xxxx银行
信息科技外包服务应急预案管理办法
第一章总则
第一条为确保xxxx银行(以下简称“我行”)各项外包服务持续、稳定进行,加强外包管理,预防因外包管理的原因造成业务系统服务中断或外包协议的意外终止,并将外包风险可能造成的损失控制在最小范围内,根据《商业银行信息科技风险管理指引》、《商业银行外包风险管理指引》等相关规定,结合我行实际,特制定本管理办法。
第二条本办法用于指导对外包服务的风险评估和应急处置方案,适用于外包服务商在项目开发、咨询、服务的全过程中可能出现的重大缺失,尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止时应采取的应对措施。
第二章部门及职责
第三条xxxx银行信息科技部为我行信息科技外包服务应急处理的职能管理部门。
第四条我行信息科技外包服务应急管理其他涉及的部门包括:外包服务使用部门(外包服务直接应用部门)、外包服务审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技外包服务应急管理部门,其基本职能如下:
(一)负责信息科技外包服务的日常监控和管理工作;
(二)负责信息科技外包服务的风险收集和风险评估工作;
(三)负责信息科技外包服务风险管理策略的制定和改进工作;
(四)负责风险发生后的风险应急措施的实施工作。
第六条我行信息科技外包服务应急管理其他涉及的部门,其基本职能如下:
(一)配合信息科技外包服务的日常监控和管理工作;
(二)协助配合信息科技外包服务的风险收集和风险评估工作;
(三)协助配合风险发生后的风险应急措施的实施工作。
第三章外包服务应急管理原则
第七条在外包服务入场实施前,我行外包项目经理根据外包服务内容填写《xxxx银行外包服务项目应急预案》(附件1),明确外包服务风险,我行业务人员、技术人员及外包服务商相关人员联系方式。
第八条我行外包项目经理根据外包服务计划,定期对外包项目进行审查,包括但不限于项目进度、项目人员变动、人员培训、技术水平、设计变更、软硬件设备、数据安全,定期或事件触发向部门经理及相关中心主任汇报。
银行支行营业网点突发事件应急处置预案 一、防盗窃案件应急预案, 当发现已经发生或正在发生盗窃案件时: 1、应立即制止盗窃案件发生以防事态扩大,并利用可行的手段迅速联系相关人员共同制服罪犯。 2、立即向110指挥中心报警,简要说明出事地点和网点名称,同时报告安全保卫部门。 3、安全保卫部门要立即派人赶赴现场,保护现场,保留证据,不准无关人员进入现场,协助公安部门分析案情,为破案提供有关信息。 4、控制有关重点嫌疑人员和当事人及有关技防设施、录象资料、工作日志、安全员值班登记、出入人员登记等,以便办案时提问、查询、审阅。 5、待公安部门勘察现场后,及时清点被盗物资或损失资金。 6、一旦盗窃得逞,发现犯罪分子逃离后,应及时向公安人员提供犯罪分子的体貌特征、逃跑方向、搭载的交通工具等情况。 7、如发现犯罪分子对银行重要物资行窃时,值班人员应迅速报警,并采取最切实有效的措施使其终止犯罪,要注意留存证据,保存监控录像资料,为认定罪犯分子提供证据。 8、如发现有内部人员参与作案,应报告纪检监察部并协助查办。 9、事后,事发单位要认真分析总结被盗原因,查找漏洞,采取切实措施,防范类似盗窃案件的发生。
二、防抢劫案件应急预案 当发生抢劫案件时,应根据当时实际情况灵活采取如下措施: 1、立即打开报警器,及时取得附近单位(联防单位)和过往群众的支援,所(柜)长或靠近电话的员工应立即拨“110”报匪警,电话简要讲明该营业网点所处的地理位置和名称,在时间允许的情况下迅速同附近派出所和支行保卫部门联系。 2、在报警联络的同时,代库员应迅速将库包的钱、帐、重要凭证放入保险柜、锁好保险柜,打乱密码,藏好钥匙:其余人员迅速抢占有利位置,保护自己,利用顺手防卫器具有效地制止歹徒的犯罪活动。 3、控制出入通道。使歹徒无法接触现金和员工,保护现金和员工安全;以口头进行劝阻,设法拖延时间,等待过往群众和公安机关的支援。 4、配合有关人员抓捕歹徒;所(柜)长或安全员用(设定好的)暗、信号(眼神)发出指令,乘机对犯罪分子发出攻击,以最快的速度和最大的力量将犯罪持枪或凶器的手抬起(或打掉凶器),使其失去对员工的伤害能力,夺下犯罪手中的枪或凶器。 5、在同犯罪分子博斗时,应记住犯罪分子的特征,以便公安机关破案;在犯罪分子逃离时,主要由一名男职工或经警尾随其后,呼叫群众帮助捉拿;犯罪分子乘车逃跑时,应记住车号、车型和颜色。 6、在夺下犯罪分子手中的枪支和凶器后,犯罪失去侵害能力时,应停止攻击,并让其趴在地上,不能让其站立,用绳子将其两手捆绑
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
. .. . .. .. 大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
网络信息安全应急预案 一、总则 1.编制目的 为提高应对网络与信息安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,特制定本预案。 2.编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等有关法规、规定,制定本预案。 3.适用范围 本预案适用于发生与本预案定义的I-IV级网络与信息安全突发事件和可能导致I-IV级的网络与信息安全突发事件的应对处置工作。 4.分类分级 本预案所指的网络信息安全突发事件,是指网络信息系统突然遭受不可预知外力的破坏、毁损或故障,不良信息在网站乃至整个互联网的传播,发生对国家、社会、公众造成或者可能造成危害的紧急网络安全事件。 事件分类根据网络信息安全突发事件的发生过程、性质和特征,网络信息安全突发事件划分为网络安全突发事件和信息安全突发事
件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏;信息安全突发事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。 (1)自然灾害是指地震、台风、雷电、火灾、洪水等。 (2)事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。 (3)人为破坏是指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等事件。 事件分级 根据我省对网络信息安全突发事件的可控性、严重程度和影响范围,将网络信息安全突发事件分为四级:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。具体级别定义如果国家有关法律法规有明确规定的,按国家有关规定执行。 (1)I级(特别重大):造成网络与信息系统发生大规模瘫痪,事态的发展超出区一级相关主管部门的控制能力,对国家安全、社会秩序、公共利益造成特别严重损害的突发事件。 (2)II级(重大):造成网站或其它上一级部门重要网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成严重损害,需要上级政府或公安部门协助,乃至需跨地区协同处置的突发事件。 (3)III级(较大):造成网站网络与信息系统瘫痪,对国家安全、社会秩序、公共利益造成一定损害,但只需在本区政府或区信息中心协同处置的突发事件。
×××支行 防抢劫应急预案 为了在抢劫事件发生的情况下,快速行动,尽可能减少抢劫事件带来的损失,最大程度地保障支行员工生命安全及财产安全,特制定本应急预案。 一、防抢劫应急领导小组 现场总指挥:××× 战斗组:××× 战斗组负责迅速抢占有利位置,同时隐蔽好自已,合理动用手中武器同歹徒进行周旋,并做好自卫。战斗人员要记清其口音、衣着、体貌特征,以及所持凶、作案方式、逃跑路线与交通工具,并做好报案材料。 通讯联络组:××× 通讯联络组负责上传下达,组织协调,第一时间与总行取得联系。现金保护组:××× 现金保护组负责现金放入保险柜并乱码,巧妙周旋,启动报警系统,利用一切手段拔打110报警。 票据保护组:××× 票据保护组负责重要票据放入保险柜并乱码,巧妙周旋,利用一切手段拔打110报警,同时启动报警系统。 救护组:×××
救护组负责如有人员伤亡时,拔打120,详细说明地址,单位名称,人员伤亡情况,并派人接应救护车,负责救人等任务。 谈判组:××× 如有绑架与挟持人质等情况,谈判组负责对暴力恐怖分子进行说服,巧妙周旋,等待救援部队到来。 二、应急领导小组工作职责 1、统一领导与指挥抢劫事件处置工作。 2、决定启动、终止本预案。 3、分析、研究抢劫事件的相关信息,决定抢劫事件的处置与信息披露的相关事项。 4、指挥协调实施应急措施,明确相关部门在应急处置过程中的具体职责与分工。 5、及时向上级领导、监管部门与有关部门上报事件动态。 6、负责应急事件重要事项的决策。 三、抢劫事件基本应对方法 1、隐蔽报警。目的就是保护现场客户与员工的人身安全,避免激怒歹徒。营业部报警由×××负责,向公安部门报警时应说明单位地址与现实情况,如歹徒有机人,使用什么武器,支行现有情况如何。 2、及时向上级领导汇报,该工作由运营经理×××负责,综合管理部经理×××执行。 3、巧妙运用语言。运营经理××与营业部经理负责用巧妙的语言与歹徒周旋,目的就是稳定歹徒激动情绪,拖延时间。要多使用“请
中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。 第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第二章组织保障 第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B 岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: 组织落实上级信息安全管理规定,制定信息安全管理制 度,协调部门计算机安全员工作,监督检查信息安全保障工作。 审核信息化建设项目中的安全方案,组织实施信息安全保 障项目建设,维护、管理信息安全专用设施。 检测网络和信息系统的安全运行状况,检查运行操作、备 份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 四)定期组织信息安全宣传教育活动,开展信息安全检查、评 估与培训工作。 第十三条信息安全管理人员在履行职责时,确因工作需要查询相关涉密
银行的业务外包问题与建议 银行业务外包是指银行通过契约将原内部工作交由他人完成,是银行应对日益激烈的市场竞争的重要工具,也是银行主动调整战略、实现核心价值的有效手段。按照银行外包业务的内容有信息技术外包(ITO)、业务流程外包(BPO)和知识处理外包(KPO)。 一、银行业务外包的国际趋势 近年来,商业银行出于战略规划、控制成本、提高客户满意度、增强核心竞争力等原因纷纷扩大了业务外包的范围,使得银行业务外包发展迅速。至2004年,金融行业业务外包的规模增长超过20%。金融研究和服务公司Tower Group (2006)调查表明:全球最大的1 5家金融服务企业信息技术项目的外包业务的金额预计将从2004年的1 6亿美元上升到2008年的38.9亿美元,年均增长率将达到34%。随着国际银行外包业务规模的不断扩大,出现了3大发展趋势: (一)外包范围不断扩展 银行外包形式的发展演绎着银行业近30年来经历的巨大变化和挑战。银行业务外包首先从信息技术外包(ITO)开始,主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等。业务流程外包(BPO)是将业务的整个运行过程外包,例如整个IT系统,而不是某项具体的任务。它所关注的是支持银行内部的运作和客户的后端服务,通过进行业务流程的优化组合,提高整个业务的生产效率和竞争力,在更大的范围内获得利润,银行需要通过重新设计商业流程获得更高的商业价值。随着世界银行业的发展,越来越需要各个层面上更加专业的知识,银行业务的不断创新使得银行光靠自身的研究开发已不足以在竞争中取胜,于是很多银行,尤其是中小银行将研发环节外包给专门的研发中心,即知识处理外包(KPO)。高校和科研机构籍以发挥自身优势,为银行提供知识处理外包服务。 (二)外包服务商身份转变 随着外包内容由信息技术外包(ITO)到业务流程外包(BPO),最后趋于知识处理外包(KPO),外包服务商的地位不断变化,银行与外包服务商的关系由传统的服务提供者向发包机构的战略伙伴转变。具体体现
网络与信息安全事件应急预案 为保证我局信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合实际,特制定本应急预案。 一、总则 (一)工作目标 保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全,其中重点维护网络系统、国土资源业务系统、基础数据库服务器及国土资源网站的安全。 (二)编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。 (三)基本原则 1、预防为主。根据《计算机信息安全管理规定》的要求,建立、健全国土资源计算机信息安全管理制度,有效预防网络与信息安全事故的发生。 2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急
处置工作。 3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。 (四)适用范围 本预案适用于局属各单位、机关各股室。 二、组织体系 成立网络与信息安全领导组,为我局网络与信息安全应急处置的组织协调机构。 1.局网络与信息安全应急领导组组长由局长赵学崇同志担任,成员由各股室负责人及相关人员组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。2.网络与信息安全应急领导组下设办公室。办公室主任由纪检组长郭占明同志担任。 职责: (1)负责和处理局应急领导小组的日常工作,检查督促局应急领导组决定事项的落实。 (2)负责局网络与信息安全应急预案的管理,指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
银行突发事件应急处置预案 一、营业大厅营业期间遇歹徒抢劫应急预案 (一)营业期间歹徒持枪劫持人质抢劫应急预案。 1、柜面营业员应沉着冷静与其周旋,互相配合拖延时间,尽量分散歹徒注意力,并示意其他员工立即向110报警。 2、大堂服务人员或保安员伺机疏散其他客户,关闭营业厅大门,等待公安人员到场。 3、迅速将现金放入保险柜,确保资金不受损失。 4、现场员工应劝导被劫持人员保持冷静,不要乱哭乱喊,以免激怒歹徒。 5、现场员工在公安干警到达前不要轻易行动,要不停地与歹徒说话,消除对方的紧张心理,尽量不要激怒歹徒,必要时可少量多次地按歹徒要求给予一定的现金,尽量拖延时间,以保护人质安全为主,我方人员不可随意出击,以免造成人质或其他人员人身伤害。 (二)营业期间歹徒利用催泪弹或施放毒气抢劫应急预案。 1、柜台营业员发现营业大厅或柜台上有不明气体的或雾状的现象很可能是迷魂类的毒剂,应立即报警。 2、柜台营业员办理业务时如发现客户办理业务时手中
所拿物品不是纸张类应提高警惕,立即借故离开柜台,伺机观察,视情况而报警。 3、如营业室内有气体、烟雾等要立即用湿毛巾护住嘴鼻,迅速转移到其它房间,用手机立即报警。 (三)当歹徒用炸药等爆炸物品实施抢劫应急预案。 1、迅速按下110报警器,这时不要按惊吓式报警器,以防激怒犯罪分子。 2、耐心说服教育,要严密观察歹徒的情况、临柜人员拿好自卫工具。 3、尽量周旋拖延时间,等候公安机关救助。 4、当发现有炸药包放在柜台上时,看到冒烟,应迅速按下110报警器后,全体员工迅速卧倒。 5、当歹徒身上绑着炸药时,应立即按下110报警器报警,要注意观察歹徒的动作,是否准备拉导火索,当发现有冒烟的情况,应立即就地卧倒。 (四)营业期间发生歹徒挟持客户取款应急预案。 1、柜面营业员应沉着冷静与其周旋,互相配合拖延时间,尽量分散歹徒注意力,并示意其他员工立即向110报警。 2、大堂服务人员或保安员伺机疏散其他客户。 3、迅速将现金打散放入保险柜,确保资金不受损失。 4、现场员工应劝导被劫持人员保持冷静,不要乱哭乱
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
银行,外包管理制度 篇一:XX银行服务外包管理办法 XX银行业务外包实施办法(试行) 第一章总则 第一条为进一步推动全行经营管理转型和创新,调整优化用工方式和用工结构,建立和完善业务外包管理体系,根据《XX银行股份有限公司外包风险管理政策》和外包有关工作要求,制订本办法。 第二条本办法所称业务外包,是指本行将原本由自身负责处理的某些业务活动委托给服务供应商进行业务处理的行为,该业务活动涵盖与对外服务密切相关的各种业务活动。 本办法中的外包人员,是指服务供应商为完成本行委托的业务活动而派出的专业人员。 第三条本行业务外包范围应遵循法律及监管部门有关规定。经过风险评估后,一般可以将IT、后台营运、后勤服务、大堂引导、客户服务等非核心管理工作或其他专项工作予以外包。战略管理、核心管理、内部审计以及监管明确禁止外包的业务或职能严禁外包。
第四条业务外包实施的原则: (一)质量效益原则。实施业务外包要确保服务质量和管理效率。 (二)风险可控原则。实施业务外包要符合监管部门规定,风险可控。 (三)规范实施原则。外包使用单位应结合经营管理实际,认真梳理工作职责,按照规定流程实施业务外包。 (四)统筹管理原则。外包使用单位要从人员编制、用工结构、财务管理及风险控制的角度,统筹考虑业务外包实施效果,将业务外包纳入本单位工作统一规划管理。 第五条业务外包的分类。 (一)简单业务外包。指外包使用单位经风险评估后,将后勤服务、行政助理等简单岗位上的相关业务职能外包。(二)专项业务外包。指外包使用单位经风险评估后,将诸如IT、后台营运、大堂引导、客户服务或其他专项工作等专业性较强的非核心岗位上的相关业务职能外包。 第六条本办法适用于各省分行、直属分行、总行各部门。第二章职责分工 第七条外包使用单位。根据经营管理需要,负责实施外包活动的日常管理,包括合同执行、对外包人员的日常监督指导等,是业务外包管理的第一责任人。 第八条业务归口管理部门。总行业务归口管理部门和分
计算机信息系统事故处理应急预案
1目的 为妥善应对和处置XXXX股份有限公司计算机信息系统突发事件,保障XXXX股份有限公司业务的的正常运行,根据《中华人民共和国 计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合公司实际情况,特制定本应急预案。 目的在于维护XXXX股份有限公司信息系统正常运行,进一步完善信息系统管理机制,提高突发事件的应急处置能力。 2适用范围 适用对象:XXXX技术部 业务范围:适用于预防及处置计算机信息系统突发事件。 3职责及权限
4应急措施与工作程序 4.1应急措施 一、公司网站、网页出现非法言论事件紧急处置措施 1. 公司行政人员负责查看公司网页信息,发现在网页上出现非法信息时,应立即向领导小组办公室负责人报告;情况紧急的,在保留原始信息后,应先采取删除等处理措施,再按程序报告。 2. 信息安全技术人员应在接到报告后首先做好必要记录,清理非法信息,妥善保存有关记录及日志,强化安全防范措施,并将网站网页重新投入使用。 3. 追查非法信息来源,并将有关情况向领导小组负责人汇报。 4. 领导小组办公室负责人按照事态严重程度,决定是否并向政府信息化主管部门报告和公安部门报警。 二、黑客攻击事件紧急处置措施 1. 恢复还没有得到或破坏机密数据的被入侵系统 (1)、先对系统当前状态做一个备份,用来做事后分析和证据,然后使用IP追捕软件来反向追踪攻击者,再断开与他的网络连接,通过添加防火墙规则来阻止。
(2)、修改数据库管理员帐号名称和登录密码,重新为操作数据的用户建立新的帐户和密码,并且修改数据库的访问规则。 2. 恢复已经得到或删除了机密数据的被入侵系统 发现系统已经被入侵时,攻击者已经得到或删除了系统中全部或部分的机密数据,应尽快断开与攻击源的网络连接。 断开与攻击源的连接后,应当立即分析数据损失的范围和严重程度,了解哪些数据还没有被影响到,并立即将这些没有影响到的数据进行备份或隔离保护。 3. 领导小组办公室负责人按照事态严重程度,决定是否并向政府信息化主管部门报告和公安部门报警。 三、病毒事件紧急处置措施 1. 当信息安全技术人员发现有计算机被感染上病毒后,应立即将该机与网络隔离。如果短时间内无法处理完成,需要启动备用设备。 2. 信息安全技术人员对该计算机进行数据备份。 3. 启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他该网络中的计算机进行病毒扫描和清除工作。 4. 如果现行反病毒软件无法清除该病毒,应立即向领导小组负责人报告,并迅速联系有解决能力的软件厂商研究解决。
银行营业场所应急处置预案 一、组织指挥 营业场所的负责人是处置突发事件的现场指挥者,实施现场指挥;各岗位临柜人员为现场战斗员,按各自分工根据实际情况进行合理处置。 二、案情假设及处置 (一)当歹徒持枪、械或爆炸物实施抢劫时 (二)当发生歹徒抢劫客户资金时 (三)当歹徒实施冒领或其他诈骗行为时 (四)当营业场所内发生争吵、纠纷或聚众闹事时 (五)运钞车在营业场所装卸款箱发生抢劫时 (六)营业场所发生火灾时 (七)营业网点遇盗窃时的应急方案 (八)营业场所发生挤兑应急预案 一)当歹徒持枪、械或爆炸物实施抢劫时 1)第一位发现歹徒抢劫的员工应迅速向其他临柜人员发出
遇抢劫信号,同时拨打电话向公安部门和本行保卫部门报警。(2)靠近边门的临柜人员,立即查看边门是否锁定,并关闭钱箱将钥匙隐藏于隐蔽处,同时持自卫器材(狼牙棒或灭火枪)守护在边门处做好与歹徒搏斗准备。 (3)第三人应立即按响防抢报警器或按下与公安机关联网的“110 ”报警按纽,并关闭钱箱将钥匙隐藏于隐蔽处,同时持自卫器材做好搏斗准备。 (二)当发生歹徒抢劫客户资金时 1.柜台内人员应大声呼唤,提醒周围的其他客户,以便使他们能够及时采取措施做好自我保护,同时按下防抢报警器和“ 110 ”报警器按纽,并拨打电话向公安部门和本行保卫部门报警。 2.靠近边门的临柜人员迅速检查边门是否锁定,确认锁定后关闭钱箱持自卫器材做好应对准备。 3.其他临柜人员关闭钱箱,男员工应持自卫器观察事态发展,做好增援准备。不可盲目轻率地打开边门出外与歹徒搏斗,以免给歹徒以可乘之机。 4.当歹徒逃跑后,应牢记歹徒逃跑的方向以及歹徒的容貌、身高、口音、着装、车型、车牌号等特征,为公安机关侦
银行信息科技IT设备管理制度 为加强某银行信息设备的管理,确保信息设备正常可靠地运转,保证各部门日常工作的顺利开展,特制定本制度。 一、信息设备统一列册登记(固定资产) 各部门的信息设备实行管理和使用两分离的原则,统一由信息中心管理,各个渠道购入的信息设备均应作为固定资产统一列册登记。 二、信息设备范围 信息设备是指各部门日常办公使用的信息设备,包括服务器、网络设备、监控设备、电脑(含主机、显示器及配套外设)、打印机、复印机、传真机、扫描仪等设备。 三、信息设备使用管理 各部门负责人为第一责任人,对本部门计算机及相关设备的硬件管理负总责。 1、各部门人员保护好各自的电脑及其它相关设备(如打印机、复印机、传真机等),认真做好?防尘、防潮、防火、防盗、防故障、防雷击?的?六防?工作。 2、爱护计算机及其相关硬件设备,不得让设备在空闲时,长期处于工作状态,不得人为损坏,不得在设备上堆压重物,避免强光照射设备表面,让其处于通风环境下,下班时检查设备是否关闭电源。 3、养成人走关机的良好习惯,节约用电、节约用纸、节约使用耗材等相关资源。 4、用于个人办公的信息设备,都将直接分配到个人使用和保管。个人都必须对自己领用的设备负责。领用(退回)任何设备时,都必须认真清点并签收(签退)。 5、直接分配到各部门的专有设备(服务器、网络设备、电脑、打印机、复印机、传真机等),各部门都必须对本部门使用的专有信息设备负责,日常管理工作由指定的人员(或内勤)负责。 6、各人原则上只能使用自己分配的计算机。非必要时,不能将机器交由他人操作(特别是非本行人员)。未经当事人同意,不能擅自在他人的计算机上进
xx银行外包服务管理 应急预案
序言 为确保xx银行各业务系统持续、稳定运行,加强外包管理,预防因外包管理的原因造成业务系统服务中断或外包协议的意外终止,并将外包风险可能造成的损失控制在最小范围内,特制定本预案 依据文件 依据《商业银行信息科技风险管理指引》以及《商业银行外包风险管理指引》(征求意见稿)等监管要求制定本预案。 使用范围 本预案适用于外包服务商在服务中可能出现的重大缺失,尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止时应急管理。 修订记录
目录 第一章外包管理监管要求...................................................错误!未定义书签。第二章应急组织及职责.......................................................错误!未定义书签。 应急组织架构 .............................................................. 错误!未定义书签。 职责与权限 .................................................................. 错误!未定义书签。 应急组织成员联系方式 .............................................. 错误!未定义书签。第三章应急管理流程 ..........................................................错误!未定义书签。 启动条件 ...................................................................... 错误!未定义书签。 应急处理流程 .............................................................. 错误!未定义书签。第四章预案演练和更新.......................................................错误!未定义书签。第五章参考文件..................................................................错误!未定义书签。
网络及信息系统应急预案 为进一步加强网络和信息系统安全管理工作,科学应对网络与信息系统突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,特制定本应急预案。 一、总则 (一)、基本原则:明确责任、分级负责。按照“谁主管谁负责”的原则,建立和完善责任制度、协调管理机制和联动工作机制。根据部门职能,各司其职,落实到人,加强部门间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 (二)、适用范围:本预案适用于我校网络与信息系统故障的应急响应工作。 二、日常准备工作 (一)、软资源备用:对重要信息资源需要有足够备份,并将备份存放于攻击和灾害不能及的地方。 (二)、电源备用:配置不间断UPS电源。不间断电源可在断电后维持工作3小时以上。 (三)、对于学校网络核心区域(中心机房)装有防火墙及安全审计设备。 三、应急处理流程 负责人在监控过程中发现或收到其他部门反馈不能正常使用办
公网络或业务应用系统等故障事件,负责人立即行动,初步查明原因(电力、服务器、存储、网络、应用系统软件等),并向科室、部门相关领导汇报。 部门领导在听取情况汇报后,根据事件的范围、影响和紧急程度启动相应的专题预案。如果没有相应的专题预案,要根据情况迅速采取措施抑制事件的扩散,恢复系统运行。 负责人尽快通过OA、电话、短信平台等方式向各科室下发通知。各部门(科室)要做好信息系统出现故障后的应急安排,尽力减小对学校正常办公的影响。 负责人进一步落实故障原因,根据事件的范围、影响程度,采取应急措施,尽快恢复系统运行。 负责人在对系统完成修复后,在完成测试的基础上,经请示相关领导进行系统的启用,同时通过OA电话等向各部门发布恢复公告。 四、事件分类 事件类型按照各种突发紧急事件的影响范围,将网络与信息系统事件分成全局事件(学校核心网络、信息系统因电力、软硬件等故障原因,导致全校网络及信息系统无法正常工作)和区域事件(局部范围内的业务工作无法正常进行)。 五、全局事件处理 (一)、学校核心信息系统的外部电力中断、UPS故障等导致的大面积停电事件处理流程:
银行网点服务应急预案(总7 页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
中国银行业营业网点服务突发事件应急处理预案示范文本 第一条为维护中国银行业金融机构营业网点正常经营秩序,保护客户的合法权益,预防或减少银行业服务突发事件带来的危害,根据《中国银行业营业网点服务突发事件应急处理工作指引》,制定《中国银行业营业网点服务突发事件应急处理预案示范文本》(以下简称本预案)。 第二条服务突发事件分类 (一)特大服务突发事件(Ⅰ级) 1、营业网点挤兑; 2、多个营业网点受自然灾害破坏; 3、多个营业网点业务系统故障; (二)重大服务突发事件(Ⅱ级) 1、单个营业网点业务系统故障; 2、抢劫客户财产; 3、单个营业网点受自然灾害破坏; (三)较大服务突发事件(Ⅲ级) 1、客户突发疾病; 2、客户人身伤害; 3、寻衅滋事; 4、营业网点客流激增; 5、不合理占用银行服务资源; 6、重大失实信息传播; 7、其他影响营业网点正常服务的事件。 第三条营业网点发生服务突发事件,应立即按程序报告系统内上级服务突发事件应急处理办事机构,报告内容主要包括:事件发生的地点、时
间、原因、性质、涉及金额及人数以及事件造成的主要危害、客户反应、事态发展趋势和采取的应对措施等。 第四条营业网点挤兑应急预案 (一)营业网点发生挤兑事件,营业网点应急处理团队迅速疏导客户,防范客户过激行为,维持营业秩序。 (二)营业网点负责人迅速到达现场,并按程序第一时间向系统内上级服务突发事件应急处理工作办事机构报告。 (三)营业网点应急处理团队及时安抚客户,全力做好解释和宣传,控制事态发展。 (四)系统内上级服务突发事件应急处理工作领导机构迅速研究分析事件情况,视情况,及时启动应急预案,同时根据实际情况向当地监管机构、政府职能部门、银行业协会报告。 (五)系统内上级机构接到营业网点发生挤兑事件的报告后,立即调动安全保卫人员赶赴现场,并请求协调当地公安部门维持秩序,防止事态扩大。 (六)系统内上级机构根据应急预案,迅速调运内部资金,确保头寸充足,必要时,向当地人民银行汇报,紧急调拨充足现金,保证正常兑付。 (七)根据事态进展情况,系统内上级服务突发事件应急处理工作领导机构及时进行相关信息披露,消除社会影响。 (八)如事态范围进一步扩大,系统内上级服务突发事件应急处理领导机构请求当地监管机构、政府职能部门共同采取联动措施,统一协调应急处理工作。 第五条营业网点业务系统故障应急预案 (一)营业网点发生业务系统故障,造成系统停机、运行中断等情况,营业网点应急处理团队及时告知客户,做好客户解释安抚,维持营业秩序,同时检查了解网点供电、设备运行、网络运行等情况。 (二)营业网点负责人第一时间报告系统内上级服务突发事件应急处理工作办事机构。系统内上级服务突发事件应急处理领导机构研究分析业务系统故障情况,视情况启动应急预案,组织开展应急处理工作。 (三)系统内上级信息技术管理部门协助营业网点共同针对故障情况,采取相关措施进行处置,尽快恢复系统正常运行。
关于铁岭新星村镇银行 信息科技内部审计的整改报告 内审合规部于1-2月份对我部门的信息科技相关情况进行了内部审计,审计中发现了一些问题,我部高度重视,认真整改,现将整改情况汇报如下: 一、加强信息技术内控制度的建设 加强与外包行兴业银行的互动,建立本行与兴业银行的良性运行机制,积极参与到兴业银行的相关内部控制流程来,做到托管行和外包行之间的相互牵制和协调。 加强本行内部控制制度的建设,贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求,履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行。 建立健全良好的控制环境,控制环境是村镇银行信息科技的风险基调;做好各项信息系统的风险评估;进一步做好信息科技的不相容职责相分离、相关业务流程的授权审批制度、信息安全管理等控制活动;加强信息系统建设,信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。我行应加强与外包银行、监管机构、高级管理层、股东以及治理层之间的信息
沟通;做到对信息科技内部控制的持续监控。 二、提高系统维护运行效率 进一步加强与承包方的沟通管理,沟通管理是企业组织的生命线。管理的过程,也就是沟通的过程。企业是个有生命的有机体,而沟通则是机体内的血管,通过流动来给组织系统提供养分,实现机体的良性循环。沟通管理是企业管理的核心内容和实质。 我行应采用书面与口头沟通相结合的沟通制度,例如,提交运维申请单书面文件后,相关人员应及时电话通知兴业相关运行维护人员。采用正式沟通和非正式沟通向结合的沟通方法,正式沟通是通过明文规定的渠道进行信息传递的交流方式,非正式沟通不仅可以获得信息,也是建立信任和关系的沟通。 强化运维体系建设,提升系统服务水平。要进一步完善运维管理流程,健全运维管理制度和标准,确保配置足够的人力、物力、财力来维持安全、稳定的信息科技环境,提升信息科技运维保障能力。在高度上做好管理流程整合,在深度上做好业务流程分解,强化事件分级制度,建立起一个有效的事件分级及响应机制,加强对业务连续性的管理,保障金融服务持续稳定。 三、加强员工的信息科技安全知识培训 进一步提高信息科技人员履职能力。采取有效方式和途
银行法律事务外包 管理办法
附件: XX银行法律事务外包管理办法 第一章总则 第一条为进一步完善和规范本行法律事务外包管理机制,充分发挥法律事务外包工作对本行法律事务的专业性和提升工作效率的积极作用,有效控制和防范法律风险,保障本行业务经营健康、安全、稳健发展,根据本行有关规定及职能划分,制定本办法。 第二条本办法所称法律事务外包是指将本行法律事务委托具有专业资质的律师事务所和律师进行处理的管理活动。 本办法所称法律事务外包管理是指规范聘用条件、律师准入、聘用程序、跟踪评价等开展法律事务外包的全过程。 第三条本行以下法律事务能够采取外包方式进行处理: (一)诉讼代理; (二)合同法律审查; (三)商务法律谈判; (四)法律尽职调查; (五)其它需要委托专业律师处理的法律事务。 第四条本行法律事务外包形式分为常年法律顾问和专项律师服务。 常年法律顾问是本行聘用的在一定期限内连续为本行处理日
常法律事务的专业律师;专项律师是本行聘用的专为处理特定法律事务的律师。 第五条本行法律事务外包遵循以下原则: (一)集中管理原则,即本行法律事务外包集中由各级法律事务管理部门归口管理。 (二)专业优势原则,即根据法律事务的内容和特点聘用具有相应专业优势的律师。 (三)择优汰劣原则,即经过法律事务外包的核准管理、跟踪评价,对律师和律师事务所进行筛选清退。 第二章法律事务外包管理部门及其职责 第六条本行资产保全部是全行法律事务外包的归口管理部门,承担以下法律事务外包管理职责: (一)负责制定和持续完善本行法律事务外包管理制度和程序,并组织、指导和督促法律事务外包管理制度和程序的执行与落实; (二)负责对全行法律事务外包管理情况进行检查监督,并负责按照本行管理要求报告全行法律事务外包管理整体状况; (三)负责按照规定对全行法律事务外包事务的管理工作; (四)根据监管规章及本行政策制度规定应当履行的其它职责。 第七条各分支机构承担以下法律事务外包管理职责: (一)负责严格执行、细化落实本行法律事务外包管理制