第一篇：村鎮(zhèn)銀行信息科技風險管理辦法

村鎮(zhèn)銀行信息科技風險管理辦法

（征求意見稿）

第一章 總 則

第一條 為加強村鎮(zhèn)銀行信息科技風險管理，確保科技體系持續(xù)穩(wěn)定運轉(zhuǎn)，根據(jù)《商業(yè)銀行信息科技風險管理指引》等有關(guān)法律、法規(guī)，制定本辦法。

第二條 信息科技風險管理是通過建立有效機制，實現(xiàn)對銀行信息系統(tǒng)風險的識別、計量、評價、預(yù)警和控制，推動村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新，提高信息化管理水平，保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。

第二章 信息科技風險管理組織架構(gòu)

第三條 信息科技風險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

第四條

發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風險的主要管理部門，發(fā)起行科技信息中心有以下信息科技風險管理的權(quán)限和職責：

（一）建立有效的信息科技風險管理管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機制，防范和控制信息科技風險管理；

（二）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標準，落實人民銀行和銀監(jiān)會相關(guān)監(jiān)管要求；

（三）履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和管理職責，建立、健全村鎮(zhèn)銀行信息科技風險管理相關(guān)規(guī)章、制度，并嚴格執(zhí)行；

（四）負責村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和監(jiān)控等工作，提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運行技術(shù)支持；

（五）負責指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實有關(guān)信息科技風險管理的各項規(guī)章制度；

（六）發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風險管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責范圍承擔相應(yīng)工作。

第三章 信息科技風險具體控制要求

第五條 信息科技總體風險點是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風險。包括以下風險點：

（一）缺少信息系統(tǒng)風險管理策略；

（二）自然災(zāi)害、運行環(huán)境變化；

（三）信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善；

（四）信息安全標準化工作不符合國家相關(guān)規(guī)定；

（五）缺乏信息安全風險評估機制；

（六）數(shù)據(jù)中心機房物理安全；

（七）使用盜版軟件及自有成果的知識產(chǎn)權(quán)保護；

（八）電子設(shè)備自身運行；

（九）主機與網(wǎng)絡(luò)運行；

（十）網(wǎng)絡(luò)安全；

（十一）密碼安全；

（十二）數(shù)據(jù)加密安全；

（十三）信息系統(tǒng)配置參數(shù)管理；

（十四）數(shù)據(jù)管理；

（十五）突發(fā)事件響應(yīng)；

（十六）信息系統(tǒng)故障導(dǎo)致影響銀行信譽；（十七）網(wǎng)上銀行安全。

第六條 信息系統(tǒng)總體風險控制措施：

（一）根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃，在村鎮(zhèn)銀行風險管理政策指引下，制定明確、持續(xù)的信息系統(tǒng)風險管理策略，根據(jù)信息系統(tǒng)的等級保護級別對信息系統(tǒng)進行分析和評估，并實施有效的風險控制；

（二）建立同城信息系統(tǒng)災(zāi)備中心實現(xiàn)運行環(huán)境備份，防止各類突發(fā)事故和惡意攻擊事件造成不良后果；

（三）建立健全相關(guān)信息科技制度，明確信息系統(tǒng)相關(guān)人員的職責權(quán)限，建立制約機制，實行最小授權(quán)；

（四）嚴格執(zhí)行國家信息安全相關(guān)標準，參照有關(guān)國際準則，積極推進信息安全標準化，開展信息安全等級保護等相關(guān)工作；

（五）加強對信息系統(tǒng)的風險評估，及時對風險點進行修補和完善，以保證信息系統(tǒng)的安全性和完整性；

（六）信息系統(tǒng)數(shù)據(jù)中心機房建設(shè)時嚴格參照國家有關(guān)計算機場地、環(huán)境、供配電等技術(shù)標準，數(shù)據(jù)中心機房實行嚴格的門禁管理措施，未經(jīng)授權(quán)不得進入；

（七）加強知識產(chǎn)權(quán)保護，使用正版軟件，加強軟件版本管理；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護村鎮(zhèn)銀行信息化成果；

（八）嚴格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標準。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當數(shù)量的備品、備件；

（九）嚴格參照相關(guān)標準和規(guī)范設(shè)計、建設(shè)信息系統(tǒng)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進性和產(chǎn)品成熟性；關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴格線路租用合同管理，按照業(yè)務(wù)和交易流量要

求保證傳輸帶寬；監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運行；

（十）加強網(wǎng)絡(luò)安全管理。嚴格網(wǎng)絡(luò)邊界控制，使用各種技術(shù)手段降低外部攻擊、信息泄漏等風險；

（十一）加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度；

（十二）加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫，采用適當?shù)臄?shù)據(jù)加密技術(shù)以保護敏感數(shù)據(jù)的傳輸和存取，以保證數(shù)據(jù)的完整性、保密性；

（十三）對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，并嚴格審批和登記手續(xù)；

（十四）制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案，并定期進行演練、評審和修訂；

（十五）加強對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時應(yīng)嚴格授權(quán)管理；

（十六）在信息系統(tǒng)可能影響客戶服務(wù)時，及時通知業(yè)務(wù)部門，以便以適當方式告知客戶；

（十七）采取有效技術(shù)措施，切實加強網(wǎng)上銀行信息安全保

障。加強網(wǎng)銀用戶身份認證管理，與業(yè)務(wù)部門密切配合，逐步對所有網(wǎng)上銀行高風險賬戶操作統(tǒng)一使用雙重身份認證。積極研發(fā)和應(yīng)用各類維護網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。

第七條

信息科技研發(fā)風險的操作風險點是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險。包括以下風險點：

（一）信息系統(tǒng)項目研發(fā)管理；

（二）信息系統(tǒng)項目開發(fā)人員外包；

（三）信息系統(tǒng)項目需求不明確；

（四）信息系統(tǒng)測試不規(guī)范或不完善；

（五）信息系統(tǒng)應(yīng)用推廣；

（六）信息系統(tǒng)測試發(fā)現(xiàn)的軟件缺陷；

（七）信息系統(tǒng)項目文檔管理；

（八）信息系統(tǒng)項目驗收。

第八條

信息科技研發(fā)風險具體控制要求：

（一）一般項目研發(fā)成立項目工作小組，重大項目還應(yīng)成立項目領(lǐng)導(dǎo)小組，并指定負責人。項目領(lǐng)導(dǎo)小組負責項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負責整個項目的開發(fā)工作；

（二）項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識，小組負責人需具備組織領(lǐng)導(dǎo)能力，保證信息

系統(tǒng)研發(fā)質(zhì)量和進度；

（三）項目組根據(jù)業(yè)務(wù)部門項目需求編制項目功能說明書，依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書，設(shè)計和編碼應(yīng)符合項目功能說明書的要求；

（四）軟件研發(fā)必須建立獨立的測試環(huán)境，以保證測試的完整性和準確性。一般測試應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試等，測試不得直接使用生產(chǎn)數(shù)據(jù)；

（五）研發(fā)人員必須根據(jù)測試結(jié)果修補信息系統(tǒng)的功能和缺陷，提高信息系統(tǒng)的整體質(zhì)量；

（六）根據(jù)職責范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃，并進行演練；

（七）開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認并歸檔保存；

（八）軟件開發(fā)項目必須進行嚴格的項目驗收流程，項目驗收應(yīng)出具由相關(guān)負責人簽字的項目驗收報告，驗收不合格不得投入使用。

第九條 信息科技運行維護風險的操作風險點是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險。包括以下風險點：

（一）人為因素導(dǎo)致信息系統(tǒng)運行故障；

（二）運行管理不完善；

（三）信息系統(tǒng)日常變更；

（四）新建信息系統(tǒng)運行；

（五）機房環(huán)境變化；

（六）信息系統(tǒng)故障報告程序。

第十條 信息科技運行維護風險具體控制要求：

（一）信息系統(tǒng)運行人員應(yīng)實行專職，不得由其他人員兼任。運行人員應(yīng)按操作規(guī)程巡檢和操作。對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護應(yīng)符合授權(quán)和維護規(guī)程要求；

（二）相關(guān)信息系統(tǒng)運行維護人員嚴格按照信息系統(tǒng)管理制度及維護手冊運行及維護信息系統(tǒng)。對軟件或數(shù)據(jù)的維護必須通過上級審批、授權(quán)后方可進行；

（三）制訂嚴格的信息系統(tǒng)變更處理流程，明確變更流程中各崗位的職責分工，并遵循流程實施控制和管理；

（四）在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，應(yīng)配合業(yè)務(wù)部門，積極參與組織對系統(tǒng)的后評價，根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化；

（五）對機房環(huán)境設(shè)施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案；

（六）實行事件報告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件，應(yīng)即時上報并處理，必要時啟動應(yīng)急處理預(yù)案。

第十一條

信息科技外包風險的操作風險點外包風險是指

銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風險。包括以下風險點：

（一）信息科技外包需求控制風險；

（二）信息科技外包承包方合作風險；

（三）信息科技外包項目商業(yè)風險；

（四）信息科技外包項目安全風險；

（五）信息科技外包項目質(zhì)量風險；

（六）信息科技外包項目風險管理；

（七）信息科技外包項目責任風險；（入）信息科技外包項目監(jiān)控風險。

第十二條 信息科技外包風險具體控制要求：

（一）在進行信息系統(tǒng)外包時，應(yīng)根據(jù)風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全相關(guān)規(guī)章制度，制定相應(yīng)的風險防范措施；

（二）建立健全外包承包方評估機制，充分審查、評估承包方的經(jīng)營狀況、財務(wù)實力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實際風險控制與責任承擔水平，并進行必要的盡職情況調(diào)查。評估工作可委托具有國家相應(yīng)監(jiān)管部門認定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗的獨立機構(gòu)完成；

（三）與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責任；

（四）充分認識外包服務(wù)對信息系統(tǒng)風險控制的直接和間接

影響，并將其納入總體安全策略和風險控制之中；

（五）建立完整的信息系統(tǒng)外包風險評估與檢測程序，審查管理外包產(chǎn)生的風險，提高本機構(gòu)的外包管理的能力；

（六）信息系統(tǒng)外包風險管理應(yīng)符合風險管理標準和策略，并建立針對信息系統(tǒng)外包風險的應(yīng)急計劃；

（七）與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法，保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案；

（八）對信息系統(tǒng)外包承包方進行持續(xù)的監(jiān)控。

第四章 附 則

第十三條 各支行可依據(jù)本辦法，結(jié)合本單位實際情況，制定具體實施細則。

第十四條 本辦法由村鎮(zhèn)銀行負責解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。

第二篇：信息科技風險管理辦法（最終版）

XXXX銀行信息科技風險管理辦法 總則

為XXXX銀行有效防范銀行運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風險，促進我行各項業(yè)務(wù)安全、持續(xù)、穩(wěn)健運行，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《商業(yè)銀行信息科技風險管理指引》、《營口沿海銀操作風險管理指引》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本管理辦法。

本管理辦法所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在我行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。本管理辦法所稱信息科技風險，是指信息科技在我行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對我行信息科技風險的識別、計量、監(jiān)測和控制，促進我行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。機構(gòu)職責

根據(jù)我行信息科技治理的要求，法定代表人是本機構(gòu)信息科技風險管理的第一責任人，負責組織本管理辦法的貫徹落實, 董事會應(yīng)履行以下信息科技管理職責： 遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）相關(guān)監(jiān)管要求。審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

掌握主要的信息科技風險，確定可接受的風險級別，確保相關(guān)風險能夠被識別、計量、監(jiān)測和控制。

規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信息科技風險管理重要性的認識。

設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負責監(jiān)督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實際支出、信息科技的整體狀況。

在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專業(yè)隊伍的建設(shè)，建立人才激勵機制。確保內(nèi)部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風險管理的報告。確保信息科技風險管理工作所需資金。

確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風險管理制度和流程，并安排相關(guān)培訓(xùn)。

確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求，防范跨境風險。及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。履行信息科技風險管理其他相關(guān)工作。

我行應(yīng)設(shè)立分管信息科技的副行級領(lǐng)導(dǎo)，直接向行長匯報，并參與決策。副行級領(lǐng)導(dǎo)的職責包括：

直接參與本銀行與信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策。確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風險管理策略。

負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級、信息安全管理、災(zāi)難恢復(fù)計劃、信息科技外包和信息系統(tǒng)退出等職責。確保信息科技風險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)。

組織專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能。 履行信息科技風險管理其他相關(guān)工作。

科技部負責我行信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行、業(yè)務(wù)連續(xù)性管理；應(yīng)對內(nèi)部管理職責進行明確的界定，各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時更新，并對相關(guān)人員采取相關(guān)的風險防范措施： 驗證個人信息，包括核驗有效身份證件、學歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。評估關(guān)鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。

運營管理部職能交叉，要部門協(xié)調(diào)是信息系統(tǒng)中涉及賬務(wù)交易的操作、系統(tǒng)參數(shù)變更、事件管理的主要部門。運營管理部的職責包括：

運行與維護應(yīng)實行職責分離，運行人員應(yīng)實行專職，不得由其他人員兼任。運行人員應(yīng)按操作規(guī)程巡檢和操作。維護人員應(yīng)按授權(quán)和維護規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護，除應(yīng)急外，其他維護應(yīng)在非工作時間進行。

制定詳細的運行值班操作表，包括規(guī)定巡檢時間，操作范圍、內(nèi)容、辦法、命令以及負責人員等信息。

提供機房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運行、系統(tǒng)運行職能交叉，要部門協(xié)調(diào)等監(jiān)控信息。記錄運行值班過程中所有現(xiàn)象、操作過程等信息日志。對軟件或數(shù)據(jù)的維護必須通過特定的應(yīng)用程序進行，添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端，不得對數(shù)據(jù)庫進行直接操作；

具備各種詳細的日志信息，包括交易日志和審計日志等，以便維護和審計。提供維護的統(tǒng)計和報表打印功能。對系統(tǒng)參數(shù)等設(shè)置變更、維護的要求：

應(yīng)對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，嚴格審批和登記手續(xù)。制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，并遵循流程實施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無授權(quán)不得進行變更操作；

根據(jù)變更需求、變更方案、變更內(nèi)容核實清單等相關(guān)文檔審核變更的正確性、安全性和合法性。職能交叉，要部門協(xié)調(diào)

應(yīng)對機房環(huán)境設(shè)施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案，有實時交易服務(wù)的數(shù)據(jù)中心應(yīng)實行24小時值班。

實行事件報告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件，應(yīng)即時上報并處理，必要時啟動應(yīng)急處理預(yù)案。

風險管理部負責信息科技風險管理工作，并直接向分管行領(lǐng)導(dǎo)（風險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責協(xié)調(diào)制定有關(guān)信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。風險管理部的職責包括： 擬定信息系統(tǒng)風險管理總體政策，并提交高級管理層審查、審批。會同相關(guān)業(yè)務(wù)部門對信息系統(tǒng)風險進行識別、監(jiān)測； 審核信息系統(tǒng)風險狀況。對總行相關(guān)業(yè)務(wù)部門和分支機構(gòu)信息系統(tǒng)風險狀況及維護、運行情況進行監(jiān)測，并進行實時報告。

組織新投產(chǎn)后信息系統(tǒng)的后評價，并識別、評估新信息系統(tǒng)中所包含的風險，審核相應(yīng)的操作和風險管理程序。

稽核審計部應(yīng)在部門設(shè)立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計?；藢徲嫴控撠熚倚行畔⑾到y(tǒng)審計任務(wù)，也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì)的中介機構(gòu)進行信息系統(tǒng)外部審計。信息科技風險管理

我行應(yīng)制定全面的信息科技風險管理策略，包括但不限于下述領(lǐng)域： 信息分級與保護。

信息系統(tǒng)開發(fā)、測試和維護。信息科技運行和維護。訪問控制。物理安全。人員安全。

業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置。

我行應(yīng)制定持續(xù)的風險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務(wù)的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優(yōu)先級別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

我行應(yīng)依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。防范措施應(yīng)包括：

制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程等，定期進行更新和公示。

確定潛在風險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風險最小化。建立適當?shù)目刂瓶蚣埽员阌跈z查和平衡風險；定義每個業(yè)務(wù)級別的控制內(nèi)容，包括： 最高權(quán)限用戶的審查。

控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。審批和授權(quán)。驗證和調(diào)節(jié)。

我行應(yīng)建立持續(xù)的信息科技風險計量和監(jiān)測機制，其中應(yīng)包括： 建立信息科技項目實施前及實施后的評價機制。建立定期檢查系統(tǒng)性能的程序和標準。

建立信息科技服務(wù)投訴和事故處理的報告機制。

建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進行定期審查。定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。定期進行運行環(huán)境下操作風險和管理控制的檢查。定期進行信息科技外包項目的風險狀況評價。信息安全

科技部負責建立和實施信息分類和保護體系，應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責范圍內(nèi)的信息保護流程。

科技部應(yīng)落實信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。信息安全策略應(yīng)涉及以下領(lǐng)域： 安全制度管理。信息安全組織管理。資產(chǎn)管理。人員安全管理。

物理與環(huán)境安全管理。通信與運營管理。訪問控制管理。

系統(tǒng)開發(fā)與維護管理。信息安全事故管理。業(yè)務(wù)連續(xù)性管理。合規(guī)性管理。

應(yīng)建立有效管理用戶認證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的工作崗位或離開我行時，應(yīng)在系統(tǒng)中及時檢查、更新或注銷用戶身份。

應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責，采取必要的預(yù)防、檢測和恢復(fù)控制措施。應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

域內(nèi)應(yīng)用程序和用戶組的重要程度。各種通訊渠道進入域的訪問點。

域內(nèi)配置的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。性能要求或標準。

域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。不同域之間的連通性。域的可信程度。

應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：

制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。

明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人員、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限。制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。要求技術(shù)人員定期檢查可用的安全補丁，并報告補丁管理狀態(tài)。在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。應(yīng)通過以下措施，確保所有信息系統(tǒng)安全：

明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責。針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗證方法。加強職責劃分，對關(guān)鍵或敏感崗位進行雙重控制。在關(guān)鍵的接合點進行輸入驗證或輸出核對。

采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當系統(tǒng)被迫終止時向用戶提供必要信息。以書面或電子格式保存審計痕跡。

要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。

應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計算機和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類： 交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保存。系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風險等級確定，但不能少于一年。

應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報信息科技管理委員會批準。

應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風險，并建立密碼設(shè)備管理制度，以確保：

使用符合國家要求的加密技術(shù)和加密設(shè)備。

管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴格審查。加密強度滿足信息機密性的要求。

制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA）等。

制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

對所有員工進行必要的培訓(xùn)，使其充分掌握信息科技風險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。信息系統(tǒng)開發(fā)、測試和維護

應(yīng)有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。應(yīng)認識到信息科技項目相關(guān)的風險，包括潛在的各種操作風險、財務(wù)損失風險和因無效項目規(guī)劃或不適當?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成本，并采取適當?shù)捻椖抗芾矸椒?，控制信息科技項目相關(guān)的風險。

采取適當?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復(fù)雜度。

制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，其中應(yīng)包括以下要求：

生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。

生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。除得到管理層批準執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動都應(yīng)立即進行記錄和審核。

將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準，并對變更進行及時記錄和定期復(fù)查。

制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、保密性和可用性。

建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說明，并通知相關(guān)人員。信息科技運行

在選擇數(shù)據(jù)中心的地理位置時，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運行。

嚴格控制第三方人員（如服務(wù)供應(yīng)商）進入安全區(qū)域，如確需進入應(yīng)得到適當?shù)呐鷾?，其活動也?yīng)受到監(jiān)控；針對長期或臨時聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴格的審查程序，包括身份驗證和背景調(diào)查。應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責做出明確規(guī)定。

按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求。

制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留周期）。建立事故管理及處置機制，及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。我行應(yīng)建立服務(wù)臺，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進行調(diào)查和解決。

建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行服務(wù)水平進行考核。

建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對其進行識別和修正。制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。及時進行維護和適當?shù)南到y(tǒng)升級，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預(yù)防性和補救性維護記錄），以確保有效維護設(shè)備和設(shè)施。制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進行備份,以便必要時可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當?shù)男拚匀〈o急變更。業(yè)務(wù)連續(xù)性管理

根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；定期對規(guī)劃進行更新和演練，以保證其有效性。評估因意外事件導(dǎo)致其業(yè)務(wù)運行中斷的可能性及其影響，包括評估可能由下述原因?qū)е碌钠茐模?/p>

內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。信息丟失或受損。

外部事件（如戰(zhàn)爭、地震或臺風等）。

應(yīng)采取系統(tǒng)恢復(fù)和雙機熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險等方式降低影響。

建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于: 資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。運行恢復(fù)的優(yōu)先順序。

與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安排。更新實施業(yè)務(wù)連續(xù)性計劃的流程及相關(guān)聯(lián)系信息。驗證受中斷影響的信息完整性的步驟。

當我行的業(yè)務(wù)或風險狀況發(fā)生變化時，對本條一到三進行審核并升級。

我行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風險管理部門或信息科技管理委員會確認。外包與審計 外包

不得將我行信息科技管理責任外包，應(yīng)合理謹慎監(jiān)督外包職能的履行。

實施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹慎，在準備實施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機構(gòu)。

在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相關(guān)準備，其中包括：

分析外包是否適合我行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風險控制，是否滿足我行履行對外包服務(wù)商的監(jiān)督義務(wù)。

考慮外包協(xié)議是否允許我行監(jiān)測和控制與外包相關(guān)的操作風險。

充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進行風險評估，考查其設(shè)施和能力是否足以承擔相應(yīng)的責任。

考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

關(guān)注可能存在的集中風險，如多家我行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風險。在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不限于： 對外包服務(wù)商的報告要求和談判必要條件。

銀行業(yè)監(jiān)管機構(gòu)和內(nèi)部審計、外部審計能執(zhí)行足夠的監(jiān)督。

通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息和其他信息。擔保和損失賠償是否充足。

外包服務(wù)商遵守我行有關(guān)信息科技風險制度和流程的意愿及相關(guān)措施。外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。第三方供應(yīng)商出現(xiàn)問題時，保證軟件持續(xù)可用的相關(guān)措施。

變更外包協(xié)議的流程，以及我行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如： 我行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。我行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。

外包服務(wù)商提供的服務(wù)不充分，造成我行不能履行監(jiān)督義務(wù)。

在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮的因素包括但不限于：

提出定性和定量的績效指標，評估外包服務(wù)商為我行及其相關(guān)客戶提供服務(wù)的充分性。通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。針對績效不達標的情況調(diào)整流程，采取整改措施。加強信息科技相關(guān)外包管理工作，確保我行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

實現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。

按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。

嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保我行相關(guān)信息的安全。確保在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。我行應(yīng)建立恰當?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財務(wù)損失和重要人員的變動，以及外包協(xié)議的意外終止。我行所有信息科技外包合同應(yīng)由科技部、風險管理部、法律合規(guī)部和信息科技管理委員會審核通過。我行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。審計

我行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。稽核審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于我行的日?；顒樱哂羞m當?shù)氖跈?quán)訪問我行的記錄。我行內(nèi)部信息科技審計的責任包括：

制定、實施和調(diào)整審計計劃，檢查和評估我行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。按照第一款規(guī)定完成審計工作，在此基礎(chǔ)上提出整改意見。檢查整改意見是否得到落實。

執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風險評估結(jié)果對認為必要的特殊事項進行的審計。

我行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全面審計。我行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風險管理標準。我行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息科技外部審計。

在委托審計過程中，我行應(yīng)確保外部審計機構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風險，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

我行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細確定審計范圍，不應(yīng)故意隱瞞事實或阻撓審計檢查。

銀監(jiān)會及其派出機構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對我行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)的委托或授權(quán)對我行進行審計時，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進行審計。外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的我行應(yīng)根據(jù)該審計報告提出整改計劃，并在規(guī)定的時間內(nèi)實施整改。

我行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風險信息，防止其擅自對本銀行提供的任何文件進行修改、復(fù)制或帶離現(xiàn)場。附則

本辦法由營口沿海銀風險管理部負責解釋和修訂。

第三篇：某銀行信息科技風險識別與評估管理辦法

某銀行信息科技風險識別與評估管理辦法

第一章

總

則

第一條

為規(guī)范信息科技風險評估工作，提高某銀行信息科技風險管理水平，促進我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)國家信息安全法律、法規(guī)及銀行業(yè)信息科技監(jiān)管要求及《某銀行信息科技風險管理策略》，結(jié)合我行風險管理實際情況，特制定本辦法。

第二條

本辦法屬于信息科技風險類“管理辦法”，適用于某銀行信息科技工作全過程的風險評估。風險評估對象包括信息科技組織、管理過程和信息資產(chǎn)。

第三條

信息科技風險，是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運營過程中，由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、法律、聲譽等風險。

第四條

信息科技風險評估是指在信息科技風險事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作。

第五條

本辦法所指的信息科技風險類型及來源包括但不限于以下內(nèi)容：

(一)信息科技總體風險是指信息科技在策略、制度、物理環(huán)境、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風險。

(二)信息系統(tǒng)風險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及下線過程中由于技術(shù)和管理缺陷產(chǎn)生的風險。

(三)研發(fā)風險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險。

(四)運行維護風險是指信息系統(tǒng)在運行與維護過程中訪問管理、操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險。

(五)外包風險是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風險。

第六條

信息科技風險評估是識別、計量、評價信息科技風險的活動，旨在客觀反映信息科技對我行發(fā)展戰(zhàn)略的支撐程度。

第七條

風險評估應(yīng)遵循“全面覆蓋、突出重點、持續(xù)跟進”的原則。

第八條

總行、一級分行的信息科技風險評估（含自評估）工作應(yīng)遵照本辦法執(zhí)行。

第二章

角色分工

第九條

風險評估可由總行信息科技管理委員會或一級分行發(fā)起，承擔機構(gòu)是風險管理部，風險管理部負責組建風險評估實 施團隊。風險評估實施團隊由管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成，評估工作角色分為：評估管理人員、評估人員、評估分 析人員。

（一）評估管理人員由風險管理部信息科技風險管理崗擔任，負責組織、管理、監(jiān)督風險評估任務(wù)，包括：

1.制定風險評估任務(wù)計劃

2.設(shè)計風險評估方案

3.審核風險評估報告

4.確認風險處置建議

5.跟蹤風險評估任務(wù)進度

6.控制風險評估任務(wù)質(zhì)量

（二）評估人員負責按照風險評估任務(wù)要求，收集并提供信息和證據(jù)，如實反映信息科技工作現(xiàn)狀。評估人員由評估對象 所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔任；

（三）評估分析人員負責匯總、整理和分析采集到的信息與證據(jù)材料，編寫風險評估報告。評估分析人員由行內(nèi)經(jīng)驗豐富的專業(yè)人員擔任，必要時可聘請業(yè)內(nèi)專業(yè)人員。

第十條

在同一風險評估任務(wù)中，評估實施團隊成員不少于三人，評估管理人員和評估分析人員不得兼任評估人員。

第三章 風險評估計劃

第十一條

總行和一級分行每應(yīng)開展一次整體信息科技風險評估，兩次以上專項信息科技風險評估。

第十二條

信息科技風險評估要以信息科技風險監(jiān)測信息、數(shù)據(jù)以及其他有關(guān)信息為基礎(chǔ)，遵循科學、透明和個案處理的原則進行。

第十三條

出現(xiàn)以下情況時，應(yīng)結(jié)合本單位以往風險評估情況，確定是否啟動專項信息科技風險評估：

（一）新系統(tǒng)上線后或已有系統(tǒng)進行重大變更；

（二）信息科技運行中發(fā)現(xiàn)重大紕漏或隱患；

（三）內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件；

（四）信息科技審計中發(fā)現(xiàn)重大問題；

（五）監(jiān)管機構(gòu)發(fā)布風險提示；

（六）其他情況。

第十四條

一級分行根據(jù)總行風險評估工作要求，結(jié)合本行實際情況制定風險評估計劃，并報總行備案。

第四章 風險識別與評估方法

第十五條

風險評估通過人工評估或自動化工具測評等手 段識別、分析支撐 IT 目標的流程和資源中存在的缺失或不足，判斷風險優(yōu)先級，提出風險處置建議。

第十六條

總行信息科技管理委員會或一級分行發(fā)起風險評估任務(wù)，并下達任務(wù)書。評估管理人員依據(jù)任務(wù)書組織編寫風險評估任務(wù)計劃書和風險評估方案。

第十七條

評估管理人員組織人員依據(jù)評估對象的業(yè)務(wù)目標識別IT 服務(wù)目標，進而分析支撐IT 目標的流程和資源，并針對流程要素和資源要素設(shè)計風險檢查表。

第十八條

評估人員依據(jù)風險檢查表，采用人工或自動化工具對評估對象的信息科技狀況進行信息收集。信息收集可采用調(diào)查、檢查、安全測試等方式：

（一）調(diào)查包括問卷調(diào)查、遠程訪談、現(xiàn)場訪談等；

（二）檢查包括文檔檢查、代碼檢查、流程檢查等；

（三）安全測試包括人工測試、自動化測試以及綜合性滲透測試等。

第十九條

評估分析人員采用定性或定量的計算方法，依據(jù)各類風險對實現(xiàn) IT 目標的影響，計算出評估對象的風險優(yōu)先值或級別，并進行分析：

（一）風險成因分析，分析誘發(fā)風險的主觀因素和客觀因素。主觀因素包括流程缺失、控制不足或無效等；客觀因素包括資源缺乏、內(nèi)外環(huán)境影響等。

（二）風險占比分析，依據(jù)對IT 目標的影響程度，分析評估對象當前狀態(tài)下各類、各級風險占比情況；

（三）風險對比分析，對同次任務(wù)中不同機構(gòu)的風險狀態(tài)進行對比，分析各類風險在不同機構(gòu)的分布狀況及影響；

（四）風險趨勢分析，對不同時期的相同任務(wù)結(jié)果進行對比，分析同一風險的增強或減弱情況，了解風險的發(fā)展趨勢。

第二十條

風險分析可采用以下手段：

（一）專家經(jīng)驗；

（二）風險分析模型；

（三）風險分析工具。

第二十一條 評估分析人員針對風險評估任務(wù)中揭示的風險類型和狀態(tài)，結(jié)合組織機構(gòu)、業(yè)務(wù)需求和安全要求，提出風險處置建議，包括降低、轉(zhuǎn)移或消除風險的措施、預(yù)期效果等。

第二十二條 評估分析人員編寫風險評估報告，內(nèi)容包括風險評估任務(wù)描述、風險分析、風險處置建議等。評估報告經(jīng)評估管理人員審核后提交信息科技管理委員會。

第二十三條 風險評估過程(附件1)分為三個階段：風險評估準備、信息收集和風險識別分析。

第五章 風險評估準備

第二十四條 根據(jù)風險評估計劃，總行信息科技管理委員會或一級分行提出信息科技風險評估任務(wù)，編制風險評估任務(wù)書（附件 2），明確任務(wù)目標、評估對象、評估范圍、任務(wù)起止時間、風險管理部門等。

第二十五條 風險管理部組建風險評估團隊，指定風險評估管理人員、風險評估人員和風險評估分析人員，并授權(quán)風險評估團隊開展風險評估工作。

第二十六條 評估管理人員組織制定風險評估任務(wù)計劃書（附件 3），明確風險評估實施活動的計劃安排，主要包括：

（一）團隊組織：包括成員名單、角色、職責等內(nèi)容；

（二）工作計劃：描述各階段的工作安排，包括工作內(nèi)容、時間進度和各階段成果清單等內(nèi)容。

第二十七條 評估管理人員組織設(shè)計評估方案，評估方案包括風險檢查表（附件4）、信息收集方式、風險分析方法等。

第二十八條 設(shè)計風險檢查表時遵循以下過程：

（一）分析評估對象的業(yè)務(wù)目標和IT服務(wù)目標；

（二）識別實現(xiàn)IT 目標的工作流程和資源；

（三）識別影響工作流程和資源中的關(guān)鍵因素，主要考慮各流程要素的活動內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實現(xiàn)方式、所需資源等；

（四）根據(jù)關(guān)鍵因素設(shè)計風險檢查項、檢查指標和評價權(quán)重，形成風險檢查表。

第二十九條 評估管理人員通過風險評估啟動會等形式啟動具體風險評估工作。

第六章 信息收集

第三十條

評估管理人員將風險檢查表分發(fā)給評估人員，并告知信息收集方法及填寫要求。

第三十一條 評估人員通過調(diào)閱文檔、收集日志、現(xiàn)場訪談、工具測評等方式獲取風險評估所需信息。信息內(nèi)容包括但不限于：IT 制度及執(zhí)行情況、技術(shù)文檔、以往審計報告、風險管理報告、日志記錄、訪談記錄、測試報告等。

第三十二條 評估人員根據(jù)采集的信息，填寫風險檢查表，并保留證據(jù)。

第三十三條 評估管理人員督查信息收集進展情況，按計劃收回風險檢查表，并審核填報信息質(zhì)量。必要時，可要求評估人員補充信息和附加證據(jù)。

第三十四條 評估管理人員將風險檢查表提交評估分析人員。第七章 風險分析

第三十五條 評估分析人員按評估方案確定的風險分析方法對風險檢查表進行匯總、梳理，評定風險等級，分析風險成因，提出風險處置建議，形成風險評估報告（附件5）。報告包括但不限于以下內(nèi)容：

（一）風險評估任務(wù)概述

（二）風險評估活動描述

（三）風險分析，包括總體風險分析、風險占比分析、風險對比分析、風險趨勢分析

（四）風險成因分析

（五）風險處置建議

（六）詳細風險列表

第三十六條 評估分析人員將風險評估報告提交評估管理人員。

第三十七條 評估管理人員定期督查風險分析進展情況，指導(dǎo)風險分析工作，組織審核風險評估報告，形成正式報告提交風險管理部負責人。

第三十八條 風險管理部將風險評估報告上報信息科技管理委員會，并通過風險評估任務(wù)總結(jié)會等形式，通報風險評估情況。

第三十九條 風險管理部將風險評估資料歸檔管理。

第八章

附則

第四十條

本管理辦法由某銀行總行制定并負責解釋和修訂。

第四十一條 本管理辦法自發(fā)布之日起執(zhí)行。

第四篇：村鎮(zhèn)銀行信息科技整改報告

關(guān)于鐵嶺新星村鎮(zhèn)銀行 信息科技內(nèi)部審計的整改報告

內(nèi)審合規(guī)部于1-2月份對我部門的信息科技相關(guān)情況進行了內(nèi)部審計，審計中發(fā)現(xiàn)了一些問題，我部高度重視，認真整改，現(xiàn)將整改情況匯報如下：

一、加強信息技術(shù)內(nèi)控制度的建設(shè)

加強與外包行興業(yè)銀行的互動，建立本行與興業(yè)銀行的良性運行機制，積極參與到興業(yè)銀行的相關(guān)內(nèi)部控制流程來，做到托管行和外包行之間的相互牽制和協(xié)調(diào)。

加強本行內(nèi)部控制制度的建設(shè)，貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標準，落實人民銀行和銀監(jiān)會相關(guān)監(jiān)管要求，履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和管理職責，建立、健全村鎮(zhèn)銀行信息科技風險管理相關(guān)規(guī)章、制度，并嚴格執(zhí)行。

建立健全良好的控制環(huán)境，控制環(huán)境是村鎮(zhèn)銀行信息科技的風險基調(diào)；做好各項信息系統(tǒng)的風險評估；進一步做好信息科技的不相容職責相分離、相關(guān)業(yè)務(wù)流程的授權(quán)審批制度、信息安全管理等控制活動；加強信息系統(tǒng)建設(shè)，信息系統(tǒng)不僅處理內(nèi)部資料，而且還處理形成企業(yè)決策和外部報告所必須的外部事件、行為和條件的信息。我行應(yīng)加強與外包銀行、監(jiān)管機構(gòu)、高級管理層、股東以及治理層之間的信息溝通；做到對信息科技內(nèi)部控制的持續(xù)監(jiān)控。

二、提高系統(tǒng)維護運行效率

進一步加強與承包方的溝通管理，溝通管理是企業(yè)組織的生命線。管理的過程，也就是溝通的過程。企業(yè)是個有生命的有機體，而溝通則是機體內(nèi)的血管，通過流動來給組織系統(tǒng)提供養(yǎng)分，實現(xiàn)機體的良性循環(huán)。溝通管理是企業(yè)管理的核心內(nèi)容和實質(zhì)。

我行應(yīng)采用書面與口頭溝通相結(jié)合的溝通制度，例如，提交運維申請單書面文件后，相關(guān)人員應(yīng)及時電話通知興業(yè)相關(guān)運行維護人員。采用正式溝通和非正式溝通向結(jié)合的溝通方法，正式溝通是通過明文規(guī)定的渠道進行信息傳遞的交流方式，非正式溝通不僅可以獲得信息，也是建立信任和關(guān)系的溝通。

強化運維體系建設(shè)，提升系統(tǒng)服務(wù)水平。要進一步完善運維管理流程，健全運維管理制度和標準，確保配置足夠的人力、物力、財力來維持安全、穩(wěn)定的信息科技環(huán)境，提升信息科技運維保障能力。在高度上做好管理流程整合，在深度上做好業(yè)務(wù)流程分解，強化事件分級制度，建立起一個有效的事件分級及響應(yīng)機制，加強對業(yè)務(wù)連續(xù)性的管理，保障金融服務(wù)持續(xù)穩(wěn)定。

三、加強員工的信息科技安全知識培訓(xùn)

進一步提高信息科技人員履職能力。采取有效方式和途徑，通過求助發(fā)起行或聘請其他外部專業(yè)技術(shù)人員對現(xiàn)有科技人員進行培訓(xùn)，提高信息科技人員的綜合素質(zhì)和履職能力。

針對銀行一線員工，集中開展關(guān)于銀行業(yè)務(wù)所需的相關(guān)設(shè)備的操作和維護的培訓(xùn)，使一線工作人員掌握基本的相關(guān)設(shè)備耗材更換，灰塵清理等一些簡單維護技能，這樣一來既能縮短業(yè)務(wù)等待時間，提高工作的效率，又能節(jié)省科技人員的工作精力，使信息科技人員得以專注信息科技日常管理工作。

鐵嶺新星村鎮(zhèn)銀行信息科技部

2018年3月8日

第五篇：銀行信息科技風險自查報告

銀行信息科技風險自查報告

在人們越來越注重自身素養(yǎng)的今天，報告的適用范圍越來越廣泛，我們在寫報告的時候要注意語言要準確、簡潔。你還在對寫報告感到一籌莫展嗎？以下是小編為大家收集的銀行信息科技風險自查報告，僅供參考，歡迎大家閱讀。

按照上級領(lǐng)導(dǎo)的指示，我行認真貫徹精神，為充分做好重要時期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范我行信息科技風險，保障計算機系統(tǒng)運行和操作安全，建立和完善信息科技風險管理機制。對我行的信息科技工作進行了一次全面的自我評估及審查。現(xiàn)將審查情況報告如下：

一、設(shè)備間建設(shè)規(guī)范和管理規(guī)范

（1）設(shè)備間安裝了溫濕度儀表，以用來監(jiān)控機房溫度和濕度，并能夠及時開啟控溫控濕設(shè)備來保證機房的溫度和濕度。

（2）設(shè)備間每周由網(wǎng)點經(jīng)理或支行行長來對設(shè)備間的環(huán)境狀況進行檢查，并登記成冊，以確保設(shè)備間保持整潔和規(guī)范。

（3）設(shè)備間嚴格控制出入人員，并保證營業(yè)網(wǎng)點外來人員有相關(guān)證件登記。

（4）支行技術(shù)人員每年一次對設(shè)備間的主要設(shè)備進行巡檢，確保設(shè)備能夠正常使用，并在相關(guān)登記本上記錄。

二、應(yīng)急管理和終端安全

（1）支行會不定期對一些預(yù)案進行檢查，確保這些預(yù)案是最新的，且告知網(wǎng)點人員張貼在需要的地方。

（2）支行每年會抽取一定的網(wǎng)點人員進行培訓(xùn)和演練，并書寫心得和體會，確保網(wǎng)點人員能夠正確的應(yīng)對突發(fā)狀況。

（3）支行每月會不定期的抽查相關(guān)電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開通ADSL等違規(guī)的網(wǎng)絡(luò)。

一、網(wǎng)絡(luò)運行風險

1、來自互聯(lián)網(wǎng)和移動磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計算機技術(shù)在農(nóng)村信用社各項業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識較為薄弱，加上計算機水平又是參差不齊，有的員工很難主動發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實施補丁升級，U盤濫用且從不進行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運行。

二、操作流程風險

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計算機操作業(yè)務(wù)能力與嚴格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實,不能夠完全掌握農(nóng)信社的各項業(yè)務(wù)操作流程及處置程序,必然會造成操作失誤而導(dǎo)致風險。操作風險大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識差。目前，我區(qū)農(nóng)村信用社計算機操作員一般只通過了短期輔導(dǎo)培訓(xùn)，未能全面掌握計算機理論知識及運用技術(shù)，主要表現(xiàn)在：一是一些操作人員對計算機知識的`缺乏，

經(jīng)常出現(xiàn)操作性錯誤；二是操作人員基本安全意識不強，缺乏安全防范意識；三是人員調(diào)離或崗位變動時不及時注銷操作員，導(dǎo)致操作員不便于管理；四是人離機不退，個別人隨意離開工作崗位，也不簽退，給他人可乘之機，造成了嚴重的信息安全隱患。

2、不嚴格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現(xiàn)系列風險。一是操作人員不嚴格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風險；二是沒有定期對機器除塵、保養(yǎng)，使微機在較惡劣環(huán)境下帶“病”工作，計算機運行報錯或元器件損壞時有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；三是不嚴格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負擔。

為此我們將嚴格按照省市聯(lián)社關(guān)于計算機管理的一系列相關(guān)要求，對日常計算機信息管理中存在的問題經(jīng)行重點監(jiān)督和整改：

1、嚴格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質(zhì)的使用范圍、殺毒流程。加強員工計算機知識培訓(xùn)，提高員工的電腦操作技能，制定防

毒策略，養(yǎng)成良好的上網(wǎng)習慣，嚴防病毒侵害。

2、加強對一線人員的操作流程、各項基本規(guī)定的培訓(xùn)，加強對信息專管員的培訓(xùn)，提高其處理計算機及網(wǎng)絡(luò)故障、防范計算機及網(wǎng)絡(luò)風險的能力；對業(yè)務(wù)操作人員要重點抓好計算機知識的普及培訓(xùn)工作，建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計算機業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅決杜絕各種混崗現(xiàn)象，嚴格遵循管理制度。

3、嚴格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學習和掌握農(nóng)村信用社的操作流程和各項規(guī)章制度,加強制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴禁使用6位相同數(shù)字或電話號碼或生日號碼等，嚴禁口頭或電話告知操作密碼。

4、加強內(nèi)控建設(shè)，強化監(jiān)督，完善防范機制。首先，建立柜員崗位制約為主，做到責任到崗、落實到人、相互制約、互相監(jiān)督。其次，

全面落實以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實時監(jiān)管，及時發(fā)現(xiàn)問題，及時進行整改，消除風險隱患。再則，加強會計事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點是督促基層社各項計算機制度執(zhí)行與落實，提升基層執(zhí)行力，以此推進和完善防范制度，切實做到防患于未然。

5、日常維護方面，由基社信息專管員負責每周一次對機房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問題及時上報科技信息部處理；每月在各基社網(wǎng)點信息專管員的配合下，對網(wǎng)絡(luò)設(shè)備的運行和管理進行維護和檢查至少一次，全轄的ATM和POS機由科技信息部統(tǒng)一管理，落實基社網(wǎng)點專人負責，加大專管人員的培訓(xùn)，使日常操作、維護工作和安全防范措施得以落實。

一、網(wǎng)絡(luò)運行風險

來自互聯(lián)網(wǎng)和移動磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計算機技術(shù)在農(nóng)村信用社各項業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識較為薄弱，加上計算機水平又是參差不齊，有的員工很難主動發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實施補丁升級，U盤濫用且從不進行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運行。

二、操作流程風險

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計算機操作業(yè)務(wù)能力與嚴格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實,不能夠完全掌握農(nóng)信社的各項業(yè)務(wù)操作流程及處置程序,必然會造成操作失誤而導(dǎo)致風險。操作風險大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識差。目前，我區(qū)農(nóng)村信用社計算機操作員一般只通過了短期輔導(dǎo)培訓(xùn)，未能全面掌握計算機理論知識及運用技術(shù)，主要表現(xiàn)在：

一是一些操作人員對計算機知識的缺乏，經(jīng)常出現(xiàn)操作性錯誤；

二是操作人員基本安全意識不強，缺乏安全防范意識；

三是人員調(diào)離或崗位變動時不及時注銷操作員，導(dǎo)致操作員不便于管理；

四是人離機不退，個別人隨意離開工作崗位，也不簽退，給他人可乘之機，造成了嚴重的信息安全隱患。

2、不嚴格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現(xiàn)系列風險。

一是操作人員不嚴格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風險；

二是沒有定期對機器除塵、保養(yǎng)，使微機在較惡劣環(huán)境下帶“病”工作，計算機運行報錯或元器件損壞時有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；

三是不嚴格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負擔。

為此我們將嚴格按照省市聯(lián)社關(guān)于計算機管理的一系列相關(guān)要求，對日常計算機信息管理中存在的問題經(jīng)行重點監(jiān)督和整改：

1、嚴格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質(zhì)的使用范圍、殺毒流程。加強員工計算機知識培訓(xùn)，提高員工的電腦操作技能，制定防毒策略，養(yǎng)成良好的上網(wǎng)習慣，嚴防病毒侵害。

2、加強對一線人員的操作流程、各項基本規(guī)定的培訓(xùn)，加強對信息專管員的培訓(xùn)，提高其處理計算機及網(wǎng)絡(luò)故障、防范計算機及網(wǎng)絡(luò)風險的能力；對業(yè)務(wù)操作人員要重點抓好計算機知識的普及培訓(xùn)工作，建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計算機業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅決杜絕各種混崗現(xiàn)象，嚴格遵循管理制度。

3、嚴格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學習和掌握農(nóng)村信用社的操作流程和各項規(guī)章制度,加強制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴禁使用6位相同數(shù)字或電話號碼或生日號碼等，嚴禁口頭或電話告知操作密碼。

4、加強內(nèi)控建設(shè)，強化監(jiān)督，完善防范機制。首先，建立柜員崗位制約為主，做到責任到崗、落實到人、相互制約、互相監(jiān)督。其次，全面落實以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實時監(jiān)管，及時發(fā)現(xiàn)問題，及時進行整改，消除風險隱患。再則，加強會計事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點是督促基層社各項計算機制度執(zhí)行與落實，提升基層執(zhí)行力，以此推進和完善防范制度，切實做到防患于未然。

5、日常維護方面，由基社信息專管員負責每周一次對機房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問題及時上報科技信息部處理；每月在各基社網(wǎng)點信息專管員的配合下，對網(wǎng)絡(luò)設(shè)備的運行和管理進行維護和檢查至少一次，全轄的ATM和POS機由科技信息部統(tǒng)一管理，落實基社網(wǎng)點專人負責，加大專管人員的培訓(xùn)，使日常操作、維護工作和安全防范措施得以落實。