銀行信息資產(chǎn)管理辦法總則制定目的本辦法旨在規(guī)范銀行信息資產(chǎn)的管理，確保信息資產(chǎn)的安全性、完整性和可用性，有效防范信息資產(chǎn)相關(guān)風(fēng)險(xiǎn)，保障銀行各項(xiàng)業(yè)務(wù)的穩(wěn)健運(yùn)行，保護(hù)客戶及銀行自身的合法權(quán)益。適用范圍本辦法適用于銀行總行及各分支機(jī)構(gòu)，涵蓋銀行信息資產(chǎn)的全生命周期管理，包括但不限于信息資產(chǎn)的規(guī)劃、采購(gòu)、開(kāi)發(fā)、使用、存儲(chǔ)、維護(hù)、處置等環(huán)節(jié)?；驹瓌t1.合規(guī)性原則：嚴(yán)格遵守國(guó)家法律法規(guī)、監(jiān)管要求以及行業(yè)標(biāo)準(zhǔn)，確保信息資產(chǎn)管理活動(dòng)合法合規(guī)。2.安全性原則：采取有效措施保障信息資產(chǎn)的保密性、完整性和可用性，防止信息資產(chǎn)被非法獲取、篡改或破壞。3.風(fēng)險(xiǎn)管理原則：識(shí)別、評(píng)估和控制信息資產(chǎn)相關(guān)風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。4.分級(jí)分類管理原則：根據(jù)信息資產(chǎn)的重要性和敏感程度進(jìn)行分級(jí)分類，實(shí)施差異化管理。5.全員參與原則：信息資產(chǎn)管理涉及銀行各個(gè)部門和崗位，全體員工應(yīng)積極參與，履行各自職責(zé)。術(shù)語(yǔ)定義1.信息資產(chǎn)：指銀行擁有或控制的，與業(yè)務(wù)運(yùn)營(yíng)相關(guān)的各類信息資源，包括但不限于客戶信息、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)軟件、文檔資料等。2.信息資產(chǎn)全生命周期：從信息資產(chǎn)的產(chǎn)生、獲取、使用、維護(hù)到最終處置的全過(guò)程。3.信息資產(chǎn)分級(jí)分類：根據(jù)信息資產(chǎn)對(duì)銀行的重要性、影響范圍、敏感程度等因素進(jìn)行分級(jí)，以及按照信息資產(chǎn)的類型、性質(zhì)等進(jìn)行分類。信息資產(chǎn)分級(jí)分類管理分級(jí)標(biāo)準(zhǔn)1.一級(jí)信息資產(chǎn)：對(duì)銀行核心業(yè)務(wù)、財(cái)務(wù)狀況、客戶權(quán)益等具有重大影響，一旦泄露、損壞或丟失將導(dǎo)致銀行面臨重大損失或聲譽(yù)風(fēng)險(xiǎn)的信息資產(chǎn)。如客戶關(guān)鍵交易信息、銀行核心賬務(wù)數(shù)據(jù)等。2.二級(jí)信息資產(chǎn)：對(duì)銀行重要業(yè)務(wù)運(yùn)營(yíng)、風(fēng)險(xiǎn)管理等有較大影響，信息泄露、損壞或丟失可能造成一定損失或影響的信息資產(chǎn)。如部分業(yè)務(wù)系統(tǒng)數(shù)據(jù)、重要客戶資料等。3.三級(jí)信息資產(chǎn)：對(duì)銀行日常業(yè)務(wù)開(kāi)展有一定支持作用，信息資產(chǎn)的安全性和完整性相對(duì)重要性稍低的信息資產(chǎn)。如一般性辦公文檔、內(nèi)部培訓(xùn)資料等。分類標(biāo)準(zhǔn)1.客戶信息類：包括客戶基本信息、交易記錄、信用評(píng)級(jí)等。2.業(yè)務(wù)數(shù)據(jù)類：涵蓋各類業(yè)務(wù)系統(tǒng)產(chǎn)生的數(shù)據(jù)，如存款、貸款、支付結(jié)算等業(yè)務(wù)數(shù)據(jù)。3.系統(tǒng)軟件類：銀行使用的各類操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等。4.文檔資料類：銀行內(nèi)部的規(guī)章制度、業(yè)務(wù)流程、合同協(xié)議、報(bào)告報(bào)表等。5.網(wǎng)絡(luò)資產(chǎn)類：銀行的網(wǎng)絡(luò)設(shè)備、通信線路、服務(wù)器等硬件設(shè)施。分級(jí)分類流程1.資產(chǎn)識(shí)別：各部門對(duì)本部門所擁有或使用的信息資產(chǎn)進(jìn)行全面梳理，填寫信息資產(chǎn)登記表，明確資產(chǎn)名稱、類型、來(lái)源、用途、責(zé)任人等信息。2.分級(jí)分類初評(píng)：資產(chǎn)所屬部門根據(jù)分級(jí)分類標(biāo)準(zhǔn)，對(duì)信息資產(chǎn)進(jìn)行初步評(píng)估，確定資產(chǎn)的初始級(jí)別和類別。3.審核與確定：信息科技管理部門會(huì)同風(fēng)險(xiǎn)管理部門、合規(guī)管理部門等對(duì)各部門提交的分級(jí)分類初評(píng)結(jié)果進(jìn)行審核，如有異議，組織相關(guān)部門進(jìn)行討論和調(diào)整，最終確定信息資產(chǎn)的分級(jí)分類結(jié)果。4.動(dòng)態(tài)調(diào)整：隨著銀行內(nèi)外部環(huán)境的變化，定期對(duì)信息資產(chǎn)的分級(jí)分類進(jìn)行回顧和調(diào)整，確保分級(jí)分類的準(zhǔn)確性和有效性。信息資產(chǎn)規(guī)劃與采購(gòu)規(guī)劃原則1.業(yè)務(wù)驅(qū)動(dòng)原則：信息資產(chǎn)規(guī)劃應(yīng)緊密圍繞銀行的業(yè)務(wù)戰(zhàn)略和發(fā)展目標(biāo)，滿足業(yè)務(wù)需求。2.整合優(yōu)化原則：充分整合現(xiàn)有信息資產(chǎn)，避免重復(fù)建設(shè)，提高信息資產(chǎn)的利用效率。3.技術(shù)前瞻性原則：關(guān)注信息技術(shù)發(fā)展趨勢(shì)，采用先進(jìn)、適用的技術(shù)，確保信息資產(chǎn)具有一定的前瞻性和擴(kuò)展性。規(guī)劃流程1.需求調(diào)研：業(yè)務(wù)部門提出信息資產(chǎn)需求，包括業(yè)務(wù)功能、性能要求、數(shù)據(jù)量等，信息科技管理部門會(huì)同相關(guān)部門進(jìn)行需求調(diào)研和分析。2.規(guī)劃編制：根據(jù)需求調(diào)研結(jié)果，信息科技管理部門組織編制信息資產(chǎn)規(guī)劃，明確信息資產(chǎn)的建設(shè)目標(biāo)、內(nèi)容、實(shí)施計(jì)劃等。3.規(guī)劃評(píng)審：信息資產(chǎn)規(guī)劃提交銀行管理層及相關(guān)部門進(jìn)行評(píng)審，評(píng)審?fù)ㄟ^(guò)后納入銀行整體發(fā)展規(guī)劃。采購(gòu)管理1.采購(gòu)流程：按照銀行采購(gòu)管理相關(guān)規(guī)定，對(duì)信息資產(chǎn)采購(gòu)項(xiàng)目進(jìn)行立項(xiàng)、招標(biāo)、評(píng)標(biāo)、合同簽訂等流程，確保采購(gòu)過(guò)程公開(kāi)、公平、公正。2.供應(yīng)商管理：建立合格供應(yīng)商名錄，對(duì)供應(yīng)商的資質(zhì)、信譽(yù)、技術(shù)能力等進(jìn)行評(píng)估和管理，定期對(duì)供應(yīng)商進(jìn)行考核。3.采購(gòu)驗(yàn)收：信息資產(chǎn)到貨后，由使用部門、信息科技管理部門等組成驗(yàn)收小組進(jìn)行驗(yàn)收，確保采購(gòu)資產(chǎn)符合合同要求和業(yè)務(wù)需求。信息資產(chǎn)開(kāi)發(fā)與使用開(kāi)發(fā)管理1.開(kāi)發(fā)流程：遵循軟件工程規(guī)范，制定信息資產(chǎn)開(kāi)發(fā)計(jì)劃，明確開(kāi)發(fā)階段、任務(wù)、責(zé)任人等，對(duì)開(kāi)發(fā)過(guò)程進(jìn)行嚴(yán)格的質(zhì)量控制和進(jìn)度管理。2.代碼管理：建立代碼版本控制系統(tǒng)，確保代碼的安全性、完整性和可追溯性，對(duì)代碼進(jìn)行定期備份。3.測(cè)試管理：制定測(cè)試計(jì)劃，對(duì)信息資產(chǎn)進(jìn)行功能測(cè)試、性能測(cè)試、安全測(cè)試等，確保開(kāi)發(fā)成果符合需求和質(zhì)量標(biāo)準(zhǔn)。使用管理1.權(quán)限管理：根據(jù)信息資產(chǎn)的分級(jí)分類和員工崗位職責(zé)，設(shè)定不同的訪問(wèn)權(quán)限，嚴(yán)格控制信息資產(chǎn)的訪問(wèn)范圍。2.操作規(guī)范：制定信息資產(chǎn)使用操作手冊(cè)，明確操作流程和注意事項(xiàng)，員工應(yīng)按照規(guī)范進(jìn)行操作。3.數(shù)據(jù)使用：在使用信息資產(chǎn)過(guò)程中，應(yīng)遵循數(shù)據(jù)使用相關(guān)規(guī)定，確保數(shù)據(jù)的合法、合規(guī)使用，保護(hù)數(shù)據(jù)的安全性和隱私性。信息資產(chǎn)存儲(chǔ)與維護(hù)存儲(chǔ)管理1.存儲(chǔ)架構(gòu)規(guī)劃：根據(jù)信息資產(chǎn)的特點(diǎn)和業(yè)務(wù)需求，規(guī)劃合理的存儲(chǔ)架構(gòu)，包括存儲(chǔ)設(shè)備選型、存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）或網(wǎng)絡(luò)附屬存儲(chǔ)（NAS）的配置等。2.數(shù)據(jù)存儲(chǔ)策略：制定數(shù)據(jù)存儲(chǔ)策略，如數(shù)據(jù)備份頻率、備份介質(zhì)選擇、存儲(chǔ)容量規(guī)劃等，確保數(shù)據(jù)的安全性和可恢復(fù)性。3.存儲(chǔ)設(shè)備維護(hù)：定期對(duì)存儲(chǔ)設(shè)備進(jìn)行巡檢、維護(hù)和保養(yǎng)，及時(shí)處理設(shè)備故障和性能問(wèn)題。維護(hù)管理1.維護(hù)計(jì)劃制定：信息科技管理部門制定信息資產(chǎn)維護(hù)計(jì)劃，明確維護(hù)內(nèi)容、維護(hù)周期、維護(hù)責(zé)任人等。2.系統(tǒng)維護(hù)：對(duì)信息資產(chǎn)所涉及的系統(tǒng)軟件、硬件設(shè)備進(jìn)行日常維護(hù)，包括系統(tǒng)更新、補(bǔ)丁安裝、故障排除等。3.數(shù)據(jù)維護(hù)：定期對(duì)數(shù)據(jù)進(jìn)行清理、核對(duì)、優(yōu)化，確保數(shù)據(jù)的準(zhǔn)確性和完整性。4.應(yīng)急管理：制定信息資產(chǎn)應(yīng)急處置預(yù)案，定期進(jìn)行應(yīng)急演練，提高應(yīng)對(duì)突發(fā)事件的能力，確保在信息資產(chǎn)出現(xiàn)故障或遭受攻擊時(shí)能夠快速恢復(fù)。信息資產(chǎn)安全管理安全策略制定1.物理安全策略：包括銀行辦公場(chǎng)所的門禁管理、機(jī)房安全防護(hù)、設(shè)備物理安全等措施，防止未經(jīng)授權(quán)的人員進(jìn)入信息資產(chǎn)存儲(chǔ)區(qū)域。2.網(wǎng)絡(luò)安全策略：設(shè)置防火墻、入侵檢測(cè)系統(tǒng)（IDS）/入侵防范系統(tǒng)（IPS）等網(wǎng)絡(luò)安全設(shè)備，制定網(wǎng)絡(luò)訪問(wèn)控制策略，防范網(wǎng)絡(luò)攻擊和惡意入侵。3.數(shù)據(jù)安全策略：采用數(shù)據(jù)加密技術(shù)，對(duì)重要信息資產(chǎn)進(jìn)行加密存儲(chǔ)和傳輸，防止數(shù)據(jù)泄露。建立數(shù)據(jù)安全審計(jì)機(jī)制，對(duì)數(shù)據(jù)訪問(wèn)行為進(jìn)行審計(jì)和監(jiān)控。4.應(yīng)用安全策略：對(duì)信息資產(chǎn)所涉及的應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描和修復(fù)，加強(qiáng)應(yīng)用系統(tǒng)的身份認(rèn)證和授權(quán)管理。安全監(jiān)控與審計(jì)1.監(jiān)控系統(tǒng)建設(shè)：建立信息資產(chǎn)安全監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)信息資產(chǎn)的運(yùn)行狀態(tài)、安全事件等，及時(shí)發(fā)現(xiàn)和處理異常情況。2.審計(jì)機(jī)制：定期對(duì)信息資產(chǎn)的訪問(wèn)、操作、變更等進(jìn)行審計(jì)，審計(jì)結(jié)果作為評(píng)估信息資產(chǎn)安全狀況和員工合規(guī)性的重要依據(jù)。3.安全事件處理：建立安全事件報(bào)告和處理流程，一旦發(fā)生安全事件，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)機(jī)制，進(jìn)行事件調(diào)查、分析和處置，及時(shí)恢復(fù)信息資產(chǎn)的正常運(yùn)行，并向上級(jí)主管部門和監(jiān)管機(jī)構(gòu)報(bào)告。信息資產(chǎn)處置處置原則1.合規(guī)性原則：信息資產(chǎn)處置應(yīng)符合國(guó)家法律法規(guī)和銀行內(nèi)部規(guī)定。2.安全性原則：在處置過(guò)程中，確保信息資產(chǎn)中的敏感信息得到妥善處理，防止信息泄露。3.環(huán)保性原則：對(duì)于廢棄的信息資產(chǎn)設(shè)備，應(yīng)按照環(huán)保要求進(jìn)行處理，避免對(duì)環(huán)境造成污染。處置流程1.資產(chǎn)清查：定期對(duì)信息資產(chǎn)進(jìn)行清查，確定需要處置的資產(chǎn)清單。2.處置方式選擇：根據(jù)信息資產(chǎn)的實(shí)際情況，選擇合適的處置方式，如報(bào)廢、出售、捐贈(zèng)等。3.審批流程：按照銀行內(nèi)部審批程序，對(duì)信息資產(chǎn)處置申請(qǐng)進(jìn)行審批。4.處置實(shí)施：對(duì)于報(bào)廢的信息資產(chǎn)，進(jìn)行物理銷毀或數(shù)據(jù)清除；對(duì)于出售或捐贈(zèng)的信息資產(chǎn)，確保接收方具備相應(yīng)的資質(zhì)和能力，并簽訂相關(guān)協(xié)議，明確雙方的權(quán)利和義務(wù)。5.處置記錄：對(duì)信息資產(chǎn)處置過(guò)程進(jìn)行詳細(xì)記錄，包括資產(chǎn)名稱、處置方式、處置時(shí)間、處置結(jié)果等，并存檔備查。監(jiān)督與檢查監(jiān)督機(jī)制1.內(nèi)部審計(jì)監(jiān)督：銀行內(nèi)部審計(jì)部門定期對(duì)信息資產(chǎn)管理情況進(jìn)行審計(jì)，檢查信息資產(chǎn)管理制度的執(zhí)行情況、資產(chǎn)的安全性和完整性等。2.風(fēng)險(xiǎn)管理部門監(jiān)督：風(fēng)險(xiǎn)管理部門負(fù)責(zé)對(duì)信息資產(chǎn)相關(guān)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)和評(píng)估，督促各部門落實(shí)風(fēng)險(xiǎn)防控措施。3.合規(guī)管理部門監(jiān)督：合規(guī)管理部門對(duì)信息資產(chǎn)管理活動(dòng)的合規(guī)性進(jìn)行監(jiān)督檢查，確保各項(xiàng)管理活動(dòng)符合法律法規(guī)和監(jiān)管要求。檢查內(nèi)容1.制度執(zhí)行情況：檢查各部門是否按照本辦法及相關(guān)制度要求開(kāi)展信息資產(chǎn)管理工作。2.資產(chǎn)狀況：核實(shí)信息資產(chǎn)的數(shù)量、質(zhì)量、分級(jí)分類等情況是否與實(shí)際相符。3.安全措施落實(shí)情況：檢查信息資產(chǎn)安全策略的執(zhí)行情況，如訪問(wèn)控制、數(shù)據(jù)加密、安