广州银行信息科技风险管理办法

广州*银行信息科技风险管理办法第一章总则第一条为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进全行安全、持续、稳健发展，根据《商业银行信息科技风险管理指引》和有关信息系统管理的法规、标准，制定本办法。第二条信息科技风险是指信息科技在银行业运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第三条本办法信息科技风险管理，包括信息科技风险组织保障体系、总体风险控制、管理风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。第四条全行信息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则，防范风险，保障业务的持续性和信息的安全性、完整性、可用性。第四条全行信息科技风险管理按照统一规划建设、全第五条信息科技风险管理的目标是通过建立有效的机制，实现对本行信息科技风险的识别、计量、监测和控制,促进本行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。第六条本制度适用于总行、各分支行，附属机构。但不限于下述领域：（一）信息分级与保护。（二）信息系统开发、测试和维护。（三）信息科技运行和维护。（四）访问控制。（五）物理安全。（六）人员安全。（七）业务连续性计划与应急处置。第三十三条管理风险是指在信息科技专业化管理的制度建设、中长期规划和年度计划、可持续发展、机构建设、人员管理和信息安全管理等方面产生的风险。第三十四条按照专业化管理、信息安全、应用开发、运行维护的框架体系和信息科技管理操作流程，不断加强规章制度、技术规范、操作规程等的建设，明确各个岗位责任和岗位流程的前后衔接。第三十四条按照专业化管理、信息安全、应用开发、第三十五条建立健全信息科技制度的制定、审批和修订流程，使信息科技制度与国家、行业有关法律法规和本行总体业务发展相一致。第三十六条总行科技部负责组织制定中长期信息科技发展规划和年度工作计划，报告批准后组织实施，并根据业务发展状况组织定期修订。根据信息科技中长期规划和年度工作计划，制定明确、持续的风险管理规划，按照信息科技的敏感程度对各个集成

要素进行分析和评估，采取措施防范自然灾害、运行环境变化等产生的安全威胁，防范各类突发事件和恶意攻击。第三十七条逐步建立异地灾难备份中心，在数据中心发生重大安全事件时保障业务的连续性。第三十八条每年组织信息科技相关员工的专业素质调查，对新员工和转岗员工进行包括职业道德、安全意识和专业技能等在内的岗前培训。第三十九条定期组织整体信息安全风险评估和专项评估，并根据评估结果进行整改、实行信息安全等级保护,以保证信息系统的安全性和完整性。第四十条加强对计算机病毒的防范，加强对操作系第四十条加强对计算机病毒的防范，加强对操作系统、数据库和应用软件等的补丁升级管理以及软件的使用许可和授权管理。对网络安全实施有效控制，加强内外网接入安全管理，防火墙、入侵检测等按照整体安全策略进行设置、安装和管理。第五章开发风险控制第四十二条第四十二条第四十二条开发风险是指在开发过程中组织、规划、第四十二条开发风险是指在开发过程中组织、规划、需求、分析、设计、编程、测试和上线等环节产生的风险。第四十三条信息系统研发前必须按照总行相关规定第四十三条信息系统研发前必须按照总行相关规定成立项目组，并指定具体负责人，负责项目的组织、协调、检查和监督工作。第四十四条业务部门根据业务发展规划，在充分进行市场调查、产品效益分析的基础上制定项目可行性报告。第四十五条业务部门编写项目业务需求说明书，提出风险控制要求。第四十六条科技部依据业务需求分别编写项目总体第四十六条科技部依据业务需求分别编写项目总体技术框架、项目设计说明书，设计和编码须符合开发规范,并进行风险评估，整体技术框架应充分考虑性能、安全及特殊场景下的影响，同时能够支持信用风险、声誉风险等关联风险的联动。第四十七条在研发过程中的需求变更必须由变更提第四十七条在研发过程中的需求变更必须由变更提出部门以正式书面的形式通知科技部，经项目开发小组组长批准后，才能进行变更。第四十八条必须建立独立的测试环境，以保证测试的完整性和独立性。测试部门需提交完整的测试报告，测试报告应包括功能测试、安全性测试、验收测试、渗透性测试等测试，重要系统还需要提交系统的性能测试报告。第四十八条必须建立独立的测试环境，以保证测试的第四十九条项目开发小组根据测试结果修补系统的功能和安全性缺陷，提高系统的整体质量。第五十条业务人员、技术人员根据职责范围分别编写操作说明书、技术应急预案、业务连续性计划、上线计划、应急回退计划，并进行演练。第五十一条应用开发过程中所涉及的各种文档资料须经相关部门、人员的签字确认并归档保存。第五十二条项目验收必须出具相关负责人签字的项目验收报告，测试不合格不得上线使用。第六章运行维护风险控制及应急处置第六章运行维护风险控制及应急处置第五十三条运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。第五十四条信息科技运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护。第五十四条信息科技运行与维护应实行职责分离，运第五十五条信息系统的运行应符合以下要求：（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息。（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等。（三）记录机房环境、设备使用、网络运行、系统运行等监控信息以及值班操作信息。（四）对信息系统进行持续性或阶段性监测，主要包括响应时间和处理量、系统承载能力、系统使用的峰值和均值、系统使用趋向和容量等。第五十六条信息系统的维护应符合以下要求:（一）除对信息系统设备和系统环境的维护外，严禁对生产数据进行直接操作；（二）记录并保存各种详细的日志信息，以便维护和审计。第五十七条信息科技的变更应符合以下要求：（一）严格遵守相关制度，依照审批授权机制和工作流程，制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；（三）核心应用软件变更后应保留初始版本和所有历史版本，对所有重大变更文档进行归档管理；（四）重要信息系统或基础架构发生重大变更时，应对变更后的信息系统或架构开展压力测试工作，确保变更工作能够安全、稳定地支持业务开展；（五）应对变更的关联信息系统应急预案及操作手册开展评估或测试，及时修订应急预案与操作手册内容，确保文档有效。第五十八条科技部应对运行维护人员实施有效管理，对敏感性岗位人员定期进行背景检查和岗位轮换，实施有效避免人员过度流失的政策和有效岗位职权终止的制度。第五十九条对信息资料档案实施有效管理，加强对信息系统输出文件的控制和管理以及数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理，不得脱离系统采集加工、传输、存取数据；加强交易数据、账务数据、客户数据以及产生的报表数据等重要数据和系统说明文件、源程序以及系统开发、运行和维护过程中形成的各类技术资料的备份管理，保留副本并异地存放，按规定年限保存，调用时严格授权；存储介质的日常管理维护、废弃处理以及内容的恢复等必须严格遵守相关制度。第六十条对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。第六十一条采集生产主机、数据库、网络设备、防火墙和入侵检测等产生的详细日志并定期审阅。根据对业务影响的重要程度，确定保存期限、方式和调阅授权等。第六十二条信息系统发生造成重大风险、重大经济声誉损失和重大影响事件，应按照《广州银行重要信息系统应急预案》的要求，启动应急处置。第六十三条在重要信息系统故障发生后，相关部门和分支行应第一时间向科技部报告。当突发事件发生或系统故障经判断不能及时、有效排除，将可能造成重大影响时，科技部应根据应急预案，及时报告广州银行重要信息系统应急处置领导小组和风险管理部，并启动应急操作。应急处置领导小组组织相关部门进行应急处置，并向监管部门报告突发事件及应急响应情况。第六十四条信息系统突发事件发生后，根据突发事件第六十四条信息系统突发事件发生后，根据突发事件的严重程度，应急处置领导小组可根据需要向新闻媒体发布相关信息。对外信息发布和新闻报道由应急领导小组按照审批程序进行审批后对外发布。第七章外包风险控制及应急处置第六十五条外包风险是指将信息系统的规划、开发、第七章外包风险控制及应急处置建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。第六十六条在进行信息科技外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险以及外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。建立健全有关规章制度，制定相应的风险防范措施，审慎管理外包产生的风险，提高对外包管理的能力。第六十七条信息科技外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划。第六十八条建立健全信息科技外包风险评估与监测机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。第六十九条建立健全外包承包方技术服务能力的评估机制，充分审查承包方的综合技术服务支持能力，特别是与承包相关技术的先进性和成熟性以及与本行现有技术的匹配度。第七十条进行项目外包时必须与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权等方面的义务和责任。第七H条与外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更，保证外包服务不间断的应急预案。第七十二条将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律法规，符合中国人民银行和中国银保监会的有关规定，并在实施外包前报中国人民银行、中国银保监会及其派出机构和法律法规规定需要报告的机构备案。第八章信息系统风险审计第七十三条审计部负责信息科技风险审计，也可根据需要聘请经国家相应监管部门认定资质的中介机构对本行信息科技风险外部审计。第七十四条信息科技风险审计应包括：总体风险审计、系统审阅和专项风险审计。第七十五条总体风险审计是指对本机构所有信息系统共有的部分进行审计，实施总体风险控制。根据信息系统的总体风险状况确定审计频率。第七十六条信息科技专项风险审计是指对信息安全事故进行的调查、分析和评估，或原有信息系统进行重大结构调整的审计，或审计部认为需要对信息系统某项专题进行审计。第七十七条信息科技风险审计也可以由本行依据法律、法规和规章，委托并授权有法定资质的中介评估机构进行。中介机构进行审计时，应出示委托授权书，并依照委托授权书上规定的委托和授权范围进行审计。第七十八条中介机构根据授权出具的审计报告后，有关部室对该审计报告在法定时间内提出整改意见，并按审计报告中提出的建议进行及时整改。第七十九条中介机构应严格执行法律法规，保守本行的商业秘密和风险信息。审计过程中所有涉及资料的调阅应有交接手续，并不得带离现场或进行修改、复制。第九章业务连续性风险管理第八十条业务连续性风险指由于信息技术故障、外部服务中断、人为破坏、自然灾害等原因导致的信息系统服务异常、重要业务停止运营的风险。第八十一条总行风险管理部作为业务连续性主管部门，牵头建立全行业务连续性管理体系，组织科技部门和业务部门开展业务连续性管理工作。第八十二条本行每年需根据最新的生产系统情况，开展一次全面的业务影响分析，分析业务与系统、系统与系统间的关系，确定业务恢复时间要求（业务RTO）、业务恢复点要求（业务RPO）、信息系统恢复时间要求（信息系统RTO）、信息系统恢复点要求（信息系统RPO）、信息系统恢复优先级别。第八十三条本行应根据业务影响分析，评估业务连续性风险；应根据自身业务的性质、规模和复杂程度制定适当的业务连续性计划，以确保在无法预见的中断时，系统仍能持续运行并提供服务，定期对计划进行更新和演练，以保证其有效性。第八十四条总行风险管理部每年牵头组织一次全行性质的业务连续性计划演练，科技部、相关业务部门参与计划演练，通过演练不断完善业务连续性计划，提高本行业务连续性管理水平。第八十四条总行风险管理部每年牵头组织一次全行第十章信息安全管理第二章组织保障体系第七条根据本行信息科技治理的要求，法定代表人是本行信息科技风险管理第一责任人，负责组织本办法的贯彻落实，董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银保监会相关监管要求。（二）审查批准信息科技战略，确保其与本行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。（四）规范职业道德行为和廉洁标准，增强本行内部文化建设，提高全行员工对信息科技风险管理重要性的认识。（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。（六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。第八十五条应根据全行业务发展规划建立符合全行发展的信息安全工作方针，包括建立信息安全计划和保持长效的管理机制，并定期向信息科技管理委员会提交信息安全评估报告。第八十六条.应建立信息安全分级分类保护管理策略，根据不同的级别类别制定不同的信息安全控制策略，合理平衡威胁影响与实施成本，确保安全控制策略有效、可行。第八十七条信息安全策略应覆盖全行信息科技工作，包括但不限于以下内容：（一）根据物理区域重要程度划分不同的安全区域，制定现各区域的访问控制、环境监控、出入登记、物理防护等安全控制策略；（二）建立人员生命周期管理，实现人员入职、调岗、离职以及外包人员入场、离场过程中的安全管控，严格控制人员与信息资产之间的访问关系，明确人员保密责任与义务；（三）建立信息系统开发建设过程中的安全管控，实现在需求设计、代码编写、测试验收等不同阶段的安全控制；（四）建立信息系统运行维护过程中的安全管控，以“最小授权原则”建立访问控制关系，通过技术手段有效防范内外部攻击行为。建立统一日志管理机制与监控检测机制，管理所有生产系统的操作日志，以支持有效审核和安全取证分析，确保信息安全问题能够及时发现与有效追溯；（五）建立数据分级分类保护机制，有效控制数据的产生、存储、使用、销毁过程，采取安全可靠的隧道加密及数据加密措施，有效控制数据在传输过程中被窃听、篡改的风险；（六）建立信息资产的安全评估机制，实现对重要信息资产投产变更和周期性评估，识别、控制信息资产中存在的安全隐患；（七）建立终端的安全管控，控制终端日常使用、资源回收等过程中面临的安全隐患；（八）结合内部控制与技术控制实现创新技术应用过程中的安全管控，保持技术创新与安全研究同步。第八十八条根据安全策略建立全行信息资产安全基线，加强信息安全基础建设，实现对主机、网络、应用、终端等信息资产的安全准入。第八十九条每年开展面向全行的信息安全意识培训，增强全行员工信息安全意识与技能，提高全行员工应对信息安全威胁的能力。第十一章附则第九十条本办法由广州银行（风险管理部）负责制定、解释和修订。第九十一条本办法自下发之日起执行，原《广州银行信息科技风险管理办法》(赣银发(2020)460号)同时废止。附件：广州银行信息科技风险管理策略（七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。（A）每年审阅并向银保监会及其派出机构报送信息科技风险管理的年度报告。（九）确保信息科技风险管理工作所需资金。（十）确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。（十一）确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合中国银保监会监管和实施现场检查的要求，防范跨境风险。（十二）及时向中国银保监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，按相关预案快速响应。（十三）配合中国银保监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。（十四）履行信息科技风险管理其他相关工作。第八条本行应设立首席信息官，首席信息官直接向总行行长汇报，并参与决策。首席信息官的职责为：（一）直接参与本行与信息科技运用有关的业务发展决策。（二）确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。（三）负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。（四）确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构。（五）组织专业培训，提高人才队伍的专业技能。（六）履行信息科技风险管理其他相关工作。第九条本行需设立风险管理委员会和信息科技管理委员会。第十条风险管理委员会的工作职责为负责组织落实国家及中国人民银行、中国银保监会关于信息科技风险工作的方针政策，研究决定全行信息科技风险的重大事项，审批、组织信息科技风险工作的计划和实施；检查信息科技风险措施的执行情况。第十一条信息科技管理委员会的工作职责为：（一）审议IT战略规划，并报董事会批准。（二）对审定的IT战略规划进行执行和推动。（三）审定全行重要的IT管理制度、标准、流程和策略。（四）审定全行信息安全管理体系建设方案，评估全行信息安全风险。（五）调整IT项目和活动的优先级，对重要IT项目和活动进行监督、指导和评估。（六）在全行全面风险管理框架下，推动和落实信息科技风险管理规定和相关要求。（七）向董事会及高级管理层汇报信息科技战略规划的执行情况、预算和实际支出情况、信息科技整体状况、面临的主要风险及应对措施。（八）审定重大IT项目建设方案和技术架构。（九）审定重大IT项目终止及系统下线。（十）其它需要信科委审定的事项。第十二条各分（支）行主要负责人是本机构信息科技风险管理的第一责任人，信息科技风险管理状况纳入本机构考核体系。第十三条总行风险管理部负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和科技信息部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实。具体职责包括：（一）制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别；（二）建立持续的信息科技风险计量和监测机制；（三）组织开展全行业务连续性管理工作，指导、评估、监督各部门的业务连续性管理工作；组织制定业务连续性计划，协调业务条线部门，汇总、确定重要业务的恢复目标和恢复策略；组织开展业务连续性计划的演练、评估与改进；开展业务连续性管理培训等；（四）定期开展外包风险管理评估，保持评估的独立性,并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等；（五）定期开展数据中心风险评估工作，对风险进行分级管理，持续监督风险管理状况，及时预警，将风险控制在可接受水平；（六）充分识别、分析、评估重要信息系统投产及变更风险，包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险，并形成风险评估报告。第十四条总行科技部统一负责信息科技的规划、开发、建设、运行、维护和监控，提供日常科技服务和运行技术支持，对信息科技风险防范进行专业化管理。第十四条总行科技部统一负责信息科技的规划、开第十五条总行审计部负责信息科技风险的内部审计工作。第十六条总行科技部、风险管理部和审计部应配备适量的合格人员进行信息科技风险评估和审计。第十七条各分（支）行负责落实本行制定的各项风险防控政策在辖内的执行、制定（细则或补充规定）和实施情况。各分行应配备专职信息科技人员，各支行应配备兼职的科技协管员，负责本机构的信息系统安全及风险控制。第十八条总行科技部应明确信息科技安全、开发、维护、运行管理和设备管理岗位的职责，做到岗位之间互相制约，各岗位之间不得互相兼任，维护、安全等重要岗位实行A、B岗。第十九条科技部工作人员应符合以下要求：（一）具备良好的职业道德，掌握履行信息科技相关岗位职责所需的专业知识和技能。（二）未经岗前培训或培训不合格者不得上岗。（三）经考核不适宜的工作人员，及时进行调整。第三章总体风险控制第二十条总体风险是指全行信息科技在策略、管理、制度、软件、硬件、网络、数据、文档、机房、操作等方面影响全局或共有的风险。第二十一条总行各部（室）、各分（支）行应严格执行国家信息安全相关标准，参照有关国家标准，积极推进信息安全标准化。第二十二条建立健全与信息科技相关的规章制度、技术规范和操作规程，明确信息科技相关人员的职责权限，建立制约机制，防范信息科技风险。各相关部门应加强