XXX银行信息科技风险管理办法
信息科技风险管理办法
第一章总则
第一条为加强XXXXXX(以下简称本行)信息科技风险管理,根据《商业银行信息科技风险管理指引》(银监发〔2009〕19 号),以及本行信息科技工作的有关规定,制定本办法。
第二条本办法适用于本行及其所属部门、机构。
第三条本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本办法所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条本行信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、评估、预防、监测和计量,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第六条本行信息科技风险管理的管理原则是:专业主导、全员参与、协调统一、突出重点、预防为主、动态管理。
专业主导:以风险管理部门、信息科技管理部门为专业主导
部门,对信息科技风险实施风险管理和控制。
全员参与:倡导“信息安全人人有责”的信息科技风险管理文化,涉及与信息科技相关的员工,均负有对本岗位信息科技风险管理的责任。
协调统一:即按照既定的组织职责分工,协调配合,落实信息科技风险管理的政策和策略,为信息科技风险管理目标的实现提供保障。
突出重点:即区分重点和一般,合理配置管理资源,优先确保重要业务、重要管理系统的信息科技安全。
预防为主:坚持“安全第一,预防为主”的方针,将信息科技风险控制在风险容忍度及其措施控制目标以内。
动态管理:根据信息科技资产配置情况及其风险程度的变化,跟进政策、策略和资源的调整,保证对信息科技风险管理的持续有效。
第七条本行信息科技风险的偏好和政策取向。偏好是追求稳健。政策取向是以可接受的措施成本将风险控制在容忍度以内。
第八条本行信息科技风险的管理文化。
(一)信息科技风险管理创造价值:要认识到信息科技风险既是损失的来源更是收益的来源,要在既定的风险容忍度之下通过承担和管理信息科技风险来实现收益,创造价值;
(二)容忍文化与控制文化相结合:一方面根据业务发展和风险战略对信息科技风险有合理的容忍限度,另一方面也需要对
过度的信息科技风险和与收益不匹配的信息科技风险进行严格控制;
(三)自上而下推动:信息科技风险文化应由高层到基层自上而下的示范和推动;
(四)以制度为基础:把信息科技管理文化建设进一步上升到制度建设的层面,进而落实到员工行为之中。
第九条将信息科技风险管理从本行操作风险管理中提取出来,作为相对独立的风险子系统实施管理。信息科技风险管理是本行全面风险管理的有机组成部分,与本行全面风险管理总体框架、总体政策、总体偏好保持一致。
本行信息科技风险管理框架主要包括以下基本要素:
(一)信息科技风险治理;
(二)信息科技风险管理策略;
(三)信息科技风险识别和评估;
(四)信息科技风险的防范;
(五)信息科技风险监测和计量;
(六)信息科技风险的控制。
第十条本行依法接受银行业监督管理部门的监督指导。
第二章信息科技治理
第一节信息科技法人治理
第十一条信息科技治理是本行法人治理的组成部分。本行
法定代表人是本行信息科技风险管理的第一责任人,负责组织本办法的贯彻落实。
第十二条本行董事会的信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准;落实中国银行业监督管理委员会(以下简称银监会)相关监管要求;执行XXXX的信息科技政策和规定。
(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
(七)确保内部审计部门进行独立有效的信息科技风险管理
审计,对审计报告进行确认并落实整改。
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本行涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
董事会应将信息科技风险管理情况作为全面风险管理的重要内容,定期向股东大会报告。
第十三条本行董事会授权董事会风险管理委员会履行董事会相关信息科技风险管理职能。负责监督信息技术管理委员会落实信息科技风险的管控,派员列席信息技术管理委员会的重要会议,确保董事会风险管理政策得到落实。董事会风险管理委员会应定期向董事会报告授权职责的履行情况,及时报告重大事项。
本行董事会授权高级管理层审议批准风险管理部提出的基
于本办法的配套信息科技风险管理制度、计划及其措施。
第十四条本行信息科技管理委员会在研究决定信息科技工作管理事项时,应同步考虑信息科技风险的具体管控,满足董事会对风险管理的政策要求。召开会议研究信息科技管理重要事项时,应通知监事会、风险、审计等有关负责人列席。
信息技术管理委员会应定期或不定期向董事会报告职责履行情况。
第十五条本行监事会负责监督董事会、高级管理层、信息技术管理委员会对信息科技风险的管控,并定期向股东大会报告。
第十六条本行设立首席信息官(或明确分管信息科技工作的领导),直接向行长汇报,并参与决策。首席信息官的职责包括:(一)直接参与本行与信息科技运用有关的业务发展决策。
(二)确保信息科技战略,尤其是信息系统开发战略,符合本行的总体业务战略和信息科技风险管理策略。
(三)负责建立一个切实有效的信息科技部门,承担本行的信息科技职责,并确保其职责得到履行。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第十七条本行风险管理部是本行全面风险管理的综合部门,对信息科技风险管理履行以下职责:
(一)在全面风险管理框架下,拟订信息科技风险管理的基本政策、制度和流程,经高级管理层风险委员会审议通过,提请董事会批准实施。
(二)负责构建本办法第九条规定的信息科技风险管理体系,并监督、指导信息科技部门具体落实。
(三)监控重大信息安全威胁。
(四)参加信息科技突发事件应急响应小组,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面。
(五)对信息科技风险管理政策、制度、流程的有效性及其执行情况,每年至少进行一次检查评估,并向高级管理层、董事会风险管理委员直接报告。
第十八条本行信息科技部负责信息科技风险管理的具体实施,履行以下职责:
(一)提出信息科技项目发起和管理建议;
(二)开展专业化研发;
(三)提出信息科技策略、标准和流程,信息科技内部控制制度;
(四)信息系统和信息科技基础设施的管理、运行、维护和升级;
(五)提出并实施信息安全管理、灾难恢复计划;
(六)信息科技外包具体管理;
(七)提出并执行信息系统退出;
(八)提出信息科技预算和支出;
(九)实施信息科技风险识别和评估;
(十)实施信息科技风险的计量和监测;
(十一)依据信息科技风险管理策略和风险评估结果,提出并实施全面的风险防范措施;
(十二)提出并实施信息科技知识产权保护策略和制度;
(十三)实施业务连续性管理有关工作;
(十四)第九条、第十八条规定以外的其他信息科技管理、风险管理的有关工作。
信息科技部应定期或及时向高级管理层、信息科技管理委员会报告工作。信息科技风险管理工作执行情况应抄送风险管理部。
第十九条本行人力资源部负责对信息科技部门人员配置、资质审查、内部管理职责界定审查和绩效考核工作。
(一)各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员采取下列风险防范措施:
1.验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
2.审核信息科技员工的道德品行,确保其具备相应的职业操守。
3.确保员工了解、遵守信息科技策略、指导原则、信息保密、
授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
4.评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
(二)应将信息科技风险管理纳入部门职能、岗位职责,并进行绩效考核。
(三)应定期向风险管理部通报风险管理职能、职责的设定划分,履职考核、绩效考核情况。
第二十条本行审计部设立信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
审计部应对信息科技风险管理的政策、制度及其执行情况进行审计评价,审计评价报告直接报送董事会、监事会,审计评价报告应抄送风险管理部、人办资源部。
第二十一条本行按照知识产权相关法律法规,制定本行信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。
第二十二条本行依据有关法律法规的要求,规范和及时披露信息科技风险状况。
第二节信息科技的联合治理
第二十三条根据XXXX对本行的授权,对XXXX的信息科技管理成立管理委员会,实行联合治理。委员会是XXXX信息科技管理的最高权力机构,执行XXXX的信息科技政策和规定。
委员会主任委员由本行董事长担任,委员由各行社董(理)长、本行首席信息官(或分管信息科技工作的领导)组成。
委员会负责研究决定XXXX有关信息科技工作的重大事项。委员会成员负责委员会决定在本行社的贯彻落实。
下设委员会办公室,办公室设在本行信息科技部。主任由本行首席信息官(或分管信息科技工作的领导)担任,副主任由本行风险管理部总经理、信息科技部总经理、各行社分管信息科技工作的领导组成。信息科技部总经理为常务副主任。
委员会办公室负责落实委员会的决策,具体组织实施XXXX 信息科技工作的管控。委员会办公室成员支持配合委员会办公室的工作,确保委员会办公室工作在本行社得到落实。
第三章信息科技风险管理
第二十四条本行制定符合自身总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。
(一)本行信息科技战略由信息科技部提出,经信息技术管理委员会审定,纳入总体发展战略框架。
本行信息科技风险管理的规划内容是信息科技战略的组成部分,应与本行的科技发展战略、业务发展战略、其他发展战略保持一致,并为总体发展战略的实现提供保证,为信息科技风险管理策略提供基本依据。
(二)信息科技运行计划由信息科技部提出,经信息技术管理委员会审定,纳入年度经营管理计划。
本行信息科技运行计划是本行信息科技战略的年度执行计划,应根据信息科技战略、年度经营管理需要进行编制,为信息科技战略的实现、年度经营管理计划的实现提供保证。
(三)信息科技风险评估计划,由风险管理部商审计部、科技部共同提出,经高级管理层风险管理委员会审定,纳入总体风险评估计划。
第二十五条本行信息科技风险管理策略。
(一)本行信息科技风险管理策略包括但不限于下述领域:
1.信息分级与保护。
2.信息系统开发、测试和维护。
3.信息科技运行和维护。
4.访问控制。
5.物理安全。
6.人员安全。
7.业务连续性计划与应急处置。
本行信息科技风险管理策略由信息科技部门提出,信息技术
管理委员会批准实施。
(二)本行信息科技风险分析策略选项。
1.基线方法——通过选择标准防护措施对所有IT系统实施基线安全。
基线保护的目标是建立一系列最少的防护措施以保护组织的所有或部分IT系统。
2.非正式方法——是实施非正式的、注重失效的风险分析;不是基于结构化方法而是利用个人的知识和经验。
3.详细风险分析——是对组织内的所有IT系统进行详细风险分析。然后这些活动的结果被用于评估风险和识别己被证明是合理的防护措施。
风险分析的结果导致对安全防护措施的识别和选择,以将已识别的风险降低到可接受的等级。
4.综合方法——是先对所有的IT系统做最初的高层风险分析,每种情况下都集中于IT系统的业务价值和它所暴露出的严重威胁。对已识别的对组织的业务很重要和/或暴露出高风险的IT 系统,应该优先进行详细风险分析。对所有的其他系统,应选用基线方法。
(三)本行信息科技风险应对策略。根据本行发展战略、总体风险偏好和具体风险因素的性质、风险发生的概率、风险后果大小进行判断选择,主要有:风险承担、风险规避、风险转移、风险转换、风险补偿、风险控制等。
第二十六条本行信息科技风险管理流程:识别→评估→防范→监测→计量→控制。
第二十七条本行信息科技风险的识别和评估
(一)信息科技风险识别和评估的目的
信息科技风险识别和评估(或叫风险分析)就是识别相关的风险并评估他们的程度。识别是指对现有风险的性质及类型鉴别、原因确认、影响或危害大小判断的过程。识别是风险管理的第一步,也是风险管理的基础。评估是通过定性或定量的方法对已识别的风险进行度量,以判断风险的程度。其目的是为风险管理策略的选择、安全防护措施的识别和选择提供依据,从而将已识别的风险降低到可接受的等级。
(二)信息科技风险的主要类型/识别和评估的对象
1.从信息科技风险管理涉及的领域看:
⑴信息科技治理风险。完善而健全的信息科技治理组织结构,是银行信息科技风险管理的重要内容,不健全的信息科技治理结构本身就是风险。
⑵信息安全风险。由于人员、信息分级保护、物理与环境、通讯与运营、信息系统、软件使用、密码技术、访问控制、操作日志管理等产生的风险。
⑶项目开发风险。在应用研发过程中,在系统规划、逻辑设计、详细设计、功能设计、系统实施、程序设计、编码等各个阶段产生的风险。
⑷项目测试风险。在测试管理流程中,单元测试、集成测试、系统测试、验收测试、适应性测试等测试环节中产生的风险。
⑸运行维护风险。在性能容量管理、安全事件管理、问题管理、变更管理、应急管理等过程中产生的风险。
⑹业务连续性风险。业务系统在面对战争、地震或台风等自然灾害情况下仍然能提供持续的、有效的系统支撑服务,保障信息系统安全、稳定、有效运行过程中产生的风险。
⑺第三方与外包风险。第三方与外包服务商的资质、财务稳定性和专业能力、服务质量和外包服务中断带来的风险,以及服务过程中对银行客户资料、数据等敏感信息产生的泄漏风险。
2.从单一的信息科技系统看,在对系统进行风险识别、评估时需要清晰地考虑:
⑴IT资产(如,硬件、软件、信息、网络);
⑵人员(如,职员、承包商、其他外部人员);
⑶环境(如,建筑物、设备);
⑷活动(运行)。
(三)信息科技风险识别和评估的内容:
⑴识别资产;
⑵资产赋值并建立资产间的依赖关系;
⑶威胁评估;
⑷脆弱点评估;
⑸识别已存在的/计划的防护措施;
⑹评估风险。
(四)信息科技风险识别和评估的方法
1.信息科技风险识别方法主要有:流程图法,德尔菲法,头脑风暴法,检查表法和访谈法等。
2.风险评估依据有关信息安全技术与管理标准,围绕着要保护的信息资产、信息资产面临的威胁、信息资产的脆弱性、存在的可能风险、安全控制措施等基本要素展开。
信息科技风险评估方法主要有定性分析和定量分析。
⑴信息科技风险定性分析。指通过对信息资产的价值、风险发生后对信息系统及业务的影响、风险发生的可能性等的分析,对已识别风险的风险程度进行定性的判断。
⑵信息科技风险定量分析。指采取定量的方法对已识别风险的风险程度进行度量。通常在定性分析基础上进行,重点对系统和业务存在潜在重大安全隐患的风险进行量化分析。
定量分析方法有多种,本办法选择使用ISO/IEC TR 13335第3部分提供的方法。
第二十八条本行信息科技风险的防范。
(一)依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施,包括:
1.制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
2.确定潜在风险区域,并对这些区域进行详细和独立的监控,
实现风险最小化。
3.建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
⑴最高权限用户的审查。
⑵控制对数据和系统的物理和逻辑访问。
⑶访问授权以“必需知道”和“最小授权”为原则。
⑷审批和授权。
⑸验证和调节。
(二)识别/评审限制条件:
有很多可能影响防护措施选择的限制条件。在进行推荐或实施过程中,必须考虑这些限制条件。典型的限制条件是:时间限制:可能存在许多类型的时间限制。例如,防护措施应在管理层能接受的时间段内实现。另外一种时间限制是,一个防护措施能否在系统的生命周期内实施。第三类时间限制可能是管理层所决定的那段时间,是可以接受把系统暴露给特定风险的一段时间。
资金限制:计划实施的防护措施不应比它们被设计用来保护的资产的价值更高。应进行各种努力以不超出设计的预算。然而,在一些情况下,不大可能在预算限制内获得期望的安全和风险接受水平。因此,关于这种条件的解决方案就成为管理层的决策。
技术限制:技术问题,像程序或硬件的兼容性,如果在选择防护措施的过程中考虑,那就很容易避免。并且,对现有系统的
回顾性的防护措施的实施经常被技术限制所阻碍。这些困难可能使防护措施的平衡向安全的程序或物理方面倾斜。
社会学的限制:对防护措施选择的社会学限制可能对一个国家、一个部门、一个组织,甚至一个组织里的一个部门都是具体的。不可忽视他们,因为很多技术性防护措施依赖于全体员工的积极支持。如果员工不理解防护措施的需要或没有发现它在文化上可接受,经过一段时间之后,这个防护措施有可能就会失效。
环境限制:环境因素可能影响防护措施的选择,如空间的可用性、极端的气候条件、周围的自然和城市地理,等等。
法律限制:法律因素如个人数据保护或信息处理的犯罪密码提供,可能影响防护措施的选择。非IT专门法律法规如消防部门规定、劳务关系法等等,也会影响防护措施的选择。
第二十九条本行信息科技风险的监测和计量。
(一)信息科技风险的监测包括:
1.建立信息科技项目实施前及实施后的评价机制。
2.建立定期检查系统性能的程序和标准。
3.建立信息科技服务投诉和事故处理的报告机制。
4.建立内部审计、外部审计和监管发现问题的整改处理机制。
5.安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
6.定期评估新技术发展可能造成的影响和已使用软件面临的
新威胁。
7.定期进行运行环境下操作风险和管理控制的检查。
8.定期进行信息科技外包项目的风险状况评价。
信息科技风险监测的目的:现行的风险控制措施是否有效贯彻和实施,剩余风险是否控制在容忍度以内;是否有新的风险类型出现。
(二)信息科技风险的计量
即是对信息科技风险发生的系统、资产、类型、频率、处置或控制成本、造成的直接损失或影响进行记录、分析的过程。通过统计计量、分析,确定信息科技风险预期和非预期损失的大小,为风险补偿、资本准备提供依据。
第三十条本行信息科技风险的控制。
即是采取各种措施和方法,消灭或减少信息科技风险事件发生的各种可能性,或者减少信息科技风险事件发生时造成的损失。包括对现实的、潜在的风险控制和对新发现风险的控制。
信息科技风险的控制包括但不限于:
(一)保持——多数防护措施都需要保持和管理支持以确保在他们的生命周期内履行正确和适当的功能。
(二)安全符合性检查——是对已实施的防护措施的评审和分析。它被用来检查IT系统或服务是否遵守了在IT安全策略和IT系统安全计划中文件化阐述的安全要求。
(三)变更管理——IT系统及其运行环境是不断变更的。这
些变化是新特征和服务可用性的结果,或者是发现新威胁和脆弱点的结果。这些变更也可导致新的威胁和脆弱点。
(四)监视——是一项持续的活动,它检查系统及其用户和环境是否保持在IT安全计划所展示的安全水平。
(五)事故处置——任何组织都应为事故准备处置预案和计划。
第四章信息安全
第三十一条本行信息科技部门负责建立和实施信息分类和保护体系,使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第三十二条本行信息科技部门负责落实信息安全管理职能。包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,定期向信息科技管理委员会提交本行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略应涉及以下领域:
(一)安全制度管理。
(二)信息安全组织管理。
(三)资产管理。
(四)人员安全管理。
(五)物理与环境安全管理。
(六)通信与运营管理。
(七)访问控制管理。
(八)系统开发与维护管理。
(九)信息安全事故管理。
(十)业务连续性管理。
(十一)合规性管理。
第三十三条本行信息科技部门负责建立和实施用户认证和访问控制流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开本行时,应在系统中及时检查、更新或注销用户身份。
第三十四条本行设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
第三十五条本行根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)域内应用程序和用户组的重要程度。
(二)各种通讯渠道进入域的访问点。