商业银行信息科技外包管理制度
商业银行信息科技外包管理制度
第一章总则
第一条为加强商业银行(以下简称本行)信息科技外包风险管理,依据《商业银行信息科技风险管理指引》(银监发〔2009〕19号)、《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)及有关文件,制定本制度。
第二条本制度所称信息科技外包是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括但不限于以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包。
(二)系统运行维护类外包:包括数据中心(灾备中心)机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包。
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条信息科技外包产生的风险
10 / 11
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
银行业农信社计算机信息科技外包管理办法
附件 农村信用社联合社 信息科技外包管理办法(试行) 第一章总则 第一条为了规范省农村信用社联合社(以下简称“省联社”)的外包活动,保障省联社信息系统安全持续稳定运行,依据银监会颁布的《商业银行信息科技风险管理指引》和《银行业金融机构外包风险管理指引》,以及国家有关法律法规,制定本办法。 第二条本办法中的信息科技外包(以下简称“外包”)是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。 第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。 第四条省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。 第二章组织架构及职责 第五条省联社外包管理的组织架构包括理事会、高级管理
层及外包管理部门,其中外包管理部门主要包括省联社银信金融服务中心信息技术部(以下简称“信息技术部”)、稽核审计中心、合规部等部门。 第六条省联社理事会的职责主要包括以下方面: (一)审议批准信息科技外包的战略发展规划; (二)审议批准外包的风险管理制度; (三)审议批准外包范围及相关安排; (四)审阅本机构外包活动相关报告; (五)安排内部审计,确保审计范围涵盖所有的外包活动。 第七条省联社高级管理层的职责主要包括以下方面: (一)制定外包战略发展规划; (二)制定外包风险管理的政策、操作流程和内控制度; (三)确定外包业务的范围及相关安排; (四)确定外包管理部门职责,并对其行为进行有效监督。 第八条信息技术部的职责主要包括以下方面: (一)执行外包风险管理的政策、操作流程和内控制度; (二)根据省联社信息科技建设规划或外包服务需求,结合省联社信息科技的建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划; (三)负责外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等; (四)负责形成外包项目情况汇总报告,提交省联社合规部
银行信息安全管理规定
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第二章组织保障 第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B 岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: 组织落实上级信息安全管理规定,制定信息安全管理制 度,协调部门计算机安全员工作,监督检查信息安全保障工作。 审核信息化建设项目中的安全方案,组织实施信息安全保 障项目建设,维护、管理信息安全专用设施。 检测网络和信息系统的安全运行状况,检查运行操作、备 份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 四)定期组织信息安全宣传教育活动,开展信息安全检查、评 估与培训工作。 第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密
xxxx银行信息科技外包战略及管理办法
xxxx银行 信息科技外包战略及管理办法 第一章总则 第一条为了规范xxxx银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的《银行业金融机构信息科技外包风险监管指引》、《银行业金融机构外包风险管理指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:
(一)科技能力丧失:我行过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得我行信息科技服务水平下降。 第四条本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第五条本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第六条实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第七条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法 第一章总则 第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。 第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。 第三条本行外包管理原则包括: (一)自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。 (二)协调统一原则。符合科技风险管理策略,保持外包风险、成本和效益的平衡。 (三)预防优先原则。审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。 (四)动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。 第四条本办法适用于本行与信息科技相关外包活动的管理。 第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。 第二章组织架构与职责分工 第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。 第七条董事会承担信息科技外包管理的最终责任。主要职责包括: (一)审议批准信息科技外包战略; (二)审议批准外包管理基本制度;
(三)审议批准本机构的外包范围及相关安排; (四)定期审阅本机构外包活动相关报告; (五)银监会信息科技外包风险监管指引要求的其它工作。 第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。主要职责包括: (一)制定外包战略发展规划; (二)确定外包业务的范围及相关安排; (三)确定科技外包管理团队职责,并对其行为进行有效监督; (四)定期审阅本行外包活动相关报告; (五)指导内部审计部门独立开展外包审计工作; (六)董事会确定的其它职责。 第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。 第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括: (一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。 (二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。 (三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
企业信息技术资源外包的价值与风险
企业信息技术资源外包及其风险分析 摘要:企业竞争优势源于对顾客的深刻理解及对自身核心竞争力的把握。构建企业的核心竞争力,不但要确立企业发展的战略意图,还需创造独特的企业价值链及整合企业之间的价值链。在这种态势下,外包策略开始得到广泛应用。信息技术资源外包作为一种战略性商业创新方案开始为更多的企业所采用。外包的实质是企业和服务商之间的一种“委托—代理”关系,由于委托方和代理方之间存在着信息不对称、信息扭曲问题,加之市场及宏观环境的不确定性,导致企业在实施外包过程中存在种种风险,如果不加以重视和管理,则企业不但无法从中受益,反而会受损。鉴于此,对企业信息技术资源外包的风险问题应给予关注并进行研究,从而指导企业正确实施外包。 一、企业信息技术资源外包概述 1.基本概念人类社会已进入信息技术时代,信息技术正日益成为我们工作和生活中的一个重要部分。随着社会发展对信息技术的依赖性日益增长,该领域的外包愈发成为世界经理人关注的热点。从最初传统的信息技术资源外包(IT Outsourcing)到时下方兴未艾的应用服务外包(Application Service Provider,简称ASP),信息技术资源外包在企业构建核心竞争力、加速信息化建设的进程中发挥着不可忽视的作用。 信息技术资源外包,顾名思义,是指企业将信息系统(Information System,简称IS)或信息功能整体或部分地移交给外部的服务商来完成。严格意义上的外包,还意味着将企业信息技术部门(包括设备和人员)整体交由外部服务商来管理,直至成为后者的一个部门。其出发点相当简单,即:相对于企业部组织而言,如果外部服务商能以更富有效率和低成本的方式完成某项信息技术任务,则该任务应交由外部服务商来完成;反之,则应保留在企业部完成。企业可以在信息技术的功能及活动的许多领域选择利用外包。诸如数据中心的运作、通信、PC机的引进及维护、系统开发等,都可以是外包的容。
银行信息科技IT设备管理制度模版
银行信息科技IT设备管理制度 为加强某银行信息设备的管理,确保信息设备正常可靠地运转,保证各部门日常工作的顺利开展,特制定本制度。 一、信息设备统一列册登记(固定资产) 各部门的信息设备实行管理和使用两分离的原则,统一由信息中心管理,各个渠道购入的信息设备均应作为固定资产统一列册登记。 二、信息设备范围 信息设备是指各部门日常办公使用的信息设备,包括服务器、网络设备、监控设备、电脑(含主机、显示器及配套外设)、打印机、复印机、传真机、扫描仪等设备。 三、信息设备使用管理 各部门负责人为第一责任人,对本部门计算机及相关设备的硬件管理负总责。 1、各部门人员保护好各自的电脑及其它相关设备(如打印机、复印机、传真机等),认真做好?防尘、防潮、防火、防盗、防故障、防雷击?的?六防?工作。 2、爱护计算机及其相关硬件设备,不得让设备在空闲时,长期处于工作状态,不得人为损坏,不得在设备上堆压重物,避免强光照射设备表面,让其处于通风环境下,下班时检查设备是否关闭电源。 3、养成人走关机的良好习惯,节约用电、节约用纸、节约使用耗材等相关资源。 4、用于个人办公的信息设备,都将直接分配到个人使用和保管。个人都必须对自己领用的设备负责。领用(退回)任何设备时,都必须认真清点并签收(签退)。 5、直接分配到各部门的专有设备(服务器、网络设备、电脑、打印机、复印机、传真机等),各部门都必须对本部门使用的专有信息设备负责,日常管理工作由指定的人员(或内勤)负责。 6、各人原则上只能使用自己分配的计算机。非必要时,不能将机器交由他人操作(特别是非本行人员)。未经当事人同意,不能擅自在他人的计算机上进
信息技术外包服务安全管理制度通用版
管理制度编号:YTO-FS-PD272 信息技术外包服务安全管理制度通用 版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
信息技术外包服务安全管理制度通 用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 第一节总则 1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。 2、本制度所称信息技术外包服务,是指医院以签订合同的方式,委托承担信息技术服务且非本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。 3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。 4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。 第二节外包服务范围 5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。
银行信息科技外包风险管理办法
. .. . .. .. 大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
村镇银行信息科技整改报告
关于铁岭新星村镇银行 信息科技内部审计的整改报告 内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计,审计中发现了一些问题,我部高度重视,认真整改,现将整改情况汇报如下: 一、加强信息技术内控制度的建设 加强与外包行兴业银行的互动,建立本行与兴业银行的良性运行机制,积极参与到兴业银行的相关内部控制流程来,做到托管行和外包行之间的相互牵制和协调。 加强本行内部控制制度的建设,贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行。 建立健全良好的控制环境,控制环境是村镇银行信息科技的风险基调;做好各项信息系统的风险评估;进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动;加强信息系统建设,信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息
沟通;做到对信息科技内部控制的持续监控。 二、提高系统维护运行效率 进一步加强与承包方的沟通管理,沟通管理是企业组织的生命线。管理的过程,也就是沟通的过程。企业是个有生命的有机体,而沟通则是机体内的血管,通过流动来给组织系统提供养分,实现机体的良性循环。沟通管理是企业管理的核心内容和实质。 我行应采用书面与口头沟通相结合的沟通制度,例如,提交运维申请单书面文件后,相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法,正式沟通是通过明文规定的渠道进行信息传递的交流方式,非正式沟通不仅可以获得信息,也是建立信任和关系的沟通。 强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。 三、加强员工的信息科技安全知识培训 进一步提高信息科技人员履职能力。采取有效方式和途
某某公司信息系统外包人员管理办法
XX公司信息系统外包人员管理办法 一、总则 (一)为了加强对外包人员的统一管理,加强内部核算,降低风险和成本,特制定本管理办法。 (二)本办法适用于信息系统开发外包人员及其管理人员。 二、信息系统外包的定义 (一)信息系统外包是指公司聘用外部的专业服务供应商,利用它的专业技术和服务资源,为公司提供系统的开发、维护和支持服务,从而达到降低信息系统开发、维护、支持服务的成本的目的。 (二)外包形式分为定期人力外包和临时人力外包。 (三)定期人力外包指信息技术部根据上一年度的实际开发工作量,制定下一年度的开发工作计划,在人员不足的情况下,可进行的定期人力外包方式。 (四)临时人力外包指因紧急开发任务,且信息技术部评估人力不足时,可进行的临时人力外包方式。 三、外包人员的申请及入场管理 (一)信息技术部申请信息系统外包人员,依据年度项目计划,在项目立项后,通过OA系统上报信息系统外包项目用工需求,经各部门会签后经公司领导审批同意后,按照要求进行办理。 (二)外包人员进场前,由信息技术部协助,为外包人员办理入场手续,并填写《外包人员入场手续表》(详见附件一)。
(三)外包人员入场后,由信息技术部对外包人员使用的电脑进行标准化安装处理,禁止USB端口使用权限,并分配仅供外包人员使用的系统权限。 (四)因工作需要,外包人员需使用临时邮箱、域用户,由信息技术部为外包人员开通临时邮箱、域用户。 (五)原则上不允许外包人员携带移动存储设备(如移动硬盘、U盘、笔记本电脑等)进入工作现场,如因工作需要必须使用移动存储设备,需由信息技术部领导审批同意后,方可携带移动存储设备进入工作现场,并在信息技术部人员陪同下使用移动存储设备。 四、外包人员的权限管理 (一)外包人员系统桌面管理及网络管理采用标准化管理,具体如下: 1、系统桌面管理 (1)安装全新的操作系统,确保系统没有安全隐患。 (2)进行软件标准化安装,具体包括安装杀毒软件;对于工作所需的软件一次性安装;取消系统自带的小游戏;关闭外包人员域用户下对USB存储设备的访问权限。 (3)为外包人员申请临时的域用户。 (4)严格限制外包人员的域用户权限,限制该系列用户只拥有域中的user权限,且不允许外包人员使用公司员工的账号登录计算机。 2、网络管理
(整理)信息科技外包风险监管指引.
银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型: (一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的银行业金融机构非公开数据
被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。 第十条银行业金融机构在实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。 第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。 第二章外包管理组织架构 第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管
某银行信息科技问题管理办法
xxxx银行 信息科技问题管理办法 第一章总则 第一条为规范xxxx银行(以下简称“我行”)信息科技问题管理流程,深入分析各类问题发生的根本原因,落实防范和解决措施,防止问题重复发生,根据《商业银行信息科技风险管理指引》等制度,结合我行实际,制定本办法。 第二条本办法适用于我行信息科技问题管理相关的具体工作。 第三条本办法所称问题管理是调查和分析 IT 基础架构、业务系统中存在的隐患和查找事件产生的根本原因。 第四条本办法中问题分为两类: (一)应用类问题,是指需要对业务应用系统进行深入调查分析、找出根本原因并采取消除或规避措施的问题; (二)基础类问题,是指需要对基础架构及其环境进行深入调查分析、找出根本原因并采取消除或规避措施的问题。 第五条本办法所称知识库是指将问题、问题原因及解决措施积累起来,并分门别类的进行管理。 第二章部门及职责 第六条总行信息科技部为我行信息科技问题的职能管
理部门,负责信息科技问题工作的管理。 第七条信息科技部技术支持中心主要负责记录主动识别或被动发生的问题;识别问题的紧急程度和影响程度,进行问题的指派和处理;对问题进行根源分析,提供问题解决方案;对问题进行汇总及分析。 第八条技术支持中心系统管理岗负责应用系统、操作系统等基础软硬件问题的识别、分析、登记和处理,网络管理岗负责网络线路、网络设备等问题的识别、分析、登记和处理,数据库管理岗负责数据库问题的识别、分析、登记和处理;综合管理中心安全管理岗负责安全问题的识别、分析、登记和处理。 第三章问题报告机制 第九条问题管理流程的触发条件包括但不限于: (一)事件经过临时方案解决后,需要调查原因时,可以由信息科技部门人员发起问题管理; (二)含有重大影响及高风险的事件在事件处理恢复后,必须进入问题管理; (三)通过定期的信息科技风险评估与审计发现的问题,必须进入问题事件管理。 第十条信息科技部技术支持中心须及时发现问题并发起问题管理相关流程。 第十一条信息科技部技术支持中心根据问题类型,进
单位信息技术外包服务安全管理制度
单位信息技术外包服务安全管理制度 第一节总则 1、为加强单位信息技术外包服务的安全管理,保证单位信息系统运行环境的稳定,特制定本制度。 2、本制度所称信息技术外包服务,是指单位以签订合同的方式,委托承担信息技术服务且非本单位所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。 3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。 4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。 第二节外包服务范围 5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。 6、咨询服务:
根据单位的信息化建设总体部署,协助单位制定切实可行的技术实施方案。 对单位现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估,提出合理化的解决方案。 根据单位的实际情况提出备份方案和应急方案。 其它信息技术咨询服务。 7、运行维护服务: 软硬件设备安装、升级服务。 硬件设备的维修和保养。 根据单位业务变化,提供应用系统功能性的需求解决方案及执行服务。 系统定期巡检和整体性能评估。 日常业务数据问题的处理服务。 其它运行维护服务。 8、技术培训:根据单位的实际情况,提供相关的技术培训。 第三节外包服务安全管理 9、外包服务安全管理应按照“安全第一、预防为主”的原则,采取科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责
明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。 10、成立由分管领导同志信息化外包管理组织,明确信息化管理的部门、人员及其职责。 11、建立信息建设安全保密,与外包服务方签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。 12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。 13、外包服务方的人员素质、技术与管理水平能够满足拟承担项目的要求,进行相应的安全资质管理。 14、信息中心配备专人负责安全保密工作,负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估,采取安全措施对访问实施控制,出现问题应遵照合同规定及时处理和报告,确保其提供的服务符合单位的内部控制要求。 15、对外包服务的业务应用系统运行的安全状况应定期进行评估,当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务。 16、使用外包服务方设备的,对其进行必要的安全检查。 17、在重要安全区域,对外部服务方的每次访问进行风险控制;必要
第十四期法律知识点(信息科技、业务连续性、外包风险管理系统)
法律法规知识点汇编 (第十四期) 目录 ※商业银行信息科技风险管理指引 (1) ※商业银行业务连续性监管指引 (3) ※银行业金融机构外包风险管理指引 (7) 2014年9月24日
商业银行信息科技风险管理指引 ※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条) 多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD) A.自然因素 B.人为因素 C.技术漏洞 D.管理缺陷 ※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。(第6条) 判断题:商业银行董事会是信息科技风险管理的第一责任人。(×) ※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与应急处置。(第15条) 多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD) A.信息分级与保护 B.信息科技运行和维护 C.物理安全 D. 业务连续性计划与应急处置
※岗位制约:商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。(第41条) 单选题:商业银行应将( A )分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。 A. 信息科技运行与系统开发和维护 B. 系统管理和网络 C. 数据库管理系统和网络 D. 硬件管理和软件管理 ※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。(第66条) 单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和( A )参与,保证系统开发符合本银行信息科技风险管理标准。 A.部审计部 B.财务部 C.业务部 D.监察部
银行关于信息科技风险防控工作自查报告
##银行关于信息科技风险 防控工作自查报告 自##年数据大集中以来,我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。目前,根据我行现有业务要求和信息科技发展的规划,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。 一、将信息科技风险管理和信息安全纳入我行“十二五”信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,我行于年初制定了“十二五”信息科技发展规划,信息科技风险管理和信息安全成为科技规划的重要组成部分之一。科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、内外网严格的物理隔离、做好了生产运行风险控制,就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。 三、我行在信息科技风险治理方面的措施主要包括三方面。 a)认真学习和领会监管机构对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以电子银行部、合规部、稽核部为主体的信息科技风险三道防线;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。 b)建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行流程银行建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。 c)采取有效的信息科技风险管理的制度,防范和化解信
公司信息系统外包人员管理办法
XX公司信息系统外包人员管理办法 一、总则 (一)为了加强对外包人员得统一管理,加强内部核算,降低风险与成本,特制定本管理办法。 (二)本办法适用于信息系统开发外包人员及其管理人员。 二、信息系统外包得定义 (一)信息系统外包就是指公司聘用外部得专业服务供应商,利用它得专业技术与服务资源,为公司提供系统得开发、维护与支持服务,从而达到降低信息系统开发、维护、支持服务得成本得目得。 (二)外包形式分为定期人力外包与临时人力外包. (三)定期人力外包指信息技术部根据上一年度得实际开发工作量,制定下一年度得开发工作计划,在人员不足得情况下,可进行得定期人力外包方式。 (四)临时人力外包指因紧急开发任务,且信息技术部评估人力不足时,可进行得临时人力外包方式. 三、外包人员得申请及入场管理 (一)信息技术部申请信息系统外包人员,依据年度项目计划,在项目立项后,通过OA系统上报信息系统外包项目用工需求,经各部门会签后经公司领导审批同意后,按照要求进行办理。 (二)外包人员进场前,由信息技术部协助,为外包人员办理入场手续,并填写《外包人员入场手续表》(详见附件一)。 (三)外包人员入场后,由信息技术部对外包人员使用得电脑进
行标准化安装处理,禁止USB端口使用权限,并分配仅供外包人员使用得系统权限. (四)因工作需要,外包人员需使用临时邮箱、域用户,由信息技术部为外包人员开通临时邮箱、域用户. (五)原则上不允许外包人员携带移动存储设备(如移动硬盘、U 盘、笔记本电脑等)进入工作现场,如因工作需要必须使用移动存储设备,需由信息技术部领导审批同意后,方可携带移动存储设备进入工作现场,并在信息技术部人员陪同下使用移动存储设备。 四、外包人员得权限管理 (一)外包人员系统桌面管理及网络管理采用标准化管理,具体如下: 1、系统桌面管理 (1)安装全新得操作系统,确保系统没有安全隐患。 (2)进行软件标准化安装,具体包括安装杀毒软件;对于工作所需得软件一次性安装;取消系统自带得小游戏;关闭外包人员域用户下对USB存储设备得访问权限。 (3)为外包人员申请临时得域用户。 (4)严格限制外包人员得域用户权限,限制该系列用户只拥有域中得user权限,且不允许外包人员使用公司员工得账号登录计算机。 2、网络管理 (1)外包人员IP地址使用由网络管理员统一分配,撤离后回收所
银行信息科技外包风险管理办法
大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则....................... 错误!未定义书签。第二章外包管理组织架构........... 错误!未定义书签。第三章信息科技外包战略及风险管理. 错误!未定义书签。 第一节信息科技外包战略 ........ 错误!未定义书签。 第二节信息科技外包风险管理... 错误!未定义书签。第四章信息科技外包管理........... 错误!未定义书签。 第一节外包风险评估及准入 ...... 错误!未定义书签。 第二节服务提供商尽职调查 ...... 错误!未定义书签。 第三节外包服务合同及要求 ...... 错误!未定义书签。 第四节外包服务安全管理 ........ 错误!未定义书签。 第五节外包服务监控与评价 ...... 错误!未定义书签。 第六节外包服务中断与终止 ...... 错误!未定义书签。第八章监督管理................... 错误!未定义书签。第九章附则....................... 错误!未定义书签。
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;