《农村信用合作联社信息科技风险办法.doc》由会员分享,可在线阅读,更多相关《农村信用合作联社信息科技风险办法.doc(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品文档 仅供参考 学习与交流农村信用合作联社信息科技风险管理办法【精品文档】第 19 页*农村信用合作联社信息科技风险管理办法第一章 总 则第一条 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进*农村信用社安全、持续、稳健发展,根据商业银行内部控制指引、商业银行信息科技风险管理指引和有关信息系统管理的法规、标准,制定本办法。第二条 本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在农信社业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险是指信息科技在
2、农村信用社运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第三条 本办法包括信息科技风险组织保障体系、总体风险控制、管理风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。第四条 自治区联社信息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则,防范风险,保障业务的持续性和信息的安全性、完整性、可用性。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对农村信用社信息科技风险的识别、计量、监测和控制,促进农村信用社安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力
3、。第二章 组织保障体系第六条 自治区联社风险管理委员会是全区农村信用社信息科技风险管理的最高决策机构,负责组织落实国家及中国人民银行、中国银行业监督管理委员会关于信息科技风险工作的方针政策,研究决定全区农村信用社信息科技风险的重大事项,审批、组织信息科技风险工作的计划和实施;检查信息科技风险措施的执行情况。第七条 各级农村合作金融机构、农商行法定代表人是本机构信息科技风险管理的第一责任人,信息科技风险管理状况纳入本机构考核体系。第八条 自治区联社风险管理部门负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和科技信息部门提供建议及相关合规性
4、信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。第九条 自治区联社科技信息中心统一负责信息科技的规划、开发、建设、运行、维护和监控,提供日常科技服务和运行技术支持,对信息科技风险防范进行专业化管理。第十条 自治区联社稽核监察部负责建立健全信息科技风险审计制度,做好信息科技风险内部审计工作,配合做好中国银行业监督管理委员会或其委托中介机构对自治区联社信息科技风险的外部审计,督促、配合相关部门对审计问题进行整改。第十一条 自治区联社科技信息中心、风险合规部和稽核监察部必须配备适量的合格人员进行信息科技风险评估和审计。第十二条 各级农村合作金融机构、农商行信息
5、科技部门负责落实自治区联社制定的各项风险防控政策在辖内的执行、制定(细则或补充规定)和实施情况。各级农村合作金融机构、农商行应设置专门的信息安全岗位,并配备一名以上专职信息安全人员,负责本机构的信息系统安全。自治区联社科技信息中心应明确信息科技安全、开发、维护、运行管理和设备管理岗位的职责,做到岗位之间互相制约,各岗位之间不得互相兼任,维护、安全等重要岗位实行A、B岗。第十三条 自治区联社信息科技相关工作人员应符合以下要求:(一)具备良好的职业道德,掌握履行信息科技相关岗位职责所需的专业知识和技能。(二)未经岗前培训或培训不合格者不得上岗。(三)经考核不适宜的工作人员,及时进行调整。第十四条
6、自治区联社科技信息中心必须加强信息科技风险管理专业队伍建设,建立人才激励机制,适应信息科技的发展。第三章 总体风险控制第十五条 总体风险是指全区农村信用社信息科技在策略、管理、制度、软件、硬件、网络、数据、文档、机房、操作等方面影响全局或共有的风险。第十六条 自治区联社、各级农村合作金融机构以及农商行应严格执行国家信息安全相关标准,参照有关国家标准,积极推进信息安全标准化。建立健全与信息科技相关的规章制度、技术规范和操作规程,明确信息科技相关人员的职责权限,建立制约机制,防范信息科技风险。第十七条 自治区联社风险管理委员会应对信息科技项目可行性研究、立项、开发、验收、运行维护和项目后评估等实施
7、有效的风险管理。各相关部门应加强沟通协调,确保系统的整体安全。第十八条 重视知识产权保护工作,使用正版软件,优先使用我国具有自主知识产权的软硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护信息化成果;加强软件版本管理。第十九条 信息系统的应用部门应建立健全信息系统使用的相关规章制度和操作规程,明确信息系统使用人员的职责权限,建立制约机制,实行最小授权。第二十条 信息科技部门和相关业务部门对信息系统实施有效的用户授权和访问控制管理,根据业务和安全的要求,对信息和业务程序的访问权限,对用户的创建、变更、删除、用户口令的设置和失效等均建立严格的控制。第二十一条 信息科技
8、部门和相关业务部门应加强信息系统加密机、密钥、密码和加密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。第二十二条 与信息系统相关的软、硬件设备的选型、购置、登记、保养、维修、报废等必须严格执行相关制度,选用设备须经过技术论证,对供应商的资格条件进行严格审查,在使用前按照自治区联社相关制度进行试用性安全测试,明确产品供应商对产品在使用期间应承担的责任,确保产品正常使用和有效维护。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。第二十三条 网络系统的设计、
9、建设要按照相关标准和规范,兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立健全网络管理系统,有效管理网络的安全、故障、性能和配置等;实现内部网络与外部网络的隔离,加强网络边界管理,使用技术手段有效降低外部攻击、信息泄漏等风险;并加强接入国际互联网的管理。第二十四条 机房建设必须符合国家有关计算机场地、环境和供配电等技术标准,自治区联社中心机房应达到国家A类机房标准。出入机房应当有严格的审批程序和出入记录,未经授权不得进入,确保机房环境和计算机硬件、各种存储介质的物理安全。第二十五条 建立计算机应用安全应急机制,制定详细的应急
10、预案,并定期进行演练、评审和修订;通过预防性和恢复性措施的结合,把灾难或安全事故(如自然灾害、突发事件、设备故障和故意行为)所导致的破坏减少到最低水平;应有异地灾难备份中心。第二十六条 信息系统可能影响客户服务时,应以适当的方式告知客户。第四章 管理风险控制第二十七条 管理风险是指在信息科技专业化管理的制度建设、中长期规划和年度计划、可持续发展、机构建设、人员管理和信息安全管理等方面产生的风险。第二十八条 按照专业化管理、信息安全、应用开发、运行维护的框架体系和信息科技管理操作流程不断加强规章制度、技术规范、操作规程等的建设,明确各个岗位责任和岗位流程的前后衔接。第二十九条 建立健全信息科技制
11、度的制定、审批和修订流程,使信息科技制度与国家、行业有关法律法规和自治区联社总体业务发展相一致。第三十条 自治区区联社科技信息中心组织制定中长期信息科技发展规划和年度工作计划,报告自治区联社信息化建设领导小组批准后组织实施,并根据业务发展状况组织定期修订。根据信息科技中长期规划和年度工作计划,制定明确、持续的风险管理规划,按照信息科技的敏感程度对各个集成要素进行分析和评估,采取措施防范自然灾害、运行环境变化等产生的安全威胁,防范各类突发事件和恶意攻击。第三十一条 按照先同城后异地的建设步骤统筹规划建立全区农村信用社同城和异地灾难备份中心,在数据中心发生重大安全事件时保障业务的连续性。第三十二条
12、 每年组织与信息科技相关员工的专业素质调查,对新员工和转岗员工进行包括职业道德、安全意识和专业技能等在内的岗前培训。第三十三条 定期组织整体信息安全风险评估和专项评估,并根据评估结果进行整改、实行信息安全等级保护,以保证信息系统的安全性和完整性。在信息系统上线后一定时期内,自治区联社科技信息中心应组织对系统的后评估,并根据评估及时对系统功能进行调整和优化。第三十四条 加强对计算机病毒的防范,加强对操作系统、数据库和应用软件等的补丁升级管理以及软件的使用许可和授权管理。第三十五条 对网络安全实施有效控制,加强内外网接入安全管理,防火墙、入侵检测等按照整体安全策略进行设置、安装和管理。第五章 开发
13、风险控制第三十六条 开发风险是指信息科技在开发过程中组织、规划、需求、分析、设计、编程、测试和上线等环节产生的风险。第三十七条 信息系统研发前必须成立项目开发小组和项目管理小组,并指定负责人。项目管理小组负责项目的组织、协调、检查和监督工作。项目开发小组由技术人员、业务人员和管理人员组成,具体负责整个项目的开发工作。第三十八条 业务部门根据业务发展规划,在充分进行市场调查、产品效益分析的基础上制定项目可行性报告。第三十九条 业务部门编写项目业务需求说明书,提出风险控制要求;自治区联社科技信息中心根据项目需求编制功能说明书。第四十条 自治区联社科技信息中心依据功能说明书分别编写项目总体技术框架、
14、项目设计说明书,设计和编码须符合功能说明书的要求,并进行风险评估。第四十一条 在研发过程中的需求变更必须由变更提出部门以正式书面的形式通知自治区联社科技信息中心,经项目开发小组组长批准,重大变更须提交自治区联社信息化领导小组批准后,才能进行变更。第四十二条 必须建立独立的测试环境,以保证测试的完整性和独立性。测试至少包括功能测试、安全性测试、压力测试、验收测试、适应性测试,并由测试部门提交测试报告。测试不得直接使用生产数据。第四十三条 项目开发小组根据测试结果修补系统的功能和安全性缺陷,提高系统的整体质量。第四十四条 业务人员、技术人员根据职责范围分别编写操作说明书、技术应急预案、业务连续性计
15、划、上线计划、应急回退计划,并进行演练。第四十五条 应用开发过程中所涉及的各种文档资料须经相关部门、人员的签字确认并归档保存。第四十六条 项目验收必须出具相关负责人签字的项目验收报告,验收不合格不得上线使用。第六章运行维护风险控制 第四十七条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。第四十八条 信息科技运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非营业时间进行。第四十九条 信息系统的运行应符合以下要
16、求:(一) 制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等。(三)记录机房环境、设备使用、网络运行、系统运行等监控信息以及值班操作信息。(四)对核心业务系统进行持续性或阶段性监测,主要包括响应时间和处理量、系统承载能力、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值、系统使用趋向和容量等。(五)绘制反映各类设备连接物理位置和交互关系的系统图和拓扑图。(六)有实时交易的机房实行24小时值班。第五十条 信息系统的维护应符合以下要求:(一) 除对信息系统设备和系统环境
17、的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应尽可能通过柜员终端进行,不对数据库进行直接操作,如遇无法通过柜员终端进行维护的特殊情况时,经业务部门和科技信息中心审核后,再由科技信息中心进行维护,并进行详细登记;(二)记录并保存各种详细的日志信息,以便维护和审计;(三) 提供统计和报表打印功能。第五十一条 信息科技的变更应符合以下要求:(一)严格遵守相关制度,依照审批授权机制和工作流程,制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;(二)根据变更需求、变更方案、变更内容核实清单等相
18、关文档审核变更的正确性、安全性和合法性;(三)采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;(四)软件版本变更后应保留初始版本和所有历史版本,对所有变更文档进行归档管理。第五十二条 自治区联社对运行维护人员实施有效管理,对敏感性岗位人员定期进行背景检查和岗位轮换,实施有效避免人员过度流失的政策和有效岗位职权终止的制度。第五十三条 对信息资料档案实施有效管理,加强对信息系统输出文件的控制和管理以及数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理,不得脱离系统采集加工、传输、存取数据;加强交易数据、账务数据、客户数据以及产生的报表数
19、据等重要数据和系统说明文件、源程序以及系统开发、运行和维护过程中形成的各类技术资料的备份管理,保留副本并异地存放,按规定年限保存,调用时严格授权;存储介质的日常管理维护、废弃处理以及内容的恢复等必须严格遵守相关制度。第五十四条 对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。第五十五条 采集生产主机、数据库、网络设备、防火墙和入侵检测等产生的详细日志并定期审阅。根据对业务影响的重要程度,确定保存期限、方式和调阅授权等。第五十六条 实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大
20、影响事件,按照内蒙古农村信用社重要信息系统应急管理规范的规定及时报告并处理,必要时启动应急处理预案。第七章外包风险控制第五十七条 外包风险是指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。第五十八条 在进行信息科技外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险以及外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。建立健全有关规章制度,制定相应的风险防范措施,审慎管理外包产生的风险,提高对外包管理的能力。第五十九条 信息科技外包风险管理应当符合风险管理标准和策略,并应建
21、立针对外包风险的应急计划。第六十条 建立健全信息科技外包风险评估与监测机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。第六十一条 建立健全外包承包方技术服务能力的评估机制,充分审查承包方的综合技术服务支持能力,特别是与承包相关技术的先进性和成熟性以及与农村信用社现有技术的匹配度。第六十二条 进行项目外包时必须与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权等方面的义务和责任。第六十三条 与外包承包方建立有效的联络、沟通和信
22、息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。第六十四条 将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合中国人民银行和中国银行业监督管理委员会的有关规定,并在实施外包前报中国人民银行、中国银行业监督管理委员会及其派出机构和法律法规规定需要报告的机构备案。第八章 信息系统风险审计第六十五条 稽核监察部负责信息科技风险审计,也可根据需要聘请经国家相应监管部门认定资质的中介机构对农村信用社进行信息科技风险外部审计。 第六十六条 信息科技风险审计应包括:总体风险审计、系统审阅和专项风险审计
23、。第六十七条 总体风险审计是指对本机构所有信息系统共有的部分进行审计,实施总体风险控制。根据信息系统的总体风险状况确定审计频率,但每3年至少审计一次。第六十八条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计,分上线前与上线后的审阅。 第六十九条 上线前系统审阅是指审计人员采用非现场形式,对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议的过程。信息系统上线前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。上线前的系统审阅重点:(一)被外界成功攻破的可能性;(二)在内部安全控
24、制方面的设计漏洞与缺陷;(三)项目开发管理方面的问题;(四)效率与效能;(五)功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性;(六)其他需重点审阅的内容。第七十条 上线前的系统审阅文档资料包括但不限于:(一)项目可行性报告;(二)项目需求说明书;(三)项目功能说明书(包括业务与技术方面存在的风险及控制办法);(四)项目总体技术框架;(五)项目设计说明书;(六)项目实施计划;(七)与第三方签订的外包协议;(八)测试计划及验收报告;(九)上线计划;(十)项目开发例会的会议记录;(十一)操作手册;(十二)其他需审阅的文档资料。对于所含内容较多的文档资料,应对关键交易的数据处
25、理流程、交易接口和其他重要的安全事项进行审阅。第七十一条 上线后的系统审阅是指在信息系统投入生产一段时间后进行的审计,旨在评估对信息系统各项风险的控制是否恰当,能否实现预定的设计目标。上线后的系统审阅应在信息系统投入生产半年后进行,审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。 第七十二条 信息科技专项风险审计是指对信息安全事故进行的调查、分析和评估,或原有信息系统进行重大结构调整的审计,或稽核部门认为需要对信息系统某项专题进行审计。 第七十三条 信息科技风险审计也可以由中国银行业监督管理委员会及其派出机构或自治区联社依据法律、法规和规章,委托并授权有法定资质的中介评估机构进行。中介机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。第七十四条 中介机构根据授权出具的审计报告经中国银行业监督管理委员会及其派出机构或自治区联社审阅确定后具有法律效力,有关部室对该审计报告在法定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。 第七十五条 中介机构应严格执行法律法规,保守农村信用社的商业秘密和风险信息。审计过程中所有涉及资料的调阅应有交接手续,并不得带离现场或进行修改、复制。第九章 附则第七十六条 本办法由自治区联社制定、修改,由自治区联社科技信息中心负责解释。第七十七条 本办法自发布之日起实施。