村镇银行信息科技风险管理办法
银监会业银行信息科技风险管理指
商业银行信息科技风险管理指引第一章总则 (2)第二章信息科技治理 (3)第三章信息科技风险管理 (7)第四章信息安全 (10)第五章信息系统开发、测试和维护 (16)第六章信息科技运行 (19)第七章业务连续性管理 (21)第八章外包 (23)第九章内部审计 (27)第十章外部审计 (28)第十一章附则 (29)第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
村镇银行信息科技风险管理办法
村镇银行信息科技风险管理办法村镇银行信息科技风险管理办法(征求意见稿)第一章总则第一条为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章信息科技风险管理组织架构第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章信息科技风险具体控制要求第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
村镇银行核心业务系统管理现状、风险问题及措施建议
村镇银行核心业务系统管理现状、风险问题及措施建议受制于自身经营规模、技术实力等因素,村镇银行的核心业务系统多由第三方开发建设并进行运维管理(即托管),其中部分行核心系统托管于非金融信息技术服务公司(以下简称科技公司),且外包管理不规范,存在较大风险隐患。
对此,为认真落实“加强信息科技风险防范”工作要求,我省金融监督管理部门通过实地走访、约谈第三方外包服务公司、座谈研讨等方式,对辖区118家村镇银行信息科技系统的风险管理现状及问题困难开展深入调研,探索提出“强化管理+有序回迁”的“两步走”工作思路,在切实强化信息科技风险管控的基础上,力争逐步实现核心业务系统的平稳切换。
一、村镇银行核心业务系统托管的三类模式(一)主发起行全托管模式,即村镇银行核心业务系统和信息科技基础设施相关开发运维等工作全部由主发起行负责。
涉及30家村镇银行,占辖区村镇银行总量的25%。
此类模式下,村镇银行的核心系统托管于主发起行、主发起行所在省份的农村信用联社(以下简称相关省联社)或监管部门认可的持牌金融机构,系统开发和日常运维等工作全部由托管方管理。
其中,15家托管于主发起行,主要涉及全国性银行(如浦发银行、民生银行、汇丰银行等)或实力较强的农商行发起设立的村镇银行;9家托管于相关省联社;6家托管于城商行联盟,主要为省内城商行发起设立的村镇银行。
从管理实质来看,上述村镇银行的核心业务系统均可视为主发起行全面托管,风险可控度整体优于其他模式。
(二)主发起行半托管模式,即村镇银行核心业务系统或基础设施其一采用科技公司服务。
此种模式主要为了节约运营成本,根据具体托管内容的不同又分为两种:一是设施自主管理、系统运维外包。
主发起行自建机房等基础设施并自主进行维护管理;从科技公司处购入核心业务系统并掌握全部系统权限,但自身对系统的运维管理能力有限,主要依赖科技公司作为运维外包服务商对核心业务系统进行日常运营维护。
辖区18家村镇银行采用此类模式。
信息科技风险管理指引
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
wDgzD9M。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
3XFlI8Z。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
yyLvG1t。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
mI8D41d。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
W8L5hSm。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
k2W6Tcn。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
2iV6vEC。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
《村镇银行信息安全管理办法》
村镇银行信息安全管理办法第一章总则第一条本办法是本行信息系统规划、建设和使用过程中必须遵照实施的信息安全要素,适用于本行所有员工。
第二条本规定内容包括以下方面:(一)信息安全组织管理;(二)信息安全制度管理;(三)人员安全管理;(四)信息资产管理;(五)设备与物理环境安全管理;(六)通信与运行管理;(七)信息系统安全管理;(八)客户端安全管理;(九)信息安全专用产品管理;(十)文档、数据与密码应用安全管理;(十一)外包服务安全管理;(十二)事件报告、灾难备份与应急管理;(十三)安全检查与评估。
第三条本规定每三年至少进行一次修订,如遇以下情况须立即修订:(一)发生重大信息安全事件;(二)信息安全管理组织结构发生重大变更;(三)信息安全管理组织认为应当进行评审修订;(四)其他应当进行评审修订的情形。
第二章信息安全组织管理第四条本行应建立自上而下的信息安全工作管理体系,确立信息安全管理组织职责,持续推进全行信息安全工作开展。
第五条信息安全管理组织总行建立信息安全领导小组,总行、各支行下设信息安全工作小组。
第六条总行信息安全领导小组(一)由行长、分管行长和总行各部室负责人组成,组长由行长担任,副组长由分管信息科技工作的行领导担任;(二)负责明确全行信息安全管理职责分工;(三)对信息安全管理的重大事项(组织架构调整、信息安全规划调整、重要信息安全项目等)进行决策;(四)指挥、协调、督促并审查重大信息安全事件的处理。
第七条总行信息安全工作小组(一)由总行会计结算部负责人担任组长,组员由营业经理和信息科技岗担任;(二)贯彻执行信息安全领导小组的决议,指导、监督、协调和规范本行信息安全的管理和执行;(三)制定本行信息安全总体规划以及工作计划,持续推进信息安全工作;(四)组织开展本办法对于各信息安全管理领域规定的相关工作,确保各项要求的落实;(五)跟踪先进的信息安全技术,参与信息系统建设的安全规划,负责信息安全专用产品的选型,监督安全措施的执行;(六)定期组织全行信息安全管理检查,分析评估全行信息安全状况,提出安全分析报告和安全防范建议;(七)定期组织开展信息系统风险评估和测试工作,对于存在的风险点及时制定整改方案,组织整改;(八)加强人行和银监会等相关监管部门的联系,组织开展信息安全等级保护及相关监管部门的信息系统安全检查、评估等工作,并接受信息科技风险与信息安全管理工作指导;(九)牵头处理信息安全事件,及时向信息安全领导小组和有关部门、单位报告信息安全事件,配合有关部门进行信息安全审计和信息安全事件调查,打击金融计算机犯罪。
银监发[2009]19号-商业银行信息科技风险管理系统指引
![银监发[2009]19号-商业银行信息科技风险管理系统指引](https://img.taocdn.com/s3/m/67b1b06f03d8ce2f006623a3.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
B137-中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知银监发[2009]19号各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二○○九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
村镇银行信息科技风险管理办法(征求意见稿)第一章总则第一条为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章信息科技风险管理组织架构第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章信息科技风险具体控制要求第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
包括以下风险点:(一)缺少信息系统风险管理策略;(二)自然灾害、运行环境变化;(三)信息系统相关规章制度、技术规范、操作规程不完善;(四)信息安全标准化工作不符合国家相关规定;(五)缺乏信息安全风险评估机制;(六)数据中心机房物理安全;(七)使用盗版软件及自有成果的知识产权保护;(八)电子设备自身运行;(九)主机与网络运行;(十)网络安全;(十一)密码安全;(十二)数据加密安全;(十三)信息系统配置参数管理;(十四)数据管理;(十五)突发事件响应;(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
第六条信息系统总体风险控制措施:(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;(五)加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。
信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当数量的备品、备件;(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;(十)加强网络安全管理。
严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。
根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;(十七)采取有效技术措施,切实加强网上银行信息安全保障。
加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。
积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
第七条信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
包括以下风险点:(一)信息系统项目研发管理;(二)信息系统项目开发人员外包;(三)信息系统项目需求不明确;(四)信息系统测试不规范或不完善;(五)信息系统应用推广;(六)信息系统测试发现的软件缺陷;(七)信息系统项目文档管理;(八)信息系统项目验收。
第八条信息科技研发风险具体控制要求:(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。
项目领导小组负责项目的组织、协调、检查、监督工作。
项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度;(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。
一般测试应包括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。
第九条信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
包括以下风险点:(一)人为因素导致信息系统运行故障;(二)运行管理不完善;(三)信息系统日常变更;(四)新建信息系统运行;(五)机房环境变化;(六)信息系统故障报告程序。
第十条信息科技运行维护风险具体控制要求:(一)信息系统运行人员应实行专职,不得由其他人员兼任。
运行人员应按操作规程巡检和操作。
对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。
对软件或数据的维护必须通过上级审批、授权后方可进行;(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;(四)在信息系统投产后一定时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第十一条信息科技外包风险的操作风险点外包风险是指银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
包括以下风险点:(一)信息科技外包需求控制风险;(二)信息科技外包承包方合作风险;(三)信息科技外包项目商业风险;(四)信息科技外包项目安全风险;(五)信息科技外包项目质量风险;(六)信息科技外包项目风险管理;(七)信息科技外包项目责任风险;(入)信息科技外包项目监控风险。
第十二条信息科技外包风险具体控制要求:(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。
评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;(三)与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;(四)充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中;(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;(八)对信息系统外包承包方进行持续的监控。
第四章附则第十三条各支行可依据本办法,结合本单位实际情况,制定具体实施细则。
第十四条本办法由村镇银行负责解释和修订。
第十五条本规定自印发之日起施行。
- 11 -。