注:為便于大家了解,全文将以“原文-主幹”的方式展現。若大家不想閱讀原文,可隻閱讀标紅的主幹部分,但閱讀時請牢記本文主題:重要資訊系統投産與變更。
01 背景
原文:為加強銀行業金融機構重要資訊系統投産及變更風險管理,保障銀行業金融機構重要資訊系統安全穩定運作,銀保監會于2009年12月制定并下發《銀行業金融機構重要資訊系統投産及變更管理辦法》。
主幹:為加強風險管理,保障重要資訊系統安全穩定運作。
02 内容摘要
定義
主幹:重要資訊系統包括面向客戶、涉及賬務處理且實時性要求較高的管理類資訊系統,以及支撐系統運作的機房和網絡等基礎設施。
主幹:重要資訊系統投産及變更主要指
1、重要資訊系統投産;(資訊系統、機房和網絡等基礎設施)
2、影響系統服務、重要業務中斷時間3小時(含)以上的變更;
3、其他對可用性、完整性、安全性具有較大潛在影響的投産及變更。
要求
主幹:組織管理
1、機構應健全IT治理結構,落實管理責任;
2、進階管理層應
①統籌管理建設
②聽取風險評估彙報
③對風險控制過程進行監督
3、資訊科技部門應
①建立管理機制、制度與流程
②承擔技術管理工作
③協調業務、管理部門開展工作
④保障資訊科技資源投入
4、業務、管理部門應
①配合資訊科技部門開展工作
②開展業務影響分析
③制定業務管理辦法
④組織使用者測試
⑤保障業務資源投入
5、内部審計部門應開展審計工作,針對問題發現提出整改意見。
主幹:風險評估
1、機構應充分識别、分析、評估風險,并形成風險評估報告;
2、可委托第三方進行風險評估工作;
3、董事會及進階管理層應稽核風險評估報告;
4、應針對風險評估中發現的薄弱環節制定整改方案,明确整改時間。不具備整改條件的應采取風險緩釋措施。
主幹:投産及變更控制
1、應組織協調工作,制定年度規則,編制實施計劃和方案,确定實施政策和步驟,明确崗位職責,確定關鍵崗位職責分離;
2、應建立評審和審批、授權機制,對内容、過程進行安全審查,并采取政策和措施,有效控制風險;
3、應制定并落實系統運作和業務管理的制度、規程,明确職責并組織教育訓練,確定投産及變更實施後業務順利開展。
4、應建立版本管理制度和流程并遵從,且儲存日志記錄。
5、應建立測試體系,在與生産環境相隔離的仿真環境中測試并形成報告,確定系統上線後的正常穩定運作以及系統功能與業務目标的一緻性。測試期間若使用生産資料,應保證資料的完整性、安全性和可用性。
6、應制定應急預案,必要時實施演練;
7、應合理安排系統上線時間,并将影響告知客戶;同時應嚴格執行上線實施方案,并加強過程的風險監控和預警,讓各相關部門協同做好應急準備;在投産及變更實施後應及時驗證有效性,同時及時更新應急預案,并适時實施演練;
8、應管理好過程中的各類文檔,以滿足獨立審計要求。
主幹:投産及變更報告
1、投産前至少20個工作日、變更前至少10個工作日向中國銀監會或其派出機構報告,報告内容包括但不限于原文中的8類說明材料。
2、投産及變更實施後1個月内送出總結報告材料,内容包括但不限于:投産及變更方案執行情況、效果,問題發現和處理情況,後續改進措施等。如投産及變更失敗,應詳細說明失敗原因。
03 免責聲明
安全小白團是幫助使用者了解資訊安全技術、安全漏洞相關資訊的微信公衆号。安全小白團提供的程式(方法)可能帶有攻擊性,僅供安全研究與教學之用,使用者将其資訊做其他用途,由使用者承擔全部法律及連帶責任,安全小白團不承擔任何法律及連帶責任。