金融信息科技風險管理制度

　　第一條本管理所稱信息科技風險，是指信息科技在我司運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

　　第二條信息科技風險管理的目標是通過建立有效的機制，實現對我司信息科技風險的識別、計量、監測和控制，促進我司安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。

　　科技管理職責

　　第三條根據我司信息科技治理的要求，法定代表人是本機構信息科技風險管理的第一責任人，負責組織本管理辦法的貫徹落實，董事會應履行以下信息科技管理職責：

　　(一)遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實中國銀行業監督管理委員會(以下簡稱銀監會)相關監管要求。

　　(二)審查批準信息科技戰略，確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

　　(三)掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。

　　(四)規范職業道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識。

　　(五)設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。

　　(六)在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設，建立人才激勵機制。

　　(七)確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。

　　(八)每年審閱并向銀監會及其派出機構報送信息科技風險管理的年度報告。

　　(九)確保信息科技風險管理工作所需資金。

　　(十)確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓。

　　(十一)確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢查的要求，防范跨境風險。

　　(十二)及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件，按相關預案快速響應。

　　(十三)配合銀監會及其派出機構做好信息科技風險監督檢查工作，并按照監管意見進行整改。

　　(十四)履行信息科技風險管理其他相關工作。

　　科技風險管理

　　第四條風險管理部負責信息科技風險管理工作，并直接向分管行領導(風險管理委員會)報告工作。該部門應為信息科技突發事件應急響應小組的成員之一，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件的發生。風險管理部的職責包括：

　　(一)擬定信息系統風險管理總體政策，并提交高級管理層審查、審批。

　　(二)會同相關業務部門對信息系統風險進行識別、監測;

　　(三)審核信息系統風險狀況。對總行相關業務部門和分支機構信息系統風險狀況及維護、運行情況進行監測，并進行實時報告。

　　(四)組織新投產后信息系統的后評價，并識別、評估新信息系統中所包含的風險，審核相應的操作和風險管理程序。

　　第五條我司制定全面的信息科技風險管理策略，包括但不限于下述領域：

　　(一)信息分級與保護。

　　(二)信息系統開發、測試和維護。

　　(三)信息科技運行和維護。

　　(四)訪問控制。

　　(五)物理安全。

　　(六)人員安全。

　　(七)業務連續性計劃與應急處臵。

　　第六條我司制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別(包括外包供應商、產品供應商和服務商)。

　　第七條我司依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：

　　(一)制定明確的信息科技風險管理制度、技術標準和操作規程等，定期進行更新和公示。

　　(二)確定潛在風險區域，并對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便于檢查和平衡風險;定義每個業務級別的控制內容，包括：

　　1、最高權限用戶的審查。

　　2、控制對數據和系統的物理和邏輯訪問。

　　3、訪問授權以“必需知道”和“最小授權”為原則。

　　4、審批和授權。

　　5、驗證和調節。

　　第八條我司應建立持續的信息科技風險計量和監測機制，其中應包括：

　　(一)建立信息科技項目實施前及實施后的評價機制。

　　(二)建立定期檢查系統性能的程序和標準。

　　(三)建立信息科技服務投訴和事故處理的報告機制。

　　(四)建立內部審計、外部審計和監管發現問題的整改處理機制。

　　(五)安排供應商和業務部門對服務水平協議的完成情況進行定期審查。

　　(六)定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。

　　(七)定期進行運行環境下操作風險和管理控制的檢查。

　　(八)定期進行信息科技外包項目的風險狀況評價。

　　第九條我司設立分管信息科技的副級領導，直接向公司領導匯報，并參與決策。副級領導的職責包括：

　　(一)直接參與公司與信息科技運用有關的業務發展決策。

　　(二)確保信息科技戰略，尤其是信息系統開發戰略，符合公司的總體業務戰略和信息科技風險管理策略。

　　(三)負責建立一個切實有效的信息科技部門，承擔本公司的信息科技職責。確保其履行：信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。

　　(四)確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一個內設機構和分支機構。

　　(五)組織專業培訓，提高人才隊伍的專業技能。

　　(六)履行信息科技風險管理其他相關工作。

　　第十條應根據信息安全級別，將網絡劃分為不同的邏輯安全域(以下簡稱為域)。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。

　　(一)域內應用程序和用戶組的重要程度。

　　(二)各種通訊渠道進入域的訪問點。

　　(三)域內配臵的網絡設備和應用程序使用的網絡協議和端口。

　　(四)性能要求或標準。

　　(五)域的性質，如生產域或測試域、內部域或外部域。

　　(六)不同域之間的連通性。

　　(七)域的可信程度。

　　第十一條應通過以下措施，確保所有計算機操作系統和系統軟件的安全：

　　(一)制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要求。

　　(二)明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。

　　(三)制定最高權限系統賬戶的審批、驗證和監控流程，并確保最高權限用戶的操作日志被記錄和監察。

　　(四)要求技術人員定期檢查可用的安全補丁，并報告補丁管理狀態。

　　(五)在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監控情況。

　　第十二條應通過以下措施，確保所有信息系統安全：

　　(一)明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。

　　(二)針對信息系統的重要性和敏感程度，采取有效的身份驗證方法。

　　(三)加強職責劃分，對關鍵或敏感崗位進行雙重控制。

　　(四)在關鍵的接合點進行輸入驗證或輸出核對。

　　(五)采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

　　(六)確保系統按預先定義的方式處理例外情況，當系統被迫終止時向用戶提供必要信息。

　　(七)以書面或電子格式保存審計痕跡。

　　(八)要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。

　　第十三條對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容忍政策。

　　第十四條應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成本，并采取適當的項目管理方法，控制信息科技項目相關的風險。

　　第十五條采取適當的系統開發方法，控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜度。

　　業務連續性管理

　　第十六條根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務;定期對規劃進行更新和演練，以保證其有效性。

　　第十七條評估因意外事件導致其業務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：

　　(一)內外部資源的故障或缺失(如人員、系統或其他資產)。

　　(二)信息丟失或受損。

　　(三)外部事件(如戰爭、地震或臺風等)。

　　第十八條應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性，并通過應急安排和保險等方式降低影響。

　　第十九條建立維持其運營連續性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

　　(一)規范的業務連續性計劃，明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于：

　　1、資源需求(如人員、系統和其他資產)以及獲取資源的方式。

　　2、運行恢復的優先順序。

　　3、與內部各部門及外部相關各方(尤其是監管機構、客戶和媒體等)的溝通安排。

　　(二)更新實施業務連續性計劃的流程及相關聯系信息。

　　(三)驗證受中斷影響的信息完整性的步驟。

　　(四)當我司的業務或風險狀況發生變化時，對本條一到三進行審核并升級。

　　第二十條我司的業務連續性計劃和年度應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。

篇2：寧夏回族自治區促進科技成果轉化條例(1998)

寧夏回族自治區人大常委會
【頒布日期】1998.12.04
【實施日期】1999.01.01
第一章 總則
第一條 為了加速科學技術進步,促進科技成果向現實生產力轉化,推動經濟建設和社會發展,根據《中華人民共和國促進科技成果轉化法》和有關法律、法規,結合本自治區實際,制定本條例。
第二條 本條例適用于本自治區行政區域內的科技成果轉化活動。
第三條 科技成果轉化實行引進、推廣、開發、創新并舉的方針。重點是高新技術、先進適用技術的引進和推廣。
科技成果轉化活動應當遵守法律,維護國家利益,保護技術權益,不得損害社會公共利益。
第四條 各級人民政府要努力提高全社會科技成果轉化意識,本著政府促進和市場推動相結合的原則,加強對科技成果轉化工作的領導,建立健全科技成果轉化體系。
第五條 自治區科技行政部門、計劃部門、經濟綜合部門和其他有關行政部門依照自治區人民政府規定的職責范圍,管理、指導和協調科技成果轉化工作。

第二章 組織實施
第六條 各級人民政府應當把促進科技成果轉化作為推動本地區經濟發展和社會進步的重要工作,納入國民經濟和社會發展計劃,并組織協調實施有關科技成果的轉化。
科技成果轉化計劃,應當與經濟計劃和科學技術研究開發計劃相銜接。
第七條自治區人民政府應當定期發布科技成果目錄和重點科技成果轉化項目指南。
各級人民政府應當優先安排和重點支持下列科技成果項目的轉化:
(一)明顯提高產業技術水平和經濟效益或對行業技術進步有顯著促進、導向作用的;
(二)能夠形成高新技術產業的;
(三)促進高產、優質、高效農業和農村經濟發展的;
(四)有利于地區產業結構調整,培育新興產

篇3：科技公司員工保密協議書

　　科技公司員工保密協議書

　　甲方（企業）：_______________________

　　乙方（員工）： _______________________

　　部門：_______________________

　　身份證號：______________________

　　簽訂時間：________年____月____日

　　華大超硬工具科技有限公司

　　甲方：z超硬工具科技有限公司

　　乙方：＿＿＿＿＿＿＿＿＿＿＿

　　由于乙方在甲方＿＿＿＿部門工作，因工作需要，接觸到甲方的商業秘密，為明確乙方在任職期間離職后一段合理期限內有關的保密事項，雙方就下列條款達成一致：

　　第一條 商業秘密的內容

　　本協議提及的商業秘密包括技術秘密和經營秘密，其中技術秘密包括但不限于工作進度、技術方案、配方、工藝流程、技術指標、數據庫、研究開發記錄、技術報告、檢測報告、實驗數據、試驗結果、圖紙、樣品、技術文檔、相關的函電等；經營秘密包括但不限于客戶名單、行銷計劃、采購資料、定價政策、財務資料、進貨渠道、法律事務信息、人力資源信息等等。

　　第二條 職務成果

　　雙方確認，乙方在任職期間，因履行職務或者主要是利用甲方的物質技術條件、業務信息等產生的發明創造、作品、非專利技術成果等，其知識產權歸甲方所有；甲方有權使用或轉讓上述知識產權。乙方應當積極提供一切必要的信息資料、研究材料和采取一切必要的行動，協助甲方取得和行使有關的知識產權。乙方對上述知識產權享有作為發明人、創作人或設計人的署名權（依照法律規定應由甲方署名的除外）；并且，乙方有權獲得相應的物質獎勵和報酬。

　　第三條 保密規章和制度

　　乙方在任職期間必須遵守甲方的保密規章、制度，履行與其工作崗位相應的保密職責。

　　遇到甲方保密規章、制度中未規定或者規定不明確的方面時，乙方應本著謹慎、負責的態度，采取必要、合理的措施，保守其于任職期間知悉或者持有的任何屬于甲方或者雖屬于第三方但甲方承諾有保密義務的商業秘密。

　　第四條 保密責任

　　除履行職務需要之外，未經甲方事先書面同意，乙方不得泄漏、傳播、公布、發表、傳授、轉讓、交換或者以其他任何方式使任何第三方（包括無權知悉該項秘密的甲方職員）知悉屬于甲方或者屬于第三方但甲方承諾有保密義務的商業秘密，也不得在履行職務之外使用這些秘密信息。

　　第五條 保密期限

　　甲乙雙方確認，乙方的保密義務自甲方對本協議第一條所述的商業秘密采取適當的保密措施并告知乙方時開始，到該商業秘密由甲方公開時止。

　　無論乙方因何種原因離職，乙方離職之后（自離職之日起）仍應當保守在甲方任職期間接觸、知悉的屬于甲方或者雖屬于第三方但甲方承諾有保密義務的商業秘密，承擔同在甲方任職期間一樣的保密義務。乙方自離職之日起三年內不得從事相同職業的工作。

　　第六條 從事第二職業的限制

　　乙方承諾在甲方任職期間，不從事第二職業。特別是未經甲方書面同意，不得在與甲方生產、經營同類產品或提供同類www.dewk.cn服務的其他企業內任職，包括但不限于合伙人、董事、監事、股東、經理、職員、代理人、顧問等；不得間接為上述企業提供服務。

　　第七條 秘密信息的載體

　　乙方因職務上的需要所持有或保管的一切記錄有甲方秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體均歸甲方所有，無論這些秘密信息有無商業上的價值。

　　乙方應當于離職時，或者于甲方提出要求時，返還屬于甲方的全部財物和載有甲方秘密信息的一切載體，不得將這些載體及其復制件擅自保留或交給其他任何單位或個人。

　　第八條 任職期間

　　本協議中所稱的任職期間，是指乙方從甲方領取工資到甲方終止向乙方發放工資或乙方不再從甲方領取工資為止的期間。

　　本協議中所稱的離職，是指任何乙方明確表示解除聘用關系并將此種意愿付諸事實的行為，包括辭職、辭退等正常離職和非正常離職。

　　第九條 侵權責任

　　甲、乙雙方約定：

　　（1）如果乙方不履行本協議所規定的保密義務，應當承擔違約責任，任職期間

　　接受甲方的罰款、降薪或辭退等處罰；如已離職，一次性向甲方支付違約金人民幣 元；

　　（2）如果因為乙方前款所稱的違約行為造成甲方的損失，乙方應當承擔違約責

　　任，并承擔賠償甲方損失的責任。

　　（3）前款所述損失賠償按照如下方式計算：

　　①損失賠償額為甲方因乙方的違約行為所受到的實際經濟損失；

　　②如果甲方的損失依照①款所述的計算方法難以計算的，損失賠償額為乙方因違約行為所獲得的全部利潤；或者以不低于甲方商業秘密許可使用費的合理數額作為損失賠償額；

　　③甲方因調查乙方的違約行為而支付的合理費用，應當包含在損失賠償額之內；

　　（4）因乙方的違約行為侵犯了甲方的商業秘密權利的，甲方可以選擇根據本協

　　議要求乙方承擔違約責任，或者根據國家有關法律、

法規通過法律途徑要

　　求乙方承擔侵權法律責任。

　　第十條 爭議解決

　　因本協議而引起的任何糾紛由雙方協商解決；如果協商不成，任何一方均可以向泉州市中級人民法院提起訴訟。

　　上述約定不影響甲方請求知識產權管理部門對侵權行為進行行政處理。

　　第十一條 其它事項

　　本協議如與雙方以前的任何口頭或書面協議有抵觸，以本協議的規定為準。

　　本協議的修改必須采用書面形式。

　　本協議正本一式兩份，甲乙雙方各執一份。

　　第十二條 生效

　　本協議自雙方簽字蓋章之日起生效

　　甲方：_______________________乙方簽字：_______________________

　　代表：_______________________身份證號：_______________________

　　簽字日期：______年____月____日簽字日期：______年____月____日