【正文】 技風(fēng)險管理指引》的各項監(jiān)管要求，進一步完善信息科技管理、信息科技風(fēng)險管理、信息科技審計“三道防線”建設(shè)。在信息科技管理上，逐步補充、細化完善信息科技管理的各項流程、規(guī)范和制度；在信息科技風(fēng)險管理上，加快完善風(fēng)險管理部內(nèi)部組織架構(gòu)，在信息科技風(fēng)險管理部設(shè)立風(fēng)險管理崗位、安全檢查崗位，總?cè)藬?shù)達到7人, 其中中層管理人員2人，風(fēng)險管理人員3人，安全檢查人員2人；在信息科技審計上，推動省聯(lián)社在稽審中心設(shè)立獨立的信息科技審計崗位。（二）初步建立信息科技風(fēng)險披露機制。進一步完善信息科技風(fēng)險的報告線路，制定信息科技風(fēng)險月報、季報和年報等的披露規(guī)范，定期向省聯(lián)社理事會、省聯(lián)社領(lǐng)導(dǎo)、信息科技管理委員會和銀信中心管理層提交信息科技風(fēng)險評估報告、信息安全報告、現(xiàn)場檢查報告，確保省聯(lián)社理事會、管理層掌握主要的信息科技風(fēng)險，提升省聯(lián)社理事會及管理層在信息科技風(fēng)險管理上的履職能力。 （三）強化信息科技風(fēng)險意識的教育和培訓(xùn)組織全省農(nóng)合機構(gòu)科技人員對銀監(jiān)會有關(guān)銀行業(yè)金融機構(gòu)信息科技風(fēng)險監(jiān)管指引和管理規(guī)范的培訓(xùn)學(xué)習(xí)，邀請銀監(jiān)會和國內(nèi)著名信息安全、信息科技風(fēng)險管理專家為銀信中心全體人員進行安全或風(fēng)險管理專題培訓(xùn)。通過強化培訓(xùn)，逐步提升全省農(nóng)合機構(gòu)科技人員的安全意識、風(fēng)險意識，確保銀信中心所有科技人員了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，有效促進信息科技風(fēng)險管理文化建設(shè)。 二、初步建立信息科技風(fēng)險管理策略（一）按照銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》要求，聘請專業(yè)咨詢公司協(xié)助完善信息科技風(fēng)險管理體系、建立適合數(shù)據(jù)大集中后農(nóng)合機構(gòu)信息化要求的信息安全管理、生產(chǎn)運行風(fēng)險管理，開發(fā)測試和維護風(fēng)險管理、外包風(fēng)險管理的具體策略：在信息安全管理策略上，建立健全信息安全的內(nèi)部控制體系。合理劃分內(nèi)部網(wǎng)絡(luò)區(qū)域，有效隔離生產(chǎn)網(wǎng)、辦公網(wǎng)和測試網(wǎng)；在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、桌面、數(shù)據(jù)、開發(fā)、運行等不同層面完善身份認(rèn)證、訪問控制、日志分析、操作審計等安全風(fēng)險控制策略；統(tǒng)一規(guī)劃互聯(lián)網(wǎng)、外聯(lián)網(wǎng)安全防護標(biāo)準(zhǔn)策略，嚴(yán)格防止敏感數(shù)據(jù)泄露，重點防范外部攻擊；加強網(wǎng)上銀行安全威脅發(fā)展趨勢的跟蹤、分析和研究，推動新技術(shù)新產(chǎn)品在網(wǎng)上銀行等互聯(lián)網(wǎng)系統(tǒng)中的應(yīng)用。在生產(chǎn)運行風(fēng)險管理策略上，對生產(chǎn)運行涉及的事件管理、問題管理、變更管理、數(shù)據(jù)管理、系統(tǒng)管理、網(wǎng)絡(luò)管理、機房管理等流程進行全面梳理，明確主要風(fēng)險點和薄弱環(huán)節(jié)，制定有效的風(fēng)險防范或緩釋策略；持續(xù)完善變更風(fēng)險管理策略，加強變更流程的審核和控制，有效降低變更操作風(fēng)險；完善生產(chǎn)數(shù)據(jù)備份策略，建立備份數(shù)據(jù)驗證環(huán)境，提高數(shù)據(jù)安全保障能力。在開發(fā)測試、維護和項目投產(chǎn)風(fēng)險管理策略上，推廣使用代碼檢測技術(shù)和漏洞測試工具，加強項目需求與設(shè)計階段的安全評審，建立重要信息系統(tǒng)變更投產(chǎn)前的風(fēng)險評估機制，有效提升軟件開發(fā)和項目投產(chǎn)風(fēng)險管控水平。在外包風(fēng)險管理策略上，完善外包合同協(xié)議的風(fēng)險審核機制。初步建立外包實施過程中的操作安全、數(shù)據(jù)保密、人員變更等風(fēng)險防范策略，制定外包突發(fā)事件應(yīng)急預(yù)案，防范供應(yīng)商服務(wù)中斷或異常退出風(fēng)險。(二) 探索建立業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險防范策略著手建立業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險防范規(guī)范、制度和流程，定期進行業(yè)務(wù)系統(tǒng)應(yīng)用風(fēng)險分析，及時發(fā)現(xiàn)、修正業(yè)務(wù)操作過程、交易流程、操作權(quán)限等的風(fēng)險隱患和漏洞。三、初步構(gòu)建風(fēng)險控制層面“三重控制” （一）初步構(gòu)建事前評估識別機制初步構(gòu)建信息科技風(fēng)險評估平臺。建立信息科技風(fēng)險控制基線，制定信息分級與保護、系統(tǒng)開發(fā)測試和維護、信息科技運行和維護、訪問控制、物理安全、人員安全、業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置等的風(fēng)險評估規(guī)范，初步構(gòu)建內(nèi)部評估和外部評估相結(jié)合的常態(tài)化信息科技風(fēng)險評估、識別機制，初步構(gòu)建信息科技風(fēng)險評估平臺，確定風(fēng)險防范措施及所需資源的優(yōu)先級別，實現(xiàn)對信息科技風(fēng)險的有效控制。初步建立關(guān)鍵風(fēng)險指標(biāo)。制定風(fēng)險級別分類標(biāo)準(zhǔn)和響應(yīng)優(yōu)先順序，綜合運用系統(tǒng)失效點影響分析、系統(tǒng)高可用性設(shè)計分析、服務(wù)接口安全風(fēng)險分析等方法科學(xué)評估信息系統(tǒng)故障發(fā)生后的業(yè)務(wù)影響范圍和風(fēng)險級別，建立關(guān)鍵風(fēng)險指標(biāo)。（二）初步構(gòu)建事中監(jiān)測檢查機制 完善信息科技風(fēng)險的日?，F(xiàn)場監(jiān)測、檢查及定期檢查制度和流程。根據(jù)銀監(jiān)會《銀行業(yè)信息科技風(fēng)險監(jiān)管現(xiàn)場檢查手冊》等規(guī)范要求，制定適合 農(nóng)合機構(gòu)的信息科技風(fēng)險現(xiàn)場檢查和非現(xiàn)場檢查規(guī)范，每日對關(guān)鍵風(fēng)險指標(biāo)進行一次現(xiàn)場檢查；2012年計劃進行2次全面的現(xiàn)場檢查，并對檢查發(fā)現(xiàn)問題的整改進展進行持續(xù)的跟蹤、管理，確保整改措施落實到位。 以銀監(jiān)會《銀行業(yè)金融機構(gòu)信息科技非現(xiàn)場監(jiān)管報表》為基礎(chǔ)，啟動信息科技風(fēng)險監(jiān)測平臺建設(shè)，初步要構(gòu)建信息科技風(fēng)險監(jiān)測指標(biāo)，以有效支持信息科技風(fēng)險管理決策。（三）初步構(gòu)建事后審計核查機制 強化信息科技審計在信息科技治理、內(nèi)部控制和風(fēng)險管理中的作用。協(xié)調(diào)省聯(lián)社稽審中心對照銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》等要求對銀信中心進行一次全面的信息科技內(nèi)部審計，提升銀信中心在信息科技管理上的法規(guī)遵從性水平。 四、落實信息系統(tǒng)安全等級保護（一）推行信息系統(tǒng)安全等級保護。初步建立信息資產(chǎn)分類分級標(biāo)準(zhǔn)，制定信息系統(tǒng)安全控制基線，實現(xiàn)對不同級別信息資產(chǎn)的分級保護措施。（二）初步構(gòu)建有效的信息安全等級評估機制。啟動包括網(wǎng)絡(luò)安全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應(yīng)用安全基線檢查和代碼安全基線檢查等檢查測試內(nèi)容的信息安全評估平臺建設(shè)，加強網(wǎng)銀系統(tǒng)的安全風(fēng)險評估識別。 五、初步建立業(yè)務(wù)連續(xù)性管理體系（一）聘請專業(yè)咨詢公司協(xié)助建立滿足銀監(jiān)會《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》要求的業(yè)務(wù)連續(xù)性管理體系，明確省聯(lián)社、銀信中心各部門和各法人聯(lián)社的業(yè)務(wù)連續(xù)性管理職責(zé)，確定關(guān)鍵業(yè)務(wù)恢復(fù)次序與恢復(fù)時間要求，制定業(yè)務(wù)持續(xù)性計劃。初步建立業(yè)務(wù)連續(xù)性計劃。建立總體業(yè)務(wù)連續(xù)性計劃、完善總體應(yīng)急預(yù)案，以此為基準(zhǔn)整理和完善專項業(yè)務(wù)應(yīng)急預(yù)案與技術(shù)應(yīng)急預(yù)案；加強總體應(yīng)急預(yù)案、專項應(yīng)急預(yù)案的管理，加強預(yù)案之間的銜接與配套，強化預(yù)案后評價與持續(xù)改進機制，保證預(yù)案的有效性。加快災(zāi)備中心的選址進度和災(zāi)難恢復(fù)系統(tǒng)架構(gòu)研究，盡快完成災(zāi)備技術(shù)方案的咨詢、論證工作，推進“雙活”數(shù)據(jù)中心建設(shè)，逐步加大數(shù)據(jù)、系統(tǒng)、基礎(chǔ)設(shè)施等各類資源的保護范圍以及恢復(fù)能力。加強業(yè)務(wù)連續(xù)性計劃的演練。采取計劃性、非計劃性等多種演練形式，有效驗證應(yīng)急響應(yīng)、決策機制、指揮體系、報告渠道、資源保障、應(yīng)急處置等的效果與能力，逐步加大實戰(zhàn)演練頻度，擴大演練覆蓋范圍，全面提高應(yīng)對重大突發(fā)事件能力。完善信息科技風(fēng)險監(jiān)測、預(yù)警和應(yīng)急處置流程。健全應(yīng)對突發(fā)事件的預(yù)警、報告、決策、指揮、響應(yīng)及退出等環(huán)節(jié)的應(yīng)急管理機制，完善應(yīng)急處置響應(yīng)流程，加強關(guān)鍵崗位人員配置。加強突發(fā)事件危機處理管理，完善省聯(lián)社與省政府機構(gòu)和監(jiān)管部門、各級農(nóng)合機構(gòu)與當(dāng)?shù)卣畽C構(gòu)和當(dāng)?shù)乇O(jiān)管部門的溝通和報告機制。加強法人聯(lián)社網(wǎng)點備份線路建設(shè)，確保超過三分之一的網(wǎng)點在今年底完成備份線路的建設(shè)，加強分中心機房、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的應(yīng)急管理和演練，切實提高分中心在信息科技突發(fā)事件中的協(xié)調(diào)能力和應(yīng)急處置水平。（二）有效提高數(shù)據(jù)大集中系統(tǒng)的業(yè)務(wù)連續(xù)性水平，將業(yè)務(wù)服務(wù)時段非計劃性停機時間降低到1小時內(nèi)，進一步降低因系統(tǒng)和軟件故障引起的帳務(wù)數(shù)據(jù)差錯水平。 六、落實信息科技風(fēng)險隱患的整改工作對德勤會計事務(wù)所在數(shù)據(jù)大集中系統(tǒng)風(fēng)險評估中所發(fā)現(xiàn)的風(fēng)險隱患、啟明星辰公司在數(shù)據(jù)大集中系統(tǒng)安全等級保護相關(guān)安全評估中所發(fā)現(xiàn)的安全漏洞、內(nèi)部現(xiàn)場檢查發(fā)現(xiàn)的風(fēng)險問題進行認(rèn)真研究和評估，逐項落實責(zé)任人，督促相關(guān)責(zé)任人制定具體的整改方案、整改計劃或風(fēng)險緩釋安排，確保主要風(fēng)險隱患或安全漏洞的整改工作、風(fēng)險緩釋安排按計劃完成。32 / 3