以下簡(jiǎn)稱《指引》),從信息安全、信息系統(tǒng)開發(fā)和信息科技運(yùn)行等多個(gè)層面對(duì)信息科技風(fēng)險(xiǎn)治理進(jìn)行了清晰規(guī)定。從《指引》中,我們可以解讀到,信息科技風(fēng)險(xiǎn)治理是以可接受的成本識(shí)別、控制、降低可能影響信息系統(tǒng)風(fēng)險(xiǎn)的過程,通過風(fēng)險(xiǎn)識(shí)別,制定信息科技風(fēng)險(xiǎn)治理策略,采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制,使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降低到一個(gè)可以被接受的水平,同時(shí)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。信息科技風(fēng)險(xiǎn)治理體系主要包含信息科技風(fēng)險(xiǎn)識(shí)別、分析與評(píng)價(jià),信息科技風(fēng)險(xiǎn)的計(jì)量,信息科技的治理思路和控制措施。
一、信息科技風(fēng)險(xiǎn)識(shí)別、分析與評(píng)價(jià)
信息科技風(fēng)險(xiǎn)治理的主要目標(biāo)是在可接受成本的范圍內(nèi),分析信息系統(tǒng)面臨的潛在風(fēng)險(xiǎn),并采取一定措施控制和防御風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)識(shí)別是指對(duì)組成信息科技風(fēng)險(xiǎn)因素在系統(tǒng)中潛在可能性認(rèn)識(shí)的過程,風(fēng)險(xiǎn)分析是指系統(tǒng)化地識(shí)別和分析風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)類型,風(fēng)險(xiǎn)評(píng)價(jià)是指按組織制定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)計(jì)算風(fēng)險(xiǎn)水平,確定風(fēng)險(xiǎn)嚴(yán)重性。
1.風(fēng)險(xiǎn)識(shí)別
信息科技風(fēng)險(xiǎn)的組成因素,一般包含價(jià)值信息資產(chǎn)、信息資產(chǎn)面臨的威脅、信息資產(chǎn)的脆弱性等。信息資產(chǎn)是對(duì)組織具有價(jià)值的信息資源,是風(fēng)險(xiǎn)控制措施保護(hù)的對(duì)象。信息資產(chǎn)面臨的威脅是可能對(duì)信息資產(chǎn)或組織造成損害的潛在因素。信息資產(chǎn)脆弱性是信息資產(chǎn)可能被威脅利用的弱點(diǎn)。風(fēng)險(xiǎn)識(shí)別是對(duì)信息系統(tǒng)和信息基礎(chǔ)設(shè)施的威脅、脆弱性和風(fēng)險(xiǎn)的識(shí)別,它包含以下元素:被特定威脅利用的信息資產(chǎn)的一種或一組脆弱性,導(dǎo)致信息資產(chǎn)丟失或損害的潛在可能性,即特定威脅事件發(fā)生的可能性與后果的集合。風(fēng)險(xiǎn)識(shí)別過程是綜合分析信息科技風(fēng)險(xiǎn)各組成因素,包含信息資產(chǎn)的價(jià)值、對(duì)信息資產(chǎn)的威脅和威脅發(fā)生的可能性、信息資產(chǎn)脆弱性、現(xiàn)有的風(fēng)險(xiǎn)控制提供的保護(hù)等,從而導(dǎo)出風(fēng)險(xiǎn)的過程。銀行對(duì)信息科技風(fēng)險(xiǎn)一般具有偏好性考慮,其結(jié)果受到業(yè)務(wù)需求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、風(fēng)險(xiǎn)要求、信息規(guī)模和結(jié)構(gòu)的影響,因此在風(fēng)險(xiǎn)識(shí)別實(shí)施前,應(yīng)確定風(fēng)險(xiǎn)識(shí)別的范圍和目標(biāo),建立適當(dāng)?shù)慕M織結(jié)構(gòu),建立系統(tǒng)化的風(fēng)險(xiǎn)識(shí)別方法,獲得管理者對(duì)風(fēng)險(xiǎn)識(shí)別工作的批準(zhǔn)。
2.風(fēng)險(xiǎn)分析
在進(jìn)行風(fēng)險(xiǎn)識(shí)別之后,必須就各項(xiàng)風(fēng)險(xiǎn)對(duì)整個(gè)信息系統(tǒng)的影響程度做一些分析和評(píng)價(jià),通常這些評(píng)價(jià)建立在以特性為依據(jù)的判斷和以數(shù)據(jù)統(tǒng)計(jì)為依據(jù)的研究上。風(fēng)險(xiǎn)分析的方法非常多,一般采用統(tǒng)計(jì)學(xué)范疇內(nèi)的概率、分布頻率、平均數(shù)、眾數(shù)等方法。但無論是哪一種工具,都各有長(zhǎng)短,而且不可避免地會(huì)受到分析者的主觀影響。可以通過多維度、多人員分析或者采取頭腦風(fēng)暴法等盡可能避免。此外,應(yīng)當(dāng)明確,風(fēng)險(xiǎn)是一種變化著的事物,基于這種易變條件上的預(yù)測(cè)和分析,是不可能做到十分精確和可靠的。所有的風(fēng)險(xiǎn)分析都只有一個(gè)目的,即盡量為避免信息系統(tǒng)提供的服務(wù)失控和為具體的信息系統(tǒng)開發(fā)和運(yùn)行中突發(fā)問題預(yù)留足夠的后備措施和緩沖空間。
3.風(fēng)險(xiǎn)評(píng)價(jià)
信息科技風(fēng)險(xiǎn)評(píng)價(jià)方法有兩種:定量方法和定性方法。定量分析是試圖從財(cái)務(wù)價(jià)值上對(duì)構(gòu)成風(fēng)險(xiǎn)的信息資產(chǎn)的各項(xiàng)要素進(jìn)行量化分析評(píng)價(jià)的一種方法,由于定量分析所依賴的數(shù)據(jù)的可靠性和有效性很難保證,加之對(duì)數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性,所以,定量分析方法在銀行信息科技風(fēng)險(xiǎn)評(píng)價(jià)中并不常用,取而代之的是更容易實(shí)施的定性分析方法。
定性風(fēng)險(xiǎn)評(píng)價(jià)并不強(qiáng)求對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素進(jìn)行精確的量化評(píng)價(jià),它有賴于評(píng)價(jià)者的經(jīng)驗(yàn)判斷、業(yè)界慣例以及組織自身定義的標(biāo)準(zhǔn),來對(duì)風(fēng)險(xiǎn)要素進(jìn)行相對(duì)的等級(jí)分化,最終得出的風(fēng)險(xiǎn)大小,只需要通過等級(jí)差別來分出優(yōu)先順序即可。事實(shí)上,銀行最關(guān)心的是業(yè)務(wù)活動(dòng)的持續(xù)性,對(duì)于影響業(yè)務(wù)活動(dòng)持續(xù)性的各種風(fēng)險(xiǎn)問題,在有限的資源支持情況下,只需要抓住最突出的問題,有針對(duì)性地采取措施即可。
二、信息科技風(fēng)險(xiǎn)計(jì)量方法
風(fēng)險(xiǎn)計(jì)量是在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上,根據(jù)信息科技風(fēng)險(xiǎn)組成要素的相關(guān)屬性進(jìn)行賦值,進(jìn)行綜合計(jì)算最終獲得信息科技風(fēng)險(xiǎn)值。信息資產(chǎn)的屬性主要是資產(chǎn)價(jià)值,威脅的屬性主要是威脅主體、影響程度、影響范圍等,脆弱性的屬性主要是信息資產(chǎn)缺陷的嚴(yán)重程度。風(fēng)險(xiǎn)計(jì)量的主要內(nèi)容是對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)信息資產(chǎn)的價(jià)值進(jìn)行賦值;對(duì)威脅進(jìn)行識(shí)別,描述威脅的屬性,并對(duì)威脅潛在影響程度賦值;對(duì)信息資產(chǎn)的脆弱性進(jìn)行識(shí)別,并對(duì)具體信息資產(chǎn)的脆弱性的嚴(yán)重程度賦值。風(fēng)險(xiǎn)計(jì)量原理如圖1所示,具體計(jì)量方法進(jìn)行如下介紹。
1.信息資產(chǎn)風(fēng)險(xiǎn)的計(jì)量
信息資產(chǎn)是指任何對(duì)銀行具有價(jià)值的信息資產(chǎn),包括計(jì)算機(jī)硬件、通信設(shè)施、機(jī)房、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等,所有這些信息資產(chǎn)都需要妥善保護(hù)。為了進(jìn)一步定義其價(jià)值,一般需將其分類,除一般認(rèn)可的軟件、硬件、數(shù)據(jù)信息資產(chǎn)外,還需增加人員、服務(wù)等項(xiàng)目,在此基礎(chǔ)上可進(jìn)一步細(xì)分,以達(dá)到精細(xì)化管理的要求。對(duì)細(xì)分后的信息資產(chǎn),需定義其價(jià)值。這里所講的價(jià)值并不是財(cái)物價(jià)格,而是從信息科技風(fēng)險(xiǎn)的角度,即機(jī)密性、完整性、可用性的價(jià)值取值。如果采取三級(jí)分類法對(duì)信息資產(chǎn)進(jìn)行劃分,分類標(biāo)準(zhǔn)參照如下。
(1)關(guān)鍵信息資產(chǎn):從保密性而言,對(duì)應(yīng)為機(jī)密級(jí),涵蓋重要的信息、信息處理設(shè)施和系統(tǒng)資源,只能給少數(shù)必須知道者(特定的任務(wù)群體),一旦泄漏,會(huì)造成嚴(yán)重的損害(部門或特定范圍)。
(2)重要信息資產(chǎn):從保密性而言,對(duì)應(yīng)為秘密級(jí),涵蓋一般性的商業(yè)秘密,泄漏后會(huì)造成一定的損害,但不會(huì)造成重大的影響與損失。未經(jīng)授權(quán)的更改、破壞或誤操作對(duì)信息系統(tǒng)造成一定的影響,或給業(yè)務(wù)帶來明顯沖擊。
(3)普通信息資產(chǎn):并非敏感信息,主要限于內(nèi)部使用。一旦泄漏,并不會(huì)造成顯著的影響。很難采用精確的財(cái)務(wù)方式來給信息資產(chǎn)確定價(jià)值,一般采用定性的方式來建立信息資產(chǎn)的價(jià)值或重要度,即按照事先確定的價(jià)值尺度將信息資產(chǎn)的價(jià)值劃分為不同等級(jí)。經(jīng)過信息資產(chǎn)識(shí)別與估價(jià)后,組織應(yīng)根據(jù)信息資產(chǎn)價(jià)值的大小進(jìn)一步確定需要保護(hù)的關(guān)鍵信息資產(chǎn)。
2.威脅風(fēng)險(xiǎn)的計(jì)量
威脅風(fēng)險(xiǎn)的計(jì)量用以評(píng)價(jià)威脅發(fā)生時(shí)對(duì)信息資產(chǎn)造成的潛在影響或后果,威脅一般能對(duì)信息基礎(chǔ)設(shè)施進(jìn)行損壞,還有可能導(dǎo)致信息泄密,或信息完整性和可用性受損,信息服務(wù)質(zhì)量下降,嚴(yán)重的甚至可能造成信息系統(tǒng)崩潰、信息服務(wù)中斷,直接影響銀行的經(jīng)營(yíng)利潤(rùn)和聲譽(yù)風(fēng)險(xiǎn)。不同的威脅可能對(duì)銀行及其信息資產(chǎn)的影響程度不盡相同,其導(dǎo)致的價(jià)值損失可能也不一樣,威脅的可能性可以采取資產(chǎn)的相對(duì)價(jià)值的損失度來衡量,資產(chǎn)的相對(duì)價(jià)值是通過折舊損耗之后資產(chǎn)的現(xiàn)值,價(jià)值損失度表示當(dāng)信息資產(chǎn)遭遇威脅攻擊之后,信息資產(chǎn)及信息服務(wù)質(zhì)量遭受損失的程度。威脅的可能性一般可分為三級(jí),取值標(biāo)準(zhǔn)如下。
(1)高:在業(yè)務(wù)活動(dòng)持續(xù)期間,威脅發(fā)生后,會(huì)對(duì)資產(chǎn)的相對(duì)價(jià)值造成全部損失或巨大損失。
(2)中:在業(yè)務(wù)活動(dòng)持續(xù)期間,威脅發(fā)生后,會(huì)對(duì)資產(chǎn)的相對(duì)價(jià)值造成中度損失或局部損失。
(3)低:在業(yè)務(wù)活動(dòng)持續(xù)期間,威脅發(fā)生后,會(huì)對(duì)資產(chǎn)的相對(duì)價(jià)值造成輕微損失或零損失。
3.脆弱性風(fēng)險(xiǎn)的計(jì)量
由于組織、人員、管理、技術(shù)、流程、信息資產(chǎn)本身的缺陷,導(dǎo)致信息資產(chǎn)和信息基礎(chǔ)設(shè)施在某些方向存在一定的脆弱性,這些脆弱性在信息系統(tǒng)連續(xù)運(yùn)行的過程中,當(dāng)遇到某種環(huán)境或某類事件時(shí),就會(huì)被激發(fā)或體現(xiàn)出來,它可能導(dǎo)致信息資產(chǎn)直接受損或信息系統(tǒng)運(yùn)行質(zhì)量下降,同時(shí)還有可能被某種威脅利用,導(dǎo)致較為嚴(yán)重的后果。因此,應(yīng)該針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn),分析其脆弱性存在的地方及嚴(yán)重程度,評(píng)價(jià)由于其脆弱性的存在,當(dāng)意外事件或威脅發(fā)生時(shí),會(huì)給銀行帶來的直接或間接的損失或傷害。信息資產(chǎn)脆弱性一般分為三級(jí),取值標(biāo)準(zhǔn)如下。
(1)高:當(dāng)有意外事件或脆弱性被威脅利用,會(huì)造成存在此脆弱性的信息資產(chǎn)立即停止為相關(guān)業(yè)務(wù)提供服務(wù)。
(2)中:當(dāng)有意外事件或脆弱性被威脅利用,會(huì)造成存在此脆弱性的信息資產(chǎn)降低為相關(guān)業(yè)務(wù)提供服務(wù)的效率,但服務(wù)仍可繼續(xù)。
(3)低:當(dāng)有意外事件或脆弱性被威脅利用,會(huì)造成存在此脆弱性的信息資產(chǎn)對(duì)繼續(xù)為相關(guān)業(yè)務(wù)提供服務(wù)沒有影響。
最終每項(xiàng)信息資產(chǎn)的風(fēng)險(xiǎn)狀況可用以下方法簡(jiǎn)單計(jì)算得到:
風(fēng)險(xiǎn)值=信息資產(chǎn)價(jià)值*威脅可能性*弱點(diǎn)嚴(yán)重性
資產(chǎn)價(jià)值、威脅可能性、脆弱性嚴(yán)重性采用三級(jí)分類,其低、中、高取值分別為1、2、3,資產(chǎn)的風(fēng)險(xiǎn)值則有1、2、3、4、6、8、9、12、18、27等結(jié)果。我們可以定義風(fēng)險(xiǎn)值在l至9的資產(chǎn)為低風(fēng)險(xiǎn)資產(chǎn),風(fēng)險(xiǎn)值12至18為中等風(fēng)險(xiǎn)資產(chǎn),風(fēng)險(xiǎn)值27為高風(fēng)險(xiǎn)資產(chǎn)。銀行可根據(jù)自己的風(fēng)險(xiǎn)偏好,確定可接受的風(fēng)險(xiǎn)程度,如低風(fēng)險(xiǎn)可接受,而中高風(fēng)險(xiǎn)不可接受,然后對(duì)不可接受風(fēng)險(xiǎn)采取相應(yīng)的控制措施。通過降低風(fēng)險(xiǎn)發(fā)生的可能性,確保信息資產(chǎn)的殘余風(fēng)險(xiǎn)控制在銀行可接受的范圍內(nèi)。
三、銀行信息科技風(fēng)治理思路
按照國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA的觀點(diǎn),信息科技風(fēng)險(xiǎn)治理是一個(gè)由各類信息關(guān)系和信息科技風(fēng)險(xiǎn)治理活動(dòng)過程組成的治理結(jié)構(gòu),用以指導(dǎo)、分析和控制信息科技風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)治理的主要目標(biāo)是為了采取一定的有效措施,規(guī)避信息科技風(fēng)險(xiǎn)帶來的損失,同時(shí)需要平衡信息科技風(fēng)險(xiǎn)防控所收獲的價(jià)值和開展信息科技風(fēng)險(xiǎn)防控活動(dòng)所需的成本。因此,不僅僅要從技術(shù)層面規(guī)避風(fēng)險(xiǎn),同時(shí)要從流程、技術(shù)、人員三個(gè)不可分離的層面來從事信息科技風(fēng)險(xiǎn)的管理工作。目前在信息科技風(fēng)險(xiǎn)管控方面,銀行還需滿足外部監(jiān)管部門的要求,從而避免給銀行帶來更大的合規(guī)風(fēng)險(xiǎn)。
1.提出信息科技風(fēng)險(xiǎn)治理需求
信息科技風(fēng)險(xiǎn)是信息系統(tǒng)各組成要件在履行其應(yīng)用功能過程中,在完整性、可用性、抗否認(rèn)性和機(jī)密性等方面存在的脆弱性,以及信息系統(tǒng)內(nèi)部或外部的人們利用這些脆弱性可能產(chǎn)生的違背信息系統(tǒng)所屬組織風(fēng)險(xiǎn)管理意志的行為及其后果。信息科技風(fēng)險(xiǎn)治理需求則是對(duì)抗和消除信息科技風(fēng)險(xiǎn)治理風(fēng)險(xiǎn)的必要}生和可行陛,它是制定和實(shí)施信息科技風(fēng)險(xiǎn)治理策略的起點(diǎn)和依據(jù)。在制定信息科技風(fēng)險(xiǎn)治理策略前,首先需要進(jìn)行信息科技風(fēng)險(xiǎn)治理風(fēng)險(xiǎn)識(shí)別,充分分析信息科技風(fēng)險(xiǎn)治理需求。為此,銀行需要詳細(xì)分析銀行信息系統(tǒng)的構(gòu)成,所要保護(hù)的信息系統(tǒng)資源類別,以及對(duì)攻擊者攻擊目的、技術(shù)手段和造成的后果的假設(shè),兼顧所受到的已知的、可能的和與該系統(tǒng)有關(guān)的威脅,以及構(gòu)成信息系統(tǒng)各部件的缺陷和隱患共同形成的風(fēng)險(xiǎn)等,從而提出信息科技風(fēng)險(xiǎn)治理需求。
2.確定信息科技風(fēng)險(xiǎn)治理策略
信息科技風(fēng)險(xiǎn)治理需求轉(zhuǎn)變?yōu)樾畔⒖萍硷L(fēng)險(xiǎn)治理策略主要把握三個(gè)平衡標(biāo)準(zhǔn):一是能夠采取一定的方法將信息科技風(fēng)險(xiǎn)降到可以接受的程度;二是潛在的信息科技風(fēng)險(xiǎn)的威脅隨時(shí)有可能對(duì)現(xiàn)有信息資產(chǎn)的價(jià)值進(jìn)行催毀或造成較大程度的損失;三是銀行自身的合規(guī)建設(shè)和外部監(jiān)管部門的合規(guī)要求。
一個(gè)較好的信息科技風(fēng)險(xiǎn)治理策略,應(yīng)該最大限度地按照信息科技風(fēng)險(xiǎn)治理等級(jí)保護(hù)要求對(duì)信息資產(chǎn)的脆弱性進(jìn)行保護(hù),對(duì)信息資產(chǎn)面臨的威脅進(jìn)行防控、規(guī)避或消除,能夠體現(xiàn)系統(tǒng)資源擁有者和管理者的信息科技風(fēng)險(xiǎn)治理意志和思路,保證攻擊信息系統(tǒng)所花的代價(jià)遠(yuǎn)遠(yuǎn)大于獲取信息資產(chǎn)的現(xiàn)值和潛在價(jià)值。同時(shí),信息科技風(fēng)險(xiǎn)治理策略應(yīng)盡可能地制約所預(yù)見的系統(tǒng)風(fēng)險(xiǎn)及其變化,并在維持“風(fēng)險(xiǎn)一信息科技風(fēng)險(xiǎn)治理一投資”關(guān)系中具有持續(xù)平衡能力。
3.建立信息科技風(fēng)險(xiǎn)治理體系
將信息科技風(fēng)險(xiǎn)治理策略付諸實(shí)施的關(guān)鍵,是建立起符合銀行實(shí)際的保障信息資產(chǎn)的信息科技風(fēng)險(xiǎn)治理組織體系、管理體系和技術(shù)體系,從而在管理和技術(shù)上保證信息科技風(fēng)險(xiǎn)治理策略得以完整準(zhǔn)確地實(shí)現(xiàn),全面準(zhǔn)確地滿足信息科技風(fēng)險(xiǎn)治理需求。其中,組織體系是信息系統(tǒng)信息科技風(fēng)險(xiǎn)治理的組織保障,由人、崗位和人事管理機(jī)構(gòu)三部分組成;管理體系是信息科技風(fēng)險(xiǎn)治理的靈魂,由法律管理、制度管理、培訓(xùn)和管理四部分組成,信息科技風(fēng)險(xiǎn)治理需求分析和信息科技風(fēng)險(xiǎn)治理策略制定是其關(guān)鍵內(nèi)容;技術(shù)體系是全面提供信息科技風(fēng)險(xiǎn)治理保護(hù)的技術(shù)保障系統(tǒng),包括確定必需的信息科技風(fēng)險(xiǎn)治理服務(wù)、信息科技風(fēng)險(xiǎn)治理機(jī)制和技術(shù)管理以及它們?cè)谛畔⑾到y(tǒng)上的合理部署和配置。
四、信息科技風(fēng)險(xiǎn)防控方法
通過對(duì)銀行信息科技治理、全面的信息科技項(xiàng)目風(fēng)險(xiǎn)管理、信息系統(tǒng)開發(fā)、維護(hù)、運(yùn)行管理、信息風(fēng)險(xiǎn)體系的建立、銀行業(yè)務(wù)連續(xù)性管理、技術(shù)外包管理、內(nèi)部和外部審計(jì)等幾方面結(jié)合,具體論述銀行各類信息科技風(fēng)險(xiǎn)的防控策略和建立一體化防控機(jī)制的措施,通過建立有效的防控機(jī)制,實(shí)現(xiàn)對(duì)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)和控制,提供風(fēng)險(xiǎn)預(yù)警,增強(qiáng)銀行的核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展的能力。
1.建立信息科技風(fēng)險(xiǎn)治理的決策議事機(jī)構(gòu)
在銀行風(fēng)險(xiǎn)管理委員會(huì)和信息化委員會(huì)的基礎(chǔ)上,在其下面建立信息科技風(fēng)險(xiǎn)治理的議事決策機(jī)構(gòu)——信息科技風(fēng)險(xiǎn)管理分委會(huì),信息科技風(fēng)險(xiǎn)管理分委會(huì)由銀行的最高管理層及與信息科技風(fēng)險(xiǎn)治理有關(guān)的部門負(fù)責(zé)人、管理技術(shù)人員組成,定期召開會(huì)議,并就以下重要信息科技風(fēng)險(xiǎn)治理議題進(jìn)行討論并做出決策,為銀行信息科技風(fēng)險(xiǎn)治理提供導(dǎo)向與支持:評(píng)審和審批信息科技風(fēng)險(xiǎn)治理策略;分配信息科技風(fēng)險(xiǎn)治理職責(zé);確認(rèn)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果;對(duì)與信息科技風(fēng)險(xiǎn)治理有關(guān)的重大更改事項(xiàng),如組織機(jī)構(gòu)調(diào)整、信息系統(tǒng)更改等進(jìn)行決策;評(píng)審和監(jiān)測(cè)信息科技風(fēng)險(xiǎn)治理事故;審批與信息科技風(fēng)險(xiǎn)治理有關(guān)的其他重要事項(xiàng)。
2.明確信息科技風(fēng)險(xiǎn)治理的職責(zé)和流程
職責(zé)缺乏或界定不清,最終導(dǎo)致信息科技風(fēng)險(xiǎn)控制得不到有效的實(shí)施,形成管理風(fēng)險(xiǎn)。銀行最高管理者應(yīng)確保對(duì)以下信息科技風(fēng)險(xiǎn)治理職責(zé)進(jìn)行規(guī)定并形成書面文件:管理層職責(zé),部門職責(zé);在管理層指定一名信息科技風(fēng)險(xiǎn)治理經(jīng)理,分管銀行信息科技風(fēng)險(xiǎn)治理事宜,負(fù)責(zé)銀行的信息科技風(fēng)險(xiǎn)治理方針的貫徹與落實(shí),就信息科技風(fēng)險(xiǎn)治理的效果與有關(guān)重大問題及時(shí)與最高管理者進(jìn)行溝通。確定與信息科技風(fēng)險(xiǎn)治理有關(guān)的管理、操作、驗(yàn)證等人員的職責(zé);基本原則就是告知管理層和員工信息科技風(fēng)險(xiǎn)治理時(shí)的行為和方法,特別是在信息科技風(fēng)險(xiǎn)治理通常不被重視的地方。
3.建立信息系統(tǒng)的安全等級(jí)保護(hù)機(jī)制
銀行需要按照國(guó)家及監(jiān)管部門有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作,建設(shè)風(fēng)險(xiǎn)設(shè)施、建立風(fēng)險(xiǎn)制度、落實(shí)風(fēng)險(xiǎn)責(zé)任,接受公安機(jī)關(guān)、保密部門對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo),保障信息系統(tǒng)風(fēng)險(xiǎn)。信息系統(tǒng)安全等級(jí)保護(hù)工作的原則為:對(duì)照標(biāo)準(zhǔn)定級(jí),各信息系統(tǒng)風(fēng)險(xiǎn)保護(hù)等級(jí)的確定須對(duì)照監(jiān)管部門或總行關(guān)于等級(jí)劃分和定級(jí)的標(biāo)準(zhǔn)來確定;分級(jí)實(shí)施保護(hù),根據(jù)確定的信息系統(tǒng)風(fēng)險(xiǎn)保護(hù)等級(jí),按照相關(guān)的法規(guī)和標(biāo)準(zhǔn),分級(jí)別實(shí)施不同強(qiáng)度的風(fēng)險(xiǎn)保護(hù);建設(shè)保護(hù)同步,信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)須同步規(guī)劃和設(shè)計(jì)風(fēng)險(xiǎn)方案,并組織實(shí)施;等級(jí)動(dòng)態(tài)調(diào)整.信息系統(tǒng)的功能和系統(tǒng)架構(gòu)發(fā)生重大變化的,須重新進(jìn)行等級(jí)確定并實(shí)施風(fēng)險(xiǎn)保護(hù)。
4.加強(qiáng)與其他關(guān)聯(lián)組織間的協(xié)作
信息科技發(fā)展日新月異,信息安全產(chǎn)品與技術(shù)不斷翻新,信息安全威脅的手段與種類也在不斷地變化。因此,對(duì)于外行來說,信息科技風(fēng)險(xiǎn)治理的某些方面是復(fù)雜的和困難的,對(duì)內(nèi)行來說,同樣也是復(fù)雜的和困難的。銀行可通過各種方式,獲取信息科技風(fēng)險(xiǎn)治理方面的建議以支持信息科技風(fēng)險(xiǎn)治理。與信息科技風(fēng)險(xiǎn)治理有關(guān)的國(guó)家管理機(jī)關(guān)有公安部、國(guó)家安全局、信息產(chǎn)業(yè)部等,銀行在遵守信息科技風(fēng)險(xiǎn)治理法律法規(guī)的方面,應(yīng)服從與信息科技風(fēng)險(xiǎn)治理有關(guān)的國(guó)家執(zhí)法機(jī)構(gòu)、人民銀行和銀監(jiān)會(huì)的管理和指導(dǎo)。銀行有必要保持和它們以及同業(yè)銀行、信息服務(wù)供應(yīng)商、電信運(yùn)營(yíng)商的適當(dāng)聯(lián)系,以確保在出現(xiàn)風(fēng)險(xiǎn)事故時(shí)盡快采取適當(dāng)?shù)男袆?dòng)和獲得建議。但在進(jìn)行風(fēng)險(xiǎn)信息的交流時(shí),要防止銀行的機(jī)密信息傳給未經(jīng)授權(quán)的人。
5.對(duì)信息科技風(fēng)險(xiǎn)治理工作進(jìn)行獨(dú)立評(píng)審
信息科技風(fēng)險(xiǎn)治理以風(fēng)險(xiǎn)出現(xiàn)的可能性作為對(duì)象而展開的,遵循管理的一般循環(huán)模式:計(jì)劃、執(zhí)行、檢查、行動(dòng)的持續(xù)改進(jìn)模式。為驗(yàn)證各項(xiàng)信息科技風(fēng)險(xiǎn)治理方針及控制程序、風(fēng)險(xiǎn)管理規(guī)章制度是否被有效實(shí)施,發(fā)現(xiàn)風(fēng)險(xiǎn)隱患并采取糾正措施,防止同樣的問題再次發(fā)生,可以通過內(nèi)部審核或外部審核達(dá)到上述目的。所謂審核的“獨(dú)立”性是指審核員與被審核方保持適當(dāng)?shù)莫?dú)立性,即被審核方不應(yīng)審核自己的工作,確保信息科技風(fēng)險(xiǎn)治理體系和策略的公正與可靠。
第五篇:南京銀行信息科技風(fēng)險(xiǎn)管理政策
南京銀行股份有限公司信息科技風(fēng)險(xiǎn)管理政策
第一章 總則
第一條 為進(jìn)一步完善南京銀行股份有限公司(以下簡(jiǎn)稱“本行”)全面風(fēng)險(xiǎn)管
理體系,保證本行業(yè)務(wù)的可持續(xù)發(fā)展,依據(jù)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)《商業(yè)銀行
信息科技風(fēng)險(xiǎn)管理指引》并結(jié)合本行實(shí)際,制定本政策。
第二條 本政策所稱信息科技風(fēng)險(xiǎn)是指本行在運(yùn)用信息科技過程中,由于自然
因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。
第三條 本行信息科技風(fēng)險(xiǎn)政策取向是:穩(wěn)健。實(shí)行規(guī)避、預(yù)防、緩釋、抵補(bǔ)
等管理策略。
第四條 本行通過搭建科學(xué)的風(fēng)險(xiǎn)管理組織架構(gòu)、劃分明確的風(fēng)險(xiǎn)管理職責(zé)、制定有效的風(fēng)險(xiǎn)管理制度和操作流程等措施,持續(xù)推動(dòng)信息科技風(fēng)險(xiǎn)管理工作的開
展。
第五條 本行信息科技風(fēng)險(xiǎn)管理的管理原則是:全員參與、協(xié)調(diào)統(tǒng)一、預(yù)防為
主、動(dòng)態(tài)管理。
第六條 本行信息科技風(fēng)險(xiǎn)的管理目標(biāo)是通過建立完整、合理、有效的風(fēng)險(xiǎn)管
理機(jī)制,實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、評(píng)估、計(jì)量、監(jiān)測(cè)和控制,促進(jìn)本行安全、持續(xù)、穩(wěn)健運(yùn)行,推動(dòng)業(yè)務(wù)創(chuàng)新,提高本行信息技術(shù)使用水平,增強(qiáng)核心競(jìng)爭(zhēng)力和
可持續(xù)發(fā)展能力。
第二章 信息科技風(fēng)險(xiǎn)的組織架構(gòu)和職責(zé)
第七條 本行建立與信息科技風(fēng)險(xiǎn)特點(diǎn)相適應(yīng)的組織架構(gòu),包括董事會(huì)、董事會(huì)
風(fēng)險(xiǎn)管理委員會(huì)、高級(jí)管理層。
第八條 董事會(huì)承擔(dān)本行信息科技風(fēng)險(xiǎn)管理的最終職責(zé)。具體職責(zé)包括:
(一)建立并完善分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技
治理組織結(jié)構(gòu);
(二)審查批準(zhǔn)信息科技戰(zhàn)略,確保其與本行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一
致;
(三)動(dòng)態(tài)掌握信息科技風(fēng)險(xiǎn)政策和信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技
預(yù)算和實(shí)際支出情況及信息科技的整體狀況;
(四)定期聽取專門委員會(huì)工作事項(xiàng)的執(zhí)行情況。2 第九條 董事會(huì)授權(quán)風(fēng)險(xiǎn)管理委員會(huì)行使以下職責(zé):
(一)依據(jù)本行信息科技戰(zhàn)略,制定信息科技風(fēng)險(xiǎn)管理政策;
(二)監(jiān)督高級(jí)管理層制定具體有效的信息科技風(fēng)險(xiǎn)管理制度和操作流程;
(三)按聽取高級(jí)管理層的信息科技風(fēng)險(xiǎn)監(jiān)測(cè)報(bào)告,評(píng)估信息科技風(fēng)險(xiǎn)管
理工作的總體效果和效率并提出完善的建議和意見;
(四)配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作,及時(shí)決策本
行發(fā)生的重大信息科技事故或突發(fā)事件,向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)
管理的報(bào)告;
(五)確保內(nèi)外部審計(jì)部門獨(dú)立有效的進(jìn)行信息科技風(fēng)險(xiǎn)審計(jì),并確認(rèn)審計(jì)報(bào)
告;
(六)履行董事會(huì)授權(quán)的其他信息科技風(fēng)險(xiǎn)管理職能。
第十條 高級(jí)管理層行使以下職責(zé):
(一)負(fù)責(zé)執(zhí)行本行信息科技風(fēng)險(xiǎn)政策和發(fā)展戰(zhàn)略;
(二)制定具體的信息科技風(fēng)險(xiǎn)管理制度及具體的操作流程,確定可接受的信
息科技風(fēng)險(xiǎn)級(jí)別,確保境內(nèi)外信息科技風(fēng)險(xiǎn)能夠被識(shí)別、評(píng)估、計(jì)量、監(jiān)測(cè)和控制,統(tǒng)一協(xié)調(diào)各經(jīng)營(yíng)部門有效開展信息科技風(fēng)險(xiǎn)管理工作;
(三)確保本行信息科技系統(tǒng)正常運(yùn)行,有效防范跨境風(fēng)險(xiǎn);
(四)規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn),增強(qiáng)內(nèi)部企業(yè)文化建設(shè),提高全體人員
對(duì)信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí);
(五)組織專業(yè)培訓(xùn),加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè),建立人才激勵(lì)機(jī)制;
(六)對(duì)董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)確認(rèn)的信息科技風(fēng)險(xiǎn)內(nèi)外部審計(jì)報(bào)告,落實(shí)具
體的整改措施;
(七)配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作,并落實(shí)整改
措施,及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本行發(fā)生的重大信息科技事故或突發(fā)事件,并按相關(guān)預(yù)案快速響應(yīng);
(八)其他信息科技風(fēng)險(xiǎn)的管理職能。
第三章 信息科技風(fēng)險(xiǎn)管理的內(nèi)容
第十一條 本行信息科技風(fēng)險(xiǎn)管理的內(nèi)容包括但不限于:信息安全管理、信息系
統(tǒng)開發(fā)、測(cè)試和維護(hù)管理、信息科技運(yùn)行管理、業(yè)務(wù)連續(xù)性管理和外包管理等方面。
第十二條 本行通過制定各類有效的信息科技管理制度,優(yōu)化風(fēng)險(xiǎn)管理流程,提3 高制度約束的執(zhí)行力水平,不斷完善信息安全管理機(jī)制,最終實(shí)現(xiàn)信息的持續(xù)安全
管理。
第十三條 本行在信息系統(tǒng)開發(fā)中,采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法,充分評(píng)估信息科
技項(xiàng)目風(fēng)險(xiǎn),合理安排信息科技項(xiàng)目的排序、立項(xiàng)、審批和控制;在測(cè)試和維護(hù)中,強(qiáng)化數(shù)據(jù)的完整性、保密性和可用性,確保系統(tǒng)的可靠性、完整性和可維護(hù)性,合理控制信息系統(tǒng)的生命周期。
第十四條 本行在信息系統(tǒng)運(yùn)行過程中,實(shí)施必要的隔離措施,建立應(yīng)急的信息
系統(tǒng)運(yùn)行事故管理機(jī)制。
第十五條 本行在業(yè)務(wù)連續(xù)性管理過程中,通過制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃,確
保信息系統(tǒng)在無法預(yù)見的中斷時(shí)能夠有效的運(yùn)行。
第十六條 本行實(shí)施重要信息科技外包(如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)時(shí),堅(jiān)持謹(jǐn)慎原則,經(jīng)必要的分析、論證和審查程序,不得將信息科技管理責(zé)任外包;
適時(shí)謹(jǐn)慎的履行監(jiān)督外包職能;在外包管理過程中,確保本行的客戶資料等敏感信
息的安全。
第四章 信息科技風(fēng)險(xiǎn)管理的程序
第十七條 高級(jí)管理層按向董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)出具本行信息科技風(fēng)險(xiǎn)
管理書面監(jiān)測(cè)報(bào)告,詳細(xì)說明信息科技風(fēng)險(xiǎn)管理情況和下一步完善措施。
第十八條 對(duì)本行重大的信息科技風(fēng)險(xiǎn)事件,在第一時(shí)間向董事會(huì)風(fēng)險(xiǎn)管理委員
會(huì)和監(jiān)管部門報(bào)告。
第十九條 對(duì)監(jiān)管部門現(xiàn)場(chǎng)檢查和內(nèi)外部審計(jì)機(jī)構(gòu)審計(jì)中發(fā)現(xiàn)的問題,落實(shí)整改
措施并及時(shí)向董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)報(bào)告。
第五章 考核與獎(jiǎng)懲
第二十條 本行董事會(huì)將信息科技風(fēng)險(xiǎn)管理情況納入到對(duì)董事、高級(jí)管理層的履職考核中。
第二十一條 高級(jí)管理層通過建立科學(xué)的信息科技風(fēng)險(xiǎn)管理問責(zé)制度,將信息科
技風(fēng)險(xiǎn)管理的考核指標(biāo)納入全面風(fēng)險(xiǎn)管理考核體系,以推動(dòng)業(yè)務(wù)發(fā)展質(zhì)量的全面提
升。
第六章 附則
第二十二條 本政策由南京銀行股份有限公司董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)解釋。
第二十三條 本辦法自董事會(huì)批準(zhǔn)之日起執(zhí)行。
點(diǎn)擊咨詢 