科技信息管理办法

2024-08-04

科技信息管理办法（精选8篇）

1.科技信息管理办法篇一

信息科技应急管理自查报告

根据银监部门关于信息科技应急管理工作要求，我部就机房管理、ATM等电子银行业务应急管理工作进行了自查，现将自查情况报告如下：

一、自查情况

2012年，根据信息科技应急管理工作实际，本着坚持“积极防御、综合防范”的方针，建立健全信息系统安全事故应急处置策略和分级实施的应急预案体系；建立分级管理、分级负责、条块结合的应急管理机制；建立统一指挥、反应灵敏、协调有序、运转高效的应急协调机制；健全专业化和社会化相结合的应急保障体系，实现对信息系统安全事故全方位的、实用的、快捷的应急处置，保障基础设施和重要信息系统的安全运行。县联社针对计算机信息系统可能发生的各种信息系统安全事故或灾害，为确保能够在第一时间内做出快速反应并采取有效的应对措施，及时恢复网络和系统运行，制定并下发《习水县农村信用合作联社信息系统应急保障预案》（习农信发〔2012〕185号）。成立了由理事长任组长、经营班子负责人任副组长、班子其它成员以及由联社机关各职能部门负责人为成员的联社信息化安全领导小组，领导小组下设办公室在联社科技部门，由科技部门负责人兼任办公室主任。方案中还明确了加强预防、快速反应、统一指挥、依法处置的工作原则。明确了电力系统故障、消防系统、计算机信息系统、计算机网络故障、黑客入侵、病毒（含恶意软件）攻击以及不可抗力因素引发事故应急处理流程。

2.科技信息管理办法篇二

东南广播电视维护中心 (以下简称东维中心) 主要承担东南地区中央广播电视发射台天线、电力系统安装架设维护大修、应急抢修和工程建设任务。东维中心科技档案是技术人员长期在天馈线系统、电力系统大修、应急抢修、设备更新改造等技术业务工作中所形成的第一手、具有保存价值的技术参考资料, 它们是事业发展历程的真实记录。传统科技档案从收集、分类、整理、立卷再到归档都是采用手工管理方式。但是伴随着科技档案数量越来越多, 纸质档案占用库房空间越来越大, 且容易受到周围环境等不利因素影响, 使得纸张受潮、变脆等, 传统档案手工管理方式已不能满足档案管理应用需求。我们通过采用科技档案信息化管理方式, 实现了从手工管理向信息化、规范化管理方式转变, 为技术人员提供准确、详实的统计数据, 为顺利开展各项技术业务工作储备必要的技术信息资源。

2 科技档案的作用和东维中心的基本状况

2.1 科技档案的重要作用

(1) 工程技术档案是开展大修、抢修施工工程查考的依据

在完成历次天馈线、电力系统维护大修、抢修施工任务时, 会产生大量技术图纸与资料, 科技档案管理人员将其分门别类地整理, 形成一套完整、系统、准确的工程技术档案。这些档案是最原始的档案资料, 一旦需要, 缺一不可。技术人员通过查找科技档案, 可提供重要、准确的备料尺寸等信息, 为技术负责人施工决策提供理论参考依据, 保障顺利完成各项大修、抢修工程的维护任务。

(2) 科技档案为提高维护质量提供参考依据

技术人员通过查找档案, 可借鉴以往历次施工工程总结出的宝贵维护经验, 结合实际施工现场情况, 确定施工维护时间和工作计划, 并为下一次周期性维护大修起到很好的指导作用, 使我们在开展技术业务工作时, 不走或少走弯路, 有效缩短维护工期, 促进施工工程质量不断提高。

(3) 科技档案是设备更新改造重要凭证

科技档案在开展科技创新工作中发挥着重要的作用, 比如原有天线施工工具不能满足业务工作需求, 技术人员通过查找科技档案中的相关图纸资料, 掌握了原有施工工具的原理和构造, 并对其进行更新改造, 从而提高了工作效率和安全性能。

2.2 东维中心科技档案管理的基本状况

按照东维中心技术工作性质和工作职能活动, 东维中心科技档案种类主要包括:工程技术档案、设备仪器档案、基本建设档案等。科技档案很大一部分是工程技术人员长期在广播发射台天馈线系统、电力系统等工程项目维护过程中产生的影像、文字、图片等各种载体技术性文件资料, 主要包括施工设计图纸、施工方案、施工前预备会议纪要、竣工验收报告等, 它是工程技术人员长期积累的维护经验总结, 是完成维护任务时各阶段详细、真实的记录;设备仪器档案是为了满足各技术部门维护大修、抢修需要, 配备的工具、仪器、仪表所随机附带的说明书、鉴定书及设备仪器安装、检修测试记录等;基建档案是单位整体规划及基础设施建设中形成的资料, 包括职工宿舍楼和新建办公大楼的总体结构图、给水施工图、给电施工图等。

2.3 传统档案管理方式存在的问题

(1) 传统档案保存介质, 大都以纸质档案为主, 纸质档案存放在档案库房很容易受到周围环境影响, 比如温、湿度等不利因素, 使得档案受潮、霉变, 纸张变脆, 纸张字迹模糊, 直接影响到档案质量。

(2) 传统档案管理是档案管理人员直接对档案实物的管理方式。当借阅人员借阅资料时, 通常是由档案库房比较熟悉的档案管理人员, 依据经验, 凭借手工登记案卷目录、卷内目录, 形成检索条目, 查找到借阅人需要的档案信息, 然后再依据档号从档案库房内取出需要的档案, 这样的查找方法花费时间长, 查找到的档案信息不全面, 工作效率低。

(3) 传统档案在反复查档、借阅过程中, 不可避免存在原件磨损, 影响档案原件的质量和寿命, 甚至还存在在借阅过程中不慎遗失的现象, 这都给档案保管利用工作都带来了极大困扰。

(4) 传统档案管理制约了档案形成的过程, 甚至造成脱节, 有很多档案仍然分布在各个部门, 档案收集、整理过程中容易造成档案归档不及时、不系统、不成套、不准确。

3 档案信息化的实施与优势

3.1 档案信息化的实施

实现档案信息化管理, 必须做好以下几项基础性工作。

3.1.1 档案信息化基础设施建设

要实施单位科技档案信息化, 首先, 需要基础设施支撑才能实现档案信息化, 档案信息化基础设施包括硬件和软件两个方面。

硬件方面就是要配置必要的硬件设备作为档案信息处理设备, 配备高性能、高稳定性计算机及高速、安全、稳定的局域网, 确保在网络环境下计算机能方便对所需档案信息进行录入、查询、检索、统计、利用等。此外, 还需要配备计算机外部设备, 比如扫描仪和打印机等, 配备扫描仪可以使得工程设计图纸以及有关单位签订的维护合同、协议等重要纸质档案, 通过全文扫描到计算机形成电子档案, 方便档案存储与利用;配备打印机是用于打印各类技术报表、资料, 比如打印科技档案案卷目录、卷内目录、备考表等。

软件方面我们采用了东方飞扬档案管理系统软件, 加快了档案管理信息化进程, 该软件的应用, 可对从文件到档案形成全过程的信息进行有效管理。将档案信息录入到档案管理系统数据库中, 一次数据录入, 可多次数据输出利用, 不但提高档案管理工作效率, 而且使得档案管理工作更加规范化、系统化, 并能满足日常技术业务工作中档案查阅利用需求。东方飞扬档案管理系统分为预归档案管理模块、立卷归档模块、档案管理模块、高级管理模块等四个模块, 系统软件结构如图1所示。

(1) 预归档案管理模块

该模块负责对收发文件进行管理, 功能包括对文件进行编号、登记、分发、传借阅、查询、统计等, 以及对各种承办文的传阅单据进行打印。此模块中引入的数据, 是为了参加后续科技档案立卷工作做准备。

(2) 立卷归档模块

该模块负责对具有保存价值的文件进行自动立卷归档, 功能包括档案分类、整理、编目、立卷归档等。档案管理人员先进行立卷选项的设置, 再将预归档库中的数据按一定规则整理编目到指定的案卷库中, 并可以自动生成案卷号、卷内顺序号及档号等。

(3) 档案管理模块

该模块负责档案管理, 功能包括档案录入、查询、检索、利用等功能。在档案案卷级、文件级著录卡片中填写档案相关信息, 即可查询、检索、利用档案信息, 也可自动打印出所著录的档案案卷级、文件级内容。

(4) 高级管理模块

该模块负责档案数据的管理, 功能包括档案数据库整体备份, 数据恢复, 外部系统数据导入、档案管理系统数据导出等。

3.1.2 档案目录信息化

档案目录是记录档案库存内容的有效工具。我们通过应用东方飞扬档案管理系统软件, 建立统一科技档案案卷级、文件级档案模板, 接着录入档案案卷级、文件目录数据库, 通过计算机机读检索档案目录, 各种类型的档案案卷级、文件目录从手工检索向电子检索转变, 很方便通过计算机搜索到需要的档案目录信息, 缩短了技术人员查、借阅档案时间。

3.1.3 档案信息资源建设

配备完善的档案基础设施以及在计算机上实现档案文件目录级检索等, 这并不是真正意义上的信息化, 真正意义上的信息化, 还需要进一步加强档案信息资源建设。档案信息资源主要来源于以下两部分。

(1) 档案信息资源一部分来源于大量电子文档, 它们存在于各个业务系统中, 可以将各个业务系统的数据转入到档案管理系统指定的档案库或文件库, 使之成为电子档案, 比如通过办公OA系统与东方飞扬档案管理系统集成, 通过档案管理系统与办公自动化系统数据归档接口, 将OA系统中的数据转入档案系统数据库中, 使档案在归档时, 即可同步完成电子文件自动立卷、归档、文档挂接等工作, 实现了文件档案一体化管理模式, 极大提高了工作效率。

(2) 档案信息资源另一部分来源于各个技术部门有归档保存价值、重要、利用频繁的纸质档案。首先, 科技档案管理部门需与各技术部门紧密联系、通力合作, 对于重要、有保存价值纸质档案, 需要指定各技术部门专人负责分类收集, 科技档案管理部门再对所有记录、图纸等资料进行归档, 各技术部门在移交科技档案时, 需要履行签字手续;东维中心大修、抢修施工工程档案与各类施工工程测试记录等资料收集归档工作, 要与实际施工工程同步进行, 由工程技术负责人负责该项目技术资料收集、保管, 科技档案管理人员要及时掌握工程项目开工、竣工时间、项目分类等信息, 监督技术资料归档工作;与有关单位签订施工协议合同, 制定施工方案、召开施工预备会议纪要等资料, 应在施工开始之前就做好相关资料收集归档工作, 并订立“没有施工方案归档, 没有领导审批, 不施工”制度, 在施工通过验收竣工后30天内, 科技档案管理部门及时将工程项目各阶段施工详细记录、工程竣工、验收报告等技术资料进行归档。

设备档案的收集归档工作, 主要包括以下几个方面。

(1) 各部门及器材组签订设备订货合同后, 要及时将一份合同原件送到科技档案管理部门归档。

(2) 设备、仪器到货时, 经办人及时通知科技档案管理人员, 在科技档案管理人员到场后, 开箱提取设备随机材料, 将其归档。

(3) 人员外出开会、学习培训带回的各种文件, 科技档案管理人员也要及时督促相关人员及时做好归档工作。

(4) 将收集到的纸质档案通过扫描、拍摄等, 经过数字化处理后, 将纸质档案转换成既可以存储在计算机系统中, 又可以在网络环境中传输的电子档案。

(5) 建立档案全文数据库, 在计算机上实现查询阅读全文信息。

3.1.4 科技档案标准规范

按照国家《档案法》和《无线局科技档案管理暂行规定》要求, 结合单位科技档案管理实际, 制定相应的电子档案管理制度, 比如《科技档案信息系统操作规范》、《档案信息归档制度》等, 真正做到有法可依、有章可寻, 用制度约束做好科技档案管理工作。

除了做好上述工作以外, 科技档案信息安全工作也是档案日常管理中的一项重要工作, 科技档案中有一些涉及到国家机密, 为了保证珍贵档案数据的绝对安全, 避免由于操作不当, 造成数据的丢失或造成失、泄密事件, 要定期将电子文档刻录到光盘进行备份, 以便于重要数据长期保存。光盘上应贴有标签, 标签上应注明编号、名称、密级、保管期限等, 方便日后电子文档查找。

3.1.5 档案信息化管理实践

(1) 档案信息的收集

收集纸质档案可通过扫描仪进行扫描, 使之形成电子文档, 在计算机上创建文件夹, 文件夹名称与即将扫描的文件内容名称要一致, 设置需要扫描的纸质档案原文类型, 设定扫描参数, 点击开始扫描, 扫描的文件将在影视监视视窗中显示, 点击保存到目标文件夹, 按照页码顺序逐一对图像文件命名, 通过Adobe Acrobat Professional软件将多个图像文件合成pdf格式电子文档, 将形成的电子文档用“飞扬综合档案管理系统”存放到“临时归档文件目录”下, 即完成档案信息收集工作。

(2) 文档立卷归档整理

预归档文档可以是一份文件、一张图片或者是文字材料等。在文档归档整理过程中, 科技档案管理人员通过事先设定好文件立卷规则, 设立“档案文件库”与“档案数据库”相对应的立卷归档关系, 将要归档文件确定保管期限, 然后整理到“临时归档文件目录”下, 文件的先后顺序可以进行调整, 再将收集到的文档分门别类地整理入库到指定的“科技档案数据库”中。以工程档案整理为例, 我们只需将“案卷题名、阶段、份数、页数、保管期限、责任者”等相关信息录入, 在数据录入过程中, 为提高文字输入计算机的速度, 有一些经常用到的数据, 比如保管期限设定“永久、短期、不归档”等, 可以在“字段代码维护”中设置好后, 在数据录入过程中进行选择即可, 然后再将扫描制作好的电子版文件关联挂接起来, 在计算机上可以直接显示原文, 这样就实现了文档的立卷归档工作。

(3) 文档检索和管理

调阅档案技术人员需要查找的文件, 我们可以通过“查找”功能, 输入需要检索的关键字, 比如在需要查找的档案文件标题中, 只记得其中含有“通知”关键字, 对其他任何相关信息不是很清楚, 可通过“智能查找”输入关键字进行查找, 也可以依据对这份文件的了解程度, 通过“综合查询”输入“案卷题名、保管期限、成文日期”等字段信息, 然后点击查询, 即可准确、快速地找到需要的这份文件。查找到文件之后, 通过鼠标点击“原文显示”, 还可以直接在计算机上打开这份文件, 查看文件全文信息, 而不需要再到档案室调阅档案, 省去了查找和调阅的繁琐过程, 方便档案的使用。档案归档结束后, 我们还可以按照相应字段条件检索出需要的档案数据, 对有符合该字段条件的档案数据进行打印, 打印成统一格式、字迹工整的科技档案封面、科技案卷目录、科技档案卷内目录、卷内备考表等。

3.2 实现科技档案信息化的优势

文件、技术资料形成和管理逐步从纸质档案转变成电子文档, 在科技档案管理方式上, 科技档案的整理、立卷归档、利用等工作在计算机上直接完成, 实现了电子文档一体化、信息化管理。科技档案管理人员从麻烦的手工查找档案解放出来, 只需要轻轻点击鼠标就可以轻松检索到所需要的档案, 方便、快捷地查看档案信息全文内容, 节省人力, 节约时间, 提高工作效率与质量。传统纸质档案转化成电子档案保存到档案管理软件中, 档案原件不再受损, 保存更长久。科技档案信息化在局域网中的应用, 不再受时间、地域的限制, 技术人员不需到档案库房, 就可方便地查阅到所需的档案资料。

4 结束语

科技档案信息化充分利用档案管理软件及其相关硬件设备, 搭建科技档案信息化平台, 克服了传统档案管理方式带来的弊端, 提高了东维中心科技档案管理水平, 减轻了档案管理人员工作量, 提高了档案查准率和查全率, 为以大修抢修为中心的各项技术业务工作提供快捷、有效的档案信息服务。

摘要：本文介绍了东南广播电视维护中心科技档案的基本状况与作用, 分析了传统档案管理方式存在的问题, 并阐述了档案信息化实施过程的工作实践以及实现科技档案信息化给档案管理工作带来的优势。

3.科技档案管理信息化建设篇三

关键词：科技档案；信息化；管理系统；人才

前言：近些年来，国家对于科技档案管理的发展越来越重视，随着计算机技术的不断发展以及网络技术的日益更新，档案管理信息化已经逐渐成为一种社会的发展趋势。因此，相关单位必须要重视科技档案信息化的发展建设，针对当前档案管理信息化建设中存在的相关问题采取合理的解决措施，这就需要相关单位了解并做到以下内容：

1 科技档案信息化建设的意义分析

要知道，由于档案被长期保存在密封的空间内，经常会受到潮湿环境以及火灾的影响，所以相关单位必须支付一定的文档保管费用。所以，这样的情况在一定程度上影响了档案管理系统的整体发展。但是，由于近些年来，国家经济的不断发展，办公自动化以及无纸化的出现，使得整个档案管理工作发生了很大的变化。而这种变化也意味着档案工作将以多种多样的形式面向整个社会[1]。

另外，从档案信息化的角度看，环保档案管理的科技信息化也迫在眉睫。现今，许多的环保档案工作人员只是将档案管理的形式停留在一个肤浅的表面上，对信息化的理解过于狭隘。环保档案工作人员只是一味的照搬传统体制手法进行工作，而忽视了信息化所带来的快捷、方便。甚至于有些地方的环保部门没有充分按照要求进行信息化改革，只是进行口头的讲解，并未进行实际上的落实，这不仅消耗资源，不利于环保，更加阻碍了信息化建设的进程。

2 环保档案局科技档案信息化建设方法

2.1 转变思想，树立新观念

首先，环保档案局的相关工作人员应该改变传统的意识，突破自我，对信息化进程加以重视。与此同时，各地方政府应该充分进行信息化模式的调整，加强环保档案的信息化建设，根据一系列的规章制度进行信息化改革。另外，單位人员还要根据环保局的自身发展情况，为单位内部的发展制定适合的管理体制。更重要的是，科技档案管理人员还应该对档案包含的文件、数据以及软件等进行统一的管理，从而保障档案管理信息化工作的顺利进行。相关档案管理人员还应该及时转变自身的观念，树立良好的信息化意识，为整个档案管理单位的快速发展做出更大的贡献。

2.2 构建信息化管理系统

一直以来，大多数的档案管理单位都是采用较为传统的档案管理模式，虽然也可以完成档案管理的工作，但是却缺少一定的效率和保障。所以，在加强科技档案管理的同时，档案管理单位应该在内部构建一个信息化管理系统，为其信息化的快速发展打下坚实的基础，这样一来，档案管理单位就可以运用高科技的管理系统，促进整个档案管理工作的不断发展。将信息化管理系统应用在整个档案管理单位中，不仅可以为档案管理人员节省一定的时间以及提高一定的工作效率，而且还可以保证整个科技档案管理工作的安全性和永久性，这无疑是一件一举两得的事[2]。

2.3 重视人员培训

相关单位的档案管理人员要知道，加强档案信息化建设是一个需要长期奋斗的艰巨任务，工作人员要想更好地完成任务，就必须要意识到这项工作的重要意义，并且还要不断培养自身的专业素质和奉献精神。尤其对当前情况而言，相关档案单位完全可以通过培养高素质的专业人才，来促进整个档案管理信息化工作的顺利进行。更重要的是，档案管理单位还要定期为员工安排一些专业技能培训，让其在不断的锻炼中提高自身的专业素养，以此来保证整个科技档案管理工作的顺利进行。所以，相关档案管理部门必须要注重这点内容，为其日后快速稳定的发展打下坚实的基础[3]。

2.4 加大资金投入

加大资金投入是环保档案局进行科技信息化的基础，因此，档案管理人员就应该加大物质基础的投入，让环保局的工作人员和领导人员重视信息化建设。在完善合理的情况下最大化的加强信息化改造，如果某一地方政府的资金投入能力有限，也可以进行分期式的投入，首先进行硬件系统的升级，加强信息安全式的防护[4]。第二、相关档案管理人员应该根据单位内部结构的不同特点，加强其硬件系统的建设工作，以保证其日后更快更好地发展。

2.5 重视信息化管理系统，完善信息化制度

合理科学的制度能够保障科技信息化建设的有效运行，所以，环保部门以及档案建设部门应该全力改善信息化体制，确保在日常生活以及工作过程当中都能实现科学信息化。安全对于档案管理信息化具有十分重要的意义。一个稳定的网络平台，对于科技档案管理信息化的发展有着尤为重要的作用。所以，相关档案管理人员必须要重视信息化管理系统的安全管理工作，时刻提高自身的安全管理意识，并且档案管理人员还要拥有较高的警惕性，了解安全管理对档案管理信息化的重要意义。档案管理人员还可以采取身份认证、使用杀毒软件等方式，对科技档案管理系统进行严格管制，以此来保证整个科技档案管理信息化工作的顺利进行[5]。

结束语：

总而言之，由于经济水平以及科技水平的不断发展，国家对于档案管理信息化的建设问题越来越重视，它对于我国经济的整体发展有着十分关键的作用。实现档案管理信息化，不仅可以在很大程度上保证档案管理单位的工作效率，还可以提高其工作的科技水平。更重要的是，档案管理单位还要重视档案管理工作的安全问题，加强安全管理体制，为档案的保密性做出更多的努力，真正地将管理档案的重要价值发挥出来。这样一来，不仅可以在一定程度上促进我国档案管理单位的不断发展，而且还可以提高其整体的工作效率，最终为我国的整体发展打下坚实的基础。

参考文献：

[1]许丽英.浅谈科技档案管理信息化建设[J].企业文化（下旬刊），2015（2）：195-195.

[2]龚霞，钟霞.浅谈科技档案管理信息化建设[J].沿海企业与科技，2011（9）：19-20.

[3]张永宽.科技档案管理信息化建设[J].科技资讯，2014，12（8）：232.

[4]管意.科技档案管理信息化建设刍议[J].大陆桥视野，2014（22）：92-93.

4.某公司信息科技风险管理报告篇四

自去年以来，公司高层更加重视公司信息科技风险管控，要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力，建立管理与技术相结合的全方位的风险管理体系。具体来说，主要采取以下几方面的措施开展信息安全工作。

一、将信息科技风险管理和信息安全纳入公司信息科技发展规划。为了提高信息科技风险管理能力，提升信息科技对业务战略发展的可持续支持能力，科技规划中明确了信息科技发展方向，强调了科技基础建设，提高信息科技风险管理水平，有效防范信息科技风险。

二、完善信息科技治理，大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如，以前我们在信息安全管理普遍存在一个误区，人为部署了高性能的硬件设备、实现网络设备双机热备、就算完成了信息科技风险控制的工作，其实不然，因为信息安全不单是技术问题，更是管理问题，只有持续完善信息科技治理架构，从组织架构和制度等管理层面采取防范措施，才能真正实现信息安全管理的目标。

三、在信息科技风险治理方面的措施主要包括三方面。a)认真学习和领会我们的客户金融行业对信息科技风险

1管理的要求，吸收借鉴同业经验，将监管要求和同业经验转化为工作规范，建立系统完善的信息科技风险管理组织架构和机制；成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组，做好突发事件应急处理。

b)建立健全信息科技规章制度。为了做好制度建设，公司领导高度重视，以公司流程建设为契机，完善了相关制度，理顺了相关制度的制定、修订、废止流程和审批制度流程，切实抓好制度建设。

c)采取有效的信息科技风险管理的制度，防范和化解信息安全风险。首先，完善基础设施建设，对中心机房进行改造，更换老旧的硬件设备，提高硬件设备防范风险的能力；三是提升运行管理的水平，推进运行流程化和集中化管理，防范操作风险，确保信息系统的安全稳定运行。四是完善应急预案，积极配合省联社开展应急演练，切实提高风险防控水平。

d)软件正版化是今年公司信息科技工作的一项重点内容。结合我公司的实际情况，为加快对盗版或未经授权、许可软件的清理换装工作，推进公司软件正版化工作，确保公司软件正版化工作目标的实现。

5.商业银行信息科技风险管理指引篇五

第一章总则

第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理

第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：

（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

（六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

（七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

（八）每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。

（九）确保信息科技风险管理工作所需资金。

（十）确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。

（十一）确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。

（十二）及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，按相关预案快速响应。

（十三）配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。

（十四）履行信息科技风险管理其他相关工作。 第八条商业银行应设立首席信息官，直接向行长汇报，并参与决策。首席信息官的职责包括：

（一）直接参与本银行与信息科技运用有关的业务发展决策。

（二）确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。

（三）负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。

（四）确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构。

（五）组织专业培训，提高人才队伍的专业技能。

（六）履行信息科技风险管理其他相关工作。

第九条商业银行应对信息科技部门内部管理职责进行明确的界定；各岗位的人员应具有相应的专业知识和技能，重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施：

（一）验证个人信息，包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。

（二）审核信息科技员工的道德品行，确保其具备相应的职业操守。

（三）确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求，并同员工签订相关协议。

（四）评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替计划等防范措施；在员工岗位发生变化后及时变更相关信息。 第十条商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作。该部门应为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。

第十一条商业银行应在内部审计部门设立专门的信息科技风险审计岗位，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。

第十二条商业银行应按照知识产权相关法律法规，制定本机构信息科技知识产权保护策略和制度，并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品，禁止侵权盗版；采取有效措施保护本机构自主知识产权。

第十三条商业银行应依据有关法律法规的要求，规范和及时披露信息科技风险状况。

第三章信息科技风险管理

第十四条商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配臵足够人力、财力资源，维持稳定、安全的信息科技环境。

第十五条商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：

（一）信息分级与保护。

（二）信息系统开发、测试和维护。

（三）信息科技运行和维护。

（四）访问控制。

（五）物理安全。

（六）人员安全。

（七）业务连续性计划与应急处臵。 第十六条商业银行应制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别（包括外包供应商、产品供应商和服务商）。

第十七条商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

（一）制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。

（二）确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：

1.最高权限用户的审查。

2.控制对数据和系统的物理和逻辑访问。

3.访问授权以“必需知道”和“最小授权”为原则。 4.审批和授权。 5.验证和调节。 第十八条商业银行应建立持续的信息科技风险计量和监测机制，其中应包括：

（一）建立信息科技项目实施前及实施后的评价机制。

（二）建立定期检查系统性能的程序和标准。

（三）建立信息科技服务投诉和事故处理的报告机制。

（四）建立内部审计、外部审计和监管发现问题的整改处理机制。

（五）安排供应商和业务部门对服务水平协议的完成情况进行定期审查。

（六）定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。

（七）定期进行运行环境下操作风险和管理控制的检查。

（八）定期进行信息科技外包项目的风险状况评价。 第十九条中资商业银行在境外设立的机构及境内的外资商业银行，应当遵守境内外监管机构关于信息科技风险管理的要求，并防范因监管差异所造成的风险。

第四章信息安全

第二十条商业银行信息科技部门负责建立和实施信息分类和保护体系，商业银行应使所有员工都了解信息安全的重要性，并组织提供必要的培训，让员工充分了解其职责范围内的信息保护流程。

第二十一条商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。

信息安全策略应涉及以下领域：

（一）安全制度管理。

（二）信息安全组织管理。

（三）资产管理。

（四）人员安全管理。

（五）物理与环境安全管理。

（六）通信与运营管理。

（七）访问控制管理。

（八）系统开发与维护管理。

（九）信息安全事故管理。

（十）业务连续性管理。

（十一）合规性管理。

第二十二条商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时，应在系统中及时检查、更新或注销用户身份。

第二十三条商业银行应确保设立物理安全保护区域，包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域，明确相应的职责，采取必要的预防、检测和恢复控制措施。

第二十四条商业银行应根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域）。应该对下列安全因素进行评估，并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。

（一）域内应用程序和用户组的重要程度。

（二）各种通讯渠道进入域的访问点。

（三）域内配臵的网络设备和应用程序使用的网络协议和端口。

（四）性能要求或标准。

（五）域的性质，如生产域或测试域、内部域或外部域。

（六）不同域之间的连通性。

（七）域的可信程度。

第二十五条商业银行应通过以下措施，确保所有计算机操作系统和系统软件的安全：

（一）制定每种类型操作系统的基本安全要求，确保所有系统满足基本安全要求。

（二）明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。

（三）制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察。

（四）要求技术人员定期检查可用的安全补丁，并报告补丁管理状态。

（五）在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。

第二十六条商业银行应通过以下措施，确保所有信息系统的安全：

（一）明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。

（二）针对信息系统的重要性和敏感程度，采取有效的身份验证方法。

（三）加强职责划分，对关键或敏感岗位进行双重控制。

（四）在关键的接合点进行输入验证或输出核对。

（五）采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改。

（六）确保系统按预先定义的方式处理例外情况，当系统被迫终止时向用户提供必要信息。

（七）以书面或电子格式保存审计痕迹。

（八）要求用户管理员监控和审查未成功的登录和用户账户的修改。

第二十七条商业银行应制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成，日志划分为两大类：

（一）交易日志。交易日志由应用软件和数据库管理系统产生，内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。

（二）系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定，但不能少于一年。

商业银行应保证交易日志和系统日志中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要；应采取适当措施保证所有日志同步计时，并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定，并报信息科技管理委员会批准。

第二十八条商业银行应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，并建立密码设备管理制度，以确保：

（一）使用符合国家要求的加密技术和加密设备。

（二）管理、使用密码设备的员工经过专业培训和严格审查。

（三）加密强度满足信息机密性的要求。

（四）制定并落实有效的管理流程，尤其是密钥和证书生命周期管理。

第二十九条商业银行应配备切实有效的系统，确保所有终端用户设备的安全，并定期对所有设备进行安全检查，包括台式个人计算机（PC）、便携式计算机、柜员终端、自动柜员机（ATM）、存折打印机、读卡器、销售终端（POS）和个人数字助理（PDA）等。 第三十条商业银行应制定相关制度和流程，严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。

第三十一条商业银行应对所有员工进行必要的培训，使其充分掌握信息科技风险管理制度和流程，了解违反规定的后果，并对违反安全规定的行为采取零容忍政策。

第五章信息系统开发、测试和维护

第三十二条商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内，组织对系统的后评价，并根据评价结果及时对系统功能进行调整和优化。 第三十三条商业银行应认识到信息科技项目相关的风险，包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，并采取适当的项目管理方法，控制信息科技项目相关的风险。

第三十四条商业银行应采取适当的系统开发方法，控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。

第三十五条商业银行应制定相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，其中应包括以下要求：

（一）生产系统与开发系统、测试系统有效隔离。

（二）生产系统与开发系统、测试系统的管理职能相分离。

（三）除得到管理层批准执行紧急修复任务外，禁止应用程序开发和维护人员进入生产系统，且所有的紧急修复活动都应立即进行记录和审核。

（四）将完成开发和测试环境的程序或系统配臵变更应用到生产系统时，应得到信息科技部门和业务部门的联合批准，并对变更进行及时记录和定期复查。

第三十六条商业银行应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。

第三十七条商业银行应建立并完善有效的问题管理流程，以确保全面地追踪、分析和解决信息系统问题，并对问题进行记录、分类和索引；如需供应商提供支持服务或技术援助，应向相关人员提供所需的合同和相关信息，并将过程记录在案；对完成紧急恢复起至关重要作用的任务和指令集，应有清晰的描述和说明，并通知相关人员。

第三十八条商业银行应制定相关制度和流程，控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求，基础软件（操作系统、数据库管理系统、中间件）或应用软件必须升级时，应及时进行系统升级，并将该类升级活动纳入信息科技项目，接受相关的管理和控制，包括用户验收测试。

第六章信息科技运行

第三十九条商业银行在选择数据中心的地理位臵时，应充分考虑环境威胁（如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路），采取物理控制措施，监控对信息处理设备运行构成威胁的环境状况，并防止因意外断电或供电干扰影响数据中心的正常运行。

第四十条商业银行应严格控制第三方人员（如服务供应商）进入安全区域，如确需进入应得到适当的批准，其活动也应受到监控；针对长期或临时聘用的技术人员和承包商，尤其是从事敏感性技术相关工作的人员，应制定严格的审查程序，包括身份验证和背景调查。

第四十一条商业银行应将信息科技运行与系统开发和维护分离，确保信息科技部门内部的岗位制约；对数据中心的岗位和职责做出明确规定。 第四十二条商业银行应按照有关法律法规要求保存交易记录，采取必要的程序和技术，确保存档数据的完整性，满足安全保存和可恢复要求。

第四十三条商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤，以及生产与开发环境中数据、软件的现场及非现场备份流程和要求（即备份的频率、范围和保留周期）。

第四十四条商业银行应建立事故管理及处臵机制，及时响应信息系统运行事故，逐级向相关的信息科技管理人员报告事故的发生，并进行记录、分析和跟踪，直到完成彻底的处臵和根本原因分析。商业银行应建立服务台，为用户提供相关技术问题的在线支持，并将问题提交给相关信息科技部门进行调查和解决。

第四十五条商业银行应建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行考核。

第四十六条商业银行应建立连续监控信息系统性能的相关程序，及时、完整地报告例外情况；该程序应提供预警功能，在例外情况对系统性能造成影响前对其进行识别和修正。 第四十七条商业银行应制定容量规划，以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。

第四十八条商业银行应及时进行维护和适当的系统升级，以确保与技术相关服务的连续可用性，并完整保存记录（包括疑似和实际的故障、预防性和补救性维护记录），以确保有效维护设备和设施。

第四十九条商业银行应制定有效的变更管理流程，以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志，由信息科技部门和业务部门共同审核签字，并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。

第七章业务连续性管理

第五十条商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；定期对规划进行更新和演练，以保证其有效性。

第五十一条商业银行应评估因意外事件导致其业务运行中断的可能性及其影响，包括评估可能由下述原因导致的破坏：

（一）内外部资源的故障或缺失（如人员、系统或其他资产）。

（二）信息丢失或受损。

（三）外部事件（如战争、地震或台风等）。

第五十二条商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性，并通过应急安排和保险等方式降低影响。

第五十三条商业银行应建立维持其运营连续性策略的文档，并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括：

（一）规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施，包括但不限于:

1．资源需求（如人员、系统和其他资产）以及获取资源的方式。

2．运行恢复的优先顺序。

3．与内部各部门及外部相关各方（尤其是监管机构、客户和媒体等）的沟通安排。

（二）更新实施业务连续性计划的流程及相关联系信息。

（三）验证受中断影响的信息完整性的步骤。

（四）当商业银行的业务或风险状况发生变化时，对本条

（一）到

（三）进行审核并升级。

第五十四条商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。

第八章外包

第五十五条商业银行不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行。

第五十六条商业银行实施重要外包（如数据中心和信息科技基础设施等)应格外谨慎，在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。

第五十七条商业银行在签署外包协议或对外包协议进行重大变更前，应做好相关准备，其中包括：

（一）分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制，是否满足商业银行履行对外包服务商的监督义务。

（二）考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。

（三）充分审查、评估外包服务商的财务稳定性和专业经验，对外包服务商进行风险评估，考查其设施和能力是否足以承担相应的责任。

（四）考虑外包协议变更前后实施的平稳过渡（包括终止合同可能发生的情况）。

（五）关注可能存在的集中风险，如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。

第五十八条商业银行在与外包服务商合同谈判过程中，应考虑的因素包括但不限于：

（一）对外包服务商的报告要求和谈判必要条件。

（二）银行业监管机构和内部审计、外部审计能执行足够的监督。

（三）通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。

（四）担保和损失赔偿是否充足。

（五）外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。

（六）外包服务商提供的业务连续性保障水平，以及提供相关专属资源的承诺。

（七）第三方供应商出现问题时，保证软件持续可用的相关措施。

（八）变更外包协议的流程，以及商业银行或外包服务商选择变更或终止外包协议的条件，例如：

1.商业银行或外包服务商的所有权或控制权发生变化。 2.商业银行或外包服务商的业务经营发生重大变化。 3.外包服务商提供的服务不充分，造成商业银行不能履行监督义务。

第五十九条商业银行在实施双方关系管理，以及起草服务水平协议时，应考虑的因素包括但不限于：

（一）提出定性和定量的绩效指标，评估外包服务商为商业银行及其相关客户提供服务的充分性。

（二）通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。

（三）针对绩效不达标的情况调整流程，采取整改措施。 第六十条商业银行应加强信息科技相关外包管理工作，确保商业银行的客户资料等敏感信息的安全，包括但不限于采取以下措施：

（一）实现本银行客户资料与外包服务商其他客户资料的有效隔离。

（二）按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。

（三）要求外包服务商保证其相关人员遵守保密规定。

（四）应将涉及本银行客户资料的外包作为重要外包，并告知相关客户。

（五）严格控制外包服务商再次对外转包，采取足够措施确保商业银行相关信息的安全。

（六）确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。

第六十一条商业银行应建立恰当的应急措施，应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失，重大财务损失和重要人员的变动，以及外包协议的意外终止。

第六十二条商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。



第九章内部审计

第六十三条商业银行内部审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员，独立于本银行的日常活动，具有适当的授权访问本银行的记录。

第六十四条商业银行内部信息科技审计的责任包括：

（一）制定、实施和调整审计计划，检查和评估商业银行信息科技系统和内控机制的充分性和有效性。

（二）按照第（一）款规定完成审计工作，在此基础上提出整改意见。

（三）检查整改意见是否得到落实。

（四）执行信息科技专项审计。信息科技专项审计，是指对信息科技安全事故进行的调查、分析和评估，或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。

第六十五条商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。

第六十六条商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和内部审计部门参与，保证系统开发符合本银行信息科技风险管理标准。

第十章外部审计

第六十七条商业银行可以在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。

第六十八条在委托审计过程中，商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查，以发现信息科技存在的风险，国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。

第六十九条商业银行在实施外部审计前应与外部审计机构进行充分沟通，详细确定审计范围，不应故意隐瞒事实或阻挠审计检查。

第七十条银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时，应出示委托授权书，并依照委托授权书上规定的范围进行审计。

第七十一条外部审计机构根据授权出具的审计报告，经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力，被审计的商业银行应根据该审计报告提出整改计划，并在规定的时间内实施整改。

第七十二条商业银行在委托外部审计机构进行外部审计时，应与其签订保密协议，并督促其严格遵守法律法规，保守本银行的商业秘密和信息科技风险信息，防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。

第十一章附则

第七十三条未设董事会的商业银行，应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。

第七十四条银监会依法对商业银行的信息科技风险管理实施监督检查。

第七十五条本指引由银监会负责解释、修订。

6.科技信息管理办法篇六

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的

（六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专

（七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计

（八）每年审阅并向银监会及其派出机构报送信息科技风险管理的报

（九）（十一）确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场

（十二）及时向银监会及其派出机构报告本机构发生的重大信息科技事故

（十三）配合银监会及其派出机构做好信息科技风险监督检查工作，并按

（十四）（一）业务战略和信息科技风险管理

（二）确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体

（三）负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系

（四）确保信息科技风险管理的有效性，并使有关管理措施落实到相关的

（五）（六）

（二）信息系统开发、测试和维护。

（三）（四）

（五）（六）

（七）

（三）（四）

（六）（七）

（五）域的性质，如生产域或测试域、内部域

（二）系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，内容包括管理登录尝试、系统事件、网络事件、错误

商业银行应保证交易日志和系统日志中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要；应采取适当措施保证所有日志同步计时，并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定，并报信息科

操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会

术人员和承包商，尤其是从事敏感性技术相关工作的人员，应制定严格的审查程

（三）充分审查、评估外包服务商的财务稳定性和专业经验，对外包服务

（四）考虑外包协议变更前后实施的平稳过渡（包括终止合同可能发生的

（五）关注可能存在的集中风险，如多家商业银行共用同一外包服务商带

（三）（四）应将涉及本银行客户资料的外包作为重要外包，并告知相关客户。

（五）严格控制外包服务商再次对外转包，采取足够措施确保商业银行相

7.科技成果管理信息平台设计与实现篇七

莱钢集团现有26家成员,其中莱钢股份有9个二级单位,银山型钢有8个二级单位,还有7个直属单位。随着莱钢的整体科学技术水平的提高,科技成果层出不穷,每年各种科技成果鉴定申报、奖项申报、评审及评奖结果的公布工作信息处理量大,劳动强度高,工作人员面临着大量单调、繁冗的手工工作,很容易出错,给管理人员带来极大困难。而且,在审核、鉴定、评奖等环节,专家只有在开讨论会时才能够看到项目的相关材料,在很短的时间内就要给项目下出结论,难免会有偏颇。同时,随着莱钢信息化建设不断深入,以计算机技术为载体的各项先进管理手段不断涌现,作为评定企业科技水平的重要组成部分,科技成果管理信息管理显得尤为重要。因此,为了更好的满足集团战略规划和决策分析等管理需要,达到降低资源消耗、提高企业创新能力、增强业务透明度等目的,我们根据信息管理系统的特点以及科技成果信息管理的实际情况,设计开发了科技成果管理信息平台。

1 总体设计

1.1 系统架构设计

莱钢集团是一个多层次、多行业的大型联合体,因此,为了适应莱钢集团企业的管理要求,采用基于ASP.NET的B/S技术构建科技创新信息管理平台,具有灵活性、开放性、可扩展性和跨平台运行的特点。WEB系统直接采用Internet Explorer浏览器,而对于系统服务器,可以单独创建运行环境并与WEB服务合并在一个环境下运行。企业集团用户通过浏览器进行相应的业务操作,从而保证了相应的系统压力和客户分部广泛的特点。其整体架构如图1所示:

根据系统整体架构,在技术实现上我们采用多层体系架构(如图2示),每一层都提供不同的应用,使软件使用灵活。对于该技术架构,它分为:

(1)运行在客户端机器上的客户层(Browser);

(2)运行在Web服务器上的展示层(Web Server);

(3)运行在Web服务器上的业务逻辑层(App Server);

(4)运行在数据库服务器上的数据仓库(DB Server)。

1.2 技术方案

成果管理平台主要包含技术成果鉴定系统、技术成果评奖系统、系统管理三个模块。

1.2.1 技术成果鉴定系统

如图3所示,技术成果鉴定系统实现了技术成果从申报到鉴定的全过程管理。

二级单位在客户端申报技术鉴定项目(填写《鉴定申请表》,并网上提交全套《鉴定材料》),经过申报单位领导和协作单位审核后报技术资源部审核,技术资源部经过审核后,形成最终的鉴定项目清单,并通知项目申报单位准备《鉴定证书》。所有材料都准备好后,技术资源部可在系统中根据项目的专业选择鉴定专家,确定鉴定时间和地点。鉴定完毕后,申报单位修改《鉴定材料》和《鉴定证书》,并将修改后的材料录入系统中,形成最终的材料保留在系统中,以备后续的查询。

系统可实现按申报单位、鉴定专家、研发人员、项目名称和鉴定时间等项目查询相关信息。

1.2.2 技术成果评奖系统

如图3所示,技术成果评奖系统实现了技术成果从奖励申报到授奖的全过程管理。

二级单位在客户端申报技术创新奖(填写《莱钢重大科学技术奖、技术创新奖申报书》),经过申报单位领导和协作单位审核后报技术资源部审核,技术资源部经过初审后根据项目的财务关系自动转给相关财务系统人员,他们登录系统后对各个项目进行财务数据的审核,审核完毕后,技术资源部在系统中选择专家对各个项目进行评审,确定最终的奖励等级。

系统可实现按成果完成单位、研发人员、项目名称、评奖时间和奖励等级等项目查询相关信息。

1.2.3 系统管理

实现各单位专家申报和用户的管理。

各单位可根据技术资源部的要求,在系统中申报鉴定、评奖专家,经过技术资源部审核通过后,可作为备选专家。技术资源部根据集团的组织情况,设立若干单位管理员用户,并负责对这些用户的管理;各单位管理员根据各自项目情况,可设立若干申报单位用户,并负责对这些用户的管理。

2 实现功能

2.1 科技成果、科技创新项目的网上申报、鉴定和评奖

各二级单位根据工作需要,可通过网络实时上报科技成果鉴定项目,技术资源部和鉴定评奖专家也可随时通过网络开展科技成果的审核审批、鉴定、评奖等工作。

2.2 数据挖掘

2.2.1 规范数据录入内容

对一些通用的项目,如申请鉴定级别、评审专业、完成单位、研究起止时间等,在项目申报过程中通过选择的方式进行,在方便了申报的同时,也保障了项目信息的准确性和一致性。

2.2.2 自动计算

对一些需要计算数值的项目,系统自动完成,如在专利情况统计,在专利录入完毕后,系统自动根据专利类型进行统计计算,防止申报人员疏忽造成的前后数据矛盾。

2.2.3 鉴定项目自动转入报奖系统

为了确保鉴定和报奖的一致性,系统实现了同年度鉴定项目可自动导入到同年度的报奖系统中,这样确保了同年度的科技进步奖项目都是鉴定完毕的,而且确保了鉴定人员与奖励人员名单的一致性,省却了技术资源部管理人员繁琐的检查工作,也使报奖系统的录入变得简洁、方便。

2.2.4 自动分组和选择专家

当申报项目时,系统自动根据所申报项目的专业、单位、类型等内容对项目进行分组。然后当进行鉴定或评奖时,系统根据项目的专业、申报单位等情况自动选择鉴定和评奖专家,技术资源部也可对专家名单进行手动修改。

2.3 实时信息查询

各级用户可随时按申报单位、专家、评奖专家、研发人员、项目名称等进行查询项目信息或统计数据。

这既保证了成果管理工作的公开化,也为公司年末评选和表彰先进单位、先进个人和先进成果提供了依据,加强的工作的透明度。

2.4 数据安全保护

本系统通过数据库服务器备份方案、有限授权密码机制、数据库保守式并发模型技术、网络防毒等对数据库数据进行安全保护,防止数据遭到破坏。

数据库服务器备份方案,即定时对数据进行备分,避免因突发事件导致的损失。

有限授权密码机制,即针对不同的需求,对不同的用户赋予不同的权限,当用户通过登录窗口登录后,便可获得不同的操作权限,例如,申请单位只能进行申请操作,并只能查看自己申请的项目的基本信息,而不能查看其他申请单位所申请的项目的信息。从而保障了数据的安全,预防了误操作的可能。

由于使用了数据库保守式并发模型技术,当更新数据库中数据时,更新行的用户自动建立锁,而使其他用户无法执行可能与锁发生冲突的操作,即,其他任何用户都无法更改锁定行,直到锁所有者释放锁为止,提高了数据操作的安全性和可靠性。

3 结束语

该系统专为集团公司量身订做的一套数据集中、管理集中、决策集中的全面解决方案。它借助现代网络通信技术,建立起辅助集团企业决策完善的数据体系和信息共享机制。该系统以集中式管理模式为前提,定位在集团总体战略的高度上,强调集团科技创新管理各环节间的分工、协作、专业化,实现数据的集中存储、资源的集中配置、信息的集中监控。

该系统自2008年12月投入运行,将莱钢的科技创新项目管理都集成到统一的管理信息系统中进行集中管理,改变了过去管理分散、数据缺乏关联等弊端,实现了标准化管理,提升了莱钢科技成果管理的整体水平。

摘要：莱钢集团科技成果管理信息系统利用计算机、网络、软件等信息技术平台,采用统一的管理模式,统一的审核标准,统一的业务流程,实现了科技成果信息的网络化集中管理,实现了科技成果的远程申请、审批、鉴定和评奖,全面提高了莱钢科技创新管理水平。

8.科技信息管理办法篇八

家科技部是最早应用预算管

理信息化计划开展业务管理的部门之一，大量地应用各种信息化技术，实现科技经费的申报、评估、批复、拨款、决算和审计验收的全流程管理，科技经费管理取得了很好的管理成效。但是，随着十二五财政资金管理要求的不断提高，“重预算、轻决算”管理理念的各种不足也被显露出来，原有的基于顶层设计的信息系统远远不能满足管理的需求。

当前管理中主要面临的问题

从过去的“十一五”期间实际管理工作来看，课题经费的使用环节还存在着诸多问题：

一是大量课题的经费支出存在着超预算科目上限的情况，导致审计与验收开始后，承担单位频繁要求科技部进行预算科目调整；

二是课题单位一方面以加快研究进度为名要求科技部加大拨款力度，另一方面课题经费大量结余，使得财政资金使用效率下降；

三是大量的课题承担单位对于合作协作单位疏于管理，课题经费在合作协作单位中的使用没有得到有效的管理；

四是一些课题违反课题经费使用的规定，随意转拨经费或将大额任务进行合同外包；

五是一些课题甚至存在着不进行独立核算的问题，通过临时调帐来应付审计与验收。

这些问题的存在严重违反了课题经费管理的相关制度要求，迫切需要及时发现、及时处理。“十一五”期间，三大主体计划的课题数量近2万个，涉及承担单位5千家左右，如果再考虑到合作协作单位，涉及单位数量将达到1万家以上。如何保障国家财政资金安全、高效地使用，是一个巨大的挑战。

财政部、科技部曾经考虑采用报帐制的手段对课题经费实施实时动态管理，但是由于实际工作中涉及面广、成本太高、无法操作，最后不得不放弃。

解决问题的方法和思路

随着“十二五”的来临，我们必然要通过管理改革和信息化建设两个方面同时入手，解决科技经费使用效率不高、实际操作过程中不规范的问题。并且，随着云计算技术的飞速发展，我们完全可以通过互联网的信息化技术手段，跨越时空，面向广大的课题用户、单位用户构建科技经费实时动态管理体系。

1．基本思路

要想管好上千亿的资金和上万家的单位能够按照规范使用科技经费，首先要在管理上进行改革，摒弃过去的“重预算、轻决算”的管理理念，通过专项审计、中期财务检查、财务验收和绩效评价等多种方式实施监督检查，严肃处理各种违法违规使用经费的行为。此外，还要强化课题承担单位和课题合作单位的职责，通过加强年度决算、健全信用管理机制、积极推进信息公开等手段对加大经费执行过程中的监管，切实维护财经法规的严肃性。

落实到电子政务信息系统建设方面，首先是由政府出资建设科技经费动态监管系统，为各个课题单位提供预算执行规范化管理的信息化手段，帮助课题单位对课题经费进行管理，通过预警、流程审批等功能指导科技经费的合理使用，并为广大科研单位的科研管理、经费管理提供决策支持和数据支撑。

建设科技经费动态监管系统的第二个目的就是实现科技部对课题经费的实时动态管理和监控，将经费使用过程中的各种问题消灭在萌芽阶段，实现科技经费拨付的精细化管理和调控。我们可以通过对各个课题单位的预算执数据进行实时监控，并间接实现对整个课题经费使用的实时动态管理，及时发现违规现象，将问题消灭在萌芽阶段。

2．实时动态管理体系的构建

构建实时动态管理体系的主要内容就是建设科技经费动态监管系统，该系统的两大功能就是产生与获取实时的科技经费使用信息与实现科技经费的实时动态管理。

1）科技经费使用信息的产生与实时获取

如图1所示，各个课题单位中的课题组在报销之前，必须通过我们提供的基于互联网络的信息化平台上，填写规定格式的“科技经费支出审批单”，相关管理部门根据科技经费管理制度的规定与要求对支出审批单进行审批，通过后进行打印，再由财务部门对支出审批单复核后记账报销，支出审批单则作为原始凭证附在会计凭证之后。

通过支出审批单，就可以把分散在各个承担单位、合作协作单位中的课题经费动态使用情况，通过基于互联网的信息化平台，层层汇总、实时采集至统一的全国科技经费支出使用数据库中。

2）科技经费的实时动态管理

由于科技经费通过支出审批单的形式被实时动态采集至后台数据库中，这些实时的数据就完全可以为各级课题管理单位提供实时动态管理服务。

对于课题承担单位，以前由于不能对合作协作单位的会计帐进行检查从而出现的无法管理问题，现在则完全可以通过这个信息平台对下属各个合作协作单位进行实时管理。

对于科技主管部门以及相关的监督审计机构，则可以通过对课题经费支出数据库的实时管理，通过信息平台的一些预警设置，及时发现潜在的问题，及时处理解决，以实现科技经费的实时动态管理。

系统可行性分析

1．技术可行性

随着基于云计算的互联网技术的快速发展，通过互联网实现对各个单位的统一控制与核算已经广泛应用于跨国公司以及大型企业集团之中，基于软件即服务（SaaS）的云计算模式已经发展成熟并在全世界的范围内引发了一场新的技术革命。

例如，用友公司推出了针对中小企业的伟库网，即：大量的中小企业可以不用买会计核算软件，只需要交少量年费就可以开通基于互联网的会计核算服务。这种用户不需要了解软件如何安装、维护，只需要交年费就可以通过互联网享受相关服务的模式，是目前软件的一个发展趋势。

2．管理可行性

目前北京市财政局已经针对财政资金在各个市属事业单位中的使用，推出了预算执行软件，加强对经费的实时监督管理。

河北省财政厅也推出了财政专项资金即时分析监控系统，着重突出对专项资金监控、预算执行监控、监测预警的管理，对财政专项资金开展全程管理、即时监控和挖掘分析。

所以，完全有理由从制度上、队伍上、手段上等方面入手，建立科技经费动态实时的管理模式，不但为广大的课题单位服务，也可以大幅提高财政资金使用效率。

信息化系统之实现

从信息化系统建设的角度来说，基于SaaS模式的科技经费动态监管系统主要包括两大部分：1）面向广大科技经费使用者的系统，称之为预算执行系统。2）面向科技经费监管部门开放服务的系统，称之为动态监管系统。这两个系统面向不同的客户，是相互联系、有机统一的，即预算执行系统负责为经费使用单位服务，生成动态监管系统需要的数据，动态监管系统负责对数据进行处理、分析，负责与其他的科技经费管理系统进行数据接口，实现信用管理、拨款预警之类的功能。

此外，为了系统的正常运行，配置管理系统的设计和实施也是非常必要的，要求能够对上述的两个系统的运行提供参数配置和管理的功能（如图2所示）。

科技经费动态监管系统是一个典型的管理信息系统，对服务器访问的要求非常高。由于该系统涉及的用户数量庞大（20万人左右），且访问时间较为集中，必须采用可靠的系统服务架构，使之能够经受住高强度的访问压力。

如图3所示，可以通过数据库分区存储的方式解决数据库服务器压力大的问题，数据库按照功能划分，也可以分为基础数据库和区域数据库。基础数据库中包含的数据包括：单位/机构/人员信息，权限信息，课题/任务信息及绑定关系，预算批复数据，区域数据库分布情况，应用服务器负载数据等。区域数据库中的信息包括：细分的预算批复数据，预算执行明细数据，财务处理数据和生成的决算数据等。

数据库通过分区存储进行数据处理能力的分散，可以按照课题承担单位的所在地区进行划分，将课题分布情况和系统负荷进行测算，然后将全国范围内的应用按照大区域进行划分，比如北京数据库、东北华北数据库、华东华南数据库、西南西北数据库等。

系统应用及推进措施

科技经费动态监管系统因为涉及的单位众多，业务逻辑复杂，应用和实施面临很大的挑战。信息化系统都是“一把手工程”，要想成功实施与推进，必须做要以下几个方面的工作：

1.通过配套相应的管理制度保证系统的顺利实施。

首先要在管理上配套相关的管理制度，通过建立预算执行数据的季报、半年报等制度，要求各个经费使用单位按时提交科技经费的支出情况，否则将会影响课题的后续拨款及该单位其他课题的立项。通过加强信息报送、信息公开机制，可以大幅加强经费使用的透明度，科技经费不分别核算等问题将彻底解决。

2.重视基层单位信息服务质量。

该系统不但为政府提供预算监管服务，更要为各个科技经费使用单位提供完备、细致和周到的服务。“帮助科研单位合理使用经费”将是系统设计的重要原则，系统中必须设计大量帮助基层单位科研经费管理和决策的功能，只有这样才能抵消基层单位的抵触情绪，推动系统的顺利实施。

3.建立起在线监督检查队伍和专家团队。

建立科技经费预算执行监管体系还在于建设高素质的在线监督检查队伍和专家团队，系统中可以设计大量的自动过滤功能，将大额、高危的支出信息及时让监督检查人员得知，以便及时作出反应。此外，还应该邀请外部的会计师事务所，定期通过在线系统对经费使用情况进行审计，这样也可以大幅降低现场审计的工作量和成本。

【科技信息管理办法】推荐阅读：

医院科技档案信息化管理的重要性论文07-15

基层银行业信息科技风险表现及防范对策06-22