加强紧急变更管理,控制生产变更频率;不断提高信息系统运行稳定性,不断提高关键业务系统可用率。
健全信息科技运维安全管理机制,加强岗位管理,强化关键岗位制约机制,落实运行与开发岗位人员分离原则。加强审计监督,定期开展安全检查,推进访问控制执行力度,加强日志管理与操作行为审计。建设一体化监控平台,逐步实现对服务器、网络设备、数据库、中间件和应用系统等集中监控;建立、完善相关性能监控指标,提高预警、响应与处置能力。逐步建立生产运行量化考核与评价机制,推动服务水平不断提升。
第五节 健全信息安全管理体系,加强重点领域信息安全管理
加强信息安全体系建设,建立安全管理组织机构,明确管理职责,建立专职信息安全人员队伍,落实信息安全人力资源保障;结合信息系统安全等级保护要求,制定信息安全策略;健全信息安全管理制度,规范安全管理流程,加强贯穿信息系统生命周期的信息安全管理;利用先进、成熟的安全产品和技术手段,在防御、监测、预警、响应、恢复等层面提高信息安全管理能力,提升信息安全保障体系的健壮性和有效性;加强基础设施和网络安全管理,严格执行安全区域访问控制;加强生产系统操作监控和日志审计,逐步开展系统投产前、后的安全测试与评估,加强代码安全审核,及时发现和处置安全隐患。
16
加强电子银行、银行卡等重要信息系统安全管理,逐步建立交易监测机制,采取多渠道、多因素认证和第三方协作等措施,有效防范伪造、欺诈、篡改交易等违法行为;提高安全基础设施有效性,严格管理密钥和自助设备,保障交易环境安全;推进金融IC卡建设,增强银行卡技术安全性。
加强数据、文档安全管理,逐步建立信息资产分类分级保护机制;完善敏感信息存储和传输等高风险环节的控制措施,建立严格的数据、文档访问授权、审批机制;对用于测试的生产数据要严格执行脱敏处理机制,严格防止敏感数据泄露。
逐步建立信息安全评价体系,量化信息安全评价指标,综合评定信息安全工作水平,促进信息安全工作持续改进。
第六节 完善应急管理体系,提升业务连续性水平
统筹建立全行统一的应急管理体系,确立应急管理组织架构,明确董事会及高级管理层的管理责任;落实牵头部门,统筹推进指挥体系、预警机制、处置程序、保障措施、管理制度、流程规范和资源保障等应急管理建设工作。
加强业务影响分析,逐步制定科学的业务分级分类标准、业务恢复目标,合理配置应急资源;梳理完善业务与重要信息系统应急预案,合理设计应急场景,细化处置措施,提升预案的可操作性,逐步实现应急预案的全覆盖;定期评估、修订应急预案,确保应急预案有效性;
17
促进业务部门与信息科技部门应急联动机制建设,加强部门间应急协作,探索建立与公共事业机构、金融同业机构的应急协作机制,提升应急处置综合能力。
推进灾备体系建设工作,在数据级灾备基础上,逐步推进应用级灾备建设;逐步扩大应用系统灾备覆盖范围,实现对重要信息系统基本覆盖。积极探索联合共建、外包以及多功能复用等多种灾备中心建设模式,降低灾备建设与维护成本,有效提高灾难恢复能力。
建立常态化的应急演练机制,重点开展关键业务系统及重要基础设施的应急演练,演练范围逐步向外围系统、多应用联动扩展,逐步提高以真实业务接管为目标的切换演练实战能力。推动开展业务连续性管理体系规划和建设工作,明确建设策略及路径,逐步建立全行层面的业务连续性管理体系。
第七节 加强信息科技外包管理,防范重点领域外包风险
制定信息科技外包管理策略,明确信息科技外包范围;处理好外包和自主研发的关系;通过外包积极引进新技术、新产品,同时加强自主研发能力的培养,强化知识转移,提高对关键技术与重要信息系统的管理与控制能力;建立和完善外包管理制度,规范供应商选择、合同签署、日常管理和变更等外包全过程管理,做好外包管理与项目管理、质量管理、信息安全管理及合同管理等制度的衔接。
18
加强外包风险管理,建立外包合同合规审查机制,明确知识产权归属,防范法律风险;建立有效的外包服务控制流程,严格控制外包实施过程中的操作安全、信息安全、人员变更等风险;制定外包供应商准入标准,建立资格审查制度;开展外包服务审计,建立外包服务质量评价机制,控制外包服务质量;制定外包服务应急预案,防范供应商服务中断或异常退出风险。
第六章 深化信息科技应用
“十二五”时期,城商行应大力提高信息科技应用能力,完善核心应用系统、电子银行、管理信息系统和风险管理基础设施建设,支持全面风险管理体系建设,提高业务创新和金融服务能力。
第一节 加强核心应用系统建设,提升客户服务水平与市场响应能
力
加强全行应用体系规划,规范技术标准,参照分层、松耦合架构模式,采用参数化、组件化架构设计方法,以业务为驱动、客户为中心、产品为支撑,支持流程银行建设,完善应用架构,规范服务接口标准,逐步实现产品灵活定制和多渠道的快速发布;规范应用架构安全设计,满足交易安全、统一身份鉴别以及访问控制等安全要求。
整合分布在各应用系统的客户信息,逐步形成全行统一的客户信息视图,建设操作型客户信息管理系统。逐步探索建立全行统一的客
19
户营销和客户关系分析管理平台,深度挖掘客户数据资源,实现差异化客户营销,提升金融服务效率和服务水平。
加强渠道资源统一规划与整合,集成柜面、网上银行、电话银行、自助设备等渠道类应用服务,建设统一接入平台,实现报文类型、交易路由等渠道功能的灵活定制;统一各渠道的业务通用功能,建立跨渠道的产品统一部署和发布机制,实现一致的客户体验,提高客户满意度。
统一规划全行内容管理和影像系统建设,逐步推动信贷管理、事后监督、集中授权等管理流程中非结构化数据信息管理,实现流程管理的标准化和自动化,提高业务处理效率。推进业务后台集中处理,简化柜面业务操作流程,提高前台业务处理效率,有效落实审批和授权机制,提升操作风险集中管控能力。
第二节 推进电子银行建设,增强电子银行创新服务能力
充分认识网上银行等电子渠道对业务发展的推动作用,根据业务发展战略,坚持安全先行,采用成熟技术推进电子银行系统建设。
深化技术创新,积极扩充网上银行服务内容,逐步增加投资理财、转账支付、账户与财务管理等个人网银业务功能,提供丰富的个性化增值金融服务;扩展企业网银功能,深度挖掘地域经济特色需求,为企业提供特色金融服务,提升企业资金运营与盈利能力。以多因素、多渠道认证等手段强化双向身份识别,提升交易安全能力,为客户营
20