【正文】 ，信息科技風險管理人員4人，安全檢查人員4人，業(yè)務(wù)連續(xù)性管理人員2人。數(shù)據(jù)大集中核心系統(tǒng)目前僅定為三級，而國有商業(yè)銀行核心系統(tǒng)的定級一般都在四級以上，這在一定程度上降低了大集中系統(tǒng)的安全性。尚未建立專業(yè)化的架構(gòu)風險評估組織和評估機制，以實現(xiàn)對應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、基礎(chǔ)設(shè)施架構(gòu)、組織架構(gòu)等的架構(gòu)風險評估，規(guī)避架構(gòu)缺陷帶來的信息科技長期風險。在地市分中心機房運行風險管理策略方面，制定并推廣了《銀信中心地市分中心機房建設(shè)標準》，從而有效降低了地市分中心基礎(chǔ)設(shè)施的風險。附件 省農(nóng)村合作金融機構(gòu)信息科技風險管理五年規(guī)劃二〇一二年三月五日第一章 引言 3第二章 全省農(nóng)合機構(gòu)信息科技風險管理現(xiàn)狀 5第一節(jié) 信息科技風險管理主要成效 5一、信息科技治理取得一定成效 5二、信息科技風險管理策略構(gòu)建取得一定成效 6三、信息科技風險評估取得初步成效 7四、信息系統(tǒng)安全等級保護取得初步進展 7五、業(yè)務(wù)連續(xù)性管理初上軌道 8第二節(jié) 信息科技風險管理存在的問題 8一、信息科技治理不夠健全 8二、信息科技風險管理策略不完善 9三、風險控制層面的“三重控制”機制未有效構(gòu)建 10四、數(shù)據(jù)大集中系統(tǒng)安全等級定級偏低 11五、業(yè)務(wù)連續(xù)性管理還比較薄弱 11六、信息科技風險管理績效體系尚未建立 12第三章 信息科技風險管理五年規(guī)劃目標和實施路線 12第一節(jié) 信息科技風險管理五年規(guī)劃總體目標 13第二節(jié) 信息科技風險管理五年規(guī)劃實施路線 14一、持續(xù)完善信息科技治理 14二、逐步完善信息科技風險管理策略 17三、構(gòu)建信息科技風險控制層面的“三重控制” 20四、全面貫徹落實信息系統(tǒng)安全等級保護 21五、持續(xù)完善業(yè)務(wù)連續(xù)性管理體系 22六、加強分中心和法人聯(lián)社的信息科技風險管理 24七、探索建立信息科技風險管理績效體系 24第四章 2012年信息科技風險管理工作計劃 25一、進一步完善信息科技治理 26二、初步建立信息科技風險管理策略 27三、初步構(gòu)建風險控制層面“三重控制” 29四、落實信息系統(tǒng)安全等級保護 30五、初步建立業(yè)務(wù)連續(xù)性管理體系 30六、落實信息科技風險隱患的整改工作 32 第一章 引言信息科技風險指信息科技在全省農(nóng)合機構(gòu)運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。在機房設(shè)施架構(gòu)風險管理策略方面，機房供電、綜合布線、空調(diào)等均采用全冗余架構(gòu)設(shè)計，并建立了比較完備的機房環(huán)境監(jiān)控預(yù)警指標體系，有效降低了數(shù)據(jù)中心機房的運行風險。 二、信息科技風險管理策略不完善（一）信息系統(tǒng)架構(gòu)風險管理策略未有效建立。 四、數(shù)據(jù)大集中系統(tǒng)安全等級定級偏低尚未建立信息系統(tǒng)安全控制基線，目前正在進行的信息系統(tǒng)安全等級保護工作涉及的數(shù)據(jù)大集中系統(tǒng)安全等級劃分標準偏低。 （三）充實優(yōu)化信息科技風險管理部信息科技風險管理部目前承擔著規(guī)劃、構(gòu)建全省農(nóng)合機構(gòu)信息科技風險管理相關(guān)的風險管理策略、風險控制、信息安全管理和業(yè)務(wù)連續(xù)性管理等職能，但目前管理和技術(shù)人員總共只有5人，遠遠不能滿足全省農(nóng)合機構(gòu)信息科技風險管理工作的需要，必須加強技術(shù)人員的引進和培養(yǎng)，同時強化技術(shù)人員的專業(yè)培訓和任職資質(zhì)要求，二年內(nèi)信息科技風險管理部主要技術(shù)人員必須獲得注冊信息安全專業(yè)人員證書（CISP）或國際信息系統(tǒng)審計師證書（CISA）。在項目管理上，加強項目需求與設(shè)計階段的架構(gòu)審核和安全評審，嚴格執(zhí)行信息安全技術(shù)架構(gòu)原則；在軟件開發(fā)管理上，大力推廣使用代碼檢測技術(shù)和漏洞測試工具，提高軟件編碼質(zhì)量，防范軟件開發(fā)過程中存在的風險和漏洞；在變更投產(chǎn)管理上，建立重要信息系統(tǒng)變更投產(chǎn)前的風險評估機制，有效提升軟件開發(fā)和項目投產(chǎn)風險管控水平。（二）構(gòu)建有效的信息安全等級評估機制，建設(shè)包括網(wǎng)絡(luò)安全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全基線檢查和代碼安全基線檢查等檢查測試內(nèi)容的信息安全評估平臺，重點加強銀行卡、網(wǎng)銀系統(tǒng)的安全風險評估識別，健全電子交易渠道的安全風險控制機制，有效提高信息系統(tǒng)安全的等級保護水平。（二）推進數(shù)據(jù)中心服務(wù)水平的量化管理。在開發(fā)測試、維護和項目投產(chǎn)風險管理策略上，推廣使用代碼檢測技術(shù)和漏洞測試工具，加強項目需求與設(shè)計階段的安全評審，建立重要信息系統(tǒng)變更投產(chǎn)前的風險評估機制，有效提升軟件開發(fā)和項目投產(chǎn)風險管控水平。啟動包括網(wǎng)絡(luò)安全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全基線檢查和代碼安全基線檢查等檢查測試內(nèi)容的信息安全評估平臺建設(shè)，加強網(wǎng)銀系統(tǒng)的安全風險評估識別。 六、落實信息科技風險隱患的整改工作對德勤會計事務(wù)所在數(shù)據(jù)大集中系統(tǒng)風險評估中所發(fā)現(xiàn)的風險隱患、啟明星辰公司在數(shù)據(jù)大集中系統(tǒng)安全等級保護相關(guān)安全評估中所發(fā)現(xiàn)的安全漏洞、內(nèi)部現(xiàn)場檢查發(fā)現(xiàn)的風險問題進行認真研究和評估，逐項落實責任人，督促相關(guān)責任人制定具體的整改方案、整改計劃或風險緩釋安排，確保主要風險隱患或安全漏洞的整改工作、風險緩釋安排按計劃完成。協(xié)調(diào)省聯(lián)社稽審中心對照銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》等要求對銀信中心進行一次全面的信息科技內(nèi)部審計，提升銀信中心在信息科技管理上的法規(guī)遵從性水平。通過強化培訓，逐步提升全省農(nóng)合機構(gòu)科技人員的安全意識、風險意識，確保銀信中心所有科技人員了解、遵守信息科技策略、指導原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，有效促進信息科技風險管理文化建設(shè)。制定監(jiān)測指標，實時監(jiān)測業(yè)務(wù)運行狀態(tài)，及時發(fā)現(xiàn)異常情況，及時預(yù)警；建立清晰的報告流程，明確報告路線；建立應(yīng)急指揮、決策體系，統(tǒng)籌協(xié)調(diào)，高效決策，保證指揮流程暢通；完善應(yīng)急處置響應(yīng)流程，加強關(guān)鍵崗位人員配置。持續(xù)優(yōu)化完善風險監(jiān)測指標體系，逐步建立信息科技風險損失數(shù)據(jù)庫，實施信息科技風險定量分析及趨勢分析，支持信息科技風險管理決策。在生產(chǎn)運行風險管理策略上，積極推動生產(chǎn)運行管理的ITIL最佳實踐體系的實施。第二節(jié) 信息科技風險管理五年規(guī)劃實施路線 一、持續(xù)完善信息科技治理 （一）進一步完善信息科技治理組織架構(gòu)全面落實《商業(yè)銀行信息科技風險管理指引》的各項監(jiān)管要求，積極推行信息科技COBIT治理標準的實施，進一步完善信息科技管理、信息科技風險管理、信息科技審計“三道防線”建設(shè)。 （二）事中監(jiān)測檢查機制未建立。 第二節(jié) 信息科技風險管理存在的問題數(shù)據(jù)大集中使原來分散在全省各個網(wǎng)絡(luò)中心的信息科技風險現(xiàn)在主要集中到了省中心，由于銀信中心信息科技風險管理部成立不久，全省農(nóng)合機構(gòu)的信息科技風險管理工作也剛剛起步，有的還處于摸索階段，與銀監(jiān)會有關(guān)信息科技風險監(jiān)管規(guī)范要求相比有相當大的差距，問題主要體現(xiàn)在以下幾方面： 一、信息科技治理不夠健全 （一）在治理層面的信息科技管理、信息科技風險管理、信息科技審計“三道防線”中，信息科技審計部門及審計崗位尚未設(shè)置，審計制度尚未建立，省聯(lián)社和全省農(nóng)合機構(gòu)尚未建立專業(yè)的信息科技審計隊伍；信息科技風險管理剛剛設(shè)立，信息科技風險管理隊伍建設(shè)剛剛起步，關(guān)鍵崗位配比較低、缺乏核心技術(shù)人才，部分信息科技風險管理制度尚處于探索、研究階段，“三道防線”還未起到應(yīng)有的管理、制約和監(jiān)督作用。省聯(lián)社理事會設(shè)立了信息科技管理委員會，同時省聯(lián)社整合成立了 銀信金融服務(wù)中心（以下簡稱銀信中心）,內(nèi)設(shè)綜合部、信息技術(shù)部、電子銀行部、會計結(jié)算部、信息科技風險管理部等5個部門及