XXX重要信息系统投产(变更)风险评估实施细则
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXX重要信息系统投产(变更)风险评估实
施细则
XXX重要信息系统投产(变更)风险评估实施细则
第一章总则
第一条为规范重要信息系统投产(变更)风险评估工作,提高风险评估能力,实现对重要信息系统投产(变更)风险的有效防控,按照监管要求,参照《银行业金融机构重要信息系统投产及变更管理办法》及《XX银行信息系统投产管理办法(试行)》等规定,制定本细则。
第二条本细则所称重要信息系统系指支撑本行关键业务和客户服务的系统,包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑上述系统运行的前置机、客户端、机房、网络等基础设施等。
第三条本细则所称重要信息系统投产(变更)范围包括重要信息系统投产变更;支撑重要信息系统运行的机房和网络基础设施投产;影响全行或1家(含)以上分行系统服务、重要业务中断3小时(含)以上的重要信息系统,以及支持其运行的基础设施变更;其他对本行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第四条本细则所称风险评估是通过对重要信息系统投产(变换)的影响、原始风险、剩余风险以及采取的相应控制措施阐发,判断风险的可控程度,从而作为重要信息系统投产(变换)实施的决策参考。
原始风险系指项目本身具有初始以及在开发或实施过程当中形成的风险。
剩余风险系指采取了风险控制措施后仍不能被完全消除的信息系统风险。
第五条重要信息系统投产(变更)风险评估应遵循“客观性、完整性、准确性”原则。
第六条本细则适用于系统主管部门、信息科技部和风险管理部。
第二章职责分工
第七条风险管理部是重要信息系统投产(变更)风险评估的牵头部门,其主要职责包括:
(一)负责重要信息系统投产(变更)风险评估标准、流程制定,并根据现有规定督导实施;
(二)负责对本行重要信息系统投产(变换)风险评估出具评估意见;
(三)负责向监管机构或高级管理层报送重要信息系统投产(变更)报告;
(四)负责监管部门、董事会风险管理委员会以及高级管理层对重要信息投产(评估)风险评估要求的其他工作。
第八条信息科技部门是重要信息系统投产(变更)的主管部门,其主要职责包括:
(一)负责组织重要信息系统投产(变更)报告的撰写和重要信息系统投产(变更)风险评估表(附件1)的填写;
(二)负责重要信息系统投产(变换)剩余风险的跟踪和处理;
(三)负责向监管机构或高级管理层报送重要信息系统投产(变更)总结报告;
(四)负责重要信息系统投产(变更)风险评估的其他工作。
第九条系统主管部门是重要信息系统投产(变更)的配合部门,其主要职责包括:
(一)负责配合信息科技部撰写重要信息系统投产(变更)报告及填写重要信息系统投产(变更)风险评估表(附件1);
(二)负责协助信息科技部对重要信息系统投产(变更)剩余风险的跟踪和处理;
(四)负责配合重要信息系统投产(变更)风险评估的其他工作。
第三章评估范围与内容
第十条风险评估报告(表)是重要信息系统投产(变更)报告的重要组成部分,评估对象包括但不限于重要信息系统自身、技术架构、基础设施、业务影响、客户影响、外包风险、信息安全、应急准备等。
第十一条重要信息系统投产(变更)风险评估报告(表)内容包括项目基本情况、影响分析、控制措施和风险描述等。
(一)项目基本情况包孕但不限于系统名称、变换主题、主管部分、实施部分、启动事件、实施计划、项目类型和项目描述等。
(二)影响阐发是剩余风险对现有使用环境和业务造成的影响。
包孕但不限于过程评估、环境影响、业务影响、技术影响、系统影响、影响时段等。
(三)控制措施是已经采取的控制措施,包括程序修改、规范性文件、增加资源配置、人员或系统监控等。
(四)风险描述分为原始风险和剩余风险,风险描述包孕风险类型、风险指标和评估标准。
1.风险类型。
主要包括系统功能缺陷、客户信息泄露、业务中断、系统性能和其他风险。
2.风险指标。
风险指标主要包括:
(1)影响范围。
主要包孕极大、较大、中等、较小和极小。
(2)可能性。
主要包括极可能、很可能、可能、不太可能和罕见。
(3)风险品级。
主要包孕极大风险、高风险、中等风险、低风险和极小风险。
3.评估标准。
风险指标具体评估标准参照《XXX重要信息系统投产(变更)风险评估标准》(附件2)执行。
第四章评估流程与方法
第十二条重要信息系统投产(变更)前,信息科技部应及时撰写重要信息系统投产(变更)报告,填写重要信息系统投产(变更)风险评估报表,并交系统主管部门补充业务内容。
第十三条XXX及系统主管部分负责人签字确认后,由信息科技部将重要信息系统投产(变换)报告连同重要信息系统投产(变换)风险评估表(附件1)一并报风险管理部出具意见。
第十四条风险管理部出具风险评估意见后,依照本行现有流程报行领导审定。
第十五条根据现有制度规定,处理流程如下:
(一)如批示同意投产及报送,由风险管理部将重要信息系统投产(变更)报告报送当地监管机构,并将此作为投产评审会重要材料。
(二)如批示分歧意或暂缓投产,信息科技部应组织系统主管部分采取相应措施。
第五章评估报告与投产审批
第十六条本行重要信息系统采用存量系统一次性认定,后续调整原则确定(附件3)。
新增系统、项目在项目立项时由信息科技部和风险管理部协商确定是否属于重要信息系统。
XXX和风险管理部于每年年初,视具体情况对重要信息系统进行调整。
第十七条风险评估结论应通过影响范围和可能性分析,结合已采取的措施得出。
第十八条重要信息系统投产(变更)风险评估剩余风险可分级为极小风险、低风险、中等风险、高风险和极大风险,最终认定为高风险及以上的,原则上不予投产。
第十九条风险评估表(附件1)作为重要信息系统投产(变更)风险评估报告的组成部分,也是信息系统投产(变更)的决策参考材料,应随重要信息系统投产(变更)报告在重要信息系统投产前至少23个工作日内、变更前至少13个工作日内报总行风险管理部。
第六章附则
第二十条本细则由总行风险管理部负责解释和修订。