农村合作金融机构信息科技风险管理规划
农村信用合作联社信息科技风险管理办法
***农村信用合作联社信息科技风险管理办法第一章总则第一条为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进***农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、标准,制定本办法。
第二条本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在农信社业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
信息科技风险是指信息科技在农村信用社运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第三条本办法包括信息科技风险组织保障体系、总体风险控制、管理风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。
第四条自治区联社信息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则,防范风险,保障业务的持续性和信息的安全性、完整性、可用性。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对农村信用社信息科技风险的识别、计量、监测和控制,促进农村信用社安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章组织保障体系第六条自治区联社风险管理委员会是全区农村信用社信息科技风险管理的最高决策机构,负责组织落实国家及中国人民银行、中国银行业监督管理委员会关于信息科技风险工作的方针政策,研究决定全区农村信用社信息科技风险的重大事项,审批、组织信息科技风险工作的计划和实施;检查信息科技风险措施的执行情况。
第七条各级农村合作金融机构、农商行法定代表人是本机构信息科技风险管理的第一责任人,信息科技风险管理状况纳入本机构考核体系。
第八条自治区联社风险管理部门负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和科技信息部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
农商银行信息科技战略规划
农商行信息科技战略规划目录第一章信息科技发展目标、原则与实施策略 (3)总体目标 (3)指导原则 (3)实施策略 (4)第二章完善信息科技治理,明确信息科技发展方向 (5)完善信息科技管理机制,凝聚信息科技风险管理合力 (5)制定和完善信息科技战略规划,提高信息科技核心能力 (5)加强人才队伍建设,提升信息科技专业服务能力 (6)加大信息科技投入,保障信息科技稳定发展 (7)加强制度和标准建设,推进信息科技规范化管理 (7)第三章加强基础设施建设,保障系统安全稳定运行 (8)推进数据中心和灾备体系建设,保障业务持续发展 (8)加强网络系统建设,保障网络系统安全 (8)加强系统平台整合,提高信息科技管理水平 (9)第四章推进应用系统建设,满足业务发展需要 (9)建设客户综合服务平台,夯实业务发展基础 (10)加强电子渠道建设,贯彻惠农金融服务宗旨 (10)持续完善各类应用系统,丰富农村金融服务手段 (11)推进风险管理系统建设,夯实风险管理基础 (12)加强管理信息系统建设,提高科学决策水平 (12)第五章提高信息科技风险管理水平,有效防范信息科技风险 (13)强化信息科技风险管理,提高信息科技风险防控能力 (13)建立信息安全保障体系,提高信息安全管理能力 (14)加强应急体系建设,提高业务连续性 (15)加强运行服务管理体系建设,实现持续有效运行 (15)加强项目规范化管理,提升应用系统质量 (16)加强信息科技外包管理,防控外包风险 (16)第一章信息科技发展目标、原则与实施策略总体目标坚持以科学发展观为指导,坚持自主创新,以转变增长方式,走差异化、特色化发展道路,提升核心竞争力为发展目标,将信息科技纳入银行整体发展战略,提高信息科技管理水平,推动信息科技创新,促进业务与信息科技的融合,推进风险控制、战略发展和流程银行再造,努力满足多层次、多元化的金融服务需求。
推进信息科技治理体系建设,建立适应发展目标的信息科技组织架构与决策、监督机制,提升信息科技治理水平;推进信息科技管理能力建设,加快信息科技管理从粗放式向规范化、精细化转变;推进信息科技建设与研发,深化信息科技在经营管理中的应用;推动建设全面风险管理信息科技基础环境,夯实全面风险管理基础;充分发挥信息科技的创新作用,支持特色化金融服务和经营模式,为打造创新能力强、专业领域优势明显的现代商业银行提供有效的信息科技支撑和保障。
信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
农村信用社信息科技风险及防范措施
农村信用社信息科技风险及防范措施作者:刘俊来源:《中小企业管理与科技·下旬刊》2020年第07期【摘要】随着社会经济的快速发展,农村信用社的信息技术、信息系统应用逐渐由业务支持转变成信息技术与业务融合,在业务交易处理、经营管理、内部控制中发挥着重要作用。
但是,在农村信用社发展中,普遍存在操作失误、治理架构和管理制度不完善等问题,导致信息科技风险日益显现出来。
目前,我国农村信用社风险管理仍处于初级发展阶段,还需要有效地防范各项信息科技风险。
论文针对农村信用社信息科技风险及防范措施进行了分析。
【Abstract】With the rapid development of social economy, the application of information technology and information system in rural credit cooperatives has gradually changed from business support to information technology and business integration, playing an important role in business transaction processing, operation management and internal control. However, in the development of rural credit cooperatives, there are widespread operational errors, governance structure and management system is not perfect and other problems, leading to the information technology risks increasingly appear. At present, the risk management of rural credit cooperatives in China is still in the primary stage of development, and it is necessary to prevent various information technology risks effectively. This paper analyzes the risks and preventive measures of information technology of rural credit cooperatives.【關键词】农村信用社;风险;防范措施【Keywords】rural credit cooperatives; risks; preventive measures【中图分类号】F832.2 【文献标志码】A 【文章编号】1673-1069(2020)07-0099-021 引言在现代化社会的发展中,信息化技术水平得到了很大提升,农村信用社和信息科技之间的联系十分密切,信息技术发展为农村信用社带来了很大风险,相关部门必须注重信用社信息科技风险管理工作,分析信用社发展问题,并采取相应的措施予以优化。
农村合作金融机构计算机信息安全管理办法模版
农村合作金融机构计算机信息安全管理办法第一章总则第一条为加强农村合作金融机构计算机信息安全管理,保障计算机信息系统安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等制度,特制定本办法。
第二条本办法适用于农村信用社联合社和辖内各农村银行、农村信用联社。
第二章术语定义第三条安全策略指通过防范威胁、减少弱点、限制意外事件带来影响等途径来消除风险的机制、方法和措施。
第四条安全技术标准是指按照信息安全策略的要求所制定和引进的一系列安全配置和使用标准。
第五条访问控制是指防止对资源的未授权使用。
第六条机密资源是指用于通信、身份确认或个人密码计算的加密解密密钥、密押加密卡、终端设备识别参数、IC卡的母卡及其存放介质和相关技术资料等。
第七条机密信息是指客户信息、网络拓扑结构、IP地址、应用系统源码或数据结构、系统用户及口令、系统设计信息、业务需求、技术需求、技术方案、技术成果、测试报告、操作手册、安全报告等。
第三章部门及职责第八条省联社科技信息中心是全系统计算机信息安全工作的主管部门,主要职责包括:(一)负责全省农村合作金融机构信息安全管理和指导;(二)牵头制订全省农村合作金融机构信息安全体系标准和规范,参与信息系统工程建设的安全规划;(三)组织全省农村合作金融机构信息安全检查;(四)牵头组织全省农村合作金融机构信息安全管理培训;(五)负责全省农村合作金融机构信息安全方案的审核和安全产品的选型、购置。
第九条各法人行社科技部门是该行社计算机信息安全管理部门,其主要职责:(一)根据本办法和信息安全管理的相关制度,组织建立安全管理流程、手册;(二)组织实施内部信息安全检查;(三)组织计算机信息安全培训;(四)负责计算机机密信息和机密资源的安全管理;(五)负责安全技术产品的使用、维护、升级;(六)定期上报本单位计算机信息系统安全情况,反馈安全技术和管理的意见和建议。
浅谈农村信用社信息科技风险的防范措施
统 的运 行状 况 、 风 险能 力 , 防 发现运 作 过 程 中 的 问题 并及 时 督促 解 决 。 23提高农 村 信 用社 信 息科 技 的处置 风 险能 力 . 当前 , 农村 信 用社 应加 强应对 风 险 的紧急 处置机 制 建设 。 认真研 究 本信 用社存在的信 息科技风险应急处理的长期规划, 根据实际情况, 提高应急处理 水平 。 另外 , 还要 加 强信息 备份 、 据恢 复及 业务 连续 性等 方面 的管 理 , 量 数 尽 避 免信 用社 的风险存 在 。 定期对 各种 应急预 案进行 演练与 培训 , 将应 急工作从 技术管 理方 面提 升 到多部 门、 全方 位的 落实 , 展协调 ~ 致的 风险 防范工 作 , 开 以确保 发生突 发 事件时 , 能在 尽量最 短的 时间 内按 照预定 方案 及时 处理 。
目前 , 很多信用社都存在一些I T业务, 而他们 自身又没有能力完全解 决, 所以就将 其I T业务 采取外包的方式转给I b T#包业务服务 商, 因为这些 I # 包业务服务商能够以其专业的技术能力 , Tb 有效帮助其提高产品的科技含 量 , 以缩 短开 发 新 技术 的时 间 , 可 以用最 快 捷 的方 式提 高信 用 社 的I 不但 还 T 服 务 水平 , 而使 信 用 社 能够 专 心于 核 心 金 融业 务 。 从 但是 T T业务 外 包 由于 些 不确 定 因素 , 会 给 信用 社 业务 带 来 风 险 。 也
24加 强信 息 科技 队伍 建设 .
二是 数据 丢 失风 险 , 由于存 储 介质 的损 毁 等原 因 , 成存 储 介质 中的部 分 或 造 者 全部 数 据 丢失 , 造成 信用 社业 务 无 法开 展 , 发信 用 社 的信 誉 危机 。 引
当前农村信用社信息科技风险管理的分析与思考
、
存 在 问题 及 困 难
( ) 一 管理层 面对信息科技风 险的重 视不 够。
俗话说 “ 三分技术 、 七分管 理” 一些管理人员 对信息科技风 险重视 , 程度不够 , 认为风险管控 的是技术 问题 , 没有认识 到风险管控应上 升至 管理 问题 。 从实际情况看 , 存在信息科技风险 “ 讲起来 ” 很重要 ;排起 队 “ 来” 显得次要现象。科技风险 “ 一把手 ” 负责制 只停 留在形式上 , 有采 没
一
2 持续意识 。信息科技 风险管理是一个长期 、 、 复杂 、 多变而又艰辛 的任务 。 了全省农村信用社安全 、 为 持续 、 稳健运行 , 就要实现信息科技 风险管 理常态化 、 专业化 , 在总体 目标 持之 以恒 的基础上 , 到工作稳 做 步推进 、 有序发展 。除此之外 , 要 以开放 的姿态 不断地学习信息科技 还 风险管理的先进经验 , 加大创新步伐 。 这是信息科技风险管理持续发展
的今天 , 全员时刻都要绷 紧信源自科技风 险这根 弦 , 对信息科技风险 的造 成 的影 响要做 到心里 有数 ,既要在危难之 时有 可实施的应急处置预案 和步骤 , 更要对风 险做 到未雨 绸缪 , 通过监测 、 预警 、 预案等方法防患于
未然 。
台以及金融创新的重要手段。 业务发展对信息科技的高度依赖 , 使得信 息技术系统的安全性 、可靠性和有效性 直接关系到全省农 村信用社 的 稳健运营和发展。 我们在关注如何加快信息化建设 , 保障信息系统平 台 高效 、 安全运行的同时 , 也应注意到 当下信 息科技风险 防控 更多的是头 痛医头 、 痛医脚 , 信息科技 只当作一个 拐棍或支持 服务 的工具 , 脚 把 科 技风险防范的防线 不够 完备 , 就技术论技术 , 信息科技不能 与业 务很好 融合 , 息科技 风险管理面临很大的压力 , 间接影响 了科技管 理工作 信 也 与业 务发展 的快速推动 。
5-5号文《银行业金融机构信息科技外包风险监管指引》
银行业金融机构信息科技外包风险监管指引(银监发…2013‟5号 2013年2月16日)第一章总则第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。
银监会监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
信息科技风险管理分类应对策略
附件:信息科技风险管理分类应对策略
根据信息科技风险分类情况,以二级风险为限,制定信息科技风险分类应对策略如下:
A1.信息科技治理风险应对策略
信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以及人员管理风险。
每个二级风险的内容和应对策略如下:
A2.信息科技战略风险应对策略
信息科技战略风险包括战略规划风险和战略执行风险。
每个二级风险的内容和应对策略如下:
A3.信息科技运维风险应对策略
信息科技运维风险包括九个二级风险:备份管理风险、运维环境风险、容量管理风险、问题管理风险、记录管理风险、事件管理风险、发布管理风险、变更管理风险以及资产管理风险。
每个二级风险的内容和应对策略如下:
A4.信息安全风险应对策略
信息安全风险包括八个方面:物理和环境安全风险、访问控制风险、应用安全风险、系统软件安全风险、网络安全风险、终端安全风险、移动安全风险和数据安全风险。
每个二级风险的内容和应对策略如下:
A5.系统开发风险应对策略
系统开发风险包括项目组合管理风险、项目生命周期管理风险以及变更管理风险。
每个二级风险的内容和应对策略如下:
A6.信息科技外包风险应对策略
信息科技外包风险包括外包策略风险和外包生命周期管理风险。
每个二级风险的内容和应对策略如下:
A7.业务连续性管理风险应对策略
业务连续性管理风险包括两个二级风险:业务连续性计划制定和维护风险和业务连续性计划实施风险。
每个二级风险的内容和应对策略如下:
A8.法律法规风险应对策略
法律法规风险包括两个二级风险:合规风险和知识产权风险。
每个二级风险的内容和应对策略如下:。
(完整word版)广东省农村合作金融机构全面风险管理体系建设实施意见
附件广东省农村合作金融机构全面风险管理体系建设实施意见根据中国银监会《农村中小金融机构风险管理机制建设指引》(银监发〔2009〕107号,以下简称《指引》)及中国银监会办公厅《〈农村中小金融机构风险管理机制建设指引〉贯彻实施方案》(银监办发〔2010〕110号,以下简称《方案》)要求,结合我省实际,从2010年开始,已改制为商业银行和已实施流程化管理模式的联社用3年时间、其他机构用5年时间,建立起有效的全面风险管理体系,现提出以下实施意见(以下简称“实施意见”)。
一、指导思想及工作重点(一)指导思想。
各机构应以贯彻落实《指引》及其《方案》为契机,坚持以科学发展观为指导,立足于本机构实际情况,以风险管理升级为着眼点,以建立完善的风险管理组织体系为保障,以提高风险计量水平为突破口,以流程优化与再造为抓手,以建立有效的激励约束机制和问责机制为引导,以信息科技手段为依托,坚持全面性、适应性、独立性和融合发展的风险管理原则,努力构建全面、动态和高效的风险管理长效机制,增强核心竞争力,保障股东(社- 1 -员)、员工、客户的长远利益,从而实现股东(社员)价值最大化。
(二)工作重点。
1、建立良好的风险治理机制和清晰的全面风险管理组织体系,强化风险管理有效性。
2、建立覆盖各类风险管理全流程的差异化风险管理政策与制度体系,增强风险管理规范性和可操作性,提高风险管理制度执行力。
3、建立风险量化和经济资本管理体系,使风险量化结果贯穿于经营决策、资本配置、产品定价、绩效考核等经营管理全过程。
4、有效积累风险管理数据,建立和完善较为先进的风险管理技术、工具和IT系统体系。
5、持续打造一支具备良好的职业道德、较高的专业素质、丰富的工作经验的风险管理团队。
6、建立全员参与、涵盖所有风险并具有自身特色的风险文化。
二、五年规划及任务分解(一)第一阶段工作(2010-2011年)。
1、理顺内部各层级职责,构建全面风险管理组织体系。
农村信用社信息科技风险管理的思考
农村信用社信息科技风险管理的思考
当前,农村信用社信息科技的发展正在取得不断进步,可以更有效地实现催收和放贷,更加便捷的进行客户管理和对账,以及便捷的网上支付等。
同时,由于信息科技在传输、储存和处理信息方面存在质疑和风险,因此妥善地管理信息科技是时下农村信用社非常关注的重点问题。
首先,将数据库安全技术和网络安全技术用于农村信用社,以防止因技术缺陷风险导致的数据泄露、攻击、非法改动等。
其次,应建立有效的网络信息安全策略,例如建立精确的安全管理模式、强化账户安全,定期审计网络安全评估,做好网络异常监测,建立及时应急办法等,保障信息安全。
同时,及时更新安全技术、法律法规,将新技术应用于农村信用社信息科技,例如利用机器学习技术和人工智能技术进行客户行为分析,加强客户分类和安全防护。
最后,必须加强信息安全管理人员的培训和教育,引导信息安全人员认真履行各项管理职责,确保信息安全管理有效实施。
农村信用社科技信息系统运行管理办法
第七章 变更管理
第三十八条 科技信息部运行组负责组织实施软件变更、硬件变更等其他变更操作。
第三十九条 科技信息部运行组应当根据科技信息系统的风险级别以及变更风险、影响范围等因素制定重大变更和一般变更的标准,分别制定相应的变更审批和变更操作流程,并对紧急变更流程做出规定。
(四) 变更提出方应制定变更方案,详细描述变更实施操作步骤、验证方法以及变更失败情况下的回退方案及应急措施。变更方案由科技信息部运行、开发人员和业务部门共同确定。
(一) 牵头组织全省农村信用社科技信息系统运行管理和技术支持保障工作;
(二) 负责组织系统基础设施建设、扩容、升级、改造等实施工作;
(三) 承担全省科技信息系统的运行、监控、管理和维护工作;
(四) 负责提供全省科技信息系统生产服务,集中受理运行技术支持服务请求;
(五) 指导、督促各行社科技信息系统运行管理工作的实施和执行。
第四十条 变更前期准备工作由运行组、开发组和业务部门共同完成,工作内容包括:
(一) 科技信息部运行组负责规划和分配变更所需的基础设施资源;
(二) 科技信息部开发组负责形成应用版本,并在测试环境内完成测试工作,应用版本应有详细的技术文档;
(三) 变更提出方应制定变更计划,明确各相关组织和人员的职责,对业务服务产生重大影响的重大变更,还应当知会业务部门发布公告;
甘肃省农村信用社科技信息系统运行管理办法
甘肃省农村信用社科技信息系统运行管理办法
(暂行)
第一章 总 则
第一条 ,依照《商业银行内部控制指引》和《商业银行信息科技风险管理指引》,特制定本办法。
第二条 本办法所称科技信息系统,是指营业和管理所用的各类计算机系统及网络,包括:主机、服务器、个人计算机、便携式计算机、终端、打印机、网络设备、信息安全设备、存储设备、通信线路、机房场地环境和其他外围设备,以及系统软件、应用软件、工具软件、数据及其载体等。
村镇银行信息科技建设与管理指引
村镇银行信息科技建设与管理指引(征求意见稿)第一章总则第一条为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。
第三条村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。
第四条村镇银行信息科技工作的基本原则是:(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。
第五条根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。
自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。
第六条本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。
第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。
第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。
第九条村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。
银监发[2009]19号-商业银行信息科技风险管理指引
![银监发[2009]19号-商业银行信息科技风险管理指引](https://img.taocdn.com/s3/m/57ba4d46cf84b9d528ea7ab5.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载农村合作金融机构信息科技风险管理规划地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容附件省农村合作金融机构信息科技风险管理五年规划二〇一二年三月五日第一章引言 (3)第二章全省农合机构信息科技风险管理现状 (5)第一节信息科技风险管理主要成效 (5)一、信息科技治理取得一定成效 (5)二、信息科技风险管理策略构建取得一定成效 (6)三、信息科技风险评估取得初步成效 (7)四、信息系统安全等级保护取得初步进展 (7)五、业务连续性管理初上轨道 (8)第二节信息科技风险管理存在的问题 (8)一、信息科技治理不够健全 (8)二、信息科技风险管理策略不完善 (9)三、风险控制层面的“三重控制”机制未有效构建 (10)四、数据大集中系统安全等级定级偏低 (11)五、业务连续性管理还比较薄弱 (11)六、信息科技风险管理绩效体系尚未建立 (12)第三章信息科技风险管理五年规划目标和实施路线 (12)第一节信息科技风险管理五年规划总体目标 (13)第二节信息科技风险管理五年规划实施路线 (14)一、持续完善信息科技治理 (14)二、逐步完善信息科技风险管理策略 (17)三、构建信息科技风险控制层面的“三重控制” (20)四、全面贯彻落实信息系统安全等级保护 (21)五、持续完善业务连续性管理体系 (22)六、加强分中心和法人联社的信息科技风险管理 (24)七、探索建立信息科技风险管理绩效体系 (24)第四章 2012年信息科技风险管理工作计划 (25)一、进一步完善信息科技治理 (26)二、初步建立信息科技风险管理策略 (27)三、初步构建风险控制层面“三重控制” (29)四、落实信息系统安全等级保护 (30)五、初步建立业务连续性管理体系 (30)六、落实信息科技风险隐患的整改工作 (32)第一章引言信息科技风险指信息科技在全省农合机构运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
信息科技风险管理指通过建立有效的机制,实现对信息科技风险的识别、计量、监测、和控制,促进全省农合机构安全、持续、稳健运行,推动业务创新,提高信息科技使用水平,增强核心竞争力和可持续发展能力。
信息科技风险管理主要范围包括信息科技治理、信息科技风险管理策略、信息科技风险控制、信息系统安全等级保护、业务连续性管理和信息科技风险管理绩效体系等。
其中,信息科技治理主要涉及信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设,信息科技风险管理策略包括风险管理目标规划及信息系统架构风险管理策略、信息安全管理策略、生产运行风险管理策略、开发测试和维护风险管理策略、外包风险管理策略等具体风险管理策略; 信息科技风险控制包括由事前评估识别、事中监测检查、事后审计核查组成的“三重控制”;信息系统安全等级保护包括建立信息系统安全等级划分标准,制定信息系统安全控制基线,并在此基础上采用相应的安全技术实现信息系统安全等级保护;业务连续性管理包括业务影响分析、业务连续性计划、突发事件应急处理和灾难恢复等;信息科技风险管理绩效体系主要包括生产安全运行绩效考核体系和生产运行服务水平绩效考核体系。
近年来银监会非常重视银行业金融机构的信息科技风险管理工作,强化信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设,先后发布了《商业银行信息科技风险管理指引》,《银行业重要信息系统投产与变更管理办法》《商业银行数据中心监管指引》,《银行业重要信息系统突发事件应急管理规范》、《网上银行安全风险管理指引》、《商业银行业务连续性监管指引》等信息科技风险管理的纲领性文件,同时在《中国银行业信息科技“十二五”发展规划监管指导意见》中,对农合机构在“十二五”期间的信息科技风险管理提出了具体的发展目标。
全省目前已有93家农合机构和1家村镇银行接入大集中系统,数据大集中在提升农合机构管理水平、促进业务发展的同时,也带来了信息科技风险的高度集中,信息科技风险管理显得尤为重要。
为持续提升、改进数据大集中系统和全省农合机构信息科技风险管理水平,根据银监会《商业银行信息科技风险管理指引》、《中国银行业信息科技“十二五”发展规划监管指导意见》和人民银行《中国金融业信息化“十二五”发展规划》有关信息科技风险管理发展目标要求,省联社银信中心信息科技风险管理部牵头编写了全省农合机构2012年到2016年信息科技风险管理五年规划。
规划在客观分析全省农合机构信息科技风险管理现状基础上,梳理出了数据大集中后信息科技风险管理的基本思路,制定了今后五年信息科技风险管理的总体目标和实施路线。
规划的重点是:强化治理层面的“三道防线”,构建策略层面的风险管理策略,建立控制层面的“三重控制”,贯彻落实信息系统安全等级保护,完善业务连续性管理,提升全省农合机构的数据安全水平和业务连续性水平。
第二章全省农合机构信息科技风险管理现状第一节信息科技风险管理主要成效随着数据大集中工作进入尾声,全省农合机构信息科技风险管理也初见成效,信息科技风险控制水平稳步提高,主要成效体现在以下几个方面:一、信息科技治理取得一定成效(一)信息科技治理架构初具雏形。
省联社理事会设立了信息科技管理委员会,同时省联社整合成立了银信金融服务中心(以下简称银信中心),内设综合部、信息技术部、电子银行部、会计结算部、信息科技风险管理部等5个部门及茂名、清远、揭阳等14个分中心,初步建立了省联社高管层参与、跨业务条线的信息科技工作决策组织和决策流程,基本明确了省联社理事会、管理层、信息科技管理委员会、信息技术部、信息科技风险管理部及有关业务部门的信息科技职责。
(二)科技管理制度建设初具规模。
省联社和银信中心目前已发布的各类规章制度有30多项,内部管理办法和操作手册60多项,制度、办法和手册初步覆盖了机房管理、设备管理、网络管理、系统管理、需求管理、开发管理、测试管理、运行管理和应急管理等信息科技工作的主要方面。
二、信息科技风险管理策略构建取得一定成效(一)信息系统架构风险管理策略构建取得一定效果。
1、在机房设施架构风险管理策略方面,机房供电、综合布线、空调等均采用全冗余架构设计,并建立了比较完备的机房环境监控预警指标体系,有效降低了数据中心机房的运行风险。
2、在地市分中心机房运行风险管理策略方面,制定并推广了《银信中心地市分中心机房建设标准》,从而有效降低了地市分中心基础设施的风险。
3、在网络架构风险管理策略方面,省联社早在2007年初就制定印发了《省农村信用社网络建设和管理规范》,并按规范要求在全省农合机构范围内进行了网络改造工作,提高了数据大集中网络系统的冗余性、稳定性和安全性,为大集中上线和推广工作和信息科技风险控制提供了有力的保障。
4、在硬件平台架构风险管理策略方面,数据大集中主要生产系统硬件平台均采用了全冗余架构设计,确保业务连续性和客户数据安全。
(二)信息安全管理策略构建取得较好效果。
建立了物理安全管理、生产网络和其它网络物理隔离,初步实现了网络分区安全控制、用户认证和访问控制、操作系统安全管理、密钥及密码设备管理、操作审计等策略。
(三)生产运行风险管理策略构建取得较大进步。
初步构建了机房、网络、主机和应用等系统关键风险指标、生产事件的监控预警系统,初步建立了生产系统问题管理、变更管理等的制度和流程,操作自动化水平逐步提高。
三、信息科技风险评估取得初步成效除信息科技风险的自评和2010年银监会对信息系统风险的检查评估外,银信中心还聘请德勤会计事务所按银监会《商业银行信息科技风险管理指引》要求对数据大集中系统进行了全面的信息科技风险评估,对评估中发现的风险隐患,银信中心相关部室均进行了有效整改或制定了整改计划,有效控制了风险。
四、信息系统安全等级保护取得初步进展信息科技风险管理部在2011年底开始着手对重要信息系统安全实施等级保护,目前已完成数据大集中主要信息系统安全等级保护的分级及初评,已进入报备阶段。
五、业务连续性管理初上轨道修订印发了信息系统突发事件应急管理预案,建立了包括事件监控和预警、发现和通知、组织协调、应急处置、应急通告、总结和报告等流程的信息系统突发事件应急响应机制,进一步完善了应急预案和应急演练机制。
同时,根据省联社及下属农合机构实际情况,初步制定了部分重要业务系统针对普通突发事件和重大灾难性突发事件的业务恢复优先顺序、RTO(恢复时间目标)和RPO(恢复点目标)等业务连续性指标。
第二节信息科技风险管理存在的问题数据大集中使原来分散在全省各个网络中心的信息科技风险现在主要集中到了省中心,由于银信中心信息科技风险管理部成立不久,全省农合机构的信息科技风险管理工作也刚刚起步,有的还处于摸索阶段,与银监会有关信息科技风险监管规范要求相比有相当大的差距,问题主要体现在以下几方面:一、信息科技治理不够健全(一)在治理层面的信息科技管理、信息科技风险管理、信息科技审计“三道防线”中,信息科技审计部门及审计岗位尚未设置,审计制度尚未建立,省联社和全省农合机构尚未建立专业的信息科技审计队伍;信息科技风险管理刚刚设立,信息科技风险管理队伍建设刚刚起步,关键岗位配比较低、缺乏核心技术人才,部分信息科技风险管理制度尚处于探索、研究阶段,“三道防线”还未起到应有的管理、制约和监督作用。
(二)信息科技风险披露机制不完善。
尚未建立信息科技风险的月报、季报和年报等的披露规范,也未定期向省联社领导、信息科技管理委员会和银信中心管理层提交信息科技风险评估报告、信息安全报告、现场检查报告和审计报告。
(三)信息科技风险意识教育培训工作有待加强尚未建立全省农合机构常态化的信息科技风险管理意识培训教育机制,全省农合机构科技人员的信息安全意识、风险意识有待进一步提高。
二、信息科技风险管理策略不完善(一)信息系统架构风险管理策略未有效建立。
尚未建立专业化的架构风险评估组织和评估机制,以实现对应用架构、数据架构、基础设施架构、组织架构等的架构风险评估,规避架构缺陷带来的信息科技长期风险。
(二)信息安全管理策略存在漏洞和缺陷。
信息安全策略覆盖面不全,在网络隔离、远程访问控制方面存在安全隐患,网络设备、安全设备、操作系统和数据库的用户权限和密码管理策略不完善,生产系统日志管理、操作审计管理策略存在缺陷,敏感数据安全管控不足。
(三)生产运行风险管理策略不够完备。
生产运行风险监测平台尚未建立,生产运行风险管理制度和标准不够完善,事件管理、问题管理、变更管理、配置管理过程中的风险管理和风险监测机制有待进一步细化。