【正文】 事件時，采取緊急措施，并向監(jiān)管部門報告。信息科技管理委員會審議信息科技發(fā)展戰(zhàn)略規(guī)劃并提交董事會審批，確保信息科技發(fā)展規(guī)劃和業(yè)務(wù)發(fā)展規(guī)劃保持一致；審查批準(zhǔn)信息科技建設(shè)指導(dǎo)原則、技術(shù)架構(gòu)和主要信息科技工作制度；審議信息科技年度工作計劃及預(yù)算；審議重大科技項目的立項、預(yù)算和實施，并確定重大項目的優(yōu)先級；審查批準(zhǔn)重大信息科技運(yùn)營、安全、業(yè)務(wù)連續(xù)性、應(yīng)急管理相關(guān)事項；審查批準(zhǔn)信息科技職業(yè)道德行為規(guī)范和全體人員信息科技教育事項；檢查所擬訂和審議事項的落實和執(zhí)行情況，組織對信息科技重大事項結(jié)果進(jìn)行評估；信息科技部門根據(jù)公司的發(fā)展戰(zhàn)略，擬訂信息科技發(fā)展戰(zhàn)略規(guī)劃、年度工作計劃和年度預(yù)算；負(fù)責(zé)建立科技管理制度，確定科技建設(shè)標(biāo)準(zhǔn)，規(guī)范科技工作流程，明確科技崗位職責(zé)；負(fù)責(zé)科技項目的技術(shù)可行性審查和生命周期內(nèi)的管理和實施，合理配置科技資源，提高項目質(zhì)量和效率；加強(qiáng)生產(chǎn)運(yùn)行管理，提高信息系統(tǒng)運(yùn)行的穩(wěn)定性和連續(xù)性；制定公司信息安全政策、安全制度和安全策略，通過嚴(yán)格內(nèi)控、加強(qiáng)監(jiān)督等有效措施，確保公司信息科技工作規(guī)范運(yùn)行、信息資產(chǎn)安全可靠和信息系統(tǒng)持續(xù)穩(wěn)定；制定知識產(chǎn)權(quán)保護(hù)制度和策略，并組織落實；負(fù)責(zé)科技隊伍建設(shè)、管理和業(yè)務(wù)考核工作；組織對外部技術(shù)和設(shè)備供應(yīng)商的資質(zhì)和服務(wù)品質(zhì)評審，對外包科技人員進(jìn)行管理；組織對信息科技工作進(jìn)行自我評估，并采取措施對評估發(fā)現(xiàn)的風(fēng)險隱患和薄弱環(huán)節(jié)進(jìn)行改進(jìn)；配合風(fēng)險管理、審計和監(jiān)管部門開展工作，根據(jù)風(fēng)險管理、審計部門提出的風(fēng)險控制建議和審計建議，制定信息科技風(fēng)險防控技術(shù)方案和整改方案，采取相應(yīng)的技術(shù)措施，將風(fēng)險降至可接受范圍；信息科技風(fēng)險管理部門將信息科技風(fēng)險納入公司風(fēng)險管理范圍內(nèi)，負(fù)責(zé)組織制定信息科技風(fēng)險管理總體規(guī)劃；審查各個部門和各個環(huán)節(jié)的信息科技風(fēng)險管理制度和控制流程，評價制度的執(zhí)行情況；識別、評估和檢查重要部門和重點(diǎn)環(huán)節(jié)的信息科技風(fēng)險狀況；對重要科技項目的各個階段進(jìn)行科技風(fēng)險評審；負(fù)責(zé)公司業(yè)務(wù)連續(xù)性和應(yīng)急管理組織工作，定期組織相關(guān)部門進(jìn)行業(yè)務(wù)影響性分析和應(yīng)急演練，并對應(yīng)急預(yù)案進(jìn)行完善；對公司員工進(jìn)行持續(xù)的信息科技風(fēng)險教育；依據(jù)有關(guān)法律法規(guī)的要求，及時披露信息科技風(fēng)險狀況。內(nèi)部審計部門定信息科技審計制度、標(biāo)準(zhǔn)、計劃；實施信息科技審計計劃，檢查信息科技內(nèi)控機(jī)制和應(yīng)用控制的有效性；根據(jù)信息科技工作需要，對特殊事項進(jìn)行專項審計；負(fù)責(zé)信息科技外部審計相關(guān)事宜；根據(jù)內(nèi)外部審計結(jié)果，對信息科技工作中的問題提出整改意見，并督促落實。三、 規(guī)范信息科技管理核心流程和制度 在金融領(lǐng)域，信息科技對于財務(wù)公司的發(fā)展越來越重要，梳理信息科技管理流程、健全制度體系理勢在必行，為了在可能的情況下，充分分享領(lǐng)先財務(wù)公司的經(jīng)驗，統(tǒng)一制定管理流程和制度標(biāo)準(zhǔn)，本課題提出核心流程和制度最佳實踐。其目標(biāo)是建立并持續(xù)完善信息科技運(yùn)行維護(hù)規(guī)章制度和流程，有效防范和控制信息科技運(yùn)行風(fēng)險，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。1(一) 信息系統(tǒng)開發(fā)、測試和維護(hù)建立完善有效的信息系統(tǒng)開發(fā)、測試和維護(hù)管理機(jī)制和風(fēng)險防控機(jī)制，防范和控制信息科技項目開發(fā)、測試和維護(hù)風(fēng)險。與信息系統(tǒng)開發(fā)、測試和維護(hù)管理和風(fēng)險防控機(jī)制密切相關(guān)的制度包括，項目管理制度、開發(fā)及測試管理規(guī)范、變更管理制度、數(shù)據(jù)維護(hù)規(guī)范、問題管理制度、軟硬件替換強(qiáng)制評估制度等。..制定信息系統(tǒng)投產(chǎn)變更管理制度，規(guī)范信息系統(tǒng)投產(chǎn)變更的行為，確保投產(chǎn)變更在可控和安全的前提下進(jìn)行，防控信息系統(tǒng)投產(chǎn)變更導(dǎo)致的風(fēng)險。制定信息系統(tǒng)投產(chǎn)變更管理制度，規(guī)范信息系統(tǒng)投產(chǎn)變更的行為：1) 所有信息系統(tǒng)投產(chǎn)變更管必須得到審批，必須確保投產(chǎn)變更安全可靠。重要變更雙人臨崗，監(jiān)督符合；2) 明確信息技術(shù)部門和業(yè)務(wù)部門在信息系統(tǒng)投產(chǎn)變更過程中的職責(zé)分工，對投產(chǎn)變更風(fēng)險進(jìn)行評估，明確變更方案、應(yīng)急方案、技術(shù)及業(yè)務(wù)檢查方案的要求等；3) 明確投產(chǎn)變更所必備的文檔資料及配套的管理制度。4) 信息系統(tǒng)在投產(chǎn)前需要對軟件質(zhì)量進(jìn)行管理，利用第三方機(jī)構(gòu)對軟件本身的性能和存在漏洞不足進(jìn)行充分評估。生產(chǎn)系統(tǒng)的變更投產(chǎn)應(yīng)控制頻率（如集中一個季度投產(chǎn)一次），將因系統(tǒng)上線帶來的業(yè)務(wù)風(fēng)險降到最低。(二) 信息科技運(yùn)行建立并持續(xù)完善信息科技運(yùn)行維護(hù)規(guī)章制度和流程，有效防范和控制信息科技運(yùn)行風(fēng)險，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。實施嚴(yán)格的生產(chǎn)運(yùn)維第三方人員管理第三方人員進(jìn)入安全區(qū)域?qū)嵤徟啤９景才判畔⒓夹g(shù)員工全程陪同第三方人員，監(jiān)督其活動。嚴(yán)格控制第三方人員登錄公司生產(chǎn)系統(tǒng)和網(wǎng)絡(luò)設(shè)備實施操作，并記錄在案。建立完善的生產(chǎn)數(shù)據(jù)備份管理機(jī)制1) 制定數(shù)據(jù)備份管理制度，規(guī)范數(shù)據(jù)備份的工作流程和管理要求，明確數(shù)據(jù)備份介質(zhì)的安全保存要求；2) 每個信息系統(tǒng)都制定數(shù)據(jù)備份策略（包括數(shù)據(jù)庫、系統(tǒng)軟件、應(yīng)用軟件、中間件等），嚴(yán)格執(zhí)行數(shù)據(jù)備份策略，安排人員檢查備份執(zhí)行情況；3) 定期開展數(shù)據(jù)備份介質(zhì)的有效性檢查和翻新，確保備份數(shù)據(jù)完整、有效；4) 采取技術(shù)手段管理數(shù)據(jù)備份介質(zhì)。制定信息科技運(yùn)行操作手冊制定或更新所有信息系統(tǒng)的運(yùn)行操作手冊，說明計算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、系統(tǒng)軟件、應(yīng)用軟件備份流程和要求（即備份的頻率、范圍和保留周期）。建立生產(chǎn)運(yùn)行故障管理及處置機(jī)制制定信息系統(tǒng)故障管理制度，明確信息系統(tǒng)故障分類分級、報告路線、應(yīng)急處置、原因分析等工作流程和管理要求，及時響應(yīng)信息系統(tǒng)運(yùn)行故障，逐級向信息科技管理人員報告故障的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。信息系統(tǒng)維護(hù)及升級1) 信息科技部門定期實施信息系統(tǒng)維護(hù)和巡檢，發(fā)現(xiàn)或接到信息系統(tǒng)故障，立即按制度要求進(jìn)行故障報告和應(yīng)急維護(hù)，并完整保存各類維護(hù)記錄（包括疑似和實際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄）；2) 信息科技部門定期實施信息系統(tǒng)基礎(chǔ)軟件版本評估，在生產(chǎn)系統(tǒng)基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件技術(shù)服務(wù)終止前實施升級，確?；A(chǔ)軟件技術(shù)服務(wù)連續(xù)可用。生產(chǎn)系統(tǒng)變更管理制定信息系統(tǒng)變更管理制度，并按制度規(guī)定實施信息系統(tǒng)生產(chǎn)變更管理，防范生產(chǎn)變更操作風(fēng)險，提高生產(chǎn)系統(tǒng)安全保障的綜合管理水平，包含以下管理要求：1）緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件；2）緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。(三) 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理主要目標(biāo)是：完成業(yè)務(wù)連續(xù)性管理體系建設(shè)的基礎(chǔ)性工作；形成初步滿足監(jiān)管要求的業(yè)務(wù)連續(xù)性管理體系；基本建立起完整、合理的業(yè)務(wù)連續(xù)性管理體系。降低業(yè)務(wù)中斷的可能性和影響 推進(jìn)和完善災(zāi)難備份中心建設(shè)，完成重要信息系統(tǒng)的災(zāi)難備份系統(tǒng)建設(shè)；建立災(zāi)難備份中心，加強(qiáng)重要信息系統(tǒng)的災(zāi)難應(yīng)急恢復(fù)能力；通過開展多種形式的測試與演練（匯報通知樹演練、實戰(zhàn)演練、模擬演練及桌面演練等），驗證重要信息系統(tǒng)應(yīng)急預(yù)案和業(yè)務(wù)連續(xù)性計劃的合理性，提升業(yè)務(wù)連續(xù)性管理能力，降低業(yè)務(wù)中斷的可能性和影響。建立業(yè)務(wù)連續(xù)性總體應(yīng)急預(yù)案制定重要業(yè)務(wù)應(yīng)急預(yù)案和相應(yīng)的信息系統(tǒng)技術(shù)應(yīng)急預(yù)案，明確應(yīng)急工作流程、應(yīng)急操作步驟、應(yīng)急資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式、業(yè)務(wù)及信息系統(tǒng)運(yùn)行恢復(fù)的優(yōu)先順序、內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安排等。四、 加強(qiáng)外包管理 本課題提出規(guī)范外包項目的決策程序，做好外包服務(wù)商的準(zhǔn)入控制和管理，切實做好外包工作的風(fēng)險評估和檢測，強(qiáng)化外包管理規(guī)章制度的完整性和有效性，做到有據(jù)可依，才能規(guī)范行為，查缺補(bǔ)漏，調(diào)整優(yōu)化，防范風(fēng)險。簽署或變更信息科技外包協(xié)議1) 分析外包是否適合公司的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險控制，是否滿足公司履行對外包服務(wù)商的監(jiān)督義務(wù)；2) 考慮外包協(xié)議是否允許公司監(jiān)測和控制與外包相關(guān)的操作風(fēng)險；3) 充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進(jìn)行風(fēng)險評估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任；4) 考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）；5) 關(guān)注可能存在的集中風(fēng)險，如多家公司共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風(fēng)險。保障敏感信息外包安全1) 從技術(shù)和管理上實現(xiàn)客戶資料與外包服務(wù)商客戶資料的有效隔離；2) 按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商人員授權(quán)；3) 在合同保密條款中補(bǔ)充明確對外包服務(wù)商保證及其相關(guān)人員的保密要求條款；4) 將涉及本公司客戶資料的外包作為重要外包，并告知相關(guān)客戶；5) 不允許外包服務(wù)商再次對外轉(zhuǎn)包；6) 在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。建立信息科技外包服務(wù)應(yīng)急預(yù)案信息科技外包服務(wù)存在較多風(fēng)險，要防范外包風(fēng)險，就必須建立外包服務(wù)應(yīng)急預(yù)案。制定公司信息科技重要外包服務(wù)應(yīng)急預(yù)案，針對外包服務(wù)商的重大資源損失，重大財務(wù)損失、重要人員變動以及外包協(xié)議意外終止等外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失，模擬各類應(yīng)急場景，制定相應(yīng)的應(yīng)急流程和措施，避免或減少信息科技外包服務(wù)商重大服務(wù)缺失對公司信息科技生產(chǎn)運(yùn)行、項目研發(fā)等重要工作的影響；根據(jù)信息科技重要外包服務(wù)應(yīng)急預(yù)案，組織開展桌面演練和模擬演練，使相關(guān)應(yīng)急人員熟悉應(yīng)急預(yù)案，掌握應(yīng)急流程和應(yīng)急措施，針對演練發(fā)現(xiàn)的問題和不足，修訂完善應(yīng)急預(yù)案。規(guī)范信息科技外包合同審核流程制定信息科技外包合同審核流程，規(guī)定信息科技外包合同須由信息科技風(fēng)險管理部門和法律部門審核通過，重要外包合同還須由信息科技領(lǐng)導(dǎo)委員會審核通過；并根據(jù)合同期限定期審閱和修訂信息科技外包服務(wù)水平協(xié)議。39 / 39