信息科技风险管理办法最终版3篇 银行业信息科技风险管理办法

　　下面是范文网小编整理的信息科技风险管理办法最终版3篇 银行业信息科技风险管理办法，欢迎参阅。

信息科技风险管理办法最终版1

　　信息科技自查报告

　　按照上级领导的指示，我行认真贯彻精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

　　一、设备间建设规范和管理规范

（1）设备间安装了温湿度仪表，以用来监控机房温度和湿度，并能够及时开启控温控湿设备来保证机房的温度和湿度。

（2）设备间每周由网点经理或支行行长来对设备间的环境状况进行检查，并登记成册，以确保设备间保持整洁和规范。

（3）设备间严格控制出入人员，并保证营业网点外来人员有相关证件登记。

（4）支行技术人员每年一次对设备间的主要设备进行巡检，确保设备能够正常使用，并在相关登记本上记录。

　　二、应急管理和终端安全

（1）支行会不定期对一些预案进行检查，确保这些预案是最新的，且告知网点人员张贴在需要的地方。

（2）支行每年会抽取一定的网点人员进行培训和演练，并书写心得和体会，确保网点人员能够正确的应对突发状况。

（3）支行每月会不定期的抽查相关电脑的软件安装情况，检查是否存在私自安装不必要的软件，以及是否私自开通ADSL等违规的网络。

信息科技风险管理办法最终版2

　　村镇银行信息科技风险管理办法

（征求意见稿）

　　第一章 总 则

　　第一条 为加强村镇银行信息科技风险管理，确保科技体系持续稳定运转，根据《商业银行信息科技风险管理指引》等有关法律、法规，制定本办法。

　　第二条 信息科技风险管理是通过建立有效机制，实现对银行信息系统风险的识别、计量、评价、预警和控制，推动村镇银行业务创新，提高信息化管理水平，保障村镇银行业务持续平稳发展。

　　第二章 信息科技风险管理组织架构

　　第三条 信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

　　第四条

　　发起行科技信息中心是村镇银行信息科技风险的主要管理部门，发起行科技信息中心有以下信息科技风险管理的权限和职责：

（一）建立有效的信息科技风险管理管理架构，完善内部组织结构和工作机制，防范和控制信息科技风险管理；

（二）贯彻执行国家有关信息系统相关法律、法规和技术标准，落实人民银行和银监会相关监管要求；

（三）履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责，建立、健全村镇银行信息科技风险管理相关规章、制度，并严格执行；

（四）负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作，提供村镇银行信息系统日常信息服务和运行技术支持；

（五）负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度；

（六）发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。

　　第三章 信息科技风险具体控制要求

　　第五条 信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点：

（一）缺少信息系统风险管理策略；

（二）自然灾害、运行环境变化；

（三）信息系统相关规章制度、技术规范、操作规程不完善；

（四）信息安全标准化工作不符合国家相关规定；

（五）缺乏信息安全风险评估机制；

（六）数据中心机房物理安全；

（七）使用盗版软件及自有成果的知识产权保护；

（八）电子设备自身运行；

（九）主机与网络运行；

（十）网络安全；

（十一）密码安全；

（十二）数据加密安全；

（十三）信息系统配置参数管理；

（十四）数据管理；

（十五）突发事件响应；

（十六）信息系统故障导致影响银行信誉；（十七）网上银行安全。

　　第六条 信息系统总体风险控制措施：

（一）根据村镇银行信息系统总体规划，在村镇银行风险管理政策指引下，制定明确、持续的信息系统风险管理策略，根据信息系统的等级保护级别对信息系统进行分析和评估，并实施有效的风险控制；

（二）建立同城信息系统灾备中心实现运行环境备份，防止各类突发事故和恶意攻击事件造成不良后果；

（三）建立健全相关信息科技制度，明确信息系统相关人员的职责权限，建立制约机制，实行最小授权；

（四）严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，开展信息安全等级保护等相关工作；

（五）加强对信息系统的风险评估，及时对风险点进行修补和完善，以保证信息系统的安全性和完整性；

（六）信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准，数据中心机房实行严格的门禁管理措施，未经授权不得进入；

（七）加强知识产权保护，使用正版软件，加强软件版本管理；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护村镇银行信息化成果；

（八）严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程，选用的设备应经过技术论证，测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当数量的备品、备件；

（九）严格参照相关标准和规范设计、建设信息系统网络；网络设备应兼备技术先进性和产品成熟性；关键网络设备和线路应有冗余备份；严格线路租用合同管理，按照业务和交易流量要

　　求保证传输带宽；监测和管理通信线路及网络设备，保障网络安全稳定运行；

（十）加强网络安全管理。严格网络边界控制，使用各种技术手段降低外部攻击、信息泄漏等风险；

（十一）加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度；

（十二）加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理；优化系统和数据库安全设置，严格按授权使用信息系统和数据库，采用适当的数据加密技术以保护敏感数据的传输和存取，以保证数据的完整性、保密性；

（十三）对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，并严格审批和登记手续；

（十四）制定信息系统相关应急预案，并定期进行演练、评审和修订；

（十五）加强对技术文档资料和重要数据的备份管理；技术文档资料和重要数据应保留副本并异地存放，按规定年限保存，调用时应严格授权管理；

（十六）在信息系统可能影响客户服务时，及时通知业务部门，以便以适当方式告知客户；

（十七）采取有效技术措施，切实加强网上银行信息安全保

　　障。加强网银用户身份认证管理，与业务部门密切配合，逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段，保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。

　　第七条

　　信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点：

（一）信息系统项目研发管理；

（二）信息系统项目开发人员外包；

（三）信息系统项目需求不明确；

（四）信息系统测试不规范或不完善；

（五）信息系统应用推广；

（六）信息系统测试发现的软件缺陷；

（七）信息系统项目文档管理；

（八）信息系统项目验收。

　　第八条

　　信息科技研发风险具体控制要求：

（一）一般项目研发成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作；

（二）项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识，小组负责人需具备组织领导能力，保证信息

　　系统研发质量和进度；

（三）项目组根据业务部门项目需求编制项目功能说明书，依据项目功能说明书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合项目功能说明书的要求；

（四）软件研发必须建立独立的测试环境，以保证测试的完整性和准确性。一般测试应包括功能测试、安全性测试、压力测试、验收测试等，测试不得直接使用生产数据；

（五）研发人员必须根据测试结果修补信息系统的功能和缺陷，提高信息系统的整体质量；

（六）根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练；

（七）开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存；

（八）软件开发项目必须进行严格的项目验收流程，项目验收应出具由相关负责人签字的项目验收报告，验收不合格不得投入使用。

　　第九条 信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点：

（一）人为因素导致信息系统运行故障；

（二）运行管理不完善；

（三）信息系统日常变更；

（四）新建信息系统运行；

（五）机房环境变化；

（六）信息系统故障报告程序。

　　第十条 信息科技运行维护风险具体控制要求：

（一）信息系统运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求；

（二）相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行；

（三）制订严格的信息系统变更处理流程，明确变更流程中各岗位的职责分工，并遵循流程实施控制和管理；

（四）在信息系统投产后一定时期内，应配合业务部门，积极参与组织对系统的后评价，根据评价及时对系统功能进行调整和优化；

（五）对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案；

（六）实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

　　第十一条

　　信息科技外包风险的操作风险点外包风险是指

　　银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点：

（一）信息科技外包需求控制风险；

（二）信息科技外包承包方合作风险；

（三）信息科技外包项目商业风险；

（四）信息科技外包项目安全风险；

（五）信息科技外包项目质量风险；

（六）信息科技外包项目风险管理；

（七）信息科技外包项目责任风险；（入）信息科技外包项目监控风险。

　　第十二条 信息科技外包风险具体控制要求：

（一）在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全相关规章制度，制定相应的风险防范措施；

（二）建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成；

（三）与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任；

（四）充分认识外包服务对信息系统风险控制的直接和间接

　　影响，并将其纳入总体安全策略和风险控制之中；

（五）建立完整的信息系统外包风险评估与检测程序，审查管理外包产生的风险，提高本机构的外包管理的能力；

（六）信息系统外包风险管理应符合风险管理标准和策略，并建立针对信息系统外包风险的应急计划；

（七）与信息系统外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更办法，保证信息系统外包服务不间断的应急预案；

（八）对信息系统外包承包方进行持续的监控。

　　第四章 附 则

　　第十三条 各支行可依据本办法，结合本单位实际情况，制定具体实施细则。

　　第十四条 本办法由村镇银行负责解释和修订。第十五条 本规定自印发之日起施行。

信息科技风险管理办法最终版3

　　信息科技风险自查报告

　　按照上级领导的指示，认真贯彻《XX通知》（XX文件）精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

　　一、组织架构、制度建设及管理情况

　　1、信息科技治理组织架构

　　信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则，统一组织、协调、指导、检查全辖应急处置的管理；负责全辖信息系统突发事件的应急指挥、组织协调和过程控制

　　成立了信息科技部，加强了信息科技管理。

　　2、信息科技管理制度建设（1）安全管理

　　对安全管理活动中的各类管理内容建立安全管理制度，制定了《南乐县农村信用社计算机信息系统安全管理制度》等，并且及时发现缺漏或不足对制度进行修订。

（2）应急处理

　　建立较为完善的信息计算机信息系统管理办法，制定中心机房关键基础设施专项应急预案。

　　二、信息系统的技术措施情况

　　1、物理和环境建设

（1）机房的物理访问控制：机房实现门禁控制，严防外部人员进入机房擅自操作。

（2）系统密码均由专门人员掌管，计算机终端无人看管时锁定；

（3）机房采用集中监控，监控清晰全面，参数实行24小时不间断监控，岗位人员具备管理监控专业素质。

（4）机房供电系统均采用双路UPS供电，线路冗余性好，负载能力强，完全能够满足机房电力需求。

（5）机房空调系统的有效性和冗余性，给排风系统的有效性：机房空调系统安全有效，给排风系统工作正常。

（6）中心机房有配套防盗窃、防雷、防火、防水、防静电、温湿度控制、电磁保护等措施，确保机房正常运转。

　　2、网络服务连续性、冗余性

　　1.所有重要通信线路均有备份线路且采用不同运营商，确保网络无断点。

　　2.网络设备的冗余性：网络设备均有备份。核心网络设备，核心生产系统设备均采用双机热备，确保关键生产设备运行的可靠性。

　　3.访问线路的带宽完全能够满足各信息系统的带宽需求，无网络拥塞现象。

　　4.网络设备管理配置均由专人分管负责，确保合理操作，保障网络通畅、安全；

　　3、应用安全

　　1.业务应用系统的用户授权及鉴别认证措施

　　业务应用系统用户密码相关业务人员各自保管，通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。

　　2.业务应用系统的用户访问控制

　　系统软件用户访问实现权限控制，各级人员只能进行权限内操作

　　三、不足和改进方法

　　需将管理与技术相结合，进一步加强信息安全管理手段

　　1、从IT风险管理手段来看，部分系统的风险控制不够先进，缺乏专业的风险技术支持，事前预防作用有限，事中控制不够。缺乏对科技风险的集中审计。

　　2、从组织上保证信息风险有具体人员来承担责任，强化执行力和合规性。将日常信息风险管理从传统的检查模式逐步过渡到基于评估、规划、执行和监督全面循环改进的模式。制订详细的信息科技风险管理架构，确立信息服务管理与信息风险管理的关系，明确信息风险管理的范围、职责，制订符合信用社实际情况的管理流程，出台可操作性强的安全技术规范，从而有效地防范科技风险。