銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引_第1頁(yè)
銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引_第2頁(yè)
銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引_第3頁(yè)
銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引_第4頁(yè)
銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

金融行業(yè)發(fā)布的文件銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引01總則總體風(fēng)險(xiǎn)控制機(jī)構(gòu)職責(zé)研發(fā)風(fēng)險(xiǎn)控制目錄03020405維護(hù)風(fēng)險(xiǎn)控制審計(jì)外包風(fēng)險(xiǎn)控制附則目錄070608基本信息此文件已廢除,新文件《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》總則總則第一條為有效防范銀行業(yè)金融機(jī)構(gòu)運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營(yíng)管理和內(nèi)部控制過(guò)程中產(chǎn)生的風(fēng)險(xiǎn),促進(jìn)我國(guó)銀行業(yè)安全、持續(xù)、穩(wěn)健運(yùn)行,根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、國(guó)家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī),制定本指引。第二條本指引適用于銀行業(yè)金融機(jī)構(gòu)。本指引所稱銀行業(yè)金融機(jī)構(gòu),是指在中華人民共和國(guó)境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及政策性銀行。在中華人民共和國(guó)境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司、財(cái)務(wù)公司、金融租賃公司、汽車(chē)金融公司以及經(jīng)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱銀監(jiān)會(huì))及其派出機(jī)構(gòu)批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu),適用本指引規(guī)定。第三條本指引所稱信息系統(tǒng),是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營(yíng)管理和內(nèi)部控制的系統(tǒng)。第四條本指引所稱信息系統(tǒng)風(fēng)險(xiǎn),是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過(guò)程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。機(jī)構(gòu)職責(zé)機(jī)構(gòu)職責(zé)第六條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立有效的信息系統(tǒng)風(fēng)險(xiǎn)管理架構(gòu),完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制,防范和控制信息系統(tǒng)風(fēng)險(xiǎn)。第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)認(rèn)真履行下列信息系統(tǒng)管理職責(zé):(一)貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)銀監(jiān)會(huì)相關(guān)監(jiān)管要求;(二)建立有效的信息安全保障體系和內(nèi)部控制規(guī)程,明確信息系統(tǒng)風(fēng)險(xiǎn)管理崗位責(zé)任制度,并監(jiān)督落實(shí);(三)負(fù)責(zé)組織對(duì)本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行檢查、評(píng)估、分析,及時(shí)向本機(jī)構(gòu)專(zhuān)門(mén)委員會(huì)和銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送相關(guān)的管理信息;(四)及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件,并按有關(guān)預(yù)案快速響應(yīng);(五)每年經(jīng)董事會(huì)或其他決策機(jī)構(gòu)審查后向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息系統(tǒng)風(fēng)險(xiǎn)管理的年度報(bào)告;(六)做好本機(jī)構(gòu)信息系統(tǒng)審計(jì)工作;(七)配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督檢查工作,并按照監(jiān)管意見(jiàn)進(jìn)行整改;(八)組織本機(jī)構(gòu)信息系統(tǒng)從業(yè)人員進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn);總體風(fēng)險(xiǎn)控制總體風(fēng)險(xiǎn)控制第十四條總體風(fēng)險(xiǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。第十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃,制定明確、持續(xù)的風(fēng)險(xiǎn)管理策略,按照信息系統(tǒng)的敏感程度對(duì)各個(gè)集成要素進(jìn)行分析和評(píng)估,并實(shí)施有效控制。第十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)采取措施防范自然災(zāi)害、運(yùn)行環(huán)境變化等產(chǎn)生的安全威脅,防止各類(lèi)突發(fā)事故和惡意攻擊。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等;明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限,建立制約機(jī)制,實(shí)行最小授權(quán)。第十八條在境外設(shè)立的我國(guó)銀行業(yè)金融機(jī)構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機(jī)構(gòu),應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風(fēng)險(xiǎn)。第十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn),參照有關(guān)國(guó)際準(zhǔn)則,積極推進(jìn)信息安全標(biāo)準(zhǔn)化,實(shí)行信息安全等級(jí)保護(hù)。研發(fā)風(fēng)險(xiǎn)控制研發(fā)風(fēng)險(xiǎn)控制第三十二條研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。第三十三條銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)研發(fā)前應(yīng)成立項(xiàng)目工作小組,重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組,并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成,具體負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)工作。第三十四條項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專(zhuān)業(yè)技術(shù)知識(shí),小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進(jìn)度。第三十五條銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門(mén)根據(jù)本機(jī)構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略,在充分進(jìn)行市場(chǎng)調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項(xiàng)目可行性報(bào)告。第三十六條銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門(mén)編寫(xiě)項(xiàng)目需求說(shuō)明書(shū),提出風(fēng)險(xiǎn)控制要求,信息科技部門(mén)根據(jù)項(xiàng)目需求編制項(xiàng)目功能說(shuō)明書(shū)。第三十七條銀行業(yè)金融機(jī)構(gòu)信息科技部門(mén)依據(jù)項(xiàng)目功能說(shuō)明書(shū)分別編寫(xiě)項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說(shuō)明書(shū),設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說(shuō)明書(shū)的要求。維護(hù)風(fēng)險(xiǎn)控制維護(hù)風(fēng)險(xiǎn)控制第四十三條運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。第四十四條銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離,運(yùn)行人員應(yīng)實(shí)行專(zhuān)職,不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù),除應(yīng)急外,其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行。第四十五條銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的運(yùn)行應(yīng)符合以下要求:(一)制定詳細(xì)的運(yùn)行值班操作表,包括規(guī)定巡檢時(shí)間,操作范圍、內(nèi)容、辦法、命令以及負(fù)責(zé)人員等信息;(二)提供常見(jiàn)和簡(jiǎn)便的操作菜單或命令,如信息系統(tǒng)的啟動(dòng)或停止、運(yùn)行日志的查詢等;(三)提供機(jī)房環(huán)境、設(shè)備使用、絡(luò)運(yùn)行、系統(tǒng)運(yùn)行等監(jiān)控信息;(四)記錄運(yùn)行值班過(guò)程中所有現(xiàn)象、操作過(guò)程等信息。外包風(fēng)險(xiǎn)控制外包風(fēng)險(xiǎn)控制第五十一條外包風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。第五十二條銀行業(yè)金融機(jī)構(gòu)在進(jìn)行信息系統(tǒng)外包時(shí),應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要,合理確定外包的原則和范圍,認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn),建立健全有關(guān)規(guī)章制度,制定相應(yīng)的風(fēng)險(xiǎn)防范措施。第五十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全外包承包方評(píng)估機(jī)制,充分審查、評(píng)估承包方的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平,并進(jìn)行必要的盡職調(diào)查。評(píng)估工作可委托經(jīng)國(guó)家相應(yīng)監(jiān)管部門(mén)認(rèn)定資質(zhì),具有相關(guān)專(zhuān)業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成。第五十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)與承包方簽訂書(shū)面合同,明確雙方的權(quán)利、義務(wù),并規(guī)定承包方在安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任。第五十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接影響,并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中。第五十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與監(jiān)測(cè)程序,審慎管理外包產(chǎn)生的風(fēng)險(xiǎn),提高本機(jī)構(gòu)對(duì)外包管理的能力。審計(jì)審計(jì)第六十條銀行業(yè)金融機(jī)構(gòu)內(nèi)設(shè)審計(jì)部門(mén)負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)審計(jì),也可聘請(qǐng)經(jīng)國(guó)家相應(yīng)監(jiān)管部門(mén)認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。第六十一條信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)應(yīng)包括:總體風(fēng)險(xiǎn)審計(jì)、系統(tǒng)審閱和專(zhuān)項(xiàng)風(fēng)險(xiǎn)審計(jì)。第六十二條總體風(fēng)險(xiǎn)審計(jì)是指對(duì)本機(jī)構(gòu)所有信息系統(tǒng)共有的公共部分進(jìn)行審計(jì),實(shí)施總體風(fēng)險(xiǎn)控制。根據(jù)信息系統(tǒng)的總體風(fēng)險(xiǎn)狀況確定審計(jì)頻率,但至少每3年審計(jì)一次。第六十三條信息系統(tǒng)的系統(tǒng)審閱是指對(duì)研發(fā)、運(yùn)行及退出的全過(guò)程進(jìn)行審計(jì),分投產(chǎn)前與投產(chǎn)后的審閱。第六十四條投產(chǎn)前的系統(tǒng)審閱是指審計(jì)人員采用非現(xiàn)場(chǎng)形式,對(duì)信息項(xiàng)目開(kāi)發(fā)過(guò)程中所提交的有關(guān)文檔

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論