XX 银行重要信息系统投产(变更)风险评估实施细则第一章 总则第一条 为规范重要信息系统投产 (变更) 风险评估工作, 提高 风险评估能力,实现对重要信息系统投产(变更)风险的有效防 控,按照监管要求,参照《银行业金融机构重要信息系统投产及变 更管理办法》 及《 XX 银行信息系统投产管理 办法(试行)》等规 定,制定本细则第二条 本细则所称重要信息系统系指支撑本行关键业务 和客户 服务的系统,包括面向客户、涉及账务处理且时效性要求较高的业 务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统, 以及支撑上述系统运行的前置机、客户 端、机房、网络等基础设施 等第三条 本细则所称重要信息系统投产(变更)范围包括重要信 息系统投产变更;支撑重要信息系统运行的机房和网络基础设施投 产; 影响全行或 1 家(含)以上分行系统服务、重要业务中断 3 小 时(含)以上的重要信息系统,以及支持其运行的基础设施变更; 其他对本行重要业务运营及重要信息系统的可用性、完整性、安全 性具有较大潜在影响的投产 及变更第四条 本细则所称风险评估是通过对重要信息系统投产(变 更)的影响、原始风险、剩余风险以及采取的相应控制 措施分析,判断风险的可控程度,从而作为重要信息系统投 产(变 更)实施的决策参考。
原始风险系指项目本身具有初始以及在开发或实施过程中形成的风险剩余风险系指采取了风险控制措施后仍不能被完全消除的信息 系统风险第五条 重要信息系统投产(变更)风险评估应遵循“客 观性、完 整性、准确性”原则第六条 本细则适用于系统主管部门、信息科技部和风险 管理 部第二章职责分工第七条风险管理部是重要信息系统投产(变更)风险评 估的牵头部门,其主要职责包括:(一) 负责重要信息系统投产(变更)风险评估标准、流 程制定,并根据现有规定督导实施;(二) 负责对本行重要信息系 统投产 (变更)风险评估出 具评估意见;(三) 负责向监管机构或高级管理层报送重要信息系统投 产(变更)报告;(四) 负责监管部门、董事会风险管理委员会以及高级管 理层 对重要信息投产(评估)风险评估要求的其他工作第八条 信息科技部门是重要信息系统投产(变更)的主 管部 门,其主要职责包括:(一)负责组织重要信息系统投产(变更)报告的撰写和 重要信息系统投产(变更)风险评估表(附件 1 )的填写;二)负责重要信息系统投产(变更)剩余风险的跟踪和处理;(三)负责向监管机构或高级管理层报送重要信息系统投产 (变更)总结报告;(四)负责重要信息系统投产(变更)风险评估的其他工作。
第九条 系统主管部门是重要信息系统投产(变更)的配 合部 门,其主要职责包括:(一)负责配合信息科技部撰写重要信息系统投产(变更)报 告及填写重要信息系统投产 (变更)风险评估表 (附件 1 );(二)负责协助信息科技部对重要信息系统投产(变更)剩余 风险的跟踪和处理;(四)负责配合重要信息系统投产(变更) 风险评估的其 他工 作第三章 评估范围与内容第十条 风险评估报告 (表) 是重要信息系统投产 (变更) 报告 的重要组成部分,评估对象包括但不限于重要信息系统自身、技术 架构、基础设施、业务影响、客户影响、外包风险、信息安全、应 急准备等第十一条 重要信息系统投产 (变更) 风险评估报告 (表) 内容 包括项目基本情况、 影响分析、 控制措施和风险描述等一)项目基本情况包括但不限于系统名称、变更主题、主管部 门、实施部门、启动事件、实施计划、项目类型和项目描述等二)影响分析是剩余风险对现有应用环境和业务造成的影响 包括但不限于过程评估、环境影响、业务影响、技术影响、系统影 响、影响时段等三)控制措施是已经采取的控制措施,包括程序修改、 规范性 文件、增加资源配置、人员或系统监控等。
四) 风险描述分为原始风险和剩余风险, 风险描述包括 风险 类型、风险指标和评估标准1. 风险类型 主要包括系统功能缺陷、 客户信息泄露、 业 务中 断、系统性能和其他风险2. 风险指标 风险指标主要包括:(1)影响范围主要包括极大、较大、中等、较小和极 小2)可能性主要包括极可能、很可能、可能、不太可能和罕 见3)风险等级主要包括极大风险、高风险、中等风险、低风 险和极小风险3. 评估标准 风险指标具体评估标准参照《 XX 银行重要 信息系统投产(变更)风险评估标准》(附件 2)执行第四章 评估流程与方法第十二条 重要信息系统投产(变更)前,信息科技部应 及时撰 写重要信息系统投产(变更)报告,填写重要信息系统投产(变 更)风险评估报表,并交系统主管部门补充业务内容第十三条 经信息科技部及系统主管部门负责人签字确认 后,由信息科技部将重要信息系统投产(变更)报告连同重要信息系统投 产(变更)风险评估表(附件 1)一并报风险管理部出具意见第十四条 风险管理部出具风险评估意见后,按照本行现 有流程 报行领导审定第十五条 根据现有制度规定,处理流程如下:(一) 如批示同意投产及报送, 由风险管理部将重要信息 系统 投产(变更)报告报送当地监管机构,并将此作为投产评审会重要 材料。
二) 如批示不同意或暂缓投产, 信息科技部应组织系统 主管 部门采取相应措施第五章 评估报告与投产审批第十六条 本行重要信息系统采用存量系统一次性认定, 后续调 整原则确定(附件 3)新增系统、 项目在项目立项时由信息科技部和风险管理部 协商 确定是否属于重要信息系统信息科技部和风险管理部于每年年初, 视具体情况对重要 信息 系统进行调整第十七条 风险评估结论应通过影响范围和可能性分析, 结合已 采取的措施得出第十八条 重要信息系统投产(变更)风险评估剩余风险 可分级 为极小风险、 低风险、 中等风险、 高风险和极大风险, 最终认定 为高风险及以上的,原则上不予投产第十九条 风险评估表(附件1)作为重要信息系统投产 (变 更)风险评估报告的组成部分,也是信息系统投产(变更)的决策 参考材料,应随重要信息系统投产(变更)报告在重要信息系统投 产前至少23 个工作日内、变更前至少13 个工作日内报总行风险管 理部第六章 附则第二十条 本细则由总行风险管理部负责解释和修订第二十一条 本细则自发文之日起执行。