农信社省联社金融机构信息科技风险管理五年规划.doc

1、附件省农村合作金融机构 信息科技风险管理五年规划二0一二年三月五日14第一章引言 3第二章全省农合机构信息科技风险管理现状 5第一节信息科技风险管理主要成效 5一、信息科技治理取得一定成效 5二、信息科技风险管理策略构建取得一定成效 6三、信息科技风险评估取得初步成效 7四、信息系统安全等级保护取得初步进展 7五、业务连续性管理初上轨道 8第二节信息科技风险管理存在的问题 8一、信息科技治理不够健全 8二、信息科技风险管理策略不完善 9三、风险控制层面的“三重控制”机制未有效构建 10四、数据大集中系统安全等级定级偏低 11五、业务连续性管理还比较薄弱 11六、信息科技风险管理绩效体系尚未建立

2、 12第三章信息科技风险管理五年规划目标和实施路线 12第一节信息科技风险管理五年规划总体目标 13第二节信息科技风险管理五年规划实施路线 14一、持续完善信息科技治理 14二、逐步完善信息科技风险管理策略 17三、构建信息科技风险控制层面的“三重控制” 20四、全面贯彻落实信息系统安全等级保护 22五、持续完善业务连续性管理体系 22六、加强分中心和法人联社的信息科技风险管理 24七、探索建立信息科技风险管理绩效体系 25第四章2012 年信息科技风险管理工作计划 25一、进一步完善信息科技治理 26二、初步建立信息科技风险管理策略 27三、初步构建风险控制层面“三重控制” 29四、落实信息

3、系统安全等级保护 30五、初步建立业务连续性管理体系 30六、落实信息科技风险隐患的整改工作 32第一章 引言信息科技风险指信息科技在全省农合机构运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理指通过建立有效的机制，实现对信息科技风险的识别、计量、监测、和控制，促进全省农合机构安全、持续、稳健运行，推动业务创新，提高信息科技使用水平，增强核心竞争力和可持续发展能力。信息科技风险管理主要范围包括信息科技治理、信息科技风险管理策略、信息科技风险控制、信息系统安全等级保护、业务连续性管理和信息科技风险管理绩效体系等。其中，信息科技治理主要涉及信息科

4、技管理、信息科技风险管理、信息科技审计“三道防线”建设，信息科技风险管理策略包括风险管理目标规划及信息系统架构风险管理策略、 信息安全管理策略、生产运行风险管理策略、开发测试和维护风险管理策略、外包风险管理策略等具体风险管理策略; 信息科技风险控制包括由事前评估识别、事中监测检查、事后审计核查组成的“三重控制” ； 信息系统安全等级保护包括建立信息系统安全等级划分标准，制定信息系统安全控制基线，并在此基础上采用相应的安全技术实现信息系统安全等级保护；业务连续性管理包括业务影响分析、 业务连续性计划、 突发事件应急处理和灾难恢复等；信息科技风险管理绩效体系主要包括生产安全运行绩效考核体系和生产运

5、行服务水平绩效考核体系。近年来银监会非常重视银行业金融机构的信息科技风险管理工作，强化信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设，先后发布了商业银行信息科技风险管理指引，银行业重要信息系统投产与变更管理办法商业银行数据中心监管指引，银行业重要信息系统突发事件应急管理规范、网上银行安全风险管理指引、商业银行业务连续性监管指引等信息科技风险管理的纲领性文件，同时在中国银行业信息科技“十二五”发展规划监管指导意见中，对农合机构在“十二五”期间的信息科技风险管理提出了具体的发展目标。全省目前已有93 家农合机构和 1 家村镇银行接入大集中系统，数据大集中在提升农合机构管理水平、促进业

6、务发展的同时，也带来了信息科技风险的高度集中，信息科技风险管理显得尤为重要。为持续提升、改进数据大集中系统和全省农合机构信息科技风险管理水平，根据银监会商业银行信息科技风险管理指引、中国银行业信息科技“十二五”发展规划监管指导意见和人民银行中国金融业信息化“十二五”发展规划有关信息科技风险管理发展目标要求，省联社银信中心信息科技风险管理部牵头编写了全省农合机构 2012 年到2016 年信息科技风险管理五年规划。规划在客观分析全省农合机构信息科技风险管理现状基础上，梳理出了数据大集中后信息科技风险管理的基本思路，制定了今后五年信息科技风险管理的总体目标和实施路线。规划的重点是：强化治理层面的“

7、三道防线”，构建策略层面的风险管理策略，建立控制层面的“三重控制”，贯彻落实信息系统安全等级保护，完善业务连续性管理，提升全省农合机构的数据安全水平和业务连续性水平。第二章 全省农合机构信息科技风险管理现状第一节 信息科技风险管理主要成效随着数据大集中工作进入尾声，全省农合机构信息科技风险管理也初见成效，信息科技风险控制水平稳步提高，主要成效体现在以下几个方面：一、信息科技治理取得一定成效（一）信息科技治理架构初具雏形。省联社理事会设立了信息科技管理委员会， 同时省联社整合成立了 银信金融服务中心（以下简称银信中心） , 内设综合部、信息技术部、电子银行部、会计结算部、信息科技风险管理部等 5

8、 个部门及茂名、清远、揭阳等14 个分中心，初步建立了省联社高管层参与、跨业务条线的信息科技工作决策组织和决策流程，基本明确了省联社理事会、管理层、信息科技管理委员会、信息技术部、信息科技风险管理部及有关业务部门的信息科技职责。（二）科技管理制度建设初具规模。省联社和银信中心目前已发布的各类规章制度有 30 多项，内部管理办法和操作手册 60 多项，制度、办法和手册初步覆盖了机房管理、设备管理、网络管理、系统管理、需求管理、开发管理、测试管理、运行管理和应急管理等信息科技工作的主要方面。二、信息科技风险管理策略构建取得一定成效（一）信息系统架构风险管理策略构建取得一定效果。1 、在机房设施架构

9、风险管理策略方面，机房供电、综合布线、空调等均采用全冗余架构设计，并建立了比较完备的机房环境监控预警指标体系，有效降低了数据中心机房的运行风险。2 、 在地市分中心机房运行风险管理策略方面， 制定并推广了 银信中心地市分中心机房建设标准 ， 从而有效降低了地市分中心基础设施的风险。3 、 在网络架构风险管理策略方面， 省联社早在2007 年初就制定印发了 省农村信用社网络建设和管理规范 ,并按规范要求在全省农合机构范围内进行了网络改造工作，提高了数据大集中网络系统的冗余性、稳定性和安全性，为大集中上线和推广工作和信息科技风险控制提供了有力的保障。4 、 在硬件平台架构风险管理策略方面， 数据大

10、集中主要生产系统硬件平台均采用了全冗余架构设计，确保业务连续性和客户数据安全。（二）信息安全管理策略构建取得较好效果。建立了物理安全管理、生产网络和其它网络物理隔离，初步实现了网络分区安全控制、用户认证和访问控制、操作系统安全管理、密钥及密码设备管理、操作审计等策略。（三）生产运行风险管理策略构建取得较大进步。初步构建了机房、网络、主机和应用等系统关键风险指标、生产事件的监控预警系统，初步建立了生产系统问题管理、变更管理等的制度和流程，操作自动化水平逐步提高。三、信息科技风险评估取得初步成效除信息科技风险的自评和 2010 年银监会对信息系统风险的检查评估外，银信中心还聘请德勤会计事务所按银监

11、会商业银行信息科技风险管理指引要求对数据大集中系统进行了全面的信息科技风险评估，对评估中发现的风险隐患，银信中心相关部室均进行了有效整改或制定了整改计划，有效控制了风险。四、信息系统安全等级保护取得初步进展信息科技风险管理部在2011 年底开始着手对重要信息系统安全实施等级保护，目前已完成数据大集中主要信息系统安全等级保护的分级及初评，已进入报备阶段。五、业务连续性管理初上轨道修订印发了信息系统突发事件应急管理预案，建立了包括事件监控和预警、发现和通知、组织协调、应急处置、应急通告、总结和报告等流程的信息系统突发事件应急响应机制，进一步完善了应急预案和应急演练机制。同时，根据省联社及下属农合机

12、构实际情况，初步制定了部分重要业务系统针对普通突发事件和重大灾难性突发事彳的业务恢复优先顺序、RTO （恢复时间目标）和RPO （恢复点目标）等业务连续性指标。第二节 信息科技风险管理存在的问题数据大集中使原来分散在全省各个网络中心的信息科技风险现在主要集中到了省中心，由于银信中心信息科技风险管理部成立不久，全省农合机构的信息科技风险管理工作也刚刚起步，有的还处于摸索阶段，与银监会有关信息科技风险监管规范要求相比有相当大的差距，问题主要体现在以下几方面：一、信息科技治理不够健全（一）在治理层面的信息科技管理、信息科技风险管理、信息科技审计“三道防线”中，信息科技审计部门及审计岗位尚未设置，审计

13、制度尚未建立，省联社和全省农合机构尚未建立专业的信息科技审计队伍；信息科技风险管理刚刚设立，信息科技风险管理队伍建设刚刚起步，关键岗位配比较低、缺乏核心技术人才，部分信息科技风险管理制度尚处于探索、研究阶段， “三道防线”还未起到应有的管理、制约和监督作用。（二）信息科技风险披露机制不完善。尚未建立信息科技风险的月报、季报和年报等的披露规范，也未定期向省联社领导、信息科技管理委员会和银信中心管理层提交信息科技风险评估报告、信息安全报告、现场检查报告和审计报告。（三）信息科技风险意识教育培训工作有待加强尚未建立全省农合机构常态化的信息科技风险管理意识培训教育机制，全省农合机构科技人员的信息安全意

14、识、风险意识有待进一步提高。二、信息科技风险管理策略不完善（1） 信息系统架构风险管理策略未有效建立。尚未建立专业化的架构风险评估组织和评估机制，以实现对应用架构、数据架构、基础设施架构、组织架构等的架构风险评估，规避架构缺陷带来的信息科技长期风险。（2） 信息安全管理策略存在漏洞和缺陷。信息安全策略覆盖面不全，在网络隔离、远程访问控制方面存在安全隐患，网络设备、安全设备、操作系统和数据库的用户权限和密码管理策略不完善，生产系统日志管理、操作审计管理策略存在缺陷，敏感数据安全管控不足。（三）生产运行风险管理策略不够完备。生产运行风险监测平台尚未建立，生产运行风险管理制度和标准不够完善，事件管理

15、、问题管理、变更管理、配置管理过程中的风险管理和风险监测机制有待进一步细化。（四） 开发、 测试和维护风险管理策略也存在不足和缺陷。安全需求分析、安全架构规划、详细安全设计、安全测试不完善，软件研发质量保证体系有待进一步规范化，重要信息系统的变更投产风险管控有缺陷，安全质量管理有待进一步提高。（五）外包管理制度不够完善。对外包服务商的风险控制能力有较大缺陷，尚未建立外包相关风险防范能力制度和风险评估流程，也未建立有效的外包服务商评价、定期检查和跟踪机制。三、风险控制层面的“三重控制”机制未有效构建尚未在风险控制层面建立有效的信息科技风险的事前评估识别、事中监测检查、事后审计核查的“三重控制”机

16、制：（一） 事前评估识别机制存在较大缺陷。 风险评估制度和流程尚不规范，信息科技风险评估自评、外部评估流程制度尚未完善，常态化信息科技风险定期评估，重要信息系统变更投产前的风险评估规范和流程也有待进一步改进和完善。（二）事中监测检查机制未建立。信息科技风险信息监测、检查、评估体系不完善，日常现场检查机制也尚未建立，信息科技风险监测平台尚未建立。（3） 事后审计核查尚未实施。 常态化的信息科技审计制度、流程未建立，信息系统开发、变更、数据提取、日常运行操作的合规性核查未有效开展。四、数据大集中系统安全等级定级偏低尚未建立信息系统安全控制基线，目前正在进行的信息系统安全等级保护工作涉及的数据大集中

17、系统安全等级划分标准偏低。数据大集中核心系统目前仅定为三级，而国有商业银行核心系统的定级一般都在四级以上，这在一定程度上降低了大集中系统的安全性。五、业务连续性管理还比较薄弱（一）尚未建立完整的业务连续性管理框架和流程1 、 尚未制定有效的业务连续性管理规范， 未按照业务连续性监管要求建立包括业务连续性管理架构及治理、业务影响分析、业务连续性计划、灾难恢复等规范和流程的业务连续性管理体系，业务连续性预案编制、演练机制等也有待进一步建立完善 。2、IT基础设施的高可用性与监管规范要求比有较大差距。机房、系统和网络等基础设施高可用性的覆盖率不够高；机房外部环境的安全性存在缺陷，机房供电容量不足、发

18、电机容量配比不足、机房空调冷量严重不足等因素一定程度制约了全省农合机构新产品的不断投产上线；灾备中心建设滞后、灾备有效性不足，数据大集中目前只实现了核心系统的同城数据级的备份，未覆盖所有的重要生产应用，远未达到监管部门提出的“二地三中心”应用级灾备要求；全省农合机构大多数网点也仍未实现主、备双线路的接入。3 、 突发事件应急管理能力有待进一步改进。 信息科技突发事件的监控预警、应急预案、应急响应等存在不足或缺陷，应急预案的科学性、完整性、可操作性有待进一步改进，多点故障的应急处理能力有待进一步提升和完善，应急演练覆盖面有待进一步提高。（二） 总体业务连续性水平有待提高。 2011 年数据大集中

19、核心系统计划性停机时间约为 6 小时，非计划性停机约为 4 小时，总停机时间约为 10 小时，而国内先进商业银行去年全年总停机时间不到半小时， 差距较大。 另外， 2011 年大集中核心因系统和软件故障引起的帐务数据差错水平也维持在较高水平。六、信息科技风险管理绩效体系尚未建立全省农合机构信息科技风险管理尚缺乏有效的激励与约束机制，信息科技风险事件的问责机制不完善，尚未制定生产运行关键风险控制的绩效指标、 建立生产安全运行绩效考核制度，尚未建立生产运行服务水平绩效考核及信息科技风险管理水平绩效考核体系。第三章 信息科技风险管理五年规划目标和实施路线第二节 信息科技风险管理五年规划实施路线按照全

20、省农合机构信息科技战略规划和商业银行信息科技风险管理指引的监管要求，推行信息科技风险管理的监管规范化和国际标准化治理， 进一步完善信息科技治理组织架构，充实细化信息科技管理的各项制度和流程；遵循监管部门信息科技风险监管要求，充实优化信息科技风险管理组织架构，制定风险策略层面涵盖信息系统生命周期各个环节的信息科技风险管理策略和规范， 构建具有 农合机构特色的信息科技风险管理体系；建立风险控制层面的事前评估识别、事中监测检查、事后审计核查的“三重控制” ， 建设信息科技风险评估平台；全面贯彻落实国家信息系统安全等级保护要求，建设包括网络安全基线检查、系统安全基线检查、数据库基线检查、应用安全基线检

21、查和代码安全基线检查等内容的信息安全评估平台，有效提高信息安全管理水平；持续完善业务连续性管理，逐步建立信息科技风险信息采集、评估与监控管理的风险监测平台，在此基础上健全常态化的信息科技风险监测、预警与应急处置机制； 逐年降低数据大集中系统的计划性与非计划性停机时间，大幅度减少因系统软、硬件故障引起的数据差错水平，最终基本达到国内先进商业银行的业务连续性水平。一、持续完善信息科技治理（一）进一步完善信息科技治理组织架构全面落实商业银行信息科技风险管理指引的各项监管要求， 积极推行信息科技COBIT 治理标准的实施， 进一步完善信息科技管理、信息科技风险管理、 信息科技审计 “三道防线”建设。在

22、信息科技管理上，逐步细化完善信息科技管理的各项流程、规范和制度，优化信息科技管理组织架构，实现产品研发、软件开发、测试和生产运行的相互制约和分离；在信息科技风险管理上，建立完善风险管理部内部组织架构，在信息科技风险管理部设立风险管理岗位、安全检查岗位及业务连续性管理岗位；在信息科技审计上，建立完善全省农合机构的信息科技审计体系，规划实施初期，推动省联社在稽审中心设立独立的信息科技审计岗位，条件成熟后，再在省联社或银信金融服务中心设立单独的信息科技审计部门。（二）推行信息科技风险管理标准化治理按照Basel ID的要求，将信息科技风险明确划归到操作风险范畴， 从而将信息科技风险管理纳入到全面风险

23、管理体系中。在信息科技风险管理体系建设上，积极推行信息科技风险管理的 RISK IT 治理标准的实施，参考借鉴国内外信息科技风险管理领域的最佳实践，从信息科技风险管理策略、信息科技风险16控制、信息系统安全等级保护、业务连续性管理、信息科技风险管理绩效体系等方面逐步落实银监会商业银行信息科技风险管理指引中有关第二道防线的工作职能，逐步实现科技管理的自动化，将各项管理要求体现到系统平台中，确保各项既定管理要求得到有效落实，把风险管控贯穿于信息系统生命周期，建立起信息科技风险管控的日常化、 流程化、 持续化机制，提高信息科技风险防范治理水平。（三）充实优化信息科技风险管理部信息科技风险管理部目前承

24、担着规划、构建全省农合机构信息科技风险管理相关的风险管理策略、风险控制、信息安全管理和业务连续性管理等职能，但目前管理和技术人员总共只有 5 人，远远不能满足全省农合机构信息科技风险管理工作的需要，必须加强技术人员的引进和培养，同时强化技术人员的专业培训和任职资质要求，二年内信息科技风险管理部主要技术人员必须获得注册信息安全专业人员证书（ CISP ）或国际信息系统审计师证书（ CISA ） 。五年内预期信息科技风险管理部总人数达到 12 人，其中中层管理人员 2 人，信息科技风险管理人员 4 人，安全检查人员 4 人，业务连续性管理人员 2 人。（四）建立信息科技风险披露机制建立行之有效的信

25、息科技风险的报告线路，制定信息科技风险月报、季报和年报等的披露规范，定期向省联社领导、信息科技管理委员会和银信中心管理层提交信息科技风险评估报告、信息安全报告、现场检查报告和审计报告，确保省联社理事会、管理层掌握主要的信息科技风险并在此基础上确定可接受的风险级别，从而确保相关风险能够被识别、计量、监测和控制，切实提升省联社理事会及管理层的信息科技风险管理的履职能力。（五）加强信息科技风险意识的教育和培训1 、 建立全省农合机构常态化的信息科技风险管理意识培训教育机制。定期组织全省农合机构科技人员学习银监会、人民银行和省联社有关银行业金融机构信息科技风险监管指引、规范和制度，确保所有科技人员了解

26、、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求，逐步提高全省农合机构科技人员的信息科技风险管理水平。2 、 定期举办信息科技治理和风险控制相关国际标准及最佳实践体系的培训。 在信息科技治理方面举办COBIT 控制体系培训，在信息科技风险管理方面举办RISK IT 控制体系培训，在信息安全方面举办ISO 27002 控制体系培训， 在生产运行方面进行 ITIL 最佳实践体系培训， 在软件开发方面举办 CMMI 质量控制体系培训。通过培训，逐步提升全省农合机构科技人员的安全意识、风险意识，促进信息科技风险管理文化建设，保障全省农合机构数据大集中系统的安全运行

27、。二、逐步完善信息科技风险管理策略（一）细化银监会商业银行信息科技风险管理指引、银行业重要信息系统投产与变更管理办法、商业银行数据中心监管指引、银行业重要信息系统突发事件应急管理规范等文件要求，逐步建立信息系统架构风险管理、信息安全管理、生产运行风险管理，开发测试和维护风险管理、外包风险管理的具体策略, 并在此基础上聘请专业咨询公司协助完善信息科技风险管理体系。（二） 积极引进国内外银行业金融机构先进的信息科技风险管理策略：1 、 在信息科技架构管理策略上， 积极引进国内外银行业金融机构先进的信息科技架构管控流程和最佳实践，逐步健全业务架构、应用架构、数据架构、基础设施架构、组织架构等方面风险

28、的内外评审机制，逐步完善架构评价体系，持续跟踪并监测架构规划的执行情况，在保持架构相对稳定的基础上，适时调整架构规划以适应发展要求，实现信息科技架构风险的有效管理。2 、在信息安全管理策略上，积极推行ISO 27002 信息安全治理标准的实施。建立健全信息安全的内部控制体系，通过技术和管理手段，确保信息系统和数据的机密性、完整性和可用性，提升信息安全保障体系的健壮性和有效性；合理划分内部网络区域，有效隔离生产网、办公网和测试网，在物理、网络、系统、应用、桌面、数据、开发、运行等不同层面完善身份认证、 访问控制、日志分析、操作审计等安全风险控制策略；建立业务安全监控机制，细化客户端安全、互联网安

29、全、应用交易安全等方面的安全防范策略，及时识别危险账户和客户异常行为，实现技术防范与业务交易安全监控联动；统一规划互联网、外联网安全防护标准策略，主动应对安全威胁，严格防止敏感数据泄露，重点防范外部攻击；加强网上银行安全威胁发展趋势的跟踪、分析和研究，推动新技术新产品在网上银行等互联网系统中的应用，在互联网系统客户端引入安全扫描等机制，主动评价客户平台安全状况，加强客户平台准入管理，增强客户异常行为检查，通过识别客户交易时段、地点、交易频率及额度等信息，提前预警防范风险。3 、 在生产运行风险管理策略上， 积极推动生产运行管理的ITIL 最佳实践体系的实施。对生产运行涉及的事件管理、问题管理、

30、变更管理、数据管理、系统管理、网络管理、机房管理等流程进行全面梳理，明确主要风险点和薄弱环节，制定有效的风险防范或缓释策略；持续完善变更风险管理策略，加强变更流程的审核和控制，有效降低变更操作风险；完善生产数据备份策略，建立备份数据验证环境，提高数据安全保障能力；完善生产事件的管理策略，细化生产运行事件分类，建立完善事件处理知识库，提高运行事件响应处理能力；推进自动化生产运行操作平台建设，强化操作复核机制和权限控制，实现日常运维中重复性工作的自动化和规范化操作，避免人为操作带来的风险隐患;部署全面的安全防护系统和风险监测工具，对运行风险进行有效的监测、预警和及时处置。4 、在开发测试、维护和项

31、目投产风险管理策略上，积极推动软件开发 CMMI 质量控制体系的实施， 提高软件开发质量管理能力。在项目管理上，加强项目需求与设计阶段的架构审核和安全评审，严格执行信息安全技术架构原则；在软件开发管理上，大力推广使用代码检测技术和漏洞测试工具，提高软件编码质量，防范软件开发过程中存在的风险和漏洞；在变更投产管理上，建立重要信息系统变更投产前的风险评估机制，有效提升软件开发和项目投产风险管控水平。5 、 在外包风险管理策略上， 完善外包合同协议的风险审核机制，建立外包实施过程中的操作安全、数据保密、人员变更等风险防范策略，完善外包突发事件应急预案，防范外包供应商服务中断或异常退出风险。（三 ）建

32、立完善业务系统应用风险防范策略1 、 健全业务系统应用风险防范规范、 制度和流程， 定期进行业务系统应用风险分析，及时发现、修正业务操作过程、交易流程、操作权限等的风险隐患和漏洞。2 、 制定业务系统应用风险指标， 构建业务系统应用风险分析系统，确保内审机构和管理部门能够及时、准确掌握业务操作风险状况， 实现对业务操作行为实时或定期风险分析、 预警。三、构建信息科技风险控制层面的“三重控制”（一）构建事前评估识别机制1 、 建设信息科技风险评估平台。 制定信息分级与保护、 系统开发测试和维护、信息科技运行和维护、访问控制、物理安全、 人员安全、 业务连续性计划与应急处置等的风险评估规范，构建内

33、部评估和外部评估相结合的常态化信息科技风险评估、识别机制；建设信息科技风险评估平台，优化风险识别标准，建立信息科技风险控制基线，确定风险防范措施及所需资源的优先级别，实现对信息科技风险的有效控制。2 、 建立关键风险指标。 制定并定期更新风险级别分类标准和响应优先顺序，加强对组织架构风险、技术架构风险、操作风险、应用变更风险、生产调度风险、基础软件风险、硬件风险、应急处置风险等关键风险点的识别梳理，综合运用系统失效点影响分析、系统高可用性设计分析、服务接口安全风险分析等方法科学评估信息系统故障发生后的业务影响范围和风险级别，建立关键风险指标。（二）构建事中监测检查机制1 、 完善信息科技风险的

34、日常现场检查及定期检查制度和流程。根据银监会银行业信息科技风险监管现场检查手册等规范要求， 制定适合 农合机构的信息科技风险现场检查和非现场检查规范，综合利用技术手段和管理手段加强对关键信息科技风险的现场和非现场检查。 每半年开展1 次全面的现场检查，每月利用各类技术管理平台开展1 次非现场检查，每日对关键风险指标进行一次现场检查，并对检查发现问题的整改进展进行持续的跟踪、管理，确保整改措施落实到位。2、以银监会银行业金融机构信息科技非现场监管报表为基础， 建立适合 农合机构的信息科技风险监测指标体系， 在此基础上建设信息科技风险监测平台。持续优化完善风险监测指标体系，逐步建立信息科技风险损失

35、数据库，实施信息科技风险定量分析及趋势分析，支持信息科技风险管理决策。（三）构建事后审计核查机制建立健全信息科技内、外审计制度，强化信息科技审计在信息科技治理、内部控制和风险管理中的作用，充分发挥信息科技审计监督评价职能。对照银监会商业银行信息科技风险管理指引 ， 银行业重要信息系统投产与变更管理办法 商业银行数据中心监管指引，银行业重要信息系统突发事件应急管理规范、商业银行业务连续性监管指引等规范和指引要求，每年至少组织一次全面的信息科技内部审计，每二年组织一次信息科技外部审计，有效提升全省农合机构信息科技管理法规遵从性的水平。四、全面贯彻落实信息系统安全等级保护（一）积极推行信息系统的等级

36、保护，建立和完善信息资产分类分级标准，制定信息系统安全控制基线，并在此基础上采用相应的技术手段逐步实现对不同类型、不同级别信息资产的分级保护措施，逐步提高大集中核心系统等重要信息系统的安全保护等级。（二）构建有效的信息安全等级评估机制，建设包括网络安全基线检查、系统安全基线检查、数据库安全基线检查、应用安全基线检查和代码安全基线检查等检查测试内容的信息安全评估平台， 重点加强银行卡、 网银系统的安全风险评估识别，健全电子交易渠道的安全风险控制机制，有效提高信息系统安全的等级保护水平。五、持续完善业务连续性管理体系（一 ）聘请专业咨询公司协助建立满足银监会商业银行业务连续性监管指引要求的业务连续

37、性管理体系 。 明确省联社、银信中心各部门和各法人联社的业务连续性管理职责，在业务影响分析基础上制定业务分类分级保护策略，制定业务连续性计划，确定关键业务恢复次序与恢复时间要求，加快灾难恢复系统建设。1 、持续完善业务连续性计划。建立总体业务连续性计划、完善总体应急预案，以此为基准整理和完善专项业务应急预案与技术应急预案，建立多层次、多场景和可操作应急预案管理体系。加强总体应急预案、专项应急预案的管理，加强预案之间的衔接与配套；制定预案编制规范，保证预案编制质量，建立涵盖预案制定、评审、发布、变更和回收等过程的预案维护机制；强化预案后评价与持续改进机制，保证预案的有效性。2 、加快业务连续性资

38、源建设，研究建立适合 农合机构的灾难恢复系统架构。推进“双活”数据中心建设，提高生产中心和备份中心之间的相互备份、切换和接管能力，逐步加大数据、系统、基础设施等各类资源的保护范围以及恢复能力， 提高电子银行渠道灾难恢复能力，推进外联交易、支付、清算等重要渠道灾难备份建设。3 、完善业务连续性计划的演练和验证工作。采取计划性、非计划性等多种演练形式，有效验证应急响应、决策机制、指挥体系、报告渠道、资源保障、业务连续性计划和灾难恢复的效果与能力，全面提高应对重大突发事件能力；逐步推行以真实业务接管为目标的实战演练，逐步加大实战演练频度，扩大演练覆盖范围。4 、 完善应急处置流程。 完善信息科技风险

39、监测、 预警机制，健全应对突发事件的预警、报告、决策、指挥、响应及退出等环节的应急管理机制。 制定监测指标， 实时监测业务运行状态，及时发现异常情况，及时预警；建立清晰的报告流程，明确报告路线；建立应急指挥、决策体系，统筹协调，高效决策，保证指挥流程畅通；完善应急处置响应流程，加强关键岗位人员配置。5 、 加强突发事件危机处理管理。 逐步完善全省农合机构与外部机构的应急协作机制，加强突发事件处置时的联动和协调配合。逐步建立各级农合机构与当地政府机构和公共事业机构的有效的沟通机制，重点是建立与电力、能源、通讯、消防、卫生、新闻等机构的协调机制。（二）推进数据中心服务水平的量化管理。建立系统的、可

40、操作的数据中心服务评价指标，包括数据中心配置对业务应用需求满足程度、提供服务的可用性、资源变更的有效性、资源成本的可控性等。（三）逐年降低数据大集中系统计划性与非计划性停机时间，大幅度降低因系统和软件故障引起的帐务数据差错水平，最终基本达到国内先进商业银行的业务连续性水平。六、加强分中心和法人联社的信息科技风险管理加快推进全省法人联社网点通信的备份线路建设，积极推进发达地区法人联社前置系统和管理系统的灾难备份建设，完善分中心机房、网络等基础设施的应急管理预案，加强应急预案的演练，切实提高分中心在信息科技突发事件中的协调能力和应急处置水平。七、探索建立信息科技风险管理绩效体系探索建立适合全省农合

41、机构实际情况的可计量、可操作的生产运行服务水平、信息科技风险管理水平的绩效指标，将项目开发与生产运行过程中的风险管理能力和风险事件尤其是大集中系统的数据安全水平和非计划性停机事件纳入到相关责任主体的绩效考核中。强化信息科技风险事件的问责机制，完善全省农合机构信息科技风险管理中的激励与约束机制。第四章 2012 年信息科技风险管理工作计划2012 年全省农合机构信息科技风险管理工作的重点是进一步完善信息科技治理的 “三道防线”建设， 充实科技管理制度，初步构建风险控制层面 “三重控制” ，启动风险评估、安全评估和风险监测等“三个平台”建设，总体实施目标为：按照全省农合机构信息科技战略规划和监管规

42、范要求，推行信息科技风险管理的监管规范化治理，充实信息科技管理的各项制度和流程；遵循监管部门信息科技风险监管要求，充实信息科技风险管理组织架构；制定涵盖信息系统生命周期各个环节的信息科技风险管理策略和规范；初步构建风险控制层面的事前评估识别、 事中监测检查、 事后审计核查的 “三重控制” ，启动信息科技风险评估平台建设；落实国家信息系统安全等级保护要求，启动包括网络安全基线检查、系统安全基线检查、数据库安全基线检查、应用安全基线检查和代码安全基线检查等内容的信息安全评估平台建设；完善突发事件应急管理，初步建立业务连续性管理，启动建设信息科技风险信息采集、评估与监控管理的风险监测平台；有效提高数

43、据大集中系统的业务连续性水平，将业务服务时段非计划性停机时间降低到 1 小时内， 有效降低因系统软、 硬件故障引起的帐务数据差错水平。一、进一步完善信息科技治理（一）落实商业银行信息科技风险管理指引的各项监管要求，进一步完善信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设。在信息科技管理上，逐步补充、细化完善信息科技管理的各项流程、规范和制度；在信息科技风险管理上，加快完善风险管理部内部组织架构，在信息科技风险管理部设立风险管理岗位、安全检查岗位，总人数达到 7人 , 其中中层管理人员 2 人，风险管理人员 3 人，安全检查人员 2 人；在信息科技审计上，推动省联社在稽审中心设立独

44、立的信息科技审计岗位。（二）初步建立信息科技风险披露机制。进一步完善信息科技风险的报告线路，制定信息科技风险月报、季报和年报等的披露规范，定期向省联社理事会、省联社领导、信息科技管理委员会和银信中心管理层提交信息科技风险评估报告、信息安全报告、现场检查报告，确保省联社理事会、管理层掌握主要的信息科技风险，提升省联社理事会及管理层在信息科技风险管理上的履职能力。（三）强化信息科技风险意识的教育和培训组织全省农合机构科技人员对银监会有关银行业金融机构信息科技风险监管指引和管理规范的培训学习，邀请银监会和国内著名信息安全、信息科技风险管理专家为银信中心全体人员进行安全或风险管理专题培训。通过强化培训

45、，逐步提升全省农合机构科技人员的安全意识、风险意识，确保银信中心所有科技人员了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求，有效促进信息科技风险管理文化建设。二、初步建立信息科技风险管理策略（一）按照银监会商业银行信息科技风险管理指引要求，聘请专业咨询公司协助完善信息科技风险管理体系、建立适合数据大集中后农合机构信息化要求的信息安全管理、生产运行风险管理，开发测试和维护风险管理、外包风险管理的具体策略：1 、 在信息安全管理策略上， 建立健全信息安全的内部控制体系。合理划分内部网络区域，有效隔离生产网、办公网和测试网；在物理、网络、系统、应用、桌面、

46、数据、开发、运行等不同层面完善身份认证、访问控制、日志分析、操作审计等安全风险控制策略；统一规划互联网、外联网安全防护标准策略，严格防止敏感数据泄露，重点防范外部攻击；加强网上银行安全威胁发展趋势的跟踪、分析和研究，推动新技术新产品在网上银行等互联网系统中的应用。2 、 在生产运行风险管理策略上， 对生产运行涉及的事件管理、问题管理、变更管理、数据管理、系统管理、网络管理、机房管理等流程进行全面梳理，明确主要风险点和薄弱环节，制定有效的风险防范或缓释策略； 持续完善变更风险管理策略，加强变更流程的审核和控制，有效降低变更操作风险；完善生产数据备份策略，建立备份数据验证环境，提高数据安全保障能力

47、。3 、在开发测试、维护和项目投产风险管理策略上，推广使用代码检测技术和漏洞测试工具，加强项目需求与设计阶段的安全评审，建立重要信息系统变更投产前的风险评估机制，有效提升软件开发和项目投产风险管控水平。4 、 在外包风险管理策略上， 完善外包合同协议的风险审核机制。初步建立外包实施过程中的操作安全、数据保密、人员变更等风险防范策略，制定外包突发事件应急预案，防范供应商服务中断或异常退出风险。5 二 ） 探索建立业务系统应用风险防范策略着手建立业务系统应用风险防范规范、制度和流程，定期进行业务系统应用风险分析，及时发现、修正业务操作过程、交易流程、操作权限等的风险隐患和漏洞。三、初步构建风险控制层面“三重控制”（一）初步构建事前评估识别机制1 、 初步构建信息科技风险评估平台。 建立信息科技风险控制基线，制定信息分级与保护、系统开发测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置等的风险评估规范，初步构建内部评估和外部评估相结合的常态化信息科技风险评估、识别机制，初步构建信息科技风险评估平台，确定风险防范措施及所需资源的优先级别，实现对信息科技风险的有效控制。2 、 初步建立关键风险指标。