農(nóng)信社省聯(lián)社金融機構(gòu)信息科技風(fēng)險管理五年規(guī)劃

附件

堵府村合行金融機構(gòu)

魚患科技風(fēng)噲管理五年規(guī)則

二零二二年三月五日

第二章全省農(nóng)合機構(gòu)信息科技風(fēng)險管理現(xiàn)狀..............................

第一節(jié)信息科技風(fēng)哈管理二秒情效..............................................................

一、信息科技管理取得一定成效..................................

二、信息科技風(fēng)險管理策略構(gòu)建取得一定成效.....................

三、信息科技風(fēng)險評估取得初步成效..............................

四、信息系統(tǒng)安全等級保護取得初步發(fā)展.........................

五、業(yè)務(wù)連續(xù)性管理初上軌道....................................

第二節(jié)信息科技風(fēng)險管理存在的問題...............................................

一*、信息科技管理不夠健全......................................

二、信息科技風(fēng)險管埋策稍不完善................................

三、風(fēng)險控制層面的“三重控制”機制未有效構(gòu)建.................

四、數(shù)據(jù)大集中系統(tǒng)安全等級定級偏低...........................

五、業(yè)務(wù)連續(xù)性管理還比較薄弱..................................

六、信息科技風(fēng)險管理績效體系尚未建立..........................

第三章信息科技風(fēng)險管理五年規(guī)劃目標和實施路線........................

第一節(jié)信息科技風(fēng)險管理五年規(guī)劃總體目標........................................

策〔巧信.電科牯風(fēng)險筲現(xiàn)11年視即京臨路絆...................................................

一、持續(xù)完善信息科技管理......................................

二、逐步完善信息科技風(fēng)險管理策略..............................

三、構(gòu)建信息科技風(fēng)險控制層面的“三重控制”...................

四、全面貫徹落實信息系統(tǒng)安全等級保護.........................

五、持續(xù)完善業(yè)務(wù)連續(xù)性管理體系................................

六、加強分中心和法人聯(lián)社的信息科技風(fēng)險管理...................

七、探索建立信息科技風(fēng)險管理績效體系..........................

第四章2022年信息科技風(fēng)險管理工作計劃...............................

一、進一步完善信息科技管理....................................

二、初步建立信息科技風(fēng)險管理策略..............................

三、初步構(gòu)建風(fēng)險控制層面“三重控制”.........................

四、落實信息系統(tǒng)安全等級保護..................................

五、初步建立業(yè)務(wù)連續(xù)性管理體系................................

六、落實信息科技風(fēng)險隱患的整改工作............................

第一章引言

信息科技風(fēng)險指信息科技在全省農(nóng)合機構(gòu)運用過程中，由于自

然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽

等風(fēng)險。信息科技風(fēng)險管理指通過建立有效的機制，實現(xiàn)對信息科

技風(fēng)險的識別、計量、監(jiān)測、和控制，促進全省農(nóng)合機構(gòu)安全、持

續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息科技使用水平，增強核心

競爭力和可持續(xù)發(fā)展能力。

信息科技風(fēng)險管理主要范圍包括信息科技管理、信息科技風(fēng)險

管理策略、信息科技風(fēng)險控制、信息系統(tǒng)安全等級保護、業(yè)務(wù)連續(xù)

性管理和信息科技風(fēng)險管理績效體系等。其中，信息科技管理主要

涉及信息科技管理、信息科技風(fēng)險管理、信息科技審計〃三道防

線〃建設(shè)，信息科技風(fēng)險管理策略包括風(fēng)險管理目標規(guī)劃及信息系

統(tǒng)架構(gòu)風(fēng)險管理策略、信息安全管理策略、生產(chǎn)運行風(fēng)險管理策

暗、開辟測試和維護風(fēng)險管理策略、外包風(fēng)險管理策略等具體風(fēng)險

管理策略;信息科技風(fēng)險控制包括由事前評估識別、事中監(jiān)測檢

查、事后審計核查組成的〃三重控制〃；信息系統(tǒng)安全等級保護包

括建立信息系統(tǒng)安全等級劃分標準，制定信息系統(tǒng)安全控制基線，

并在此基礎(chǔ)上采用相應(yīng)的安全技術(shù)實現(xiàn)信息系統(tǒng)安全等級保護；業(yè)

務(wù)連續(xù)性管理包括業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性計劃、突發(fā)事件應(yīng)急

處理和災(zāi)難恢復(fù)等；信息科技風(fēng)險管理績效體系主要包括生產(chǎn)安全

運行績效考核體系和生產(chǎn)運行服務(wù)水平績效考核體系。

近年來銀監(jiān)會非常重視銀行業(yè)金融機構(gòu)的信息科技風(fēng)險管理工

作，強化信息科技管理、信息科技風(fēng)險管理、信息科技審計〃三道

防線〃建設(shè)，先后發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指弓I》，《銀

行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》《商業(yè)銀行數(shù)據(jù)中心監(jiān)管

指引》，《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》、《網(wǎng)上

銀行安全風(fēng)險管理指引》、《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》等信

息科技風(fēng)險管理的綱領(lǐng)性文件，同時在《中國銀行業(yè)信息科技〃十

二五〃發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》中，對農(nóng)合機構(gòu)在〃十二五”期間

的信息科技風(fēng)險管理提出了具體的發(fā)展目標。

全省目前已有93家農(nóng)合機構(gòu)和1家村鎮(zhèn)銀行接入大集中系

統(tǒng)，數(shù)據(jù)大集中在提升農(nóng)合機構(gòu)管理水平、促進業(yè)務(wù)發(fā)展的同時，

也帶來了信息科技風(fēng)險的高度集中，信息科技風(fēng)險管理顯得尤其重

簡稱銀信中心），內(nèi)設(shè)綜合部、信息技術(shù)部、電子銀行部、會計結(jié)算

部、信息科技風(fēng)險管理部等5個部門及茂名、清遠、揭陽等14個

分中心，初步建立了省聯(lián)社高管層參預(yù)、跨業(yè)務(wù)條線的信息科技工

作決策組織和決策流程，基本明確了省聯(lián)社理事會、管理層、信息

科技管理委員會、信息技術(shù)部、信息科技風(fēng)險管理部及有關(guān)業(yè)務(wù)部

門的信息科技職責(zé)。

（二）科技管理制度建設(shè)初具規(guī)模。省聯(lián)社和銀信中心目前已

發(fā)布的各類規(guī)章制度有30多項，內(nèi)部管理辦法和操作手冊60

多項，制度、辦法和手冊初步覆蓋了機房管理、設(shè)備管理、網(wǎng)絡(luò)

管理、系統(tǒng)管理、需求管理、開辟管理、測試管理、運行管理和

應(yīng)急管理等信息科技工作的主要方面。

二、信息科技風(fēng)險管理策略構(gòu)建取得一定成效

（一）信息系統(tǒng)架構(gòu)風(fēng)險管理策略構(gòu)建取得一定效果。

1、在機房設(shè)施架構(gòu)風(fēng)險管理策略方面，機房供電、綜合布

線、空調(diào)等均采用全冗余架構(gòu)設(shè)計，并建立了比較完備的機房環(huán)境

監(jiān)控預(yù)警指標體系，有效降低了數(shù)據(jù)中心機房的運行風(fēng)險。

2、在地市分中心機房運行風(fēng)險管理策略方面，制定并推廣了

《銀信中心地市分中心機房建設(shè)標準》，從而有效降低了地市分中

心基礎(chǔ)設(shè)施的風(fēng)險。

3、在網(wǎng)絡(luò)架構(gòu)風(fēng)險管理策略方面，省聯(lián)社早在2022年初就制

定印發(fā)了《省農(nóng)村信用社網(wǎng)絡(luò)建設(shè)和管理規(guī)范》，并按規(guī)范要求在全

省農(nóng)合機構(gòu)范圍內(nèi)進行了網(wǎng)絡(luò)改造工作，提高了數(shù)據(jù)大集中網(wǎng)絡(luò)系

統(tǒng)的冗余性、穩(wěn)定性和安全性，為大集中上線和推廣工作和信息科

技風(fēng)險控制提供了有力的保障。

4、在硬件平臺架構(gòu)風(fēng)險管理策略方面，數(shù)據(jù)大集中主要生產(chǎn)

系統(tǒng)硬件平臺均采用了全冗余架構(gòu)設(shè)計，確保業(yè)務(wù)連續(xù)性和客戶數(shù)

據(jù)安全。

（二）信息安全管理策略構(gòu)建取得較好效果。建立了物理安全管

理、生產(chǎn)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)物理隔離，初步實現(xiàn)了網(wǎng)絡(luò)分區(qū)安全控制、

用戶認證和訪問控制、操作系統(tǒng)安全管理、密鑰及密碼設(shè)備管理、

操作審計等策略。

（三）生產(chǎn)運行風(fēng)險管理策略構(gòu)建取得較大進步。初步構(gòu)建了

機房、網(wǎng)絡(luò)、主機和應(yīng)用等系統(tǒng)關(guān)鍵風(fēng)險指標、生產(chǎn)事件的監(jiān)控預(yù)

警系統(tǒng)，初步建立了生產(chǎn)系統(tǒng)問題管理、變更管理等的制度和流

程，操作自動化水平逐步提高。

三、信息科技風(fēng)險評估取得初步成效

除信息科技風(fēng)險的自評和2022年銀監(jiān)會對信息系統(tǒng)風(fēng)險的檢

查評估外，銀信中心還禮聘德勤會計事務(wù)所按銀監(jiān)會《商業(yè)眼行信

息科技風(fēng)險管理指引》要求對數(shù)據(jù)大集中系統(tǒng)進行了全面的信息科

技風(fēng)險評估，對評估中發(fā)現(xiàn)的風(fēng)險隱患，銀信中心相關(guān)部室均進行

了有效整改或者制定了整改計劃，有效控制了風(fēng)險。

四、信息系統(tǒng)安全等級保護取得初步發(fā)展

信息科技風(fēng)險管理部在2022年底開始著手對重要信息系統(tǒng)安

全實施等級保護，目前已完成數(shù)據(jù)大集中主要信息系統(tǒng)安全等級保

護的分級及初評，已進入報備階段。

五、業(yè)務(wù)連續(xù)性管理初上軌道

修訂印發(fā)了信息系統(tǒng)突發(fā)事件應(yīng)急管理預(yù)案，建立了包括事件

監(jiān)控和預(yù)警、發(fā)現(xiàn)和通知、組織協(xié)調(diào)、應(yīng)急處置、應(yīng)急通告、總結(jié)

和報告等流程的信息系統(tǒng)突發(fā)事件應(yīng)急響應(yīng)機制，進一步完善了應(yīng)

急預(yù)案和應(yīng)急演練機制。同時，根據(jù)省聯(lián)社及下屬農(nóng)合機構(gòu)實際情

況，初步制定了部份重要業(yè)務(wù)系統(tǒng)針對普通突發(fā)事件和重大災(zāi)難性

突發(fā)事件的業(yè)務(wù)恢復(fù)優(yōu)先順序、RTO（恢復(fù)時間目標）和RPO（恢

復(fù)點目標）等業(yè)務(wù)連續(xù)性指標。

第二節(jié)信息科技風(fēng)險管理存在的問題

數(shù)據(jù)大集中使原來分散在全省各個網(wǎng)絡(luò)中心的信息科技風(fēng)險現(xiàn)

在主要集中到了省中心，由于銀信中心信息科技風(fēng)險管理部成立不

久，全省農(nóng)合機構(gòu)的信息科技風(fēng)險管理工作也剛剛起步，有的還處

于摸索階段，與銀監(jiān)會有關(guān)信息科技風(fēng)險監(jiān)管規(guī)范要求相比有相當

大的差距，問題主要體現(xiàn)在以下幾方面：

一、信息科技管理不夠健全

（一）在管理層面的信息科技管理、信息科技風(fēng)險管理、信息科技

審計〃三道防線〃中，信息科技審計部門及審計崗位尚未設(shè)置，審

計制度尚未建立，省聯(lián)社和全省農(nóng)合機構(gòu)尚未建立專業(yè)的信息科技

審計隊伍；信息科技風(fēng)險管理剛剛設(shè)立，信息科技風(fēng)險管理隊伍建

設(shè)剛剛起步，關(guān)鍵崗位配比較低、缺乏核心技術(shù)人材，部份信息科

技風(fēng)險管理制度尚處于探索、研究階段，〃三道防線〃還未起到應(yīng)

有的管理、制約和監(jiān)督作用。

（二）信息科技風(fēng)險披露機制不完善。尚未建立信息科技風(fēng)險

的月報、季報和年報等的披露規(guī)范，也未定期向省聯(lián)社領(lǐng)導(dǎo)、信息

科技管理委員會和銀信中心管理層提交信息科技風(fēng)險評估報告、信

息安全報告、現(xiàn)場檢查報告和審計報告。

（三）信息科技風(fēng)險意識教育培訓(xùn)工作有待加強

尚未建立全省農(nóng)合機構(gòu)常態(tài)化的信息科技風(fēng)險管理意識培訓(xùn)教

育機制，全省農(nóng)合機構(gòu)科技人員的信息安全意識、風(fēng)險意識有待進

一步提局1。

二、信息科技風(fēng)險管理策稍不完善

（一）信息系統(tǒng)架構(gòu)風(fēng)險管理策略未有效建立。尚未建立專業(yè)

化的架構(gòu)風(fēng)險評估組織和評估機制，以實現(xiàn)對應(yīng)用架構(gòu)、數(shù)據(jù)架

構(gòu)、基礎(chǔ)設(shè)施架構(gòu)、組織架構(gòu)等的架構(gòu)風(fēng)險評估，規(guī)避架構(gòu)缺陷帶

來的信息科技長期風(fēng)險。

（二）信息安全管理策略存在漏洞和缺陷。信息安全策略覆蓋

面不全，在網(wǎng)絡(luò)隔離、遠程訪問控制方面存在安全隱患，網(wǎng)絡(luò)設(shè)

備、安全設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫的用戶權(quán)限和密碼管理策稍不完

善，生產(chǎn)系統(tǒng)日志管理、操作審計管理策略存在缺陷，敏感數(shù)據(jù)安

全管控不足。

（三）生產(chǎn)運行風(fēng)險管理策稍不夠完備。生產(chǎn)運行風(fēng)險監(jiān)測平

臺尚未建立，生產(chǎn)運行風(fēng)險管理制度和標準不夠完善，事件管理、

問題管理、變更管理、配置管理過程中的風(fēng)險管理和風(fēng)險監(jiān)測機制

有待進一步細化。

（四）開辟、測試和維護風(fēng)險管理策略也存在不足和缺陷。安全需

求分析、安全架構(gòu)規(guī)劃、詳細安全設(shè)計、安全測試不完善，軟件研

發(fā)質(zhì)量保證體系有待進一步規(guī)范化，重要信息系統(tǒng)的變更投產(chǎn)風(fēng)險

管控有缺陷，安全質(zhì)量管理有待進一步提高。

（五）外包管理制度不夠完善。對外包服務(wù)商的風(fēng)險控制能力

有較大缺陷，尚未建立外包相關(guān)風(fēng)險防范能力制度和風(fēng)險評估流

程，也未建立有效的外包服務(wù)商評價、定期檢查和跟蹤機制。

三、風(fēng)險控制層面的“三重控制”機制未有效構(gòu)建

尚未在風(fēng)險控制層面建立有效的信息科技風(fēng)險的事前評估識別、事

中監(jiān)測檢查、事后審計核查的〃三重控制〃機制：

（一）事前評估識別機制存在較大缺陷。風(fēng)險評估制度和流程尚不

規(guī)范，信息科技風(fēng)險評估自評、外部評估流程制度尚未完善，常態(tài)

化信息科技風(fēng)險定期評估，重要信息系統(tǒng)變更投產(chǎn)前的風(fēng)險評估規(guī)

范和流程也有待進一步改進和完善。

（二）事中監(jiān)測檢查機制未建立。信息科技風(fēng)險信息監(jiān)測、檢查、

評估體系不完善，日常現(xiàn)場檢查機制也尚未建立，信息科技風(fēng)險監(jiān)

測平臺尚未建立。

（三）事后審計核查尚未實施。常態(tài)化的信息科技審計制度、流程

未建立，信息系統(tǒng)開辟、變更、數(shù)據(jù)提取、日常運行操作的合規(guī)性

核查未有效開展。

四、數(shù)據(jù)大集中系統(tǒng)安全等級定級偏低

尚未建立信息系統(tǒng)安全控制基線，目前正在進行的信息系統(tǒng)安

全等級保護工作涉及的數(shù)據(jù)大集中系統(tǒng)安全等級劃分標準偏低。數(shù)

據(jù)大集中核心系統(tǒng)目前僅定為三級，而國有商業(yè)銀行核心系統(tǒng)的定

級普通都在四級以上，這在一定程度上降低了大集中系統(tǒng)的安全

性。

五、業(yè)務(wù)連續(xù)性管理還比較薄弱

（一）尚未建立完整的業(yè)務(wù)連續(xù)性管理框架和流程

1、尚未制定有效的業(yè)務(wù)連續(xù)性管理規(guī)范，未按照業(yè)務(wù)連續(xù)性

監(jiān)管要求建立包括業(yè)務(wù)連續(xù)性管理架構(gòu)及管理、業(yè)務(wù)影響分析、業(yè)

務(wù)連續(xù)性計劃、災(zāi)難恢復(fù)等規(guī)范和流程的業(yè)務(wù)連續(xù)性管理體系，業(yè)

務(wù)連續(xù)性預(yù)案編制、演練機制等也有待進一步建立完善。

2、IT基礎(chǔ)設(shè)施的高可用性與監(jiān)管規(guī)范要求比有較大差距。機房、

系統(tǒng)和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施高可用性的覆蓋率不夠高；機房外部環(huán)境的

安全性存在缺陷，機房供電容量不足、發(fā)機電容量配比不足、機房

空調(diào)冷量嚴重不足等因素一定程度制約了全省農(nóng)合機構(gòu)新產(chǎn)品的不

斷投產(chǎn)上線；災(zāi)備中心建設(shè)滯后、災(zāi)備有效性不足，數(shù)據(jù)大集中目

前只實現(xiàn)了核心系統(tǒng)的同城數(shù)據(jù)級的備份，未覆蓋所有的重要生產(chǎn)

應(yīng)用，遠未達到監(jiān)管部門提出的〃二地三中心〃應(yīng)用級災(zāi)備要求；

全省農(nóng)合機構(gòu)大多數(shù)網(wǎng)點也仍未實現(xiàn)主、備雙路線的接入。

3、突發(fā)事件應(yīng)急管理能力有待進一步改進。信息科技突發(fā)事

件的監(jiān)控預(yù)警、應(yīng)急預(yù)案、應(yīng)急響應(yīng)等存在不足或者缺陷，應(yīng)急預(yù)

案的科學(xué)性、完整性、可操作性有待進一步改進，多點故障的應(yīng)

急處

理能力有待進一步提升和完善，應(yīng)急演練覆蓋面有待進一步提高。

（二）總體業(yè)務(wù)連續(xù)性水平有待提高。2022年數(shù)據(jù)大集中核心系

統(tǒng)計劃性停機時間約為6小時，非計劃性停機約為4小時，總停機

時間約為10小時，而國內(nèi)先進商業(yè)銀行去年全年總停機時間不到

半小時，差距較大。止匕外，2022年大集中核心因系統(tǒng)和軟件故障

引起的帳務(wù)數(shù)據(jù)差錯水平也維持在較高水平。

六、信息科技風(fēng)險管理績效體系尚未建立

全省農(nóng)合機構(gòu)信息科技風(fēng)險管理尚缺乏有效的激勵與約束機

制，信息科技風(fēng)險事件的問責(zé)機制不完善，尚未制定生產(chǎn)運行關(guān)鍵

風(fēng)險控制的績效指標、建立生產(chǎn)安全運行績效考核制度，尚未建立

生產(chǎn)運行服務(wù)水平績效考核及信息科技風(fēng)險管理水平績效考核體

系。

第三章信息科技風(fēng)險管理五年規(guī)劃目標和實施路線

第一節(jié)信息科技風(fēng)險管理五年規(guī)劃總體目標

按照全省農(nóng)合機構(gòu)信息科技戰(zhàn)略規(guī)劃和《商業(yè)銀行信息科技風(fēng)

險管理指引》的監(jiān)管要求，推行信息科技風(fēng)險管理的監(jiān)管規(guī)范化和

國際標準化管理，進一步完善信息科技管理組織架構(gòu)，充實細化信

息科技管理的各項制度和流程；遵循監(jiān)管部門信息科技風(fēng)險監(jiān)管要

求，充實優(yōu)化信息科技風(fēng)險管理組織架構(gòu)，制定風(fēng)險策略層面涵蓋

信息系統(tǒng)生命周期各個環(huán)節(jié)的信息科技風(fēng)險管理策略和規(guī)范，構(gòu)建

具有農(nóng)合機構(gòu)特色的信息科技風(fēng)險管理體系；建立風(fēng)險控制層面的

事前評估識別、事中監(jiān)測檢查、事后審計核查的〃三重控制"，建

設(shè)信息科技風(fēng)險評估平臺；全面貫徹落實國家信息系統(tǒng)安全等級保

護要求，建設(shè)包括網(wǎng)絡(luò)安全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫

基線檢查、應(yīng)用安全基線檢查和代碼安全基線檢查等內(nèi)容的信息安

全評估平臺，有效提高信息安全管理水平；持續(xù)完善業(yè)務(wù)連續(xù)性管

理，逐步建立信息科技風(fēng)險信息采集、評估與監(jiān)控管理的風(fēng)險監(jiān)測

平臺，在此基礎(chǔ)上健全常態(tài)化的信息科技風(fēng)險監(jiān)測、預(yù)警與應(yīng)急處

置機制；逐年降低數(shù)據(jù)大集中系統(tǒng)的計劃性與非計劃性停機時間，

大幅度減少因系統(tǒng)軟、硬件故障引起的數(shù)據(jù)差錯水平，最終基本達

到國內(nèi)先進商業(yè)銀行的業(yè)務(wù)連續(xù)性水平。

第二節(jié)信息科技風(fēng)險管理五年規(guī)劃實施路

線一、持續(xù)完善信息科技管理

（一）進一步完善信息科技管理組織架構(gòu)

全面落實《商業(yè)銀行信息科技風(fēng)險管理指引》的各項監(jiān)管要求，

積極推行信息科技COBIT管理標準的實施，進一步完善信息科技管

理、信息科技風(fēng)險管理、信息科技審計"三道防線”建設(shè)。在信息

科技管理上，逐步細化完善信息科技管理的各項流程、規(guī)范和制

度，優(yōu)化信息科技管理組織架構(gòu)，實現(xiàn)產(chǎn)品研發(fā)、軟件開辟、測試

和生產(chǎn)運行的相互制約和分離；在信息科技風(fēng)險管理上，建立完善

風(fēng)險管理部內(nèi)部組織架構(gòu)，在信息科技風(fēng)險管理部設(shè)立風(fēng)險管理崗

位、安全檢查崗位及業(yè)務(wù)連續(xù)性管理崗位；在信息科技審計上，建

立完善全省農(nóng)合機構(gòu)的信息科技審計體系，規(guī)劃實施初期，推動省

聯(lián)社在稽審中心設(shè)立獨立的信息科技審計崗位，條件成熟后，再在

省聯(lián)社或者銀信金融服務(wù)中心設(shè)立單獨的信息科技審計部門。

（二）推行信息科技風(fēng)險管理標準化管理

按照Baseim的要求,將信息科技風(fēng)險明確劃歸到操作風(fēng)險范

疇，從而將信息科技風(fēng)險管理納入到全面風(fēng)險管理體系中。在信息

科技風(fēng)險管理體系建設(shè)上，積極推行信息科技風(fēng)險管理的RISKIT

管理標準的實施，參考借鑒國內(nèi)外信息科技風(fēng)險管理領(lǐng)域的最佳實

踐，從信息科技風(fēng)險管理策略、信息科技風(fēng)險控制、信息系統(tǒng)安全

等級保護、業(yè)務(wù)連續(xù)性管理、信息科技風(fēng)險管理績效體系等方面逐

步落實銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》中有關(guān)第二道防

線的工作職能，逐步實現(xiàn)科技管理的自動化，將各項管理要求體現(xiàn)

到系統(tǒng)平臺中，確保各項既定管理要求得到有效落實，把風(fēng)險管控

貫通于信息系統(tǒng)生命周期，建立起信息科技風(fēng)險管控的日?；⒘?/p>

程化、持續(xù)化機制，提高信息科技風(fēng)險防范管理水平。

（三）充實優(yōu)化信息科技風(fēng)險管理部

信息科技風(fēng)險管理部目前承擔(dān)著規(guī)劃、構(gòu)建全省農(nóng)合機構(gòu)信息

科技風(fēng)險管理相關(guān)的風(fēng)險管理策略、風(fēng)險控制、信息安全管理和業(yè)

務(wù)連續(xù)性管理等職能，但目前管理和技術(shù)人員總共惟獨5人，遠遠

不能滿足全省農(nóng)合機構(gòu)信息科技風(fēng)險管理工作的需要，必須加強技

術(shù)人員的引進和培養(yǎng)，同時強化技術(shù)人員的專業(yè)培訓(xùn)和任職資質(zhì)要

求，二年內(nèi)信息科技風(fēng)險管理部主要技術(shù)人員必須獲得注冊信息安

全專業(yè)人員證書（CISP）或者國際信息系統(tǒng)審計師證書（QSA）。

五年內(nèi)預(yù)期信息科技風(fēng)險管理部總?cè)藬?shù)達到12人，其中中層管

理人員2人，信息科技風(fēng)險管理人員4人，安全檢查人員4人，

業(yè)務(wù)連

續(xù)性管理人員2人。

（四）建立信息科技風(fēng)險披露機制

建立行之有效的信息科技風(fēng)險的報告路線，制定信息科技風(fēng)險

月報、季報和年報等的披露規(guī)范，定期向省聯(lián)社領(lǐng)導(dǎo)、信息科技管

理委員會和銀信中心管理層提交信息科技風(fēng)險評估報告、信息安全

報告、現(xiàn)場檢查報告和審計報告，確保省聯(lián)社理事會、管理層掌握

主要的信息科技風(fēng)險并在此基礎(chǔ)上確定可接受的風(fēng)險級別，從而確

保相關(guān)風(fēng)險能夠被識別、計量、監(jiān)測和控制，切實提升省聯(lián)社理事

會及管理層的信息科技風(fēng)險管理的履職能力。

（五）加強信息科技風(fēng)險意識的教育和培訓(xùn)

1、建立全省農(nóng)合機構(gòu)常態(tài)化的信息科技風(fēng)險管理意識培訓(xùn)教育機

制。定期組織全省農(nóng)合機構(gòu)科技人員學(xué)習(xí)銀監(jiān)會、人民銀行和省聯(lián)

社有關(guān)銀行業(yè)金融機構(gòu)信息科技風(fēng)險監(jiān)管指引、規(guī)范和制度，確保

所有科技人員了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授

權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，逐步提高全省

農(nóng)合機構(gòu)科技人員的信息科技風(fēng)險管理水平。

2、定期舉辦信息科技管理和風(fēng)險控制相關(guān)國際標準及最佳實

踐體系的培訓(xùn)。在信息科技管理方面舉辦COBIT控制體系培訓(xùn)，在

信息科技風(fēng)險管理方面舉辦RISKIT控制體系培訓(xùn)，在信息安全方

面舉辦IS027002控制體系培訓(xùn)，在生產(chǎn)運行方面進行ITIL最佳實

踐體系培訓(xùn)，在軟件開辟方面舉辦CMMI質(zhì)量控制體系培訓(xùn)。通過

培訓(xùn)，逐步提升全省農(nóng)合機構(gòu)科技人員的安全意識、風(fēng)險意識，促

進信息科技風(fēng)險管理文化建設(shè)，保障全省農(nóng)合機構(gòu)數(shù)據(jù)大集中系統(tǒng)

的安全運行。

二、逐步完善信息科技風(fēng)險管理策略

（一）細化銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》、《銀

行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》、《商業(yè)銀行數(shù)據(jù)中心監(jiān)

管指引》、《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》等文件

要求，逐步建立信息系統(tǒng)架構(gòu)風(fēng)險管理、信息安全管理、生產(chǎn)運行

風(fēng)險管理，開辟測試和維護風(fēng)險管理、外包風(fēng)險管理的具體策略，

并在此基礎(chǔ)上禮聘專業(yè)咨詢公司協(xié)助完善信息科技風(fēng)險管理體系。

（二）積極引進國內(nèi)外銀行業(yè)金融機構(gòu)先進的信息科技風(fēng)險管理策

略：

1、在信息科技架構(gòu)管理策略上，積極引進國內(nèi)外銀行業(yè)金融機構(gòu)

先進的信息科技架構(gòu)管控流程和最佳實踐，逐步健全業(yè)務(wù)架構(gòu)、應(yīng)

用架構(gòu)、數(shù)據(jù)架構(gòu)、基礎(chǔ)設(shè)施架構(gòu)、組織架構(gòu)等方面風(fēng)險的內(nèi)外評

審機制，逐步完善架構(gòu)評價體系，持續(xù)跟蹤并監(jiān)測架構(gòu)規(guī)劃的執(zhí)行

情況，在保持架構(gòu)相對穩(wěn)定的基礎(chǔ)上，適時調(diào)整架構(gòu)規(guī)劃以適應(yīng)發(fā)

展要求，實現(xiàn)信息科技架構(gòu)風(fēng)險的有效管理。

2、在信息安全管理策略上，積極推行IS027002信息安全治

理標準的實施。建立健全信息安全的內(nèi)部控制體系，通過技術(shù)和管

理手段，確保信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性，提升信

息安全保障體系的茁壯性和有效性；合理劃份內(nèi)部網(wǎng)絡(luò)區(qū)域，有效

隔離生產(chǎn)網(wǎng)、辦公網(wǎng)和測試網(wǎng)，在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、桌

面、數(shù)據(jù)、開辟、運行等不同層面完善身份認證、訪問控制、日志

分析、操作審計等安全風(fēng)險控制策略；建立業(yè)務(wù)安全監(jiān)控機制，細

化客戶端安全、互聯(lián)網(wǎng)安全、應(yīng)用交易安全等方面的安全防范策

暗，及時識別危（wei）險賬戶和客戶異常行為，實現(xiàn)技術(shù)防范與

業(yè)務(wù)交易安全監(jiān)控聯(lián)動；統(tǒng)一規(guī)劃互聯(lián)網(wǎng)、外聯(lián)網(wǎng)安全防護標準

策略，主動應(yīng)對安全威脅，嚴格防止敏感數(shù)據(jù)泄露，重點防范外

部攻擊；加強網(wǎng)上銀行安全威脅發(fā)展趨勢的跟蹤、分析和研究，

推動新技術(shù)新產(chǎn)品在網(wǎng)上銀行等互聯(lián)網(wǎng)系統(tǒng)中的應(yīng)用，在互聯(lián)網(wǎng)

系統(tǒng)客戶端引入安全掃描等機制，主動評價客戶平臺安全狀況，

加強客戶平臺準入管理，增強客戶異常行為檢查，通過識別客戶

交易時段、地點、交易頻率及額度等信息，提前預(yù)警防范風(fēng)險。

3、在生產(chǎn)運行風(fēng)險管理策略上，積極推動生產(chǎn)運行管理的

ITIL最佳實踐體系的實施。對生產(chǎn)運行涉及的事件管理、問題管

理、變更管理、數(shù)據(jù)管理、系統(tǒng)管理、網(wǎng)絡(luò)管理、機房管理等流程

進行全面梳理，明確主要風(fēng)險點和薄弱環(huán)節(jié)，制定有效的風(fēng)險防范

或者緩釋策略；持續(xù)完善變更風(fēng)險管理策略，加強變更流程的審

核和控制，有效降低變更操作風(fēng)險；完善生產(chǎn)數(shù)據(jù)備份策略，建

立備份數(shù)據(jù)驗證環(huán)境，提高數(shù)據(jù)安全保障能力；完善生產(chǎn)事件的

管理策略，細化生產(chǎn)運行事件分類，建立完善事件處理知識庫，

提高運行事件響應(yīng)處理能力；推進自動化生產(chǎn)運行操作平臺建設(shè)，

強化操作復(fù)核機制和權(quán)限控制，實現(xiàn)日常運維中重復(fù)性工作的自

動化和規(guī)范化操作，避免人為操作帶來的風(fēng)險隱患；部署全面的

安全防護系統(tǒng)和風(fēng)險監(jiān)測工具，對運行風(fēng)險進行有效的監(jiān)測、預(yù)

警和及時處置。

4、在開辟測試、維護和項目投產(chǎn)風(fēng)險管理策略上，積極推動

軟件開辟CMMI質(zhì)量控制體系的實施，提高軟件開辟質(zhì)量管理能

力。在項目管理上，加強項目需求與設(shè)計階段的架構(gòu)審核和安全評

審，嚴格執(zhí)行信息安全技術(shù)架構(gòu)原則；在軟件開辟管理上，大力推

廣使用代碼檢測技術(shù)和漏洞測試工具，提高軟件編碼質(zhì)量，防范軟

件開辟過程中存在的風(fēng)險和漏洞；在變更投產(chǎn)管理上，建立重要

信息系統(tǒng)變更投產(chǎn)前的風(fēng)險評估機制，有效提升軟件開辟和項目

投產(chǎn)風(fēng)險管控水平。

5、在外包風(fēng)險管理策略上，完善外包合同協(xié)議的風(fēng)險審核機

制，建立外包實施過程中的操作安全、數(shù)據(jù)保密、人員變更等風(fēng)險

防范策略，完善外包突發(fā)事件應(yīng)急預(yù)案，防范外包供應(yīng)商服務(wù)中斷

或者異常退出風(fēng)險。

（三）建立完善業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險防范策略

L健全業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險防范規(guī)范、制度和流程，定期進行業(yè)務(wù)

系統(tǒng)應(yīng)用風(fēng)險分析，及時發(fā)現(xiàn)、修正業(yè)務(wù)操作過程、交易流程、操

作權(quán)限等的風(fēng)險隱患和漏洞。

2、制定業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險指標，構(gòu)建業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險分析

系統(tǒng)，確保內(nèi)審機構(gòu)和管理部門能夠及時、準確掌握業(yè)務(wù)操作風(fēng)險

狀況，實現(xiàn)對業(yè)務(wù)操作行為實時或者定期風(fēng)險分析、預(yù)警。

三、構(gòu)建信息科技風(fēng)險控制層面的“三重控制”

（一）構(gòu)建事前評估識別機制

1、建設(shè)信息科技風(fēng)險評估平臺。制定信息分級與保護、系統(tǒng)

開辟測試和維護、信息科技運行和維護、訪問控制、物理安全、

人

員安全、業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置等的風(fēng)險評估規(guī)范，構(gòu)建內(nèi)部

評估和外部評估相結(jié)合的常態(tài)化信息科技風(fēng)險評估、識別機制；建

設(shè)信息科技風(fēng)險評估平臺，優(yōu)化風(fēng)險識別標準，建立信息科技風(fēng)險

控制基線，確定風(fēng)險防范措施及所需資源的優(yōu)先級別，實現(xiàn)對信息

科技風(fēng)險的有效控制。

2、建立關(guān)鍵風(fēng)險指標。制定并定期更新風(fēng)險級別分類標準和

響應(yīng)優(yōu)先順序，加強對組織架構(gòu)風(fēng)險、技術(shù)架構(gòu)風(fēng)險、操作風(fēng)險、

應(yīng)用變更風(fēng)險、生產(chǎn)調(diào)度風(fēng)險、基礎(chǔ)軟件風(fēng)險、硬件風(fēng)險、應(yīng)急處

置風(fēng)險等關(guān)鍵風(fēng)險點的識別梳理，綜合運用系統(tǒng)失效點影響分析、

系統(tǒng)高可用性設(shè)計分析、服務(wù)接口安全風(fēng)險分析等方法科學(xué)評估信

息系統(tǒng)故障發(fā)生后的業(yè)務(wù)影響范圍和風(fēng)險級別，建立關(guān)鍵風(fēng)險指

標。

（二）構(gòu)建事中監(jiān)測檢查機制

1、完善信息科技風(fēng)瞼的日常現(xiàn)場檢查及定期檢查制度和流程。根

據(jù)銀監(jiān)會《銀行業(yè)信息科技風(fēng)險監(jiān)管現(xiàn)場檢查手冊》等規(guī)范要求，

制定適合農(nóng)合機構(gòu)的信息科技風(fēng)險現(xiàn)場檢查和非現(xiàn)場檢查規(guī)范，綜

合利用技術(shù)手段和管理手段加強對關(guān)鍵信息科技風(fēng)險的現(xiàn)場和非現(xiàn)

場檢查。每半年開展1次全面的現(xiàn)場檢查，每月利用各類技術(shù)管理

平臺開展1次非現(xiàn)場檢查，每日對關(guān)鍵風(fēng)險指標進行一次現(xiàn)場檢

查，并對檢查發(fā)現(xiàn)問題的整改發(fā)展進行持續(xù)的跟蹤、管理，確保整

改措施落實到位。

2、以銀監(jiān)會《銀行業(yè)金融機構(gòu)信息科技非現(xiàn)場監(jiān)管報表》為基礎(chǔ)，

建立適合農(nóng)合機構(gòu)的信息科技風(fēng)險監(jiān)測指標體系，在此基礎(chǔ)上建設(shè)

信息科技風(fēng)險監(jiān)測平臺。持續(xù)優(yōu)化完善風(fēng)險監(jiān)測指標體系，逐步建

立信息科技風(fēng)險損失數(shù)據(jù)庫，實施信息科技風(fēng)險定量分析及趨勢分

析，支持信息科技風(fēng)險管理決策。

（三）構(gòu)建事后審計核查機制

建立健全信息科技內(nèi)、外審計制度，強化信息科技審計在信息

科技管理、內(nèi)部控制和風(fēng)險管理中的作用，充分發(fā)揮信息科技審計

監(jiān)督評價職能。對照銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》，

《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》《商業(yè)銀行數(shù)據(jù)中心

監(jiān)i指弓I》，《銀行業(yè)垂信，息系球發(fā)事件應(yīng)急i理規(guī)范》、《商

業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》等規(guī)范和指引要求，每年至少組織一

次全面的信息科技內(nèi)部審計，每二年組織一次信息科技外部審計，

有效提升全省農(nóng)合機構(gòu)信息科技管理法規(guī)遵從性的水平。

四、全面貫徹落實信息系統(tǒng)安全等級保護

（一）積極推行信息系統(tǒng)的等級保護，建立和完善信息資產(chǎn)分

類分級標準，制定信息系統(tǒng)安全控制基線，并在此基礎(chǔ)上采用相應(yīng)

的技術(shù)手段逐步實現(xiàn)對不同類型、不同級別信息資產(chǎn)的分級保護措

施，逐步提高大集中核心系統(tǒng)等重要信息系統(tǒng)的安全保護等級。

（二）構(gòu)建有效的信息安全等級評估機制，建設(shè)包括網(wǎng)絡(luò)安全

基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全基

線檢查和代碼安全基線檢查等檢查測試內(nèi)容的信息安全評估平臺，

重點加強銀行卡、網(wǎng)銀系統(tǒng)的安全風(fēng)險評估識別，健全電子交易渠

道的安全風(fēng)險控制機制，有效提高信息系統(tǒng)安全的等級保護水平。

五、持續(xù)完善業(yè)務(wù)連續(xù)性管理體系

(-)禮聘專業(yè)咨詢公司協(xié)助建立滿足銀監(jiān)會《商業(yè)銀行業(yè)務(wù)

連續(xù)性監(jiān)管指引》要求的業(yè)務(wù)連續(xù)性管理體系。明確省聯(lián)社、銀信

中心各部門和各法人聯(lián)社的業(yè)務(wù)連續(xù)性管理職責(zé)，在業(yè)務(wù)影響分析

基礎(chǔ)上制定業(yè)務(wù)分類分級保護策略，制定業(yè)務(wù)連續(xù)性計劃，確定關(guān)

鍵業(yè)務(wù)恢復(fù)次序與恢復(fù)時間要求，加快災(zāi)難恢復(fù)系統(tǒng)建設(shè)。

1、持續(xù)完善業(yè)務(wù)連續(xù)性計劃。建立總體業(yè)務(wù)連續(xù)性計劃、完

善總體應(yīng)急預(yù)案，以此為基準整理和完善專項業(yè)務(wù)應(yīng)急預(yù)案與技術(shù)

應(yīng)急預(yù)案，建立多層次、多場景和可操作應(yīng)急預(yù)案管理體系。加強

總體應(yīng)急預(yù)案、專項應(yīng)急預(yù)案的管理，加強預(yù)案之間的銜接與配

套；制定預(yù)案編制規(guī)范，保證預(yù)案編制質(zhì)量，建立涵蓋預(yù)案制定、

評審、發(fā)布、變更和回收等過程的預(yù)案維護機制；強化預(yù)案后評價

與持續(xù)改進機制，保證預(yù)案的有效性。

2、加快業(yè)務(wù)連續(xù)性資源建設(shè)，研究建立適合農(nóng)合機構(gòu)的災(zāi)難恢

復(fù)系統(tǒng)架構(gòu)。推進〃雙活〃數(shù)據(jù)中心建設(shè)，提高生產(chǎn)中心和備份中

心之間的相互備份、切換和接管能力，逐步加大數(shù)據(jù)、系統(tǒng)、基礎(chǔ)

設(shè)施等各類資源的保護范圍以及恢復(fù)能力，提高電子銀行渠道災(zāi)難

恢復(fù)能力，推進外聯(lián)交易、支付、清算等重要渠道災(zāi)難備份建設(shè)。

3、完善業(yè)務(wù)連續(xù)性計劃的演練和驗證工作。采取計劃性、非

計劃性等多種演練形式，有效驗證應(yīng)急響應(yīng)、決策機制、指揮體

系、報告渠道、資源保障、業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)的效果與能

力，全面提高應(yīng)對重大突發(fā)事件能力；逐步推行以真實業(yè)務(wù)接管為

目標的實戰(zhàn)演練，逐步加大實戰(zhàn)演練頻度，擴大演練覆蓋范圍。

4、完善應(yīng)急處置流程。完善信息科技風(fēng)險監(jiān)測、預(yù)警機制，

健全應(yīng)對突發(fā)事件的預(yù)警、報告、決策、指揮、響應(yīng)及退出等環(huán)節(jié)

的應(yīng)急管理機制。制定監(jiān)測指標，實時監(jiān)測業(yè)務(wù)運行狀態(tài)，及時發(fā)

現(xiàn)異常情況，及時預(yù)警；建立清晰的報告流程，明確報告路線；建

立應(yīng)急指揮、決策體系，統(tǒng)籌協(xié)調(diào)，高效決策，保證指揮流程暢

通；完善應(yīng)急處置響應(yīng)流程，加強關(guān)鍵崗位人員配置。

5、加強突發(fā)事件危機處理管理。逐步完善全省農(nóng)合機構(gòu)與外

部機構(gòu)的應(yīng)急協(xié)作機制，加強突發(fā)事件處置時的聯(lián)動和協(xié)調(diào)配合。

逐步建立各級農(nóng)合機構(gòu)與當?shù)卣畽C構(gòu)和公共事業(yè)機構(gòu)的有效的溝

通機制，重點是建立與電力、能源、通訊、消防、衛(wèi)生、新聞等機

構(gòu)的協(xié)調(diào)機制。

（二）推進數(shù)據(jù)中心服務(wù)水平的量化管理。建立系統(tǒng)的、可操

作的數(shù)據(jù)中心服務(wù)評價指標，包括數(shù)據(jù)中心配置對業(yè)務(wù)應(yīng)用需求滿

足程度、提供服務(wù)的可用性、資源變更的有效性、資源成本的可控

性等。

（三）逐年降低數(shù)據(jù)大集中系統(tǒng)計劃性與非計劃性停機時間，

大幅度降低因系統(tǒng)和軟件故障引起的帳務(wù)數(shù)據(jù)差錯水平，最終基本

達到國內(nèi)先進商業(yè)銀行的業(yè)務(wù)連續(xù)性水平。

六、加強分中心和法人聯(lián)社的信息科技風(fēng)險管理

加快推進全省法人聯(lián)社網(wǎng)點通信的備份路線建設(shè)，積極推進發(fā)

達地區(qū)法人聯(lián)社前置系統(tǒng)和管理系統(tǒng)的災(zāi)難備份建設(shè)，完善分中心

機房、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的應(yīng)急管理預(yù)案，加強應(yīng)急預(yù)案的演練，切

實提高分中心在信息科技突發(fā)事件中的協(xié)調(diào)能力和應(yīng)急處置水平。

七、探索建立信息科技風(fēng)險管理績效體系

探索建立適合全省農(nóng)合機構(gòu)實際情況的可計量、可操作的生產(chǎn)

運行服務(wù)水平、信息科技風(fēng)險管理水平的績效指標，將項目開辟與

生產(chǎn)運行過程中的風(fēng)險管理能力和風(fēng)險事件特別是大集中系統(tǒng)的數(shù)

據(jù)安全水平和非計劃性停機事件納入到相關(guān)責(zé)任主體的績效考核

中。強化信息科技風(fēng)險事件的問責(zé)機制，完善全省農(nóng)合機構(gòu)信息科

技風(fēng)險管理中的激勵與約束機制。

第四章2022年信息科技風(fēng)險管理工作計劃

2022年全省農(nóng)合機構(gòu)信息科技風(fēng)險管理工作的重點是進一步

完善信息科技管理的"三道防線”建設(shè)，充實科技管理制度，初步

構(gòu)建風(fēng)險控制層面〃三重控制〃，啟動風(fēng)險評估、安全評估和風(fēng)險

監(jiān)測等〃三個平臺〃建設(shè)，總體實施目標為：

按照全省農(nóng)合機構(gòu)信息科技戰(zhàn)略規(guī)劃和監(jiān)管規(guī)范要求，推行信

息科技風(fēng)險管理的監(jiān)管規(guī)范化管理，充實信息科技管理的各項制度

和流程；遵循監(jiān)管部門信息科技風(fēng)險監(jiān)管要求，充實信息科技風(fēng)險

管理組織架構(gòu)；制定涵蓋信息系統(tǒng)生命周期各個環(huán)節(jié)的信息科技風(fēng)

險管理策略和規(guī)范；初步構(gòu)建風(fēng)險控制層面的事前評估識別、事中

監(jiān)測檢查、事后審計核查的〃三重控制〃，啟動信息科技風(fēng)險評估

平臺建設(shè)；落實國家信息系統(tǒng)安全等級保護要求，啟動包括網(wǎng)絡(luò)安

全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全

基線檢查和代碼安全基線檢查等內(nèi)容的信息安全評估平臺建設(shè)；完

善突發(fā)事件應(yīng)急管理，初步建立業(yè)務(wù)連續(xù)性管理，啟動建設(shè)信息科

技風(fēng)險信息采集、評估與監(jiān)控管理的風(fēng)險監(jiān)測平臺；有效提高數(shù)據(jù)

大集中系統(tǒng)的業(yè)務(wù)連續(xù)性水平，將業(yè)務(wù)服務(wù)時段非計劃性停機時間

降低到1小時內(nèi)，有效降低因系統(tǒng)軟、硬件故障引起的帳務(wù)數(shù)據(jù)差

錯水平。

一、進一步完善信息科技管理

（一）落實《商業(yè)銀行信息科技風(fēng)險管理指引》的各項監(jiān)管要

求，進一步完善信息科技管理、信息科技風(fēng)險管理、信息科技審計

〃三道防線〃建設(shè)。在信息科技管理上J逐步補充、細化完善信息

科技管理的各項流程、規(guī)范和制度；在信息科技風(fēng)險管理上，加快

完善風(fēng)險管理部內(nèi)部組織架構(gòu)，在信息科技風(fēng)險管理部設(shè)立風(fēng)險管

理崗位、安全檢查崗位，總?cè)藬?shù)達到7人其中中層管理人員2人，

風(fēng)險管理人員3人，安全檢查人員2人；在信息科技審計上，推動

省聯(lián)社在稽審中心設(shè)立獨立的信息科技審計崗位。

（二）初步建立信息科技風(fēng)險披露機制。進一步完善信息科技

風(fēng)險的報告路線，制定信息科技風(fēng)險月報、季報和年報等的披露規(guī)

范，定期向省聯(lián)社理事會、省聯(lián)社領(lǐng)導(dǎo)、信息科技管理委員會和銀

信中心管理層提交信息科技風(fēng)險評估報告、信息安全報告、現(xiàn)場檢

查報告，確保省聯(lián)社理事會、管理層掌握主要的信息科技風(fēng)險，提

升省聯(lián)社理事會及管理層在信息科技風(fēng)險管理上的履職能力。

（三）強化信息科技風(fēng)險意識的教育和培訓(xùn)

組織全省農(nóng)合機構(gòu)科技人員對銀監(jiān)會有關(guān)銀行業(yè)金融機構(gòu)信息

科技風(fēng)險監(jiān)管指引和管理規(guī)范的培訓(xùn)學(xué)習(xí)，邀請銀監(jiān)會和國內(nèi)著名

信息安全、信息科技風(fēng)險管理專家為銀信中心全體人員進行安全或

者風(fēng)險管理專題培訓(xùn)。通過強化培訓(xùn)，逐步提升全省農(nóng)合機構(gòu)科

技人員的安全意識、風(fēng)險意識，確保銀信中心所有科技人員了解、

遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、

信息科技管理制度和流程等要求，有效促進信息科技風(fēng)險管理文

化建設(shè)。

二、初步建立信息科技風(fēng)險管理策略

（一）按照銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》要求，

禮聘專業(yè)咨詢公司協(xié)助完善信息科技風(fēng)險管理體系、建立適合數(shù)據(jù)

大集中后農(nóng)合機構(gòu)信息化要求的信息安全管理、生產(chǎn)運行風(fēng)險管

理，開辟測試和維護風(fēng)險管理、外包風(fēng)險管理的具體策略：

1、在信息安全管理策略上，建立健全信息安全的內(nèi)部控制體

系。合理劃份內(nèi)部網(wǎng)絡(luò)區(qū)域，有效隔離生產(chǎn)網(wǎng)、辦公網(wǎng)和測試網(wǎng)；

在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、桌面、數(shù)據(jù)、開辟、運行等不同層面

完善身份認證、訪問控制、日志分析、操作審計等安全風(fēng)險控制策

略;統(tǒng)一規(guī)劃互聯(lián)網(wǎng)、外聯(lián)網(wǎng)安全防護標準策略，嚴格防止敏感數(shù)

據(jù)泄露，重點防范外部攻擊；加強網(wǎng)上銀行安全威脅發(fā)展趨勢的跟

蹤、分析和研究，推動新技術(shù)新產(chǎn)品在網(wǎng)上銀行等互聯(lián)網(wǎng)系統(tǒng)中的

應(yīng)用。

2、在生產(chǎn)運行風(fēng)險管理策略上，對生產(chǎn)運行涉及的事件管

理、問題管理、變更管理、數(shù)據(jù)管理、系統(tǒng)管理、網(wǎng)絡(luò)管理、機房

管理等流程進行全面梳理，明確主要風(fēng)險點和薄弱環(huán)節(jié)，制定有效

的風(fēng)險防范或者緩釋策略；持續(xù)完善變更風(fēng)險管理策略，加強變更

流程的審核和控制，有效降低變更操作風(fēng)險；完善生產(chǎn)數(shù)據(jù)備份

策略，建立備份數(shù)據(jù)驗證環(huán)境，提高數(shù)據(jù)安全保障能力。

3、在開辟測試、維護和項目投產(chǎn)風(fēng)險管理策略上，推廣使用

代碼檢測技術(shù)和漏洞測試工具，加強項目需求與設(shè)計階段的安全評

審，建立重要信息系統(tǒng)變更投產(chǎn)前的風(fēng)險評估機制，有效提升軟件

開辟和項目投產(chǎn)風(fēng)險管控水平。

4、在外包風(fēng)險管理策略上，完善外包合同協(xié)議的風(fēng)險審核機

制。初步建立外包實施過程中的操作安全、數(shù)據(jù)保密、人員變更等

風(fēng)險防范策略，制定外包突發(fā)事件應(yīng)急預(yù)案，防范供應(yīng)商服務(wù)中斷

或者異常退出風(fēng)險。

（二）探索建立業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險防范策略

著手建立業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險防范規(guī)范、制度和流程，定期進行

業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險分析，及時發(fā)現(xiàn)、修正業(yè)務(wù)操作過程、交易流

程、操作權(quán)限等的風(fēng)險隱患和漏洞。

三、初步構(gòu)建風(fēng)險控制層面“三重控制”

（一）初步構(gòu)建事前評估識別機制

1、初步構(gòu)建信息科技風(fēng)險評估平臺。建立信息科技風(fēng)險控制

基線，制定信息分級與保護、系統(tǒng)開辟測試和維護、信息科技運行

和維護、訪問控制、物理安全、人員安全、業(yè)務(wù)連續(xù)性計劃與應(yīng)急

處置等的風(fēng)險評估規(guī)范，初步構(gòu)建內(nèi)部評估和外部評估相結(jié)合的常

態(tài)化信息科技風(fēng)險評估、識別機制，初