信息科技风险管理办法.doc

-
. z.

专业资料
信息科技风险管理方法
编制部门：技术部
版 次 号：A/0
生效日期：20211201
目录
修改记录3：信息科技预算和支出、信息科技策略、标准和流程、信息科技部控制、专业化研发、信息科技工程发起和管理、信息系统和信息科技根底设施的运行、维护和升级、信息平安管理、灾难恢复方案、信息科技外包和信息系统退出等职责。
-
. z.

专业资料
确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个设机构和分支机构。
组织专业培训，提高人才队伍的专业技能。
履行信息科技风险管理其他相关工作。
科技部负责我司信息平安、信息系统开发、测试和维护、信息科技运行、业务连续性管理；应对部管理职责进展明确的界定，各岗位的人员应具有相应的专业知识和技能，重要岗位应制定详细完整的工作手册并适时更新，并对相关人员采取相关的风险防措施：
验证个人信息，包括核验有效**件、学历证明、工作经历和专业**书等信息。
审核信息科技员工的道德品行，确保其具备相应的职业操守。
确保员工了解、遵守信息科技策略、指导原则、信息**、授权使用信息系统、信息科技管理制度和流程等要求，并同员工签订相关协议。
-
. z.

专业资料
评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替方案等防措施；在员工岗位发生变化后及时变更相关信息。
运营管理部职能穿插，要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括：
运行与维护应实行职责别离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进展维护，除应急外，其他维护应在非工作时间进展。
制定详细的运行值班操作表，包括规定巡检时间，操作围、容、方法、命令以及负责人员等信息。
提供机房环境、设备使用、网络运行、系统运行职能穿插，要部门协调等监控信息。
记录运行值班过程中所有现象、操作过程等信息日志。
对软件或数据的维护必须通过特定的应用程序进展，添加、删除和修改数据应通过柜员终端，不得对数据库进展直接操作；
具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计。
提供维护的统计和报表打印功能。
-
. z.

专业资料
对系统参数等设置变更、维护的要求：
应对信息系统配置参数实施格的平安与**管理，防止非法生成、变更、泄漏、丧失与破坏。根据敏感程度和用途，确定存取权限、式和授权使用围，格审批和登记手续。
制订密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退案，无授权不得进展变更操作；
根据变更需求、变更案、变更容核实清单等相关文档审核变更的正确性、平安性和合法性。职能穿插，要部门协调
应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易效劳的数据中心应实行24小时值班。
实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。
风险管理部负责信息科技风险管理工作，并直接向分管行领导〔风险管理委员会〕报告工作。该部门应为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息平安、业务连续性方案和合规性风险等面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息平安威胁和不合规事件的发生。风险管理部的职责包括：
-
. z.

专业资料
拟定信息系统风险管理总体政策，并提交高级管理层审查、审批。
会同相关业务部门对信息系统风险进展识别、监测；
审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行情况进展监测，并进展实时报告。
组织新投产后信息系统的后评价，并识别、评估新信息系统中所包含的风险，审核相应的操作和风险管理程序。
稽核审计部应在部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计方案，