1、近年来,随着计算机在业务领域的迅速渗透,虽然我们在网络、安全以及各项应急方案的制定等方面付出了相当大的努力,但仍然会遇到因各种原因导致系统故障而造成服务延误的情况。科技部门的员工常常处于“救火”的状态,处于被动的服务状态,哪里有问题就扑向哪里,缺乏科学有效的主动规划与服务流程,服务质量和业绩缺乏量化的标准。目前,IT管理仍在依靠部分科技人员维护。由于缺少相应的流程和知识积累,日常管理过多地依赖于人,关键人员的流动甚至会造成核心系统的瘫痪。银行科技部门与业务部门的沟通与协调尚待改善,科技转化为生产力的效率远没有达到最佳。现有人员专业及业务知识的再培训也不够到位,缺乏全面发展的综合性人才和知识结构
2、的与时俱进。 在ITSM理念下,可以实现对信息科技流程的优化。在新的流程下,设备运行与维护工作是日常管理的核心和重点部分,涉及工作有:受理外部各种电话咨询、统筹调配系统维 护工程师、网点终端管理、中心机房核心系统监控、网络运行监控、计算机安全远程监控、实时收发E-MAIL、设备调配、技术档案的录入和整理等。该项工作的输出是一系列的值班记录簿、监控日志和归类后的业务受理文档等,是科技部门日常最重要的数据搜集途径。通过对搜集信息定期的整理、归类、统计和分析,可发现其中的规律和存在的问题,寻找改进方案。同时,各种重要数据的记录保存也为今后工作的开展提供了高效的检索和分析依据。而服务与支持工作是科技部
3、门工作效率的最直接体现,主要为IT部门的系统维护工程师在接到客服人员的工作调度后,对本部或外部需求进行服务与支持。涉及的工作有:协助业务部门投产新的应用系统、对全辖所有业务系统进行日常的升级和维护、快速排除各类突发故障、辅导操作人员掌握正确的使用技巧、对中心机房(网络、生产、安全监控、办公系统服务器端等)核心系统进行有效维护等。该项工作的输出是一系列的现场服务记录单、系统维护说明书、系统维护档案、核心系统应急方案以及维护过程中对相关工作的改进建议等。此类文档是银行科技档案的最核心部分,也是科技部门在长期累加系统、人员不断变换的情况下始终保持有效工作的重要保证。优化与变更工作是对信息科技工作不断
4、完善和发展的有力促进。这主要包括对系统优化、软件升级、设备配置和管理策略变更进行相应管理,包括提交需求、审批需求、执行、数据及版本的一致性和连续性保持;通过定义服务水平标准,利用相应监控手段考核部门为客户提供的服务,并根据考核结果评价科技部门的服务情况,评估系统改造或升级的可行性;采集IT和业务系统的性能数据,定位系统性能瓶颈,诊断系统性能下降或不稳定原因,分析系统运行历史数据,推断系统运行趋势等。该项工作融入运行维护与服务支持的日常操作之中,并由部门主管定期组织分析评估,制定优化方案,与此同时也可起到检验本部人员日常工作质量和规范化实施情况的作用,从而使得科技部门的整体运做水平得到不断提高。
5、开发与推广工作主要是指信息科技部门主动与业务部门融合,了解其运作流程,利用自身对现代化操作工具的熟知寻找科技支持的切入点。这主要包括:参与项目营销;充分利用现有资源,对生产数据进行二次加工处理和数据挖掘,满足管理决策所需;及时把最新的技术和工具向应用部门推广;利用现有系统与网络资源进行远程培训、信息共享、网上办公、绩效考核等等。该项工作的输出就是整个项目的需求分析、系统设计、程序编码和验收报告等。风险管理已经成为当今金融系统的第一要务。该项工作主要涉及:制定和贯彻各项计算机系统安全管理规范、制定切实可行的安全检查标准、定期进行全面的安全检查、利用各种先进的管理工具监控系统安全状况、及时堵塞系统
6、漏洞、定期公布安全通报、组织培训安全法则、定期组织应急演练、不断完善应急方案等。 在上述管理流程中,各个环节依据业务发展为核心形成了一个有机的闭环式管理流程,配以安全监督的作用,又解决了效率与风险的矛盾。各个阶段详细的同步技术文档担当了ITSM中的核心管理工具的作用,与此同时产生的大量工作记录形成了一整套系统维护的问题库和知识库,通过相关人员有序的归档,方便日常分析统计之用,同时也可作为对相关人员量化考核的原始依据。ITSM理念结合了高质量服务不可缺少的3P,即流程(Process)、人员(Person)和技术产品(Product)三大要素流程负责监控IT服务的运行状况,人员素质关系到服务质量
7、的高低,技术产品则从根本上保证服务的质量和效率。因此,ITSM理念对银行信息科技体系的重整有着重要的借鉴意义。 篇二:商业银行信息科技风险管理指引 商业银行信息科技风险管理指引 第一章 总 则 第一条 为加强商业银行信息科技风险管理,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、中华人民共和国外资银行管理条例,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其
8、他银行业金融机构参照执行。 第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章 信息科技
9、治理 第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条 商业银行的董事会应履行以下信息科技管理职责: (一) 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二) 审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三) 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四) 规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
10、(五) 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六) 在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七) 确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。 (八) 每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。 (九) 确保信息科技风险管理工作所需资金。 (
11、十) 确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。 (十一) 确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。 (十二) 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。 (十三) 配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。 (十四) 履行信息科技风险管理其他相关工作。 第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息官的职责包括: (一) 直接参与本银行与
12、信息科技运用有关的业务发展决策。 (二) 确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。 (三) 负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。 (四) 确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。 (五) 组织专业培训,提高人才队伍的专业技能。 (六) 履行信息科技风险管理其他
13、相关工作。 第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详 细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施: (一) 验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。 (二) 审核信息科技员工的道德品行,确保其具备相应的职业操守。 (三) 确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。 (四) 评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信
14、息。 第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。 第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。 第十二条 商业银行
15、应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。 第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险状况。 第三章 信息科技风险管理 第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。 第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域: (一) 信息分级与保护。 (二) 信息系统开发、测试和维护。 (三) 信息
16、科技运行和维护。 (四) 访问控制。 (五) 物理安全。 (六) 人员安全。 (七) 业务连续性计划与应急处臵。 第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。 第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括: (一) 制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。 (二) 确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,
17、以便于检查和平衡风险;定义每个业务级别的控制内容,包括: 篇三: 第一章 总则 第一条为加强商业银行信息科技风险管理,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法、 中华人民共和国外资银行管理 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金 融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用, 并包括 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺
18、陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章 信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、 (四
19、)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级 管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、 信息科技的整 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。 加强信息科技专 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报 (八) 每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。 (十)确保银行所有员工充分理解和遵守经其批准
20、的信息科技风险管理制度 (十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限, 符合银监会监管和实施现场检 (十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或 (十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照 第八条商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信 (二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。 (三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专
21、业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的 运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退 (四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每 第九条商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能, 重要岗位应制定详细完整的工作手册并适时 (一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业 (三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用 (四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗 第十条商业银行应设立或指派一个特定部门负责信息科技风
22、险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估, 跟踪 第十一条商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命 第十二条商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。 确保购买和使用合法 第十三条商业银行
23、应依据有关法律法规的要求,规范和及时披露信息科技风 第三章 信息科技风险管理 第十四条商业银行应制定符合银行总体业务规划的信息科技战略、信息科技 运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、 第十五条商业银行应制定全面的信息科技风险管理策略,包括但不限于下述 第十六条商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序, 并确定风险防范 第十七条商业银行应依据信息科技风险管理策略和风险评估结果,实施全面 (一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进 (二)确定潜在风险区域,并对这些区域进
24、行详细和独立的监控,实现风险最小化。 定义每个业务级别的控 1. 2. 3. 4. 5. 第十八条商业银行应建立持续的信息科技风险计量和监测机制, 其中应包括: 第十九条中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守 境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风 第四章 信息安全 第二十条商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。 第二十一条商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全
25、体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评 估报告。信息安全管理机制应包括信息安全标准、策略、 实施计划和持续维护计 第二十二条商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。 用户调动到新的工 第二十三条商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域, 明确相应的职 第二十四条商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、 实现网 第二十五条商业银行应通过以下措施,确保所有计算机操作系统和系统软件 (一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 