村镇银行信息科技风险管理办法
银监会业银行信息科技风险管理指
商业银行信息科技风险管理指引第一章总则 (2)第二章信息科技治理 (3)第三章信息科技风险管理 (7)第四章信息安全 (10)第五章信息系统开发、测试和维护 (16)第六章信息科技运行 (19)第七章业务连续性管理 (21)第八章外包 (23)第九章内部审计 (27)第十章外部审计 (28)第十一章附则 (29)第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
村镇银行信息科技风险管理办法
村镇银行信息科技风险管理办法村镇银行信息科技风险管理办法(征求意见稿)第一章总则第一条为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章信息科技风险管理组织架构第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章信息科技风险具体控制要求第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
村镇银行核心业务系统管理现状、风险问题及措施建议
村镇银行核心业务系统管理现状、风险问题及措施建议受制于自身经营规模、技术实力等因素,村镇银行的核心业务系统多由第三方开发建设并进行运维管理(即托管),其中部分行核心系统托管于非金融信息技术服务公司(以下简称科技公司),且外包管理不规范,存在较大风险隐患。
对此,为认真落实“加强信息科技风险防范”工作要求,我省金融监督管理部门通过实地走访、约谈第三方外包服务公司、座谈研讨等方式,对辖区118家村镇银行信息科技系统的风险管理现状及问题困难开展深入调研,探索提出“强化管理+有序回迁”的“两步走”工作思路,在切实强化信息科技风险管控的基础上,力争逐步实现核心业务系统的平稳切换。
一、村镇银行核心业务系统托管的三类模式(一)主发起行全托管模式,即村镇银行核心业务系统和信息科技基础设施相关开发运维等工作全部由主发起行负责。
涉及30家村镇银行,占辖区村镇银行总量的25%。
此类模式下,村镇银行的核心系统托管于主发起行、主发起行所在省份的农村信用联社(以下简称相关省联社)或监管部门认可的持牌金融机构,系统开发和日常运维等工作全部由托管方管理。
其中,15家托管于主发起行,主要涉及全国性银行(如浦发银行、民生银行、汇丰银行等)或实力较强的农商行发起设立的村镇银行;9家托管于相关省联社;6家托管于城商行联盟,主要为省内城商行发起设立的村镇银行。
从管理实质来看,上述村镇银行的核心业务系统均可视为主发起行全面托管,风险可控度整体优于其他模式。
(二)主发起行半托管模式,即村镇银行核心业务系统或基础设施其一采用科技公司服务。
此种模式主要为了节约运营成本,根据具体托管内容的不同又分为两种:一是设施自主管理、系统运维外包。
主发起行自建机房等基础设施并自主进行维护管理;从科技公司处购入核心业务系统并掌握全部系统权限,但自身对系统的运维管理能力有限,主要依赖科技公司作为运维外包服务商对核心业务系统进行日常运营维护。
辖区18家村镇银行采用此类模式。
信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
wDgzD9M。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
3XFlI8Z。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
yyLvG1t。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
mI8D41d。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
W8L5hSm。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
k2W6Tcn。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
2iV6vEC。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
《村镇银行信息安全管理办法》
村镇银行信息安全管理办法第一章总则第一条本办法是本行信息系统规划、建设和使用过程中必须遵照实施的信息安全要素,适用于本行所有员工。
第二条本规定内容包括以下方面:(一)信息安全组织管理;(二)信息安全制度管理;(三)人员安全管理;(四)信息资产管理;(五)设备与物理环境安全管理;(六)通信与运行管理;(七)信息系统安全管理;(八)客户端安全管理;(九)信息安全专用产品管理;(十)文档、数据与密码应用安全管理;(十一)外包服务安全管理;(十二)事件报告、灾难备份与应急管理;(十三)安全检查与评估。
第三条本规定每三年至少进行一次修订,如遇以下情况须立即修订:(一)发生重大信息安全事件;(二)信息安全管理组织结构发生重大变更;(三)信息安全管理组织认为应当进行评审修订;(四)其他应当进行评审修订的情形。
第二章信息安全组织管理第四条本行应建立自上而下的信息安全工作管理体系,确立信息安全管理组织职责,持续推进全行信息安全工作开展。
第五条信息安全管理组织总行建立信息安全领导小组,总行、各支行下设信息安全工作小组。
第六条总行信息安全领导小组(一)由行长、分管行长和总行各部室负责人组成,组长由行长担任,副组长由分管信息科技工作的行领导担任;(二)负责明确全行信息安全管理职责分工;(三)对信息安全管理的重大事项(组织架构调整、信息安全规划调整、重要信息安全项目等)进行决策;(四)指挥、协调、督促并审查重大信息安全事件的处理。
第七条总行信息安全工作小组(一)由总行会计结算部负责人担任组长,组员由营业经理和信息科技岗担任;(二)贯彻执行信息安全领导小组的决议,指导、监督、协调和规范本行信息安全的管理和执行;(三)制定本行信息安全总体规划以及工作计划,持续推进信息安全工作;(四)组织开展本办法对于各信息安全管理领域规定的相关工作,确保各项要求的落实;(五)跟踪先进的信息安全技术,参与信息系统建设的安全规划,负责信息安全专用产品的选型,监督安全措施的执行;(六)定期组织全行信息安全管理检查,分析评估全行信息安全状况,提出安全分析报告和安全防范建议;(七)定期组织开展信息系统风险评估和测试工作,对于存在的风险点及时制定整改方案,组织整改;(八)加强人行和银监会等相关监管部门的联系,组织开展信息安全等级保护及相关监管部门的信息系统安全检查、评估等工作,并接受信息科技风险与信息安全管理工作指导;(九)牵头处理信息安全事件,及时向信息安全领导小组和有关部门、单位报告信息安全事件,配合有关部门进行信息安全审计和信息安全事件调查,打击金融计算机犯罪。
银监发[2009]19号-商业银行信息科技风险管理系统指引
![银监发[2009]19号-商业银行信息科技风险管理系统指引](https://img.taocdn.com/s3/m/67b1b06f03d8ce2f006623a3.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
B137-中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知银监发[2009]19号各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二○○九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
村镇银行信息化建设及风险管理的现状与对策
栏 目编辑 .梁丽雯 E malv n 01 1 3 C r - ii :e l @ O 6 n
一
村镇银行信息化建设及 风险管理 的现状 与对策
一 中国银 行业 监 督 管 理 委 员会 陕西 监 管局 张 磊
 ̄2 0 年全 国首家 村镇银 行开业以来 , 至2 1 07 截 01
略风险。 一是系统支撑能力不足。 部分银行未加入人 民 银行 大小额支付系统 和财税库行横 向联 网系统 , 大量
年一 季度 , 国已有4 0 全 0 家村镇银行正式 营业 , 逐步成
为支持地方经济发展 、 提供 支农支小金融 服务的新兴
力量。 如陕西省已开业7 家村镇银行, 注册资本从 3 0 0 万 元 ̄ 3 0 万元不等, J l0 0 发起行涵盖国有 、 股份制、 外资及 城商行等银行类型。 同时, 但 支持其业务运转和发展 的
信息科技 风险纳入 对银行业信息科技风险监管体系之
中, 并充分考虑与其它银行的差 异, 采取针对性的监管
措施, 督促村镇银行信息科技又好又快地发展 , 使其在 支农、 支持地方经济 中发挥应 有作用。衄
5 J 01 年 ・ 期 投稿 邮箱 h f@2 c .e 2 2 1 第8 n c l nn t
求 , 以适应 随着农村信息化建 设深入推 进农 民日 难 益
迫切的新兴 电子化金 融服务或产品需求 。 二是 信息科 技投入不足 , 一方面部分设备老化 、 性能较差 , 未达 到
重要设备及系统的双机要求 ; 另—方面内部技术人才稀
缺, 且技术水平和实践经验也相对不足 , 难以胜任地方 特色中间业 务的开发任务。 ( ) 二 信息科 技发展意识淡薄, 治理架构不到位。
《村镇银行信息科技风险管理研究》范文
《村镇银行信息科技风险管理研究》篇一一、引言随着信息技术的迅猛发展,银行业务逐渐实现了数字化和网络化。
村镇银行作为我国金融体系的重要组成部分,其信息科技风险管理显得尤为重要。
信息科技风险是指由于信息系统及其应用过程中的安全漏洞、技术故障、人为因素等所引发的风险,包括但不限于系统故障风险、网络安全风险、数据安全风险等。
本文旨在探讨村镇银行信息科技风险管理的重要性、现状及应对策略。
二、村镇银行信息科技风险管理的重要性(一)维护金融稳定村镇银行作为基层金融服务机构,其运营状况直接关系到农村金融市场的稳定。
信息科技风险管理可以有效防范和化解信息系统故障、网络安全事件等,维护金融市场的稳定。
(二)保障客户资金安全信息科技风险管理能够确保客户资金安全,防止因系统漏洞、黑客攻击等导致的客户资金损失。
保护客户资金安全是村镇银行履行社会责任、树立良好形象的重要途径。
(三)促进业务发展信息科技风险管理有助于提升村镇银行的业务运营效率和服务质量,为银行拓展业务提供有力支持。
在数字化时代,信息科技已成为银行业务发展的重要驱动力。
三、村镇银行信息科技风险管理现状(一)风险意识有待提高部分村镇银行对信息科技风险的认识不足,缺乏风险意识,导致风险管理措施不到位。
(二)技术手段相对落后受制于资金、人才等因素,部分村镇银行在信息系统建设、网络安全防护等方面技术手段相对落后,难以有效应对复杂多变的信息科技风险。
(三)人才短缺信息科技风险管理需要专业的技术人才和管理人才。
目前,部分村镇银行缺乏具备专业知识的人才,导致风险管理能力不足。
四、村镇银行信息科技风险管理的应对策略(一)提高风险意识加强宣传教育,提高全员的风险意识。
使员工充分认识到信息科技风险对银行运营、客户资金安全及业务发展的重要性。
(二)加强技术防范措施1. 完善信息系统建设:加大对信息系统建设的投入,提升系统的稳定性和安全性。
2. 加强网络安全防护:采用先进的网络安全技术和设备,构建多层次、全方位的网络安全防护体系。
《村镇银行信息科技风险管理研究》范文
《村镇银行信息科技风险管理研究》篇一一、引言随着科技的迅猛发展,信息化已经深入到村镇银行的各个业务领域。
然而,信息化进程的加速也带来了新的风险挑战,特别是信息科技风险管理。
村镇银行作为我国金融体系的重要组成部分,其信息科技风险管理的重要性不言而喻。
本文旨在深入探讨村镇银行信息科技风险管理的现状、问题及解决策略,以期为村镇银行的稳健发展提供有益的参考。
二、村镇银行信息科技风险管理的现状(一)风险类型村镇银行信息科技风险主要包括系统安全风险、网络安全风险、数据安全风险和业务操作风险等。
其中,系统安全风险主要来源于软硬件设施的安全性问题;网络安全风险则与网络攻击、病毒传播等有关;数据安全风险则涉及数据泄露、丢失和篡改等问题;业务操作风险则主要源于人为因素,如操作失误、违规操作等。
(二)管理现状目前,大部分村镇银行已经认识到信息科技风险管理的重要性,并采取了一系列措施来加强风险管理。
然而,由于资源有限、技术落后等原因,其风险管理水平仍有待提高。
例如,部分村镇银行的信息化水平较低,导致系统安全性差;网络安全防护措施不健全,易受到网络攻击等。
三、村镇银行信息科技风险管理的问题(一)技术人才匮乏由于村镇银行规模较小、资源有限,难以吸引和留住信息技术人才。
这导致银行在信息科技风险管理方面缺乏专业人才支持,无法有效应对各类风险。
(二)系统安全性差部分村镇银行的信息化系统建设存在漏洞,系统安全性差,容易受到黑客攻击、病毒传播等威胁。
此外,部分银行对系统的维护和升级不及时,导致系统存在安全隐患。
(三)风险管理意识不足部分村镇银行对信息科技风险管理的重视程度不够,缺乏完善的风险管理机制和流程。
同时,银行员工对信息科技风险的认知不足,缺乏必要的安全意识和操作规范。
四、解决策略(一)加强人才培养和引进村镇银行应加大对信息技术人才的培养和引进力度,通过培训、引进等方式提高银行内部信息技术人才的专业水平。
同时,应建立健全的激励机制,吸引更多的人才到村镇银行工作。
银行信息科技外包风险管理办法
`大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第五条我行在实施信息科技外包时,不得将信息科技管理责任外包。
村镇银行客户端安全防控措施管理规定-V1
村镇银行客户端安全防控措施管理规定-V1随着科技的发展,越来越多的居民开始使用村镇银行客户端进行金融交易。
为了保障客户信息安全,村镇银行不断加强客户端安全防控措施管理。
下面,我们就来详细了解一下村镇银行客户端安全防控措施管理规定。
一、客户端启动与登录安全1.客户端启动界面限制村镇银行客户端启动时,必须显示“村镇银行”标识,客户端启动前不允许出现任何非法广告信息。
2.客户端登录认证客户端使用必须进行一定的身份认证,例如通过银行卡、短信验证等方式进行身份验证,防止身份冒用或非授权操作。
3.密码安全限制村镇银行客户端登录时,必须对密码进行安全限制。
例如设置密码长度、复杂度等,避免密码过于简单或容易被破解。
二、用户信息安全保护1.个人信息保护在村镇银行客户端中,客户的个人信息应该得到保护。
例如不显示客户的姓名、地址等敏感信息,并对客户的信息进行加密保存。
2.账户信息安全对于客户账户信息的保存,应该采用加密存储方式,并保证不被篡改和泄露。
同时,在客户进行操作时,要通过多重证明的方式,确保身份的合法性。
三、交易安全保障1.交易限制客户在村镇银行客户端上可以进行的交易类型应该受到限制,防止客户进行高风险、高危的交易操作,从而给客户带来不必要的损失。
2.交易确认村镇银行客户端在进行交易操作时,要求客户进行交易确认,防止客户意外进行不必要的交易操作。
同时,客户在进行确认时,也应该对交易金额、时间、账户信息等内容进行核对,防止误操作。
综上所述,村镇银行客户端安全防控措施管理规定针对客户安全和信息安全提出了较高的要求。
同时,村镇银行也将继续加强客户端的安全防护,为客户提供更可靠的金融服务。
商业银行信息科技风险管理指引—(正式版)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
村镇银行信息科技风险评估方法探析——基于模糊层次分析模型
文章 编 号 : 1 0 0 3 — 4 6 2 5 ( 2 0 1 3 ) 0 1 — 0 1 0 7 — 0 3 中图分 类号 : F 8 3 2 . 3 5 文 献标 志码 : A
践 中得到有关专家的不 断演进。综上所述 , 模糊层 随着信息技术在商业银行逐步发展和应用 , 信 次 分析 法 就是 首先 利用 层次 分析 法确 定村 镇银 行信 息 科 技 风 险管 理 日益被 商 业 银行 提 上 日程 , 成 为 一 息科技风险评估体系中各个评价指标的权重 , 然后 门新兴的应用管理学科 , 对信息科技风险的管理也 利用模糊综合评价对村镇银行信息科技风险评估 的 成 为银行 全 面风 险管 理 中 的一个 重要 部分 n 。 目前 , 过程进行评价 , 最终评判村镇银行信息科技的风险
【 工作论坛】
村镇银 行信 息科技风 险评估 方法探 析
— —
基 于模糊 层次分析模型
段 艳, 张 锴 ( 中国人民银行许 昌县支行, 河南 许 昌 4 6 1 1 0 0 )
摘要 : 采 用模 糊层 次 分析 法构 建村 镇银 行 信 息科技 风 险评 估 模 型 , 运 用 了德 尔菲法 、 层 次分析 法 和 模 糊 综合 评 价等 方 法 , 对 村镇 银 行 信 息安 全 进行 了全 面 分析 , 最后 利 用该 模 型 对许 昌市 某村 镇银 行进 行 了实证 分析 , 以及 对该 模 型的评 价 。
一
、
引言
中国商业银行 信息科技风险评估体 系在表 达上与 《 商业银行信息科技风险管理指引》 和《 股份制商业 银行风险评级体系》 保持一致- z , 但没有专 门对村镇 银行的探讨 。为此 , 本文利用模糊层次分析法建立 村镇银行信息科技风险评估数学模型 , 对村镇银行 信 息科 技 风 险 进行 量 化 和 评价 , 以期 为村 镇 银 行 和 金融监管方提供一个更加科学合理的评判方法。 二、 模糊 层次 分析 法基 本原 理 模 糊 层 次 分 析 法 主要 由层 次 分析 法 r 和模 糊 综 合评价两部分组成: 层次分析法 , 它是美国著名运筹 学家 、 匹兹堡大学教授托马斯 ・ 塞蒂于2 0 世纪 7 0 年 代 中期正式提出来 的。所谓层次分析法就是一种定 性和定量相结合 的、 系统化 、 层次化的分析方法 , 强 调 人 的思 维判 断 在决 策过 程 中的作 用 , 通过 一 定 模 式使决策思维过程规 范化 , 适合于定性与定量 因素 相 结合 、 特别 是定 性 因素 起 主导作 用 的 问题 。因此 , 我们就用 A H P法 确 定 各 指 标 的 相 对 权 重 。模 糊 综 合评价 , 它是一种应用非常广泛和有效的模糊数学 方法。所谓模糊综合评价法就是运用模糊数学 和模 糊统计 的方法 , 通过对影响某事物各个 因素 的综合 考虑 , 对 该 事 物 的优 劣 作 出科 学 的 评 价 。模 糊 数 学 是2 0 世纪6 0 年代美 国 自动控制专家查 德( L . A . z a — d e h ) 教授创立 的, 是针对现实中大量 的经济现象具 有模糊性而设计 的一种, j 兀素I 司样重要 i 元素比j 元素稍微重要
(完整word版)银行信息科技外包风险管理办法
大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
村镇银行信息科技管理制度模版
xxx村镇银行信息科技管理制度第一章总则第一条为强化cc村镇银行信息科技管理,防范信息技术风险,保障网络与信息系统安全和稳定运行,根据《商业银行信息科技风险管理指引》、《金融机构计算机信息系统安全保护工作暂行规定》,特制定本办法。
第二条本管理办法所称科技信息管理,是指在信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条信息科技管理目标是健全信息科技治理组织结构和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强核心竞争力和可持续发展能力。
第四条信息科技工作实行统一领导和分级管理,由分管领导负责。
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任。
第五条本办法适用于总行及各支行。
第二章组织与职责第六条我行沿用发起行苏州银行信息科技系统,依托苏州银行信息科技部进行信息科技管理,信息科技管理工作服从苏州银行“条线化管理”模式。
第七条村镇银行总行成立以行长为组长、分管行长为副组长、各部负责人为组员的信息科技领导小组,应履行以下管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求;(二)审查批准本单位信息科技工作,定期听取高级管理层关于信息科技工作汇报并予以评价;(三)审查批准信息科技战略,确保其与本单位的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率;(四)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制;(五)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识;(六)履行信息科技管理其他相关工作。
第八条信息科技领导小组下设办公室,办公室设在综合管理部,具体负责贯彻执行各项信息科技管理工作、信息科技工作的指导和应急事务的处理。
村镇银行信息科技建设与管理指引
村镇银行信息科技建设与管理指引(征求意见稿)第一章总则第一条为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。
第三条村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。
第四条村镇银行信息科技工作的基本原则是:(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。
第五条根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。
自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。
第六条本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。
第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。
第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。
第九条村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。
银监发[2009]19号-商业银行信息科技风险管理指引
![银监发[2009]19号-商业银行信息科技风险管理指引](https://img.taocdn.com/s3/m/57ba4d46cf84b9d528ea7ab5.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
村镇银行信息科技风险管理办法(征求意见稿)第一章总则第一条为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章信息科技风险管理组织架构第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章信息科技风险具体控制要求第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
第六条信息系统总体风险控制措施:(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;(五)加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。
信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当数量的备品、备件;(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;(十)加强网络安全管理。
严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。
根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;(十七)采取有效技术措施,切实加强网上银行信息安全保障。
加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。
积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
第七条信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
包括以下风险点:(一)信息系统项目研发管理;(二)信息系统项目开发人员外包;(三)信息系统项目需求不明确;(四)信息系统测试不规范或不完善;(五)信息系统应用推广;(六)信息系统测试发现的软件缺陷;(七)信息系统项目文档管理;(八)信息系统项目验收。
第八条信息科技研发风险具体控制要求:(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。
项目领导小组负责项目的组织、协调、检查、监督工作。
项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度;(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。
一般测试应包括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。
第九条信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
包括以下风险点:(一)人为因素导致信息系统运行故障;(二)运行管理不完善;(三)信息系统日常变更;(四)新建信息系统运行;(五)机房环境变化;(六)信息系统故障报告程序。
第十条信息科技运行维护风险具体控制要求:(一)信息系统运行人员应实行专职,不得由其他人员兼任。
运行人员应按操作规程巡检和操作。
对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。
对软件或数据的维护必须通过上级审批、授权后方可进行;(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;(四)在信息系统投产后一定时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第十一条信息科技外包风险的操作风险点外包风险是指银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
包括以下风险点:(一)信息科技外包需求控制风险;(二)信息科技外包承包方合作风险;(三)信息科技外包项目商业风险;(四)信息科技外包项目安全风险;(五)信息科技外包项目质量风险;(六)信息科技外包项目风险管理;(七)信息科技外包项目责任风险;(入)信息科技外包项目监控风险。
第十二条信息科技外包风险具体控制要求:(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。
评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;(三)与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;(四)充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中;(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;(八)对信息系统外包承包方进行持续的监控。
第四章附则第十三条各支行可依据本办法,结合本单位实际情况,制定具体实施细则。
第十四条本办法由村镇银行负责解释和修订。
第十五条本规定自印发之日起施行。
- 11 -。