金融业信息科技风险管理计划

/*

(四) 评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替计划等防范措施；在员工岗位发生变化后及时变更相关信息。

第八条 运营管理部职能交叉，要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括：

(一) 运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。

(二) 制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息。

(三) 提供机房环境、设备使用、网络运行、系统运行职能交叉，要部门协调等监控信息。

(四) 记录运行值班过程中所有现象、操作过程等信息日志。 (五) 对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；

(六) 具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计。

(七) 提供维护的统计和报表打印功能。 (八) 对系统参数等设置变更、维护的要求：

/*

1、 应对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。

2、 制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；

3、 根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。职能交叉，要部门协调

(九) 应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。

(十) 实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

第九条 风险管理部负责信息科技风险管理工作，并直接向分管行领导（风险管理委员会）报告工作。该部门应为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。风险管理部的职责包括：

/*

(一) 拟定信息系统风险管理总体政策，并提交高级管理层审查、审批。

(二) 会同相关业务部门对信息系统风险进行识别、监测； (三) 审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测，并进行实时报告。

(四) 组织新投产后信息系统的后评价，并识别、评估新信息系统中所包含的风险，审核相应的操作和风险管理程序。

第十条 稽核审计部应在部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。稽核审计部负责我行信息系统审计任务，也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。

第三章 信息科技风险管理

第十一条 我行应制定全面的信息科技风险管理策略，包括但不限于下述领域：

(一) 信息分级与保护。 (二) 信息系统开发、测试和维护。 (三) 信息科技运行和维护。 (四) 访问控制。 (五) 物理安全。

/*

(六) 人员安全。

(七) 业务连续性计划与应急处置。

第十二条 我行应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别（包括外包供应商、产品供应商和服务商）。

第十三条 我行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

(一) 制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。

(二) 确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：

1、 最高权限用户的审查。

2、 控制对数据和系统的物理和逻辑访问。

3、 访问授权以“必需知道”和“最小授权”为原则。 4、 审批和授权。 5、 验证和调节。

第十四条 我行应建立持续的信息科技风险计量和监测机制，其中应包括：