信用社信息科技风险管理工作指导意见

1、信用社（银行）信息科技风险管理工作指导意见为加强全省信用社 （银行）信息科技风险管理工作， 有效发挥信息系统技术支撑和对各项业务的助推作用， 根据中国银监会 银行业金融机构信息系统风险管理指引，结合我省信息科技风险管理工作实际，制定本指导意见。一、指导思想全省信用社（银行）信息科技风险管理工作的指导思想是： 以科学发展观为指导，立足保障全省信用社（银行）稳健经营、稳步发展，坚持风险防范优先和标本兼治的原则， 学习和借鉴国内外信息科技风险管理经验， 积极利用科技手段和先进技术提高风险防控水平， 全面落实信息科技基础工作规范， 合理部署和利用信息安全基础设施， 提高信息系统安全保护等级， 加快构建

2、完备的信息科技风险防范组织体系、制度体系和工作机制，有效防范和化解各类信息科技风险。二、工作目标全省信用社（银行）信息科技风险管理工作的总体目标是： 通过建立有效的信息科技风险治理机制， 实现对信息系统风险的识别、 计量、评价、预警和控制，保障信息系统安全、持续、稳健运行。具体目标：健全由科技、 风险管理、 审计、监保等部门组成的信息科技风险管理组织体系，实现科技风险管理共同参与、相互协调、齐抓共管。完善信息科技风险管理制度体系， 实现信息科技风险防控的制度化、 规范化和精细化。完善信息科技风险管理机制，有效识别、测量、控制和化解操作风险，保证当前和规划的信息系统充分满足业务战略目标实现的需要

3、。有效防范系统开发、 变更管理和运行维护风险， 确保业务的正常操作和数据、系统的完整性、机密性、稳定性。培育一支政治素质高、 技术能力强、工作作风扎实的信息科技风险管理队伍。三、主要措施（一）健全信息科技风险管理组织体系。1. 明确各级各部门风险管理职责。 省联社理事会负责全省信息系统的战略规划、重大项目实施和信息科技风险的监督管理。各级机构要成立“一把手”为主要责任人的信息科技风险管理委员会， 负责制定本单位信息系统总体规划、 统筹信息系统项目建设，定期评估、报告本单位信息系统风险状况。 省、市、县三级都要构筑起由科技部门、 风险管理部门、 审计部门、监保部门组成的信息科技风险防范的“四道防

4、线” 。各级科技部门负责本单位信息系统规划、研发、建设、运行和维护，提供日常科技服务和运行技术支持； 省联社科技中心要强化信息安全管理部门的职责，承担信息科技安全管理和实施检查、监督、指导等工作；各办事处、市联社及县级联社科技部门要设立安全管理岗， 负责本单位及辖属单位信息科技安全管理工作。省联社风险管理部要设立信息科技风险管理专职岗位，负责全省信息科技风险的识别、评估、监控等工作；各办事处、市联社及县级联社风险管理部门要增加信息科技风险管理职责， 负责本单位及辖属机构信息科技风险的识别、评估、监控等工作。各级审计部门要设立信息科技审计专职岗位，负责本单位及辖属单位信息科技审计工作， 定期组织

5、信息科技审计培训， 加大信息科技审计工作力度。 各级监保部门要将机房基础设施安全检查作为一项工作内容，纳入检查范围。2. 配备合格的信息科技风险管理人员。 各级风险管理部门、 审计部门至少要配备一名受过良好培训并能够胜任科技风险管理工作的专业人员， 提高信息科技风险管控水平。 同时，要加强信息科技风险管理人员培训， 提高风险管理人员的技术能力和职业道德水平，增强信息科技风险识别、评估、审计和控制能力，逐步打造一支素质过硬、技术水平高的科技风险管理队伍。（二）构建信息科技风险管理制度体系。加强信息科技风险管理的制度建设， 健全完善内部监督约束机制， 建立起“制度健全、体系完备、落实到位，监督有力

6、”的信息科技风险管理体系。一是健全完善科技风险管理制度。 各级科技部门要在 办事处、市联社及县级联社信息科技基础工作规范的基础上，进一步梳理、修订和完善有关规章制度，确保规章制度适应科技风险管理的需要。 各级风险管理部门、 审计部门要制定信息科技风险评估、监测及审计检查的相关制度办法， 构建完备的风险管理制度体系。 二是完善信息科技风险管控工作流程。 各级科技部门要对各项工作流程进行评估、 分析和完善，增强科学性、合理性和可操作性。各级风险管理部门、审计部门要尽快建立起具有较强可操作性的信息科技风险评估、 监督、审计工作流程， 规范信息科技风险监督、审计行为。三是加大检查监督力度。 建立完善的

7、监督检查体系，保证信息科技风险审计的频率， 有效监测信息科技风险， 堵塞安全管理漏洞。 各级科技部门信息安全检查依照 科技基础工作规范 的要求执行； 各级审计部门每年至少组织一次全面的信息科技风险审计； 各级风险管理部门每年至少对科技风险进行一次全面的识别、计量、评估和监控，并形成评估分析报告，报送本单位理（董）事会或高级管理层。在检查的基础上，从严查处违规行为，保证监督检查的效果。（三）完善信息科技风险管理工作机制。加强对信息系统风险防范工作的管理，及时跟踪信息技术发展的最新变化，逐步建立起完善的信息科技风险监督、 审计约束机制。 一是做好信息科技风险防范总体规划。制定风险防范的长远规划和工

8、作思路， 完善风险管理工作的基本原则、基本规划和工作流程， 加强对风险的评估和分级控制， 推广信息系统安全等级保护制度，促进信息科技风险管理工作稳步健康开展。 二是深入开展信息科技安全教育。各级机构要制定切实可行的科技风险防范工作培训计划， 采取分层次、全方位的培训方式， 深入开展信息科技安全教育和职业道德教育， 进一步增强全员风险防范意识， 切实提高员工风险防范技能和水平。 三是完善信息系统应急处置机制。针对不同级别突发事件， 制定相应的应急处置措施和操作流程， 使风险管理涵盖信息系统的运行、管理、维护等环节。定期组织信息系统应急演练，及时对应急预案进行评审和完善， 确保业务持续性规划的完整

9、有效和可操作性。 四是防范集中办理业务的风险。 在防范信息系统业务量风险过程中， 要充分发挥业务部门的作用， 统筹安排集中办理的业务， 对各项业务系统要进行及时评估分析和预测，合理分解系统业务量压力，防范冲击业务量峰值形成的风险。（四）规范信息系统项目建设和管理。加强信息系统项目开发和变更管理， 完善项目开发的相关规章制度， 在项目开发过程中注重信息系统风险防范。一是加强项目全周期管理。实现开发环境、测试环境、生产环境的严格分离，完善项目开发工作流程、参与部门职责划分、时间进度和财务预算管理、 质量检测、风险评估等管理制度， 防范项目开发过程中的风险。二是加强项目开发变更管理。 按照软件开发变

10、更管理的要求， 完善项目变更管理的审批授权机制和工作流程， 做好开发变更的登记、 备案和存档管理工作，防范项目开发变更带来的风险。三是实现软件开发过程的“留痕” 。要明确项目资料文档管理的要求，规范文档资料的起草和审批流程，程序设计标准、代码清单、系统操作指南、项目需求、可行性分析等资料文档要保存完整。四是规范系统开发外包风险管理。 要规范功能说明书、 系统设计说明书、 运行操作手册等资料文档的管理，做好技术传送等相关风险的控制， 防范系统开发外包风险。（五）切实防范运行维护风险。加强信息系统运行和操作管理， 合理配置人力、 系统和设备资源， 依照规范的程序有效识别、 测量、控制和化解操作风险

11、。 一是建立完善的信息系统运行管理体系。制定信息系统运行的总体规划、 管理办法、技术标准和各组成部分的管理细则。配备具有较高可靠性和可用性的不间断电源、 空调、消防和防水等基础设施，安装摄像、监测、报警等场地监控系统和环境动力监控系统。二是加强生产系统变更管理。 制定严密的生产变更处理流程， 加强实施控制和管理， 制定系统备份和恢复方案，做好生产系统变更的审批、登记、备案和存档管理工作，确保生产系统变更的正确性、安全性和合法性。三是强化信息科技操作风险控制。根据信息系统安全访问控制的要求， 认真做好访问授权与核准工作。 完善信息系统操作的职责分离和岗位轮换制度， 制定避免人员流失的政策和岗位职

12、权终止的规定。加强信息系统性能和容量的监测， 完善信息系统环境控制和预防性维护的应对方案。加强对信息输出文件的控制， 严格存储介质废弃和处理程序， 建立重要数据资料的备份和恢复机制。 四是使用正版软件。推行全省统一购置正版软件，利用购置数量多的优势，节省软件购置费用，避免使用盗版软件带来的风险。四、组织领导信息科技风险涉及面广、社会影响较大，各级各部门要始终保持清醒头脑，切实提高思想认识，明确“一把手”负责制，切实做好信息科技风险管理工作。（一）科学统筹规划，合理安排建设投入。各办事处、市联社要做好调查摸底， 全面了解本单位及辖属机构信息科技风险管理现状， 结合自身实际， 制定加强信息科技风险管理的规划，分期分批逐步达标。要加大科技投入，及时更新硬件设备，完善机房基础设施，改善机房运行环境，并不断开发和引进运行维护监测、网络安全管理等新系统， 提高信息科技风险管控水平。（二）强化工作考核，建立奖惩机制。从今年起，各级要层层签订信息科技风险管理责任状，科学制定考核标准，落实信息科技风险管理责任， 凡因信息科技风险管理不到位引起重大安全责任事故的，按照“上追