制度體系之-信息科技風(fēng)險(xiǎn)管理辦法解讀

信息科技風(fēng)險(xiǎn)治理方法〔下稱“我行”營治理和內(nèi)部把握過程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)我行各項(xiàng)業(yè)務(wù)安全、持續(xù)、穩(wěn)健運(yùn)行，依據(jù)《中華人民共和國銀行業(yè)監(jiān)視治理法》、《中華人民共和國商業(yè)銀行法》,制定本治理方法。,制訂完善的治理制度和流程。行運(yùn)用過程中,法律和聲譽(yù)等風(fēng)險(xiǎn)。創(chuàng)，提高信息技術(shù)使用水平,增加核心競爭力和可持續(xù)進(jìn)展力氣.的第一責(zé)任人,,董事會(huì)應(yīng)履行以下信息科技治理職責(zé)：(中國銀行業(yè)監(jiān)視治理委員會(huì)((.(被識別、計(jì)量、監(jiān)測和把握。(,科技風(fēng)險(xiǎn)治理重要性的生疏。(狀況。〔,.加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才鼓舞機(jī)制.〔.(.(〔流程,并安排相關(guān)培訓(xùn)?！驳囊?防范跨境風(fēng)險(xiǎn)。(大事,按相關(guān)預(yù)案快速響應(yīng)?！补芤庖娺M(jìn)展整改。(.,,并參與決策.副行級領(lǐng)導(dǎo)的職責(zé)包括：(〔,戰(zhàn)略和信息科技風(fēng)險(xiǎn)治理策略.(.確保其履行:信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部把握職責(zé).(個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu).〔,提高人才隊(duì)伍的專業(yè)技能?！病哺褡C書等信息?！?〔〔,.:〔,產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)展維護(hù),.〔,包括規(guī)定巡檢時(shí)間,、命令以及負(fù)責(zé)人員等信息。〔等監(jiān)控信息。(.(數(shù)據(jù)應(yīng)通過柜員終端,〔,以便維護(hù)和審計(jì)?！病?更、泄漏、喪失與破壞。依據(jù)敏感程度和用途,圍，嚴(yán)格審批和登記手續(xù)。2,3〔24小時(shí)值班.〔大事，應(yīng)即時(shí)上報(bào)并處理,〔風(fēng)險(xiǎn)息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評估，跟蹤整改意見的落實(shí),(,并〔;(.〔,風(fēng)險(xiǎn)，審核相應(yīng)的操作和風(fēng)險(xiǎn)治理程序.,對信息科技整個(gè)生命周國家相應(yīng)監(jiān)域：〔〔〔.(.〔.〔(,區(qū)域,,并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級別〔.,實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括:〔更和公示?！?實(shí)現(xiàn)風(fēng)險(xiǎn)最小化.容，包括:12.3“必需知道”和“最小授權(quán)“為原則。4、審批和授權(quán)。5、驗(yàn)證和調(diào)整。(〔(.〔.〔.(.((息保護(hù)流程。供建議,.信息安全治理.以下領(lǐng)域:(((.〔〔.(.〔〔.〔.〔..我行時(shí),,,明確相應(yīng)的職責(zé)，實(shí)行必要的,將網(wǎng)絡(luò)劃分為不同的〔義和評估結(jié)果實(shí)施有效的安全把握,〔〔〔〔〔(.,〔求。(.〔的操作日志被記錄和監(jiān)察。((改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)消滅的任何特別大事,定期匯報(bào)監(jiān)控狀況.〔責(zé)。(〔,對關(guān)鍵或敏感崗位進(jìn)展雙重把握.〔.(,改。(必要信息。(.〔算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：〔,內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等.〔系統(tǒng)和路由器等生成,..時(shí),并確保其完整性.技治理委員會(huì)批準(zhǔn)。,,以確保:(.〔.〔〔,(PC、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)〔ATM(POS和個(gè)人數(shù)字助理〔PDA,,使規(guī)定的行為實(shí)行零容忍政策。部署、維護(hù)、升級和報(bào)廢,制定制度和流程治理信息科技工程的優(yōu)先排序、立項(xiàng)、審批和把握.,組織對系統(tǒng)的.,,并實(shí)行適出。所承受的系統(tǒng)開發(fā)方法應(yīng)符合信息科技工程的規(guī)模、性質(zhì)和簡潔度.,整性和可維護(hù)性,其中應(yīng)包括以下要求：(〔.〔,(,應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn),〔程中數(shù)據(jù)的完整性、保密性和可用性。,以確保全面;如需供給〔如是否接,并防止因意外斷電或供電干擾影響數(shù)第三十四條嚴(yán)格把握第三方人員(如效勞供給商進(jìn)入安全區(qū)域,如確需進(jìn)入應(yīng)部的崗位制約;,實(shí)行必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求.〔即備份的頻率、范圍和保存周期.,關(guān)的信息科技治理人員報(bào)告事故的發(fā)生,的處臵和根本緣由分析。我行應(yīng)建立效勞臺,為用戶供給相關(guān)技術(shù)問題的在線支.進(jìn)展考核。,修正。,.可用性,并完整保存記錄(包括疑似和實(shí)際的制定有效的變更治理流程,的全部變更都應(yīng)記入日志,由信息科技部門和業(yè)務(wù)部門共同審核簽字,并事先進(jìn)展備;定期對規(guī)劃進(jìn)展更和演練,估可能由下述緣由導(dǎo)致的破壞：〔(.((〔如戰(zhàn)斗、地震或臺風(fēng)等。并通過應(yīng)急安排和保險(xiǎn)等方式降低影響。,性進(jìn)展檢查和溝通的打算.其中包括:〔一標(biāo)準(zhǔn)的業(yè)務(wù)連續(xù)性打算，明確降低短期:1(2.3〔排.(〔〔履行.〔,應(yīng)做好相關(guān)預(yù)備，其中包括：〔,是否滿足我行履行對外包效勞商的監(jiān)視義務(wù).〔(,對外包效勞商進(jìn)展風(fēng)險(xiǎn)評估,.〔〔?！矘I(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。,〔(.(和其他信息?！病?,〔〔的條件，例如:123.,應(yīng)考慮的因素包括但不限于：〔效勞的充分性。〔.(科技相關(guān)外包治理工作,以下措施:(.〔“必需知道”和“最小授權(quán)”〔(.〔安全。〔的重大缺失。尤其需要考慮外包效勞商的重大議。,對相關(guān)系統(tǒng)及其把握的適當(dāng)性和有效性進(jìn)展監(jiān)測.,具有適當(dāng)?shù)氖跈?quán)訪問我行的記錄.〔的充分性和有效性?！病?,的調(diào)查、分析和評估,的審計(jì).科技應(yīng)用狀況,率。但至少應(yīng)每三年進(jìn)展一次全面審計(jì)。,審計(jì)部門參與,,托付具備相應(yīng)資,