【正文】 技風險管理指引》的各項監(jiān)管要求，進一步完善信息科技管理、信息科技風險管理、信息科技審計“三道防線”建設(shè)。在信息科技管理上，逐步補充、細化完善信息科技管理的各項流程、規(guī)范和制度；在信息科技風險管理上，加快完善風險管理部內(nèi)部組織架構(gòu)，在信息科技風險管理部設(shè)立風險管理崗位、安全檢查崗位，總?cè)藬?shù)達到7人, 其中中層管理人員2人，風險管理人員3人，安全檢查人員2人；在信息科技審計上，推動省聯(lián)社在稽審中心設(shè)立獨立的信息科技審計崗位。（二）初步建立信息科技風險披露機制。進一步完善信息科技風險的報告線路，制定信息科技風險月報、季報和年報等的披露規(guī)范，定期向省聯(lián)社理事會、省聯(lián)社領(lǐng)導、信息科技管理委員會和銀信中心管理層提交信息科技風險評估報告、信息安全報告、現(xiàn)場檢查報告，確保省聯(lián)社理事會、管理層掌握主要的信息科技風險，提升省聯(lián)社理事會及管理層在信息科技風險管理上的履職能力。 （三）強化信息科技風險意識的教育和培訓組織全省農(nóng)合機構(gòu)科技人員對銀監(jiān)會有關(guān)銀行業(yè)金融機構(gòu)信息科技風險監(jiān)管指引和管理規(guī)范的培訓學習，邀請銀監(jiān)會和國內(nèi)著名信息安全、信息科技風險管理專家為銀信中心全體人員進行安全或風險管理專題培訓。通過強化培訓，逐步提升全省農(nóng)合機構(gòu)科技人員的安全意識、風險意識，確保銀信中心所有科技人員了解、遵守信息科技策略、指導原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，有效促進信息科技風險管理文化建設(shè)。 二、初步建立信息科技風險管理策略（一）按照銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》要求，聘請專業(yè)咨詢公司協(xié)助完善信息科技風險管理體系、建立適合數(shù)據(jù)大集中后農(nóng)合機構(gòu)信息化要求的信息安全管理、生產(chǎn)運行風險管理，開發(fā)測試和維護風險管理、外包風險管理的具體策略：在信息安全管理策略上，建立健全信息安全的內(nèi)部控制體系。合理劃分內(nèi)部網(wǎng)絡(luò)區(qū)域，有效隔離生產(chǎn)網(wǎng)、辦公網(wǎng)和測試網(wǎng)；在物理、網(wǎng)絡(luò)、系統(tǒng)、應用、桌面、數(shù)據(jù)、開發(fā)、運行等不同層面完善身份認證、訪問控制、日志分析、操作審計等安全風險控制策略；統(tǒng)一規(guī)劃互聯(lián)網(wǎng)、外聯(lián)網(wǎng)安全防護標準策略，嚴格防止敏感數(shù)據(jù)泄露，重點防范外部攻擊；加強網(wǎng)上銀行安全威脅發(fā)展趨勢的跟蹤、分析和研究，推動新技術(shù)新產(chǎn)品在網(wǎng)上銀行等互聯(lián)網(wǎng)系統(tǒng)中的應用。在生產(chǎn)運行風險管理策略上，對生產(chǎn)運行涉及的事件管理、問題管理、變更管理、數(shù)據(jù)管理、系統(tǒng)管理、網(wǎng)絡(luò)管理、機房管理等流程進行全面梳理，明確主要風險點和薄弱環(huán)節(jié)，制定有效的風險防范或緩釋策略；持續(xù)完善變更風險管理策略，加強變更流程的審核和控制，有效降低變更操作風險；完善生產(chǎn)數(shù)據(jù)備份策略，建立備份數(shù)據(jù)驗證環(huán)境，提高數(shù)據(jù)安全保障能力。在開發(fā)測試、維護和項目投產(chǎn)風險管理策略上，推廣使用代碼檢測技術(shù)和漏洞測試工具，加強項目需求與設(shè)計階段的安全評審，建立重要信息系統(tǒng)變更投產(chǎn)前的風險評估機制，有效提升軟件開發(fā)和項目投產(chǎn)風險管控水平。在外包風險管理策略上，完善外包合同協(xié)議的風險審核機制。初步建立外包實施過程中的操作安全、數(shù)據(jù)保密、人員變更等風險防范策略，制定外包突發(fā)事件應急預案，防范供應商服務中斷或異常退出風險。(二) 探索建立業(yè)務系統(tǒng)應用風險防范策略著手建立業(yè)務系統(tǒng)應用風險防范規(guī)范、制度和流程，定期進行業(yè)務系統(tǒng)應用風險分析，及時發(fā)現(xiàn)、修正業(yè)務操作過程、交易流程、操作權(quán)限等的風險隱患和漏洞。三、初步構(gòu)建風險控制層面“三重控制” （一）初步構(gòu)建事前評估識別機制初步構(gòu)建信息科技風險評估平臺。建立信息科技風險控制基線，制定信息分級與保護、系統(tǒng)開發(fā)測試和維護、信息科技運行和維護、訪問控制、物理安全、人員安全、業(yè)務連續(xù)性計劃與應急處置等的風險評估規(guī)范，初步構(gòu)建內(nèi)部評估和外部評估相結(jié)合的常態(tài)化信息科技風險評估、識別機制，初步構(gòu)建信息科技風險評估平臺，確定風險防范措施及所需資源的優(yōu)先級別，實現(xiàn)對信息科技風險的有效控制。初步建立關(guān)鍵風險指標。制定風險級別分類標準和響應優(yōu)先順序，綜合運用系統(tǒng)失效點影響分析、系統(tǒng)高可用性設(shè)計分析、服務接口安全風險分析等方法科學評估信息系統(tǒng)故障發(fā)生后的業(yè)務影響范圍和風險級別，建立關(guān)鍵風險指標。（二）初步構(gòu)建事中監(jiān)測檢查機制 完善信息科技風險的日常現(xiàn)場監(jiān)測、檢查及定期檢查制度和流程。根據(jù)銀監(jiān)會《銀行業(yè)信息科技風險監(jiān)管現(xiàn)場檢查手冊》等規(guī)范要求，制定適合 農(nóng)合機構(gòu)的信息科技風險現(xiàn)場檢查和非現(xiàn)場檢查規(guī)范，每日對關(guān)鍵風險指標進行一次現(xiàn)場檢查；2012年計劃進行2次全面的現(xiàn)場檢查，并對檢查發(fā)現(xiàn)問題的整改進展進行持續(xù)的跟蹤、管理，確保整改措施落實到位。 以銀監(jiān)會《銀行業(yè)金融機構(gòu)信息科技非現(xiàn)場監(jiān)管報表》為基礎(chǔ)，啟動信息科技風險監(jiān)測平臺建設(shè)，初步要構(gòu)建信息科技風險監(jiān)測指標，以有效支持信息科技風險管理決策。（三）初步構(gòu)建事后審計核查機制 強化信息科技審計在信息科技治理、內(nèi)部控制和風險管理中的作用。協(xié)調(diào)省聯(lián)社稽審中心對照銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》等要求對銀信中心進行一次全面的信息科技內(nèi)部審計，提升銀信中心在信息科技管理上的法規(guī)遵從性水平。 四、落實信息系統(tǒng)安全等級保護（一）推行信息系統(tǒng)安全等級保護。初步建立信息資產(chǎn)分類分級標準，制定信息系統(tǒng)安全控制基線，實現(xiàn)對不同級別信息資產(chǎn)的分級保護措施。（二）初步構(gòu)建有效的信息安全等級評估機制。啟動包括網(wǎng)絡(luò)安全基線檢查、系統(tǒng)安全基線檢查、數(shù)據(jù)庫安全基線檢查、應用安全基線檢查和代碼安全基線檢查等檢查測試內(nèi)容的信息安全評估平臺建設(shè)，加強網(wǎng)銀系統(tǒng)的安全風險評估識別。 五、初步建立業(yè)務連續(xù)性管理體系（一）聘請專業(yè)咨詢公司協(xié)助建立滿足銀監(jiān)會《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》要求的業(yè)務連續(xù)性管理體系，明確省聯(lián)社、銀信中心各部門和各法人聯(lián)社的業(yè)務連續(xù)性管理職責，確定關(guān)鍵業(yè)務恢復次序與恢復時間要求，制定業(yè)務持續(xù)性計劃。初步建立業(yè)務連續(xù)性計劃。建立總體業(yè)務連續(xù)性計劃、完善總體應急預案，以此為基準整理和完善專項業(yè)務應急預案與技術(shù)應急預案；加強總體應急預案、專項應急預案的管理，加強預案之間的銜接與配套，強化預案后評價與持續(xù)改進機制，保證預案的有效性。加快災備中心的選址進度和災難恢復系統(tǒng)架構(gòu)研究，盡快完成災備技術(shù)方案的咨詢、論證工作，推進“雙活”數(shù)據(jù)中心建設(shè)，逐步加大數(shù)據(jù)、系統(tǒng)、基礎(chǔ)設(shè)施等各類資源的保護范圍以及恢復能力。加強業(yè)務連續(xù)性計劃的演練。采取計劃性、非計劃性等多種演練形式，有效驗證應急響應、決策機制、指揮體系、報告渠道、資源保障、應急處置等的效果與能力，逐步加大實戰(zhàn)演練頻度，擴大演練覆蓋范圍，全面提高應對重大突發(fā)事件能力。完善信息科技風險監(jiān)測、預警和應急處置流程。健全應對突發(fā)事件的預警、報告、決策、指揮、響應及退出等環(huán)節(jié)的應急管理機制，完善應急處置響應流程，加強關(guān)鍵崗位人員配置。加強突發(fā)事件危機處理管理，完善省聯(lián)社與省政府機構(gòu)和監(jiān)管部門、各級農(nóng)合機構(gòu)與當?shù)卣畽C構(gòu)和當?shù)乇O(jiān)管部門的溝通和報告機制。加強法人聯(lián)社網(wǎng)點備份線路建設(shè)，確保超過三分之一的網(wǎng)點在今年底完成備份線路的建設(shè)，加強分中心機房、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的應急管理和演練，切實提高分中心在信息科技突發(fā)事件中的協(xié)調(diào)能力和應急處置水平。（二）有效提高數(shù)據(jù)大集中系統(tǒng)的業(yè)務連續(xù)性水平，將業(yè)務服務時段非計劃性停機時間降低到1小時內(nèi)，進一步降低因系統(tǒng)和軟件故障引起的帳務數(shù)據(jù)差錯水平。 六、落實信息科技風險隱患的整改工作對德勤會計事務所在數(shù)據(jù)大集中系統(tǒng)風險評估中所發(fā)現(xiàn)的風險隱患、啟明星辰公司在數(shù)據(jù)大集中系統(tǒng)安全等級保護相關(guān)安全評估中所發(fā)現(xiàn)的安全漏洞、內(nèi)部現(xiàn)場檢查發(fā)現(xiàn)的風險問題進行認真研究和評估，逐項落實責任人，督促相關(guān)責任人制定具體的整改方案、整改計劃或風險緩釋安排，確保主要風險隱患或安全漏洞的整改工作、風險緩釋安排按計劃完成。32 / 3