1、為有效防范運用信息系統(tǒng)進行業(yè)務處理、經營管理和內部控制過程中產生的風險，促進我行各項業(yè)務安全、持續(xù)、穩(wěn)健運行，根據中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商業(yè)銀行法、商業(yè)銀行信息科技風險管理指引、營口沿海銀操作風險管理指引，以及國家信息安全相關要求和有關法律法規(guī)，制定本管理辦法。本管理辦法所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在我行業(yè)務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。本管理辦法所稱信息科技風險，是指信息科技在我行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律

2、和聲譽等風險。信息科技風險管理的目標是通過建立有效的機制，實現對我行信息科技風險的識別、計量、監(jiān)測和控制，促進我行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。根據我行信息科技治理的要求，法定代表人是本機構信息科技風險管理的第一責任人，負責組織本管理辦法的貫徹落實, 董事會應履行以下信息科技管理職責：我行應設立分管信息科技的副行級領導，直接向行長匯報，并參與決策。副行級領導的職責包括：科技部負責我行信息安全、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行、業(yè)務連續(xù)性管理；應對內部管理職責進行明確的界定，各崗位的人員應具有相應的專業(yè)知識和技能，重要崗位應制定詳

3、細完整的工作手冊并適時更新，并對相關人員采取相關的風險防范措施：運營管理部職能交叉，要部門協(xié)調是信息系統(tǒng)中涉及賬務交易的操作、系統(tǒng)參數變更、事件管理的主要部門。運營管理部的職責包括：風險管理部負責信息科技風險管理工作，并直接向分管行領導（風險管理委員會）報告工作。該部門應為信息科技突發(fā)事件應急響應小組的成員之一，負責協(xié)調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務部門和信息科技部門提供建議及相關合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。風險管理部的職責包括：稽核審計部應在部門設立專門的信息科技風

4、險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計?；藢徲嫴控撠熚倚行畔⑾到y(tǒng)審計任務，也可聘請經國家相應監(jiān)管部門認定資質的中介機構進行信息系統(tǒng)外部審計。我行應制定全面的信息科技風險管理策略，包括但不限于下述領域：我行應制定持續(xù)的風險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優(yōu)先級別（包括外包供應商、產品供應商和服務商）。我行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：我行應建立持續(xù)的信息科技風險計量和監(jiān)測機制，其

5、中應包括：科技部負責建立和實施信息分類和保護體系，應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程?？萍疾繎鋵嵭畔踩芾砺毮?。該職能應包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。信息安全策略應涉及以下領域：應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內的活動只限于相關業(yè)務能合法開展所要求的最低

6、限度。用戶調動到新的工作崗位或離開我行時，應在系統(tǒng)中及時檢查、更新或注銷用戶身份。應確保設立物理安全保護區(qū)域，包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區(qū)域，明確相應的職責，采取必要的預防、檢測和恢復控制措施。應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區(qū)、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監(jiān)控、記錄活動日志等。應通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：應通過以下措施，確保所有信息系統(tǒng)安全：應制定相關策略和

7、流程，管理所有生產系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、不同的計算機和網絡設備上完成，日志劃分為兩大類：應保證交易日志和系統(tǒng)日志中包含足夠的內容，以便完成有效的內部控制、解決系統(tǒng)故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應及時復查系統(tǒng)日志。交易日志或系統(tǒng)日志的復查頻率和保存周期應由信息科技部門和有關業(yè)務部門共同決定，并報信息科技管理委員會批準。應采取加密技術，防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險，并建立密碼設備管理制度，以確保： 配備切實有效的系統(tǒng)，確保所有終端用戶設備的安全，并定

8、期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數字助理（PDA）等。制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀。對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。應有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進

9、行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統(tǒng)投產后一定時期內，組織對系統(tǒng)的后評價，并根據評價結果及時對系統(tǒng)功能進行調整和優(yōu)化。應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規(guī)劃或不適當的項目管理控制產生的機會成本，并采取適當的項目管理方法，控制信息科技項目相關的風險。采取適當的系統(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應符合信息科技項目的規(guī)模、性質和復雜度。制定相關控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、

10、完整性和可維護性，其中應包括以下要求：建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和說明，并通知相關人員。在選擇數據中心的地理位置時，應充分考慮環(huán)境威脅（如是否接近自然災害多發(fā)區(qū)、危險或有害設施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設備運行構成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數據中心的正常運行。嚴格控制第三方人員（如服務供應商）進入安全區(qū)域，如確需進入應得到適當的

11、批準，其活動也應受到監(jiān)控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調查。應將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內部的崗位制約；對數據中心的崗位和職責做出明確規(guī)定。按照有關法律法規(guī)要求保存交易記錄，采取必要的程序和技術，確保存檔數據的完整性，滿足安全保存和可恢復要求。制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執(zhí)行步驟，以及生產與開發(fā)環(huán)境中數據、軟件的現場及非現場備份流程和要求（即備份的頻率、范圍和保留周期）。建立事故管理及處置機制，及時響應信息系統(tǒng)運行事故，逐

12、級向相關的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。我行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。建立服務水平管理相關的制度和流程，對信息科技運行服務水平進行考核。建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統(tǒng)性能造成影響前對其進行識別和修正。制定容量規(guī)劃，以適應由于外部環(huán)境變化產生的業(yè)務發(fā)展和交易量增長。容量規(guī)劃應涵蓋生產系統(tǒng)、備份系統(tǒng)及相關設備。及時進行維護和適當的系統(tǒng)升級，以確保與技術相關服務的連續(xù)可用性，并完整保存記錄（包括疑似和實際

13、的故障、預防性和補救性維護記錄），以確保有效維護設備和設施。制定有效的變更管理流程，以確保生產環(huán)境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，由信息科技部門和業(yè)務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統(tǒng)版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的修正以取代緊急變更。根據自身業(yè)務的性質、規(guī)模和復雜程度制定適當的業(yè)務連續(xù)性規(guī)劃，以確保在出現無法預見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務；定期對規(guī)劃進行更新和演練，以保證其有效性。評估因意外事件導致其業(yè)務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：應采取系統(tǒng)恢復和雙機

14、熱備處理等措施降低業(yè)務中斷的可能性，并通過應急安排和保險等方式降低影響。建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：我行的業(yè)務連續(xù)性計劃和年度應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。外包不得將我行信息科技管理責任外包，應合理謹慎監(jiān)督外包職能的履行。實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監(jiān)會或其派出機構。在簽署外包協(xié)議或對外包協(xié)議進行重大變更前，應做好相關準備，其中包括：在與外包服務商合同談判過程中，應考慮的因素包括但不限于：在實施雙方關系管理，以及起草服務水平協(xié)議

15、時，應考慮的因素包括但不限于：加強信息科技相關外包管理工作，確保我行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：我行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協(xié)議的意外終止。我行所有信息科技外包合同應由科技部、風險管理部、法律合規(guī)部和信息科技管理委員會審核通過。我行應設立流程定期審閱和修訂服務水平協(xié)議。審計我行內部審計部門應根據業(yè)務的性質、規(guī)模和復雜程度，對相關系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。稽核審計部門應配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于我行的日?；顒?，具有適

16、當的授權訪問我行的記錄。我行內部信息科技審計的責任包括：我行應根據業(yè)務性質、規(guī)模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。我行在進行大規(guī)模系統(tǒng)開發(fā)時，應要求信息科技風險管理部門和內部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風險管理標準。我行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。在委托審計過程中，我行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查，以發(fā)現信息科技存在的風險，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術保密信息除外。我行在實施外部審計前應與外部審計機構進行充分溝通，詳細確定審計范圍，不應故意隱瞞事實或阻撓審計檢查。銀監(jiān)會及其派出機構必要時可指定具備相應資質的外部審計機構對我行執(zhí)行信息科技審計或相關檢查。外部審計機構根據