📍<b>业务合规与风险管理</b>
业务需求相关的合规与风险控制要求在项目/系统开发建设阶段的有效实现;
承载业务的系统、数据在业务上线后的有关合规与风险控制的实际表现。
<b>✍合规与风险管理工作</b>
合规管理工作<br>
公司牵头,部门重点配合的合规管理工作
部门牵头的典型合规管理工作有防范违规接入、终端信息规范管理等。
风险管理工作<br>
安全与运行风险
信息安全与访问控制
物理访问
职责分离、用户账号管理、密码管理、用户账号定期审阅、超级用户账号管理、超级用户操作日志管理
存储介质管理
信息系统运行与操作管理
内部员工及关键供应商数据风险、服务器操作系统版本老旧风险、安全支持人员不匹配风险、移动办公套件安全风险、数据在不同环境间复制风险、研发过程漏洞修复周期过长风险、其他部门自建系统风险
硬件及基础设施监控
定期数据清理、系统检视和压力测试、软硬件及通讯故障
备份管理、异地备份
备份介质管理
备份数据和系统的恢复性测试
业务连续性管理、故障报告、问题管理、应急事件处理、应急预案更新
机房管理
客户投诉
关键岗位人员流失
开发与变更风险
信息系统开发
信息系统开发的战略规划
信息系统开发方法论
信息系统开发需求分析
信息系统开发立项、信息系统开发项目计划、信息系统开发跟踪、信息系统上线
信息系统开发代码检查
信息系统开发文档管理
信息系统测试
数据移植
信息系统外包商评价、信息系统外包商考核、信息系统外包管理
信息系统变更
信息系统变更申请、审批流程、 信息系统变更上线迁移
信息系统变更测试流程
配置变更
运营与监管风险
运营支持<br>
信息安全
应急演练
网点PC及网络管理
IT采购管理
信息技术监管
项目合规与风险管理策略
分层管理
项目合规负责制
项目经理是项目合规的第一责任人
项目合规的工作任务分解/督促;
确保业务功能、合规点、监测功能根据需求正确设计与实现;
按排期完成,按时上线;
对项目整体的合规承担管理责任。
项目组成员按项目分工承担各自负责范围内的合规履职责任
方法论
全面推进敏捷开发实践,推进研发流程数字化。
通过研发效率、过程质量、结果质量、客户满意度、交付周期、项目执行偏差6个维度的指标,反映项目运行过程中的问题和对项目的评价。
将安全工具和控制措施与研发过程充分结合,从需求到版本上线,实现端到端的DevSecOps工具链。
持续检查信息系统开发领域风险控制措施的满足情况,就措施的完善进行反馈建议,并参与年度RCSA风险控制措施执行有效性的自评,制定验证执行有效性的程序,提供数据样本。
代码管理
所有的代码提交必须与需求关联
保证源码一致性和可追溯性
加强代码评审
保证代码在质量、性能等方面符合规范要求
加强软件安全性管控
通过合同商务条款约束开发供应商所提供的产品不得含有恶意代码或未授权的连接功能(软件后门),不得存在违反国家法律法规的操作模块、功能和手段等。
通过代码扫描工具,对合作开发代码及自有代码中的安全漏洞、隐患进行扫描并通知修复。
外购软件上线前由安全管理员进行安全检查。
文档管理
妥善保存系统涉及需求、立项、开发、测试、上线、变更及运维过程中与合规风控相关的文档,建立必要的留痕机制,确保满足问题追溯和审计需要。
项目合规与风险管理流程
IT需求阶段
需求应满足业务合规的要求,符合公司风险管理政策
需求应通过合规与风险的专业评价
需求提出部门应提供合格规范的业务合规要点和风险点控制要求,作为业务需求的组成部分,并且同时应提出与需求中业务系统/功能相关的风险管理监测功能/系统的建设需求。<br>
需求提出方对需求负责
对需求的业务合规性及业务活动、流程设计中可能存在的风险负责,并负责对相关风险点进行监测与跟进处理。
项目立项阶段
技术合规与风险的评审
信息安全防护措施:信息系统安全、数据安全
业务连续性:信息系统备份及运维管理能力
对上下游系统的影响
项目对业务合规与风险的响应
项目论证书是否包含了对业务合规、风险控制措施的基本响应
项目是否考虑了系统上线后合规风险点的监测、检查功能
项目开发阶段
项目组成员需明晰业务合规的实现逻辑,按各自专业分工或所负责的具体系统,分别承担各自的合规履职责任。
有关业务合规、风险的控制,以及监测、检查(稽核、审计)功能应在建设方案与设计文档中体现。
确保业务有关合规、风险点的监测、检查功能同步开发。原则上无论自主开发还是外购(定制模块采购、标准化模块采购)系统的开发,均应同时开发业务合规与风险控制相关功能。
项目变更阶段
项目变更对业务合规与风险的影响
检查变更申请是否包含了对业务合规、风险控制措施以及合规风险点监测、检查功能的影响分析及应对方案
技术合规与风险的影响评审
信息安全防护措施:信息系统安全、数据安全
业务连续性:信息系统备份及运维管理能力
对上下游系统的影响
项目测试阶段
业务方和相关部门对业务合规、风险控制、监测等功能的测试结果负责。
项目上线阶段
系统应具备完善的信息安全防护措施
能够保障经营数据和客户信息的安全、完整
应具备符合要求的信息系统备份及运维管理能力
能够保障相关系统安全、平稳运行
项目结项阶段
项目对技术合规与风险的实际满足情况评审
信息安全防护措施:信息系统安全、数据安全
业务连续性:信息系统备份及运维管理能力
对上下游系统的影响
项目对业务合规与风险的实际满足情况评审
对业务合规风险点以及相关监测、检查功能在系统测试阶段和系统上线后的运行情况分析
生产运行阶段
项目交付转生产运行并不意味着项目组合规履职的结束,对于未有效履行合规职责的项目成员,部门可追究其责任。
项目交付转生产运行后,项目组主要成员应继续保持对系统、数据有关技术与业务合规表现的关注、敏感性,及时解决合规问题及隐患。
项目交付转生产运行后,项目组主要成员应持续关注业务规则变化、关联业务的逻辑变化、关联上下游系统的变化对项目合规可能带来的影响,并做及时有效的应对。
