(最新)信息科技風險管理辦法

1、風理：技號/：總機責信技管信全信統(tǒng)測維信技業(yè)續(xù)理外審外審附3 版次號生效日期修改原因A/0流程體系文文件A版版 首次次發(fā)布為有效防范范銀行運用用信息系系統(tǒng)進行行業(yè)務處處理、經經營管理理和內部部控制過過程中產產生的風風險，促促進我行行各項業(yè)業(yè)務安全全、持續(xù)續(xù)、穩(wěn)健健運行，根根據中中華人民民共和國國銀行業(yè)業(yè)監(jiān)督管管理法、中中華人民民共和國國商業(yè)銀銀行法、商業(yè)銀行信息科技風險管理指引、營口沿海銀操作風險管理指引，以及國家信息安全相關要求和有關法律法規(guī)，制定本管理辦法。本管理辦法法所稱信信息科技技是指計計算機、通通信、微微電子和和軟件工工程等現(xiàn)現(xiàn)代信息息技術，在在我行業(yè)業(yè)務交易易處理、經經營管理理和內

2、部部控制等等方面的的應用，并并包括進進行信息息科技治治理，建建立完整整的管理理組織架架構，制制訂完善善的管理理制度和和流程。本管理辦法法所稱信信息科技技風險，是是指信息息科技在在我行運運用過程程中，由由于自然然因素、人人為因素素、技術術漏洞和和管理缺缺陷產生生的操作作、法律律和聲譽譽等風險險。信息科技風風險管理理的目標標是通過過建立有有效的機機制，實實現(xiàn)對我我行信息息科技風風險的識識別、計計量、監(jiān)監(jiān)測和控控制，促促進我行行安全、持持續(xù)、穩(wěn)穩(wěn)健運行行，推動動業(yè)務創(chuàng)創(chuàng)新，提提高信息息技術使使用水平平，增強強核心競競爭力和和可持續(xù)續(xù)發(fā)展能能力。機構職責根據我行信信息科技技治理的的要求，法法定代表表人

3、是本本機構信信息科技技風險管管理的第第一責任任人，負負責組織織本管理理辦法的的貫徹落落實, 董事會會應履行行以下信信息科技技管理職職責：徹國關科理律規(guī)術落國業(yè)管員以稱會關要信技確與的業(yè)略大相評息及險工總果率的科險定受險確關能識計監(jiān)控道為潔增部建提體對科險重的由高理信技和業(yè)門表的信技委負督職落定董和管匯息戰(zhàn)劃行息預實出息的狀好司的上信技形工職確互報系的科理結加息專伍設立激制審門獨效息風理對報行并整并監(jiān)其機送科險的報科險工需所工理遵其的科險制流并相訓人涉戶賬息產息核統(tǒng)國獨行保高理符監(jiān)管施檢要防境監(jiān)其機告構的信技或事按預速會派構信技監(jiān)查并監(jiān)見整科險其關我行應設立立分管信信息科技技的副行行級領導導，直

4、接接向行長長匯報，并并參與決決策。副副行級領領導的職職責包括括：本與科用的發(fā)策科略其息開略合行體戰(zhàn)信技管略一實的科門擔行息職確履信技和信技標流信技控專研信技發(fā)管信統(tǒng)息基施行護級息管災復信技和系出責科險的性使管施到的個機分構培提才的技科險其關科技部負責責我行信信息安全全、信息息系統(tǒng)開開發(fā)、測測試和維維護、信信息科技技運行、業(yè)業(yè)務連續(xù)續(xù)性管理理；應對對內部管管理職責責進行明明確的界界定，各各崗位的的人員應應具有相相應的專專業(yè)知識識和技能能，重要要崗位應應制定詳詳細完整整的工作作手冊并并適時更更新，并并對相關關人員采采取相關關的風險險防范措措施：信包驗身件歷工歷業(yè)證信科工德確具應業(yè)了遵息策指則息授用

5、系信技制流要并工相議崗息員失的做排員崗替等措在崗生后變關運營管理部部職能交交叉，要要部門協(xié)協(xié)調是信信息系統(tǒng)統(tǒng)中涉及及賬務交交易的操操作、系系統(tǒng)參數數變更、事事件管理理的主要要部門。運運營管理理部的職職責包括括：護行分運員行不其員運員操程和維員授維程對狀軟數行除外他應工間的值作包定時操圍容法令負員息環(huán)設用絡系行交要協(xié)監(jiān)息值程有操程息數維須特應序添刪修據過終不數進接；詳日息括日審志以護計的和打能數置維要系置實格全密防法變泄丟破根感和確取方授用嚴批記的處程確控各的并流施和；前確和方無不行操需變案更核單關審更確安和性能要協(xié)環(huán)施日檢確系機境出障應理和有交務據應2時報度生系成經聲失大事應上處必啟急預風險管

6、理部部負責信信息科技技風險管管理工作作，并直直接向分分管行領領導（風風險管理理委員會會）報告告工作。該該部門應應為信息息科技突突發(fā)事件件應急響響應小組組的成員員之一，負負責協(xié)調調制定有有關信息息科技風風險管理理策略，尤尤其是在在涉及信信息安全全、業(yè)務務連續(xù)性性計劃和和合規(guī)性性風險等等方面，為為業(yè)務部部門和信信息科技技部門提提供建議議及相關關合規(guī)性性信息，實實施持續(xù)續(xù)信息科科技風險險評估，跟跟蹤整改改意見的的落實，監(jiān)監(jiān)控信息息安全威威脅和不不合規(guī)事事件的發(fā)發(fā)生。風風險管理理部的職職責包括括：系險總策提級層審業(yè)門息風行監(jiān)系險對相務和機息風況護行進測進時產息的價識評信統(tǒng)包風審應作險程 稽核審計部部應

7、在部部門設立立專門的的信息科科技風險險審計崗崗位，負負責信息息科技審審計制度度和流程程的實施施，制訂訂和執(zhí)行行信息科科技審計計計劃，對對信息科科技整個個生命周周期和重重大事件件等進行行審計?；藢徲嬘嫴控撠熦熚倚行判畔⑾到y(tǒng)統(tǒng)審計任任務，也也可聘請請經國家家相應監(jiān)監(jiān)管部門門認定資資質的中中介機構構進行信信息系統(tǒng)統(tǒng)外部審審計。信息科技風風險管理理我行應制定定全面的的信息科科技風險險管理策策略，包包括但不不限于下下述領域域：與開測維運維性與處我行應制定定持續(xù)的的風險識識別和評評估流程程，確定定信息科科技中存存在隱患患的區(qū)域域，評價價風險對對其業(yè)務務的潛在在影響，對對風險進進行排序序，并確確定風險險

8、防范措措施及所所需資源源的優(yōu)先先級別（包包括外包包供應商商、產品品供應商商和服務務商）。我行應依據據信息科科技風險險管理策策略和風風險評估估結果，實實施全面面的風險險防范措措施。防防范措施施應包括括：的科險制技準作等期更公風域對區(qū)行和的實險化立的框以檢平險義業(yè)別制包用審據統(tǒng)理輯以知授則權節(jié)我行應建立立持續(xù)的的信息科科技風險險計量和和監(jiān)測機機制，其其中應包包括：科目前施評制檢統(tǒng)的和科務和處報制審外計管問整理商務對水議成進期新發(fā)能的和用面新運境作和控檢信技項風況信息安全科技部負責責建立和和實施信信息分類類和保護護體系，應應使所有有員工都都了解信信息安全全的重要要性，并并組織提提供必要要的培訓訓，讓

9、員員工充分分了解其其職責范范圍內的的信息保保護流程程?？萍疾繎渎鋵嵭畔⑾踩芄芾砺毮苣?。該職職能應包包括建立立信息安安全計劃劃和保持持長效的的管理機機制，提提高全體體員工信信息安全全意識，就就安全問問題向其其他部門門提供建建議，并并定期向向信息科科技管理理委員會會提交本本銀行信信息安全全評估報報告。信信息安全全管理機機制應包包括信息息安全標標準、策策略、實實施計劃劃和持續(xù)續(xù)維護計計劃。信信息安全全策略應應涉及以以下領域域：管組理管境管營管與管事理性理應建立有效效管理用用戶認證證和訪問問控制的的流程。用用戶對數數據和系系統(tǒng)的訪訪問必須須選擇與與信息訪訪問級別別相匹配配的認證證機制，并并且確保

10、保其在信信息系統(tǒng)統(tǒng)內的活活動只限限于相關關業(yè)務能能合法開開展所要要求的最最低限度度。用戶戶調動到到新的工工作崗位位或離開開我行時時，應在在系統(tǒng)中中及時檢檢查、更更新或注注銷用戶戶身份。應確保設立立物理安安全保護護區(qū)域，包包括計算算機中心心或數據據中心、存存儲機密密信息或或放置網網絡設備備等重要要信息科科技設備備的區(qū)域域，明確確相應的的職責，采采取必要要的預防防、檢測測和恢復復控制措措施。應根據信息息安全級級別，將將網絡劃劃分為不不同的邏邏輯安全全域（以以下簡稱稱為域）。應應該對下下列安全全因素進進行評估估，并根根據安全全級別定定義和評評估結果果實施有有效的安安全控制制，如對對每個域域和整個個網

11、絡進進行物理理或邏輯輯分區(qū)、實實現(xiàn)網絡絡內容過過濾、邏邏輯訪問問控制、傳傳輸加密密、網絡絡監(jiān)控、記記錄活動動日志等等。程用的程渠入訪的設應序的協(xié)端或如域試內或域間通程應通過以下下措施，確確保所有有計算機機操作系系統(tǒng)和系系統(tǒng)軟件件的安全全：類作的安求保系足安求包端系發(fā)系試計操員統(tǒng)員戶員同組問權統(tǒng)的驗監(jiān)程確高用操志錄察人期可安丁報丁狀志錄功錄要文訪對賬修有要手自控出任常定報情應通過以下下措施，確確保所有有信息系系統(tǒng)安全全：終戶息技員息安的和系重和程采效份方劃對或崗行控接進入或核的處密的和防息或取改按定方理情當被止用供信電式審跡管監(jiān)審成登用戶改應制定相關關策略和和流程，管管理所有有生產系系統(tǒng)的活活動

12、日志志，以支支持有效效的審核核、安全全取證分分析和預預防欺詐詐。日志志可以在在軟件的的不同層層次、不不同的計計算機和和網絡設設備上完完成，日日志劃分分為兩大大類：交志用和庫系生容用錄數改誤等易應國計要以系志作數管統(tǒng)火入測和器成容管錄系件絡錯息系志期系風級但少年應保證交易易日志和和系統(tǒng)日日志中包包含足夠夠的內容容，以便便完成有有效的內內部控制制、解決決系統(tǒng)故故障和滿滿足審計計需要；應采取取適當措措施保證證所有日日志同步步計時，并并確保其其完整性性。在例例外情況況發(fā)生后后應及時時復查系系統(tǒng)日志志。交易易日志或或系統(tǒng)日日志的復復查頻率率和保存存周期應應由信息息科技部部門和有有關業(yè)務務部門共共同決定定

13、，并報報信息科科技管理理委員會會批準。應采取加密密技術，防防范涉密密信息在在傳輸、處處理、存存儲過程程中出現(xiàn)現(xiàn)泄露或或被篡改改的風險險，并建建立密碼碼設備管管理制度度，以確確保： 國求密和設用設員過培嚴查滿息性求實的流尤密證命管配備切實有有效的系系統(tǒng)，確確保所有有終端用用戶設備備的安全全，并定定期對所所有設備備進行安安全檢查查，包括括臺式個個人計算算機（PPC）、便便攜式計計算機、柜柜員終端端、自動動柜員機機（ATTM）、存存折打印印機、讀讀卡器、銷銷售終端端（POOS）和和個人數數字助理理（PDDA）等等。制定相關制制度和流流程，嚴嚴格管理理客戶信信息的采采集、處處理、存存貯、傳傳輸、分分發(fā)

14、、備備份、恢恢復、清清理和銷銷毀。對所有員工工進行必必要的培培訓，使使其充分分掌握信信息科技技風險管管理制度度和流程程，了解解違反規(guī)規(guī)定的后后果，并并對違反反安全規(guī)規(guī)定的行行為采取取零容忍忍政策。信息系統(tǒng)開開發(fā)、測測試和維維護應有能力對對信息系系統(tǒng)進行行需求分分析、規(guī)規(guī)劃、采采購、開開發(fā)、測測試、部部署、維維護、升升級和報報廢，制制定制度度和流程程，管理理信息科科技項目目的優(yōu)先先排序、立立項、審審批和控控制。項項目實施施部門應應定期向向信息科科技管理理委員會會提交重重大信息息科技項項目的進進度報告告，由其其進行審審核，進進度報告告應當包包括計劃劃的重大大變更、關關鍵人員員或供應應商的變變更以及

15、及主要費費用支出出情況。應應在信息息系統(tǒng)投投產后一一定時期期內，組組織對系系統(tǒng)的后后評價，并并根據評評價結果果及時對對系統(tǒng)功功能進行行調整和和優(yōu)化。應認識到信信息科技技項目相相關的風風險，包包括潛在在的各種種操作風風險、財財務損失失風險和和因無效效項目規(guī)規(guī)劃或不不適當的的項目管管理控制制產生的的機會成成本，并并采取適適當的項項目管理理方法，控控制信息息科技項項目相關關的風險險。采取適當的的系統(tǒng)開開發(fā)方法法，控制制信息系系統(tǒng)的生生命周期期。典型型的系統(tǒng)統(tǒng)生命周周期包括括系統(tǒng)分分析、設設計、開開發(fā)或外外購、測測試、試試運行、部部署、維維護和退退出。所所采用的的系統(tǒng)開開發(fā)方法法應符合合信息科科技項目

16、目的規(guī)模模、性質質和復雜雜度。制定相關控控制信息息系統(tǒng)變變更的制制度和流流程，確確保系統(tǒng)統(tǒng)的可靠靠性、完完整性和和可維護護性，其其中應包包括以下下要求：與系測統(tǒng)隔與系測統(tǒng)理相理準緊復外止程發(fā)護進產且的修動立行和發(fā)試的或配更到系應信技和部聯(lián)準對進時和復實制標流確息開測維程據整保和性建立并完善善有效的的問題管管理流程程，以確確保全面面地追蹤蹤、分析析和解決決信息系系統(tǒng)問題題，并對對問題進進行記錄錄、分類類和索引引；如需需供應商商提供支支持服務務或技術術援助，應應向相關關人員提提供所需需的合同同和相關關信息，并并將過程程記錄在在案；對對完成緊緊急恢復復起至關關重要作作用的任任務和指指令集，應應有清晰

17、晰的描述述和說明明，并通通知相關關人員。信息科技運運行在選擇數據據中心的的地理位位置時，應應充分考考慮環(huán)境境威脅（如如是否接接近自然然災害多多發(fā)區(qū)、危危險或有有害設施施、繁忙忙或主要要公路），采采取物理理控制措措施，監(jiān)監(jiān)控對信信息處理理設備運運行構成成威脅的的環(huán)境狀狀況，并并防止因因意外斷斷電或供供電干擾擾影響數數據中心心的正常常運行。嚴格控制第第三方人人員（如如服務供供應商）進進入安全全區(qū)域，如如確需進進入應得得到適當當的批準準，其活活動也應應受到監(jiān)監(jiān)控；針針對長期期或臨時時聘用的的技術人人員和承承包商，尤尤其是從從事敏感感性技術術相關工工作的人人員，應應制定嚴嚴格的審審查程序序，包括括身份

18、驗驗證和背背景調查查。應將信息科科技運行行與系統(tǒng)統(tǒng)開發(fā)和和維護分分離，確確保信息息科技部部門內部部的崗位位制約；對數據據中心的的崗位和和職責做做出明確確規(guī)定。按照有關法法律法規(guī)規(guī)要求保保存交易易記錄，采采取必要要的程序序和技術術，確保保存檔數數據的完完整性，滿滿足安全全保存和和可恢復復要求。制定詳盡的的信息科科技運行行操作說說明。如如在信息息科技運運行手冊冊中說明明計算機機操作人人員的任任務、工工作日程程、執(zhí)行行步驟，以以及生產產與開發(fā)發(fā)環(huán)境中中數據、軟軟件的現(xiàn)現(xiàn)場及非非現(xiàn)場備備份流程程和要求求（即備備份的頻頻率、范范圍和保保留周期期）。建立事故管管理及處處置機制制，及時時響應信信息系統(tǒng)統(tǒng)運行

19、事事故，逐逐級向相相關的信信息科技技管理人人員報告告事故的的發(fā)生，并并進行記記錄、分分析和跟跟蹤，直直到完成成徹底的的處置和和根本原原因分析析。我行行應建立立服務臺臺，為用用戶提供供相關技技術問題題的在線線支持，并并將問題題提交給給相關信信息科技技部門進進行調查查和解決決。建立服務水水平管理理相關的的制度和和流程，對對信息科科技運行行服務水水平進行行考核。建立連續(xù)監(jiān)監(jiān)控信息息系統(tǒng)性性能的相相關程序序，及時時、完整整地報告告例外情情況；該該程序應應提供預預警功能能，在例例外情況況對系統(tǒng)統(tǒng)性能造造成影響響前對其其進行識識別和修修正。制定容量規(guī)規(guī)劃，以以適應由由于外部部環(huán)境變變化產生生的業(yè)務務發(fā)展和

20、和交易量量增長。容容量規(guī)劃劃應涵蓋蓋生產系系統(tǒng)、備備份系統(tǒng)統(tǒng)及相關關設備。及時進行維維護和適適當的系系統(tǒng)升級級，以確確保與技技術相關關服務的的連續(xù)可可用性，并并完整保保存記錄錄（包括括疑似和和實際的的故障、預預防性和和補救性性維護記記錄），以以確保有有效維護護設備和和設施。制定有效的的變更管管理流程程，以確確保生產產環(huán)境的的完整性性和可靠靠性。包包括緊急急變更在在內的所所有變更更都應記記入日志志，由信信息科技技部門和和業(yè)務部部門共同同審核簽簽字，并并事先進進行備份份,以便便必要時時可以恢恢復原來來的系統(tǒng)統(tǒng)版本和和數據文文件。緊緊急變更更成功后后,應通通過正常常的驗收收測試和和變更管管理流程程,

21、采用用恰當的的修正以以取代緊緊急變更更。業(yè)務連續(xù)性性管理根據自身業(yè)業(yè)務的性性質、規(guī)規(guī)模和復復雜程度度制定適適當的業(yè)業(yè)務連續(xù)續(xù)性規(guī)劃劃，以確確保在出出現(xiàn)無法法預見的的中斷時時，系統(tǒng)統(tǒng)仍能持持續(xù)運行行并提供供服務；定期對對規(guī)劃進進行更新新和演練練，以保保證其有有效性。評估因意外外事件導導致其業(yè)業(yè)務運行行中斷的的可能性性及其影影響，包包括評估估可能由由下述原原因導致致的破壞壞：源障失人系其產或如地臺應采取系統(tǒng)統(tǒng)恢復和和雙機熱熱備處理理等措施施降低業(yè)業(yè)務中斷斷的可能能性，并并通過應應急安排排和保險險等方式式降低影影響。建立維持其其運營連連續(xù)性策策略的文文檔，并并制定對對策略的的充分性性和有效效性進行行

22、檢查和和溝通的的計劃。其其中包括括：務性,降期期期所影措包不:如系其產及資方的順部外關尤監(jiān)構戶體的安業(yè)續(xù)劃程關信斷的完的業(yè)風況變對一進核級我行的業(yè)務務連續(xù)性性計劃和和年度應應急演練練結果應應由信息息科技風風險管理理部門或或信息科科技管理理委員會會確認。外包與審計計外包不得將我行行信息科科技管理理責任外外包，應應合理謹謹慎監(jiān)督督外包職職能的履履行。實施重要外外包（如如數據中中心和信信息科技技基礎設設施等)應格外外謹慎，在在準備實實施重要要外包時時應以書書面材料料正式報報告銀監(jiān)監(jiān)會或其其派出機機構。在簽署外包包協(xié)議或或對外包包協(xié)議進進行重大大變更前前，應做做好相關關準備，其其中包括括：是合的結報線

23、務總險是足履外務監(jiān)務協(xié)否我測制包的風評包商務性業(yè)對服進險考設能否承應任協(xié)更實平渡括合能的存集險多行同包商的業(yè)續(xù)險在與外包服服務商合合同談判判過程中中，應考考慮的因因素包括括但不限限于：務報求判條管和審外計行的信有簽密和技護保戶和信失是足商我關科險和的及措商的連保平及相屬的應現(xiàn)時證持用關協(xié)流以行包商變終包的例包商有控發(fā)化包商務發(fā)大商的不造行履督在實施雙方方關系管管理，以以及起草草服務水水平協(xié)議議時，應應考慮的的因素包包括但不不限于：和的指評包商行相戶服充水告期評內外立進效不的調程取措加強信息科科技相關關外包管管理工作作，確保保我行的的客戶資資料等敏敏感信息息的安全全，包括括但不限限于采取取以下措

24、措施：行資外務他資有離需授對服相員服保相員保定本客料包重包告關外務次轉采夠確行信安止協(xié)收銷包商的客料我行應建立立恰當的的應急措措施，應應對外包包服務商商在服務務中可能能出現(xiàn)的的重大缺缺失。尤尤其需要要考慮外外包服務務商的重重大資源源損失，重重大財務務損失和和重要人人員的變變動，以以及外包包協(xié)議的的意外終終止。我行所有信信息科技技外包合合同應由由科技部部、風險險管理部部、法律律合規(guī)部部和信息息科技管管理委員員會審核核通過。我我行應設設立流程程定期審審閱和修修訂服務務水平協(xié)協(xié)議。審計我行內部審審計部門門應根據據業(yè)務的的性質、規(guī)規(guī)模和復復雜程度度，對相相關系統(tǒng)統(tǒng)及其控控制的適適當性和和有效性性進行監(jiān)監(jiān)測?；藢徲嬘嫴块T應應配備足足夠的資資源和具具有專業(yè)業(yè)能力的的信息科科技審計計人員，獨獨立于我我行的日日?；顒觿樱哂杏羞m當的的授權訪訪問我行行的記錄錄。我行內部信信息科技技審計的的責任包包括：施整計檢評行科統(tǒng)控的性效款完計在礎出意意否落科項信技審是信技事行查析估審門風估對必特項的我行應根據據業(yè)務性性質、規(guī)規(guī)模和復復雜程度度，信息息科技