村镇银行信息科技风险管理办法

（征求意见稿）

第一章总则

第一条为加强村镇银行信息科技风险管理，确保科技体系持续稳定运转，根据《商业银行信息科技风险管理指引》等有关法律、法规，制定本办法。

第二条信息科技风险管理是通过建立有效机制，实现对银行信息系统风险的识别、计量、评价、预警和控制，推动村镇银行业务创新，提高信息化管理水平，保障村镇银行业务持续平稳发展。

第二章信息科技风险管理组织架构

第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第四条

发起行科技信息中心是村镇银行信息科技风险的主要管理部门，发起行科技信息中心有以下信息科技风险管理的

权限和职责：

（一）建立有效的信息科技风险管理管理架构，完善内部组织结构和工作机制，防范和控制信息科技风险管理；

（二）贯彻执行国家有关信息系统相关法律、法规和技术标准，落实人民银行和银监会相关监管要求；

（三）履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责，建立、健全村镇银行信息科技风险管理相关规章、制度，并严格执行；

（四）负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作，提供村镇银行信息系统日常信息服务和运行技术支持；

（五）负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度；

（六）发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门，发起行科技信息中心各科室按其职责范围承担相应工作。

第三章信息科技风险具体控制要求

第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点：

（一）缺少信息系统风险管理策略；

（二）自然灾害、运行环境变化；

（三）信息系统相关规章制度、技术规范、操作规程不完善；

（四）信息安全标准化工作不符合国家相关规定；

（五）缺乏信息安全风险评估机制；

（六）数据中心机房物理安全；

（七）使用盗版软件及自有成果的知识产权保护；

（八）电子设备自身运行；

（九）主机与网络运行；

（十）网络安全；

（十一）密码安全；

（十二）数据加密安全；

（十三）信息系统配置参数管理；

（十四）数据管理；

（十五）突发事件响应；

（十六）信息系统故障导致影响银行信誉；

（十七）网上银行安全。

第六条信息系统总体风险控制措施：

（一）根据村镇银行信息系统总体规划，在村镇银行风险管理政策指引下，制定明确、持续的信息系统风险管理策略，根据信息系统的等级保护级别对信息系统进行分析和评估，并实施有效的风险控制；

（二）建立同城信息系统灾备中心实现运行环境备份，防止各类突发事故和恶意攻击事件造成不良后果；

（三）建立健全相关信息科技制度，明确信息系统相关人员的职责权限，建立制约机制，实行最小授权；

（四）严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，开展信息安全等级保护等相关工作；

（五）加强对信息系统的风险评估，及时对风险点进行修补和完善，以保证信息系统的安全性和完整性；

（六）信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准，数据中心机房实行严格的门禁管理措施，未经授权不得进入；

（七）加强知识产权保护，使用正版软件，加强软件版本管理；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护村镇银行信息化成果；