村镇银行信息科技风险管理办法
(征求意见稿)
第一章 总 则
第一条 为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条 信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章 信息科技风险管理组织架构
第三条 信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条
发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的
权限和职责:
(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;
(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;
(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;
(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;
(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;
(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章 信息科技风险具体控制要求
第五条 信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点:
(一)缺少信息系统风险管理策略;
(二)自然灾害、运行环境变化;
(三)信息系统相关规章制度、技术规范、操作规程不完善;
(四)信息安全标准化工作不符合国家相关规定;
(五)缺乏信息安全风险评估机制;
(六)数据中心机房物理安全;
(七)使用盗版软件及自有成果的知识产权保护;
(八)电子设备自身运行;
(九)主机与网络运行;
(十)网络安全;
(十一)密码安全;
(十二)数据加密安全;
(十三)信息系统配置参数管理;
(十四)数据管理;
(十五)突发事件响应;
(十六)信息系统故障导致影响银行信誉; (十七)网上银行安全。
第六条 信息系统总体风险控制措施:
(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;
(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;
(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;
(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;
(五)加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;
(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;
(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;
(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当数量的备品、备件;
(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要
求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;
(十)加强网络安全管理。严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;
(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;
(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;
(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;
(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;
(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;
(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;
(十七)采取有效技术措施,切实加强网上银行信息安全保
障。加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
第七条
信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点:
(一)信息系统项目研发管理;
(二)信息系统项目开发人员外包;
(三)信息系统项目需求不明确;
(四)信息系统测试不规范或不完善;
(五)信息系统应用推广;
(六)信息系统测试发现的软件缺陷;
(七)信息系统项目文档管理;
(八)信息系统项目验收。
第八条
信息科技研发风险具体控制要求:
(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;
(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息
系统研发质量和进度;
(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;
(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。一般测试应包括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;
(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;
(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;
(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;
(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。
第九条 信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点:
(一)人为因素导致信息系统运行故障;
(二)运行管理不完善;
(三)信息系统日常变更;
(四)新建信息系统运行;
(五)机房环境变化;
(六)信息系统故障报告程序。
第十条 信息科技运行维护风险具体控制要求:
(一)信息系统运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;
(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行;
(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;
(四)在信息系统投产后一定时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;
(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;
(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第十一条
信息科技外包风险的操作风险点外包风险是指
银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点:
(一)信息科技外包需求控制风险;
(二)信息科技外包承包方合作风险;
(三)信息科技外包项目商业风险;
(四)信息科技外包项目安全风险;
(五)信息科技外包项目质量风险;
(六)信息科技外包项目风险管理;
(七)信息科技外包项目责任风险; (入)信息科技外包项目监控风险。
第十二条 信息科技外包风险具体控制要求:
(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;
(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;
(三)与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;
(四)充分认识外包服务对信息系统风险控制的直接和间接
影响,并将其纳入总体安全策略和风险控制之中;
(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;
(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;
(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;
(八)对信息系统外包承包方进行持续的监控。
第四章 附 则
第十三条 各支行可依据本办法,结合本单位实际情况,制定具体实施细则。
第十四条 本办法由村镇银行负责解释和修订。 第十五条 本规定自印发之日起施行。
