农商行信息科技风险管理办法模版-.docx

农商行信息科技风险管理办法 第一章 总则第一条 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进全省农商行安全、持续、稳健发展，根据商业银行内部控制指引、商业银行信息科技风险管理指引和有关信息系统管理的法规、标准，制定本办法。第二条 信息科技风险是指信息科技在农商行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第三条 信息科技风险管理，包括：信息科技风险组织保障体系、总体风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。第四条 本办法适用于全省农商行（含农村商业银行、农村合作银行）。第五条 信息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则，防范风险，保障业务的持续性和信息的安全性、完整性、可用性。第二章 组织保障体系第六条  各级农商行的理（董）事会是信息科技风险管理的最高决策机构，应当对本单位的信息科技风险管理工作承担最终责任。第七条 农商行联合社（以下简称“省联社”）负责组织落实国家相关部门关于信息科技风险工作的方针政策，研究决定全省农商行信息科技风险的重大事项，审批、组织信息科技风险工作的计划和实施；检查信息科技风险防范措施的执行情况。第八条 省联社派出机构（市级联社）、县级联社（含农合行、农商行）负责落实省联社制定的各项信息科技风险防控政策，制定辖内的实施细则或补充规定, 组织信息科技风险工作的计划和实施。第九条 科技信息部门负责信息科技规划和内部控制、信息系统开发、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、信息科技外包等，对信息科技风险防范进行专业化管理。第十条 风险管理部门负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和科技信息部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。第十一条 稽核审计部门负责建立健全信息科技风险审计制度，做好信息科技风险内部审计工作，配合做好中国银行业监督管理委员会或其委托中介机构对信息科技风险的外部审计，督促、配合相关部门对审计问题进行整改。第十二条  科技信息部门、风险管理部门和稽核审计部门应配备专业人员进行信息科技风险评估和审计。第十三条 科技信息部门应明确信息科技安全、开发、运行维护等岗位的职责，做到岗位之间互相制约，各岗位之间不得互相兼任，运行维护、安全等重要岗位实行A、B岗。第十四条  信息科技相关工作人员应具备良好的职业道德，掌握履行信息科技相关岗位职责所需的专业知识和技能。 第十五条 科技信息部门应加强信息科技风险管理专业队伍建设，建立人才激励机制，适应信息科技的发展。第三章 总体风险控制第十六条  总体风险是指农商行信息科技在策略、管理、制度、软件、硬件、网络、数据、文档、机房、操作等方面影响全局或共有的风险。第十七条 各级农商行应建立健全与信息科技相关的规章制度、技术规范和操作规程，建立健全信息科技制度的制定、审批和修订流程，明确信息科技相关人员的职责权限，建立制约机制，防范信息科技风险。第十八条 各级农商行应制定明确、持续的中长期信息科技发展规划和风险管理规划。第十九条  科技信息部门和相关业务部门应加强沟通协调，对信息科技项目可行性研究、立项、开发、验收、运行维护和项目后评估等实施有效的风险管理，确保系统的整体安全。第二十条 各级农商行应重视知识产权保护工作，使用正版软件，优先使用我国具有自主知识产权的软硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品。第二十一条  信息系统的应用部门应建立健全信息系统使用的相关规章制度和操作规程，明确信息系统使用人员的职责权限，建立制约机制，实行最小授权。第二十二条 科技信息部门和相关业务部门应对信息系统实施有效的用户授权和访问控制管理，根据业务和安全的要求，对信息和业务程序的访问权限，对用户及用户密码等进行严格的控制。第二十三条 科技信息部门和相关业务部门应加强信息系统加密机、密钥、密码和加密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。第二十四条 与信息系统相关的软、硬件设备的选型、购置、登记、维护、报废等必须严格执行相关制度，信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当的备品备件。第二十五条 网络系统的设计、建设要按照相关标准和规范，兼备技术先进性和产品成熟性；网络设备和线路应有冗余备份；建立健全网络管理系统，有效管理网络的安全、故障、性能和配置等；实现内部网络与外部网络的隔离，加强网络边界管理，使用技术手段有效降低外部攻击、信息泄漏等风险；加强接入互联网的管理。第二十六条 机房建设必须符合国家有关计算机场地、环境和供配电等技术标准。出入机房应当有严格的审批程序和出入记录，未经授权不得进入，确保机房环境和计算机硬件、各种存储介质的物理安全。第二十七条 定期组织整体信息安全风险评估和专项评估，并根据评估结果进行整改，实行信息安全等级保护，保证信息系统的安全性和完整性。第二十八条  在信息系统投产后，应不定期组织对系统的后评估，并根据评估结果及时对系统功能进行调整和优化。第二十九条 加强对信息系统病毒的防范，查杀毒软件使用获得销售许可证的正规软件，定期将查杀毒软件和病毒数据库更新至最新版本。第三十条 加强对操作系统、数据库和应用软件等的补丁升级管理以及软件的使用许可和授权管理。第三十一条 统筹规划建立全省农商行同城和异地灾难备份中心，在生产中心发生重大安全事件时保障业务的连续性。第四章 开发风险控制第三十二条 开发风险是指信息系统项目在开发过程中组织规划、需求分析、设计编程、测试投产等环节产生的风险。第三十三条 信息系统项目开发前应成立项目组，并指定具体负责人。项目组负责项目的开发、组织、协调、检查和监督工作。第三十四条 开发过程中的业务需求说明书应包含风险控制要求。第三十五条 应对开发过程中的功能说明书、架构说明书、设计说明书等进行风险评估。第三十六条 开发过程中的需求变更应由变更申请部门以正式书面的形式提出并履行相应变更流程后实施。变更申请应充分考虑变更风险，进行风险评估，并出具相应的变更风险评估报告。第三十七条   应建立独立的测试环境，保证测试的完整性和独立性。测试至少包括功能测试、安全性测试、压力测试等，并由测试部门提交测试报告。第三十八条   项目组根据测试结果完善系统的功能和安全性缺陷，提高系统的整体质量。第三十九条   项目投产前应编写技术应急预案、业务连续性计划、应急回退计划、投产风险评估报告等。第四十条 开发过程中所涉及的各种文档资料须经相关部门、人员的签字确认并归档保存。第五章运行维护风险控制第四十一条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理和机房管理等环节产生的风险。第四十二条 信息系统的运行应符合以下要求：（一）规定巡检时间，操作范围、内容以及责任人等信息。（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等。（三）记录机房环境、设备使用、网络运行、系统运行等监控信息以及值班操作信息。（四）对关键业务系统进行持续性或阶段性监测，主要包括响应时间和处理量、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值等。（五）绘制反映各类设备连接物理位置和交互关系的系统图和拓扑图。（六）机房实行24小时值班。第四十三条 信息系统的维护应符合以下要求：（一）按授权和维护规程要求对生产环境的软硬件、数据进行维护；（二）对软件或数据的维护必须经相关部门审核并进行详细登记；（三）采集生产主机、数据库、网络设备、防火墙和入侵检测等设备产生的详细日志并定期审阅。第四十四条 信息科技的变更应符合以下要求：（一）制订严密的变更处理流程，明确变更控制中审批授权机制以及各岗位的职责，并遵循流程实施控制和管理，无授权不得进行变更操作；（二）变更前应充分考虑变更风险，明确应急和回退方案，出具变更风险评估报告；（三）根据变更需求、变更方案、变更风险评估报告等相关文档审核变更的正确性、安全性和合规性；（四）变更后应保留所有历史版本，对所有变更文档进行归档管理。第四十五条 对运行维护人员实施有效管理，对敏感性岗位人员定期进行岗位轮换。第四十六条 加强对系统开发、运行和维护过程中形成的各类技术资料及源程序的备份管理，保留副本并异地存放，按规定年限保存，调用时严格授权；存储介质的日常管理维护、废弃处理以及内容的恢复等必须严格遵守相关制度。第四十七条 对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。第四十八条 建立信息系统应急机制，制定详细的应急预案，并定期进行演练、评审和修订；通过预防性和恢复性措施的结合，把灾难或安全事故所导致的破坏减少到最低水平。第四十九条 实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，按照农商行信息系统事件报告管理办法的规定及时报告并处理，必要时启动应急处理预案。第五十条 建立完善有效的问题管理流程，以确保全面的追踪，分析和解决信息系统问题，并对问题进行记录、分类和索引。第六章外包风险控制第五十一条 外包风险是指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。第五十二条 在进行信息科技外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险以及外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。第五十三条 建立健全有关规章制度，制定相应的风险防范措施，审慎管理外包产生的风险，提高对外包管理的能力。第五十四条  信息科技外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划。第五十五条 建立健全信息科技外包风险评估与监测机制，充分审查、评估承包方的经营状况、财务实力、安全资质和实际风险控制能力与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。第五十六条 建立健全外包承包方技术服务能力的评估机制，充分审查承包方的综合技术服务支持能力。第五十七条 进行项目外包时必须与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权等方面的义务和责任。第五十八条 与外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下保证外包服务不间断的应急预案。第五十九条 将敏感的信息系统以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律法规，符合中国人民银行和中国银行业监督管理委员会的有关规定，并在实施外包前报中国人民银行、中国银行业监督管理委员会及其派出机构和法律法规规定需要报告的机构备案。第七章信息系统风险审计第六十条 稽核审计部门负责信息科技风险审计，也可根据需要聘请经国家相应监管部门认定资质的中介机构对农商行进行信息科技风险外部审计。 第六十一条 信息科技风险审计应包括：总体风险审计和专项风险审计。第六十二条 信息科技总体风险审计是指对本机构所有信息系统共有的部分进行审计，实施总体风险控制。根据信息系统的总体风险状况确定审计频率，每三年至少审计一次。  第六十三条 信息科技专项风险审计是指对信息安全事故进行的调查、分析和评估，或原有信息系统进行重大结构调整的审计，或稽核审计部门认为需要对信息系统某项专题进行审计。  第六十四条 信息科技风险审计也可以由中国银行业监督管理委员会及其派出机构或省联社依据法律、法规和规章，委托并授权有法定资质的中介评估机构进行。中介机构进行审计时，应出示委托授权书，并在稽核审计部门的陪同下，依照委托授权书上规定的委托和授权范围进行审计。第六十五条 中介机构根据授权出具的审计报告经中国银行业监督管理委员会及其派出机构或省联社审阅确定后具有法律效力，有关部门按审计报告中提出的建议进行及时整改。  第六十六条 中介机构应严格执行法律法规，保守农商行的商业秘密。审计过程中所有资料的调阅应有交接手续，且不得带离现场或进行修改、复制。第八章 附则第六十七条 本办法由农商行联合社负责解释。第六十八条 本办法自下发之日起施行。