信用社(银行)信息科技风险管理工作指导意见_第1页
信用社(银行)信息科技风险管理工作指导意见_第2页
信用社(银行)信息科技风险管理工作指导意见_第3页
信用社(银行)信息科技风险管理工作指导意见_第4页
免费预览已结束,剩余1页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信用社(银行)信息科技风险管理工作指导意见为加强全省信用社(银行)信息科技风险管理工作,有效发挥信息系统技术支撑和对各项业务的助推作用,根据中国银监会银行业金融机构信息系统风险管理指引,结合我省信息科技风险管理工作实际,制定本指导意见。一、指导思想全省信用社(银行)信息科技风险管理工作的指导思想是:以科学发展观为指导,立足保障全省信用社(银行)稳健经营、稳步发展,坚持风险防范优先和标本兼治的原则,学习和借鉴国内外信息科技风险管理经验,积极利用科技手段和先进技术提高风险防控水平,全面落实信息科技基础工作规范,合理部署和利用信息安全基础设施,提高信息系统安全保护等级,加快构建完备的信息科技风险防范

2、组织体系、制度体系和工作机制,有效防范和化解各类信息科技风险。二、工作目标全省信用社(银行)信息科技风险管理工作的总体目标是:通过建立有效的信息科技风险治理机制,实现对信息系统风险的识别、计量、评价、预警和控制,保障信息系统安全、持续、稳健运行。具体目标:健全由科技、风险管理、审计、监保等部门组成的信息科技风险管理组织体系,实现科技风险管理共同参与、相互协调、齐抓共管。完善信息科技风险管理制度体系,实现信息科技风险防控的制度化、规范化和精细化。完善信息科技风险管理机制,有效识别、测量、控制和化解操作风险,保证当前和规划的信息系统充分满足业务战略目标实现的需要。有效防范系统开发、变更管理和运行维

3、护风险,确保业务的正常操作和数据、系统的完整性、机密性、稳定性。培育一支政治素质高、技术能力强、工作作风扎实的信息科技风险管理队伍。三、主要措施(一)健全信息科技风险管理组织体系。1.明确各级各部门风险管理职责。省联社理事会负责全省信息系统的战略规划、重大项目实施和信息科技风险的监督管理。各级机构要成立“一把手”为主要责任人的信息科技风险管理委员会,负责制定本单位信息系统总体规划、统筹信息系统项目建设,定期评估、报告本单位信息系统风险状况。省、市、县三级都要构筑起由科技部门、风险管理部门、审计部门、监保部门组成的信息科技风险防范的“四道防线”。各级科技部门负责本单位信息系统规划、研发、建设、运

4、行和维护,提供日常科技服务和运行技术支持;省联社科技中心要强化信息安全管理部门的职责,承担信息科技安全管理和实施检查、监督、指导等工作;各办事处、市联社及县级联社科技部门要设立安全管理岗,负责本单位及辖属单位信息科技安全管理工作。省联社风险管理部要设立信息科技风险管理专职岗位,负责全省信息科技风险的识别、评估、监控等工作;各办事处、市联社及县级联社风险管理部门要增加信息科技风险管理职责,负责本单位及辖属机构信息科技风险的识别、评估、监控等工作。各级审计部门要设立信息科技审计专职岗位,负责本单位及辖属单位信息科技审计工作,定期组织信息科技审计培训,加大信息科技审计工作力度。各级监保部门要将机房基

5、础设施安全检查作为一项工作内容,纳入检查范围。2.配备合格的信息科技风险管理人员。各级风险管理部门、审计部门至少要配备一名受过良好培训并能够胜任科技风险管理工作的专业人员,提高信息科技风险管控水平。同时,要加强信息科技风险管理人员培训,提高风险管理人员的技术能力和职业道德水平,增强信息科技风险识别、评估、审计和控制能力,逐步打造一支素质过硬、技术水平高的科技风险管理队伍。(二)构建信息科技风险管理制度体系。加强信息科技风险管理的制度建设,健全完善内部监督约束机制,建立起“制度健全、体系完备、落实到位,监督有力”的信息科技风险管理体系。一是健全完善科技风险管理制度。各级科技部门要在办事处、市联社

6、及县级联社信息科技基础工作规范的基础上,进一步梳理、修订和完善有关规章制度,确保规章制度适应科技风险管理的需要。各级风险管理部门、审计部门要制定信息科技风险评估、监测及审计检查的相关制度办法,构建完备的风险管理制度体系。二是完善信息科技风险管控工作流程。各级科技部门要对各项工作流程进行评估、分析和完善,增强科学性、合理性和可操作性。各级风险管理部门、审计部门要尽快建立起具有较强可操作性的信息科技风险评估、监督、审计工作流程,规范信息科技风险监督、审计行为。三是加大检查监督力度。建立完善的监督检查体系,保证信息科技风险审计的频率,有效监测信息科技风险,堵塞安全管理漏洞。各级科技部门信息安全检查依

7、照科技基础工作规范的要求执行;各级审计部门每年至少组织一次全面的信息科技风险审计;各级风险管理部门每年至少对科技风险进行一次全面的识别、计量、评估和监控,并形成评估分析报告,报送本单位理(董)事会或高级管理层。在检查的基础上,从严查处违规行为,保证监督检查的效果。(三)完善信息科技风险管理工作机制。加强对信息系统风险防范工作的管理,及时跟踪信息技术发展的最新变化,逐步建立起完善的信息科技风险监督、审计约束机制。一是做好信息科技风险防范总体规划。制定风险防范的长远规划和工作思路,完善风险管理工作的基本原则、基本规划和工作流程,加强对风险的评估和分级控制,推广信息系统安全等级保护制度,促进信息科技

8、风险管理工作稳步健康开展。二是深入开展信息科技安全教育。各级机构要制定切实可行的科技风险防范工作培训计划,采取分层次、全方位的培训方式,深入开展信息科技安全教育和职业道德教育,进一步增强全员风险防范意识,切实提高员工风险防范技能和水平。三是完善信息系统应急处置机制。针对不同级别突发事件,制定相应的应急处置措施和操作流程,使风险管理涵盖信息系统的运行、管理、维护等环节。定期组织信息系统应急演练,及时对应急预案进行评审和完善,确保业务持续性规划的完整有效和可操作性。四是防范集中办理业务的风险。在防范信息系统业务量风险过程中,要充分发挥业务部门的作用,统筹安排集中办理的业务,对各项业务系统要进行及时

9、评估分析和预测,合理分解系统业务量压力,防范冲击业务量峰值形成的风险。(四)规范信息系统项目建设和管理。加强信息系统项目开发和变更管理,完善项目开发的相关规章制度,在项目开发过程中注重信息系统风险防范。一是加强项目全周期管理。实现开发环境、测试环境、生产环境的严格分离,完善项目开发工作流程、参与部门职责划分、时间进度和财务预算管理、质量检测、风险评估等管理制度,防范项目开发过程中的风险。二是加强项目开发变更管理。按照软件开发变更管理的要求,完善项目变更管理的审批授权机制和工作流程,做好开发变更的登记、备案和存档管理工作,防范项目开发变更带来的风险。三是实现软件开发过程的“留痕”。要明确项目资料

10、文档管理的要求,规范文档资料的起草和审批流程,程序设计标准、代码清单、系统操作指南、项目需求、可行性分析等资料文档要保存完整。四是规范系统开发外包风险管理。要规范功能说明书、系统设计说明书、运行操作手册等资料文档的管理,做好技术传送等相关风险的控制,防范系统开发外包风险。(五)切实防范运行维护风险。加强信息系统运行和操作管理,合理配置人力、系统和设备资源,依照规范的程序有效识别、测量、控制和化解操作风险。一是建立完善的信息系统运行管理体系。制定信息系统运行的总体规划、管理办法、技术标准和各组成部分的管理细则。配备具有较高可靠性和可用性的不间断电源、空调、消防和防水等基础设施,安装摄像、监测、报

11、警等场地监控系统和环境动力监控系统。二是加强生产系统变更管理。制定严密的生产变更处理流程,加强实施控制和管理,制定系统备份和恢复方案,做好生产系统变更的审批、登记、备案和存档管理工作,确保生产系统变更的正确性、安全性和合法性。三是强化信息科技操作风险控制。根据信息系统安全访问控制的要求,认真做好访问授权与核准工作。完善信息系统操作的职责分离和岗位轮换制度,制定避免人员流失的政策和岗位职权终止的规定。加强信息系统性能和容量的监测,完善信息系统环境控制和预防性维护的应对方案。加强对信息输出文件的控制,严格存储介质废弃和处理程序,建立重要数据资料的备份和恢复机制。四是使用正版软件。推行全省统一购置正

12、版软件,利用购置数量多的优势,节省软件购置费用,避免使用盗版软件带来的风险。四、组织领导信息科技风险涉及面广、社会影响较大,各级各部门要始终保持清醒头脑,切实提高思想认识,明确“一把手”负责制,切实做好信息科技风险管理工作。(一)科学统筹规划,合理安排建设投入。各办事处、市联社要做好调查摸底,全面了解本单位及辖属机构信息科技风险管理现状,结合自身实际,制定加强信息科技风险管理的规划,分期分批逐步达标。要加大科技投入,及时更新硬件设备,完善机房基础设施,改善机房运行环境,并不断开发和引进运行维护监测、网络安全管理等新系统,提高信息科技风险管控水平。(二)强化工作考核,建立奖惩机制。从今年起,各级要层层签订信息科技风险管理责任状,科学制定考核标准,落实信息科技风险管理责任,凡因信息科技风险管理不到位引起重大安全责任事故的,按照“上追两级

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论