农信社省联社金融机构信息科技风险管理五年规划

1附件省农村合作金融机构信息科技风险管理五年规划二〇一二年三月五日2第一章引言.................................................................3第二章全省农合机构信息科技风险管理现状.....................................5第一节信息科技风险管理主要成效.............................................5一、信息科技治理取得一定成效........................................5二、信息科技风险管理策略构建取得一定成效............................6三、信息科技风险评估取得初步成效....................................7四、信息系统安全等级保护取得初步进展................................7五、业务连续性管理初上轨道..........................................8第二节信息科技风险管理存在的问题...........................................8一、信息科技治理不够健全............................................8二、信息科技风险管理策略不完善......................................9三、风险控制层面的“三重控制”机制未有效构建.......................10四、数据大集中系统安全等级定级偏低.................................11五、业务连续性管理还比较薄弱.......................................11六、信息科技风险管理绩效体系尚未建立...............................12第三章信息科技风险管理五年规划目标和实施路线..............................12第一节信息科技风险管理五年规划总体目标....................................13第二节信息科技风险管理五年规划实施路线....................................14一、持续完善信息科技治理...........................................14二、逐步完善信息科技风险管理策略...................................17三、构建信息科技风险控制层面的“三重控制”.........................20四、全面贯彻落实信息系统安全等级保护...............................21五、持续完善业务连续性管理体系.....................................22六、加强分中心和法人联社的信息科技风险管理.........................24七、探索建立信息科技风险管理绩效体系...............................24第四章2012年信息科技风险管理工作计划......................................25一、进一步完善信息科技治理.........................................26二、初步建立信息科技风险管理策略...................................27三、初步构建风险控制层面“三重控制”...............................29四、落实信息系统安全等级保护.......................................30五、初步建立业务连续性管理体系.....................................30六、落实信息科技风险隐患的整改工作.................................323第一章引言信息科技风险指信息科技在全省农合机构运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理指通过建立有效的机制，实现对信息科技风险的识别、计量、监测、和控制，促进全省农合机构安全、持续、稳健运行，推动业务创新，提高信息科技使用水平，增强核心竞争力和可持续发展能力。信息科技风险管理主要范围包括信息科技治理、信息科技风险管理策略、信息科技风险控制、信息系统安全等级保护、业务连续性管理和信息科技风险管理绩效体系等。其中，信息科技治理主要涉及信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设，信息科技风险管理策略包括风险管理目标规划及信息系统架构风险管理策略、信息安全管理策略、生产运行风险管理策略、开发测试和维护风险管理策略、外包风险管理策略等具体风险管理策略;信息科技风险控制包括由事前评估识别、事中监测检查、事后审计核查组成的“三重控制”；信息系统安全等级保护包括建立信息系统安全等级划分标准，制定信息系统安全控制基线，并在此基础上采用相应的安全技术实现信息系统安全等级保护；业务连续性管理包括业务影响分析、业务连续性计划、突发事件应急处理和灾难恢复等；信息科技风险管理绩效体系主要包括生产安全运行绩效考核体系和生产运行服务水平绩效考核体系。4近年来银监会非常重视银行业金融机构的信息科技风险管理工作，强化信息科技管理、信息科技风险管理、信息科技审计“三道防线”建设，先后发布了《商业银行信息科技风险管理指引》，《银行业重要信息系统投产与变更管理办法》《商业银行数据中心监管指引》，《银行业重要信息系统突发事件应急管理规范》、《网上银行安全风险管理指引》、《商业银行业务连续性监管指引》等信息科技风险管理的纲领性文件，同时在《中国银行业信息科技“十二五”发展规划监管指导意见》中，对农合机构在“十二五”期间的信息科技风险管理提出了具体的发展目标。全省目前已有93家农合机构和1家村镇银行接入大集中系统，数据大集中在提升农合机构管理水平、促进业务发展的同时，也带来了信息科技风险的高度集中，信息科技风险管理显得尤为重要。为持续提升、改进数据大集中系统和全省农合机构信息科技风险管理水平，根据银监会《商业银行信息科技风险管理指引》、《中国银行业信息科技“十二五”发展规划监管指导意见》和人民银行《中国金融业信息化“十二五”发展规划》有关信息科技风险管理发展目标要求，省联社银信中心信息科技风险管理部牵头编写了全省农合机构2012年到2016年信息科技风险管理五年规划。规划在客观分析全省农合机构信息科技风险管理现状基础上，梳理出了数据大集中后信息科技风险管理的基本思路，制5定了今后五年信息科技风险管理的总体目标和实施路线。规划的重点是：强化治理层面的“三道防线”，构建策略层面的风险管理策略，建立控制层面的“三重控制”，贯彻落实信息系统安全等级保护，完善业务连续性管理，提升全省农合机构的数据安全水平和业务连续性水平。第二章全省农合机构信息科技风险管理现状第一节信息科技风险管理主要成效随着数据大集中工作进入尾声，全省农合机构信息科技风险管理也初见成效，信息科技风险控制水平稳步提高，主要成效体现在以下几个方面：一、信息科技治理取得一定成效（一）信息科技治理架构初具雏形。省联社理事会设立了信息科技管理委员会，同时省联社整合成立了银信金融服务中心（以下简称银信中心）,内设综合部、信息技术部、电子银行部、会计结算部、信息科技风险管理部等5个部门及茂名、清远、揭阳等14个分中心，初步建立了省联社高管层参与、跨业务条线的信息科技工作决策组织和决策流程，基本明确了省联社理事会、管理层、信息科技管理委员会、信息技术部、信息6科技风险管理部及有关业务部门的信息科技职责。（二）科技管理制度建设初具规模。省联社和银信中心目前已发布的各类规章制度有30多项，内部管理办法和操作手册60多项，制度、办法和手册初步覆盖了机房管理、设备管理、网络管理、系统管理、需求管理、开发管理、测试管理、运行管理和应急管理等信息科技工作的主要方面。二、信息科技风险管理策略构建取得一定成效（一）信息系统架构风险管理策略构建取得一定效果。1、在机房设施架构风险管理策略方面，机房供电、综合布线、空调等均采用全冗余架构设计，并建立了比较完备的机房环境监控预警指标体系，有效降低了数据中心机房的运行风险。2、在地市分中心机房运行风险管理策略方面，制定并推广了《银信中心地市分中心机房建设标准》，从而有效降低了地市分中心基础设施的风险。3、在网络架构风险管理策略方面，省联社早在2007年初就制定印发了《省农村信用社网络建设和管理规范》,并按规范要求在全省农合机构范围内进行了网络改造工作，提高了数据大集中网络系统的冗余性、稳定性和安全性，为大集中上线和推广工作和信息科技风险控制提供了有力的保障。4、在硬件平台架构风险管理策略方面，数据大集中主要生产系统硬件平台均采用了全冗余架构设计，确保业务连续性和客户数据安全。7（二）信息安全管理策略构建取得较好效果。建立了物理安全管理、生产网络和其它网络物理隔离，初步实现了网络分区安全控制、用户认证和访问控制、操作系统安全管理、密钥及密码设备管理、操作审计等策略。（三）生产运行风险管理策略构建取得较大进步。初步构建了机房、网络、主机和应用等系统关键风险指标、生产事件的监控预警系统，初步建立了生产系统问题管理、变更管理等的制度和流程，操作自动化水平逐步提高。三、信息科技风险评估取得初步成效除信息科技风险的自评和2010年银监会对信息系统风险的检查评估外，银信中心还聘请德勤会计事务所按银监会《商业银行信息科技风险管理指引》要求对数据大集中系统进行了全面的信息科技风险评估，对评估中发现的风险隐患，银信中心相关部室均进行了有效整改或制定了整改计划，有效控制了风险。四、信息系统安全等级保护取得初步进展信息科技风险管理部在2011年底开始着手对重要信息系统安全实施等级保护，目前已完成数据大集中主要信息系统安全等级保护的分级及初评，已进入报备阶段。8五、业务连续性管理初上轨道修订印发了信息系统突发事件应急管理预案，建立了包括事件监控和预警、发现和通知、组织协调、应急处置、应急通告、总结和报告等流程的信息系统突发事件应急响应机制，进一步完善了应急预案和应急演练机制。同时，根据省联社及下属农合机构实际情况，初步制定了部分重要业务系统针对普通突发事件和重大灾难性突发事件的业务恢复优先顺序、RTO（恢复时间目标）和RPO（恢复点目标）等业务连续性指标。第二节信息科技风险管理存在的问题数据大集中使原来分散在全省各个网络中心的信息科技风险现在主要集中到了省中心，由于银信中心信息科技风险管理部成立不久，全省农合机构的信息科技风险管理工作也刚刚起步，有的还处于摸索阶段，与银监会有关信息科技风险监管规范要求相比有相当大的差距，问题主要体现在以下几方面：一、信息科技治理不够健全（一）在治理层面的信息科技管理、信息科技风险管理、信息科技审计“三道防线”中，信息科技审计部门及审计岗位尚未设置，审计制度尚未建立，省联社和全省农合机构尚未建立专业的信息科技审计队伍；信息科技风险管理刚刚设立，信息科技风险管理队伍建设刚刚起步，关键岗位配比较低、缺乏核心技术人才，部分信息科技风险管理制度尚处于探索、研究9阶段，“三道防线”还未起到应有的管理、制约和监督作用。（二）信息科技风险披露机制不完善。尚未建立信息科技风险的月报、季报和年报等的披露规范，也未定期向省联社领导、信息科技管理委员会和银信中心管理层提交信息科技风险评估报告、信息安全报告、现场检查报告和审计报告。（三）信息科技风险意识教育培训工作有待加强尚未建立全省农合机构常态化的信息科技风险管理意识培训教育机制，全省农合机构科