银行信息科技风险评估操作规程模版

　农商行联合社

　信息科技风险评估操作规程

　 第一章

　总则

　第一条

　为规范农商行联合社（以下简称“省联社”）科技信息中心信息科技风险评估工作，依据国家有关法律法规以及中国银行业监督管理委员会有关规定等，制定本操作规程。

　第二条

　本操作规程所指的信息科技风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

　第三条

　本操作规程适用范围为省联社。

　第二章

　组织职责

　第四条

　省联社科技信息中心（以下简称“科技信息中心”）在省联社统一的信息科技风险管理策略的指导下组织实施信息科技风险评估工作。

　第五条

　科技信息中心各部门根据工作需要牵头组织开展相关风险评估工作，并根据风险评估结果完成改

　进工作。科技信息中心安全部门负责对风险评估改进措施执行情况进行监督。

　第六条

　风险评估涉及到的科技信息中心内部其它相关部门应参与制定风险评估计划及评估方案，配合实施风险评估工作。

　第三章

　风险评估方式和内容

　第七条

　风险评估包括自评估和第三方评估。

　第八条

　自评估工作主要以省联社内部人员为主，从系统、网络、开发、运维、安全管理等方面选择骨干人员参与。参与风险评估人员应严格遵守省联社保密管理规定，对接触到的敏感信息、漏洞情况等严格保密。

　第九条

　第三方评估是指在符合法律、法规和监管要求的情况下，引入具备相应资质的第三方评估机构进行风险评估。

　第十条

　委托第三方进行风险评估时，应在与之签订的协议中明确保密要求。

　第十一条

　 实际工作中应根据需要合理选择评估方式。风险评估服务与系统建设不能采用同一厂家。

　第十二条

　 应按照监管部门要求和实际工作需要合理安排评估工作，包含但不限于：

　（一）全面信息科技风险评估；

　（二）外包风险评估，包括全面外包风险管理评估、重要外包商风险评估等；

　（三）重要信息系统投产变更专项评估；

　（四）根据工作需要对特定网络和信息系统进行专项评估。

　第四章

　风险评估项目实施步骤

　 第十三条

　 项目风险评估分为六个阶段，分别是：项目计划及评估方案制定阶段，评估计划及评估方案审批阶段，风险评估实施阶段，风险评估报告验收阶段，风险处置阶段和评估总结阶段。

　第十四条

　 项目计划及评估方案制定阶段。为保证风险评估的实施质量，降低给评估对象带来的安全风险，风险评估牵头部门应与其它相关部门共同制定评估项目的详细计划和评估方案。

　第十五条

　 评估计划至少明确：目的、评估对象、评估内容、工作整体进度安排、资金安排、评估项目组人员安排和相关部门职责分工等。

　第十六条

　 评估方案至少包括：目的、评估对象、评估所依据的标准、具体评估要点及对应评估方法描述、采用的技术手段、各评估要点实施人员、被评估对象责任人配合要求、工作进度、对评估对象的影响分析及风险规避措施、保密要求等。

　第十七 条

　评估计划及评估方案审批阶段。为确保评估计划的可行性、评估方案的科学性和安全性，在实

　施之前，均应报省联社分管领导审批，审批通过方可开展评估工作。

　第十八条

　 风险评估实施阶段。在评估计划和评估方案审批通过后，由风险评估牵头部门组织实施相关方案。

　第十九条

　 评估过程应有完备的文档记录，至少包括实施经过、原始数据、评估结果等。

　第二十条

　 风险评估报告验收阶段。风险评估完成后，应形成本项目完整的风险评估报告。风险评估报告至少包括以下内容：

　（一）风险评估的目的、被评估对象和评估范围、评估内容；

　（二）风险评估的组织形式、标准依据、实施方案、时间安排；

　 （三）被评估对象的管理现状、已有安全措施；

　 （四）被评估对象资产价值、面临的威胁、存在的脆弱点、风险描述及分布；

　 （五）安全风险处置及改进建议。

　第二十一条

　 风险评估牵头部门组织评估报告评审会，对评估结论的准确性、评估目标的达成情况以及改进建议的合理性进行审核。

　第二十二条

　 向省联社分管领导提交风险评估报告并汇报风险实际情况及改进建议，审批通过后启动风险处置阶段的工作。

　第二十三条

　 经审批确认后的风险评估过程文档、评估报告作为风险评估资料进行保存、备案。

　第二十四条

　风险处置阶段。

　针对评估所发现的安全风险及改进意见，按照高风险优先处置的原则，结合已有安全措施，制定风险处置计划、改进方案并实施。

　第二十五条

　 根据安全性和经济性平衡原则，并考虑现有技术、人员等条件限制，确定可以改进的风险要点。

　第二十六条

　 制定改进工作计划，明确工作目标、任务描述、任务分解，明确相关部门职责和具体责任人、时间安排、项目风险及规避措施。

　第二十七条

　 处置计划、改进方案应报省联社分管领导审批,核准下达后，相关部门负责按规定时限予以实施。

　第二十八条

　 评估总结阶段。风险处置工作完成后，进行改进工作有效性评估，找出残余风险，确定所需要的安全管理措施，并监督执行。

　第五章

　附则

　第二十九条

　 本操作规程由农商行联合社负责解释。

　第三十条

　 本操作规程自下发之日起施行。