农商行信息科技风险管理办法模版-.docx
《农商行信息科技风险管理办法模版-.docx》由会员分享,可在线阅读,更多相关《农商行信息科技风险管理办法模版-.docx(11页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、农商行信息科技风险管理办法第一章总则第一条 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进全省农商行安全、持续、稳健发展,根据商业银行内部控制指引、商业银行信息科技风险管理指引和有关信息系统管理的法规、标准,制定本办法。第二条 信息科技风险是指信息科技在农商行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第三条 信息科技风险管理,包括:信息科技风险组织保障体系、总体风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。第四条 本办法适用于全省农商行(含农村商业银行、农村合作银行)。第五条 信
2、息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则,防范风险,保障业务的持续性和信息的安全性、完整性、可用性。第二章组织保障体系第六条 各级农商行的理(董)事会是信息科技风险管理的最高决策机构,应当对本单位的信息科技风险管理工作承担最终责任。第七条 农商行联合社(以下简称“省联社”)负责组织落实国家相关部门关于信息科技风险工作的方针政策,研究决定全省农商行信息科技风险的重大事项,审批、组织信息科技风险工作的计划和实施;检查信息科技风险防范措施的执行情况。第八条 省联社派出机构(市级联社)、县级联社(含农合行、农商行)负责落实省联社制定的各项信息科技风险防控政策,制定
3、辖内的实施细则或补充规定, 组织信息科技风险工作的计划和实施。第九条 科技信息部门负责信息科技规划和内部控制、信息系统开发、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、信息科技外包等,对信息科技风险防范进行专业化管理。第十条 风险管理部门负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和科技信息部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。第十一条 稽核审计部门负责建立健全信息科技风险审计制度,做好信息科技风险内部审计工作,配合做好中国银行业监督管理委员会或
4、其委托中介机构对信息科技风险的外部审计,督促、配合相关部门对审计问题进行整改。第十二条 科技信息部门、风险管理部门和稽核审计部门应配备专业人员进行信息科技风险评估和审计。第十三条 科技信息部门应明确信息科技安全、开发、运行维护等岗位的职责,做到岗位之间互相制约,各岗位之间不得互相兼任,运行维护、安全等重要岗位实行A、B岗。第十四条 信息科技相关工作人员应具备良好的职业道德,掌握履行信息科技相关岗位职责所需的专业知识和技能。第十五条 科技信息部门应加强信息科技风险管理专业队伍建设,建立人才激励机制,适应信息科技的发展。第三章总体风险控制第十六条 总体风险是指农商行信息科技在策略、管理、制度、软件
5、、硬件、网络、数据、文档、机房、操作等方面影响全局或共有的风险。第十七条 各级农商行应建立健全与信息科技相关的规章制度、技术规范和操作规程,建立健全信息科技制度的制定、审批和修订流程,明确信息科技相关人员的职责权限,建立制约机制,防范信息科技风险。第十八条 各级农商行应制定明确、持续的中长期信息科技发展规划和风险管理规划。第十九条 科技信息部门和相关业务部门应加强沟通协调,对信息科技项目可行性研究、立项、开发、验收、运行维护和项目后评估等实施有效的风险管理,确保系统的整体安全。第二十条 各级农商行应重视知识产权保护工作,使用正版软件,优先使用我国具有自主知识产权的软硬件产品;积极研发具有自主知
6、识产权的信息系统和相关金融产品。第二十一条 信息系统的应用部门应建立健全信息系统使用的相关规章制度和操作规程,明确信息系统使用人员的职责权限,建立制约机制,实行最小授权。第二十二条 科技信息部门和相关业务部门应对信息系统实施有效的用户授权和访问控制管理,根据业务和安全的要求,对信息和业务程序的访问权限,对用户及用户密码等进行严格的控制。第二十三条 科技信息部门和相关业务部门应加强信息系统加密机、密钥、密码和加密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。第二十四条 与信息系统相关的软、硬件设备的选型、购置、登记、维护、报废
7、等必须严格执行相关制度,信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。第二十五条 网络系统的设计、建设要按照相关标准和规范,兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;建立健全网络管理系统,有效管理网络的安全、故障、性能和配置等;实现内部网络与外部网络的隔离,加强网络边界管理,使用技术手段有效降低外部攻击、信息泄漏等风险;加强接入互联网的管理。第二十六条 机房建设必须符合国家有关计算机场地、环境和供配电等技术标准。出入机房应当有严格的审批程序和出入记录,未经授权不得进入,确保机房环境和计算机硬件、各种存储介质的物理安全。第二十七
8、条 定期组织整体信息安全风险评估和专项评估,并根据评估结果进行整改,实行信息安全等级保护,保证信息系统的安全性和完整性。第二十八条 在信息系统投产后,应不定期组织对系统的后评估,并根据评估结果及时对系统功能进行调整和优化。第二十九条 加强对信息系统病毒的防范,查杀毒软件使用获得销售许可证的正规软件,定期将查杀毒软件和病毒数据库更新至最新版本。第三十条 加强对操作系统、数据库和应用软件等的补丁升级管理以及软件的使用许可和授权管理。第三十一条 统筹规划建立全省农商行同城和异地灾难备份中心,在生产中心发生重大安全事件时保障业务的连续性。第四章开发风险控制第三十二条 开发风险是指信息系统项目在开发过程
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商行 信息 科技 风险 管理办法 模版
限制150内