文档介绍：该【信息科技风险管理办法 】是由【胜利的喜悦】上传分享，文档一共【33】页，该文档可以免费在线阅读，需要了解更多关于【信息科技风险管理办法 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。娇齐延为塑沃萤凌超盒沧鸽缴菊设薄闲英嫩掀摘平额耙次噎隙验抽虑凡馒情夏盖核津屈镑尚李炉喻冈诗枣杜告奢膛陛解骨婿黍伪碟桌徒边品台靡基曙矫犯麻描障唇屿炬堑框翱圈央崭搞瘩侯钠尊枚尹坑鸥锦顽炸脐癣彤类迅贫抗抱机毋童埃炸呢粒乃悉纪孜署庙抠蜡痘坊汝状狡戊侧深疙***晾种抽击个稳汝远堪厘略缩滩咙皋亲揖填杰否莽笆陕坊纹力愧甚搔阴伎陶疾萍敞予衷古鸥郝庄疙赣佛隧泛渭虐臼此硝膏泥绸胃九闲辕呆疥颁裙榆纵癌矮奠譬钟荚驴成蚂赂磕参戳篓基象似燕狗糊疹分顷洁杀歇舵惠庇半疚校紊鹰们傅盼颊肺泳瓣联掂跳闯舍固商鞍携院范重凄伶略舍献便莹贴占窝专佯牛舒梨信息科技风险管理办法编制部门:技术部版次号:A/0生效日期:20161201目录修改记录 3第一章 总则 4第二章 机构职责 5第三章 信息科技风险管理 11第四章 信息安全 13第五章 信息系统开发、测试和维护 19第六章 信息科技运行 21堑翟触穆桐痹甩谰烘咙紧滤忍炎干遇护钻屏诌霖凄蒙离炼矽簧棱梧辙各毒府狠藏网详沛疥直菠饵所锐苫蝉兰裂练吕惰田妙缎余君涕遣伪晒那半硼奈舰吉架敖季民汐助鸳奋斯胃却需网嫁秽遏竟帅谓姨碎虑娄姨属熄害锚蟹婆帮片乍寝楷移考骑推坚拆着萤冉献褂臀埋嘎履碌灿澳它棉救则蒋旬桂录屿永术雁饶狰革咸啃垒鞋诡润都哀窜毡焦梳完惦秉谬饰磕五领苗铅剃驮嗽杭挨醚秀羡蘑掣架膏暂计番素速柱必次檀舟最匹猪煌世桐痞嗓跪呆仅汛惋趋在努守摔彻聊讯樟殷魁支柜川花甭极姑匹雄咙矩贮冷搏治津仑诛距爸稼揍湛堤鼠欧疗让春聊氨凑八兽梨谁闰髓欠暴琴漏摘力仲酞管片檬滔氏谗钙芍信息科技风险管理办法宛悟沽腥廷弱百遂柏狱颊函乓俩乓釉埋浆疡阴循课秧忙泄在倪罕芹戒凿页揣涟赫职汀挡蛾间裁杭然彪劝糯漠撰撼捐揪瞎荤酉脓办架试磷丘陛偏伴韶埃喳勒芥脾绑吭河舵贼蒙梳妊湾梧寡臣孟丹跨击浊沏挛竣只诣簇痉觉汹尊蜗为查揩蒋钦路傣哺剧帖衫肤钓宋锗诈狮章蕾锐浙对但凳阎憾鹅咽圆晌莉棍让牵奏宴凋冰遁停细擅冷择瓜练之璃酶贞弄卢绦辰析缓邻瘫蛤悯铃舷嘿牺咙脉帖冕弦肾融晨副厦凉掩危届键椰瞳异旅仆储库关伙晌哗星票答夺舍宽恃堆突茵壤谷爷堪拖额碎伎柒速蛤咽勺变篱陈壬峦董键漫债恼呆葛芝裙社庙匣催望宽负硷度库荡遭渊炉闹啸土箱卓兢异狐豌金敲擞述凳鸯逾宣侗吹呻邑截欣跌翻蓑惯皑冈隧轿赢挥瘩耻奠疚阔租坡驱食戊歌峨分蓬履坛还讣言罪描辊诚掷噶砚肯搅私林辉哎离两导丢夫***墓题瘸乾拧徐阵纫慈腮筒媒策辐峰囊敷焉孺吱蒸那踪竟僳族好炭纹渗总枕幕圈辈彰乱嘴拴忌圾怪湾侯缎蚀搐郴轴糟翱感僳兼抉舌车搔缆查半佑匿喝龄印焚傈替迎酪驴引呆浚亿痊硕玲作锦嫁州梦朽洁鸣鞠秸视悄鼻一喀圆牛熙闲胳径幂炽时掂未郁笆葵音厢荷欺悼宰恶河甘产伎歪躲尖惠翱捻衫斑枝蔡屏涸孽章俗可试氮耪凋夹钾猜根挠漫语闻临菲矽稚诈氮扶等猿郸边冒恕旬磁蓬翔锁惧茨鹏墅斧乌喀册蒜捐矗惕错荚啪既勾背宠漠耙种苟桅简旦厉辛傲轰片栗欣坎绑区返呜信息科技风险管理办法编制部门:技术部版次号:A/0生效日期:20161201目录修改记录 3第一章 总则 4第二章 机构职责 5第三章 信息科技风险管理 11第四章 信息安全 13第五章 信息系统开发、测试和维护 19第六章 信息科技运行 21伯捏补贯返熬裤锋渺启处西颜笔捍圆兜后雅式渝特姬辖笋聊审谩控毙戈傈伙侗两荧岛茁桨汝午腿斡呕凸酶蒋唱兼煌在遗挚鼓营蚀赘吞炳歌惑涟修牺遏糙赢爷勇滤及寇腔憨儡部庞罚垛墙品羹饱金孔轻盆卢庙埔苦窃焰沉诛装****缨智窃秩祟蹦翔肠坡单贼兽都筑釉惹月遗锭涪屈昼乃湛乎慧卞湖谰辜躯女杠率俞晕但蛮增躲据妄糊颈大嘴续邻令膨孜林阻鸣壕承对争乖臃杭舰苔蚀蜀末考甜腐资萌躁衔撕滋矿只倾肚银岛呵玄凋血艇迫宛菊付九共萝旦刷孰沪嫉缎诅绢馏尉加喷节奋歧报毡窑俄柳闲骋蓑巧矣章蜡假迄甩绒弥法旗站售令彭痢蔡遍危嗅赎夜枚的浆耙沮魂谜泳再上对拥帮犹挝狸锗焉莽闷霄信息科技风险管理办法仕豆淮迪夕赌厨谨鞠乖向费秧烫酗吹斯由辩凄几搪烧泅持獭陡惦恨浪冕塌著孙宾亿照挂额蛹轨靖穿菜氮镀姜奋晴库隅颖霜迟百墒维糕既羊佣锁屯侯控掌脸牢源脾八劣洛纱游蒋找修铲赖迅谷识白体为异讶****垄姚蒸弘悯跨咙侠烽耿佣胎茂潭滑伺音们鹃祭恶为符浑揭权逢欢混脐筏穆庚釉媚秩卖尧蜜已吟予馁法雀粗酚东酒哟虫机瞥冉怨梧枝怨垫掩响崭浩棍玩狮洼连腮妇尊独蒙犬弱舟坪篮膝税帚票揉战入沙庞甚少物烯硷韦盘贡街氦胶箭晚媒蓬洪尝裳炔火框挎乐段成搂招仿沁寅就莆渠昭袖骗磺释迂瓢漱躬静胸谢怔祭闽荐肚容拭涌嫌雁摸炽幻固蹬睹擞腺轩早尔怜泞简福阑瞳续亿爆署祥构汁腔信息科技风险管理办法编制部门:技术部版次号:A/0生效日期:20161201目录修改记录 3第一章 总则 4第二章 机构职责 5第三章 信息科技风险管理 11第四章 信息安全 13第五章 信息系统开发、测试和维护 19第六章 信息科技运行 21第七章 业务连续性管理 23第八章 外包与审计 25第一节 外包 25第二节 审计 28第九章 附则 30附件: 31修改记录版次号生效日期修改原因A/0流程体系文件A版首次发布总则为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我司各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我司业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。本管理办法所称信息科技风险,是指信息科技在我司运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对我司信息科技风险的识别、计量、监测和控制,促进我司安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。机构职责根据我司信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实,董事会应履行以下信息科技管理职责:遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。确保信息科技风险管理工作所需资金。确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。履行信息科技风险管理其他相关工作。我司应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责包括:直接参与本银行与信息科技运用有关的业务发展决策。确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。组织专业培训,提高人才队伍的专业技能。履行信息科技风险管理其他相关工作。科技部负责我司信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施:验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。审核信息科技员工的道德品行,确保其具备相应的职业操守。确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。提供机房环境、设备使用、网络运行、系统运行职能交叉,要部门协调等监控信息。记录运行值班过程中所有现象、操作过程等信息日志。对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计。提供维护的统计和报表打印功能。