第一篇:工商银行信息科技风险管理的思考和实践__
工商银行信息科技风险管理的思考和实践
中国工商银行首席信息官 林晓轩
随着信息科技在商业银行发展中的作用日益凸现,商业银行在面临传统的信用风险、市场风险和操作风险的同时,又面临信息技术与银行业务交融引发的新型风险——商业银行信息科技风险。信息技术的发展,一方面大力促进了银行客户服务和管理水平,降低了银行的管理成本和交易费用;另一方面,银行对信息科技的依赖以及由此产生的风险日益加剧。近年来,监管部门对信息科技风险管理高度重视,提出了明确的要求。国内各商业银行在信息系统软硬件建设和安全管理方面投入了大量资源,注意防范各类信息科技风险。在步入“十二五”信息科技发展新阶段之际,如何进一步提高信息科技风险管理水平,是各家商业银行在规划未来一段时期信息化建设过程中需要思考和解决的一项重要课题。
一、商业银行加强信息科技风险管理的重要性
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还事关整个银行业的安全和国家金融体系的稳定,因此国家对银行信息科技风险管理日益重视,各监管机构均对银行信息科技风险管理提出了明确要求,各商业银行也普遍提高了对信息科技风险管理的关注程度。
1.加强信息科技风险管理是金融监管部门关注的重要内容
随着国内银行纷纷上市并在全球金融格局中扮演日益重要的角色,对于包括系统运行风险在内的信息科技风险管理工作,得到了监管部门越来越多的关注和各家上市商业银行的日益重视。2009年3月,银监会颁布了《商业银行信息科技风险管理指引》(以下简称《指引》),从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面,对商业银行信息科技风险管理工作提出了全面要求。国家有关监管部门这些卓有成效的管理措施对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的高度重视。
2.加强信息科技风险管理是商业银行自身发展和提高IT治理水平的需要
根据IT治理模型,信息科技风险管理与战略一致性、资源管理、绩效评估等一起构成IT治理总体架构,是其中一个重要方面。随着各家银行信息化建设的深入,对信息科技风险的认识也在逐步深入,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面信息科技风险管理,信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改革和上市之后,商业银行更是普遍认识到信息科技一旦发生风险事件,不仅会影响业务的正常办理,还可能会对银行的声誉和市值产生负面影响,因此更为重视信息科技风险,这也相应对加强信息科技风险管理提出了更高要求。
3.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求 2004年正式公布的新《巴塞尔资本协议》(BaselⅡ,)以及后续公布的BaselⅢ中,对银行风险的分类和定义进行了明确,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将操作风险放在一个重要的地位,并将信息科技风险明确划归至操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
二、商业银行加强信息科技风险管理的有关举措
根据国际权威机构“ 信息系统审计与控制委员会”(ISACA)发布的信息系统风险控制和IT审计工作的最佳实践指南,信息科技风险管理应关注IT治理、软件生命周期管理(即项目开发与变更)、IT服务交付与支持(即系统运行维护)、信息安全、业务连续性管理等几大领域。银监会《指引》规定,“信息科技风险是指信息科技业务在商业银行应用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”,同时明确了商业银行信息科技风险管理覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理等内容。总体而言,商业银行在具体实践过程中主要从科技治理、生产运行、应用研发、信息安全等四个方面落实信息科技风险管理措施。
多年来,工商银行坚持“科技兴行”、“科技引领”发展战略,建立了集约化的信息科技组织管理体系,并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起,工商银行将信息科技风险纳入了全行风险管理体系,作为操作风险管理的重要组成部分,围绕上述四个领域在信息科技风险管理方面开展了大量工作。1.建立健全信息科技管理组织体系和信息科技风险管理体系,是加强信息科技风险管理的基础
根据银监会《指引》要求,工商银行成立了由行长任主任委员、主管副行长和首席风险官任副主任委员、各相关部门参加的信息科技管理委员会,负责审议信息科技战略、科技制度和技术规范体系建设规划、信息科技重大决策事项及信息科技风险管理、信息安全管理等工作,推动信息科技治理建设,并定期向董事会、高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体工作情况。同时,信息科技管理委员会下设技术审查委员会,负责重大科技项目方案的审查,确保全行信息科技架构体系的合理性和延续性。此外,近期工商银行设立了首席信息官,信息科技管理体系得到进一步完善。
依靠自行科技管理所积累的经验,工商银行建立了较为完善的信息科技管理制度及技术标准规范体系,其中总行层面的信息科技管理制度达到126项,包括信息安全、系统、应用等七大类的技术规范超过100项,有效提升了全行信息科技管理的标准化和规范化水平。除了制度和规范约束外,工商银行将各项管理要求体现到系统平台中,实现了科技管理的自动化,确保各项既定管理要求得到有效落实。同时,工商银行还建立了信息科技现场检查和非现场检查机制,面向各级科技部门每年开展2次现场检查,每月利用各类技术管理平台定期开展1次非现场检查,并对检查发现问题的整改进展进行持续的跟踪、管理和考核,确保整改措施落实到位。
2.认真落实信息科技风险管理三道防线职能是加强信息科技风险管理的保障
根据银监会《指引》的有关规定,商业银行应设立或指派一个特定部门负责信息科技风险管理工作,建立由信息科技部门、信息科技风险管理部门、内部审计部门三道防线组成的信息科技风险管理体系,共同防范和控制信息科技风险。
近年来,工商银行逐步形成并确立了由信息科技部门、风险管理部门和内部审计部门组成的信息科技风险管理三道防线,相关部门在信息化建设、信息科技管理、风险监测、风险控制和评估、信息科技审计等方面分别相应落实有关职责,持续提升了全行信息科技风险管理水平,有效控制了信息科技风险。特别是,根据银监会《指引》内容和全面风险管理的有关要求,参考借鉴国内外信息科技风险管理和内部控制与审计等领域的最佳实践,2010年以来工商银行对第二道防线的工作职责进行了全面梳理,并从信息科技风险管理策略、信息科技风险评估、风险控制、风险监测、风险报告、业务连续性计划等六个方面认真落实第二道防线的工作职能。
3.有效防范生产运行风险是加强信息科技风险管理的关键
生产运行风险是信息科技风险的突出外在表现,工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想,并持续强化运行管理操作的各项措施,降低运行风险。
首先,建立了信息系统安全等级体系,根据系统安全等级在性能容量管理、灾备、监控等方面采取不同的风险管理措施,在保证系统对外服务水平的同时,也有效控制了科技成本投入。其次,建立了全行统一的信息系统运行监控平台,针对关键应用系统实现了面向业务可用性的监控目标,并建立了数据中心对一级分行、一级分行对二级分行的远程监控。再次,实现生产运行的自动化监控和操作,数据中心主机系统已经全面实现操作自动化,开放平台系统的操作自动化率也已经达到55%,既有效提高了生产运维效率,又切实降低了手工操作所带来的风险。最后,建立了主机核心业务的远程异地灾备系统和同城数据备份系统,实现了关键业务集中式营运中心的场地灾备,同时参考业界相关技术标准,建立了全行统一的应用灾备等级标准,针对全行200余个应用系统实施分等级的灾备保护措施,确保所有应用系统都具备灾备恢复能力;在上述工作基础上,工商银行正在规划按照“两地三中心”布局进一步优化生产运行和灾备体系。
4.信息安全贯穿于信息科技全流程,是信息科技风险管理的重要内容 信息安全管理的核心是要建立健全信息安全的内部控制体系,通过技术和管理手段,确保银行信息系统和数据的机密性、完整性和可用性。对此,工商银行认真落实信息系统安全等级保护、风险评估和审计检查等管理措施,并在客户端安全、互联网安全、应用交易安全等方面采取了有效的技术防护手段。一方面,在健全信息安全管理制度体系、明确各部门职责和管理流程的基础上,通过规范相关制度,落实信息系统等级保护、实施风险评估和安全检查、加强日常安全检测和管理以及安全教育等措施来强化信息安全的管理工作。另一方面,持续完善信息安全技术控制措施,提升硬控制能力,近年来不断从信息安全、信息系统安全和客户端安全三个方面加强对信息安全的技术控制,有效控制了信息安全风险。
三、信息科技风险管理需要科技部门和各业务部门共同推进、共担风险
从信息科技风险管理实践来看,虽然信息科技风险管理更多关注的是信息科技领域,但其中相当一部分内容与业务部门息息相关。因此,信息科技风险管理实际上是商业银行的一项全局性工作,需要业务部门共同参与和推进。
(1)在生产运行领域的业务连续性管理方面,在信息科技部门灾备系统的基础上,需要业务部门制定业务层面的应急计划,指导业务人员在信息系统中断和恢复时进行业务的应急处理,从而与信息科技部门协同开展应急恢复工作。
(2)在应用研发方面,产品质量会引发系统运行风险,而引发产品质量问题的因素是多方面的,既包括程序设计和开发缺陷等技术因素,也包括业务测试验证和需求不完善或质量不高等业务因素。因此,在应用产品研发过程中,需要科技部门与业务部门共同做好项目管理工作,实现风险共担。
(3)在信息安全方面,信息安全管理涉及多个部门职责,除了信息科技部门外,还涉及信息及信息系统归属部门、信息及信息系统使用部门、内控合规部门、内部审计部门、保密管理部门等,在日常工作中需要科技部门与业务部门按照职责分工共同落实信息安全管理措施,防范信息安全风险。
总之,信息科技风险管理是商业银行发展以及信息化进程中面临的十分重要和紧迫的问题,需要银行业各方面共同关注和推进,也需要各家商业银行内部科技部门和业务部门协同配合,共同打造一个安全的、抗风险的金融IT平台,促进银行业务的健康快速发展。
第二篇:工商银行风险管理
工商银行信用风险管理实施的调查报告
工管系08级物流5班 姓名:谭小林 学号:0801405012
信用风险管理是指通过制定信息政策,指导和协调各机构业务活动,对从客户资信调查、付款方式的选择、信用限额的确定到款项回收等环节实行的全面监督和控制,以保障应收款项的安全及时回收。工商银行针对于信用风险的管理主要是从如下一些方面来实施的。
一.公司客户信用评级
工商银行以详细的定量和定性指标为基础对银行的客户进行信用评级,考虑的因素广泛,例如客户的还款能力及意愿,客户的行业及运营地区等。银行的公司客户按信用评级从AAA到B分为十二个内部评级。银行对各新客户进行信用评级并且每年重新评估公司客户的信用评级。具备AA-或以上信用评级的申请人可获授无担保贷款。对于具备AA-以下信用评级的客户,银行要求贷款有担保品,或由第三方保证。
整个信用评级流程由银行内部开发的信息系统支持。银行计划于内部评级法二期工程时进一步提升信用评级体系。
二.公司客户授信额度核定
工商银行在考虑了客户的信用评级,对客户信贷纪录和财务需求进行综合分析与评估后确定客户的总授信额度。银行的一级和二级分行根据其各自的权限审批授信额度申请。当从银行的信贷前台人员收到授信额度申请报告时,一名主审查人将被委任根据银行的内部政策和流程审查该申请。
如授信额度在发放该项信贷的分行的权限内,该主审查人会将其审查结果和建议递交予该分行的信贷审查委员会作进一步审议。超过发放该项信贷的分行权限的授信额度申请,必须呈送拥有所需权限的较高级分行直至(如有需要)总行。经总行或分行相关委员会审议通过的决定必须进一步由有权人签批,其通常为总行或分行高级管理层。
三.公司客户贷前调查
当客户申请一笔新贷款时,银行的贷前调查一般包括:(i)评估与客户的财务状况和信贷历史有关的任何近期动态;(ii)审阅贷款计划用途;(iii)评估担保品或担保人(如有)的财务状况;(iv)评估与该笔贷款相关的整体信用风险及潜在财务回报。
四.公司客户贷款审查审批
如某个公司客户经理建议批准一笔贷款,他会将包括其评估报告在内的信贷申请文件提呈相关信用审批部的主审查人审查,如贷款有担保品或用于某一项目的融资,银行的授信业务部将就有关担保品或项目进行独立评估。主审查人对贷款申请文件进行审查后,会编制成包括其审查结果和建议的报告,并将报告提交予该分行的信贷审查委员会或更高级别分行或总行的相关委员会审批(视情况而定)。与授信额度核定的程序相似,该委员会的决定必须进一步经有权人(如总行的高级经理和分行高级主管)批准。
一些小金额和低风险的贷款申请不需任何委员会审批,然而在此情况下,必须由拥有相应权限的信用审批主管人对主审查人提呈的报告进行批复。
五.公司客户贷后监控
工商银行总行和分行的信贷管理部负责贷款的贷后监督检查。银行对客户贷款进行持续贷后监督和检查,包括定期评核客户以尽早发现任何潜在的未能偿付款项或其他风险,采取预防措施减少违约风险和进行补救行动以使潜在损失最小化。
六.公司客户信用评级
为不同客户而设的评核频率,随客户的信用评级和可能影响客户偿还银行贷款能力的情况而有所不同。工商银行分行的信贷管理部负责监督其管辖范围内的信贷业务。银行的贷后监控人员一般依赖来自银行前台的文件、客户文件和银行内部数据库。银行对下级分行的贷后监控着眼于其是否遵从银行的政策及程序、信用风险评估及任何担保品的有效性及可执行程度。银行的贷后监控人员亦定期分析客户信用风险,并根据其发现的问题制定具体的风险防范和控制措施。
七.公司客户贷款分类
我国境内所有商业银行均须要按照五级分类制度对未偿还贷款进行分类。自2005年10月起,工商银行采用贷款十二级内部分类体系,对工商银行的公司贷款进行分类,以细化五级贷款分类制度。工商银行仍使用五级分类制度对工商银行的票据贴现及资产负债表外的承诺(如担保)进行内部分类。
工商银行贷款十二级内部分类体系考虑了定性和定量因素,包括有关贷款人信用评级、债项担保、欠款的逾期天数等许多方面的因素。该体系采用量化打分模型,由CM2002系统自动初始分类。公司客户经理和信贷管理部门根据实际情况在一定权限内经过批准对初分结果进行人工修正,最终确定贷款质量分类。工商银行每月会重新确定各笔贷款的分类。
工商银行贷款十二级内部分类体系有助于工商银行更好地监控资产质量的变化、识别潜在的信用风险,更有效地对工商银行贷款组合进行贷后管理。该体系加强了工商银行的贷款监控功能,提升了工商银行的整体信贷管理水平。
八.公司客户不良贷款管理
总行及分行的风险管理部承担不良贷款管理的职责。当一笔贷款成为不良贷款后,该贷款的管理工作将会转移至相关的风险管理部。为了加强及提升对工商银行不良贷款的管理,工商银行优化内部组织结构和收紧不良贷款的管理流程,工商银行不断发展实用且高效的措施及方法回收或处置不良贷款。
工商银行主要根据每笔贷款类别对不良贷款进行管理。对于次级类贷款,工商银行主要监控借款人的流动资产和现金流量并关注任何重大业务变化。对于可疑类贷款,工商银行密切监控借款人和相关担保人的业务状况,加强对借款人资产的审查和保全,并积极清收这些贷款。对于损失类贷款,工商银行除按有关监管规定核销该等贷款外,还继续尽力清收该等贷款。
为了收回不良贷款,工商银行一般会在需要时采取下列行动:(1)催收通知;(2)现金清收;(3)重组不良贷款;(4)处置担保品或实现担保;(5)通过诉讼或仲裁程序清收;(6)在采用全部其他清收方法仍无法回收后进行核销。
为了更好地对重组贷款进行管理,工商银行于2006年4月实施了一系列的指引,说明重组贷款的调查、审批、重组后管理的相关定义和适用的条款以及有关的职责分配。根据这些指引,则重组贷款不可在重组后马上分类至比次级更高的类别。
如果重组后的贷款依然逾期,或重组贷款的借款人依然无力偿还,重组贷款不可归为比可疑类更高的类别。重组贷款的分类至少在6个月的观察期内不得调高。
九.零售客户贷前调查评估
经办行收到个人贷款申请后,两名个人贷款调查人将采用CIIS和其他有关的信息系统以及中国人民银行的个人信用信息基础数据库对贷款申请人进行招股说明书尽职调查。根据他们的尽职调查,个人贷款调查人向贷款申请人进行信用打分,并向核查人作出建议。核查人检查申请及核对个人贷款调查人的调查结果。如果核查人确认个人贷款调查人的建议,则将贷款申请材料提交给有关分行的个人信贷审批中心。
十.零售客户信用审批及放款
在收到贷款申请资料后,有关个人信贷审批中心将指派一名贷款审查人进行进一步的尽职调查,以核实贷款申请资料中所载的信息。如果该审查人建议批准贷款申请,该申请将提交至个人信贷审批中心的信用审批主管人作出最终审批。如果贷款额超过经办行的信贷审批权限,则贷款申请将提交给具有审批权限的上一级分行。
十一.零售客户贷后监控
工商银行发放的个人贷款的贷后管理主要是由总行及分行的信贷管理部门负责的。工商银行对工商银行的个人贷款进行贷后监控,以尽早发现潜在的不偿还或其他风险、执行预防措施以减低违约风险,并采取补救行动以减低潜在损失。
工商银行的贷后监控人员亦依赖个人信贷管理系统(PCM2003)来对个人信贷组合的资产质量进行非现场监测,并监控在其管辖范围内的分行和支行的资产质量。工商银行的信贷管理部门会定期审查监测结果。
十二.个人客户贷款分类
工商银行采用五级分类制度对个人贷款进行分类。工商银行的一级和二级分行可在相关授权额度内对个人贷款进行分类。工商银行的PCM2003系统根据量化类别(如本金或利息拖欠时间)自动将工商银行的个人贷款分类。经有关分行部门批准后,工商银行的信贷管理部门可以根据多种定性因素(包括借款人的财务状况、相关担保品和担保的状况)的评估来调整自动贷款分类,以充分揭示风险。
十三.清收不良贷款
工商银行的个人不良贷款主要由总行及分行的风险管理部门管理。作为工商银行加强个人贷款贷后管理工作的一部分,工商银行于2001年实施了关于个人贷款文件和相关记录保存和使用的标准化规定和程序。
工商银行已经针对个人不良贷款在全行范围内实施了标准追收流程。工商银行在必要时,将进行法律诉讼,以收回不良贷款,并寻求对有关担保或保险责任的执行。
十四.信用卡业务
工商银行对贷记卡评估和批准过程实施了申请人评分机制。对于人民币贷记卡和准贷记卡,工商银行总行提供了一个评分模型,各一级分行实施具体的评分标准以显示其运营地区的经济发展、人口状况和消费支出水平。
对双币贷记卡,则由总行提供全行使用的评分模型和标准。在贷记卡申请评审过程中,工商银行还参考工商银行内部使用的CIIS管理系统和中国人民银行提供的信用数据和中国银联的信用数据。
工商银行总行对全行所有贷记卡交易进行监督,对异常贷记卡交易进行持续监控与分析,以减少诈骗和蓄意拖欠的机会。
十五.资金营运业务
工商银行的资金运营业务,由于进行投资活动和同业拆借活动而面临信用风险。工商银行人民币投资组合主要包括我国政府和其他境内发行人发行的债务证券。工商银行向除我国政府外任何境内外实体购买债券,或向境内外同业拆借的金额均以工商银行对该实体的核准授信额度总额为上限。外币计价投资组合主要包括投资级别债券。
第三篇:信息科技风险管理经验交流
额敏县农村信用合作联社
信息科技风险管理经验交流
塔城地区银监分局:
根据塔城地区银监分局《关于召开2011年塔城地区银行业金融机构信息科技风险管理联席会议的通知》要求,现将和额敏县农村信用合作联社信息科技风险管理情况汇报如下:
一、信息科技风险管理基本情况
为提高安全管理意识,充分认识信息科技风险管理工作的重要性,建立了一把手负责制,明确信息科技风险管理的职责权限,逐级落实信息科技管理责任,严格事故追究责任制。成立了以联社理事长为组长、领导班子成员为副组长、各相关部门及营业网点主任为成员的信息科技工作领导小组,制定了信息科技应急处置预案,明确了因信息科技风险导致营业网点发生业务故障时,联社各相关部门需采取的措施和步骤,提高了对信息科技风险的预防和处置能力。
2009年10月,自治区联社鉴于各县级联社信息科技风险管理技术力量薄弱,管控能力较差等情况,以地区为单位成立了科技分中心,对各联社信息科技工作和部分重要设备统一进行管理,并每季对网点进行一次科技风险管理巡检。
二、联社信息科技应用情况
(一)网络情况。目前我社各网点均通过租用电信公司专线与直接与塔城地区科技分中心相联,业务专线与因特网物理隔离,可以有效的防止了网络不法分子对我社业务网络
攻击和破坏。对部分重要的网络设备、参数(如网点路由器)由地区科技分中心进行备份。
目前我社网点全部建立了电话线路备份,如网点专线出现故障,通过向地区科技分中心申请后,可以使用电话备份线路办理业务。
(二)生产环境。为提高农村信用社的业务发展,增强业务处理能力,自治区农村信用社使用了数据集中模式,数据集中到自治区联社科技中心。各项应用系统的维护、数据备份等由自治区科技中心操作。
(三)科技管理。
我社所有电脑均安装网络版杀毒软件,并及时进行更新,防止病毒传播和有害程序注入,保证了网点和机关各部门的电脑稳定安全运行。
三、存在的问题
由于县联社没有专职或兼职科技管理人员,对县联社的新业务软件上线,软硬件的日常维护,科技分中心距离县联社较远,技术支挣不是很方便。如网点线路关键设备发生故障,不能迅速排除故障,可能造成网点停业时间较长。
今后我社将在自治区联社的领导下,在地区银监局的正确监管下,加强信息科技风险防范,努力提高信息科技防范工作力度,做好对敏感信息的保护和应急能力建设,确保我社信息科技工作稳定、安全发展。
额敏县农村信用合作联社
二〇一一年四月二十六日
第四篇:商业银行信息科技风险管理指引
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息
(一)(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技 预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资
(二)(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险
第三章
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。
第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。4.5.第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。
第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。第四章 信息安全
第二十条 商业银行信息科技部门负责 建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
(一)(二)
(三)(四)
(五)(六)
(七)(八)
(九)(十)
(十一)第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)(二)
(三)(四)
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)(七)
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户
(四)(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控
第二十六条
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职
(二)(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提
(七)以书面或电子格式
(八)第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密
(一)(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)(四)
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。第五章
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。
第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的(一)
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活
第六章
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的第七章
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)(三)
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
23.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。第八章 外
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风
(二)(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不
(一)(二)银行业
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息
(四)(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包
1.商业银行或外包服务商的所2.3.第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资
(一)(二)
(三)(四)
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信
(六)第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的第六十四条
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控
(二)(三)
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门
第十章
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,第十一章 附
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指 商业银行信息科技风险管理指引 第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,第二条
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监
(十四)第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息
(一)(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一
(五)(六)
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资
(二)(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险
第三章
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领
(一)(二)
(三)(四)
(五)(六)
(七)第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控
1.2.3.访问授权以“必需知道”和“4.5.第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)(二)
(三)(四)
(五)(六)
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。第四章
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维
(一)(二)
(三)(四)
(五)(六)
(七)(八)
(九)(十)业务连续性管
(十一)第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现
(一)(二)
(三)(四)
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)(七)
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户
(四)(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监
第二十六条
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职
(二)(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提
(七)(八)
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程
(一)(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)(四)
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容
第五章
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的(一)
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活
第六章
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的第七章
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)(三)
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
23.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。第八章 外
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风
(二)(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不
(一)(二)
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息
(四)(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包
1.2.3.第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资
(一)(二)
(三)(四)
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息
(六)第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服
第九章
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的第六十四条
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控
(二)(三)
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门
第十章
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,第十一章 附
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事
第七十四条 第七十五条
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
第七十四条 第七十五条
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
第五篇:某公司信息科技风险管理报告
信息科技风险管理2013年报告
自去年以来,公司高层更加重视公司信息科技风险管控,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。
一、将信息科技风险管理和信息安全纳入公司信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。
三、在信息科技风险治理方面的措施主要包括三方面。a)认真学习和领会我们的客户金融行业对信息科技风险
1管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为工作规范,建立系统完善的信息科技风险管理组织架构和机制;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。
b)建立健全信息科技规章制度。为了做好制度建设,公司领导高度重视,以公司流程建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。
c)采取有效的信息科技风险管理的制度,防范和化解信息安全风险。首先,完善基础设施建设,对中心机房进行改造,更换老旧的硬件设备,提高硬件设备防范风险的能力;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极配合省联社开展应急演练,切实提高风险防控水平。
d)软件正版化是今年公司信息科技工作的一项重点内容。结合我公司的实际情况,为加快对盗版或未经授权、许可软件的清理换装工作,推进公司软件正版化工作,确保公司软件正版化工作目标的实现。
信息科技风险防控是长期而艰巨的工作,我们将按照公司董事会的要求,加强日常管理,提高业务水平,将信息科技风险防控作为工作的重中之重,保证各项业务的安全稳定运行。2014-01-01