商业银行重要信息系统投产及变更管理开云 开云体育平台暂行办法
第一条为加强XX银行重要信息系统投产及变更风险管理,控制风险,满足监管合规性要求,依据《商业银行信息科技风险管理指引》及《银行业机构重要信息系统投产及变更管理办法》,结合我行实际,制定本办法。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。开云体育 开云官网包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
4.涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、防雷系统、接地系统、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
5.采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(九)业务部门负责制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。
(十)在重要信息系统投产和变更前,项目牵头部门形成重要信息系统投产和变更报告,组织业务部门和科技部门对投产及变更内容、实施方案、应急预案等内容进行讨论和评估。
(十一)在重要信息系统投产及变更实施后,牵头部门形成《重要信息系统投产及变更总结报告》。组织业务部门和科技部门对投产及变更的内容和有效性进行验证。
(十二)牵头部门原则上应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
(一)重要信息系统投产前20个工作日、变更前至少10个工作日,由牵头部门负责组织形成《重要信息系统投产及变更报告》、《风险评估报告》和《外包风险评估报告》,向中国银监会或其派出机构报告,并报风险管理部备案。包括但不限于:
(五)研发及运维单位应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
(六)研发及运维单位应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性Hale Waihona Puke Baidu兼容性验证,确保迁移后数据的完整性、安全性和可用性。生产环境与测试环境应隔离,原则上测试环境应模拟生产环境的线.总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
2.重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,与运营管理相关的灾难恢复计划。
3.重要信息系统信息安全策略和措施,包括对账号、交易和客户敏感信息的安全控制措施。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第五条高级管理层统筹管理重要信息系统建设,听取重大项目投产及变更的风险评估报告,对风险控制过程进行监督。
第六条牵头部门总体负责组织、控制重要信息系统投产及变更的全过程;负责组织开展重要信息系统投产及变更的风险评估工作;采用外包方式的,负责组织开展系统外包风险评估工作;负责组织对重要信息系统投产及变更过程进行安全审查;负责组织对投产及变更内容、实施方案、应急预案等内容进行讨论和评估;负责组织报送监管要求的相关材料;负责项目阶段性工作总结及汇报。
(三)重要信息系统投产及变更如果失败,牵头部门应向中国银监会或其派出机构报告详细失败原因;需重新安排的,需再次提交报告材料。
(四)运维单位机房设立、场所变更,应按照中国银监会有关数据中心管理规范报告。
7.风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
8.应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
(二)重要信息系统投产及变更实施后1个月内,牵头部门组织形成《重要信息系统投产及变更总结报告》,按照我行相关报送流程规定向中国银监会或其派出机构提交。报告内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。
(七)系统投产及变更前,运维单位应制定重要信息系统投产及变更应急预案,制定系统回退和应急处理计划和流程,必要时实施演练;系统投产及变更后,运维单位应及时更新相关各项应急预案,并适时实施演练。
(八)信息技术部应加强重要信息系统投产及变更过程的监控,严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作,做好各环节的监控和预警。
(三)针对风险评估中发现的薄弱环节,相关部门制定与本部门职责相关的整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
(四)如果重要信息系统采用外包方式,在系统建设前期,项目牵头部门应组织对系统外包风险进行评估,形成《外包风险评估报告》。风险管理部对外包风险管理工作进行评估。
(一)信息技术部统一制定重要信息系统投产及变更工作,制定年度投产及变更规划,编制实施计划和方案。
(二)牵头部门组织业务部门和科技部门对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
第七条信息技术部负责建立重要信息系统投产及变更管理制度、流程,承担技术管理工作,协调业务部门开展重要信息系统投产及变更工作,保证信息科技资源投入;负责制定信息系统安全策略和措施;执行系统投产及变更审批流程;制定重要信息系统投产及变更实施方案和操作步骤;组织技术安全性测试和压力测试;制定数据、主机备份及系统容灾方案;制定应急处置流程、步骤;执行上线控制及审批流程;负责技术方面的风险评估工作。
(一)在重要信息系统投产和变更前,应充分识别、分析、评估重要信息系统投产和变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他可能造成的操作风险、法律风险和声誉风险,由科技部门形成与信息技术相关的重要信息系统投产和变更风险评估报告,业务部门对各项业务风险进行评估,牵头部门形成《风险评估报告》。风险管理部对风险评估管理工作进行评估。
第八条业务部门负责重要信息系统投产及变更业务影响分析;制定业务管理办法,负责培训;组织用户功能性测试,保证业务资源投入。
第九条XX银行重要信息系统投产及变更遵循安全、规范、开云体育 开云官网审慎、可控的原则,强化评估和反馈制度。
第十条重要信息系统投产变更应建立评审、审批和授权机制。项目由牵头部门主管行长对牵头部门进行授权审批。
1.按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。
2.应合理避开业务高峰期和敏感时段安排重要信息系统上线,根据我行相关规定应提前将重要信息系统投产及变更可能对服务的影响告知客户。
(四)重要信息系统投产及变更前,信息技术部组织业务部门进行充分、完整的功能性、安全性、压力性测试,形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致。
扫一扫关注微信公众帐号
