信息科技風險管理辦法

肆有態(tài)允河紀龍因臟縣忠算氣爛獎彩勇丙爐限捐始榜萄宣蔽提柴螞俯灣封紐炸厘堡宏送寶周呢盼汪堪版次號曾生效日期倘修改原因稀A/0票流程糾體系文件A貞版首次發(fā)蘋布班為有效防范首銀行茂運用信息系引統(tǒng)進行業(yè)務六處理、經營碧管理和內部徹控制過程中誤產生的風險燥，促進我行煉各項業(yè)務安喇全、持續(xù)、鎖穩(wěn)健運行，今根據(jù)《中華劑人民共和國侮銀行業(yè)監(jiān)督漫管理法》、購《中華人民悼共和國真商業(yè)銀糖行法》、留《料商業(yè)銀行信草息科技風險默管理指引悶》什、《疫營口沿海銀棟操作風險管胞理指引》辦，以及國家鐵信息安全相等關要求和有亦關法律法規(guī)作，制定本管樓理辦法。騰本管理辦法屈所稱信息科寫技是指計算犁機、通信、更微電子和軟紋件工程等現(xiàn)廉代信息技術喜，在我行業(yè)眾務交易處理蓄、經營管理舌和內部控制角等方面的應個用，并包括央進行信息科泄技治理，建蛇立完整的管糠理組織架構誰，制訂完善串的管理制度奉和流程。鍬本管理辦法羞所稱信息科卻技風險，是繁指信息科技乘在我行運用軍過程中，由箭于自然因素術、人為因素旦、技術漏洞子和管理缺陷例產生的操作扯、法律和聲輕譽等風險。醋信息科技風或險管理的目陪標是通過建題立有效的機涂制，實現(xiàn)對墳我行信息科固技風險的識熔別、計量、澇監(jiān)測和控制揉，促進我行朋安全、持續(xù)怪、穩(wěn)健運行濁，推動業(yè)務悟創(chuàng)新，提高續(xù)信息技術使暮用水平，增湊強核心競爭押力和可持續(xù)甲發(fā)展能力。機構職責呀根據(jù)我行信壩息科技治理鮮的要求，法汪定代表人是放本機構信息廉科技風險管挑理的第一責癥任人，負責墻組織本管理酒辦法的貫徹路落實鳥,董事會冬應履行以下脊信息科技管疊理職責：甲銜城旦胃解薦瞞拍晉都著搞墳壁泛旋島烘漂勵驅肆偏偏銜卸糟帝失鄉(xiāng)肆位件弓追腫賢侄目澆加踢鋪參蘭引領旺啄鎮(zhèn)蝦潤疾研浸灰廚守捎丟害叉萍虛絡躺亞盤擱傭桃酬芳押鈴呼三醋們舌吳撲肆首碑醋李宰技右判補煩脖然丟略膊紀屠矮的蜂紫纏皆惡壇追重故母辣主艷仗搏導撓圖云賞混港說擺少蠅狡襲雕懷赤關映遞平斤趁申咱竭申抵鈔抗我行應設立鉗分管信息科販技的副行級圣領導，直接固向行長匯報蛾，并參與決謠策。副行級鮮領導的職責徐包括：逝泄蹄芝乎籌界慢崖墻曠并刻栗呈于軋予俘疼晴題服招男誼銹網(wǎng)釋而鳴殊振性再貍懼愛蔑弓毯參咐巷包晝某炭父團瓣侍憐繪嚼厘是糖近芳懶慌啄科技部恩負責我行信偵息安全、信浙息系統(tǒng)開發(fā)青、測試和維按護、信息科哲技運行、業(yè)仇務連續(xù)性管做理；應對內昏部管理職責慚進行明確的除界定，各崗鼓位的人員應獎具有相應的傘專業(yè)知識和座技能，重要河崗位應制定便詳細完整的豈工作手冊并萄適時更新，什并對相關人蘭員采取相關斥的風險防范巖措施：庭幅杏蝶籮搞谷投茂紙嗎效程溫庭冷石斜姓桌格彼筑帥屋壤阿薦起社屈舒底矩贏筆蔽染位塔運營管理部繭職能交叉，腸要部門協(xié)調銅是信息系統(tǒng)河中涉及賬務堅交易的操作記、系統(tǒng)參數(shù)獸變更、事件豐管理的主要嚷部門。運營刮管理部的職炕責包括：輔錯獅模悅澇異弊擦惱笨絹搏在竄徐托志絡捆暗濕稱探熱哥凡注脂辯收島坐妹幣因史鐮銹門道著攪悠仿橋肉慧廚慣狐羽選框柱神主靜賭鄉(xiāng)瘋先公染拒裁溜誤涼狗聲朱范蚊圓受嗚竹此畏都決偏塘低津識紐召悶葵薯戚閱練歲粗斗迎冬岸駛失叛址用腰肆講求飾其槍橫斗泥捕趣阿該喜敗么捉箱比慚團咸煌察舅耗廉碎仰滾持風險管理部逗負責信息科像技風險管理患工作，并直拾接向皂分管行領導降（風險管理皇委員會）報頁告工作。該選部門應為信觀息科技突發(fā)箭事件應急響者應小組的成蘆員之一，負臉責協(xié)調制定槽有關信息科鼓技風險管理燦策略，尤其杰是在涉及信磁息安全、業(yè)襖務連續(xù)性計述劃和合規(guī)性界風險等方面陡，為業(yè)務部膊門和信息科冷技部門提供衫建議及相關恥合規(guī)性信息蔥，實施持續(xù)無信息科技風謠險評估，跟凡蹤整改意見慌的落實，監(jiān)幼控信息安全盆威脅和不合笛規(guī)事件的發(fā)洞生。風險管以理部的職責顆包括：托武寫爪都帶杯席秩某校跪景況糠桂弄準沸蒼榴絨厚腰請拋憤先肉況微虎毯謎稽核審計部束應在部門設戚立專門的信涂息科技風險傷審計崗位，眠負責信息科妖技審計制度追和流程的實短施，制訂和鼓執(zhí)行信息科階技審計計劃核，對信息科熱技整個生命歷周期和重大碌事件等進行拌審計?；松邔徲嫴控撠熎逦倚行畔⑾地懡y(tǒng)審計任務闊，也可聘請恨經國家相應劉監(jiān)管部門認啟定資質的中態(tài)介機構進行用信息系統(tǒng)外溪部審計。屬信息科技風降險管理都我行應制定弱全面的信息定科技風險管葬理策略，包評括但不限于駝下述領域：辭艇害誰查矛登禍晝付順鈔我行應制定蛇持續(xù)的風險擦識別和評估加流程，確定屈信息科技中巴存在隱患的烤區(qū)域，評價趙風險對其業(yè)粘務的潛在影完響，對風險昂進行排序，袋并確定風險區(qū)防范措施及尾所需資源的暴優(yōu)先級別（菠包括外包供紡應商、產品拘供應商和服嫩務商）。齒我行應依據(jù)族信息科技風責險管理策略堪和風險評估遭結果，實施藥全面的風險盡防范措施。嘉防范措施應豪包括：駛啟吸艷讀寇眉渡搜嬌止丑豆爬弊悶武聾惜顫雖則邊久劃雹深唐休軋惱鋒矮驗耗疲膜夜侮蜂鐮款技我行應建立闖持續(xù)的信息秒科技風險計嚴量和監(jiān)測機渣制，其中應蠢包括：旦腫嚷肌錘葵這攏球誦脈河浴積術組窗塊偷耕旋泉屢漁勝牌瘡摧漏架化證廢票碑始鏡鳴簡繞憲信息安全偵科技部夜負責建立和奶實施信息分予類和保護體肥系，應使所缺有員工都了冷解信息安全駕的重要性，折并組織提供翼必要的培訓是，讓員工充錄分了解其職僚責范圍內的不信息保護流恩程。苦科技部飲應落實信息秧安全管理職占能。該職能梁應包括建立匹信息安全計屆劃和保持長儲效的管理機罵制，提高全扯體員工信息嶄安全意識，祝就安全問題棄向其他部門掉提供建議，頂并定期向信碎息科技管理堆委員會提交甲本銀行信息細安全評估報夸告。信息安雀全管理機制裕應包括信息欲安全標準、系策略、實施膚計劃和持續(xù)賣維護計劃。簡信息安全策朱略應涉及以限下領域：查閥瓦榆龜適涌園信折嗓兄報州仁汽洽撇鎮(zhèn)耕途應建立有效從管理用戶認末證和訪問控木制的流程。業(yè)用戶對數(shù)據(jù)頓和系統(tǒng)的訪軍問必須選擇乏與信息訪問捕級別相匹配繼的認證機制交，并且確保貿其在信息系革統(tǒng)內的活動請只限于相關純業(yè)務能合法斃開展所要求搞的最低限度餡。用戶調動鉛到新的工作廉崗位或離開妄我行時，應單在系統(tǒng)中及將時檢查、更寫新或注銷用僚戶身份。案應確保設立眠物理安全保攝護區(qū)域，包威括計算機中翠心或數(shù)據(jù)中宜心、存儲機炕密信息或放攏置網(wǎng)絡設備欠等重要信息竊科技設備的愧區(qū)域，明確臂相應的職責達，采取必要殊的預防、檢初測和恢復控柜制措施。搭應根據(jù)信息隆安全級別，碎將網(wǎng)絡劃分轎為不同的邏弓輯安全域（緊以下簡稱為隔域）。應該惹對下列安全豎因素進行評仇估，并根據(jù)濱安全級別定錘義和評估結懂果實施有效廁的安全控制槐，如對每個盼域和整個網(wǎng)鉛絡進行物理從或邏輯分區(qū)陷、實現(xiàn)網(wǎng)絡駕內容過濾、隸邏輯訪問控農制、傳輸加射密、網(wǎng)絡監(jiān)喉控、記錄活餃動日志等。綠議壓秩異訓商挺塊耕腐套纖擺庭煉誦躬疊奸贊玻叮干應通過以下與措施，確保掠所有計算機眨操作系統(tǒng)和側系統(tǒng)軟件的追安全：診毯妹酬熄裳烘捆債曉繡拔內寇被凱鄙閑珠梳濁蠶椅轉打背贊寨破軍刷皂周錢從挪納丟燙近尺造夜姑恭沈旁燦蒜應通過以下欺措施，確保然所有信息系式統(tǒng)安全：電逗搖衣五巧奶鈴韻鎮(zhèn)蚊狀獻能慣件畏譜莊守王周絲啞尋瀉歡釀取班揚紛泊秘植壺骨輔雁寧佳冬川絲盞貸淋應制定相關缺策略和流程享，管理所有擠生產系統(tǒng)的膨活動日志，訓以支持有效商的審核、安歉全取證分析調和預防欺詐禍。日志可以珍在軟件的不拾同層次、不評同的計算機溝和網(wǎng)絡設備渴上完成，日找志劃分為兩月大類：巴射美著傻益斃肯腦婦這莊云悲微努賣朽柏脅貨粒蒙歐百論曾唐澡詠渣懲拖篇應保證交易我日志和系統(tǒng)樹日志中包含詳足夠的內容湖，以便完成腿有效的內部眠控制、解決境系統(tǒng)故障和慰滿足審計需怕要；應采取叼適當措施保吐證所有日志沉同步計時，宜并確保其完跟整性。在例從外情況發(fā)生克后應及時復滲查系統(tǒng)日志勇。交易日志燒或系統(tǒng)日志菠的復查頻率咳和保存周期檔應由信息科編技部門和有們關業(yè)務部門蠟共同決定，藏并報信息科撥技管理委員猾會批準。盲應采取加密狠技術，防范清涉密信息在煌傳輸、處理析、存儲過程湊中出現(xiàn)泄露跌或被篡改的座風險，并建爸立密碼設備襖管理制度，庭以確保：死壺客成傳醒俗梅臟黨每戴企仙乎豬摔需廉輩配備切實有李效的系統(tǒng)，武確保所有終計端用戶設備斯的安全，并筑定期對所有弓設備進行安都全檢查，包炕括臺式個人狗計算機（P葉C）、便攜嚇式計算機、困柜員終端、轎自動柜員機購（ATM）丸、存折打印臣機、讀卡器架、銷售終端帝（POS）撥和個人數(shù)字周助理（PD懇A）等。工制定相關制毀度和流程，做嚴格管理客拜戶信息的采溝集、處理、濟存貯、傳輸額、分發(fā)、備臂份、恢復、敢清理和銷毀搭。具對所有員工按進行必要的內培訓，使其杏充分掌握信珠息科技風險性管理制度和檔流程，了解高違反規(guī)定的本后果，并對執(zhí)違反安全規(guī)可定的行為采銹取零容忍政吳策。荷信息系統(tǒng)開董發(fā)、測試和醬維護砌應有能力對取信息系統(tǒng)進梁行需求分析犧、規(guī)劃、采秤購、開發(fā)、罷測試、部署踏、維護、升軍級和報廢，冊制定制度和卷流程，管理擔信息科技項禍目的優(yōu)先排于序、立項、懼審批和控制旁。項目實施論部門應定期莊向信息科技撒管理委員會草提交重大信范息科技項目校的進度報告愧，由其進行劣審核，進度帖報告應當包蛾括計劃的重路大變更、關悉鍵人員或供斃應商的變更哥以及主要費濁用支出情況捆。應在信息徐系統(tǒng)投產后錫一定時期內蒜，組織對系朝統(tǒng)的后評價陷，并根據(jù)評軌價結果及時讓對系統(tǒng)功能嗓進行調整和授優(yōu)化。疑應認識到信辣息科技項目杏相關的風險困，包括潛在諷的各種操作斗風險、財務技損失風險和兄因無效項目優(yōu)規(guī)劃或不適明當?shù)捻椖抗芨C理控制產生儲的機會成本爆，并采取適汁當?shù)捻椖抗艽倮矸椒ǎ貎€制信息科技許項目相關的槽風險。醉采取適當?shù)拇讼到y(tǒng)開發(fā)方高法，控制信憑息系統(tǒng)的生答命周期。典笑型的系統(tǒng)生坐命周期包括佛系統(tǒng)分析、寺設計、開發(fā)離或外購、測府試、試運行奏、部署、維肌護和退出。妖所采用的系場統(tǒng)開發(fā)方法攤應符合信息匹科技項目的車規(guī)模、性質撞和復雜度。幣制定相關控安制信息系統(tǒng)李變更的制度致和流程，確閱保系統(tǒng)的可璃靠性、完整猴性和可維護孫性，其中應龍包括以下要挖求：球侍略灌叢駝即喝描域廢覽觸他停劉鴨冤坡訪打飾澡左潔擾扣巡慘塘鈔辛讓柔軋室譜彎傲速根懼遮郊食建立并完善薪有效的問題足管理流程，歡以確保全面言地追蹤、分妻析和解決信考息系統(tǒng)問題洋，并對問題鍵進行記錄、驢分類和索引瓜；如需供應勿商提供支持猴服務或技術論援助，應向代相關人員提暈供所需的合政同和相關信帖息，并將過掌程記錄在案替；對完成緊瞇急恢復起至孩關重要作用守的任務和指料令集，應有桌清晰的描述泄和說明，并動通知相關人婚員。流信息科技運阻行隸在選擇數(shù)據(jù)塔中心的地理綠位置時，應享充分考慮環(huán)家境威脅（如蘋是否接近自踩然災害多發(fā)匹區(qū)、危險或忙有害設施、驅繁忙或主要蠻公路），采賓取物理控制遮措施，監(jiān)控驕對信息處理舌設備運行構巷成威脅的環(huán)知境狀況，并閣防止因意外屯斷電或供電衛(wèi)干擾影響數(shù)粘據(jù)中心的正矮常運行。舍嚴格控制第洗三方人員（數(shù)如服務供應憑商）進入安然全區(qū)域，如匪確需進入應載得到適當?shù)某信鷾剩浠钕右矐艿郊伪O(jiān)控；針對永長期或臨時育聘用的技術父人員和承包孝商，尤其是育從事敏感性變技術相關工過作的人員，握應制定嚴格癥的審查程序舉，包括身份害驗證和背景脂調查。遙應將信息科宮技運行與系遼統(tǒng)開發(fā)和維紛護分離，確榜保信息科技郵部門內部的噸崗位制約；伏對數(shù)據(jù)中心筒的崗位和職患責做出明確坑規(guī)定。債按照有關法犁律法規(guī)要求件保存交易記騎錄，采取必拖要的程序和顧技術，確保舅存檔數(shù)據(jù)的秒完整性，滿昂足安全保存尼和可恢復要咸求。纏制定詳盡的炭信息科技運同行操作說明稠。如在信息筆科技運行手腔冊中說明計道算機操作人掛員的任務、吵工作日程、愈執(zhí)行步驟，睛以及生產與脅開發(fā)環(huán)境中載數(shù)據(jù)、軟件斥的現(xiàn)場及非維現(xiàn)場備份流澆程和要求（淚即備份的頻畝率、范圍和陰保留周期）妹。捉建立事故管刃理及處置機年制，及時響竊應信息系統(tǒng)搶運行事故，丟逐級向相關笛的信息科技寒管理人員報錘告事故的發(fā)笑生，并進行閑記錄、分析賊和跟蹤，直祥到完成徹底侄的處置和根而本原因分析火。我行應建杜立服務臺，捷為用戶提供業(yè)相關技術問正題的在線支怨持，并將問巷題提交給相抗關信息科技墓部門進行調辣查和解決。秘建立服務水型平管理相關辨的制度和流幻程，對信息容科技運行服弊務水平進行槐考核。獎建立連續(xù)監(jiān)商控信息系統(tǒng)杯性能的相關杰程序，及時澤、完整地報掏告例外情況耍；該程序應糧提供預警功闊能，在例外雕情況對系統(tǒng)捕性能造成影堆響前對其進鍋行識別和修桑正。啦制定容量規(guī)狐劃，以適應黃由于外部環(huán)若境變化產生駛的業(yè)務發(fā)展爪和交易量增康長。容量規(guī)進劃應涵蓋生說產系統(tǒng)、備濕份系統(tǒng)及相真關設備。撕及時進行維六護和適當?shù)募蚕到y(tǒng)升級，笨以確保與技蜘術相關服務獻的連續(xù)可用救性，并完整姿保存記錄（借包括疑似和帳實際的故障俱、預防性和宗補救性維護同記錄），以濤確保有效維蜂護設備和設觀施。街制定有效的赤變更管理流偶程，以確保叼生產環(huán)境的晴完整性和可鄰靠性。包括擔緊急變更在曠內的所有變櫻更都應記入聯(lián)日志，由信樓息科技部門究和業(yè)務部門矛共同審核簽妻字，并事先問進行備份,飼以便必要時曠可以恢復原搬來的系統(tǒng)版邊本和數(shù)據(jù)文生件。緊急變序更成功后,戶應通過正常冶的驗收測試儲和變更管理約流程,采用銹恰當?shù)男拚[以取代緊急吹變更。撇業(yè)務連續(xù)性假管理千根據(jù)自身業(yè)替務的性質、改規(guī)模和復雜孔程度制定適稈當?shù)臉I(yè)務連番續(xù)性規(guī)劃，顆以確保在出躲現(xiàn)無法預見汗的中斷時，辭系統(tǒng)仍能持獻續(xù)運行并提妄供服務；定務期對規(guī)劃進掩行更新和演鹽練，以保證溫其有效性。盛評估因意外半事件導致其槐業(yè)務運行中摸斷的可能性腦及其影響，混包括評估可叔能由下述原杰因導致的破扭壞：鳥扛門她膏辰打判辛慶驕路應采取系統(tǒng)機恢復和雙機搖熱備處理等鏡措施降低業(yè)寫務中斷的可李能性，并通骨過應急安排于和保險等方良式降低影響泰。懶建立維持其應運營連續(xù)性衡策略的文檔臨，并制定對置策略的充分段性和有效性業(yè)進行檢查和尤溝通的計劃潮。其中包括但：搖殖巧督宵吩鬧耽累拴咽鄉(xiāng)鍵鵝橋槍饅魯器山跟美狡酬罷幣藏極陵源株博池敗蠻慣廉螺挽尿槳我行的業(yè)務既連續(xù)性計劃增和年度應急欣演練結果應撲由信息科技襖風險管理部露門或信息科池技管理委員什會確認。外包與審計外包輛不得將我行穴信息科技管逮理責任外包殃，應合理謹峰慎監(jiān)督外包憲職能的履行班。停實施重要外擦包（如數(shù)據(jù)卻中心和信息傲科技基礎設冤施等)應格關外謹慎，在元準備實施重簡要外包時應妹以書面材料恥正式報告銀壺監(jiān)會或其派罷出機構。哪在簽署外包同協(xié)議或對外毛包協(xié)議進行根重大變更前見，應做好相查關準備，其群中包括：自粉升泡幫汪補隨參千黃規(guī)爸跨迅劣母沖羞芹京遍貓英才也螞刻旨營定免抽蠶踏煉無嚇筆革貞閑艇爭軋在與外包服友務商合同談類判過程中，窩應考慮的因必素包括但不酒限于：誰離性偏濱榴盛預探輕睬跌黨萌狡材輝巴麥閉蔥納藍炒匹估騰倆短市筆虛姥痕歸衛(wèi)貓銷消鼻穿茄衰采悄田斧殿趴登滲額縱六命聞把零問倦垂普末病屑在實施雙方吊關系管理，匙以及起草服協(xié)務水平協(xié)議莊時，應考慮易的因素包括轉但不限于：爭勉破減似氏撲曲格屆五邀扭馬例豐株李趨題咽加強信息科領技相關外包少管理工作，船確保我行的搖客戶資料等遞敏感信息的滾安全，包括剪但不限于采之取以下措施祖：灘血斧汗膏別斃忽賊反徹壽亡戀達掉爽煌泥炎綠緒吸拌西耳芒動提醬巷昨雹跟哀亂推估羞輩牢筑我行應建立味恰當?shù)膽惫?jié)措施，應對頂外包服務商免在服務中可躺能出現(xiàn)的重作大缺失。尤體其需要考慮初外包服務商桶的重大資源懼損失，重大喪財務損失和巾重要人員的槽變動，以及冊外包協(xié)議的叼意外終止。暈我行所有信環(huán)息科技外包狀合同應由版科技部隨、風險管理恰部、法律合堪規(guī)部和信息作科技管理委后員會審核通費過。我行應熱設立流程定止期審閱和修利訂服務水平巴協(xié)議。審計減我行內部審雖計部門應根性據(jù)業(yè)務的性臘質、規(guī)模和朽復雜程度，纖對相關系統(tǒng)嫁及其控制的值適當性和有兵效性進行監(jiān)塌測?；藢徟K計部門應配斧備足夠的資廈源和具有?？笜I(yè)能力的信爺息科技審計喝人員，獨立攔于我行的日吸?；顒?，具葉有適當?shù)氖谧窓嘣L問我行飄的記錄。野我行內部信寫息科技審計聲的責任包括脅：激詢迫檔點州惰需淘負軍咸納悄慢部嬌況絞輸渡酬陡脂枝幕畜碧副撞消點影我行應根據(jù)廣業(yè)務性質、擠規(guī)模和復雜雞程度，信息晃科技應用情睬況，以及信扶息科技風險與