ITIL 4官方核心著作
由 superadmin 于 2025/01/13, 19:47 最后修改
复制
导出
打印预览
查看源代码
子项
内容
评论
附件 (1)
历史记录
信息
Summary
Details
-
Page properties
-
- Content
-
... ... @@ -2,20 +2,32 @@ 2 2 [[image:1736324246253.png]] 3 3 4 4 5 - 这家金融机构的“重要信息系统变更及投产管理办法”吧!这可是个大招,里面把他们做系统更新和上线的每一步都讲得清清楚楚。这办法的目的是啥呢?就是要把风险降到最低,保证系统稳稳地运行,还得符合那些监管机构的规定。首先,这办法适用于他们所有重要的系统更新和上线活动。啥叫重要系统呢?就是那些支撑关键业务,关系到大家权益,甚至国家安全的系统,比如业务处理、渠道、管理类的系统,还有机房和网络这些基础设施。5 +某金融机构所制定的重要信息系统变更及投产管理办法,详尽阐述了该机构在执行重要信息系统变更与投产过程中的管理流程、各角色职责、风险评估、控制措施以及报告要求。该办法的核心目的在于防范和控制重要信息系统变更及投产过程中的潜在风险,确保系统安全稳定运行,同时满足监管机构的相关规定。办法明确了其适用范围,覆盖了该金融机构所有重要信息系统的变更与投产活动。重要信息系统被定义为那些支撑关键业务、涉及公民、法人及其他组织权益、社会秩序、公共利益乃至国家安全的信息系统。 6 6 7 7 8 - 再来说说角色和职责,这办法里头可是把每个部门的活儿都分得明明白白的。信息科技委员会得负责指导和监督,信息科技部得搞定技术管理,业务部门得配合,风险管理部得评估风险,审计部得做审计,项目组得协调各部门。说到风险评估,这可是个大头,风险管理部得牵头,识别风险,形成报告。要是需要,还可以请外部专家来帮忙评估。8 +这些系统包括业务处理类、渠道类、管理类信息系统,以及支撑系统运行的机房和网络等基础设施。在角色与职责方面,办法对信息科技委员会/高级管理层、信息科技部、业务部门、风险管理部、审计部以及项目组的具体职责进行了详细规定。信息科技委员会负责指导和监督信息科技部建立完善的重要信息系统投产变更制度,并统筹安排年度重大投产变更活动。信息科技部承担技术管理工作,保障资源投入,制定相关规则和管理制度。业务部门负责开展业务影响分析,配合投产及变更工作。风险管理部负责风险评估、监测和控制,制定应急预案。审计部负责审计工作,提出整改意见。项目组则负责协调各部门开展投产及变更工作,制定实施计划和方案,组织测试和验收等。风险评估作为办法中的关键内容之一,风险管理部作为牵头部门,负责识别、分析和评估重要信息系统投产及变更的风险,形成风险评估报告。 9 9 10 10 11 -控制措施 方面,办法要求得统一组织,制定计划,明确岗位职责,避开高峰期,提前通知客户,建立测试体系,确保系统稳定。还得有版本管理、数据管理、应急预案和回退计划,监督和复核也不能少。11 +在采取有效信息安全控制措施的前提下,可委托外部专业机构进行安全测评和风险评估。 12 12 13 13 14 - 报告要求呢?得提前至少20个工作日向监管机构报告,包括系统信息、安全策略、基础设施信息等等。上线或变更后1个月内得提交总结报告,包括方案执行情况、效果、问题处理情况和改进措施。要是失败了,还得详细说明原因。14 +董事会或高级管理层需审核重大项目的风险评估报告,信息科技部则需针对发现的薄弱环节制定整改方案并落实整改措施。投产及变更控制方面,办法要求统一组织协调重要信息系统投产及变更工作,制定年度规则和实施计划,明确岗位职责。 15 15 16 16 17 - 最后,这办法还引用了好多监管文件,比如《商业银行信息科技风险管理指引》等等,总之,这个办法就是给金融机构的系统更新和上线活动提供了一套完整的操作手册,明确了各部门的职责,强调了风险评估和控制的重要性,还规定了严格的报告流程,确保业务连续性和安全。17 +应进行安全审查,采取风险控制措施,建立评审和审批、授权机制。投产及变更应合理避开业务高峰期和敏感时段,并提前告知客户可能的影响。 18 18 19 19 20 +应建立完整的测试体系和与生产环境隔离的测试环境,确保系统上线后的正常稳定运行。 20 20 22 + 23 +此外,应建立完善的版本管理制度和数据管理与质量控制措施,制定应急预案和系统回退计划,并在实施过程中加强监督与复核。 24 + 25 + 26 +报告要求方面,办法规定应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向监管机构报告相关事项,包括总体说明、系统基本信息、安全策略和措施、基础设施信息、外包情况、投产及变更方案、风险评估报告和应急预案等。投产及变更实施后1个月内需提交总结报告材料,内容包括方案执行情况、效果、问题处理情况及后续改进措施等。如投产及变更失败,需详细说明原因。办法还引用了《商业银行信息科技风险管理指引》《银行业金融机构重要信息系统投产及变更管理办法》《商业银行数据中心监管指引》等监管文件,并涉及《信息科技变更管理办法》《信息科技发布和部署管理办法》《重要信息系统变更及投产流程》等相关文件。 27 + 28 + 29 +该金融机构的重要信息系统变更及投产管理办法为确保信息系统变更及投产的安全性和稳定性提供了详尽的指导和规范,明确了各部门的职责和要求,强调了风险评估和控制的重要性,并规定了严格的报告流程,以满足监管要求和保障业务的连续性和安全性。 30 + 31 + 32 + 21 21 [[IT运维管理:ITIL先锋论坛-重要IT系统变更及投产管理办法(某金融机构).pdf>>url:https://itil-foundation.cn/forum.php?mod=attachment&aid=NDU5MTd8MDY4M2YwMGR8MTczNjMyMzg0MHwyMDY2M3wzNjQ0MzU=]]