信用合作社网上银行业务风险管理体系及规章制度

-1-附件：新疆维吾尔自治区农村信用合作社网上银行业务风险管理体系及规章制度第一章总则第一条为加强新疆维吾尔自治区农村信用合作社(以下简称信用社)网上银行风险管理，通过建立有效的机制，实现对信用社网上银行风险的识别、监测和控制，促进网上银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。根据银监会《电子银行安全评估指引》和《电子银行业务管理办法》的要求，制定本体系及相应规章制度。第二条本办法适用于新疆维吾尔自治区辖内农村商业银行、农村合作银行、县市农村信用合作联社（以下统称县市联社）。第二章网上银行业务风险管理体系及规章制度第三条要达到落实风险管理的目的，须通过建立相应的安全管理组织架构及规章制度来进行。此部分包括三个方面的内容：-2-1.网上银行安全体系组织架构设计（以下简称组织架构）；2.网上银行安全职能/角色设计（以下简称职能/角色）；3.网上银行安全系统的内部控制机制注：信用社网上银行系统由于共享农信银资金清算中心（以下简称农信银）网银系统，整个风险管理体系分为两部分：信用社网上银行风险管理体系、农信银网上银行风险管理体系。两套风险管理体系在各自的职责范围内实行垂直管理，即下级向上级汇报的方式，两体系的中层和高层，必须保持协调沟通，形成整体的安全管理体系来保证信用社网上银行的安全。第四条组织架构设计-3-网上银行整体安全组织架构图在安全管理体系中，信息安全领导小组既包括信用社理事会成员，也包括农信银领导，领导小组进行协调沟通，负责信息安全管理的决策事务。安全负责人（部门）实行双负责制，即包括农信银安全负责人和信用社信息科技管理委员会。两者保持协调沟通，同时保证各自负责系统内职能和需双方协调的职能得到有效执行。信息安全领导小组安全负责人（部门）网上银行信息安全管理职能信息安全审计监察职能行政管理职能安全保卫职能网上银行业务安全管理职能农信银相关部门新疆农村信用社电子银行部农信银监事会办公室新疆农村信用社相关部门新疆农村信用社相关部门农信银安全管理专员新疆农村信用社科技中心络中心农信银相关部门新疆农村信用社保卫部-4-在网银安全管理体系的各项职能中，大部份职能相互交叉，如信息安全管理职能、信息安全审计职能、行政管理职能、安全保卫职能。交叉但不表示同一职能由两单位共同执行，只表示在各单位所负责的系统内执行相应的职能，同时，农信银的运行开发部、安全管理专员需要和信用社的科技中心和电子银行部保持有效的沟通，建立健全信息安全管理体系。第五条信用社职能/角色设计(一)信用社网上银行安全组织架构图理事会信息科技管理委员会网上银行信息安全管理职能信息安全审计监察职能行政管理职能安全保卫职能网上银行业务安全管理职能科技中心审计部纪检监察部办公室人力资源部资产风险管理部安全保卫部电子银行部会计部信贷管理部计划财务部-5-(二)信用社职能简介1.理事会(1)批准网上银行的安全策略；(2)批准网上银行安全体系内各部门信息安全职责；(3)负责组织信息科技管理委员会；(4)审核信息系统安全报告，并做出相关的决定；(5)确保建立安全体系所必需的资源。2.信息科技管理委员会(1)负责组织信息资产的风险评估，对风险评估报告进行评审，并制定相应的风险控制措施；(2)负责监视运营过程中信息资产所面临的威胁和脆弱点的重大变化，适时组织进行风险评估，确定信息资产的风险接受等级，对网上银行业务运营中出现的信息安全隐患及时提出控制措施；(3)负责评审重大信息安全违规、违纪及泄密事件，并建议处理意见；(4)负责网上银行安全体系的策划；(5)向理事会报告网上银行安全体系的运行情况和任何改进的需求;(6)确保网上银行安全体系所需的过程建立、实施和保持；(7)确保提高全体员工的信息安全意识；(8)批准信用社的信息安全策略和风险控制措施，可接受的风险等级及残余风险；-6-(9)批准业务连续性计划；(10)批准对已证实的重大的安全违规、违纪事件及泄密事件的处理意见；(11)批准并组织实施内部审计计划；(12)与网上银行安全体系有关事宜的对外联络。3.网上银行信息安全管理职能(1)负责宣传和贯彻银行的信息安全策略；(2)负责组织网上银行安全体系文件的编制；(3)协助信息科技管理委员会进行信息安全体系的建设，保证网上银行安全管理体系的有效运行；(4)及时向信息科技管理委员会报告重大的信息安全事故；(5)负责计算机网络规划，制定网络安全策略并实施；(6)负责通信系统运行安全；(7)负责监视运营过程中计算机和网络所面临的威胁和脆弱点的重大变化，及时完善安全策略，保证计算机网络的安全；(8)负责离职员工计算机数据清理及杀毒；(9)负责信息安全体系内部审核工作的组织和实施；(10)负责制定、实施员工信息安全培训计划。4.信息安全审计监察职能(1)负责网上银行整体安全审计工作;(2)审核各部门网上银行安全策略文件；(3)审核各部门网上银行安全策略执行情况；-7-(4)审核各部门网上银行安全记录；(5)审核各部门网上银行安全整改情况；(6)负责信用社系统内各类案件、事故的立案、调查、处理工作，并做好管理、统计与分析工作。5.行政管理职能(1)负责职能范围内有关信息安全管理文件的编制；(2)负责根据信用社有关保密规定，审查对外发布的信息，防止泄密事件的发生；(3)负责信用社归档文件和资料的信息安全管理工作；(4)负责信用社传真机对外收、发信息的安全；(5)负责组织员工安全意识与安全技能培训；(6)负责进行人员安全管理；(7)负责网上银行业务风险管理所涉及的法律事务工作，并负责网上银行业务知识产权的保护工作。6.安全保卫职能(1)负责信用社的安全保卫工作，并制定相应的安全保卫制度；(2)负责信用社消防设施的建设、管理，并制定相应的防火、防盗安全管理制度；(3)负责向信息科技管理委员会报告重大的防火、防盗安全事件，并及时进行适当的处理;(4)负责门禁管理系统的运行和维护，并监督物理环境的安全；(5)负责电视监控及电视监控系统的维护。发现安全隐-8-患应进行及时报告、处理；(6)负责安防报警系统的24小时监控和维护，一旦发生安防报警应立即处理。7.网上银行业务安全管理职能(1)协助宣传和贯彻银行的信息安全策略；(2)协助网上银行安全体系文件的编制；(3)协助信息科技管理委员会进行信息安全体系的建设，保证网上银行安全管理体系的有效运行；(4)负责网上银行业务安全的建设、管理；(5)及时向信息科技管理委员会报告重大的信息安全事故；(6)贯彻落实网上银行监管的各项规定与政策，编制各类报表并及时上报；(7)拟定网上银行管理、运营的各项规章制度；(8)配合市场营销部门提供客户服务，配合市场营销部门组织开展网上银行业务的市场调研、产品开发及产品完善工作；(9)落实网上银行风险管理政策及内控要求，确保网上银行业务运行的连续性和安全性。-9-（三）信用社安全角色设计科技中心审计部纪检监察部办公室人力资源部资产风险管理部安全保卫部电子银行部会计部信贷管理部系统安全管理员网络安全管理员业务安全审计员保卫员安全管理员信息科技风险管理委员会理事会计划财务部在理事会下设置信息科技管理委员会，信息科技管理委员会负责信息安全管理工作，其中一部分为网上银行安全管理。网上银行安全管理角色分布在十一个部门，分别是审计部、纪检监察部、办公室、人力资源部、资产风险管理部、安全保卫部、电子银行部、计划财务部、会计部、信贷管理部、科技中心。在科技中心下设置系统安全管理员、网络安全管理员。系统安全管理员负责网上银行系统中服务器的相关系统安全管理工作；网络安全管理员负责网上银行网络安全工作，包括交换机、防火墙、防DOS攻击设备、防病毒、漏洞扫描、链路均衡、安全预警、安全维护等工作。电子银行部设置安全管理员,负责网上银行业务的安全管理工作，包括网上银行内部管理系统、证书及key管理等-10-的日常工作、安全管理工作。审计部设业务安全审计员，负责对科技中心、电子银行部网上银行业务进行安全审核。在本次设计中，只涉及与网上银行安全相关的角色，其他角色本次设计不提及。第六条农信银职能/角色设计（一）农信银安全组织架构图农信银资金清算中心网上银行安全组织架构主要分为三层，第一层由领导小组和安全负责人组成，领导网上银行信息安全领导小组安全负责人网上银行信息安全操作职能信息安全审计职能行政管理职能安全保卫职能综合管理部安全保卫部监事会办公室人力资源部网上银行信息安全管理职能安全管理专员科技中心开发室-11-安全的战略发展方向和方针，处理和决策重大事件。安全负责人作为监督和督促网上银行安全的角色，在重大事件上有较强的执行能力，与信息安全领导小组之间沟通，监管职能单位，保证网上银行安全运行。第二层以职能分类，职能单位分别执行和运作管辖内的工作内容，由一位具备组织及管理能力的职能单位领导管理，并向信息安全领导小组汇报和请示工作。第三层各工作部门落实职能单位的职责工作，执行各职能单位制定的有关网上银行运行、安全、维护等工作，遇到与规定、要求相违背的情况时，能够及时准确上报信息到职能单位。（二）农信银职能简介1.农信银信息安全领导小组信息安全领导小组由农信银主任、科技分管副主任、科技中心负责人、信息资产的相关部门主要负责人、信息系统安全专家组成。农信银主任为信息安全领导小组组长，实行组长负责制。在信息安全领导小组下设置处理信息安全领导小组办公室，科技分管副主任即信息安全负责人任办公室主任，负责信息安全领导小组的日常事务处理，办公室成员包括运行开发部负责人、信息资产等相关部门主要负责人。信息安全领导小组职责如下：(1)负责网上银行安全体系的策划，批准网上银行的安全策略；(2)批准分配网上银行安全体系内各部门信息安全职-12-责；(3)制定与信息系统安全有关的长远规划;(4)确保建立安全体系所必需的资源;(5)制定与信息系统安全有关的长远规划；(6)关注信息资产重大威胁的出现及变化；(7)确认信息系统风险评估的结果；(8)关注紧急或重大信息系统安全事件并批准相关措施的启用；(9)审定并批准公布中心级信息系统安全规章制度；(10)审批与信息系统安全管理有关的其他重要决定；(11)定期向中心董事会汇报信息系统安全工作情况；(12)审核批准安全年报、安全教育培训计划；(13)审核全中心信息系统安全报告，并做出相关决定；(14)决定信息系统是否要采取安全措施或增加安全措施；(15)签发信息系统和信息的安全等级；(16)负责评审重大信息安全违规、违纪及泄密事件，并建议处理意见；(17)仲裁全中心级信息系统安全事故的责任；(18)与各成员行安全领导小组之间的协作。2.农信银安全负责人信息安全负责人由科技分管副主任承担，其直接领导为信息安全领导小组组长，即农信银主任，其下为运行开发部负责人，各信息资产责任人、安全管理专员、安全审计员、-13-安全保卫员。信息安全负责人主要职责为：(1)确保网上银行安全体系建立、实施和保持；(2)确保在农信银提高全体员工的信息安全意识；(3)批准农信银的信息安全策略和风险控制措施，可接受的风险等级及残余风险；(4)批准业务连续性计划；(5)批准对已证实的重大的安全违规、违纪事件及泄密事件的处理意见；(6)批准并组织实施内部审计计划；(7)落实信息系统安全方面的职责和角色；(8)根据国家信息系统安全的有关法律、法规、制度和规范及农信银信息系统安全策略，结合实际，制定、落实信息系统安全方面的规章制度、实施细则、安全目标岗位责任制；(9)批准实施信息系统安全的具体过程和方法；(10)确定并向上级信息系统安全领导机构提交信息系统安全方面的提议；(11)向主任报告信息安全管理体系的业绩和任何改进的需求；(12)评估新系统或服务的安全性并监督实施；(13)审查信息系统安全事故；(14)推动本机构信息系统安全的各项工作；(15)通过与外部其它组织间的安全协作，监督、检查、指导内部信息系统安全保护工作；(16)通过与执法机关、监管机构等的合作，协助查处危害内部信息系统安全的违法犯罪案件；-14-(17)与当地执法机关