信息科技风险管理规定

欢迎阅读信息科技风险管理办法

编制部门：科技信息部

版次号：A/0

生效日期：20160509

目录

修改记录 (3)

第一章总则 (3)

第二章机构职责 (4)

第三章信息科技风险管理 (10)

第四章

第五章

第六章

第七章

第八章

第九章

附件.

修改记录

第一条为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我司各项业务安全、持续、稳健运行，根据《中华人民共和国互联网金融信息监督管理办法》、《互联网金融信息科技风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定

本管理办法。

第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我司业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善

第二章机构职责

第五条根据我司信息科技治理的要求，法定代表人是本机构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责：

（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国互联网金融协会（以下简称互金协会）相关监管要求。

（二）审查批准信息科技战略，确保其与公司的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风

对审

（八）每年审阅并向互金协会及其派出机构报送信息科技风险管理的年度报告。

（九）确保信息科技风险管理工作所需资金。

（十）确保公司所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。

（十一）确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合互金协会监管和实施现场检查的要求，防范跨境风险。

（十二）及时向互金协会及其派出机构报告本机构发生的重大信息科技事故或突发事件，按相关预案快速响应。

（十三）配合互金协会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。

（十四）履行信息科技风险管理其他相关工作。

第六条我司应设立分管信息科技的副总级领导，直接向总经理汇报，

并参与决策。副总级领导的职责包括：

(一)直接参与本公司与信息科技运用有关的业务发展决策。

(二)确保信息科技战略，尤其是信息系统开发战略，符合本公司的总体业务战略和信息科技风险管理策略。

(三)负责建立一个切实有效的信息科技部门，承担本公司的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。

(四)确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构。

(五)组织专业培训，提高人才队伍的专业技能。

(六)履行信息科技风险管理其他相关工作。

第七条科技部负责我司信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理；应对内部管理职责进行明确的界定，各岗位的人员应具有相应的专业知识和技能，重要岗位应制定详细完整的工作

(

(

(

(

括：

(一)运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。

(二)制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息。

(三)提供机房环境、设备使用、网络运行、系统运行职能交叉，主要部门协调等监控信息。

(四)记录运行值班过程中所有现象、操作过程等信息日志。

(

(

(

(

1

2

操作；

3、根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。职能交叉，要部门协调

(九)应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。

(十)实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

(

(

(三)审核信息系统风险状况。对总公司相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测，并进行实时报告。

(四)组织新投产后信息系统的后评价，并识别、评估新信息系统中所包含的风险，审核相应的操作和风险管理程序。

第十条稽核审计部应在部门设立专门的信息科技风险审计岗位，负

责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。稽核审计部负责我司信息系统审计任务，也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。

第三章信息科技风险管理

第十一条我司应制定全面的信息科技风险管理策略，包括但不限于下述领域：

(一)信息分级与保护。

(二)信息系统开发、测试和维护。

(三)信息科技运行和维护。

(四)访问控制。

(五)物理安全。

(六)人员安全。

(七)业务连续性计划与应急处置。

第十二条我司应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别（包括外包供应商、产品供应商和