(最新)信息科技風(fēng)險(xiǎn)管理辦法

1、風(fēng)理：技號(hào)/：總機(jī)責(zé)信技管信全信統(tǒng)測(cè)維信技業(yè)續(xù)理外審?fù)鈱徃? 版次號(hào)生效日期修改原因A/0流程體系文文件A版版 首次次發(fā)布為有效防范范銀行運(yùn)用用信息系系統(tǒng)進(jìn)行行業(yè)務(wù)處處理、經(jīng)經(jīng)營(yíng)管理理和內(nèi)部部控制過(guò)過(guò)程中產(chǎn)產(chǎn)生的風(fēng)風(fēng)險(xiǎn)，促促進(jìn)我行行各項(xiàng)業(yè)業(yè)務(wù)安全全、持續(xù)續(xù)、穩(wěn)健健運(yùn)行，根根據(jù)中中華人民民共和國(guó)國(guó)銀行業(yè)業(yè)監(jiān)督管管理法、中中華人民民共和國(guó)國(guó)商業(yè)銀銀行法、商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、營(yíng)口沿海銀操作風(fēng)險(xiǎn)管理指引，以及國(guó)家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本管理辦法。本管理辦法法所稱信信息科技技是指計(jì)計(jì)算機(jī)、通通信、微微電子和和軟件工工程等現(xiàn)現(xiàn)代信息息技術(shù)，在在我行業(yè)業(yè)務(wù)交易易處理、經(jīng)經(jīng)營(yíng)管理理和內(nèi)

2、部部控制等等方面的的應(yīng)用，并并包括進(jìn)進(jìn)行信息息科技治治理，建建立完整整的管理理組織架架構(gòu)，制制訂完善善的管理理制度和和流程。本管理辦法法所稱信信息科技技風(fēng)險(xiǎn)，是是指信息息科技在在我行運(yùn)運(yùn)用過(guò)程程中，由由于自然然因素、人人為因素素、技術(shù)術(shù)漏洞和和管理缺缺陷產(chǎn)生生的操作作、法律律和聲譽(yù)譽(yù)等風(fēng)險(xiǎn)險(xiǎn)。信息科技風(fēng)風(fēng)險(xiǎn)管理理的目標(biāo)標(biāo)是通過(guò)過(guò)建立有有效的機(jī)機(jī)制，實(shí)實(shí)現(xiàn)對(duì)我我行信息息科技風(fēng)風(fēng)險(xiǎn)的識(shí)識(shí)別、計(jì)計(jì)量、監(jiān)監(jiān)測(cè)和控控制，促促進(jìn)我行行安全、持持續(xù)、穩(wěn)穩(wěn)健運(yùn)行行，推動(dòng)動(dòng)業(yè)務(wù)創(chuàng)創(chuàng)新，提提高信息息技術(shù)使使用水平平，增強(qiáng)強(qiáng)核心競(jìng)競(jìng)爭(zhēng)力和和可持續(xù)續(xù)發(fā)展能能力。機(jī)構(gòu)職責(zé)根據(jù)我行信信息科技技治理的的要求，法法定代表表人

3、是本本機(jī)構(gòu)信信息科技技風(fēng)險(xiǎn)管管理的第第一責(zé)任任人，負(fù)負(fù)責(zé)組織織本管理理辦法的的貫徹落落實(shí), 董事會(huì)會(huì)應(yīng)履行行以下信信息科技技管理職職責(zé)：徹國(guó)關(guān)科理律規(guī)術(shù)落國(guó)業(yè)管員以稱會(huì)關(guān)要信技確與的業(yè)略大相評(píng)息及險(xiǎn)工總果率的科險(xiǎn)定受險(xiǎn)確關(guān)能識(shí)計(jì)監(jiān)控道為潔增部建提體對(duì)科險(xiǎn)重的由高理信技和業(yè)門表的信技委負(fù)督職落定董和管匯息戰(zhàn)劃行息預(yù)實(shí)出息的狀好司的上信技形工職確互報(bào)系的科理結(jié)加息專伍設(shè)立激制審門獨(dú)效息風(fēng)理對(duì)報(bào)行并整并監(jiān)其機(jī)送科險(xiǎn)的報(bào)科險(xiǎn)工需所工理遵其的科險(xiǎn)制流并相訓(xùn)人涉戶賬息產(chǎn)息核統(tǒng)國(guó)獨(dú)行保高理符監(jiān)管施檢要防境監(jiān)其機(jī)告構(gòu)的信技或事按預(yù)速會(huì)派構(gòu)信技監(jiān)查并監(jiān)見整科險(xiǎn)其關(guān)我行應(yīng)設(shè)立立分管信信息科技技的副行行級(jí)領(lǐng)導(dǎo)導(dǎo)，直

4、接接向行長(zhǎng)長(zhǎng)匯報(bào)，并并參與決決策。副副行級(jí)領(lǐng)領(lǐng)導(dǎo)的職職責(zé)包括括：本與科用的發(fā)策科略其息開略合行體戰(zhàn)信技管略一實(shí)的科門擔(dān)行息職確履信技和信技標(biāo)流信技控專研信技發(fā)管信統(tǒng)息基施行護(hù)級(jí)息管災(zāi)復(fù)信技和系出責(zé)科險(xiǎn)的性使管施到的個(gè)機(jī)分構(gòu)培提才的技科險(xiǎn)其關(guān)科技部負(fù)責(zé)責(zé)我行信信息安全全、信息息系統(tǒng)開開發(fā)、測(cè)測(cè)試和維維護(hù)、信信息科技技運(yùn)行、業(yè)業(yè)務(wù)連續(xù)續(xù)性管理理；應(yīng)對(duì)對(duì)內(nèi)部管管理職責(zé)責(zé)進(jìn)行明明確的界界定，各各崗位的的人員應(yīng)應(yīng)具有相相應(yīng)的專專業(yè)知識(shí)識(shí)和技能能，重要要崗位應(yīng)應(yīng)制定詳詳細(xì)完整整的工作作手冊(cè)并并適時(shí)更更新，并并對(duì)相關(guān)關(guān)人員采采取相關(guān)關(guān)的風(fēng)險(xiǎn)險(xiǎn)防范措措施：信包驗(yàn)身件歷工歷業(yè)證信科工德確具應(yīng)業(yè)了遵息策指則息授用

5、系信技制流要并工相議崗息員失的做排員崗替等措在崗生后變關(guān)運(yùn)營(yíng)管理部部職能交交叉，要要部門協(xié)協(xié)調(diào)是信信息系統(tǒng)統(tǒng)中涉及及賬務(wù)交交易的操操作、系系統(tǒng)參數(shù)數(shù)變更、事事件管理理的主要要部門。運(yùn)運(yùn)營(yíng)管理理部的職職責(zé)包括括：護(hù)行分運(yùn)員行不其員運(yùn)員操程和維員授維程對(duì)狀軟數(shù)行除外他應(yīng)工間的值作包定時(shí)操圍容法令負(fù)員息環(huán)設(shè)用絡(luò)系行交要協(xié)監(jiān)息值程有操程息數(shù)維須特應(yīng)序添刪修據(jù)過(guò)終不數(shù)進(jìn)接；詳日息括日審志以護(hù)計(jì)的和打能數(shù)置維要系置實(shí)格全密防法變泄丟破根感和確取方授用嚴(yán)批記的處程確控各的并流施和；前確和方無(wú)不行操需變案更核單關(guān)審更確安和性能要協(xié)環(huán)施日檢確系機(jī)境出障應(yīng)理和有交務(wù)據(jù)應(yīng)2時(shí)報(bào)度生系成經(jīng)聲失大事應(yīng)上處必啟急預(yù)風(fēng)險(xiǎn)管

6、理部部負(fù)責(zé)信信息科技技風(fēng)險(xiǎn)管管理工作作，并直直接向分分管行領(lǐng)領(lǐng)導(dǎo)（風(fēng)風(fēng)險(xiǎn)管理理委員會(huì)會(huì)）報(bào)告告工作。該該部門應(yīng)應(yīng)為信息息科技突突發(fā)事件件應(yīng)急響響應(yīng)小組組的成員員之一，負(fù)負(fù)責(zé)協(xié)調(diào)調(diào)制定有有關(guān)信息息科技風(fēng)風(fēng)險(xiǎn)管理理策略，尤尤其是在在涉及信信息安全全、業(yè)務(wù)務(wù)連續(xù)性性計(jì)劃和和合規(guī)性性風(fēng)險(xiǎn)等等方面，為為業(yè)務(wù)部部門和信信息科技技部門提提供建議議及相關(guān)關(guān)合規(guī)性性信息，實(shí)實(shí)施持續(xù)續(xù)信息科科技風(fēng)險(xiǎn)險(xiǎn)評(píng)估，跟跟蹤整改改意見的的落實(shí)，監(jiān)監(jiān)控信息息安全威威脅和不不合規(guī)事事件的發(fā)發(fā)生。風(fēng)風(fēng)險(xiǎn)管理理部的職職責(zé)包括括：系險(xiǎn)總策提級(jí)層審業(yè)門息風(fēng)行監(jiān)系險(xiǎn)對(duì)相務(wù)和機(jī)息風(fēng)況護(hù)行進(jìn)測(cè)進(jìn)時(shí)產(chǎn)息的價(jià)識(shí)評(píng)信統(tǒng)包風(fēng)審應(yīng)作險(xiǎn)程 稽核審計(jì)部部應(yīng)

7、在部部門設(shè)立立專門的的信息科科技風(fēng)險(xiǎn)險(xiǎn)審計(jì)崗崗位，負(fù)負(fù)責(zé)信息息科技審審計(jì)制度度和流程程的實(shí)施施，制訂訂和執(zhí)行行信息科科技審計(jì)計(jì)計(jì)劃，對(duì)對(duì)信息科科技整個(gè)個(gè)生命周周期和重重大事件件等進(jìn)行行審計(jì)?；藢徲?jì)計(jì)部負(fù)責(zé)責(zé)我行信信息系統(tǒng)統(tǒng)審計(jì)任任務(wù)，也也可聘請(qǐng)請(qǐng)經(jīng)國(guó)家家相應(yīng)監(jiān)監(jiān)管部門門認(rèn)定資資質(zhì)的中中介機(jī)構(gòu)構(gòu)進(jìn)行信信息系統(tǒng)統(tǒng)外部審審計(jì)。信息科技風(fēng)風(fēng)險(xiǎn)管理理我行應(yīng)制定定全面的的信息科科技風(fēng)險(xiǎn)險(xiǎn)管理策策略，包包括但不不限于下下述領(lǐng)域域：與開測(cè)維運(yùn)維性與處我行應(yīng)制定定持續(xù)的的風(fēng)險(xiǎn)識(shí)識(shí)別和評(píng)評(píng)估流程程，確定定信息科科技中存存在隱患患的區(qū)域域，評(píng)價(jià)價(jià)風(fēng)險(xiǎn)對(duì)對(duì)其業(yè)務(wù)務(wù)的潛在在影響，對(duì)對(duì)風(fēng)險(xiǎn)進(jìn)進(jìn)行排序序，并確確定風(fēng)險(xiǎn)險(xiǎn)

8、防范措措施及所所需資源源的優(yōu)先先級(jí)別（包包括外包包供應(yīng)商商、產(chǎn)品品供應(yīng)商商和服務(wù)務(wù)商）。我行應(yīng)依據(jù)據(jù)信息科科技風(fēng)險(xiǎn)險(xiǎn)管理策策略和風(fēng)風(fēng)險(xiǎn)評(píng)估估結(jié)果，實(shí)實(shí)施全面面的風(fēng)險(xiǎn)險(xiǎn)防范措措施。防防范措施施應(yīng)包括括：的科險(xiǎn)制技準(zhǔn)作等期更公風(fēng)域?qū)^(qū)行和的實(shí)險(xiǎn)化立的框以檢平險(xiǎn)義業(yè)別制包用審據(jù)統(tǒng)理輯以知授則權(quán)節(jié)我行應(yīng)建立立持續(xù)的的信息科科技風(fēng)險(xiǎn)險(xiǎn)計(jì)量和和監(jiān)測(cè)機(jī)機(jī)制，其其中應(yīng)包包括：科目前施評(píng)制檢統(tǒng)的和科務(wù)和處報(bào)制審?fù)庥?jì)管問(wèn)整理商務(wù)對(duì)水議成進(jìn)期新發(fā)能的和用面新運(yùn)境作和控檢信技項(xiàng)風(fēng)況信息安全科技部負(fù)責(zé)責(zé)建立和和實(shí)施信信息分類類和保護(hù)護(hù)體系，應(yīng)應(yīng)使所有有員工都都了解信信息安全全的重要要性，并并組織提提供必要要的培訓(xùn)訓(xùn)，讓

9、員員工充分分了解其其職責(zé)范范圍內(nèi)的的信息保保護(hù)流程程?？萍疾繎?yīng)落落實(shí)信息息安全管管理職能能。該職職能應(yīng)包包括建立立信息安安全計(jì)劃劃和保持持長(zhǎng)效的的管理機(jī)機(jī)制，提提高全體體員工信信息安全全意識(shí)，就就安全問(wèn)問(wèn)題向其其他部門門提供建建議，并并定期向向信息科科技管理理委員會(huì)會(huì)提交本本銀行信信息安全全評(píng)估報(bào)報(bào)告。信信息安全全管理機(jī)機(jī)制應(yīng)包包括信息息安全標(biāo)標(biāo)準(zhǔn)、策策略、實(shí)實(shí)施計(jì)劃劃和持續(xù)續(xù)維護(hù)計(jì)計(jì)劃。信信息安全全策略應(yīng)應(yīng)涉及以以下領(lǐng)域域：管組理管境管營(yíng)管與管事理性理應(yīng)建立有效效管理用用戶認(rèn)證證和訪問(wèn)問(wèn)控制的的流程。用用戶對(duì)數(shù)數(shù)據(jù)和系系統(tǒng)的訪訪問(wèn)必須須選擇與與信息訪訪問(wèn)級(jí)別別相匹配配的認(rèn)證證機(jī)制，并并且確保

10、保其在信信息系統(tǒng)統(tǒng)內(nèi)的活活動(dòng)只限限于相關(guān)關(guān)業(yè)務(wù)能能合法開開展所要要求的最最低限度度。用戶戶調(diào)動(dòng)到到新的工工作崗位位或離開開我行時(shí)時(shí)，應(yīng)在在系統(tǒng)中中及時(shí)檢檢查、更更新或注注銷用戶戶身份。應(yīng)確保設(shè)立立物理安安全保護(hù)護(hù)區(qū)域，包包括計(jì)算算機(jī)中心心或數(shù)據(jù)據(jù)中心、存存儲(chǔ)機(jī)密密信息或或放置網(wǎng)網(wǎng)絡(luò)設(shè)備備等重要要信息科科技設(shè)備備的區(qū)域域，明確確相應(yīng)的的職責(zé)，采采取必要要的預(yù)防防、檢測(cè)測(cè)和恢復(fù)復(fù)控制措措施。應(yīng)根據(jù)信息息安全級(jí)級(jí)別，將將網(wǎng)絡(luò)劃劃分為不不同的邏邏輯安全全域（以以下簡(jiǎn)稱稱為域）。應(yīng)應(yīng)該對(duì)下下列安全全因素進(jìn)進(jìn)行評(píng)估估，并根根據(jù)安全全級(jí)別定定義和評(píng)評(píng)估結(jié)果果實(shí)施有有效的安安全控制制，如對(duì)對(duì)每個(gè)域域和整個(gè)個(gè)網(wǎng)

11、絡(luò)進(jìn)進(jìn)行物理理或邏輯輯分區(qū)、實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)絡(luò)內(nèi)容過(guò)過(guò)濾、邏邏輯訪問(wèn)問(wèn)控制、傳傳輸加密密、網(wǎng)絡(luò)絡(luò)監(jiān)控、記記錄活動(dòng)動(dòng)日志等等。程用的程渠入訪的設(shè)應(yīng)序的協(xié)端或如域試內(nèi)或域間通程應(yīng)通過(guò)以下下措施，確確保所有有計(jì)算機(jī)機(jī)操作系系統(tǒng)和系系統(tǒng)軟件件的安全全：類作的安求保系足安求包端系發(fā)系試計(jì)操員統(tǒng)員戶員同組問(wèn)權(quán)統(tǒng)的驗(yàn)監(jiān)程確高用操志錄察人期可安丁報(bào)丁狀志錄功錄要文訪對(duì)賬修有要手自控出任常定報(bào)情應(yīng)通過(guò)以下下措施，確確保所有有信息系系統(tǒng)安全全：終戶息技員息安的和系重和程采效份方劃對(duì)或崗行控接進(jìn)入或核的處密的和防息或取改按定方理情當(dāng)被止用供信電式審跡管監(jiān)審成登用戶改應(yīng)制定相關(guān)關(guān)策略和和流程，管管理所有有生產(chǎn)系系統(tǒng)的活活動(dòng)

12、日志志，以支支持有效效的審核核、安全全取證分分析和預(yù)預(yù)防欺詐詐。日志志可以在在軟件的的不同層層次、不不同的計(jì)計(jì)算機(jī)和和網(wǎng)絡(luò)設(shè)設(shè)備上完完成，日日志劃分分為兩大大類：交志用和庫(kù)系生容用錄數(shù)改誤等易應(yīng)國(guó)計(jì)要以系志作數(shù)管統(tǒng)火入測(cè)和器成容管錄系件絡(luò)錯(cuò)息系志期系風(fēng)級(jí)但少年應(yīng)保證交易易日志和和系統(tǒng)日日志中包包含足夠夠的內(nèi)容容，以便便完成有有效的內(nèi)內(nèi)部控制制、解決決系統(tǒng)故故障和滿滿足審計(jì)計(jì)需要；應(yīng)采取取適當(dāng)措措施保證證所有日日志同步步計(jì)時(shí)，并并確保其其完整性性。在例例外情況況發(fā)生后后應(yīng)及時(shí)時(shí)復(fù)查系系統(tǒng)日志志。交易易日志或或系統(tǒng)日日志的復(fù)復(fù)查頻率率和保存存周期應(yīng)應(yīng)由信息息科技部部門和有有關(guān)業(yè)務(wù)務(wù)部門共共同決定定

13、，并報(bào)報(bào)信息科科技管理理委員會(huì)會(huì)批準(zhǔn)。應(yīng)采取加密密技術(shù)，防防范涉密密信息在在傳輸、處處理、存存儲(chǔ)過(guò)程程中出現(xiàn)現(xiàn)泄露或或被篡改改的風(fēng)險(xiǎn)險(xiǎn)，并建建立密碼碼設(shè)備管管理制度度，以確確保： 國(guó)求密和設(shè)用設(shè)員過(guò)培嚴(yán)查滿息性求實(shí)的流尤密證命管配備切實(shí)有有效的系系統(tǒng)，確確保所有有終端用用戶設(shè)備備的安全全，并定定期對(duì)所所有設(shè)備備進(jìn)行安安全檢查查，包括括臺(tái)式個(gè)個(gè)人計(jì)算算機(jī)（PPC）、便便攜式計(jì)計(jì)算機(jī)、柜柜員終端端、自動(dòng)動(dòng)柜員機(jī)機(jī)（ATTM）、存存折打印印機(jī)、讀讀卡器、銷銷售終端端（POOS）和和個(gè)人數(shù)數(shù)字助理理（PDDA）等等。制定相關(guān)制制度和流流程，嚴(yán)嚴(yán)格管理理客戶信信息的采采集、處處理、存存貯、傳傳輸、分分發(fā)

14、、備備份、恢恢復(fù)、清清理和銷銷毀。對(duì)所有員工工進(jìn)行必必要的培培訓(xùn)，使使其充分分掌握信信息科技技風(fēng)險(xiǎn)管管理制度度和流程程，了解解違反規(guī)規(guī)定的后后果，并并對(duì)違反反安全規(guī)規(guī)定的行行為采取取零容忍忍政策。信息系統(tǒng)開開發(fā)、測(cè)測(cè)試和維維護(hù)應(yīng)有能力對(duì)對(duì)信息系系統(tǒng)進(jìn)行行需求分分析、規(guī)規(guī)劃、采采購(gòu)、開開發(fā)、測(cè)測(cè)試、部部署、維維護(hù)、升升級(jí)和報(bào)報(bào)廢，制制定制度度和流程程，管理理信息科科技項(xiàng)目目的優(yōu)先先排序、立立項(xiàng)、審審批和控控制。項(xiàng)項(xiàng)目實(shí)施施部門應(yīng)應(yīng)定期向向信息科科技管理理委員會(huì)會(huì)提交重重大信息息科技項(xiàng)項(xiàng)目的進(jìn)進(jìn)度報(bào)告告，由其其進(jìn)行審審核，進(jìn)進(jìn)度報(bào)告告應(yīng)當(dāng)包包括計(jì)劃劃的重大大變更、關(guān)關(guān)鍵人員員或供應(yīng)應(yīng)商的變變更以及

15、及主要費(fèi)費(fèi)用支出出情況。應(yīng)應(yīng)在信息息系統(tǒng)投投產(chǎn)后一一定時(shí)期期內(nèi)，組組織對(duì)系系統(tǒng)的后后評(píng)價(jià)，并并根據(jù)評(píng)評(píng)價(jià)結(jié)果果及時(shí)對(duì)對(duì)系統(tǒng)功功能進(jìn)行行調(diào)整和和優(yōu)化。應(yīng)認(rèn)識(shí)到信信息科技技項(xiàng)目相相關(guān)的風(fēng)風(fēng)險(xiǎn)，包包括潛在在的各種種操作風(fēng)風(fēng)險(xiǎn)、財(cái)財(cái)務(wù)損失失風(fēng)險(xiǎn)和和因無(wú)效效項(xiàng)目規(guī)規(guī)劃或不不適當(dāng)?shù)牡捻?xiàng)目管管理控制制產(chǎn)生的的機(jī)會(huì)成成本，并并采取適適當(dāng)?shù)捻?xiàng)項(xiàng)目管理理方法，控控制信息息科技項(xiàng)項(xiàng)目相關(guān)關(guān)的風(fēng)險(xiǎn)險(xiǎn)。采取適當(dāng)?shù)牡南到y(tǒng)開開發(fā)方法法，控制制信息系系統(tǒng)的生生命周期期。典型型的系統(tǒng)統(tǒng)生命周周期包括括系統(tǒng)分分析、設(shè)設(shè)計(jì)、開開發(fā)或外外購(gòu)、測(cè)測(cè)試、試試運(yùn)行、部部署、維維護(hù)和退退出。所所采用的的系統(tǒng)開開發(fā)方法法應(yīng)符合合信息科科技項(xiàng)目

16、目的規(guī)模模、性質(zhì)質(zhì)和復(fù)雜雜度。制定相關(guān)控控制信息息系統(tǒng)變變更的制制度和流流程，確確保系統(tǒng)統(tǒng)的可靠靠性、完完整性和和可維護(hù)護(hù)性，其其中應(yīng)包包括以下下要求：與系測(cè)統(tǒng)隔與系測(cè)統(tǒng)理相理準(zhǔn)緊復(fù)外止程發(fā)護(hù)進(jìn)產(chǎn)且的修動(dòng)立行和發(fā)試的或配更到系應(yīng)信技和部聯(lián)準(zhǔn)對(duì)進(jìn)時(shí)和復(fù)實(shí)制標(biāo)流確息開測(cè)維程據(jù)整保和性建立并完善善有效的的問(wèn)題管管理流程程，以確確保全面面地追蹤蹤、分析析和解決決信息系系統(tǒng)問(wèn)題題，并對(duì)對(duì)問(wèn)題進(jìn)進(jìn)行記錄錄、分類類和索引引；如需需供應(yīng)商商提供支支持服務(wù)務(wù)或技術(shù)術(shù)援助，應(yīng)應(yīng)向相關(guān)關(guān)人員提提供所需需的合同同和相關(guān)關(guān)信息，并并將過(guò)程程記錄在在案；對(duì)對(duì)完成緊緊急恢復(fù)復(fù)起至關(guān)關(guān)重要作作用的任任務(wù)和指指令集，應(yīng)應(yīng)有清晰

17、晰的描述述和說(shuō)明明，并通通知相關(guān)關(guān)人員。信息科技運(yùn)運(yùn)行在選擇數(shù)據(jù)據(jù)中心的的地理位位置時(shí)，應(yīng)應(yīng)充分考考慮環(huán)境境威脅（如如是否接接近自然然災(zāi)害多多發(fā)區(qū)、危危險(xiǎn)或有有害設(shè)施施、繁忙忙或主要要公路），采采取物理理控制措措施，監(jiān)監(jiān)控對(duì)信信息處理理設(shè)備運(yùn)運(yùn)行構(gòu)成成威脅的的環(huán)境狀狀況，并并防止因因意外斷斷電或供供電干擾擾影響數(shù)數(shù)據(jù)中心心的正常常運(yùn)行。嚴(yán)格控制第第三方人人員（如如服務(wù)供供應(yīng)商）進(jìn)進(jìn)入安全全區(qū)域，如如確需進(jìn)進(jìn)入應(yīng)得得到適當(dāng)當(dāng)?shù)呐鷾?zhǔn)準(zhǔn)，其活活動(dòng)也應(yīng)應(yīng)受到監(jiān)監(jiān)控；針針對(duì)長(zhǎng)期期或臨時(shí)時(shí)聘用的的技術(shù)人人員和承承包商，尤尤其是從從事敏感感性技術(shù)術(shù)相關(guān)工工作的人人員，應(yīng)應(yīng)制定嚴(yán)嚴(yán)格的審審查程序序，包括括身份

18、驗(yàn)驗(yàn)證和背背景調(diào)查查。應(yīng)將信息科科技運(yùn)行行與系統(tǒng)統(tǒng)開發(fā)和和維護(hù)分分離，確確保信息息科技部部門內(nèi)部部的崗位位制約；對(duì)數(shù)據(jù)據(jù)中心的的崗位和和職責(zé)做做出明確確規(guī)定。按照有關(guān)法法律法規(guī)規(guī)要求保保存交易易記錄，采采取必要要的程序序和技術(shù)術(shù)，確保保存檔數(shù)數(shù)據(jù)的完完整性，滿滿足安全全保存和和可恢復(fù)復(fù)要求。制定詳盡的的信息科科技運(yùn)行行操作說(shuō)說(shuō)明。如如在信息息科技運(yùn)運(yùn)行手冊(cè)冊(cè)中說(shuō)明明計(jì)算機(jī)機(jī)操作人人員的任任務(wù)、工工作日程程、執(zhí)行行步驟，以以及生產(chǎn)產(chǎn)與開發(fā)發(fā)環(huán)境中中數(shù)據(jù)、軟軟件的現(xiàn)現(xiàn)場(chǎng)及非非現(xiàn)場(chǎng)備備份流程程和要求求（即備備份的頻頻率、范范圍和保保留周期期）。建立事故管管理及處處置機(jī)制制，及時(shí)時(shí)響應(yīng)信信息系統(tǒng)統(tǒng)運(yùn)行

19、事事故，逐逐級(jí)向相相關(guān)的信信息科技技管理人人員報(bào)告告事故的的發(fā)生，并并進(jìn)行記記錄、分分析和跟跟蹤，直直到完成成徹底的的處置和和根本原原因分析析。我行行應(yīng)建立立服務(wù)臺(tái)臺(tái)，為用用戶提供供相關(guān)技技術(shù)問(wèn)題題的在線線支持，并并將問(wèn)題題提交給給相關(guān)信信息科技技部門進(jìn)進(jìn)行調(diào)查查和解決決。建立服務(wù)水水平管理理相關(guān)的的制度和和流程，對(duì)對(duì)信息科科技運(yùn)行行服務(wù)水水平進(jìn)行行考核。建立連續(xù)監(jiān)監(jiān)控信息息系統(tǒng)性性能的相相關(guān)程序序，及時(shí)時(shí)、完整整地報(bào)告告例外情情況；該該程序應(yīng)應(yīng)提供預(yù)預(yù)警功能能，在例例外情況況對(duì)系統(tǒng)統(tǒng)性能造造成影響響前對(duì)其其進(jìn)行識(shí)識(shí)別和修修正。制定容量規(guī)規(guī)劃，以以適應(yīng)由由于外部部環(huán)境變變化產(chǎn)生生的業(yè)務(wù)務(wù)發(fā)展和

20、和交易量量增長(zhǎng)。容容量規(guī)劃劃應(yīng)涵蓋蓋生產(chǎn)系系統(tǒng)、備備份系統(tǒng)統(tǒng)及相關(guān)關(guān)設(shè)備。及時(shí)進(jìn)行維維護(hù)和適適當(dāng)?shù)南迪到y(tǒng)升級(jí)級(jí)，以確確保與技技術(shù)相關(guān)關(guān)服務(wù)的的連續(xù)可可用性，并并完整保保存記錄錄（包括括疑似和和實(shí)際的的故障、預(yù)預(yù)防性和和補(bǔ)救性性維護(hù)記記錄），以以確保有有效維護(hù)護(hù)設(shè)備和和設(shè)施。制定有效的的變更管管理流程程，以確確保生產(chǎn)產(chǎn)環(huán)境的的完整性性和可靠靠性。包包括緊急急變更在在內(nèi)的所所有變更更都應(yīng)記記入日志志，由信信息科技技部門和和業(yè)務(wù)部部門共同同審核簽簽字，并并事先進(jìn)進(jìn)行備份份,以便便必要時(shí)時(shí)可以恢恢復(fù)原來(lái)來(lái)的系統(tǒng)統(tǒng)版本和和數(shù)據(jù)文文件。緊緊急變更更成功后后,應(yīng)通通過(guò)正常常的驗(yàn)收收測(cè)試和和變更管管理流程程,

21、采用用恰當(dāng)?shù)牡男拚砸匀〈o緊急變更更。業(yè)務(wù)連續(xù)性性管理根據(jù)自身業(yè)業(yè)務(wù)的性性質(zhì)、規(guī)規(guī)模和復(fù)復(fù)雜程度度制定適適當(dāng)?shù)臉I(yè)業(yè)務(wù)連續(xù)續(xù)性規(guī)劃劃，以確確保在出出現(xiàn)無(wú)法法預(yù)見的的中斷時(shí)時(shí)，系統(tǒng)統(tǒng)仍能持持續(xù)運(yùn)行行并提供供服務(wù)；定期對(duì)對(duì)規(guī)劃進(jìn)進(jìn)行更新新和演練練，以保保證其有有效性。評(píng)估因意外外事件導(dǎo)導(dǎo)致其業(yè)業(yè)務(wù)運(yùn)行行中斷的的可能性性及其影影響，包包括評(píng)估估可能由由下述原原因?qū)е轮碌钠茐膲模涸凑鲜讼灯洚a(chǎn)或如地臺(tái)應(yīng)采取系統(tǒng)統(tǒng)恢復(fù)和和雙機(jī)熱熱備處理理等措施施降低業(yè)業(yè)務(wù)中斷斷的可能能性，并并通過(guò)應(yīng)應(yīng)急安排排和保險(xiǎn)險(xiǎn)等方式式降低影影響。建立維持其其運(yùn)營(yíng)連連續(xù)性策策略的文文檔，并并制定對(duì)對(duì)策略的的充分性性和有效效性進(jìn)行行

22、檢查和和溝通的的計(jì)劃。其其中包括括：務(wù)性,降期期期所影措包不:如系其產(chǎn)及資方的順部外關(guān)尤監(jiān)構(gòu)戶體的安業(yè)續(xù)劃程關(guān)信斷的完的業(yè)風(fēng)況變對(duì)一進(jìn)核級(jí)我行的業(yè)務(wù)務(wù)連續(xù)性性計(jì)劃和和年度應(yīng)應(yīng)急演練練結(jié)果應(yīng)應(yīng)由信息息科技風(fēng)風(fēng)險(xiǎn)管理理部門或或信息科科技管理理委員會(huì)會(huì)確認(rèn)。外包與審計(jì)計(jì)外包不得將我行行信息科科技管理理責(zé)任外外包，應(yīng)應(yīng)合理謹(jǐn)謹(jǐn)慎監(jiān)督督外包職職能的履履行。實(shí)施重要外外包（如如數(shù)據(jù)中中心和信信息科技技基礎(chǔ)設(shè)設(shè)施等)應(yīng)格外外謹(jǐn)慎，在在準(zhǔn)備實(shí)實(shí)施重要要外包時(shí)時(shí)應(yīng)以書書面材料料正式報(bào)報(bào)告銀監(jiān)監(jiān)會(huì)或其其派出機(jī)機(jī)構(gòu)。在簽署外包包協(xié)議或或?qū)ν獍鼌f(xié)議進(jìn)進(jìn)行重大大變更前前，應(yīng)做做好相關(guān)關(guān)準(zhǔn)備，其其中包括括：是合的結(jié)報(bào)線

23、務(wù)總險(xiǎn)是足履外務(wù)監(jiān)務(wù)協(xié)否我測(cè)制包的風(fēng)評(píng)包商務(wù)性業(yè)對(duì)服進(jìn)險(xiǎn)考設(shè)能否承應(yīng)任協(xié)更實(shí)平渡括合能的存集險(xiǎn)多行同包商的業(yè)續(xù)險(xiǎn)在與外包服服務(wù)商合合同談判判過(guò)程中中，應(yīng)考考慮的因因素包括括但不限限于：務(wù)報(bào)求判條管和審?fù)庥?jì)行的信有簽密和技護(hù)保戶和信失是足商我關(guān)科險(xiǎn)和的及措商的連保平及相屬的應(yīng)現(xiàn)時(shí)證持用關(guān)協(xié)流以行包商變終包的例包商有控發(fā)化包商務(wù)發(fā)大商的不造行履督在實(shí)施雙方方關(guān)系管管理，以以及起草草服務(wù)水水平協(xié)議議時(shí)，應(yīng)應(yīng)考慮的的因素包包括但不不限于：和的指評(píng)包商行相戶服充水告期評(píng)內(nèi)外立進(jìn)效不的調(diào)程取措加強(qiáng)信息科科技相關(guān)關(guān)外包管管理工作作，確保保我行的的客戶資資料等敏敏感信息息的安全全，包括括但不限限于采取取以下措

24、措施：行資外務(wù)他資有離需授對(duì)服相員服保相員保定本客料包重包告關(guān)外務(wù)次轉(zhuǎn)采夠確行信安止協(xié)收銷包商的客料我行應(yīng)建立立恰當(dāng)?shù)牡膽?yīng)急措措施，應(yīng)應(yīng)對(duì)外包包服務(wù)商商在服務(wù)務(wù)中可能能出現(xiàn)的的重大缺缺失。尤尤其需要要考慮外外包服務(wù)務(wù)商的重重大資源源損失，重重大財(cái)務(wù)務(wù)損失和和重要人人員的變變動(dòng)，以以及外包包協(xié)議的的意外終終止。我行所有信信息科技技外包合合同應(yīng)由由科技部部、風(fēng)險(xiǎn)險(xiǎn)管理部部、法律律合規(guī)部部和信息息科技管管理委員員會(huì)審核核通過(guò)。我我行應(yīng)設(shè)設(shè)立流程程定期審審閱和修修訂服務(wù)務(wù)水平協(xié)協(xié)議。審計(jì)我行內(nèi)部審審計(jì)部門門應(yīng)根據(jù)據(jù)業(yè)務(wù)的的性質(zhì)、規(guī)規(guī)模和復(fù)復(fù)雜程度度，對(duì)相相關(guān)系統(tǒng)統(tǒng)及其控控制的適適當(dāng)性和和有效性性進(jìn)行監(jiān)監(jiān)測(cè)。稽稽核審計(jì)計(jì)部門應(yīng)應(yīng)配備足足夠的資資源和具具有專業(yè)業(yè)能力的的信息科科技審計(jì)計(jì)人員，獨(dú)獨(dú)立于我我行的日日?；顒?dòng)動(dòng)，具有有適當(dāng)?shù)牡氖跈?quán)訪訪問(wèn)我行行的記錄錄。我行內(nèi)部信信息科技技審計(jì)的的責(zé)任包包括：施整計(jì)檢評(píng)行科統(tǒng)控的性效款完計(jì)在礎(chǔ)出意意否落科項(xiàng)信技審是信技事行查析估審門風(fēng)估對(duì)必特項(xiàng)的我行應(yīng)根據(jù)據(jù)業(yè)務(wù)性性質(zhì)、規(guī)規(guī)模和復(fù)復(fù)雜程度度，信息息科技