银行信息科技风险管理办法模版.docx
《银行信息科技风险管理办法模版.docx》由会员分享,可在线阅读,更多相关《银行信息科技风险管理办法模版.docx(9页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、银行信息科技风险管理办法 第一章 总则第一条 为建立和健全银行股份有限公司(以下简称“本行”)信息科技风险管理框架,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、商业银行信息科技风险管理指引银行全面风险管理办法银行操作风险管理办法,制订本办法。第二条 本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在本行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第三条 本办法所称信息科技风险,是指信息科技在本行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第四
2、条 信息科技风险管理的目标是通过建立有效的机制,实现对本行信息科技风险的识别、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章 信息科技风险管理组织架构第五条 董事会是本行信息科技风险管理的领导部门,负责组织本办法的贯彻落实。第六条 本行的董事会履行以下信息科技管理职责:(一) 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二) 审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一致。评估信息科技部门与风险管理部门信息科技风险管理工作的总
3、体效果和效率。(三) 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四) 规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。(五) 设立专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。(六) 在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。(七) 确保审计部门进行独立有效的信息科技风险管理审计,对审计报告
4、进行确认并落实整改。(八) 每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。(九) 确保信息科技风险管理工作所需资金。(十) 确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。(十一) 确保本行涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。(十二) 及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件,按相关预案快速响应。(十三) 配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。(十四) 履行信息科技风险管理其他相关
5、工作。第七条 本行信息科技部负责人直接向行长汇报,并参与决策。其主要职责包括:(一) 直接参与本银行与信息科技运用有关的业务发展决策。 (二) 确保信息科技战略,尤其是信息系统开发战略,符合本行的总体业务战略和信息科技风险管理策略。(三) 信息科技部承担本行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。(四) 确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。(五) 组织专
6、业培训,提高人才队伍的专业技能。(六) 履行信息科技风险管理其他相关工作。第八条 信息技术部门对本部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。第九条 本行风险管理部门负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部设置专门岗位负责信息科技风险管理工作,定期按照本部门的信息科技风险管理工作开展要求,开展相关工作,向部门负责人汇报。第十条 本
7、行在审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。第三章 信息科技风险管理第十一条 本行制定了全面的信息科技风险管理策略,包括但不限于下述领域:(一) 信息分级与保护。(二) 信息系统开发、测试和维护。(三) 信息科技运行和维护。(四) 访问控制。(五) 物理安全。(六) 人员安全。(七) 业务连续性计划与应急处置。第十二条 本行依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施包括:(一) 制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。(二)
8、确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:1. 最高权限用户的审查。2. 控制对数据和系统的物理和逻辑访问。3. 访问授权以“必需知道”和“最小授权”为原则。4. 审批和授权。5. 验证和调节。第十三条 本行建立了持续的信息科技风险计量和监测机制,其中包括:(一) 建立信息科技项目实施前及实施后的评价机制。(二) 建立定期检查系统性能的程序和标准。(三) 建立信息科技服务投诉和事故处理的报告机制。(四) 建立内部审计、外部审计和监管发现问题的整改处理机制。(五) 安排供应商和业务部门对服务水平
9、协议的完成情况进行定期审查。(六) 定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。(七) 定期进行运行环境下操作风险和管理控制的检查。(八) 定期进行信息科技外包项目的风险状况评价。 第四章 信息科技风险评估流程与方法第十四条 信息科技风险评估由本行风险管理部按照实际工作需要开展,每年至少一次。信息科技管理以及风险状况内部审计由本行审计部按照实际工作需要开展,每两年至少一次。本行可聘请外部机构开展对信息科技风险状况的外部审计。第十五条 本行信息科技风险评估遵循以下流程:(1)成立评估组织自评估工作主要以银行内部人员为主,而风险评估对人员的能力要求相对较高,因此应根据评估工作所要达到
10、的目标,从系统、网络、开发维护、机房维护、安全管理等方面选择骨干人员参与,明确工作任务和相关职责。(2)确定评估范围在进行风险评估前,要先明确定义系统的边界范围,避免不必要的工作,并提高风险分析的质量。界限说明要明确指出在为某个信息系统进行风险分析时,应该包括哪些内容。这些内容可能包括:信息资产(如:硬件、软件、信息)、人员 (如:员工、分包商、其他外部人员)、环境 (如:建筑、设施)、活动 (如:对设备的操作) 等。(3)系统特性分析在确定评估范围之后,要分析所涉及的信息系统的系统边界和敏感性。信息系统是由处于一定边界之内的一系列处理过程、通信、人员及存储资源等元素构成,风险评估必须验证信息
11、系统边界控制的有效性,并确定被评估系统、信息和数据的价值。价值可由系统和信息的敏感性来表示。所谓敏感性是指信息拥有者分配给信息的一种重要程度的度量,以标出该信息的保护需求,例如机密性、完整性、可用性、可核查性、可靠性和抗抵赖性。(4)信息资产的识别和价值估算信息资产是一个完整信息系统的组成部分,它被银行直接赋予了某种价值,因此需要对它进行保护。在信息资产识别时要注意信息系统中的资产不只是软件和硬件,还包括很多其他内容,如信息或数据、服务、资金(如在ATM中的钱款)、银行的形象等。在所确定的评估范围内的所有信息资产都必须予以识别。在进行信息资产识别和价值评估时,评估小组可制定标准,组织银行内部相
12、关人员参与。信息资产清单编制完成之后,参与人员要从信息资产的购买价值、损毁对银行和业务的影响等方面进行价值估算,以确定发生信息安全事件后可能造成的影响。(5)威胁分析威胁是指某个特定威胁源利用某个特定系统的脆弱性对系统造成损失的潜在能力。这种利用可能是偶然的,也可能是有意的。如果系统没有脆弱性,威胁源就无法对系统造成威胁。同样,即使系统具有脆弱性,如果没有威胁源,也不足以对系统造成威胁。某个威胁发生的可能性与系统存在的脆弱性、威胁源的强度和系统采取的控制措施有关。可重点从威胁源及其动机和行为等方面进行分析。威胁源:威胁源按照其性质一般可分为自然威胁、人为威胁和环境威胁三种。信息系统根据自身应用
13、的特点和地理位置可能会面对不同的威胁源。动机和行为:由于人具有各种各样的动机,拥有难以计算的资源,因此人也成为信息系统安全的最大威胁源。另外,还要对曾经遭遇过的攻击历史和以往的事故报告进行回顾,以便更全面地识别信息和信息系统的人为威胁源。(6)脆弱性分析本步骤的目标是制定系统中可能会被威胁源利用的脆弱性(缺陷或薄弱环节)的列表。 脆弱性或漏洞存在于管理、运行和技术三个方面。系统脆弱性往往需要与对应的威胁源相结合时才会对系统的安全造成危害。在评估过程中,可以从以下几个方面获得系统脆弱性信息:信息系统在以前经过的风险评估的文档;信息系统审计报告、系统异常报告、安全检查报告、系统测试和评价报告等;厂
14、商公布的脆弱性列表;软件安全分析。(7)控制措施分析要确定信息系统潜在威胁源利用系统脆弱性造成损失的可能性,必须考虑银行信息系统实施的控制情况。本步骤的目的是对信息系统实施的或计划实施的控制进行核查,以了解本行信息系统安全控制的强度和完备情况。安全措施包括对技术和非技术措施的运用。技术类措施是计算机硬件、软件或固件中的保护措施,例如访问控制机制、标识和鉴别机制等;非技术类措施包括管理和运行类措施,例如安全策略、操作流程、人员、物理和环境安全。评估时评估小组可制定安全要求核对表,有助于以一种有效且系统化的方式对安全措施进行分析。安全要求核对表可以用来验证安全是否与既有的法规和政策相一致。因此,在
15、本行的控制环境发生变化(例如安全策略、方法和要求发生变化)后,有必要对安全核对表进行更新,以确保其有效性。(8)可能性分析信息系统安全事件发生的可能性与威胁源的动机和能力、系统脆弱性的性质及信息系统实施控制的有效性有关。因此,可能性分析必须对这三个方面进行综合考虑。(9)影响分析本步骤的目的是确定某个威胁源或脆弱性产生的特定安全事件对信息系统造成影响的等级。为确定影响的等级,应该了解以下的必要信息:系统使命 (例如信息系统的处理过程);系统和数据的关键性 (系统对单位的价值和重要性);系统和数据的敏感性。某个安全事件对信息系统产生的影响可通过完整性损失、可用性损失和机密性损失等来确定,也可通过
16、收入的损失数目、修复系统的财务费用及修复系统所必须付出的时间和努力来计算。按照影响或危害的定义,级别的大小可分为高、中、低三级。(10)确定风险这一步骤的目的是评估信息系统的风险级别,可由以下方面来确定:威胁源在现有的控制措施下利用系统脆弱性的可能性;系统被攻击后产生的危害程度(影响)。威胁发生的可能性与威胁源的能力和动机、信息系统的脆弱性和系统已实施的控制措施有关,使用风险等级矩阵,可得出风险的等级。(11)控制措施建议风险评估的最终目的是提高本行信息系统的安全防范能力和降低信息系统的安全风险。在本步骤,评估小组将对系统需要采取的控制措施提出建设性的建议。在提出信息系统应采取的控制措施时,应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 信息 科技 风险 管理办法 模版
限制150内