村镇银行信息科技风险管理办法 (征求意见稿)
第一章 总 则
第一条
为加强村镇银行信息科技风险管理, 确保科技体系
持续稳定运转,根据《商业银行信息科技风险管理指引》等有关 法律、法规,制定本办法。 第二条 信息科技风险管理是通过建立有效机制, 实现对银
行信息系统风险的识别、计量、评价、预警和控制,推动村镇银 行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳 发展。
第二章
信息科技风险管理组织架构
第三条
信息科技风险是指信息系统在规划、研发、建设、
运行、维护、监控及退出过程中由于自然因素、人为因素、技术 漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条 发起行科技信息中心是村镇银行信息科技风险的
主要管理部门, 发起行科技信息中心有以下信息科技风险管理的
- 1 -
权限和职责: (一)建立有效的信息科技风险管理管理架构,完善内部组 织结构和工作机制,防范和控制信息科技风险管理; (二)贯彻执行国家有关信息系统相关法律、法规和技术标 准,落实人民银行和银监会相关监管要求; (三)履行村镇银行信息系统的规划、研发、建设、运行、 维护和管理职责,建立、健全村镇银行信息科技风险管理相关规 章、制度,并严格执行; (四)负责村镇银行信息系统的规划、研发、建设、运行、 维护和监控等工作, 提供村镇银行信息系统日常信息服务和运行 技术支持; (五) 负责指导和监督村镇银行科技部门落实有关信息科技 风险管理的各项规章制度; (六) 发起行科技信息中心安全科是村镇银行信息科技风险 管理的牵头部门,发起行科技信息中心各科室按其职责范围承担 相应工作。
第三章
信息科技风险具体控制要求
第五条
信息科技总体风险点是指信息系统在策略、制度、
机房、软件、硬件、网络、数据、文档等方面影响全局或共有的 风险。包括以下风险点:
- 2 -
(一)缺少信息系统风险管理策略; (二)自然灾害、运行环境变化; (三) 信息系统相关规章制度、 技术规范、 操作规程不完善; (四)信息安全标准化工作不符合国家相关规定; (五)缺乏信息安全风险评估机制; (六)数据中心机房物理安全; (七)使用盗版软件及自有成果的知识产权保护; (八)电子设备自身运行; (九)主机与网络运行; (十)网络安全; (十一)密码安全; (十二)数据加密安全; (十三)信息系统配置参数管理; (十四)数据管理; (十五)突发事件响应; (十六)信息系统故障导致影响银行信誉; (十七)网上银行安全。 第
六条 信息系统总体风险控制措施:
(一)根据村镇银行信息系统总体规划,在村镇银行风险管 理政策指引下,制定明确、持续的信息系统风险管理策略,根据 信息系统的等级保护级别对信息系统进行分析和评估, 并实施有 效的风险控制;
- 3 -
(二)建立同城信息系统灾备中心实现运行环境备份,防止 各类突发事故和恶意攻击事件造成不良后果; (三)建立健全相关信息科技制度,明确信息系统相关人员 的职责权限,建立制约机制,实行最小授权; (四) 严格执行国家信息安全相关标准, 参照有关国际准则, 积极推进信息安全标准化,开展信息安全等级保护等相关工作; (五)加强对信息系统的风险评估,及时对风险点进行修补 和完善,以保证信息系统的安全性和完整性; (六) 信息系统数据中心机房建设时严格参照国家有关计算 机场地、环境、供配电等技术标准,数据中心机房实行严格的门 禁管理措施,未经授权不得进入; (七)加强知识产权保护,使用正版软件,加强软件版本管 理;积极研发具有自主知识产权的信息系统和相关金融产品,并 采取有效措施保护村镇银行信息化成果; (八)严格执行与银行信息系统相关的电子设备的选型、购 置、登记、保养、维修、报废等相关规程,选用的设备应经过技 术论证,测试性能应符合国家有关标准。信息系统所用的服务器 等关键设备应具有较高的可靠性、充足的容量和一定的容错特 性,并配置适当数量的备品、备件; (九)严格参照相关标准和规范设计、建设信息系统网络; 网络设备应兼备技术先进性和产品成熟性; 关键网络设备和线路 应有冗余备份;严格线路租用合同管理,按照业务和交易流量要
- 4 -
求保证传输带宽;监测和管理通信线路及网络设备,保障网络安 全稳定运行; (十)加强网络安全管理。严格网络边界控制,使用各种技 术手段降低外部攻击、信息泄漏等风险; (十一)加强信息系统加密机、密钥、密码、加解密程序等 安全要素的管理,使用符合国家安全标准的密码设备,完善安全 要素生成、领取、使用、修改、保管和销毁等环节管理制度; (十二)加强数据采集、存贮、传输、使用、备份、恢复、 抽检、清理、销毁等环节的管理;优化系统和数据库安全设置, 严格按授权使用信息系统和数据库, 采用适当的数据加密技术以 保护敏感数据的传输和存取,以保证数据的完整性、保密性; (十三)对信息系统配置参数实施严格的安全与保密管理, 防止非法生成、 变更、 泄漏、 丢失与破坏。 根据敏感程度和用途, 确定存取权限、方
式和授权使用范围,并严格审批和登记手续; (十四)制定信息系统相关应急预案,并定期进行演练、评 审和修订; (十五)加强对技术文档资料和重要数据的备份管理;技术 文档资料和重要数据应保留副本并异地存放,按规定年限保存, 调用时应严格授权管理; (十六)在信息系统可能影响客户服务时,及时通知业务部 门,以便以适当方式告知客户; (十七)采取有效技术措施,切实加强网上银行信息安全保
- 5 -
障。加强网银用户身份认证管理,与业务部门密切配合,逐步对 所有网上银行高风险账户操作统一使用双重身份认证。 积极研发 和应用各类维护网上银行使用安全的技术和手段, 保证安全技术 和管理水平能够持续适应网上银行业务发展的安全要求。 第七条 信息科技研发风险的操作风险点是指信息系统在
研发过程中组织、规划、需求、分析、设计、编程、测试和投产 等环节产生的风险。包括以下风险点: (一)信息系统项目研发管理; (二)信息系统项目开发人员外包; (三)信息系统项目需求不明确; (四)信息系统测试不规范或不完善; (五)信息系统应用推广; (六)信息系统测试发现的软件缺陷; (七)信息系统项目文档管理; (八)信息系统项目验收。 第八条 信息科技研发风险具体控制要求:
(一)一般项目研发成立项目工作小组,重大项目还应成立 项目领导小组,并指定负责人。项目领导小组负责项目的组织、 协调、检查、监督工作。项目工作小组由业务人员、技术人员和 管理人员组成,具体负责整个项目的开发工作; (二) 项目工作小组人员应具备与项目要求相适应的业务经 验与专业技术知识,小组负责人需具备组织领导能力,保证信息
- 6 -
系统研发质量和进度; (三)项目组根据业务部门项目需求编制项目功能说明书, 依据项目功能说明书分别编写项目总体技术框架、 项目设计说明 书,设计和编码应符合项目功能说明书的要求; (四)软件研发必须建立独立的测试环境,以保证测试的完 整性和准确性。一般测试应包括功能测试、安全性测试、压力测 试、验收测试等,测试不得直接使用生产数据; (五) 研发人员必须根据测试结果修补信息系统的功能和缺 陷,提高信息系统的整体质量; (六)根据职责范围配合业务人员分别编写操作说明书、技 术应急方案、业务连续性计划、投产计划、应急回退计划,并进 行演练; (七)开发过程中所涉及的各种文档资料应经相关部门、人 员的签字确认并归档保存; (八)软件开发项目必须进行严格的项目验收流程,项目验 收应
出具由相关负责人签字的项目验收报告, 验收不合格不得投 入使用。 第九条 信息科技运行维护风险的操作风险点是指信息系
统在运行与维护过程中操作管理、变更管理、机房管理和事件管 理等环节产生的风险。包括以下风险点: (一)人为因素导致信息系统运行故障; (二)运行管理不完善;
- 7 -
(三)信息系统日常变更; (四)新建信息系统运行; (五)机房环境变化; (六)信息系统故障报告程序。 第十条 信息科技运行维护风险具体控制要求:
(一) 信息系统运行人员应实行专职, 不得由其他人员兼任。 运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据 进行维护应符合授权和维护规程要求; (二) 相关信息系统运行维护人员严格按照信息系统管理制 度及维护手册运行及维护信息系统。 对软件或数据的维护必须通 过上级审批、授权后方可进行; (三)制订严格的信息系统变更处理流程,明确变更流程中 各岗位的职责分工,并遵循流程实施控制和管理; (四)在信息系统投产后一定时期内,应配合业务部门,积 极参与组织对系统的后评价, 根据评价及时对系统功能进行调整 和优化; (五)对机房环境设施实行日常巡检,明确信息系统及机房 环境设施出现故障时的应急处理流程和预案; (六)实行事件报告制度,发生信息系统造成重大经济、声 誉损失和重大影响事件,应即时上报并处理,必要时启动应急处 理预案。 第十一条 信息科技外包风险的操作风险点外包风险是指
- 8 -
银行将信息系统的规划、研发、建设、运行、维护、监控等委托给 业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点: (一)信息科技外包需求控制风险; (二)信息科技外包承包方合作风险; (三)信息科技外包项目商业风险; (四)信息科技外包项目安全风险; (五)信息科技外包项目质量风险; (六)信息科技外包项目风险管理; (七)信息科技外包项目责任风险; (入)信息科技外包项目监控风险。 第十二条 信息科技外包风险具体控制要求:
(一) 在进行信息系统外包时, 应根据风险控制和实际需要, 合理确定外包的原则和范围, 认真分析和评估外包存在的潜在风 险,建立健全相关规章制度,制定相应的风险防范措施; (二)建立健全外包承包方评估机制,充分审查、评估承包 方的经营状况、财务实力、诚信历史、安全资质、技术服务能力 和实际风险控制与责任承担水平,并进行必要的尽职情况调查。 评估工作可委托具有国家相应监管部门认定资质、 具有相关专业 经验的独立机
构完成; (三)与承包方签订书面合同,明确双方的权利、义务,并 规定承包方在安全、保密、知识产权方面的义务和责任; (四) 充分认识外包服务对信息系统风险控制的直接和间接
- 9 -
影响,并将其纳入总体安全策略和风险控制之中; (五)建立完整的信息系统外包风险评估与检测程序,审查 管理外包产生的风险,提高本机构的外包管理的能力; (六)信息系统外包风险管理应符合风险管理标准和策略, 并建立针对信息系统外包风险的应急计划; (七)与信息系统外包承包方建立有效的联络、沟通和信息 交流机制,并制定在意外情况下能够实现承包方的顺利变更办 法,保证信息系统外包服务不间断的应急预案; (八)对信息系统外包承包方进行持续的监控。
第四章
附 则
第十三条
各支行可依据本办法,结合本单位实际情况,制
定具体实施细则。 第十四条 第十五条 本办法由村镇银行负责解释和修订。 本规定自印发之日起施行。
- 10 -
- 11 -
村镇银行信息科技风险管理办法 (征求意见稿)
第一章 总 则
第一条
为加强村镇银行信息科技风险管理, 确保科技体系
持续稳定运转,根据《商业银行信息科技风险管理指引》等有关 法律、法规,制定本办法。 第二条 信息科技风险管理是通过建立有效机制, 实现对银
行信息系统风险的识别、计量、评价、预警和控制,推动村镇银 行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳 发展。
第二章
信息科技风险管理组织架构
第三条
信息科技风险是指信息系统在规划、研发、建设、
运行、维护、监控及退出过程中由于自然因素、人为因素、技术 漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条 发起行科技信息中心是村镇银行信息科技风险的
主要管理部门, 发起行科技信息中心有以下信息科技风险管理的
- 1 -
权限和职责: (一)建立有效的信息科技风险管理管理架构,完善内部组 织结构和工作机制,防范和控制信息科技风险管理; (二)贯彻执行国家有关信息系统相关法律、法规和技术标 准,落实人民银行和银监会相关监管要求; (三)履行村镇银行信息系统的规划、研发、建设、运行、 维护和管理职责,建立、健全村镇银行信息科技风险管理相关规 章、制度,并严格执行; (四)负责村镇银行信息系统的规划、研发、建设、运行、 维护和监控等工作, 提供村镇银行信息系统日常信息服务和运行 技术支持; (五) 负责指导和监督村镇银行科技部门落实有关信息科技 风险管理的各项规章制度; (六) 发起行科技信息中心安全科是村镇银行信息科技风险 管理的牵头部门,发起行科技信息中心各科室按其职责范围承担 相应工作。
第三章
信息科技风险具体控制要求
第五条
信息科技总体风险点是指信息系统在策略、制度、
机房、软件、硬件、网络、数据、文档等方面影响全局或共有的 风险。包括以下风险点:
- 2 -
(一)缺少信息系统风险管理策略; (二)自然灾害、运行环境变化; (三) 信息系统相关规章制度、 技术规范、 操作规程不完善; (四)信息安全标准化工作不符合国家相关规定; (五)缺乏信息安全风险评估机制; (六)数据中心机房物理安全; (七)使用盗版软件及自有成果的知识产权保护; (八)电子设备自身运行; (九)主机与网络运行; (十)网络安全; (十一)密码安全; (十二)数据加密安全; (十三)信息系统配置参数管理; (十四)数据管理; (十五)突发事件响应; (十六)信息系统故障导致影响银行信誉; (十七)网上银行安全。 第
六条 信息系统总体风险控制措施:
(一)根据村镇银行信息系统总体规划,在村镇银行风险管 理政策指引下,制定明确、持续的信息系统风险管理策略,根据 信息系统的等级保护级别对信息系统进行分析和评估, 并实施有 效的风险控制;
- 3 -
(二)建立同城信息系统灾备中心实现运行环境备份,防止 各类突发事故和恶意攻击事件造成不良后果; (三)建立健全相关信息科技制度,明确信息系统相关人员 的职责权限,建立制约机制,实行最小授权; (四) 严格执行国家信息安全相关标准, 参照有关国际准则, 积极推进信息安全标准化,开展信息安全等级保护等相关工作; (五)加强对信息系统的风险评估,及时对风险点进行修补 和完善,以保证信息系统的安全性和完整性; (六) 信息系统数据中心机房建设时严格参照国家有关计算 机场地、环境、供配电等技术标准,数据中心机房实行严格的门 禁管理措施,未经授权不得进入; (七)加强知识产权保护,使用正版软件,加强软件版本管 理;积极研发具有自主知识产权的信息系统和相关金融产品,并 采取有效措施保护村镇银行信息化成果; (八)严格执行与银行信息系统相关的电子设备的选型、购 置、登记、保养、维修、报废等相关规程,选用的设备应经过技 术论证,测试性能应符合国家有关标准。信息系统所用的服务器 等关键设备应具有较高的可靠性、充足的容量和一定的容错特 性,并配置适当数量的备品、备件; (九)严格参照相关标准和规范设计、建设信息系统网络; 网络设备应兼备技术先进性和产品成熟性; 关键网络设备和线路 应有冗余备份;严格线路租用合同管理,按照业务和交易流量要
- 4 -
求保证传输带宽;监测和管理通信线路及网络设备,保障网络安 全稳定运行; (十)加强网络安全管理。严格网络边界控制,使用各种技 术手段降低外部攻击、信息泄漏等风险; (十一)加强信息系统加密机、密钥、密码、加解密程序等 安全要素的管理,使用符合国家安全标准的密码设备,完善安全 要素生成、领取、使用、修改、保管和销毁等环节管理制度; (十二)加强数据采集、存贮、传输、使用、备份、恢复、 抽检、清理、销毁等环节的管理;优化系统和数据库安全设置, 严格按授权使用信息系统和数据库, 采用适当的数据加密技术以 保护敏感数据的传输和存取,以保证数据的完整性、保密性; (十三)对信息系统配置参数实施严格的安全与保密管理, 防止非法生成、 变更、 泄漏、 丢失与破坏。 根据敏感程度和用途, 确定存取权限、方
式和授权使用范围,并严格审批和登记手续; (十四)制定信息系统相关应急预案,并定期进行演练、评 审和修订; (十五)加强对技术文档资料和重要数据的备份管理;技术 文档资料和重要数据应保留副本并异地存放,按规定年限保存, 调用时应严格授权管理; (十六)在信息系统可能影响客户服务时,及时通知业务部 门,以便以适当方式告知客户; (十七)采取有效技术措施,切实加强网上银行信息安全保
- 5 -
障。加强网银用户身份认证管理,与业务部门密切配合,逐步对 所有网上银行高风险账户操作统一使用双重身份认证。 积极研发 和应用各类维护网上银行使用安全的技术和手段, 保证安全技术 和管理水平能够持续适应网上银行业务发展的安全要求。 第七条 信息科技研发风险的操作风险点是指信息系统在
研发过程中组织、规划、需求、分析、设计、编程、测试和投产 等环节产生的风险。包括以下风险点: (一)信息系统项目研发管理; (二)信息系统项目开发人员外包; (三)信息系统项目需求不明确; (四)信息系统测试不规范或不完善; (五)信息系统应用推广; (六)信息系统测试发现的软件缺陷; (七)信息系统项目文档管理; (八)信息系统项目验收。 第八条 信息科技研发风险具体控制要求:
(一)一般项目研发成立项目工作小组,重大项目还应成立 项目领导小组,并指定负责人。项目领导小组负责项目的组织、 协调、检查、监督工作。项目工作小组由业务人员、技术人员和 管理人员组成,具体负责整个项目的开发工作; (二) 项目工作小组人员应具备与项目要求相适应的业务经 验与专业技术知识,小组负责人需具备组织领导能力,保证信息
- 6 -
系统研发质量和进度; (三)项目组根据业务部门项目需求编制项目功能说明书, 依据项目功能说明书分别编写项目总体技术框架、 项目设计说明 书,设计和编码应符合项目功能说明书的要求; (四)软件研发必须建立独立的测试环境,以保证测试的完 整性和准确性。一般测试应包括功能测试、安全性测试、压力测 试、验收测试等,测试不得直接使用生产数据; (五) 研发人员必须根据测试结果修补信息系统的功能和缺 陷,提高信息系统的整体质量; (六)根据职责范围配合业务人员分别编写操作说明书、技 术应急方案、业务连续性计划、投产计划、应急回退计划,并进 行演练; (七)开发过程中所涉及的各种文档资料应经相关部门、人 员的签字确认并归档保存; (八)软件开发项目必须进行严格的项目验收流程,项目验 收应
出具由相关负责人签字的项目验收报告, 验收不合格不得投 入使用。 第九条 信息科技运行维护风险的操作风险点是指信息系
统在运行与维护过程中操作管理、变更管理、机房管理和事件管 理等环节产生的风险。包括以下风险点: (一)人为因素导致信息系统运行故障; (二)运行管理不完善;
- 7 -
(三)信息系统日常变更; (四)新建信息系统运行; (五)机房环境变化; (六)信息系统故障报告程序。 第十条 信息科技运行维护风险具体控制要求:
(一) 信息系统运行人员应实行专职, 不得由其他人员兼任。 运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据 进行维护应符合授权和维护规程要求; (二) 相关信息系统运行维护人员严格按照信息系统管理制 度及维护手册运行及维护信息系统。 对软件或数据的维护必须通 过上级审批、授权后方可进行; (三)制订严格的信息系统变更处理流程,明确变更流程中 各岗位的职责分工,并遵循流程实施控制和管理; (四)在信息系统投产后一定时期内,应配合业务部门,积 极参与组织对系统的后评价, 根据评价及时对系统功能进行调整 和优化; (五)对机房环境设施实行日常巡检,明确信息系统及机房 环境设施出现故障时的应急处理流程和预案; (六)实行事件报告制度,发生信息系统造成重大经济、声 誉损失和重大影响事件,应即时上报并处理,必要时启动应急处 理预案。 第十一条 信息科技外包风险的操作风险点外包风险是指
- 8 -
银行将信息系统的规划、研发、建设、运行、维护、监控等委托给 业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点: (一)信息科技外包需求控制风险; (二)信息科技外包承包方合作风险; (三)信息科技外包项目商业风险; (四)信息科技外包项目安全风险; (五)信息科技外包项目质量风险; (六)信息科技外包项目风险管理; (七)信息科技外包项目责任风险; (入)信息科技外包项目监控风险。 第十二条 信息科技外包风险具体控制要求:
(一) 在进行信息系统外包时, 应根据风险控制和实际需要, 合理确定外包的原则和范围, 认真分析和评估外包存在的潜在风 险,建立健全相关规章制度,制定相应的风险防范措施; (二)建立健全外包承包方评估机制,充分审查、评估承包 方的经营状况、财务实力、诚信历史、安全资质、技术服务能力 和实际风险控制与责任承担水平,并进行必要的尽职情况调查。 评估工作可委托具有国家相应监管部门认定资质、 具有相关专业 经验的独立机
构完成; (三)与承包方签订书面合同,明确双方的权利、义务,并 规定承包方在安全、保密、知识产权方面的义务和责任; (四) 充分认识外包服务对信息系统风险控制的直接和间接
- 9 -
影响,并将其纳入总体安全策略和风险控制之中; (五)建立完整的信息系统外包风险评估与检测程序,审查 管理外包产生的风险,提高本机构的外包管理的能力; (六)信息系统外包风险管理应符合风险管理标准和策略, 并建立针对信息系统外包风险的应急计划; (七)与信息系统外包承包方建立有效的联络、沟通和信息 交流机制,并制定在意外情况下能够实现承包方的顺利变更办 法,保证信息系统外包服务不间断的应急预案; (八)对信息系统外包承包方进行持续的监控。
第四章
附 则
第十三条
各支行可依据本办法,结合本单位实际情况,制
定具体实施细则。 第十四条 第十五条 本办法由村镇银行负责解释和修订。 本规定自印发之日起施行。
- 10 -
- 11 -