(最新)信息科技风险管理办法

1、风理：技号/：总机责信技管信全信统测维信技业续理外审外审附3 版次号生效日期修改原因A/0流程体系文文件A版版 首次次发布为有效防范范银行运用用信息系系统进行行业务处处理、经经营管理理和内部部控制过过程中产产生的风风险，促促进我行行各项业业务安全全、持续续、稳健健运行，根根据中中华人民民共和国国银行业业监督管管理法、中中华人民民共和国国商业银银行法、商业银行信息科技风险管理指引、营口沿海银操作风险管理指引，以及国家信息安全相关要求和有关法律法规，制定本管理办法。本管理办法法所称信信息科技技是指计计算机、通通信、微微电子和和软件工工程等现现代信息息技术，在在我行业业务交易易处理、经经营管理理和内

2、部部控制等等方面的的应用，并并包括进进行信息息科技治治理，建建立完整整的管理理组织架架构，制制订完善善的管理理制度和和流程。本管理办法法所称信信息科技技风险，是是指信息息科技在在我行运运用过程程中，由由于自然然因素、人人为因素素、技术术漏洞和和管理缺缺陷产生生的操作作、法律律和声誉誉等风险险。信息科技风风险管理理的目标标是通过过建立有有效的机机制，实实现对我我行信息息科技风风险的识识别、计计量、监监测和控控制，促促进我行行安全、持持续、稳稳健运行行，推动动业务创创新，提提高信息息技术使使用水平平，增强强核心竞竞争力和和可持续续发展能能力。机构职责根据我行信信息科技技治理的的要求，法法定代表表人

3、是本本机构信信息科技技风险管管理的第第一责任任人，负负责组织织本管理理办法的的贯彻落落实, 董事会会应履行行以下信信息科技技管理职职责：彻国关科理律规术落国业管员以称会关要信技确与的业略大相评息及险工总果率的科险定受险确关能识计监控道为洁增部建提体对科险重的由高理信技和业门表的信技委负督职落定董和管汇息战划行息预实出息的状好司的上信技形工职确互报系的科理结加息专伍设立激制审门独效息风理对报行并整并监其机送科险的报科险工需所工理遵其的科险制流并相训人涉户账息产息核统国独行保高理符监管施检要防境监其机告构的信技或事按预速会派构信技监查并监见整科险其关我行应设立立分管信信息科技技的副行行级领导导，直

4、接接向行长长汇报，并并参与决决策。副副行级领领导的职职责包括括：本与科用的发策科略其息开略合行体战信技管略一实的科门担行息职确履信技和信技标流信技控专研信技发管信统息基施行护级息管灾复信技和系出责科险的性使管施到的个机分构培提才的技科险其关科技部负责责我行信信息安全全、信息息系统开开发、测测试和维维护、信信息科技技运行、业业务连续续性管理理；应对对内部管管理职责责进行明明确的界界定，各各岗位的的人员应应具有相相应的专专业知识识和技能能，重要要岗位应应制定详详细完整整的工作作手册并并适时更更新，并并对相关关人员采采取相关关的风险险防范措措施：信包验身件历工历业证信科工德确具应业了遵息策指则息授用

5、系信技制流要并工相议岗息员失的做排员岗替等措在岗生后变关运营管理部部职能交交叉，要要部门协协调是信信息系统统中涉及及账务交交易的操操作、系系统参数数变更、事事件管理理的主要要部门。运运营管理理部的职职责包括括：护行分运员行不其员运员操程和维员授维程对状软数行除外他应工间的值作包定时操围容法令负员息环设用络系行交要协监息值程有操程息数维须特应序添删修据过终不数进接；详日息括日审志以护计的和打能数置维要系置实格全密防法变泄丢破根感和确取方授用严批记的处程确控各的并流施和；前确和方无不行操需变案更核单关审更确安和性能要协环施日检确系机境出障应理和有交务据应2时报度生系成经声失大事应上处必启急预风险管

6、理部部负责信信息科技技风险管管理工作作，并直直接向分分管行领领导（风风险管理理委员会会）报告告工作。该该部门应应为信息息科技突突发事件件应急响响应小组组的成员员之一，负负责协调调制定有有关信息息科技风风险管理理策略，尤尤其是在在涉及信信息安全全、业务务连续性性计划和和合规性性风险等等方面，为为业务部部门和信信息科技技部门提提供建议议及相关关合规性性信息，实实施持续续信息科科技风险险评估，跟跟踪整改改意见的的落实，监监控信息息安全威威胁和不不合规事事件的发发生。风风险管理理部的职职责包括括：系险总策提级层审业门息风行监系险对相务和机息风况护行进测进时产息的价识评信统包风审应作险程 稽核审计部部应

7、在部部门设立立专门的的信息科科技风险险审计岗岗位，负负责信息息科技审审计制度度和流程程的实施施，制订订和执行行信息科科技审计计计划，对对信息科科技整个个生命周周期和重重大事件件等进行行审计。稽稽核审计计部负责责我行信信息系统统审计任任务，也也可聘请请经国家家相应监监管部门门认定资资质的中中介机构构进行信信息系统统外部审审计。信息科技风风险管理理我行应制定定全面的的信息科科技风险险管理策策略，包包括但不不限于下下述领域域：与开测维运维性与处我行应制定定持续的的风险识识别和评评估流程程，确定定信息科科技中存存在隐患患的区域域，评价价风险对对其业务务的潜在在影响，对对风险进进行排序序，并确确定风险险

8、防范措措施及所所需资源源的优先先级别（包包括外包包供应商商、产品品供应商商和服务务商）。我行应依据据信息科科技风险险管理策策略和风风险评估估结果，实实施全面面的风险险防范措措施。防防范措施施应包括括：的科险制技准作等期更公风域对区行和的实险化立的框以检平险义业别制包用审据统理辑以知授则权节我行应建立立持续的的信息科科技风险险计量和和监测机机制，其其中应包包括：科目前施评制检统的和科务和处报制审外计管问整理商务对水议成进期新发能的和用面新运境作和控检信技项风况信息安全科技部负责责建立和和实施信信息分类类和保护护体系，应应使所有有员工都都了解信信息安全全的重要要性，并并组织提提供必要要的培训训，让

9、员员工充分分了解其其职责范范围内的的信息保保护流程程。科技部应落落实信息息安全管管理职能能。该职职能应包包括建立立信息安安全计划划和保持持长效的的管理机机制，提提高全体体员工信信息安全全意识，就就安全问问题向其其他部门门提供建建议，并并定期向向信息科科技管理理委员会会提交本本银行信信息安全全评估报报告。信信息安全全管理机机制应包包括信息息安全标标准、策策略、实实施计划划和持续续维护计计划。信信息安全全策略应应涉及以以下领域域：管组理管境管营管与管事理性理应建立有效效管理用用户认证证和访问问控制的的流程。用用户对数数据和系系统的访访问必须须选择与与信息访访问级别别相匹配配的认证证机制，并并且确保

10、保其在信信息系统统内的活活动只限限于相关关业务能能合法开开展所要要求的最最低限度度。用户户调动到到新的工工作岗位位或离开开我行时时，应在在系统中中及时检检查、更更新或注注销用户户身份。应确保设立立物理安安全保护护区域，包包括计算算机中心心或数据据中心、存存储机密密信息或或放置网网络设备备等重要要信息科科技设备备的区域域，明确确相应的的职责，采采取必要要的预防防、检测测和恢复复控制措措施。应根据信息息安全级级别，将将网络划划分为不不同的逻逻辑安全全域（以以下简称称为域）。应应该对下下列安全全因素进进行评估估，并根根据安全全级别定定义和评评估结果果实施有有效的安安全控制制，如对对每个域域和整个个网

11、络进进行物理理或逻辑辑分区、实实现网络络内容过过滤、逻逻辑访问问控制、传传输加密密、网络络监控、记记录活动动日志等等。程用的程渠入访的设应序的协端或如域试内或域间通程应通过以下下措施，确确保所有有计算机机操作系系统和系系统软件件的安全全：类作的安求保系足安求包端系发系试计操员统员户员同组问权统的验监程确高用操志录察人期可安丁报丁状志录功录要文访对账修有要手自控出任常定报情应通过以下下措施，确确保所有有信息系系统安全全：终户息技员息安的和系重和程采效份方划对或岗行控接进入或核的处密的和防息或取改按定方理情当被止用供信电式审迹管监审成登用户改应制定相关关策略和和流程，管管理所有有生产系系统的活活动

12、日志志，以支支持有效效的审核核、安全全取证分分析和预预防欺诈诈。日志志可以在在软件的的不同层层次、不不同的计计算机和和网络设设备上完完成，日日志划分分为两大大类：交志用和库系生容用录数改误等易应国计要以系志作数管统火入测和器成容管录系件络错息系志期系风级但少年应保证交易易日志和和系统日日志中包包含足够够的内容容，以便便完成有有效的内内部控制制、解决决系统故故障和满满足审计计需要；应采取取适当措措施保证证所有日日志同步步计时，并并确保其其完整性性。在例例外情况况发生后后应及时时复查系系统日志志。交易易日志或或系统日日志的复复查频率率和保存存周期应应由信息息科技部部门和有有关业务务部门共共同决定定

13、，并报报信息科科技管理理委员会会批准。应采取加密密技术，防防范涉密密信息在在传输、处处理、存存储过程程中出现现泄露或或被篡改改的风险险，并建建立密码码设备管管理制度度，以确确保： 国求密和设用设员过培严查满息性求实的流尤密证命管配备切实有有效的系系统，确确保所有有终端用用户设备备的安全全，并定定期对所所有设备备进行安安全检查查，包括括台式个个人计算算机（PPC）、便便携式计计算机、柜柜员终端端、自动动柜员机机（ATTM）、存存折打印印机、读读卡器、销销售终端端（POOS）和和个人数数字助理理（PDDA）等等。制定相关制制度和流流程，严严格管理理客户信信息的采采集、处处理、存存贮、传传输、分分发

14、、备备份、恢恢复、清清理和销销毁。对所有员工工进行必必要的培培训，使使其充分分掌握信信息科技技风险管管理制度度和流程程，了解解违反规规定的后后果，并并对违反反安全规规定的行行为采取取零容忍忍政策。信息系统开开发、测测试和维维护应有能力对对信息系系统进行行需求分分析、规规划、采采购、开开发、测测试、部部署、维维护、升升级和报报废，制制定制度度和流程程，管理理信息科科技项目目的优先先排序、立立项、审审批和控控制。项项目实施施部门应应定期向向信息科科技管理理委员会会提交重重大信息息科技项项目的进进度报告告，由其其进行审审核，进进度报告告应当包包括计划划的重大大变更、关关键人员员或供应应商的变变更以及

15、及主要费费用支出出情况。应应在信息息系统投投产后一一定时期期内，组组织对系系统的后后评价，并并根据评评价结果果及时对对系统功功能进行行调整和和优化。应认识到信信息科技技项目相相关的风风险，包包括潜在在的各种种操作风风险、财财务损失失风险和和因无效效项目规规划或不不适当的的项目管管理控制制产生的的机会成成本，并并采取适适当的项项目管理理方法，控控制信息息科技项项目相关关的风险险。采取适当的的系统开开发方法法，控制制信息系系统的生生命周期期。典型型的系统统生命周周期包括括系统分分析、设设计、开开发或外外购、测测试、试试运行、部部署、维维护和退退出。所所采用的的系统开开发方法法应符合合信息科科技项目

16、目的规模模、性质质和复杂杂度。制定相关控控制信息息系统变变更的制制度和流流程，确确保系统统的可靠靠性、完完整性和和可维护护性，其其中应包包括以下下要求：与系测统隔与系测统理相理准紧复外止程发护进产且的修动立行和发试的或配更到系应信技和部联准对进时和复实制标流确息开测维程据整保和性建立并完善善有效的的问题管管理流程程，以确确保全面面地追踪踪、分析析和解决决信息系系统问题题，并对对问题进进行记录录、分类类和索引引；如需需供应商商提供支支持服务务或技术术援助，应应向相关关人员提提供所需需的合同同和相关关信息，并并将过程程记录在在案；对对完成紧紧急恢复复起至关关重要作作用的任任务和指指令集，应应有清晰

17、晰的描述述和说明明，并通通知相关关人员。信息科技运运行在选择数据据中心的的地理位位置时，应应充分考考虑环境境威胁（如如是否接接近自然然灾害多多发区、危危险或有有害设施施、繁忙忙或主要要公路），采采取物理理控制措措施，监监控对信信息处理理设备运运行构成成威胁的的环境状状况，并并防止因因意外断断电或供供电干扰扰影响数数据中心心的正常常运行。严格控制第第三方人人员（如如服务供供应商）进进入安全全区域，如如确需进进入应得得到适当当的批准准，其活活动也应应受到监监控；针针对长期期或临时时聘用的的技术人人员和承承包商，尤尤其是从从事敏感感性技术术相关工工作的人人员，应应制定严严格的审审查程序序，包括括身份

18、验验证和背背景调查查。应将信息科科技运行行与系统统开发和和维护分分离，确确保信息息科技部部门内部部的岗位位制约；对数据据中心的的岗位和和职责做做出明确确规定。按照有关法法律法规规要求保保存交易易记录，采采取必要要的程序序和技术术，确保保存档数数据的完完整性，满满足安全全保存和和可恢复复要求。制定详尽的的信息科科技运行行操作说说明。如如在信息息科技运运行手册册中说明明计算机机操作人人员的任任务、工工作日程程、执行行步骤，以以及生产产与开发发环境中中数据、软软件的现现场及非非现场备备份流程程和要求求（即备备份的频频率、范范围和保保留周期期）。建立事故管管理及处处置机制制，及时时响应信信息系统统运行

19、事事故，逐逐级向相相关的信信息科技技管理人人员报告告事故的的发生，并并进行记记录、分分析和跟跟踪，直直到完成成彻底的的处置和和根本原原因分析析。我行行应建立立服务台台，为用用户提供供相关技技术问题题的在线线支持，并并将问题题提交给给相关信信息科技技部门进进行调查查和解决决。建立服务水水平管理理相关的的制度和和流程，对对信息科科技运行行服务水水平进行行考核。建立连续监监控信息息系统性性能的相相关程序序，及时时、完整整地报告告例外情情况；该该程序应应提供预预警功能能，在例例外情况况对系统统性能造造成影响响前对其其进行识识别和修修正。制定容量规规划，以以适应由由于外部部环境变变化产生生的业务务发展和

20、和交易量量增长。容容量规划划应涵盖盖生产系系统、备备份系统统及相关关设备。及时进行维维护和适适当的系系统升级级，以确确保与技技术相关关服务的的连续可可用性，并并完整保保存记录录（包括括疑似和和实际的的故障、预预防性和和补救性性维护记记录），以以确保有有效维护护设备和和设施。制定有效的的变更管管理流程程，以确确保生产产环境的的完整性性和可靠靠性。包包括紧急急变更在在内的所所有变更更都应记记入日志志，由信信息科技技部门和和业务部部门共同同审核签签字，并并事先进进行备份份,以便便必要时时可以恢恢复原来来的系统统版本和和数据文文件。紧紧急变更更成功后后,应通通过正常常的验收收测试和和变更管管理流程程,

21、采用用恰当的的修正以以取代紧紧急变更更。业务连续性性管理根据自身业业务的性性质、规规模和复复杂程度度制定适适当的业业务连续续性规划划，以确确保在出出现无法法预见的的中断时时，系统统仍能持持续运行行并提供供服务；定期对对规划进进行更新新和演练练，以保保证其有有效性。评估因意外外事件导导致其业业务运行行中断的的可能性性及其影影响，包包括评估估可能由由下述原原因导致致的破坏坏：源障失人系其产或如地台应采取系统统恢复和和双机热热备处理理等措施施降低业业务中断断的可能能性，并并通过应应急安排排和保险险等方式式降低影影响。建立维持其其运营连连续性策策略的文文档，并并制定对对策略的的充分性性和有效效性进行行

22、检查和和沟通的的计划。其其中包括括：务性,降期期期所影措包不:如系其产及资方的顺部外关尤监构户体的安业续划程关信断的完的业风况变对一进核级我行的业务务连续性性计划和和年度应应急演练练结果应应由信息息科技风风险管理理部门或或信息科科技管理理委员会会确认。外包与审计计外包不得将我行行信息科科技管理理责任外外包，应应合理谨谨慎监督督外包职职能的履履行。实施重要外外包（如如数据中中心和信信息科技技基础设设施等)应格外外谨慎，在在准备实实施重要要外包时时应以书书面材料料正式报报告银监监会或其其派出机机构。在签署外包包协议或或对外包包协议进进行重大大变更前前，应做做好相关关准备，其其中包括括：是合的结报线

23、务总险是足履外务监务协否我测制包的风评包商务性业对服进险考设能否承应任协更实平渡括合能的存集险多行同包商的业续险在与外包服服务商合合同谈判判过程中中，应考考虑的因因素包括括但不限限于：务报求判条管和审外计行的信有签密和技护保户和信失是足商我关科险和的及措商的连保平及相属的应现时证持用关协流以行包商变终包的例包商有控发化包商务发大商的不造行履督在实施双方方关系管管理，以以及起草草服务水水平协议议时，应应考虑的的因素包包括但不不限于：和的指评包商行相户服充水告期评内外立进效不的调程取措加强信息科科技相关关外包管管理工作作，确保保我行的的客户资资料等敏敏感信息息的安全全，包括括但不限限于采取取以下措

24、措施：行资外务他资有离需授对服相员服保相员保定本客料包重包告关外务次转采够确行信安止协收销包商的客料我行应建立立恰当的的应急措措施，应应对外包包服务商商在服务务中可能能出现的的重大缺缺失。尤尤其需要要考虑外外包服务务商的重重大资源源损失，重重大财务务损失和和重要人人员的变变动，以以及外包包协议的的意外终终止。我行所有信信息科技技外包合合同应由由科技部部、风险险管理部部、法律律合规部部和信息息科技管管理委员员会审核核通过。我我行应设设立流程程定期审审阅和修修订服务务水平协协议。审计我行内部审审计部门门应根据据业务的的性质、规规模和复复杂程度度，对相相关系统统及其控控制的适适当性和和有效性性进行监监测。稽稽核审计计部门应应配备足足够的资资源和具具有专业业能力的的信息科科技审计计人员，独独立于我我行的日日常活动动，具有有适当的的授权访访问我行行的记录录。我行内部信信息科技技审计的的责任包包括：施整计检评行科统控的性效款完计在础出意意否落科项信技审是信技事行查析估审门风估对必特项的我行应根据据业务性性质、规规模和复复杂程度度，信息息科技