第一篇：信息科技與電子銀行風(fēng)險(xiǎn)管理

信息科技與電子銀行風(fēng)險(xiǎn)管理專題

信息科技發(fā)展現(xiàn)狀

? 完成了全省數(shù)據(jù)大集中

? 各類業(yè)務(wù)系統(tǒng)和管理信息系統(tǒng)不斷豐富 ? 更好更快更優(yōu)的服務(wù)

? 對業(yè)務(wù)的支撐作用越來越大

? 信息科技地位和受關(guān)注程度越來越高 ? 信息科技風(fēng)險(xiǎn)日益積聚 信息科技風(fēng)險(xiǎn)的概念

? IT風(fēng)險(xiǎn)是指在對信息科技的運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞、管理缺陷產(chǎn)生的操作風(fēng)險(xiǎn)、法律和聲譽(yù)等風(fēng)險(xiǎn)。

? 特點(diǎn)：風(fēng)險(xiǎn)發(fā)生時(shí)影響較大

風(fēng)險(xiǎn)出現(xiàn)具有不確定性

對風(fēng)險(xiǎn)的估計(jì)或防范手段不足

對其他風(fēng)險(xiǎn)具有傳導(dǎo)性

? 對當(dāng)前農(nóng)村合作金融機(jī)構(gòu)而言，最大的風(fēng)險(xiǎn)是對科技的不夠了解，以至于沒有納入日常管理內(nèi)容。

? 信息科技風(fēng)險(xiǎn)管理的目標(biāo)：通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

近年銀行信息科技風(fēng)險(xiǎn)事件

? 2007年3月21日，某全國性銀行因主機(jī)監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近4個(gè)小時(shí)，所有營業(yè)網(wǎng)點(diǎn)無法正常開展業(yè)務(wù);

? 8月15日，某全國性銀行對計(jì)算機(jī)系統(tǒng)進(jìn)行升級，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個(gè)人業(yè)務(wù)系統(tǒng)運(yùn)行不暢，業(yè)務(wù)辦理速度緩慢，部分代理證券業(yè)務(wù)受阻，在持續(xù)5個(gè)半小時(shí)之后，系統(tǒng)才逐步恢復(fù)正常 ；

? 12月21日，某全國性銀行因運(yùn)行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進(jìn)行，雖啟動(dòng)應(yīng)急預(yù)案，但仍然中斷營業(yè)近1個(gè)小時(shí)；

? 08年元月7日，某地方銀行因主干專線的接入設(shè)備發(fā)生故障，造成在京117家支行網(wǎng)點(diǎn)柜臺交易緩慢，業(yè)務(wù)無法正常進(jìn)行，故障持續(xù)1個(gè)多小時(shí)才得以解決。

? 06年4月，某大型銀行間組織發(fā)生系統(tǒng)故障，導(dǎo)致所有銀行卡跨行業(yè)務(wù)影響8個(gè)多小時(shí)

? 2010年，發(fā)生多起某全國性銀行、地方性銀行、外資銀行、銀行間組織等嚴(yán)重信息科技運(yùn)行事故。

監(jiān)管當(dāng)局VS信息科技風(fēng)險(xiǎn)

? 2006年，銀行業(yè)機(jī)構(gòu)信息科技風(fēng)險(xiǎn)評價(jià)審計(jì)通知；

? 2007年，落實(shí)信息科技風(fēng)險(xiǎn)評價(jià)審計(jì)整改及自評估工作的通知 ? 2008年，發(fā)布《銀行業(yè)重要信息系統(tǒng)應(yīng)急管理規(guī)范（試行）》； ? 2009年，發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》 ? 2010年，發(fā)布《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》、《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》、《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引等》

目前存在的主要風(fēng)險(xiǎn)及應(yīng)對措施

? 內(nèi)控制度建設(shè)不完善，沒有將科技納入日常管理工作范圍

二級法人體制下的科技建設(shè)矛盾和信息安全管理的矛盾

主要業(yè)務(wù)平臺和結(jié)算渠道建設(shè)完成后,行社將成為特色業(yè)務(wù)、產(chǎn)品創(chuàng)新的主要角色

信息化快速發(fā)展造成行社科技管理的缺失：

對系統(tǒng)功能沒有充分了解，影響業(yè)務(wù)管理，如授權(quán)、流程、勞動(dòng)組合、產(chǎn)品創(chuàng)新

? 科技人員不足、內(nèi)部審計(jì)的空缺

現(xiàn)狀：科技人員的缺乏，法人行社內(nèi)部審計(jì)對科技信息風(fēng)險(xiǎn)管理監(jiān)測的缺失

措施：未雨綢繆，結(jié)合精英培養(yǎng)工程，制定人才補(bǔ)充、培養(yǎng)計(jì)劃

內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日常活動(dòng)，具有適當(dāng)?shù)氖跈?quán)訪問本銀行的記錄

充分重視科技隊(duì)伍建設(shè)，做好人才儲(chǔ)備，關(guān)鍵崗位

實(shí)現(xiàn)A、B崗

? 沒有正確認(rèn)識業(yè)務(wù)與科技關(guān)系

科技的工具作用：引領(lǐng)作用、創(chuàng)新作用

科技工具的雙面性：提高生產(chǎn)力水平和風(fēng)險(xiǎn)的隱蔽性、聚集性

關(guān)鍵工作：

業(yè)務(wù)規(guī)劃、市場調(diào)研：科技充分介入

業(yè)務(wù)需求說明書：科學(xué)、詳細(xì)，業(yè)務(wù)為主、科技參與

測試：重點(diǎn)關(guān)注、運(yùn)行風(fēng)險(xiǎn)及業(yè)務(wù)風(fēng)險(xiǎn)關(guān)鍵

科技工作特點(diǎn):風(fēng)險(xiǎn)大、責(zé)任大、壓力大

科技人員工作軟環(huán)境：理解、認(rèn)可、支持，科技人員不是電工

科技為業(yè)務(wù)服務(wù)，科技需要走在業(yè)務(wù)的前面

? 外包風(fēng)險(xiǎn)將是銀行未來主要關(guān)注的信息科技風(fēng)險(xiǎn)

案例：

2006年4月21日，許霆與朋友郭安山利用ATM機(jī)故障漏洞取款，許取出17.5萬元，許霆被廣州中院判處無期徒刑。

2010年5月23日，云南農(nóng)信昆明關(guān)雨信用社ATM出現(xiàn)故障，何鵬取1000元，取款機(jī)吐出了3700，ATM大方送錢近6萬元。何鵬被抓，判無期，去年最高人民法院又改判為8年6個(gè)月。

措施：關(guān)鍵系統(tǒng)維護(hù)必須嚴(yán)格管理，制定完善的實(shí)施方案，清晰職責(zé)、履行審批手續(xù)，雙人操作，換人復(fù)核，做好維護(hù)記錄。

自己的系統(tǒng)自己管，落實(shí)制度、不能偷懶，外面的人員更要嚴(yán)管

? 訪問控制（內(nèi)外網(wǎng)互聯(lián)）

案例：

2004年，某大學(xué)生非法侵入合肥多家銀行的計(jì)算機(jī)盜取客戶資料，并公布于互聯(lián)網(wǎng)上，對銀行聲譽(yù)產(chǎn)生了很大影響，該案是公安部成立網(wǎng)監(jiān)部門后破獲的第一起案件，該罪犯被判處2年徒刑。

某銀行員工，采用撥號接入方式，在家中登陸業(yè)務(wù)系統(tǒng)，非法竊取資金500多萬。

措施：關(guān)鍵系統(tǒng)維護(hù)必須嚴(yán)格管理，制定完善的實(shí)施方案，履行審批手續(xù)，雙人操作，換人復(fù)核，做好維護(hù)記錄。

專機(jī)專用、內(nèi)外網(wǎng)物理分離、部署檢測工具軟件、不在外網(wǎng)機(jī)器存放敏感、涉密信息

? 由業(yè)務(wù)而導(dǎo)致的科技風(fēng)險(xiǎn)

案例：

2010年，某大型銀行一分行，提交50000筆代發(fā)工資業(yè)務(wù)，隨即又進(jìn)行取消操作，導(dǎo)致該行計(jì)算機(jī)系統(tǒng)停止服務(wù)20小時(shí)，該分行行長被調(diào)離崗位，科技部門負(fù)責(zé)人受到處分。

分析：數(shù)據(jù)修改、批量代發(fā)、中間業(yè)務(wù)等，業(yè)務(wù)對科技風(fēng)險(xiǎn)具有傳導(dǎo)性。

措施：嚴(yán)格操作管理，對批量業(yè)務(wù)事先做好準(zhǔn)備工作。計(jì)算機(jī)物理環(huán)境風(fēng)險(xiǎn)

? 計(jì)算機(jī)實(shí)體安全：資源管理、冗余、防盜、變更、維護(hù) ? 機(jī)房基礎(chǔ)設(shè)施：防火、防水、溫控、冗余 ? 機(jī)房出入管理：門禁、登記、陪同、監(jiān)控 ? 值班與監(jiān)控： ? 物理安全域

所有設(shè)備都要有備份、冗余 銀行卡的種類及功能

? 按照能否提供透支功能，銀行卡可分為信用卡和借記卡 ? 針對發(fā)卡對象的不同，銀行卡可分為單位卡和個(gè)人卡

? 按銀行卡的帳號幣種不同，銀行卡可分為人民幣卡、外幣卡和雙幣種卡 ? 儲(chǔ)蓄功能、支付結(jié)算功能、匯兌轉(zhuǎn)賬功能、消費(fèi)信貸功能 銀行卡業(yè)務(wù)風(fēng)險(xiǎn)

? 銀行卡風(fēng)險(xiǎn)管理的一般原則： ? 確定管理目標(biāo) ? 進(jìn)行風(fēng)險(xiǎn)評價(jià)

? 風(fēng)險(xiǎn)控制及處置

銀行卡風(fēng)險(xiǎn)管理的原則

? 銀行卡業(yè)務(wù)特有風(fēng)險(xiǎn)管理原則：

? 從上到下的風(fēng)險(xiǎn)管理策略和流程明晰化原則

? 深刻理解風(fēng)險(xiǎn)和收益對稱的原則

? 應(yīng)用統(tǒng)計(jì)手段和系統(tǒng)化管理的原則

? 有效風(fēng)險(xiǎn)管理組織架構(gòu)的原則。

銀行卡業(yè)務(wù)風(fēng)險(xiǎn)

? 銀行卡風(fēng)險(xiǎn)：信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、法律政策風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)

? 借記卡風(fēng)險(xiǎn)較低，主要是管理責(zé)任，包括：反洗錢、受理環(huán)境保障、風(fēng)險(xiǎn)提示義務(wù) 銀行卡業(yè)務(wù)風(fēng)險(xiǎn)

? 信用風(fēng)險(xiǎn)：是指由于持卡人主觀或者客觀上的原因，違約拒付欠款而產(chǎn)生的壞賬風(fēng)險(xiǎn)，由于信用卡屬于無擔(dān)保、無抵押的小額消費(fèi)信貸產(chǎn)品，因此，信用風(fēng)險(xiǎn)是信用卡業(yè)務(wù)的一個(gè)最主要損失來源。

? 應(yīng)對措施：做好信用卡申請人員的身份、還款來源的審查工作，系統(tǒng)提供預(yù)警機(jī)制。? 操作風(fēng)險(xiǎn)：是指由于人員、系統(tǒng)以及業(yè)務(wù)流程方面的問題而產(chǎn)生的風(fēng)險(xiǎn)，主要包括欺詐風(fēng)險(xiǎn)、內(nèi)部操作風(fēng)險(xiǎn)、中介機(jī)構(gòu)交易風(fēng)險(xiǎn)和系統(tǒng)安全風(fēng)險(xiǎn)。

? 欺詐風(fēng)險(xiǎn)又分為欺詐性申請和欺詐性交易。欺詐者盜用他人身份信息而申請開戶信用卡，是欺詐性申請，欺詐者盜取卡片或卡片的信息進(jìn)行刷卡，是欺詐性交易。? 欺詐風(fēng)險(xiǎn)也是目前最嚴(yán)重、危害最大的一類風(fēng)險(xiǎn)。

? 應(yīng)對措施：一是加強(qiáng)本行信息系統(tǒng)安全管理，建立各種交易風(fēng)險(xiǎn)監(jiān)控機(jī)制，構(gòu)建數(shù)據(jù)分析和風(fēng)險(xiǎn)預(yù)測模型，? 二是加大與中國銀聯(lián)、公安部門及同業(yè)之間的信息溝通與交流合作，共享銀行卡風(fēng)險(xiǎn)信息和風(fēng)險(xiǎn)控制的最新措施，通過各方的力量化解風(fēng)險(xiǎn)事件，? 三是做好銀行卡受理環(huán)境的預(yù)防工作，按照“誰發(fā)卡，誰負(fù)責(zé)”和“誰發(fā)展的特約商戶，誰負(fù)責(zé)”的原則建立發(fā)卡機(jī)構(gòu)和收單機(jī)構(gòu)責(zé)任追究制度，定期對特約商戶進(jìn)行回訪制度；加大對收單機(jī)構(gòu)人員銀行卡受理流程的培訓(xùn)，做到規(guī)范受理，不給犯罪分子可乘之機(jī)。

? 四是加強(qiáng)對自助設(shè)備的巡查和監(jiān)控力度。

? 五是加強(qiáng)銀行卡風(fēng)險(xiǎn)宣傳工作，提高持卡人風(fēng)險(xiǎn)防范意識。? 內(nèi)部操作風(fēng)險(xiǎn)

? 是指銀行工作人員違規(guī)操作或操作失誤造成銀行資金損失，或者工作人員利用職務(wù)之便，與不法分子勾結(jié)、串通作案，引起發(fā)卡行或客戶資金損失的風(fēng)險(xiǎn)。

? 與外部欺詐風(fēng)險(xiǎn)和中介機(jī)構(gòu)交易風(fēng)險(xiǎn)相比，此類案件不具有普遍性，但是由于是內(nèi)部專業(yè)人員作案，手段更加隱蔽，對銀行聲譽(yù)的影響也更嚴(yán)重。? 規(guī)范內(nèi)部流程、明確崗位責(zé)任、加強(qiáng)監(jiān)督制約

? 聲譽(yù)風(fēng)險(xiǎn)：往往是一種結(jié)果性的體現(xiàn)，銀行卡業(yè)務(wù)環(huán)節(jié)中某一個(gè)利益主體在出現(xiàn)欺詐風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)或法律、政策性風(fēng)險(xiǎn)時(shí)，其未必會(huì)有直接性的財(cái)務(wù)損失，但往往會(huì)影響其良好品牌形象的維護(hù)，從而間接帶來經(jīng)濟(jì)上的損失

? 聲譽(yù)風(fēng)險(xiǎn)也來自于客戶的錯(cuò)誤操作或是疏忽。安全風(fēng)險(xiǎn)會(huì)被夸大從而導(dǎo)致客戶對銀行失去信心。

? 克隆網(wǎng)站、釣魚網(wǎng)站等虛假網(wǎng)站會(huì)帶來客戶敏感信息泄露，引起資金損失從而影響銀行聲譽(yù)。

案例一：2009年3月8日，雷某在深圳某ATM機(jī)取錢，在正常輸入密碼后，聽到點(diǎn)鈔聲，但出鈔口未見錢出來，這時(shí)，雷某看到ATM機(jī)旁有一張“溫馨提示”，就按照“溫馨提示”留下的“服務(wù)熱線”撥過去，對方在電話中稱事主的銀行卡出現(xiàn)故障，卡內(nèi)資金已不安全，要求按提示轉(zhuǎn)移到另一“安全賬戶內(nèi)”，雷某立即在ATM上進(jìn)行轉(zhuǎn)賬。導(dǎo)致資金受損1萬元

? 應(yīng)對措施：加強(qiáng)對ATM機(jī)和轉(zhuǎn)賬業(yè)務(wù)的管理，未經(jīng)持卡人主動(dòng)申請并書面確認(rèn)，發(fā)卡機(jī)構(gòu)不得為持卡人開通電話轉(zhuǎn)賬、ATM轉(zhuǎn)賬、網(wǎng)上銀行轉(zhuǎn)賬等自助轉(zhuǎn)賬類業(yè)務(wù) ? 為持卡人開通自助轉(zhuǎn)賬業(yè)務(wù)時(shí)，要向持卡人充分提示開通有關(guān)業(yè)務(wù)的風(fēng)險(xiǎn)，并要對持卡人進(jìn)行更為嚴(yán)格的真實(shí)身份核查，確保實(shí)名開戶。同時(shí)提示持卡銀行卡密碼設(shè)置不能過于簡單、銀行卡與身份證等證件盡量不要放在一處保管，領(lǐng)卡時(shí)及時(shí)在卡片背面簽署持卡人姓名，不要在不安全的網(wǎng)站鏈接網(wǎng)銀。

總結(jié)

? 風(fēng)險(xiǎn)是可以轉(zhuǎn)移的 ? 風(fēng)險(xiǎn)就是收益

? 最大的風(fēng)險(xiǎn)是不能正確認(rèn)識風(fēng)險(xiǎn)，不能充分管理風(fēng)險(xiǎn)

第二篇：南京銀行信息科技風(fēng)險(xiǎn)管理政策

南京銀行股份有限公司信息科技風(fēng)險(xiǎn)管理政策

第一章 總則

第一條 為進(jìn)一步完善南京銀行股份有限公司（以下簡稱“本行”）全面風(fēng)險(xiǎn)管

理體系，保證本行業(yè)務(wù)的可持續(xù)發(fā)展，依據(jù)中國銀行業(yè)監(jiān)督管理委員會(huì)《商業(yè)銀行

信息科技風(fēng)險(xiǎn)管理指引》并結(jié)合本行實(shí)際，制定本政策。

第二條 本政策所稱信息科技風(fēng)險(xiǎn)是指本行在運(yùn)用信息科技過程中，由于自然

因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第三條 本行信息科技風(fēng)險(xiǎn)政策取向是：穩(wěn)健。實(shí)行規(guī)避、預(yù)防、緩釋、抵補(bǔ)

等管理策略。

第四條 本行通過搭建科學(xué)的風(fēng)險(xiǎn)管理組織架構(gòu)、劃分明確的風(fēng)險(xiǎn)管理職責(zé)、制定有效的風(fēng)險(xiǎn)管理制度和操作流程等措施，持續(xù)推動(dòng)信息科技風(fēng)險(xiǎn)管理工作的開

展。

第五條 本行信息科技風(fēng)險(xiǎn)管理的管理原則是：全員參與、協(xié)調(diào)統(tǒng)一、預(yù)防為

主、動(dòng)態(tài)管理。

第六條 本行信息科技風(fēng)險(xiǎn)的管理目標(biāo)是通過建立完整、合理、有效的風(fēng)險(xiǎn)管

理機(jī)制，實(shí)現(xiàn)對信息科技風(fēng)險(xiǎn)的識別、評估、計(jì)量、監(jiān)測和控制，促進(jìn)本行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高本行信息技術(shù)使用水平，增強(qiáng)核心競爭力和

可持續(xù)發(fā)展能力。

第二章 信息科技風(fēng)險(xiǎn)的組織架構(gòu)和職責(zé)

第七條 本行建立與信息科技風(fēng)險(xiǎn)特點(diǎn)相適應(yīng)的組織架構(gòu)，包括董事會(huì)、董事會(huì)

風(fēng)險(xiǎn)管理委員會(huì)、高級管理層。

第八條 董事會(huì)承擔(dān)本行信息科技風(fēng)險(xiǎn)管理的最終職責(zé)。具體職責(zé)包括：

（一）建立并完善分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技

治理組織結(jié)構(gòu)；

（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與本行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一

致；

（三）動(dòng)態(tài)掌握信息科技風(fēng)險(xiǎn)政策和信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技

預(yù)算和實(shí)際支出情況及信息科技的整體狀況；

（四）定期聽取專門委員會(huì)工作事項(xiàng)的執(zhí)行情況。2 第九條 董事會(huì)授權(quán)風(fēng)險(xiǎn)管理委員會(huì)行使以下職責(zé)：

（一）依據(jù)本行信息科技戰(zhàn)略，制定信息科技風(fēng)險(xiǎn)管理政策；

（二）監(jiān)督高級管理層制定具體有效的信息科技風(fēng)險(xiǎn)管理制度和操作流程；

（三）按聽取高級管理層的信息科技風(fēng)險(xiǎn)監(jiān)測報(bào)告，評估信息科技風(fēng)險(xiǎn)管

理工作的總體效果和效率并提出完善的建議和意見；

（四）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，及時(shí)決策本

行發(fā)生的重大信息科技事故或突發(fā)事件，向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)

管理的報(bào)告；

（五）確保內(nèi)外部審計(jì)部門獨(dú)立有效的進(jìn)行信息科技風(fēng)險(xiǎn)審計(jì)，并確認(rèn)審計(jì)報(bào)

告；

（六）履行董事會(huì)授權(quán)的其他信息科技風(fēng)險(xiǎn)管理職能。

第十條 高級管理層行使以下職責(zé)：

（一）負(fù)責(zé)執(zhí)行本行信息科技風(fēng)險(xiǎn)政策和發(fā)展戰(zhàn)略；

（二）制定具體的信息科技風(fēng)險(xiǎn)管理制度及具體的操作流程，確定可接受的信

息科技風(fēng)險(xiǎn)級別，確保境內(nèi)外信息科技風(fēng)險(xiǎn)能夠被識別、評估、計(jì)量、監(jiān)測和控制，統(tǒng)一協(xié)調(diào)各經(jīng)營部門有效開展信息科技風(fēng)險(xiǎn)管理工作；

（三）確保本行信息科技系統(tǒng)正常運(yùn)行，有效防范跨境風(fēng)險(xiǎn)；

（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部企業(yè)文化建設(shè)，提高全體人員

對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識；

（五）組織專業(yè)培訓(xùn)，加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制；

（六）對董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)確認(rèn)的信息科技風(fēng)險(xiǎn)內(nèi)外部審計(jì)報(bào)告，落實(shí)具

體的整改措施；

（七）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并落實(shí)整改

措施，及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本行發(fā)生的重大信息科技事故或突發(fā)事件，并按相關(guān)預(yù)案快速響應(yīng)；

（八）其他信息科技風(fēng)險(xiǎn)的管理職能。

第三章 信息科技風(fēng)險(xiǎn)管理的內(nèi)容

第十一條 本行信息科技風(fēng)險(xiǎn)管理的內(nèi)容包括但不限于：信息安全管理、信息系

統(tǒng)開發(fā)、測試和維護(hù)管理、信息科技運(yùn)行管理、業(yè)務(wù)連續(xù)性管理和外包管理等方面。

第十二條 本行通過制定各類有效的信息科技管理制度，優(yōu)化風(fēng)險(xiǎn)管理流程，提3 高制度約束的執(zhí)行力水平，不斷完善信息安全管理機(jī)制，最終實(shí)現(xiàn)信息的持續(xù)安全

管理。

第十三條 本行在信息系統(tǒng)開發(fā)中，采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，充分評估信息科

技項(xiàng)目風(fēng)險(xiǎn)，合理安排信息科技項(xiàng)目的排序、立項(xiàng)、審批和控制；在測試和維護(hù)中，強(qiáng)化數(shù)據(jù)的完整性、保密性和可用性，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，合理控制信息系統(tǒng)的生命周期。

第十四條 本行在信息系統(tǒng)運(yùn)行過程中，實(shí)施必要的隔離措施，建立應(yīng)急的信息

系統(tǒng)運(yùn)行事故管理機(jī)制。

第十五條 本行在業(yè)務(wù)連續(xù)性管理過程中，通過制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，確

保信息系統(tǒng)在無法預(yù)見的中斷時(shí)能夠有效的運(yùn)行。

第十六條 本行實(shí)施重要信息科技外包(如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)時(shí)，堅(jiān)持謹(jǐn)慎原則，經(jīng)必要的分析、論證和審查程序，不得將信息科技管理責(zé)任外包；

適時(shí)謹(jǐn)慎的履行監(jiān)督外包職能；在外包管理過程中，確保本行的客戶資料等敏感信

息的安全。

第四章 信息科技風(fēng)險(xiǎn)管理的程序

第十七條 高級管理層按向董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)出具本行信息科技風(fēng)險(xiǎn)

管理書面監(jiān)測報(bào)告，詳細(xì)說明信息科技風(fēng)險(xiǎn)管理情況和下一步完善措施。

第十八條 對本行重大的信息科技風(fēng)險(xiǎn)事件，在第一時(shí)間向董事會(huì)風(fēng)險(xiǎn)管理委員

會(huì)和監(jiān)管部門報(bào)告。

第十九條 對監(jiān)管部門現(xiàn)場檢查和內(nèi)外部審計(jì)機(jī)構(gòu)審計(jì)中發(fā)現(xiàn)的問題，落實(shí)整改

措施并及時(shí)向董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)報(bào)告。

第五章 考核與獎(jiǎng)懲

第二十條 本行董事會(huì)將信息科技風(fēng)險(xiǎn)管理情況納入到對董事、高級管理層的履職考核中。

第二十一條 高級管理層通過建立科學(xué)的信息科技風(fēng)險(xiǎn)管理問責(zé)制度，將信息科

技風(fēng)險(xiǎn)管理的考核指標(biāo)納入全面風(fēng)險(xiǎn)管理考核體系，以推動(dòng)業(yè)務(wù)發(fā)展質(zhì)量的全面提

升。

第六章 附則

第二十二條 本政策由南京銀行股份有限公司董事會(huì)風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)解釋。

第二十三條 本辦法自董事會(huì)批準(zhǔn)之日起執(zhí)行。

第三篇：信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)交流

額敏縣農(nóng)村信用合作聯(lián)社

信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)交流

塔城地區(qū)銀監(jiān)分局：

根據(jù)塔城地區(qū)銀監(jiān)分局《關(guān)于召開2011年塔城地區(qū)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理聯(lián)席會(huì)議的通知》要求，現(xiàn)將和額敏縣農(nóng)村信用合作聯(lián)社信息科技風(fēng)險(xiǎn)管理情況匯報(bào)如下：

一、信息科技風(fēng)險(xiǎn)管理基本情況

為提高安全管理意識，充分認(rèn)識信息科技風(fēng)險(xiǎn)管理工作的重要性，建立了一把手負(fù)責(zé)制，明確信息科技風(fēng)險(xiǎn)管理的職責(zé)權(quán)限，逐級落實(shí)信息科技管理責(zé)任，嚴(yán)格事故追究責(zé)任制。成立了以聯(lián)社理事長為組長、領(lǐng)導(dǎo)班子成員為副組長、各相關(guān)部門及營業(yè)網(wǎng)點(diǎn)主任為成員的信息科技工作領(lǐng)導(dǎo)小組，制定了信息科技應(yīng)急處置預(yù)案，明確了因信息科技風(fēng)險(xiǎn)導(dǎo)致營業(yè)網(wǎng)點(diǎn)發(fā)生業(yè)務(wù)故障時(shí)，聯(lián)社各相關(guān)部門需采取的措施和步驟，提高了對信息科技風(fēng)險(xiǎn)的預(yù)防和處置能力。

2009年10月，自治區(qū)聯(lián)社鑒于各縣級聯(lián)社信息科技風(fēng)險(xiǎn)管理技術(shù)力量薄弱，管控能力較差等情況，以地區(qū)為單位成立了科技分中心，對各聯(lián)社信息科技工作和部分重要設(shè)備統(tǒng)一進(jìn)行管理，并每季對網(wǎng)點(diǎn)進(jìn)行一次科技風(fēng)險(xiǎn)管理巡檢。

二、聯(lián)社信息科技應(yīng)用情況

（一）網(wǎng)絡(luò)情況。目前我社各網(wǎng)點(diǎn)均通過租用電信公司專線與直接與塔城地區(qū)科技分中心相聯(lián)，業(yè)務(wù)專線與因特網(wǎng)物理隔離，可以有效的防止了網(wǎng)絡(luò)不法分子對我社業(yè)務(wù)網(wǎng)絡(luò)

攻擊和破壞。對部分重要的網(wǎng)絡(luò)設(shè)備、參數(shù)（如網(wǎng)點(diǎn)路由器）由地區(qū)科技分中心進(jìn)行備份。

目前我社網(wǎng)點(diǎn)全部建立了電話線路備份，如網(wǎng)點(diǎn)專線出現(xiàn)故障，通過向地區(qū)科技分中心申請后，可以使用電話備份線路辦理業(yè)務(wù)。

（二）生產(chǎn)環(huán)境。為提高農(nóng)村信用社的業(yè)務(wù)發(fā)展，增強(qiáng)業(yè)務(wù)處理能力，自治區(qū)農(nóng)村信用社使用了數(shù)據(jù)集中模式，數(shù)據(jù)集中到自治區(qū)聯(lián)社科技中心。各項(xiàng)應(yīng)用系統(tǒng)的維護(hù)、數(shù)據(jù)備份等由自治區(qū)科技中心操作。

（三）科技管理。

我社所有電腦均安裝網(wǎng)絡(luò)版殺毒軟件，并及時(shí)進(jìn)行更新，防止病毒傳播和有害程序注入，保證了網(wǎng)點(diǎn)和機(jī)關(guān)各部門的電腦穩(wěn)定安全運(yùn)行。

三、存在的問題

由于縣聯(lián)社沒有專職或兼職科技管理人員，對縣聯(lián)社的新業(yè)務(wù)軟件上線，軟硬件的日常維護(hù)，科技分中心距離縣聯(lián)社較遠(yuǎn)，技術(shù)支掙不是很方便。如網(wǎng)點(diǎn)線路關(guān)鍵設(shè)備發(fā)生故障，不能迅速排除故障，可能造成網(wǎng)點(diǎn)停業(yè)時(shí)間較長。

今后我社將在自治區(qū)聯(lián)社的領(lǐng)導(dǎo)下，在地區(qū)銀監(jiān)局的正確監(jiān)管下，加強(qiáng)信息科技風(fēng)險(xiǎn)防范，努力提高信息科技防范工作力度，做好對敏感信息的保護(hù)和應(yīng)急能力建設(shè)，確保我社信息科技工作穩(wěn)定、安全發(fā)展。

額敏縣農(nóng)村信用合作聯(lián)社

二〇一一年四月二十六日

第四篇：銀行信息科技風(fēng)險(xiǎn)自查報(bào)告

銀行信息科技風(fēng)險(xiǎn)自查報(bào)告

在人們越來越注重自身素養(yǎng)的今天，報(bào)告的適用范圍越來越廣泛，我們在寫報(bào)告的時(shí)候要注意語言要準(zhǔn)確、簡潔。你還在對寫報(bào)告感到一籌莫展嗎？以下是小編為大家收集的銀行信息科技風(fēng)險(xiǎn)自查報(bào)告，僅供參考，歡迎大家閱讀。

按照上級領(lǐng)導(dǎo)的指示，我行認(rèn)真貫徹精神，為充分做好重要時(shí)期金融網(wǎng)絡(luò)和信息系統(tǒng)安全保障工作，防范我行信息科技風(fēng)險(xiǎn)，保障計(jì)算機(jī)系統(tǒng)運(yùn)行和操作安全，建立和完善信息科技風(fēng)險(xiǎn)管理機(jī)制。對我行的信息科技工作進(jìn)行了一次全面的自我評估及審查?，F(xiàn)將審查情況報(bào)告如下：

一、設(shè)備間建設(shè)規(guī)范和管理規(guī)范

（1）設(shè)備間安裝了溫濕度儀表，以用來監(jiān)控機(jī)房溫度和濕度，并能夠及時(shí)開啟控溫控濕設(shè)備來保證機(jī)房的溫度和濕度。

（2）設(shè)備間每周由網(wǎng)點(diǎn)經(jīng)理或支行行長來對設(shè)備間的環(huán)境狀況進(jìn)行檢查，并登記成冊，以確保設(shè)備間保持整潔和規(guī)范。

（3）設(shè)備間嚴(yán)格控制出入人員，并保證營業(yè)網(wǎng)點(diǎn)外來人員有相關(guān)證件登記。

（4）支行技術(shù)人員每年一次對設(shè)備間的主要設(shè)備進(jìn)行巡檢，確保設(shè)備能夠正常使用，并在相關(guān)登記本上記錄。

二、應(yīng)急管理和終端安全

（1）支行會(huì)不定期對一些預(yù)案進(jìn)行檢查，確保這些預(yù)案是最新的，且告知網(wǎng)點(diǎn)人員張貼在需要的地方。

（2）支行每年會(huì)抽取一定的網(wǎng)點(diǎn)人員進(jìn)行培訓(xùn)和演練，并書寫心得和體會(huì)，確保網(wǎng)點(diǎn)人員能夠正確的應(yīng)對突發(fā)狀況。

（3）支行每月會(huì)不定期的抽查相關(guān)電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開通ADSL等違規(guī)的網(wǎng)絡(luò)。

一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)

1、來自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計(jì)算機(jī)技術(shù)在農(nóng)村信用社各項(xiàng)業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識較為薄弱，加上計(jì)算機(jī)水平又是參差不齊，有的員工很難主動(dòng)發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實(shí)施補(bǔ)丁升級，U盤濫用且從不進(jìn)行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運(yùn)行。

二、操作流程風(fēng)險(xiǎn)

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計(jì)算機(jī)操作業(yè)務(wù)能力與嚴(yán)格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實(shí),不能夠完全掌握農(nóng)信社的各項(xiàng)業(yè)務(wù)操作流程及處置程序,必然會(huì)造成操作失誤而導(dǎo)致風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識差。目前，我區(qū)農(nóng)村信用社計(jì)算機(jī)操作員一般只通過了短期輔導(dǎo)培訓(xùn)，未能全面掌握計(jì)算機(jī)理論知識及運(yùn)用技術(shù)，主要表現(xiàn)在：一是一些操作人員對計(jì)算機(jī)知識的`缺乏，

經(jīng)常出現(xiàn)操作性錯(cuò)誤；二是操作人員基本安全意識不強(qiáng)，缺乏安全防范意識；三是人員調(diào)離或崗位變動(dòng)時(shí)不及時(shí)注銷操作員，導(dǎo)致操作員不便于管理；四是人離機(jī)不退，個(gè)別人隨意離開工作崗位，也不簽退，給他人可乘之機(jī)，造成了嚴(yán)重的信息安全隱患。

2、不嚴(yán)格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險(xiǎn)意識不強(qiáng)等原因造成了在操作過程中出現(xiàn)系列風(fēng)險(xiǎn)。一是操作人員不嚴(yán)格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風(fēng)險(xiǎn)；二是沒有定期對機(jī)器除塵、保養(yǎng)，使微機(jī)在較惡劣環(huán)境下帶“病”工作，計(jì)算機(jī)運(yùn)行報(bào)錯(cuò)或元器件損壞時(shí)有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；三是不嚴(yán)格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負(fù)擔(dān)。

為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求，對日常計(jì)算機(jī)信息管理中存在的問題經(jīng)行重點(diǎn)監(jiān)督和整改：

1、嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時(shí)升級殺毒程序，同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。加強(qiáng)員工計(jì)算機(jī)知識培訓(xùn)，提高員工的電腦操作技能，制定防

毒策略，養(yǎng)成良好的上網(wǎng)習(xí)慣，嚴(yán)防病毒侵害。

2、加強(qiáng)對一線人員的操作流程、各項(xiàng)基本規(guī)定的培訓(xùn)，加強(qiáng)對信息專管員的培訓(xùn)，提高其處理計(jì)算機(jī)及網(wǎng)絡(luò)故障、防范計(jì)算機(jī)及網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力；對業(yè)務(wù)操作人員要重點(diǎn)抓好計(jì)算機(jī)知識的普及培訓(xùn)工作，建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計(jì)算機(jī)業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅(jiān)決杜絕各種混崗現(xiàn)象，嚴(yán)格遵循管理制度。

3、嚴(yán)格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財(cái)務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學(xué)習(xí)和掌握農(nóng)村信用社的操作流程和各項(xiàng)規(guī)章制度,加強(qiáng)制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴(yán)禁使用6位相同數(shù)字或電話號碼或生日號碼等，嚴(yán)禁口頭或電話告知操作密碼。

4、加強(qiáng)內(nèi)控建設(shè)，強(qiáng)化監(jiān)督，完善防范機(jī)制。首先，建立柜員崗位制約為主，做到責(zé)任到崗、落實(shí)到人、相互制約、互相監(jiān)督。其次，

全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實(shí)時(shí)監(jiān)管，及時(shí)發(fā)現(xiàn)問題，及時(shí)進(jìn)行整改，消除風(fēng)險(xiǎn)隱患。再則，加強(qiáng)會(huì)計(jì)事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點(diǎn)是督促基層社各項(xiàng)計(jì)算機(jī)制度執(zhí)行與落實(shí)，提升基層執(zhí)行力，以此推進(jìn)和完善防范制度，切實(shí)做到防患于未然。

5、日常維護(hù)方面，由基社信息專管員負(fù)責(zé)每周一次對機(jī)房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問題及時(shí)上報(bào)科技信息部處理；每月在各基社網(wǎng)點(diǎn)信息專管員的配合下，對網(wǎng)絡(luò)設(shè)備的運(yùn)行和管理進(jìn)行維護(hù)和檢查至少一次，全轄的ATM和POS機(jī)由科技信息部統(tǒng)一管理，落實(shí)基社網(wǎng)點(diǎn)專人負(fù)責(zé)，加大專管人員的培訓(xùn)，使日常操作、維護(hù)工作和安全防范措施得以落實(shí)。

一、網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)

來自互聯(lián)網(wǎng)和移動(dòng)磁介質(zhì)上病毒的攻擊。隨著我區(qū)農(nóng)村信用社電子化建設(shè)的發(fā)展，計(jì)算機(jī)技術(shù)在農(nóng)村信用社各項(xiàng)業(yè)務(wù)中的廣泛應(yīng)用，部分員工因病毒防范意識較為薄弱，加上計(jì)算機(jī)水平又是參差不齊，有的員工很難主動(dòng)發(fā)現(xiàn)客戶端系統(tǒng)出現(xiàn)的漏洞從而實(shí)施補(bǔ)丁升級，U盤濫用且從不進(jìn)行病毒掃描，這樣就容易造成內(nèi)部信息泄漏或網(wǎng)絡(luò)阻塞，中斷重要業(yè)務(wù)的正常運(yùn)行。

二、操作流程風(fēng)險(xiǎn)

隨著業(yè)務(wù)的更新和科技步伐的加快，員工的計(jì)算機(jī)操作業(yè)務(wù)能力與嚴(yán)格執(zhí)行規(guī)范程序不適應(yīng),綜合柜員制未能全面落實(shí),不能夠完全掌握農(nóng)信社的各項(xiàng)業(yè)務(wù)操作流程及處置程序,必然會(huì)造成操作失誤而導(dǎo)致風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)大致分為以下幾方面:

1、操作行為不規(guī)范,安全防范意識差。目前，我區(qū)農(nóng)村信用社計(jì)算機(jī)操作員一般只通過了短期輔導(dǎo)培訓(xùn)，未能全面掌握計(jì)算機(jī)理論知識及運(yùn)用技術(shù)，主要表現(xiàn)在：

一是一些操作人員對計(jì)算機(jī)知識的缺乏，經(jīng)常出現(xiàn)操作性錯(cuò)誤；

二是操作人員基本安全意識不強(qiáng)，缺乏安全防范意識；

三是人員調(diào)離或崗位變動(dòng)時(shí)不及時(shí)注銷操作員，導(dǎo)致操作員不便于管理；

四是人離機(jī)不退，個(gè)別人隨意離開工作崗位，也不簽退，給他人可乘之機(jī)，造成了嚴(yán)重的信息安全隱患。

2、不嚴(yán)格執(zhí)行操作流程，造成安全隱患。由于部分員工跟不上當(dāng)前農(nóng)村信用社電子化建設(shè)步伐，對推出的硬件設(shè)備以及電子化產(chǎn)品及功能不熟悉或風(fēng)險(xiǎn)意識不強(qiáng)等原因造成了在操作過程中出現(xiàn)系列風(fēng)險(xiǎn)。

一是操作人員不嚴(yán)格執(zhí)行硬件設(shè)備的操作流程，造成設(shè)備損壞，致使重要業(yè)務(wù)中斷的風(fēng)險(xiǎn)；

二是沒有定期對機(jī)器除塵、保養(yǎng)，使微機(jī)在較惡劣環(huán)境下帶“病”工作，計(jì)算機(jī)運(yùn)行報(bào)錯(cuò)或元器件損壞時(shí)有發(fā)生，影響了信用社窗口的服務(wù)效率和形象；

三是不嚴(yán)格按照業(yè)務(wù)操作流程操作業(yè)務(wù)系統(tǒng)程序，給他人或科技結(jié)算中心造成不必要的負(fù)擔(dān)。

為此我們將嚴(yán)格按照省市聯(lián)社關(guān)于計(jì)算機(jī)管理的一系列相關(guān)要求，對日常計(jì)算機(jī)信息管理中存在的問題經(jīng)行重點(diǎn)監(jiān)督和整改：

1、嚴(yán)格業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)與因特網(wǎng)等公眾系統(tǒng)的隔離，無法隔離的要隨時(shí)升級殺毒程序，同時(shí)嚴(yán)格移動(dòng)磁介質(zhì)的使用范圍、殺毒流程。加強(qiáng)員工計(jì)算機(jī)知識培訓(xùn)，提高員工的電腦操作技能，制定防毒策略，養(yǎng)成良好的上網(wǎng)習(xí)慣，嚴(yán)防病毒侵害。

2、加強(qiáng)對一線人員的操作流程、各項(xiàng)基本規(guī)定的培訓(xùn)，加強(qiáng)對信息專管員的培訓(xùn)，提高其處理計(jì)算機(jī)及網(wǎng)絡(luò)故障、防范計(jì)算機(jī)及網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力；對業(yè)務(wù)操作人員要重點(diǎn)抓好計(jì)算機(jī)知識的普及培訓(xùn)工作，建立各種形式的崗位培訓(xùn)和定期輪訓(xùn)制度，提高職工的政治素質(zhì)、業(yè)務(wù)技能、敬業(yè)精神、計(jì)算機(jī)業(yè)務(wù)操作水平和安全防范綜合能力。一線人員的操作和授權(quán)不能流于形式，堅(jiān)決杜絕各種混崗現(xiàn)象，嚴(yán)格遵循管理制度。

3、嚴(yán)格操作規(guī)范及操作權(quán)限管理

隨著農(nóng)村信用社的發(fā)展，信貸系統(tǒng)，財(cái)務(wù)系統(tǒng)，OA系統(tǒng)的成功上線并投入使用，操作人員必須學(xué)習(xí)和掌握農(nóng)村信用社的操作流程和各項(xiàng)規(guī)章制度,加強(qiáng)制度執(zhí)行力的管理。操作員密碼必須定期不定期修改，并嚴(yán)格按規(guī)定設(shè)置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴(yán)禁使用6位相同數(shù)字或電話號碼或生日號碼等，嚴(yán)禁口頭或電話告知操作密碼。

4、加強(qiáng)內(nèi)控建設(shè)，強(qiáng)化監(jiān)督，完善防范機(jī)制。首先，建立柜員崗位制約為主，做到責(zé)任到崗、落實(shí)到人、相互制約、互相監(jiān)督。其次，全面落實(shí)以主任、內(nèi)勤主任為主的監(jiān)管體系，確保做到實(shí)時(shí)監(jiān)管，及時(shí)發(fā)現(xiàn)問題，及時(shí)進(jìn)行整改，消除風(fēng)險(xiǎn)隱患。再則，加強(qiáng)會(huì)計(jì)事后監(jiān)督和電視監(jiān)控系統(tǒng)管理，加大查處力度，重點(diǎn)是督促基層社各項(xiàng)計(jì)算機(jī)制度執(zhí)行與落實(shí)，提升基層執(zhí)行力，以此推進(jìn)和完善防范制度，切實(shí)做到防患于未然。

5、日常維護(hù)方面，由基社信息專管員負(fù)責(zé)每周一次對機(jī)房衛(wèi)生清理和設(shè)備故障排查，發(fā)現(xiàn)問題及時(shí)上報(bào)科技信息部處理；每月在各基社網(wǎng)點(diǎn)信息專管員的配合下，對網(wǎng)絡(luò)設(shè)備的運(yùn)行和管理進(jìn)行維護(hù)和檢查至少一次，全轄的ATM和POS機(jī)由科技信息部統(tǒng)一管理，落實(shí)基社網(wǎng)點(diǎn)專人負(fù)責(zé)，加大專管人員的培訓(xùn)，使日常操作、維護(hù)工作和安全防范措施得以落實(shí)。

第五篇：村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法

村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法

（征求意見稿）

第一章 總 則

第一條 為加強(qiáng)村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理，確?？萍俭w系持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)，根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等有關(guān)法律、法規(guī)，制定本辦法。

第二條 信息科技風(fēng)險(xiǎn)管理是通過建立有效機(jī)制，實(shí)現(xiàn)對銀行信息系統(tǒng)風(fēng)險(xiǎn)的識別、計(jì)量、評價(jià)、預(yù)警和控制，推動(dòng)村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新，提高信息化管理水平，保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。

第二章 信息科技風(fēng)險(xiǎn)管理組織架構(gòu)

第三條 信息科技風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第四條

發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)的主要管理部門，發(fā)起行科技信息中心有以下信息科技風(fēng)險(xiǎn)管理的權(quán)限和職責(zé)：

（一）建立有效的信息科技風(fēng)險(xiǎn)管理管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息科技風(fēng)險(xiǎn)管理；

（二）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求；

（三）履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé)，建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度，并嚴(yán)格執(zhí)行；

（四）負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等工作，提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運(yùn)行技術(shù)支持；

（五）負(fù)責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實(shí)有關(guān)信息科技風(fēng)險(xiǎn)管理的各項(xiàng)規(guī)章制度；

（六）發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。

第三章 信息科技風(fēng)險(xiǎn)具體控制要求

第五條 信息科技總體風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）缺少信息系統(tǒng)風(fēng)險(xiǎn)管理策略；

（二）自然災(zāi)害、運(yùn)行環(huán)境變化；

（三）信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善；

（四）信息安全標(biāo)準(zhǔn)化工作不符合國家相關(guān)規(guī)定；

（五）缺乏信息安全風(fēng)險(xiǎn)評估機(jī)制；

（六）數(shù)據(jù)中心機(jī)房物理安全；

（七）使用盜版軟件及自有成果的知識產(chǎn)權(quán)保護(hù)；

（八）電子設(shè)備自身運(yùn)行；

（九）主機(jī)與網(wǎng)絡(luò)運(yùn)行；

（十）網(wǎng)絡(luò)安全；

（十一）密碼安全；

（十二）數(shù)據(jù)加密安全；

（十三）信息系統(tǒng)配置參數(shù)管理；

（十四）數(shù)據(jù)管理；

（十五）突發(fā)事件響應(yīng)；

（十六）信息系統(tǒng)故障導(dǎo)致影響銀行信譽(yù)；（十七）網(wǎng)上銀行安全。

第六條 信息系統(tǒng)總體風(fēng)險(xiǎn)控制措施：

（一）根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃，在村鎮(zhèn)銀行風(fēng)險(xiǎn)管理政策指引下，制定明確、持續(xù)的信息系統(tǒng)風(fēng)險(xiǎn)管理策略，根據(jù)信息系統(tǒng)的等級保護(hù)級別對信息系統(tǒng)進(jìn)行分析和評估，并實(shí)施有效的風(fēng)險(xiǎn)控制；

（二）建立同城信息系統(tǒng)災(zāi)備中心實(shí)現(xiàn)運(yùn)行環(huán)境備份，防止各類突發(fā)事故和惡意攻擊事件造成不良后果；

（三）建立健全相關(guān)信息科技制度，明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)；

（四）嚴(yán)格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，開展信息安全等級保護(hù)等相關(guān)工作；

（五）加強(qiáng)對信息系統(tǒng)的風(fēng)險(xiǎn)評估，及時(shí)對風(fēng)險(xiǎn)點(diǎn)進(jìn)行修補(bǔ)和完善，以保證信息系統(tǒng)的安全性和完整性；

（六）信息系統(tǒng)數(shù)據(jù)中心機(jī)房建設(shè)時(shí)嚴(yán)格參照國家有關(guān)計(jì)算機(jī)場地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)，數(shù)據(jù)中心機(jī)房實(shí)行嚴(yán)格的門禁管理措施，未經(jīng)授權(quán)不得進(jìn)入；

（七）加強(qiáng)知識產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)村鎮(zhèn)銀行信息化成果；

（八）嚴(yán)格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)數(shù)量的備品、備件；

（九）嚴(yán)格參照相關(guān)標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)信息系統(tǒng)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴(yán)格線路租用合同管理，按照業(yè)務(wù)和交易流量要

求保證傳輸帶寬；監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行；

（十）加強(qiáng)網(wǎng)絡(luò)安全管理。嚴(yán)格網(wǎng)絡(luò)邊界控制，使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)；

（十一）加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度；

（十二）加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴(yán)格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫，采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取，以保證數(shù)據(jù)的完整性、保密性；

（十三）對信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，并嚴(yán)格審批和登記手續(xù)；

（十四）制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案，并定期進(jìn)行演練、評審和修訂；

（十五）加強(qiáng)對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)管理；

（十六）在信息系統(tǒng)可能影響客戶服務(wù)時(shí)，及時(shí)通知業(yè)務(wù)部門，以便以適當(dāng)方式告知客戶；

（十七）采取有效技術(shù)措施，切實(shí)加強(qiáng)網(wǎng)上銀行信息安全保

障。加強(qiáng)網(wǎng)銀用戶身份認(rèn)證管理，與業(yè)務(wù)部門密切配合，逐步對所有網(wǎng)上銀行高風(fēng)險(xiǎn)賬戶操作統(tǒng)一使用雙重身份認(rèn)證。積極研發(fā)和應(yīng)用各類維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。

第七條

信息科技研發(fā)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）信息系統(tǒng)項(xiàng)目研發(fā)管理；

（二）信息系統(tǒng)項(xiàng)目開發(fā)人員外包；

（三）信息系統(tǒng)項(xiàng)目需求不明確；

（四）信息系統(tǒng)測試不規(guī)范或不完善；

（五）信息系統(tǒng)應(yīng)用推廣；

（六）信息系統(tǒng)測試發(fā)現(xiàn)的軟件缺陷；

（七）信息系統(tǒng)項(xiàng)目文檔管理；

（八）信息系統(tǒng)項(xiàng)目驗(yàn)收。

第八條

信息科技研發(fā)風(fēng)險(xiǎn)具體控制要求：

（一）一般項(xiàng)目研發(fā)成立項(xiàng)目工作小組，重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組，并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負(fù)責(zé)整個(gè)項(xiàng)目的開發(fā)工作；

（二）項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專業(yè)技術(shù)知識，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力，保證信息

系統(tǒng)研發(fā)質(zhì)量和進(jìn)度；

（三）項(xiàng)目組根據(jù)業(yè)務(wù)部門項(xiàng)目需求編制項(xiàng)目功能說明書，依據(jù)項(xiàng)目功能說明書分別編寫項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說明書，設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說明書的要求；

（四）軟件研發(fā)必須建立獨(dú)立的測試環(huán)境，以保證測試的完整性和準(zhǔn)確性。一般測試應(yīng)包括功能測試、安全性測試、壓力測試、驗(yàn)收測試等，測試不得直接使用生產(chǎn)數(shù)據(jù)；

（五）研發(fā)人員必須根據(jù)測試結(jié)果修補(bǔ)信息系統(tǒng)的功能和缺陷，提高信息系統(tǒng)的整體質(zhì)量；

（六）根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃，并進(jìn)行演練；

（七）開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認(rèn)并歸檔保存；

（八）軟件開發(fā)項(xiàng)目必須進(jìn)行嚴(yán)格的項(xiàng)目驗(yàn)收流程，項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收報(bào)告，驗(yàn)收不合格不得投入使用。

第九條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）人為因素導(dǎo)致信息系統(tǒng)運(yùn)行故障；

（二）運(yùn)行管理不完善；

（三）信息系統(tǒng)日常變更；

（四）新建信息系統(tǒng)運(yùn)行；

（五）機(jī)房環(huán)境變化；

（六）信息系統(tǒng)故障報(bào)告程序。

第十條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)具體控制要求：

（一）信息系統(tǒng)運(yùn)行人員應(yīng)實(shí)行專職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)應(yīng)符合授權(quán)和維護(hù)規(guī)程要求；

（二）相關(guān)信息系統(tǒng)運(yùn)行維護(hù)人員嚴(yán)格按照信息系統(tǒng)管理制度及維護(hù)手冊運(yùn)行及維護(hù)信息系統(tǒng)。對軟件或數(shù)據(jù)的維護(hù)必須通過上級審批、授權(quán)后方可進(jìn)行；

（三）制訂嚴(yán)格的信息系統(tǒng)變更處理流程，明確變更流程中各崗位的職責(zé)分工，并遵循流程實(shí)施控制和管理；

（四）在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，應(yīng)配合業(yè)務(wù)部門，積極參與組織對系統(tǒng)的后評價(jià)，根據(jù)評價(jià)及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化；

（五）對機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案；

（六）實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。

第十一條

信息科技外包風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)外包風(fēng)險(xiǎn)是指

銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）信息科技外包需求控制風(fēng)險(xiǎn)；

（二）信息科技外包承包方合作風(fēng)險(xiǎn)；

（三）信息科技外包項(xiàng)目商業(yè)風(fēng)險(xiǎn)；

（四）信息科技外包項(xiàng)目安全風(fēng)險(xiǎn)；

（五）信息科技外包項(xiàng)目質(zhì)量風(fēng)險(xiǎn)；

（六）信息科技外包項(xiàng)目風(fēng)險(xiǎn)管理；

（七）信息科技外包項(xiàng)目責(zé)任風(fēng)險(xiǎn)；（入）信息科技外包項(xiàng)目監(jiān)控風(fēng)險(xiǎn)。

第十二條 信息科技外包風(fēng)險(xiǎn)具體控制要求：

（一）在進(jìn)行信息系統(tǒng)外包時(shí)，應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要，合理確定外包的原則和范圍，認(rèn)真分析和評估外包存在的潛在風(fēng)險(xiǎn)，建立健全相關(guān)規(guī)章制度，制定相應(yīng)的風(fēng)險(xiǎn)防范措施；

（二）建立健全外包承包方評估機(jī)制，充分審查、評估承包方的經(jīng)營狀況、財(cái)務(wù)實(shí)力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職情況調(diào)查。評估工作可委托具有國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成；

（三）與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責(zé)任；

（四）充分認(rèn)識外包服務(wù)對信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接

影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中；

（五）建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評估與檢測程序，審查管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)的外包管理的能力；

（六）信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并建立針對信息系統(tǒng)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃；

（七）與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法，保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案；

（八）對信息系統(tǒng)外包承包方進(jìn)行持續(xù)的監(jiān)控。

第四章 附 則

第十三條 各支行可依據(jù)本辦法，結(jié)合本單位實(shí)際情況，制定具體實(shí)施細(xì)則。

第十四條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。