农村信用合作联社信息科技风险管理办法.doc

PAGE PAGE 9 ***农村信用合作联社信息科技风险管理办法 第一章 总 则 第一条 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进***农村信用社安全、持续、稳健发展，根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、标准，制定本办法。 第二条 本办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在农信社业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。信息科技风险是指信息科技在农村信用社运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第三条 本办法包括信息科技风险组织保障体系、总体风险控制、管理风险控制、开发风险控制、运行维护风险控制、外包风险控制以及信息科技风险审计等。 第四条 自治区联社信息科技风险管理按照统一规划建设、全面综合防治、技术管理并重、保障运营安全的原则，防范风险，保障业务的持续性和信息的安全性、完整性、可用性。 第五条 信息科技风险管理的目标是通过建立有效的机制，实现对农村信用社信息科技风险的识别、计量、监测和控制，促进农村信用社安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章 组织保障体系 第六条 自治区联社风险管理委员会是全区农村信用社信息科技风险管理的最高决策机构，负责组织落实国家及中国人民银行、中国银行业监督管理委员会关于信息科技风险工作的方针政策，研究决定全区农村信用社信息科技风险的重大事项，审批、组织信息科技风险工作的计划和实施；检查信息科技风险措施的执行情况。 第七条 各级农村合作金融机构、农商行法定代表人是本机构信息科技风险管理的第一责任人，信息科技风险管理状况纳入本机构考核体系。 第八条 自治区联社风险管理部门负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和科技信息部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。 第九条 自治区联社科技信息中心统一负责信息科技的规划、开发、建设、运行、维护和监控，提供日常科技服务和运行技术支持，对信息科技风险防范进行专业化管理。 第十条 自治区联社稽核监察部负责建立健全信息科技风险审计制度，做好信息科技风险内部审计工作，配合做好中国银行业监督管理委员会或其委托中介机构对自治区联社信息科技风险的外部审计，督促、配合相关部门对审计问题进行整改。 第十一条 自治区联社科技信息中心、风险合规部和稽核监察部必须配备适量的合格人员进行信息科技风险评估和审计。 第十二条 各级农村合作金融机构、农商行信息科技部门负责落实自治区联社制定的各项风险防控政策在辖内的执行、制定（细则或补充规定）和实施情况。各级农村合作金融机构、农商行应设置专门的信息安全岗位，并配备一名以上专职信息安全人员，负责本机构的信息系统安全。 自治区联社科技信息中心应明确信息科技安全、开发、维护、运行管理和设备管理岗位的职责，做到岗位之间互相制约，各岗位之间不得互相兼任，维护、安全等重要岗位实行A、B岗。 第十三条 自治区联社信息科技相关工作人员应符合以下要求： （一）具备良好的职业道德，掌握履行信息科技相关岗位职责所需的专业知识和技能。 （二）未经岗前培训或培训不合格者不得上岗。 （三）经考核不适宜的工作人员，及时进行调整。 第十四条 自治区联社科技信息中心必须加强信息科技风险管理专业队伍建设，建立人才激励机制，适应信息科技的发展。 第三章 总体风险控制 第十五条 总体风险是指全区农村信用社信息科技在策略、管理、制度、软件、硬件、网络、数据、文档、机房、操作等方面影响全局或共有的风险。 第十六条 自治区联社、各级农村合作金融机构以及农商行应严格执行国家信息安全相关标准，参照有关国家标准，积极推进信息安全标准化。建立健全与信息科技相关的规章制度、技术规范和操作规程，明确信息科技相关人员的职责权限，建立制约机制，防范信息科技风险。 第十七条 自治区联社风险管理委员会应对信息科技项目可行性研究、立项、开发、验收、运行维护和项目后评估等实施有效的风险管理。各相关部门应加强沟通协调，确保系统的整体安全。 第十八条 重视知识产权保护工作，使用正版软件，优先使用我国具有自主知识产权的软硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护信息化成果；加强软件版本管理。 第十九条 信息系统的应用部门应建立健全信息系统使用的相关规章制度和操作规程，明确信息系统使用人员的