【正文】 初步構(gòu)建了機(jī)房、網(wǎng)絡(luò)、主機(jī)和應(yīng)用等系統(tǒng)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)、生產(chǎn)事件的監(jiān)控預(yù)警系統(tǒng)，初步建立了生產(chǎn)系統(tǒng)問題管理、變更管理等的制度和流程，操作自動(dòng)化水平逐步提高。建立了物理安全管理、生產(chǎn)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)物理隔離，初步實(shí)現(xiàn)了網(wǎng)絡(luò)分區(qū)安全控制、用戶認(rèn)證和訪問控制、操作系統(tǒng)安全管理、密鑰及密碼設(shè)備管理、操作審計(jì)等策略。在硬件平臺(tái)架構(gòu)風(fēng)險(xiǎn)管理策略方面，數(shù)據(jù)大集中主要生產(chǎn)系統(tǒng)硬件平臺(tái)均采用了全冗余架構(gòu)設(shè)計(jì)，確保業(yè)務(wù)連續(xù)性和客戶數(shù)據(jù)安全。在地市分中心機(jī)房運(yùn)行風(fēng)險(xiǎn)管理策略方面，制定并推廣了《銀信中心地市分中心機(jī)房建設(shè)標(biāo)準(zhǔn)》，從而有效降低了地市分中心基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。 二、信息科技風(fēng)險(xiǎn)管理策略構(gòu)建取得一定成效 （一）信息系統(tǒng)架構(gòu)風(fēng)險(xiǎn)管理策略構(gòu)建取得一定效果。（二）科技管理制度建設(shè)初具規(guī)模。第二章 全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀第一節(jié) 信息科技風(fēng)險(xiǎn)管理主要成效隨著數(shù)據(jù)大集中工作進(jìn)入尾聲，全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理也初見成效，信息科技風(fēng)險(xiǎn)控制水平穩(wěn)步提高，主要成效體現(xiàn)在以下幾個(gè)方面： 一、信息科技治理取得一定成效（一）信息科技治理架構(gòu)初具雛形。規(guī)劃在客觀分析全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀基礎(chǔ)上，梳理出了數(shù)據(jù)大集中后信息科技風(fēng)險(xiǎn)管理的基本思路，制定了今后五年信息科技風(fēng)險(xiǎn)管理的總體目標(biāo)和實(shí)施路線。全省目前已有93家農(nóng)合機(jī)構(gòu)和1家村鎮(zhèn)銀行接入大集中系統(tǒng)，數(shù)據(jù)大集中在提升農(nóng)合機(jī)構(gòu)管理水平、促進(jìn)業(yè)務(wù)發(fā)展的同時(shí)，也帶來了信息科技風(fēng)險(xiǎn)的高度集中，信息科技風(fēng)險(xiǎn)管理顯得尤為重要。 信息科技風(fēng)險(xiǎn)控制包括由事前評(píng)估識(shí)別、事中監(jiān)測(cè)檢查、事后審計(jì)核查組成的“三重控制”；信息系統(tǒng)安全等級(jí)保護(hù)包括建立信息系統(tǒng)安全等級(jí)劃分標(biāo)準(zhǔn)，制定信息系統(tǒng)安全控制基線，并在此基礎(chǔ)上采用相應(yīng)的安全技術(shù)實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)；業(yè)務(wù)連續(xù)性管理包括業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性計(jì)劃、突發(fā)事件應(yīng)急處理和災(zāi)難恢復(fù)等；信息科技風(fēng)險(xiǎn)管理績效體系主要包括生產(chǎn)安全運(yùn)行績效考核體系和生產(chǎn)運(yùn)行服務(wù)水平績效考核體系。信息科技風(fēng)險(xiǎn)管理主要范圍包括信息科技治理、信息科技風(fēng)險(xiǎn)管理策略、信息科技風(fēng)險(xiǎn)控制、信息系統(tǒng)安全等級(jí)保護(hù)、業(yè)務(wù)連續(xù)性管理和信息科技風(fēng)險(xiǎn)管理績效體系等。附件 省農(nóng)村合作金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理五年規(guī)劃二〇一二年三月五日第一章 引言 3第二章 全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀 5第一節(jié) 信息科技風(fēng)險(xiǎn)管理主要成效 5一、信息科技治理取得一定成效 5二、信息科技風(fēng)險(xiǎn)管理策略構(gòu)建取得一定成效 6三、信息科技風(fēng)險(xiǎn)評(píng)估取得初步成效 7四、信息系統(tǒng)安全等級(jí)保護(hù)取得初步進(jìn)展 7五、業(yè)務(wù)連續(xù)性管理初上軌道 8第二節(jié) 信息科技風(fēng)險(xiǎn)管理存在的問題 8一、信息科技治理不夠健全 8二、信息科技風(fēng)險(xiǎn)管理策略不完善 9三、風(fēng)險(xiǎn)控制層面的“三重控制”機(jī)制未有效構(gòu)建 10四、數(shù)據(jù)大集中系統(tǒng)安全等級(jí)定級(jí)偏低 11五、業(yè)務(wù)連續(xù)性管理還比較薄弱 11六、信息科技風(fēng)險(xiǎn)管理績效體系尚未建立 12第三章 信息科技風(fēng)險(xiǎn)管理五年規(guī)劃目標(biāo)和實(shí)施路線 12第一節(jié) 信息科技風(fēng)險(xiǎn)管理五年規(guī)劃總體目標(biāo) 13第二節(jié) 信息科技風(fēng)險(xiǎn)管理五年規(guī)劃實(shí)施路線 14一、持續(xù)完善信息科技治理 14二、逐步完善信息科技風(fēng)險(xiǎn)管理策略 17三、構(gòu)建信息科技風(fēng)險(xiǎn)控制層面的“三重控制” 20四、全面貫徹落實(shí)信息系統(tǒng)安全等級(jí)保護(hù) 21五、持續(xù)完善業(yè)務(wù)連續(xù)性管理體系 22六、加強(qiáng)分中心和法人聯(lián)社的信息科技風(fēng)險(xiǎn)管理 24七、探索建立信息科技風(fēng)險(xiǎn)管理績效體系 24第四章 2012年信息科技風(fēng)險(xiǎn)管理工作計(jì)劃 25一、進(jìn)一步完善信息科技治理 26二、初步建立信息科技風(fēng)險(xiǎn)管理策略 27三、初步構(gòu)建風(fēng)險(xiǎn)控制層面“三重控制” 29四、落實(shí)信息系統(tǒng)安全等級(jí)保護(hù) 30五、初步建立業(yè)務(wù)連續(xù)性管理體系 30六、落實(shí)信息科技風(fēng)險(xiǎn)隱患的整改工作 32 第一章 引言信息科技風(fēng)險(xiǎn)指信息科技在全省農(nóng)合機(jī)構(gòu)運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)管理指通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)、和控制，促進(jìn)全省農(nóng)合機(jī)構(gòu)安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息科技使用水平，增強(qiáng)核心競(jìng)爭力和可持續(xù)發(fā)展能力。其中，信息科技治理主要涉及信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)“三道防線”建設(shè)，信息科技風(fēng)險(xiǎn)管理策略包括風(fēng)險(xiǎn)管理目標(biāo)規(guī)劃及信息系統(tǒng)架構(gòu)風(fēng)險(xiǎn)管理策略、信息安全管理策略、生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策略、開發(fā)測(cè)試和維護(hù)風(fēng)險(xiǎn)管理策略、外包風(fēng)險(xiǎn)管理策略等具體風(fēng)險(xiǎn)管理策略。近年來銀監(jiān)會(huì)非常重視銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理工作，強(qiáng)化信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技審計(jì)“三道防線”建設(shè)，先后發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，《銀行業(yè)重要信息系統(tǒng)投產(chǎn)與變更管理辦法》《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》，《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》、《網(wǎng)上銀行安全風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》等信息科技風(fēng)險(xiǎn)管理的綱領(lǐng)性文件，同時(shí)在《中國銀行業(yè)信息科技“十二五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》中，對(duì)農(nóng)合機(jī)構(gòu)在“十二五”期間的信息科技風(fēng)險(xiǎn)管理提出了具體的發(fā)展目標(biāo)。為持續(xù)提升、改進(jìn)數(shù)據(jù)大集中系統(tǒng)和全省農(nóng)合機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理水平，根據(jù)銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《中國銀行業(yè)信息科技“十二五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》和人民銀行《中國金融業(yè)信息化“十二五”發(fā)展規(guī)劃》有關(guān)信息科技風(fēng)險(xiǎn)管理發(fā)展目標(biāo)要求，省聯(lián)社銀信中心信息科技風(fēng)險(xiǎn)管理部牽頭編寫了全省農(nóng)合機(jī)構(gòu)2012年到2016年信息科技風(fēng)險(xiǎn)管理五年規(guī)劃。規(guī)劃的重點(diǎn)是：強(qiáng)化治理層面的“三道防線”，構(gòu)建策略層面的風(fēng)險(xiǎn)管理策略，建立控制層面的“三重控制”，貫徹落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)，完善業(yè)務(wù)連續(xù)性管理，提升全省農(nóng)合機(jī)構(gòu)的數(shù)據(jù)安全水平和業(yè)務(wù)連續(xù)性水平。省聯(lián)社理事會(huì)設(shè)立了信息科技管理委員會(huì)，同時(shí)省聯(lián)社整合成立了 銀信金融服務(wù)中心（以下簡稱銀信中心）,內(nèi)設(shè)綜合部、信息技術(shù)部、電子銀行部、會(huì)計(jì)結(jié)算部、信息科技風(fēng)險(xiǎn)管理部等5個(gè)部門及茂名、清遠(yuǎn)、揭陽等14個(gè)分中心，初步建立了省聯(lián)社高管層參與、跨業(yè)務(wù)條線的信息科技工作決策組織和決策流程，基本明確了省聯(lián)社理事會(huì)、管理層、信息科技管理委員會(huì)、信息技術(shù)部、信息科技風(fēng)險(xiǎn)管理部及有關(guān)業(yè)務(wù)部門的信息科技職責(zé)。省聯(lián)社和銀信中心目前已發(fā)布的各類規(guī)章制度有30多項(xiàng)，內(nèi)部管理辦法和操作手冊(cè)60多項(xiàng)，制度、辦法和手冊(cè)初步覆蓋了機(jī)房管理、設(shè)備管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、需求管理、開發(fā)管理、測(cè)試管理、運(yùn)行管理和應(yīng)急管理等信息科技工作的主要方面。在機(jī)房設(shè)施架構(gòu)風(fēng)險(xiǎn)管理策略方面，機(jī)房供電、綜合布線、空調(diào)等均采用全冗余架構(gòu)設(shè)計(jì)，并建立了比較完備的機(jī)房環(huán)境監(jiān)控預(yù)警指標(biāo)體系，有效降低了數(shù)據(jù)中心機(jī)房的運(yùn)行風(fēng)險(xiǎn)。在網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)管理策略方面，省聯(lián)社早在2007年初就制定印發(fā)了《 省農(nóng)村信用社網(wǎng)絡(luò)建設(shè)和管理規(guī)范》,并按規(guī)范要求在全省農(nóng)合機(jī)構(gòu)范圍內(nèi)進(jìn)行了網(wǎng)絡(luò)改造工作，提高了數(shù)據(jù)大集中網(wǎng)絡(luò)系統(tǒng)的冗余性、穩(wěn)定性和安全性，為大集中上線和推廣工作和信息科技風(fēng)險(xiǎn)控制提供了有力的保障。 （二）信息安全管理策略構(gòu)建取得較好效果。（三）生產(chǎn)運(yùn)行風(fēng)險(xiǎn)管理策略構(gòu)建取得較大進(jìn)步。 三、信息科技風(fēng)險(xiǎn)評(píng)估取得初步成效除信息科技風(fēng)險(xiǎn)的自評(píng)和2010年銀監(jiān)會(huì)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的檢查評(píng)估外，銀信中心還聘請(qǐng)德勤會(huì)計(jì)事務(wù)所按銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求對(duì)數(shù)據(jù)大集中系統(tǒng)進(jìn)行了全面的信息科技風(fēng)險(xiǎn)評(píng)估，對(duì)