银行信息科技网络运行维护管理制度模版
银行信息科技网络运行维护管理制度第一条为规范某银行网络系统的运行维护管理工作,确保网络系统的安全可靠运行,切实提高生产效率和管理水平,使更好地服务于生产运营和管理,特制订本制度。
第二条网络运行维护管理包括:中心机房及各支行部门的路由器、交换机、防火墙、IPS、网络监控系统的运行维护。
第三条科技开发部为网络运行维护管理责任部门。
第四条网络设备由网络管理员负责管理。其他人员不得对网络设备进行任何操作。严禁网络管理员超越网络管理权限非法操作业务数据信息,严禁擅自设置路由与非相关网络进行连接。
第五条网络管理员应具备以下基本素质:
1、网络管理人员必须准确掌握网络维护知识,具备常规检查及维护技能;正确使用维护工具。
2、网络管理员应定期查看网络运行状况、整理网络拓扑结构,保障网络运行的稳定与高效。
3、维护过程中应专心致志、谨慎严密,命令执行前应适当停顿并重新确认环境、指令、目标一致,准确无误后确认执行。
4、任何人不得在网络设备中操作未准确掌握或未知运行结果的命令或程序。
第六条网络方案的设计修改和执行要经过充分技术论证,形成规范的文档,报行领导审批;网络投入使用前应由计算机主管部门组织安全测试和验收。
第七条网络的IP地址、主机名等应按标准进行统一编码和分配。第八条严格控制网络系统重要参数的修改。确需修改,要经科学
论证、科技部门领导审批。修改前后的参数要做好记录和备份。
第九条网络管理员应熟练掌握机房内网络设备的性能,熟悉整个网络环境的组织连接,负责网络设备的选型、安装、维护。
第十条网络管理员需对各种网络参数及地址要严格保密,更改参数及地址应向部门主管报告后进行,并更新相应档案资料。需根据网络系统结构建立和更新网络拓扑图,网络通信设备的配置参数、网络地址等资料要整理成规范文档交资料介质管理员保管。需要改变网络
路由配置和通信地址等参数的操作,必须有包括时间、目的、内容及维护人员等要素的书面记录。
第十一条通过应用软件或网管系统密切监视网络运行情况,定时检查网络的运行状况,对获得的信息进行分折,发现隐患报告相关部门予以解决。
第十二条运行中的网络、通信设备要有备份线路。并处于实时备用状态。对备份线路要定期进行检测,保证畅通。
第十三条严格控制网络通信连接个数,不得私自在业务网内接入与业务无关的计算机或设备。非营业时间应切断网络设备电源,防止他人利用合法网点和用户授权实施非法活动。
第十四条通过设置防火墙等技术手段进行网段隔离,防止外部攻击。
第十五条为保障网络配置数据安全完整,保证系统正常运行,对中心机房网络管理员密码管理规定如下:
1、各网络设备的密码、口令由网络管理员管理,同时密封一份清单交由科技部领导登记保管以备特殊情况时启用。密码的设置应避免出现弱密码(即容易猜测的密码),具体要求如下:
(1)密码设置要有较高的安全性,应为没有规律、不易破解的数字、英文或其他符号,并避免重复。
(2)密码要有一定的有效期,密码应定期或不定期的更换,避免被他人破解。密码设完后不应有他人知道或使用。否则,由此带来的后果和损失由本人负责。
(3)用户密码和密码持有人一一对应,可根据用户权限设置不同的用户,严禁多人使用同一密码。
(4)任何人不得以任何形式破解他人密码。一经发现,视情节轻重给以纪律处分或交司法部门处理。
2、密码使用
(1)保证密码的保密性,不应将密码记录在未妥善保管的笔记本及其他纸质介质中(密码信封除外);
(2)严禁将密码放置在办公室桌面或贴在计算机机箱、终端屏幕上;
(3)严禁将计算机系统用户密码借给他人使用,任何情况下不应泄漏计算机系统用户的密码,一旦发现或怀疑计算机系统用户密码泄漏,应立即更换;
(4)严禁在网络上明文传输计算机系统用户密码。
(5)发现密码被盗用或破解,应及时报告有关领导,并保护现场。
(6)如出现主管忘记密码等情况,由本人持支行出具的申请书到科技部,进行必要的处理。
3、密码变更
(1)用户密码口令应定期更新,间隔时间不得超过三个月。
(2)怀疑系统被破坏或非法登录及密码被公开时要更改密码。
(3)负责系统维护、管理的工作人员因个人原因或工作原因外出,进行工作交接时进行密码的变更。
二〇**年六月三十日
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
银行信息安全管理规定
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第二章组织保障 第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B 岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: 组织落实上级信息安全管理规定,制定信息安全管理制 度,协调部门计算机安全员工作,监督检查信息安全保障工作。 审核信息化建设项目中的安全方案,组织实施信息安全保 障项目建设,维护、管理信息安全专用设施。 检测网络和信息系统的安全运行状况,检查运行操作、备 份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 四)定期组织信息安全宣传教育活动,开展信息安全检查、评 估与培训工作。 第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
银行信息科技IT设备管理制度模版
银行信息科技IT设备管理制度 为加强某银行信息设备的管理,确保信息设备正常可靠地运转,保证各部门日常工作的顺利开展,特制定本制度。 一、信息设备统一列册登记(固定资产) 各部门的信息设备实行管理和使用两分离的原则,统一由信息中心管理,各个渠道购入的信息设备均应作为固定资产统一列册登记。 二、信息设备范围 信息设备是指各部门日常办公使用的信息设备,包括服务器、网络设备、监控设备、电脑(含主机、显示器及配套外设)、打印机、复印机、传真机、扫描仪等设备。 三、信息设备使用管理 各部门负责人为第一责任人,对本部门计算机及相关设备的硬件管理负总责。 1、各部门人员保护好各自的电脑及其它相关设备(如打印机、复印机、传真机等),认真做好?防尘、防潮、防火、防盗、防故障、防雷击?的?六防?工作。 2、爱护计算机及其相关硬件设备,不得让设备在空闲时,长期处于工作状态,不得人为损坏,不得在设备上堆压重物,避免强光照射设备表面,让其处于通风环境下,下班时检查设备是否关闭电源。 3、养成人走关机的良好习惯,节约用电、节约用纸、节约使用耗材等相关资源。 4、用于个人办公的信息设备,都将直接分配到个人使用和保管。个人都必须对自己领用的设备负责。领用(退回)任何设备时,都必须认真清点并签收(签退)。 5、直接分配到各部门的专有设备(服务器、网络设备、电脑、打印机、复印机、传真机等),各部门都必须对本部门使用的专有信息设备负责,日常管理工作由指定的人员(或内勤)负责。 6、各人原则上只能使用自己分配的计算机。非必要时,不能将机器交由他人操作(特别是非本行人员)。未经当事人同意,不能擅自在他人的计算机上进
村镇银行信息科技整改报告
关于铁岭新星村镇银行 信息科技内部审计的整改报告 内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计,审计中发现了一些问题,我部高度重视,认真整改,现将整改情况汇报如下: 一、加强信息技术内控制度的建设 加强与外包行兴业银行的互动,建立本行与兴业银行的良性运行机制,积极参与到兴业银行的相关内部控制流程来,做到托管行和外包行之间的相互牵制和协调。 加强本行内部控制制度的建设,贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行。 建立健全良好的控制环境,控制环境是村镇银行信息科技的风险基调;做好各项信息系统的风险评估;进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动;加强信息系统建设,信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息
沟通;做到对信息科技内部控制的持续监控。 二、提高系统维护运行效率 进一步加强与承包方的沟通管理,沟通管理是企业组织的生命线。管理的过程,也就是沟通的过程。企业是个有生命的有机体,而沟通则是机体内的血管,通过流动来给组织系统提供养分,实现机体的良性循环。沟通管理是企业管理的核心内容和实质。 我行应采用书面与口头沟通相结合的沟通制度,例如,提交运维申请单书面文件后,相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法,正式沟通是通过明文规定的渠道进行信息传递的交流方式,非正式沟通不仅可以获得信息,也是建立信任和关系的沟通。 强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。 三、加强员工的信息科技安全知识培训 进一步提高信息科技人员履职能力。采取有效方式和途
某银行信息科技问题管理办法
xxxx银行 信息科技问题管理办法 第一章总则 第一条为规范xxxx银行(以下简称“我行”)信息科技问题管理流程,深入分析各类问题发生的根本原因,落实防范和解决措施,防止问题重复发生,根据《商业银行信息科技风险管理指引》等制度,结合我行实际,制定本办法。 第二条本办法适用于我行信息科技问题管理相关的具体工作。 第三条本办法所称问题管理是调查和分析 IT 基础架构、业务系统中存在的隐患和查找事件产生的根本原因。 第四条本办法中问题分为两类: (一)应用类问题,是指需要对业务应用系统进行深入调查分析、找出根本原因并采取消除或规避措施的问题; (二)基础类问题,是指需要对基础架构及其环境进行深入调查分析、找出根本原因并采取消除或规避措施的问题。 第五条本办法所称知识库是指将问题、问题原因及解决措施积累起来,并分门别类的进行管理。 第二章部门及职责 第六条总行信息科技部为我行信息科技问题的职能管
理部门,负责信息科技问题工作的管理。 第七条信息科技部技术支持中心主要负责记录主动识别或被动发生的问题;识别问题的紧急程度和影响程度,进行问题的指派和处理;对问题进行根源分析,提供问题解决方案;对问题进行汇总及分析。 第八条技术支持中心系统管理岗负责应用系统、操作系统等基础软硬件问题的识别、分析、登记和处理,网络管理岗负责网络线路、网络设备等问题的识别、分析、登记和处理,数据库管理岗负责数据库问题的识别、分析、登记和处理;综合管理中心安全管理岗负责安全问题的识别、分析、登记和处理。 第三章问题报告机制 第九条问题管理流程的触发条件包括但不限于: (一)事件经过临时方案解决后,需要调查原因时,可以由信息科技部门人员发起问题管理; (二)含有重大影响及高风险的事件在事件处理恢复后,必须进入问题管理; (三)通过定期的信息科技风险评估与审计发现的问题,必须进入问题事件管理。 第十条信息科技部技术支持中心须及时发现问题并发起问题管理相关流程。 第十一条信息科技部技术支持中心根据问题类型,进
银行关于信息科技风险防控工作自查报告
##银行关于信息科技风险 防控工作自查报告 自##年数据大集中以来,我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。目前,根据我行现有业务要求和信息科技发展的规划,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。 一、将信息科技风险管理和信息安全纳入我行“十二五”信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,我行于年初制定了“十二五”信息科技发展规划,信息科技风险管理和信息安全成为科技规划的重要组成部分之一。科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、内外网严格的物理隔离、做好了生产运行风险控制,就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。 三、我行在信息科技风险治理方面的措施主要包括三方面。 a)认真学习和领会监管机构对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以电子银行部、合规部、稽核部为主体的信息科技风险三道防线;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。 b)建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行流程银行建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。 c)采取有效的信息科技风险管理的制度,防范和化解信
银行信息科技风险管理制度模版
银行信息科技风险管理制度 第一章总则 第一条为进一步完善某银行(以下简称?本行?)全面风险管理体系,保证本行业务的可持续发展,依据中国银行业监督管理委员会《商业银行信息科技风险管理指引》、《某银行信息科技管理制度》,并结合本行实际,制定本办法。 第二条本办法所称信息科技风险是指本行在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第三条本行信息科技风险政策取向是:稳健。实行规避、预防、缓释、抵补等管理策略。 第四条本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施,持续推动信息科技风险管理工作的开展。 第五条本行信息科技风险管理的管理原则是:全员参与、协调统一、预防为主、动态管理。 第六条本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管理机制,实现对信息科技风险的识别、评估、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高本行信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技风险的组织架构和职责 第七条建立与信息科技风险特点相适应的组织架构,包括董事会 (信息科技管理委员会)、信息科技风险控制部门、高级管理层(首席信息官)及信息科技部门。构建信息科技风险防范的?三道防线?,第一道防线,信息科技部门做好信息科技管理工作。第二道防线,风险管理部门进行信息科技风险分类与评估。稽核内审部门做好信息科技风险审计,作为第三道防线。 第八条董事会承担本行信息科技风险管理的最终职责。具体职责包括: (一)建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构; (二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相
银行信息科技人员管理制度模版
银行信息科技人员管理制度 第一章总则 第一条为加强某银行信息科技人员的管理,规避信息系统操作风险,根据《银行业金融机构信息系统风险管理指引》以及我行相关人员管理规定,制定本办法。 第二条本办法所指的信息科技人员是指在科技部门工作的下列岗位人员: 1、掌握账务数据、客户数据、交易数据、报表数据等重要信息的岗位人员; 2、掌握信息系统安全框架设计或各类参数配置的岗位人员; 3、掌握程序代码、有权修改程序或数据的岗位人员; 4、掌握信息系统重要技术文档资料的岗位人员; 5、负责数据中心机房物理环境及其基础设施日常管理岗位人员。 第三条本办法适用于某银行科技开发部信息科技人员。 第二章工作职责 第四条负责制定、修订科技部岗位人员管理办法; 第五条定期组织对科技开发部岗位及人员的管理工作进行评价;第六条负责科技开发部岗位日常管理工作,明确岗位职责和配置。第三章人员管理措施第七条科技要害岗位实行?权限分散、不得交叉覆盖?的原则,科技开发部岗位人员负有交叉监督的责任,不允许兼任其它科技要害岗位。 第八条实行人员备份管理,必须保证每个岗位至少有两个合适的人员。 第九条应对被选用人员的政治思想、道德品质、专业资格以及业务能力进行审查。不得任用曾违反过国家法律法规和行业规章制度的人员。 第十条应明确要害岗位责任,签署保密协议。保密协议的内容应符合国家有关规定并经法律部门审核,至少包括不得泄露某银行商业秘密以及其应承担的责任等内容。 第十一条应定期组织进行政治思想教育、职业道德教育和安全保密教育,定期举办国家法律法规、行业规章制度以及信息安全知识的培训。 第十二条科技开发部人员离岗离职要求:1、必须进行离岗离职审查;
商业银行信息科技监管评级定量和定性实用标准
信息科技风险(Information Technology Risk) (一)信息科技治理(15分) 1.信息科技治理组织架构(8分) (1)是否确立董事会、高管层信息科技管理职责。 (2)是否建立完善的信息科技管理制度体系。 (3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 (4)是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年董事会会议不形成年度信息科技工作决议的此项最高得分4分。 (2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 (3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息
科技部门和主要业务部门,并定期向高管层汇报工作。 (4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度(7分) (1)信息科技战略与业务发展战略的匹配度。 (2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。 (3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。 (2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。 (3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇
银行信息科技信息系统问题管理制度模版
银行信息科技信息系统问题管理制度第一节总则 第一条为稳步提升我行信息科技服务管理水平,加强信息系统问题管理和跟踪,实施故障根源分析和整改解决,预防故障重复性发生,特制定本制度。 第二节适用范围 第二条本制度适用于我行所有信息系统生产环境以及与生产系统相关的网络、设备、机房等基础设施和监控、操作等生产服务。 第三条问题管理范围包括与IT生产系统相关的各种问题,以及围绕问题解决所发生的发现与记录、分析与诊断、解决与整改、关闭与总结的整个过程。 第三节职责描述 第四条问题管理过程的角色主要包括:问题提出人、问题经理、问题分析人、问题解决人。 (一)问题提出人: 1、问题提出人负责提出问题并提交问题单至问题经理。问题提出人通过参与事件解决过程被动发现问题,或通过参与监控事件、日常检查、基础设施的运行趋势分析等活动主动发现问题; 2、问题提出人负责对问题信息进行收集、整理并登记。问题提出人应及时登记问题,确保内容完整、描述准确,分类合理,避免重复提出问题; 3、问题提出人负责对问题单的最后处理结果进行确认并关闭问题单。 (二)问题经理: 1、问题经理负责对问题进行分派、监控、所需资源的协调、定期产生报表等; 2、问题经理负责定期对问题进行汇总,分析,向相关人员汇报问题单处理进度; 3、问题经理负责问题的最后审核,并做好关闭和事后评价工作。 (三)问题分析人: 1、问题分析人负责对问题现象进行审核、确认; 2、问题分析人负责深入的问题分析,以找出根源性原因; 3、问题分析人在特殊情况下为专家。
(四)问题解决人: 1、问题解决人负责确认问题分析人的分析结果; 2、问题解决人负责分析结果的基础上,找到可行的解决方案; 3、问题解决人负责安排生产变更或其他输出方式,实施问题的解决过程。 第四节问题来源 第五条问题的来源包括如下几种情形: (一)事件升级,通常由生产事件触发,管理目标是通过故障诊断、明确故障的根本原因、提出解决措施或纠正建议、最终解决问题以避免故障再次发生。 (二)运维自查,通常由运维人员从监控事件、日常巡检、系统的运行趋势分析等工作中找出基础设施或环境中的薄弱环节、并提出消除薄弱环节的建议,进而阻止潜在故障的发生。 (三)风险事件,通常由我行风险管理部门根据生产系统故障的业务影响及风险隐患建立风险事件,并组织分析原因、提出整改要求及后续跟踪处理。 (四)审计发现,通常为与我行信息科技相关的内、外部审计的问题发现,通过问题管理的生命周期以实现审计整改跟踪及解决过程。 (五)专项检查,主要涵盖行内外专家或监管部门组成的各类信息科技专项检查,力图通过问题管理流程实现对检查结果的后续跟踪及解决。 第五节问题识别与记录 第六条问题提出人在创建问题单时需要说明问题来源、问题分类、优先级问题描述等详细信息。 第七条问题管理流程应与事件管理流程相对独立,事件处理过程中故障消除、业务恢复后如需后续分析处理,应结束事件单,创建问题单。 第八条运维过程中发现的潜在故障,尚未影响业务的,应创建问题单。 第九条对所处理事件历史记录进行趋势分析归纳后,形成的总结性案例问题,可创建问题单。 第十条在确认风险事件需要进一步跟踪处理后,可由问题经理创建问题单。 第十一条在确认信息科技相关的内外部审计结果后,可由问题经理创建问题单。 第十二条在确认各类信息科技专项检查工作的检查问题后,可创建问题单。
XX商业银行信息安全管理办法
XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行(下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理
银行信息科技外包风险管理办法
保密等级 文档名称 文档编号 发布组织 发布日期 执行日期 版本号 大洼恒丰村镇银行信息科技外包 风险管理办法 批准人签字审核人签字制订人签字 日期:日期:日期: 大洼恒丰村镇银行信息科技部
变更履历 序号版本编号 或更改记 录编号 变化 状态 * 简要说明(变更内容、 变更位置、变更原因和 变更范围) 变更日期变更人审核人批准人批准日期 1 1.0 C 创建,全页。 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
银行信息科技风险识别与评估管理办法样本
银行信息科技风险识别与评估管理办 法
某银行信息科技风险识别与评估管理办法 第一章总则 第一条为规范信息科技风险评估工作,提高某银行信息科技风险管理水平,促进我行业务安全、持续、稳健发展,根据国家信息安全法律、法规及银行业信息科技监管要求及《某银行信息科技风险管理策略》,结合我行风险管理实际情况,特制定本办法。 第二条本办法属于信息科技风险类“管理办法”,适用于某银行信息科技工作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。 第三条信息科技风险,是指信息科技在合规管理、支持业务创新和业务运营过程中,由于管理流程及资源缺失或不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。 第四条信息科技风险评估是指在信息科技风险事件发生之前或之后(但还没有结束),该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。 第五条本办法所指的信息科技风险类型及来源包括但不限于以下内容: (一) 信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。 (二) 信息系统风险是指信息系统在规划、研发、建设、运
行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。 (三) 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。 (四) 运行维护风险是指信息系统在运行与维护过程中访问管理、操作管理、变更管理、机房管理和事件管理等环节产生的风险。 (五) 外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。 第六条信息科技风险评估是识别、计量、评价信息科技风险的活动,旨在客观反映信息科技对我行发展战略的支撑程度。 第七条风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。 第八条总行、一级分行的信息科技风险评估(含自评估)工作应遵照本办法执行。 第二章角色分工 第九条风险评估可由总行信息科技管理委员会或一级分行发起,承担机构是风险管理部,风险管理部负责组建风险评估实施团队。风险评估实施团队由管理层、相关业务和技术骨干等人员组成,评估工作角色分为:评估管理人员、评估人员、评估分析人员。 (一)评估管理人员由风险管理部信息科技风险管理岗担
银行信息科技档案管理办法模版
银行信息科技档案管理办法 为实现科技档案管理的规范化、制度化,有效保护和利用科技档案,为全社的信息化建设服务,特制定本办法。 第一条本办法所称的档案是指科技部在工作中形成的并具有保存价值的各种文字、报表、声像、特殊介质资料等不同形式的历史记录。第二条档案管理是指对在工作活动中形成的各种资料进行存档、使用、维护、处理和保管的过程。 对在科技档案管理范围的各种文件和资料,均应立卷存档,任何个人不得自行保管档案。 第三条科技档案的归档范围应包括: 文件档案:包括总部下发的文件、各种规章制度、操作规程等。资产档案:包括各类设备档案、我社采用的软件程序的存储介质, 外购和各种软件产品等。 合同档案:包括各种合同文本、相关资料等。 项目档案:包括科技项目从立项到投产全过程的管理文档等。其他档案:其它与科技相关的档案资料。 第四条科技部设兼职档案管理员。科技档案资料归档时,科技部档案管理员必须填写《档案归档表》(见附件一),并由归档人和档案管理员共同清点资料内容,无误后双方办理交接并签字。 第五条科技档案保管的具体要求: (一)档案管理员应负责档案资料的完整性、安全性,并定期对本周期内建立档案的正确性以及各项记录的准确性进行检查; (二)档案管理员发现文字材料受损,应及时采取措施,避免受损范围进一步扩大,并尽可能做好受损部分的弥补工作; (三)对于电子档案,必须保存一式两份。 第六条对档案资料进行各种操作时,档案管理员应建立操作记录。第七条档案资料不许外借,档案如需调阅,必须填写《科技档案 调阅申请表》,经科技部经理批准后方可调阅。 第八条科技档案按安全等级进行管理。科技档案的安全等级分为:绝密级、秘密级、一般级。
银行信息科技外包管理制度模版
银行信息科技外包管理制度 第一章总则 第一条目的 为了防范和控制我行信息科技外包项目的风险,提高我行信息系统安全运行的效率,根据中国银行业监督管理委员会《银行业金融机构信息科技外包风险监管指引》和我行相关管理制度,特制定本办法。 第二条定义 信息科技外包项目:指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商的项目。 第三条信息科技外包项目分类 信息科技外包项目分为软件定制开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询及技术服务外包等。软件开发外包项目:指我行与软件开发供应商合作开发我行信息系统的外包项目,或者采购软件开发供应商软件产品并以合作方式进行 客户化开发我行信息系统的外包项目; 生产系统维保外包项目:指我行采购生产系统各类设备、系统软件、应用系统的运行维护服务的外包项目,或租赁通讯线路、采购生产系统的安全服务的外包项目; 办公桌面设备维保外包项目:指采购办公桌面设备的维修保养服务的外包项目; 灾难备份服务外包项目:指采购总行数据中心的灾难备份服务的外包项目; 咨询服务外包项目:指采购的IT战略规划、IT流程梳理、IT体系架构、IT技术方案、IT安全管理等与IT相关的各类咨询外包项目。非驻场集中外包项目:非驻场集中式外包主要包括机房运营类外包 服务、应用系统托管类外包服务。第四条适用范围 本办法适用于我行信息科技外包项目管理、服务全过程。第二章外包原则第五条总行数据中心生产运营管理不可外包,信息科技风险责任不可外包。 第六条总行可以对全行软件项目开发、生产系统维保、总行办公桌面设备维
保、灾难备份服务、咨询服务实行外包;分行科技运营部门可以对本行软件项目开发、本行生产系统维保(总行统一外包的除外)、办公桌面设备维保、咨询服务实行外包。 第七条对于本办法所述的信息科技外包项目类型和范围以外的外包需求,由信息科技管理委员会确定是否可以外包,并以会议纪要形式作为本办法的修订或补充。 第三章组织与职责 第八条信息科技管理委员会负责外包的管理,信息科技部门负责外包工作的具体实施。 第四章外包项目采购 第九条信息科技外包项目由项目主办单位明确外包服务需求,包括但不限于服务方式和服务种类: 一、服务方式:包括现场服务方式、非现场服务方式; 二、服务种类:包括软件项目开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询服务外包。 第十条依照相关采购管理办法实行采购,并签订合同。 第十一条根据信息科技外包项目的特殊性,外包合同除一般合同内容外,还应包括但不限于以下内容: 一、服务方式:包括现场服务方式、非现场服务方式; 二、服务种类:包括软件项目开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询服务外包。 三、根据服务方式、服务种类,确定信息安全管理手段: (一)工作环境访问权限的设置和说明; (二)服务商使用设备的管理; (三)在服务过程中,明确对设备的授权方式、监视和撤销用户活动的权限; (四)签署保密协议。 四、对外包服务商实施服务人员的管理。 (一)人员资格要求:项目主要实施人员应具有相关资质认证(毕业证书、专业技能资质认证),有5年以上工作经验,有类似项目背
银行信息科技管理制度模版
银行信息科技管理制度 第一章总则 第一条为加强某银行信息科技管理,根据《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行信息科技外包管理指引》、《商业银行数据中心管理指引》,《商业银行业务连续性监管指引》以及国家信息安全相关要求和有关法律法规,制定本制度。 第二条本制度为某银行信息科技管理的基本制度,作为全行信息科技风险管理、项目建设、信息系统运维管理、信息安全、外包管理、业务连续性管理、应急管理与信息科技管理策略、业务流程、操作规范等制度制定的指导性文件。 第三条本制度所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的相关管理制度和流程。 第四条本制度所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技管理的目标是通过建立有效的机制,在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构,实现对某银行信息科技风险的识别、计量、监测和控制,促进某银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条某银行信息科技治理架构为: 第七条某银行法定代表人(董事长)为某银行信息科技风险管理的第一责任人。 第八条某银行的董事会负责设立专门的信息科技管理委员会。信息科技管理委员会由来自高级管理层、首席信息官、信息科技部门和主要业务部门的代表组成,负责依据本行战略发展规划制定本行信息科技发展战略规划,并保证规划满足本行业务发展的需要、保障本行业务发展;监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息
中小银行信息科技管理中存在的问题
中小银行信息科技管理中存在的问题及改进建 议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。 (二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包下载文档可编辑
括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。 除了科技人员配备不足外,村镇银行的科技人员专业程度偏低,专业技能素质普遍不高,缺乏相应的技能培训和项目实践。由于人员下载文档可编辑 不足和岗位设置的不合理,存在着非全职科技人员,科技人员身兼它职,身兼数职的现象,导致了科技人员的劳动强度增大,无法专注于日常的信息科技工作管理,难以对一些新的技术知识进行学习,长此以往导致了科技人员的工作能力下降。 同时一些村镇银行还存在着科技人员职责定位不明确的问题。就村镇银行而言,科技人员的职责主要包括几点:一是对银行业务系统的稳定运行提供运维保障。二是负责本行计算机设备、网络设备及其附属设备的安装调试、维护和调配工作,定期或不定期检查设备的管理和使用情况。但由于部分村镇银行科技人员职责不明确,造成了科技人员成了“万能工”。只要是银行业务开展所需的设备出现问题,即使是超出科技人员职能之外,
商业银行信息科技风险管理指引WORD版
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺
陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。