【正文】 第七十二條 信息科技專項風險審計是指對信息安全事故進行的調(diào)查、分析和評估，或原有信息系統(tǒng)進行重大結(jié)構調(diào)整的審計，或稽核部門認為需要對信息系統(tǒng)某項專題進行審計。 第六十一條 建立健全外包承包方技術服務能力的評估機制，充分審查承包方的綜合技術服務支持能力，特別是與承包相關技術的先進性和成熟性以及與農(nóng)村信用社現(xiàn)有技術的匹配度。 （六）有實時交易的機房實行 24小時值班。 第四十二條 必須建立獨立的測試環(huán)境，以保證測試的完整性和獨立性。 第三十條 自治區(qū)區(qū)聯(lián)社科技信息中心組織制定中長期信息科技發(fā)展規(guī)劃和年度工作計劃，報告自治區(qū)聯(lián)社信息化建設領導小組批準后組織實施，并根據(jù)業(yè)務發(fā)展狀況組織定期修訂。各相關部門應加強溝通協(xié)調(diào)，確保系統(tǒng)的整體安全。 第七條 各級農(nóng)村合作金融機構、農(nóng)商行法定代表人是本機構信息科 技風險管理的第一責任人，信息科技風險管理狀況納入本機構考核體系。 第八條 自治區(qū)聯(lián)社風險管理部門負責協(xié)調(diào)制定有關信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務部門和科技信息部門提供建議及相關合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。 第十八條 重視知識產(chǎn)權保護工作，使用正版軟件，優(yōu)先使用我國具有自主知識產(chǎn)權的軟硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權的信息系統(tǒng)和相關金融產(chǎn)品，并采取有效措施保護信息化成果；加強軟件版本管理。 根據(jù)信息科技中長期規(guī)劃和年度工作計劃，制定明確、持續(xù)的風險管理規(guī)劃，按照信息科技的敏感程度對各個集成要素進行分析和評估，采取措施防范自然災害、運行環(huán)境變化等產(chǎn)生的安全威脅，防范各類突發(fā)事件和惡意攻擊。測試至少包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試，并由測試部門提交測試報告。 第五十條 信息 系統(tǒng)的維護應符合以下要求： （一） 除對信息系統(tǒng)設備和系統(tǒng)環(huán)境的維護外，對軟件或數(shù)據(jù)的維護必須通過特定的應用程序進行，添加、刪除和修改數(shù)據(jù)應盡可能通過柜員終端進行，不對數(shù)據(jù)庫進行直接操作，如遇 10 無法通過柜員終端進行維護的特殊情況時，經(jīng)業(yè)務部門和科技信息中心審核后，再由科技信息中心進行維護，并進行詳細登記； （二）記錄并保存各種詳細的日志信息，以便維護和審計； （三） 提供統(tǒng)計和報表打印功能。 第六十二條 進行項目外包時 必須與承包方簽訂書面合同，明確雙方的權利、義務，并規(guī)定承包方在安全、保密、知識產(chǎn)權等方面的 義務和責任。 15 第七十三條 信息科技風險審計也可以由中國銀行業(yè)監(jiān)督管理委員會及其派出機構或自治區(qū)聯(lián)社依據(jù)法 律、法規(guī)和規(guī)章，委托并授權有法定資質(zhì)的中介評估機構進行。上線后的系統(tǒng)審閱應在信息系統(tǒng)投入生產(chǎn)半年后進行，審計報告應對被審計的信息系統(tǒng)提出改進或增加風險控制、能否繼續(xù)生產(chǎn)等內(nèi)容的審計建議。評估工作可委托經(jīng)國家相應監(jiān)管部門認定資質(zhì)，具有相關專業(yè)經(jīng)驗的獨立機構完成。 （五）繪制反映各類設備連接物理位置和交互關系的系統(tǒng)圖和拓撲圖。 第四十一條 在研發(fā)過程中的需求變更必須由變更提出部門以正式書面的形式通知自治區(qū)聯(lián)社科技信息中心，經(jīng)項目開發(fā)小組組長批準，重大變更須提交自治區(qū)聯(lián)社信息化領導小組批準后，才能進行變更。 第二十九條 建立健全信息科技制度的制定、審批和修訂流程，使信息科技制度與國家、行業(yè)有關法律法規(guī)和自治區(qū) 聯(lián)社總體業(yè)務發(fā)展相一致。 第十七條 自治區(qū)聯(lián)社風險管理委員會應對信息科技項目可行性研究、立項、開 發(fā)、驗收、運行維護和項目后評估等實施有效的風險管理。 第二章 組織保障體系 第六條 自治區(qū)聯(lián)社風險管理委員會是全區(qū)農(nóng)村信用社信息科技風險管理的最高決策機構，負責組織落實國家及中國人民銀行、中國銀行業(yè)監(jiān)督管理委員會關于信息科技風險工作的方針政策，研究決定全區(qū)農(nóng)村信用社信息科技風險的重大事項，審批、組織信息科技風險工作的計劃和實施；檢查信息科技風險措施的執(zhí)行