农村金融机构必须提高信息科技风险管理水平

1、提高信息科技风险管理水平，有效防范信息科技风险提高对信息科技风险认识，建立信息科技风险识别、计量、监测、控制机制，重点加强信息安全、开发、运维、外包和应急管理，不断提升信息科技风险管理水平。第一节 强化信息科技风险管理，提高信息科技风险防控能力加强对信息科技风险重要性的认识，将信息科技风险纳入全面风险管理体系，进一步明确信息科技风险管理职责，制定覆盖农村金融机构信息科技各个领域的信息科技风险管理策略，与农村金融机构信息科技发展战略、总体风险管理策略保持一致。探索农村金融机构信息科技风险识别、计量、监测、控制机制，研究确定关键信息科技风险指标，通过技术手段和管理手段加强对关键信息科技风险识别和监

2、测。建设日常信息科技风险监测基础数据平台，为信息科技风险管理提供数据基础，逐步提升风险防控水平。逐步建立内部评估和外部评估相结合的常态化信息科技风险评估机制，定期开展全面的信息科技风险评估；强化内部审计在信息科技治理、内部控制和风险管理中的作用，充分发挥监督评价职能。第二节 建立信息安全保障体系，提高信息安全管理能力加大信息安全投入，建立专业化的信息安全队伍，提升信息安全工作质量和效率。建立和完善信息安全管理制度，明确信息安全方针、策略和管理要求，规范操作流程，加强贯穿信息系统生命周期的信息安全管理。加强信息资产保护力度，建立信息资产分类分级标准，逐步实现对不同类型、不同级别信息资产的分级保护

3、措施，严格防止敏感数据泄露，推动信息资产安全管理的科学化与规范化。综合利用先进、成熟的安全产品和技术手段，在防御、监测、预警、响应、恢复等层面提高信息安全管理能力，提升信息安全保障体系的健壮性和有效性。加强新系统建设安全控制，建立信息系统开发、投产和上线全过程安全管理机制，及时发现和处置系统建设、变更、运行中的安全隐患，实现对信息安全风险的有效控制。重点加强银行卡、网银系统风险防控，建立风险识别、评估、预警、处置等防控机制，建立银行卡、网银交易欺诈和风险侦测系统，完善交易风险监控机制。逐步建立信息安全评价体系，通过量化信息安全评价指标，综合评定信息安全工作水平，促进信息安全工作持续改进。有条件

4、的农村金融机构可借鉴国际标准，逐步实施全面的信息安全管理体系建设。第三节 加强应急体系建设，提高业务连续性明确法人机构以及机构内部各部门在应急管理中的职责，建立全面的应急管理机制。开展业务影响分析，确定关键业务优先恢复级别，制定业务连续性计划，逐步建立业务连续性保障措施，全面提升业务连续性管理能力。建立、完善包含总体预案、专项预案的预案框架，建立多层次、多场景的预案体系，注重预案的科学性、适用性、衔接性和可操作性。建立应急预案后评估和修订完善机制，确保应急预案的有效性。定期开展应急演练，重点开展关键业务系统及重要基础设施的应急演练，演练范围逐步向外围系统、多应用系统联动扩展。有条件的农村金融机

5、构应组织以真实业务接管为目标的实战演练，提高应急处置实战经验和技能。建立与有关政府机关、公共事业机构、金融同业间的协作与联动机制，增强农村金融机构在重大突发事件下的整体应急能力。第四节 加强运行服务管理体系建设，实现持续有效运行健全信息科技运行服务管理体系，明确运行管理职责。完善运行管理制度体系，重点加强运行操作管理、数据管理、机房设备管理、网络管理等制度建设，提高运行管理的科学性和有效性。规范运行服务管理流程和事件报告机制，建立统一的运行服务管理平台，规范事件、问题、变更、发布等管理流程，构建切实有效的运行服务管理机制，促进运行服务管理水平与效率的提升。建设自动化监控平台，逐步实现对应用系统

6、的全面监控；不断丰富监控指标，辅助运维人员快速发现与定位故障。建设自动化运维平台，实现流程管理，降低操作风险，提高工作效率。第五节 加强项目规范化管理，提升应用系统质量加强信息科技项目管理的科学化和规范化，建立覆盖信息科技项目全生命周期的管理制度体系。明确项目各阶段的管理职责和管理要求，建立业务部门与信息科技部门需求分析沟通机制，合理配置信息科技资源，保证项目实施。规范研发技术标准体系，加强技术标准在研发过程中推广应用力度，进一步提高研发管理的标准化、规范化程度，促进软件产品质量的提高。建立和完善产品质量测试流程，加强性能、容量和压力测试的深度和覆盖面，提高自动化测试能力，逐步建立全面的软件产品质量保证体系。建立项目后评价体系。根据项目业务需求、实施过程与效果、运行质量等，从业务价值、成本收益、服务水平等各个维度对项目资源利用效率进行分析和评价，逐步提高项目管理精细化水平。第六节 加强信息科技外包管理，防控外包风险制定信息科技外包策略，明确信息科技外包范围、内容和方式，处理好外包和自主研发的关系。建立和完善外包管理制度，规范外包立项、供应商选择、合同谈判与签署、日常管理和项目验收等外包全过程管理。 加强外包风险防范。建立合同和协议合规审查机制，防范法律风险；建立外包