[原创]村镇银行信息科技风险管理办法

[原创]村镇银行信息科技风险管理办法

村镇银行信息科技风险管理办法

,征求意见稿,

第一章总则

第一条为加强村镇银行信息科技风险管理～确保科技体系持续稳定运转～根据《商业银行信息科技风险管理指引》等有关法律、法规～制定本办法。

第二条信息科技风险管理是通过建立有效机制～实现对银行信息系统风险的识别、计量、评价、预警和控制～推动村镇银行业务创新～提高信息化管理水平～保障村镇银行业务持续平稳发展。

第二章信息科技风险管理组织架构

第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门～发起行科技信息中心有以下信息科技风险管理的

权限和职责:

,一,建立有效的信息科技风险管理管理架构～完善内部组织结构和工作机制～防范和控制信息科技风险管理,

,二,贯彻执行国家有关信息系统相关法律、法规和技术标准～落实人民银行和银监会相关监管要求,

,三,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责～建立、健全村镇银行信息科技风险管理相关规章、制度～并严格执行,

,四,负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作～提供村镇银行信息系统日常信息服务和运行技术支持,

,五,负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度,

,六,发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。

第三章信息科技风险具体控制要求

第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的

风险。包括以下风险点:

,一,缺少信息系统风险管理策略, ,二,自然灾害、运行环境变化, ,三,信息系统相关规章制度、技术规范、操作规程不完善,

,四,信息安全标准化工作不符合国家相关规定,

,五,缺乏信息安全风险评估机制, ,六,数据中心机房物理安全, ,七,使用盗版软件及自有成果的知识产权保护,

,八,电子设备自身运行, ,九,主机与网络运行,

,十,网络安全,

,十一,密码安全,

,十二,数据加密安全,

,十三,信息系统配臵参数管理, ,十四,数据管理,

,十五,突发事件响应,

,十六,信息系统故障导致影响银行信誉, ,十七,网上银行安全。

第六条信息系统总体风险控制措施:

,一,根据村镇银行信息系统总体规划～在村镇银行风险管理政策指引下～制定明确、持续的信息系统风险管理策略～根据信息系统的等级保护级别对信息系统进行分析和评估～并实施有效的风险控制,

,二,建立同城信息系统灾备中心实现运行环境备份～防止各类突发事故和恶意攻击事件造成不良后果,

,三,建立健全相关信息科技制度～明确信息系统相关人员的职责权限～建立制约机制～实行最小授权,

,四,严格执行国家信息安全相关标准～参照有关国际准则～积极推进信息安全标准化～开展信息安全等级保护等相关工作,

,五,加强对信息系统的风险评估～及时对风险点进行修补和完善～以保证信息系统的安全性和完整性,

,六,信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准～数据中心机房实行严格的门禁管理措施～未经授权不得进入,

,七,加强知识产权保护～使用正版软件～加强软件版本管理,积极研发具有自主知识产权的信息系统和相关金融产品～并采取有效措施保护村镇银行信息化成果,

,八,严格执行与银行信息系统相关的电子设备的选型、购臵、登记、保养、维修、报废等相关规

程～选用的设备应经过技术论证～测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性～并配臵适当数量的备品、备件, ,九,严格参照相关标准和规范设计、建设信息系统网络,网络设备应兼备技术先进性和产品成熟性,

关键网络设备和线路应有冗余备份,严格线路租用合同管理～按照业务和交易流量要求保证传输带宽,监测和管理通信线路及网络设备～保障网络安全稳定运行,

,十,加强网络安全管理。严格网络边界控制～使用各种技术手段降低外部攻击、信息泄漏等风险, ,十一,加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理～使用符合国家安全标准的密码设备～完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度, ,十二,加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理,优化系

统和数据库安全设臵～严格按授权使用信息系统和数据库～采用适当的数据加密技术以保护敏感数

据的传输和存取～以保证数据的完整性、保密性,

,十三,对信息系统配臵参数实施严格的安全与保密管理～防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途～确定存取权限、方式和授权使用范围～并严格审批和登记手续, ,十四,制定信息系统相关应急预案～并定期进行演练、评审和修订,

,十五,加强对技术文档资料和重要数据的备份管理,技术文档资料和重要数据应保留副本并异地存放～按规定年限保存～调用时应严格授权管理,

,十六,在信息系统可能影响客户服务时～及时通知业务部门～以便以适当方式告知客户,

,十七,采取有效技术措施～切实加强网上银行信息安全保障。加强网银用户身份认证管理～与业务部门密切配合～逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各

类维护网上银行使用安全的技术和手段～保证安全技术和管理水平能够持续适应网上银行业务发展

的安全要求。

第七条信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点:

,一,信息系统项目研发管理,

,二,信息系统项目开发人员外包,

,三,信息系统项目需求不明确,

,四,信息系统测试不规范或不完善,

,五,信息系统应用推广,

,六,信息系统测试发现的软件缺陷,