村镇银行信息科技整改报告(5篇范文)

时间:2019-05-13 17:43:33下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《村镇银行信息科技整改报告》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《村镇银行信息科技整改报告》。

第一篇:村镇银行信息科技整改报告

关于铁岭新星村镇银行 信息科技内部审计的整改报告

内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计,审计中发现了一些问题,我部高度重视,认真整改,现将整改情况汇报如下:

一、加强信息技术内控制度的建设

加强与外包行兴业银行的互动,建立本行与兴业银行的良性运行机制,积极参与到兴业银行的相关内部控制流程来,做到托管行和外包行之间的相互牵制和协调。

加强本行内部控制制度的建设,贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行。

建立健全良好的控制环境,控制环境是村镇银行信息科技的风险基调;做好各项信息系统的风险评估;进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动;加强信息系统建设,信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息沟通;做到对信息科技内部控制的持续监控。

二、提高系统维护运行效率

进一步加强与承包方的沟通管理,沟通管理是企业组织的生命线。管理的过程,也就是沟通的过程。企业是个有生命的有机体,而沟通则是机体内的血管,通过流动来给组织系统提供养分,实现机体的良性循环。沟通管理是企业管理的核心内容和实质。

我行应采用书面与口头沟通相结合的沟通制度,例如,提交运维申请单书面文件后,相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法,正式沟通是通过明文规定的渠道进行信息传递的交流方式,非正式沟通不仅可以获得信息,也是建立信任和关系的沟通。

强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。

三、加强员工的信息科技安全知识培训

进一步提高信息科技人员履职能力。采取有效方式和途径,通过求助发起行或聘请其他外部专业技术人员对现有科技人员进行培训,提高信息科技人员的综合素质和履职能力。

针对银行一线员工,集中开展关于银行业务所需的相关设备的操作和维护的培训,使一线工作人员掌握基本的相关设备耗材更换,灰尘清理等一些简单维护技能,这样一来既能缩短业务等待时间,提高工作的效率,又能节省科技人员的工作精力,使信息科技人员得以专注信息科技日常管理工作。

铁岭新星村镇银行信息科技部

2018年3月8日

第二篇:村镇银行信息科技风险管理办法

村镇银行信息科技风险管理办法

(征求意见稿)

第一章 总 则

第一条 为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。

第二条 信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。

第二章 信息科技风险管理组织架构

第三条 信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第四条

发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:

(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;

(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;

(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;

(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;

(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;

(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。

第三章 信息科技风险具体控制要求

第五条 信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点:

(一)缺少信息系统风险管理策略;

(二)自然灾害、运行环境变化;

(三)信息系统相关规章制度、技术规范、操作规程不完善;

(四)信息安全标准化工作不符合国家相关规定;

(五)缺乏信息安全风险评估机制;

(六)数据中心机房物理安全;

(七)使用盗版软件及自有成果的知识产权保护;

(八)电子设备自身运行;

(九)主机与网络运行;

(十)网络安全;

(十一)密码安全;

(十二)数据加密安全;

(十三)信息系统配置参数管理;

(十四)数据管理;

(十五)突发事件响应;

(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。

第六条 信息系统总体风险控制措施:

(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;

(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;

(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;

(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;

(五)加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;

(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;

(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;

(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当数量的备品、备件;

(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要

求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;

(十)加强网络安全管理。严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;

(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;

(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;

(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;

(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;

(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;

(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;

(十七)采取有效技术措施,切实加强网上银行信息安全保

障。加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。

第七条

信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点:

(一)信息系统项目研发管理;

(二)信息系统项目开发人员外包;

(三)信息系统项目需求不明确;

(四)信息系统测试不规范或不完善;

(五)信息系统应用推广;

(六)信息系统测试发现的软件缺陷;

(七)信息系统项目文档管理;

(八)信息系统项目验收。

第八条

信息科技研发风险具体控制要求:

(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;

(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息

系统研发质量和进度;

(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;

(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。一般测试应包括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;

(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;

(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;

(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;

(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。

第九条 信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点:

(一)人为因素导致信息系统运行故障;

(二)运行管理不完善;

(三)信息系统日常变更;

(四)新建信息系统运行;

(五)机房环境变化;

(六)信息系统故障报告程序。

第十条 信息科技运行维护风险具体控制要求:

(一)信息系统运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;

(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行;

(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;

(四)在信息系统投产后一定时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;

(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;

(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。

第十一条

信息科技外包风险的操作风险点外包风险是指

银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点:

(一)信息科技外包需求控制风险;

(二)信息科技外包承包方合作风险;

(三)信息科技外包项目商业风险;

(四)信息科技外包项目安全风险;

(五)信息科技外包项目质量风险;

(六)信息科技外包项目风险管理;

(七)信息科技外包项目责任风险;(入)信息科技外包项目监控风险。

第十二条 信息科技外包风险具体控制要求:

(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;

(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;

(三)与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;

(四)充分认识外包服务对信息系统风险控制的直接和间接

影响,并将其纳入总体安全策略和风险控制之中;

(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;

(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;

(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;

(八)对信息系统外包承包方进行持续的监控。

第四章 附 则

第十三条 各支行可依据本办法,结合本单位实际情况,制定具体实施细则。

第十四条 本办法由村镇银行负责解释和修订。第十五条 本规定自印发之日起施行。

第三篇:银行信息科技演讲稿

追求科技,平凡中见崇高银行信息科技演讲稿尊敬的各位领导、同事:大家好!我是总行信息科技部一名普通的科技工作者,从踏进我行大门的那一刻起,我就深深地爱上了这份工作。记得我刚到科技部时,由于第一次接触金融行业,对我来讲,这是一个新的开始。以前的很多经验和技能一时得不到施展,工作难以上手,我内心焦急如焚。这时,**总似乎看出了我的顾虑和焦急,于是找我谈心,与我沟通工作方法,随后就安排各专业小组负责人在工作之余给新员工讲解了我行信息系统体系架构以及网络拓扑等知识,使我对全行的科技信息体系有了整体的认识和把握,工作能够快速上手。依然记得晚上十一点多,各个专业小组的领导还在中心机房给我们新员工进行系统培训,他们那种忘我的工作投入,着实让我感动。那时那刻,我觉得他们就是这个世界上最可爱的人。老员工对新员工生活上的慰问和关照,让我内心感到无比的温暖和欣慰。我想说的是,在科技部这个大团队里,有太多的琐事让我感动,一种无法用文字和言语来表达的感动,这些经历将永远留在我的记忆中。这个团队每个成员身上所体现的务实、严谨、专业、默默付出,令人钦佩,我想:在这样的优秀的团队里工作,还有什么问题不能解决?能在这样的家庭里成长,也是我最大的收获和快乐。因为喜欢技术,我和我的伙伴们,在技术领域中刻苦钻研,攻克了许多难题。

第四篇:银行信息科技安全

银行信息科技安全

信息技术快速发展以及客户对高效便捷金融服务的迫切需求,带来了电子银行业务快速发展的机遇。“把业务搬到网上”成为银行业务发展的一大趋势,银行服务体系对网银等电子渠道的依赖不断加深,电子银行替代率越来越高。网络攻击随之增加,攻击行为的性质也从个人炫耀转为组织化的经济利益获取。在这种网络环境下,客户信息的保密和安全保障已经成为公众最为关注和忧虑的问题,信息技术的安全运行和健康发展,已直接影响银行的稳健经营,甚至关乎银行声誉、金融安全和社会稳定。

我国银行业正处于改革发展的关键时期,既存在着难得的机遇,也面临严峻的挑战。提升银行业信息科技实力,以科技进步和创新支持银行业提高竞争力,促进可持续健康发展,是银行业迎接挑战,提高整体综合实力的战略选择,也是健全金融体系,支持实体经济的必然要求。

银行对信息科技的依赖程度日益加深,信息科技的安全运行和健康发展直接影响到银行的稳健经营,关乎银行的声誉、金融安全和社会稳定,监管部门越来越重视信息化建设与信息科技风险管理,银行业要围绕“自主可控、持续发展、科技创新”三大战略切实加强信息科技建设,集银行业与监管者的共同智慧,不断研究探索并发挥信息科技的支撑作用,运用信息科技的创新作用,切实提高银行业的竞争力。

近年来,我国银行业坚持数量与质量并重、基础建设与科技创新并行、提升服务与保障发展并举的科学发展观。在推进信息化建设,建立健全信息安全保障体系,加快科学创新等方面不懈努力,取得了显著的成绩。信息科技基础设施日臻完善,科技投入保持较高增长,信息系统数量、建设速度同比增长,科技总投入增长较快。与此同时,银行业总规模连年保持两位数增长,资产质量不断提高,盈利能力、风险抵抗能力不断增强。银行以客户为中心的理念深入人心,积极应用信息科技推进业务模式的创新,网上银行、手机银行蓬勃发展,建设了一批紧密服务民生的特色业务、系统,服务渠道日益多元,服务效率日益提高,社会体验日益改善,在进一步方便人民基本生活的同时,在引导金融消费理念、规范金融消费行为方面发挥了积极作用。层次化、立体化的保障体系初步形成,为维护金融信息安全发挥了基础支撑作用。

在肯定成绩、肯定发展的同时,也要充分看到国情世情的变化,使得银行业面临更加复杂的环境。在加强监管方面,进一步完善信息科技监管法律法规,充分运用非现场监管、现场检查、专项治理等监管机制,深入探索适合信息科技风险特点的监管方式,继续加强在网银、外包、业务连续性等重点领域的监管力度,下大力气解决这些系统性、全局性的风险问题。对于已经暴露的风险,要层层剖析,以对风险早暴露、早发现、早干预为目标,实现对信息科技风险的全方位有效监管。在加强指导方面,研究银行业信息化建设中的共性问题、重大问题和疑难问题,在基础架构、数据管理、灾备体系等关键领域,集中行业智慧,突破发展瓶颈。大力推进银行业标准体系建设,提升银行业标准体系的科学性、完整性、开放性,促进标准与监管法规的衔接,重点开展标准的应用、推广工作。深入挖掘行业信息化建设最佳实践,促进经验交流和成果共享。通过专业指导、课题研究工作机制,以大带小,以老带新,帮助银行进行信息化发展。

第五篇:村镇银行信息科技建设与管理指引

村镇银行信息科技建设与管理指引

(征求意见稿)第一章 总 则

第一条 为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。

第二条 本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。

第三条 村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。

第四条 村镇银行信息科技工作的基本原则是:

(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;

(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;

(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。

第五条 根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。

第六条 本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。

第七条 本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。

第八条 本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。

第九条 村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。

第二章信息科技治理 第一节自主管理模式

第十条 村镇银行法定代表人对村镇银行信息科技工作负最终责任。

第十一条 村镇银行董事会应履行以下职责,不设董事会的,应设立由高级管理层组成的组织机构(以下简称履职机构)履行下述职责:

(一)负责审批信息科技战略规划,确保与本行的总体发展战略相一致;

(二)负责建立适合业务发展的信息科技治理架构,确保责任明确、分工合理;

(三)为信息科技工作的开展提供资源保障;(四)建立信息科技工作激励和考核机制;

(五)掌握主要的信息科技风险,确保可接受的风险级别;(六)确保信息科技审计独立有效开展;

(七)贯彻有关信息科技工作的法律法规,落实中国银监会及其派出机构监管要求;

(八)向中国银监会及其派出机构报告本行重大信息科技突发事件。

第十二条 村镇银行高级管理层应履行以下职责:(一)组织制定信息科技战略规划;

(二)建立信息科技部门或指派一个部门,承担本行信息科技工作职责,确保履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技项目研发和运行管理、信息安全管理、灾难恢复计划、信息科技外包等职责。

(三)负责对信息科技工作中的重大事项进行决策;(四)组织开展信息科技建设,建立信息科技工作制度和流程;

(五)组织评估本行信息科技风险并采取相应的风险控制措施;

(六)组织开展信息科技专业培训,开展信息科技人才队伍建设;

(七)向董事会或履职机构报告本行重大信息科技突发事件。第十三条 村镇银行应将信息科技风险纳入全面风险管理框架,明确信息科技风险管理工作的主管部门,建立与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。

第十四条 村镇银行应定期开展信息科技审计,至少每三年覆盖全部信息科技风险领域,并根据审计结果及时整改。第十五条 主发起行应发挥自身在信息科技工作方面的经验与优势,对村镇银行的信息科技工作进行指导和帮助,并履行以下职责:

(一)协助村镇银行制定信息科技战略规划;

(二)为村镇银行信息科技重大事项和决策提供专业建议;(三)协助村镇银行开展信息科技建设及风险管理;(四)指导村镇银行落实本指引第三、四、五章中对于村镇银行的监管要求。

第二节主发起行管理模式

第十六条 主发起行法定代表人对村镇银行信息科技工作负最终责任。

第十七条 主发起行董事会应履行以下职责:(一)审批村镇银行信息科技战略规划;

(二)负责建立与村镇银行规模、业务相适应的信息科技治理架构;

(三)为村镇银行信息科技工作的开展提供资源保障。(四)建立村镇银行信息科技工作激励和考核机制;(五)掌握主要的信息科技风险,确保可接受的风险级别;(六)确保村镇银行信息科技审计独立有效;(七)贯彻有关村镇银行信息科技工作的法律法规,落实中国银监会及其派出机构监管要求;

(八)向中国银监会及其派出机构报告村镇银行重大信息科技突发事件。

第十八条 主发起行应设立一个由主发起行高级管理层、多家村镇银行的高级管理层代表,及主发起行负责村镇银行业务、科技管理等部门组成的村镇银行信息科技管理委员会,并履行以下职责:

(一)组织协商制定村镇银行信息科技战略规划;

(二)负责村镇银行信息科技重大事项的决策,组织开展村镇银行信息科技建设,建立村镇银行信息科技工作制度和流程;

(三)组织评估村镇银行信息科技风险并采取相应的风险控制措施;

(四)定期听取村镇银行对主发起行信息科技工作情况的反馈,持续改进村镇银行信息科技服务;

(五)向主发起行董事会报告、向村镇银行董事会或履职机构通报村镇银行重大信息科技突发事件。

第十九条 主发起行应建立村镇银行信息科技工作组织体系,包括:

(一)指派一个部门负责主发起行与村镇银行的信息科技工作统筹协调。(二)设立或指派一个部门负责村镇银行信息科技工作,建立独立的团队负责村镇银行信息系统建设和运行维护;

(三)设立或指派一个部门负责村镇银行信息科技风险管理工作;

(四)主发起行审计部门负责村镇银行信息科技审计工作。第二十条 主发起行应落实本指引第三章中对于村镇银行的监管要求。

第二十一条 主发起行应建立与村镇银行业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。

第二十二条 主发起行应定期开展村镇银行信息科技审计,至少每三年覆盖全部信息科技风险领域,并根据审计结果及时整改。

第二十三条 主发起行应本着“成立初期免费、发展时期减免、成熟稳定时期保本”的原则,建立对村镇银行信息科技服务的收费机制。

第二十四条 村镇银行应积极参加信息科技战略规划、建设和风险管理工作,落实主发起行对村镇银行信息科技工作的要求,配合主发起行对村镇银行的信息科技审计,定期对主发起行承担的村镇银行信息科技工作进行评价,并向村镇银行信息科技管理委员会反馈评价结果。第二十五条 村镇银行与主发起行应签订信息科技工作委托协议,委托协议应包括但不限于:

(一)主发起行和村镇银行分别承担的村镇银行信息科技管理责任、权利和义务;

(二)主发起行承担的村镇银行信息科技工作内容;(三)对村镇银行客户信息的保密要求;(四)村镇银行信息科技突发事件应急机制;(五)协议变更流程;(六)协议的有效期限。

第二十六条 村镇银行主发起行为农村商业银行、农村合作银行或农村信用社的,且主发起行重要信息系统在本省农村信用联社集中运行的,村镇银行可将信息科技工作委托给省农村信用联社,由省农村信用联社履行主发起行管理责任。

第三章信息科技建设与管理

第二十七条 村镇银行应制定符合总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。制定信息科技架构,确定信息系统和基础设施整体框架,保持前瞻性、可扩展性和灵活性,并定期评估。

第二十八条 村镇银行信息系统应满足以下要求:(一)具备有效支持各项银行业务开展所需的功能,满足村镇银行发行银行卡、建立支付结算渠道、发展电子银行业务、创新金融产品等需求;

(二)具备与业务处理要求相匹配的良好性能;

(三)应避免使用技术落后、不适应业务发展和风险管理需要的信息系统;

(四)对于现代化支付、银行卡联网、征信等系统,原则上应实现信息系统集中接入和集约管理。

第二十九条 村镇银行的信息科技基础设施应满足以下要求:

(一)信息科技基础设施建设应遵循资源共享、标准统一、安全可靠、便于管理的原则,满足可扩展性、易维护性的要求,为各类信息科技应用提供支持和服务;

(二)机房建设应满足《电子信息系统机房设计规范》(GB50174-2008)要求,信息系统运行所依托的数据中心至少应达到B级标准,承担超过30家(含)村镇银行信息系统运行的,所依托的数据中心应达到A级标准;

(三)机房供电、空调、主机、存储和网络等关键基础设施设备实现冗余配置,避免发生单点故障;

(四)承担超过30家(含)村镇银行信息系统运行或所承担村镇银行资产总量超过300亿元(含)的,应建立重要信息系统同城实时数据级备份中心,并实现RPO不超过24小时的远程数据备份。第三十条 村镇银行应建立完善的信息科技管理制度和工作规范,包括项目管理、系统开发运行管理、安全管理、数据管理、应急管理、外包管理、风险及审计管理。

第三十一条 村镇银行应建立信息系统开发、运行管理流程,涵盖需求管理、开发管理、测试管理、验收管理、问题管理和变更管理等内容,包括:

(一)建立需求管理机制,涵盖需求风险分析和可行性研究,确保需求合理、准确;

(二)建立系统化的开发、测试方法和流程,包括需求分析、设计、编码、测试、评审、发版等环节;

(三)严格管控信息系统投产上线,上线前应有完备的上线方案和回退方案,上线过程应进行记录和跟踪,投产后应做好系统验收,包括系统功能、性能、安全、文档等;

(四)建立事件管理流程,快速响应系统运行事件、修复故障,及时恢复系统运行,并深入分析问题根源,防范事件再次发生;

(五)建立配置管理流程,及时更新数据中心基础设施和重要信息系统的配置信息,支持变更风险评估、变更实施、故障事件排查、问题分析等服务管理流程;

(六)建立变更管理流程,包括提出、审核、实施、记录等环节,确保信息系统可靠性、可维护性和可追溯性。变更前需进行备份,变更实施需双人操作。信息系统变更应经村镇银行信息科技管理部门确认后方可实施。第三十二条 村镇银行应建立信息安全管理机制,涵盖物理安全、网络安全、系统安全、加密技术、日志管理等内容,包括:

(一)明确机房物理安全区域,规范区域访问管理,控制未授权访问风险;

(二)划分生产网络安全域,互联网和生产网应实现有效隔离,保障网络通信安全;

(三)建立信息系统访问控制和授权管理体系,根据最小授权原则配置不同用户的访问权限,严格管理高权限账号,规范系统普通账号和密码的创建、变更、删除等,防止非法访问;

(四)在生产数据采集、存储、传输等过程中应对密码等关键信息采取加密、校验等有效措施,确保该类信息安全,防止被篡改和窃取;

(五)村镇银行重要信息系统日志和交易日志、系统变更审批记录以及数据使用、变更、备份、销毁审批记录应保存完整,保留期限应符合审计要求。

第三十三条 村镇银行生产数据的所有权归村镇银行。村镇银行以外的单位未经授权,不得查询、使用、变更、销毁村镇银行生产数据。生产数据的管理规范包括:

(一)生产数据的查询、使用应遵循严格的审批和操作流程,经村镇银行数据管理部门负责人审批同意方可使用。开发测试等需要使用生产数据时,需对数据进行脱敏处理;(二)生产数据变更应遵循严格的审批和操作流程,经村镇银行高管层审批同意后,双人实施,并对变更结果进行确认;

(三)废弃生产数据应经审批后采用不可逆技术手段进行销毁处理,销毁工作由数据管理部门现场监督;

(四)生产数据至少每日进行备份,备份介质应异地保存,定期对备份数据进行恢复性测试,确保一致性和可用性;

(五)对于承担多家村镇银行信息系统运行的,应采取技术措施,确保村镇银行生产数据的保密性和完整性。

第三十四条 村镇银行应建立有效的应急管理体系,确保重要信息系统突发事件发生后快速恢复,降低或消除因重要信息系统服务中断造成的影响和损失。包括:

(一)建立应急管理组织机构,负责信息系统突发事件应急管理工作;

(二)制定信息系统突发事件应急预案,实施信息系统突发事件应急处置;

(三)定期组织信息系统应急演练,持续改进信息系统应急预案;

(四)将同业机构、重要外包服务提供商纳入应急管理。

第四章同业合作管理

第三十五条 村镇银行或主发起行应综合评估拟受托同业机构的行业经验、科技实力和管理能力等,遵循平等、自愿、诚信、互利的原则,委托同业机构承担村镇银行信息科技服务工作。可选择的受托同业机构包括:

(一)经中国银监会批准、在中华人民共和国境内设立、监管评级为二级(含)以上的银行业金融机构;

(二)省级农村信用社联合社(以下简称省联社),经中国银监会批准的主要从事银行IT系统、产品的开发和数据运营维护等业务的非银行金融机构。

第三十六条 村镇银行与受托同业机构应签订同业合作协议,在主发起行管理模式下,村镇银行、主发起行、受托同业机构应签订三方合作协议。同业合作协议应包括但不限于以下方面:

(一)各签约方的责任、权利和义务;(二)信息科技同业合作内容;(三)合规与内控要求;(四)服务连续性要求;(五)知识产权归属;

(六)与同业合作内容相适应的服务要求或服务水平条款;(七)同业合作评价与报告机制;

(八)受托同业机构在安全和保密方面的责任;(九)协议变更流程;(十)协议的有效期限。第三十七条 受托同业机构应建立有效的信息科技治理机制,对其承担的村镇银行信息科技工作负有科技风险管理责任,并配合村镇银行信息科技审计工作。

第三十八条 受托同业机构开展村镇银行信息科技建设与管理应遵照本指引第三章的要求。

第三十九条 各签约方应建立良好的沟通协调机制,应指定部门负责信息科技事项的沟通工作,确保信息科技服务及时、到位。

(一)村镇银行或主发起行应定期对受托同业机构的科技服务进行评价,并将评价结果反馈至受托同业机构,促进受托同业机构改进科技服务;

(二)受托同业机构应确保对村镇银行的信息科技服务水平,包括服务内容、服务流程、系统可用性、响应时间、故障解决率等量化的服务标准等方面;

(三)受托同业机构应建立对村镇银行或主发起行的回访机制,全面了解村镇银行的工作意见和建议,并根据回访情况制定整改措施。回访频率不低于每年一次。

第五章外包管理 第四十条 村镇银行或主发起行在开展村镇银行信息科技外包活动时,可参照《银行业金融机构信息科技外包风险管理指引》内容进行管理。

第四十一条 村镇银行或主发起行应建立信息科技外包管理制度及流程,有效管控信息科技外包风险。

第四十二条 村镇银行或主发起行应审慎开展村镇银行信息科技外包活动,信息科技外包前应进行全面的可行性分析,防范由于外包而引发的各类风险。可行性分析包括但不限于以下内容:

(一)拟外包工作对村镇银行业务发展及风险状况的影响;(二)对拟外包活动的控制能力;(三)拟外包活动对数据安全的影响;

(四)拟外包活动意外终止对村镇银行的影响;(五)中国银监会要求的其他事项。

第四十三条 村镇银行或主发起行实施外包服务项目前,应对服务提供商进行尽职调查。尽职调查内容包括但不限于:

(一)应当关注服务提供商的技术和行业经验,包括服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等;

(二)应当关注服务提供商的内部控制和管理能力,包括内部控制机制和管理流程的完善程度、内部控制技术和工具等;(三)应当关注服务提供商的持续经营状况,包括从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。第四十四条 在开展信息科技外包活动时,村镇银行或主发起行应避免选择存在下列情况的高风险外包服务提供商:

(一)影响国家安全和经济稳定;(二)违反相关法律、行政法规及规章;

(三)窃取、泄露银行业金融机构的敏感信息,并造成恶劣影响;

(四)外包服务过程中,服务态度恶劣、服务质量低下,且拒不按要求进行改进,并给多家银行业金融机构造成损失;

(五)由于外包服务提供商原因引发《商业银行业务连续性监管指引》中定义的重大(含)及以上运营中断事件,且未采取有效整改措施;

(六)外包服务提供商拒绝配合银行业金融机构向银行业监督管理机构提供村镇银行各类数据;

(七)中国银监会认定的“黑名单”服务提供商;(八)其他中国银监会认定的对银行业金融机构造成损失或带来恶劣影响的行为。

第四十五条 村镇银行或主发起行在实施外包服务项目前,应与服务提供商签订外包服务合同,外包服务合同中应明确以下内容:(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;

(二)合规与内控要求,对法律法规及村镇银行内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;

(三)服务连续性要求,服务提供商的业务连续性管理目标应当满足银行业金融机构业务连续性目标要求;

(四)村镇银行监控和检查的权力,以及服务提供商配合其内、外部审计机构和监管机构开展延伸检查的责任;

(五)政策或环境变化因素等在内的合同变更或终止的触发条件,以及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;

(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;

(七)服务要求或服务水平条款,至少应包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准及业务连续性要求的遵守情况、技术支持水平等;

(八)报告条款,至少包括如下内容:常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求;(九)安全及保密条款,包括服务提供商不得在合同允许范围外使用或者披露村镇银行信息,不得以村镇银行名义开展活动等;

(十)外包服务转包和变相转包禁止条款;(十一)其他应当明确的事项。

第四十六条 村镇银行或主发起行应与服务提供商签订服务水平协议,并按照服务水平协议要求提供相应的科技服务。服务水平协议应包括但不限于以下方面:

(一)明确的双方职责描述;(二)详细的服务内容描述;

(三)服务请求受理流程、故障报告流程等服务工作流程;(四)与外包服务相适应的服务水平指标;(五)服务质量评价与报告;(六)服务水平协议变更流程;

(七)服务水平协议的有效期限和具体条款的有效期限。第四十七条 在外包服务实施过程中,村镇银行或主发起行应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。第四十八条 村镇银行或主发起行应将外包风险审计纳入信息科技审计范围,至少每三年对重要外包服务商进行一次全面审计。外包风险事件发生后,应及时开展专项审计。

第四十九条 村镇银行或主发起行应审慎选择注册地或数据中心在大陆以外地区的外包服务商,充分了解并持续监控服务提供商所在国家或地区的政治、经济和社会状况,详细分析国内外法律法规、监管要求差异,通过建立应急预案等措施防范国别风险。选择境外服务提供商实施外包项目,不应妨碍村镇银行外包服务监控管理职能及监管机构的延伸检查权。

第六章监督管理

第五十条 中国银监会及其派出机构依法对村镇银行信息科技工作实施非现场监管和现场检查。

第五十一条 村镇银行信息科技管理模式为自主管理的,由村镇银行属地监管机构履行信息科技监管职责;信息科技管理模式为主发起行管理的,由村镇银行主发起行属地监管机构履行信息科技监管职责,并联动村镇银行属地监管机构开展监管工作。第五十二条 村镇银行向中国银监会或派出机构提交开业行政许可申请时,应向属地监管机构报告其信息科技管理模式。采用主发起行管理模式的,主发起行应同时向主发起行属地监管机构报告。管理模式发生变更的,村镇银行及主发起行应于变更前40个工作日分别向属地监管机构报告。

第五十三条 信息科技管理模式为主发起行管理的,村镇银行属地监管机构应逐级上报至中国银监会。

第五十四条 村镇银行或主发起行委托同业机构或服务提供商开展以下信息科技工作时,应在同业合作协议或外包服务合同签订前20个工作日向中国银监会或其派出机构报告。

(一)信息科技工作整体委托;(二)数据中心、灾备中心整体委托;

(三)涉及将村镇银行客户资料、交易数据等敏感信息交由同业机构或服务提供商进行存贮、分析或处理的;

(四)涉及跨境的信息科技外包;

(五)其他中国银监会认为重要的信息科技委托事项。第五十五条 村镇银行或主发起行委托同业机构或服务提供商开展第五十四条所述信息科技工作的报告内容包括:

(一)委托服务基本情况,包括:委托服务名称,委托服务的主要内容,实施方式,影响的业务类型(渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类),委托服务起止时间;

(二)同业机构或服务提供商基本情况,包括:同业机构或服务提供商全称,法人代表,注册资本,成立时间,企业性质;(三)中国银监会规定的其他材料。

第五十六条 承担村镇银行重要信息系统运行的主发起行或同业机构应就重要信息系统投产及变更事项在重要信息系统投产前至少20个工作日,变更前至少10个工作日向中国银监会或其派出机构报告。

第五十七条 发生达到《银行业重要信息系统突发事件应急管理规范》报送级别的重要信息系统突发事件时,村镇银行及主发起行应遵照其要求向银监会及派出机构报告。

第五十八条 对于承担多家村镇银行信息科技工作、集中度风险相对较高的主发起行和同业机构,银监会及其派出机构应定期对其信息科技风险管理的有效性进行评价,并依据其所承接村镇银行的数量、资产规模等情况加强现场检查。

第七章附则

第五十九条 本指引由中国银监会负责解释。第六十条 本指引自发布之日起实施。

下载村镇银行信息科技整改报告(5篇范文)word格式文档
下载村镇银行信息科技整改报告(5篇范文).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    XXXX村镇银行科技信息中心岗位职责

    XXXX村镇银行科技信息中心岗位职责 科技负责人职责 一、本行办公室下设科技信息中心,办公室全面负责科技信息中心管理工作,组织本部门人员完成计划工作任务。 二、办公室拟......

    村镇银行可行性报告

    一、基本情况 (一)村镇银行简介 1、村镇银行是指经中国银行业监督管理委员会依据有关法律、法规批准,由境内外金融机构、境内非金融机构企业法人、境内自然人出资,在农村地区设......

    村镇银行

    村镇银行 村镇银行 所谓村镇银行就是指为当地农户或企业提供服务的银行机构。区别于银行的分支机构,村镇银行属一级法人机构。目前农村只有两种金融主体,一是信用社,二是只存不......

    关于村镇银行

    银监会关于《小额贷款公司改制设立村镇银行暂行规定》的通知 2009年06月18日 16:42银监会网站 银监发〔2009〕48号 各银监局(西藏除外): 现将《小额贷款公司改制设立村镇银行......

    村镇银行

    贴近三农需求 贴心服务农民 湖北汉川农银村镇银行成立一周年业绩斐然 2009年08月18日18:14来源:人民网-经济频道 记者8月18日从湖北汉川农银村镇银行成立一周年新闻发布会上......

    村镇银行

    村镇银行 所谓村镇银行就是指为当地农户或企业提供服务的银行机构。区别于银行的分支机构,村镇银行属一级法人机构。目前农村只有三种金融主体,一是信用社,二是只存不贷的邮政......

    银行信息科技培训总结

    ⅩⅩ农商行信息科技培训总结 ⅩⅩ年在本行领导的的正确领导下,围绕“信息科技安全运行”这一中心工作,我行精心组织实施了基层员工进行了信息科技安全培训,取得了一定的成效,现......

    XX银行村镇银行关于加强信息安全保障工作的报告

    XX银行村镇银行关于加强信息安全保障工作的报告 我行于2012年6月19日收到中国银行业监督管理委员会邵阳监管分局转发《中国银行业监督管理委员会湖南监管具办公室关于转发银......