注:为便于大家理解,全文将以“原文-主干”的方式展现。若大家不想阅读原文,可只阅读标红的主干部分,但阅读时请牢记本文主题:重要信息系统投产与变更。
01 背景
原文:为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,银保监会于2009年12月制定并下发《银行业金融机构重要信息系统投产及变更管理办法》。
主干:为加强风险管理,保障重要信息系统安全稳定运行。
02 内容摘要
定义
主干:重要信息系统包括面向客户、涉及账务处理且实时性要求较高的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
主干:重要信息系统投产及变更主要指
1、重要信息系统投产;(信息系统、机房和网络等基础设施)
2、影响系统服务、重要业务中断时间3小时(含)以上的变更;
3、其他对可用性、完整性、安全性具有较大潜在影响的投产及变更。
要求
主干:组织管理
1、机构应健全IT治理结构,落实管理责任;
2、高级管理层应
①统筹管理建设
②听取风险评估汇报
③对风险控制过程进行监督
3、信息科技部门应
①建立管理机制、制度与流程
②承担技术管理工作
③协调业务、管理部门开展工作
④保障信息科技资源投入
4、业务、管理部门应
①配合信息科技部门开展工作
②开展业务影响分析
③制定业务管理办法
④组织用户测试
⑤保障业务资源投入
5、内部审计部门应开展审计工作,针对问题发现提出整改意见。
主干:风险评估
1、机构应充分识别、分析、评估风险,并形成风险评估报告;
2、可委托第三方进行风险评估工作;
3、董事会及高级管理层应审核风险评估报告;
4、应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
主干:投产及变更控制
1、应组织协调工作,制定年度规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离;
2、应建立评审和审批、授权机制,对内容、过程进行安全审查,并采取策略和措施,有效控制风险;
3、应制定并落实系统运行和业务管理的制度、规程,明确职责并组织培训,确保投产及变更实施后业务顺利开展。
4、应建立版本管理制度和流程并遵从,且保存日志记录。
5、应建立测试体系,在与生产环境相隔离的仿真环境中测试并形成报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。测试期间若使用生产数据,应保证数据的完整性、安全性和可用性。
6、应制定应急预案,必要时实施演练;
7、应合理安排系统上线时间,并将影响告知客户;同时应严格执行上线实施方案,并加强过程的风险监控和预警,让各相关部门协同做好应急准备;在投产及变更实施后应及时验证有效性,同时及时更新应急预案,并适时实施演练;
8、应管理好过程中的各类文档,以满足独立审计要求。
主干:投产及变更报告
1、投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,报告内容包括但不限于原文中的8类说明材料。
2、投产及变更实施后1个月内提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
03 免责声明
安全小白团是帮助用户了解信息安全技术、安全漏洞相关信息的微信公众号。安全小白团提供的程序(方法)可能带有攻击性,仅供安全研究与教学之用,用户将其信息做其他用途,由用户承担全部法律及连带责任,安全小白团不承担任何法律及连带责任。