发布日期:2024-07-11 00:01:13 来源:米乐m6官网登录入口 作者:m6米乐手机网页版登录
法定代表人是信息科技风险管理的第一责任人;日常管理由首席信息官具体执行,参与信息科 技业务发展决策,统筹信息科技战略;建立信息科技部门,履行信息科技职责,提高人才专业 技能。
董事会履行信息科技管理职责,包括遵守信息科技管理法律法规和银监会监管要求;审查批准 信息科技战略,成立信息科技委员会;识别、计量、监测和控制信息科技风险;规范职业道德 和廉洁标准;加快队伍建设,建立完善内部审计、资金、制度管理、培训机制;独立运行核心 系统;及时报告重大突发事故等。通过决策进一步完善现代化的公司治理机制。
明确信息科技部门内部管理职责,鉴定个人职业道德和操守,评估各岗位风险,适时调整变更 人员、信息,以防信息泄露。做好报告任务,设立专门的信息科技风险审计岗位对信息科技风 险进行全面审计。
制定符合银行总体业务规划的信息科技战略、运行风险评估计划,提供安全、稳定的信息科技 发展环境。一是制定全面的信息科技风险管理策略,包括七个方面:信息分级与保护、信息系 统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计 划与应急处置等。二是制定不间断的风险识别和评估流程,排除风险隐患。通过贯彻策略和规 划,强化风险意识,实施全面的风险防范措施,规范制度管理,使风险最小化。 b 建立持续的信息科技风险计量和监测机制,包括建立信息科技项目实施前后的评价;定期检查 系统性能的程序和标准;构建信息科技服务投诉和事故处理的报告机制;做好内外部审计和监 管发现问题的整改处理机制;完善审查服务水平的完成情况;定期评估新技术发展可能造成的 影响和已使用软件面临的新威胁;定期进行运行环境下操作风险和管理控制的检查;定期进行 信息科技外包项目的风险评估等。 信 息 安 全 与 运 行 a 落实信息安全管理职能,包括对安全制度、人力、系统软硬件等方面管理。
建立有效管理用户认证和访问控制的流程,明确人员职责;采取有效的身份验证方法,保障计 算机操作系统和系统软件的安全;按照不同标准留存日志;采取安全的方式处理保密信息的输 入和输出,利用加密技术防止信息泄露或被盗取、篡改;保留审计档案材料,规范信息系统流程。
严格评估数据中心的选址,考虑环境威胁;监控信息设备运行,建立事故管理及处置机制,及 时响应信息系统运行事故,以便进行维护和适当的升级;控制第三方人员进入安全区域,以避 免数据外泄;依法保存交易记录,确保数据的完整性;制定详尽的信息科技运行操作说明,建 立服务水平管理相关的制度和流程,建立连续监控信息系统性能的相关程序,制定容量规划, 完善变更管理,多方位考虑信息科技运行风险。
对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和 流程,管理信息科技项目的优先排序、立项、审批和控制。在信息系统投产后一定时期内,组 织对系统的后评价,适时做出优化与调整,以满足信息科技与业务发展同步的需求。
识别信息科技项目的相关风险,以项目管理方法进行控制。采取适当的系统开发方法,控制信 息系统的生命周期;制定相关控制信息系统变更的制度和流程,落实相关制度、标准和流程, 建立并完善有效的问题管理流程,控制系统升级过程,确保系统的可靠性、完整性、保密性和 可维护性。
制定业务连续性规划,创建维持运营连续性策略的文档,定期对规划进行更新和演练,判断意 外事件可能导致业务运行中断的概率及其带来的影响,并采取系统恢复和双机热备处理等措施, 以降低信息科技风险。
独自承担信息科技管理责任,针对基础设施和数据中心重要外包项目,以书面材料正式报告银 监会或其派出机构,避免外包机构盗取或外包服务中断引发系统运维停滞。
选择外包服务商注意以下几点:服务商的报告要求和谈判必要条件;银监会和内外部审计能执 行充分监督职能;签署保密协议和采取防护措施保障信息安全;担保和损失赔偿充足;服务商 遵守银行的风险制度,提供较明确的业务连续性支撑等。与外包服务商签署协议或对外包协议 做出重大变更前,需分析各类风险,尤其是银行对外包服务操作风险的控制及监督,评估外包 风险,考察服务商的整体稳定性,更需关注外包协议变更前后的无缝衔接。在制定服务协议和 双方关系管理时,提出定量和定性结合的绩效考核指标,利用服务水平报告、定期自我评估、 内外部独立审计等手段反馈到外包服务商,要求其整改、完善。
在信息科技外包管理工作过程中,隔离银行客户和外包服务商其他客户的资料,遵循保密原则, 授予外包服务商相关人员合适的权限;重要外包涉及的客户信息要告知客户;严禁转包,确保 在中止外包协议时收回或销毁外包服务商保存的所有客户资料,保护敏感信息安全;制定应急 预案,防范重大事件造成损失 。
内部审计部门应根据业务的性质、规模和复杂程度,监测相关系统的适当性和有效性;内审的 范围和频率,应至少确保每三年进行一次全面审计。
大规模系统开发必须有信息科技风险管理部门和内部审计部门参与,保证系统开发符合信息科 技风险管理标准。
在符合法律、法规和监管要求的情况下,可委托符合资质的外部审计机构对本银行软硬件、数 据和文档进行审计(保密文件除外),双方充分沟通、协调,并签订保密协议。