信息系统问题管理办法总则第一条为了加强信息系统问题管理，规范信息系统问题提出、分析、处理、评估和成果应用等管理流程,确保全面地追踪、分析和彻底解决信息系统问题，依据《信息科技风险管理指引》等银行业制度规范，同时参照国际标准信息系统运维管理理论制定本办法。第二条本办法所称信息系统问题是指信息系统运行维护过程中出现的对于IＴ服务管理目标的整体达成具有影响的因素,或是潜在的并有可能积累和发展成为危机的风险。第三条本办法所称信息系统问题管理是指为达到监管目标而实施的主动管理行为，最终目的是发现、解决和预防信息系统运维管理过程中出现的各种问题，促进我行信息系统运维管理水平的不断提升。组织与职责第四条信息系统问题由归口管理,负责问题管理的组织和实施工作,具有进行问题收集、问题分析、问题处理、问题评估和成果应用等职能。第五条稽核监控部负责对信息系统问题管理进行监管，负责对信息系统问题管理过程的合规性进行审查,提出问题管理的监管目标,对问题管理成果进行合规性评估。第六条风险管理部负责对信息系统问题管理进行风险管理，负责对问题管理进行风险评估、可接受程度审核、问题管理成果评估等。问题的提出第七条依据信息系统运行维护管理要求,对信息系统运行过程中产生的监控预警进行分析提出信息系统问题,或者由信息系统突发事件升级为问题。第八条稽核监控部依据监管部门要求或内控目标，可以对信息系统管理提出预期需要达成的目标。第九条风险管理部依据监管部门要求或风险管理目标，可以对信息系统管理提出预期需要达成的目标。第十条事件升级为问题的条件：反复多次发生而没有找到根本原因或没有彻底解决的一般突发事件或预警可以升级成问题;没有找到根本原因或没有彻底解决的较大突发事件;目前还没有产生负面影响但是存在潜在风险的信息系统缺陷可以成为问题;问题的分析第十一条应成立问题分析专家组,负责信息系统问题的收集整理，完成问题的根本原因分析和发展趋势预测，召集问题分析评审会，直至评审通过后形成信息系统问题分析报告，并定期报送稽核监控部和风险管理部进行审核。第十二条稽核监控部应对信息系统问题分析报告从监管目标或内控目标出发,审核问题分析报告的正确性、完整性和有效性，包括但不限于对报告中对问题原因、问题性质、问题可接受程度、问题发展趋势的分析给出审核意见，并形成信息系统问题审计报告。第十三条风险管理部应对信息系统问题分析报告进行风险评估，包括但不限于对报告中对问题原因、问题性质、问题可接受程度、问题发展趋势的分析给出独立的风险评估意见，并形成信息系统问题风险评估报告。第十四条根据信息系统问题审计报告和信息系统问题风险评估报告，修正和改进信息系统问题分析报告,直至通过风险管理部门和内审部门的审核。问题的处理第十五条依据经审核通过的信息系统问题分析报告对问题产生的根本原因进行逐一分析，结合信息系统问题审计报告和信息系统问题风险评估报告中提出的期望目标，形成目前技术条件下比较可行的解决方案。第十六条为促使历史问题逐步得到解决,对类似或相关的历史问题也应当进行分析，对目前能够得到解决的问题提出目前技术条件下比较可行的解决方案。第十七条对技术解决方案进行分析后，还应当考虑运行维护管理流程是否需要变更，运行维护管理目标是否需要调整，并对各种变更项进行可行性分析，汇总后提出问题解决方案报告，定期报送稽核监控部和风险管理部进行审核。第十八条稽核监控部应当对问题解决方案报告进行审核,方案是否存在未知因素，管理流程是否需要变更,管理目标是否可达到,并提出明确审核意见。第十九条风险管理部应当对问题解决方案报告进行风险审查，方案是否存在未知风险，并提出明确审查意见。第二十条在问题解决方案报告审核通过后,负责组织实施，必要时启动变更流程，同时对执行结果进行监测。结果评估第二十一条结果评估应在解决方案的全部变更项目执行完毕且运行三个月后进行,主要评估解决的成效如何,是否达到预定目标。第二十二条负责组织结果评估，密切监测信息系统运维状态，分析问题解决方案的成效，统计问题解决的成果,提出问题评估报告。第二十二条稽核监控部负责评估是否达到监管目标，是否需要继续改进，对问题解决结果提出明确意见，审查问题评估报告，确认问题管理的变更项和结果。第二十三条风险管理部负责评估问题管理的过程和结果的风险，查找是否有未知风险，问题完成程度评估,接受程度的风险评估等，审查问题评估报告,确认问题管理的变更项和结果。成果应用第二十四条负责对问题管理成果的推广和保持。第二十五条在问题管理评估确认后，应当统计问题管理全过程的信息和资料，重组问题管理过程，建立服务目录，并对这些资料和成果进行知识提取,注入信息系统运维知识库,同时对变更项在配置管理库中进行确认。激励第二十六条定期对信息系统未解决问题进行公示,对已解决问题进行跟踪和总结。对于解决问题的关键人