村鎮(zhèn)銀行信息科技建設(shè)與管理指引（共五則）

第一篇：村鎮(zhèn)銀行信息科技建設(shè)與管理指引

村鎮(zhèn)銀行信息科技建設(shè)與管理指引

（征求意見稿）第一章總則

第一條為提高村鎮(zhèn)銀行信息科技建設(shè)及管理水平，有效防范信息科技風(fēng)險，促進村鎮(zhèn)銀行持續(xù)、穩(wěn)健發(fā)展，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，參照《商業(yè)銀行信息科技風(fēng)險管理指引》要求，制定本指引。

第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的村鎮(zhèn)銀行，村鎮(zhèn)銀行主發(fā)起行（以下簡稱主發(fā)起行）及承擔(dān)村鎮(zhèn)銀行信息科技工作的銀行業(yè)金融機構(gòu)。

第三條村鎮(zhèn)銀行信息科技工作目標是通過建立有效的管理機制，科學(xué)開展信息科技建設(shè)，加強信息科技風(fēng)險管控，確保信息科技工作目標與業(yè)務(wù)發(fā)展目標一致，增強核心競爭力，促進村鎮(zhèn)銀行安全、持續(xù)、穩(wěn)健發(fā)展。

第四條村鎮(zhèn)銀行信息科技工作的基本原則是：

（一）發(fā)展為本：信息科技工作以支持村鎮(zhèn)銀行業(yè)務(wù)健康發(fā)展為根本要求；

（二）風(fēng)險可控：積極采取措施，防范系統(tǒng)中斷、敏感信息泄露和資金損失等風(fēng)險；

（三）資源共享：信息科技工作應(yīng)統(tǒng)籌規(guī)劃、適度集中、節(jié)約高效，合理利用信息科技資源。

第五條根據(jù)信息科技工作的責(zé)任主體不同，村鎮(zhèn)銀行信息科技管理分為自主管理和主發(fā)起行管理兩種模式。自主管理是指村鎮(zhèn)銀行獨立承擔(dān)信息科技規(guī)劃、建設(shè)、運維、風(fēng)險管理和審計等責(zé)任的管理模式，主發(fā)起行管理是指村鎮(zhèn)銀行將信息科技工作委托給主發(fā)起行并由其承擔(dān)村鎮(zhèn)銀行信息科技規(guī)劃、建設(shè)、運維、風(fēng)險管理和審計等責(zé)任的管理模式。

第六條本指引所稱同業(yè)機構(gòu)是指中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的銀行業(yè)金融機構(gòu)。

第七條本指引所稱同業(yè)合作是指村鎮(zhèn)銀行或主發(fā)起行將原本由自身完成的信息科技工作委托給同業(yè)機構(gòu)進行持續(xù)處理的行為。

第八條本指引所稱信息科技外包是指村鎮(zhèn)銀行或主發(fā)起行將原本由自身完成的信息科技工作委托給同業(yè)機構(gòu)以外的其它機構(gòu)進行持續(xù)處理的行為。

第九條村鎮(zhèn)銀行應(yīng)根據(jù)本行市場定位和業(yè)務(wù)發(fā)展戰(zhàn)略，結(jié)合本行管理水平和技術(shù)能力，自主確定本行信息科技管理模式，并履行本指引第二章關(guān)于不同模式下信息科技治理的要求，積極采用自建、同業(yè)合作或外包的方式開展信息科技工作。

第二章信息科技治理第一節(jié)自主管理模式

第十條村鎮(zhèn)銀行法定代表人對村鎮(zhèn)銀行信息科技工作負最終責(zé)任。

第十一條村鎮(zhèn)銀行董事會應(yīng)履行以下職責(zé)，不設(shè)董事會的，應(yīng)設(shè)立由高級管理層組成的組織機構(gòu)（以下簡稱履職機構(gòu)）履行下述職責(zé)：

(一)負責(zé)審批信息科技戰(zhàn)略規(guī)劃，確保與本行的總體發(fā)展戰(zhàn)略相一致；

(二)負責(zé)建立適合業(yè)務(wù)發(fā)展的信息科技治理架構(gòu)，確保責(zé)任明確、分工合理；

(三)為信息科技工作的開展提供資源保障；(四)建立信息科技工作激勵和考核機制；

(五)掌握主要的信息科技風(fēng)險，確保可接受的風(fēng)險級別；(六)確保信息科技審計獨立有效開展；

(七)貫徹有關(guān)信息科技工作的法律法規(guī)，落實中國銀監(jiān)會及其派出機構(gòu)監(jiān)管要求；

(八)向中國銀監(jiān)會及其派出機構(gòu)報告本行重大信息科技突發(fā)事件。

第十二條村鎮(zhèn)銀行高級管理層應(yīng)履行以下職責(zé)：(一)組織制定信息科技戰(zhàn)略規(guī)劃；

(二)建立信息科技部門或指派一個部門，承擔(dān)本行信息科技工作職責(zé)，確保履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技項目研發(fā)和運行管理、信息安全管理、災(zāi)難恢復(fù)計劃、信息科技外包等職責(zé)。

(三)負責(zé)對信息科技工作中的重大事項進行決策；(四)組織開展信息科技建設(shè)，建立信息科技工作制度和流程；

(五)組織評估本行信息科技風(fēng)險并采取相應(yīng)的風(fēng)險控制措施；

(六)組織開展信息科技專業(yè)培訓(xùn)，開展信息科技人才隊伍建設(shè)；

(七)向董事會或履職機構(gòu)報告本行重大信息科技突發(fā)事件。第十三條村鎮(zhèn)銀行應(yīng)將信息科技風(fēng)險納入全面風(fēng)險管理框架，明確信息科技風(fēng)險管理工作的主管部門，建立與業(yè)務(wù)發(fā)展規(guī)劃、經(jīng)營目標、管理職責(zé)相適應(yīng)的信息科技風(fēng)險管理策略，有效識別、計量、監(jiān)測和控制信息科技風(fēng)險。

第十四條村鎮(zhèn)銀行應(yīng)定期開展信息科技審計，至少每三年覆蓋全部信息科技風(fēng)險領(lǐng)域，并根據(jù)審計結(jié)果及時整改。第十五條主發(fā)起行應(yīng)發(fā)揮自身在信息科技工作方面的經(jīng)驗與優(yōu)勢，對村鎮(zhèn)銀行的信息科技工作進行指導(dǎo)和幫助，并履行以下職責(zé)：

(一)協(xié)助村鎮(zhèn)銀行制定信息科技戰(zhàn)略規(guī)劃；

(二)為村鎮(zhèn)銀行信息科技重大事項和決策提供專業(yè)建議；(三)協(xié)助村鎮(zhèn)銀行開展信息科技建設(shè)及風(fēng)險管理；(四)指導(dǎo)村鎮(zhèn)銀行落實本指引第三、四、五章中對于村鎮(zhèn)銀行的監(jiān)管要求。

第二節(jié)主發(fā)起行管理模式

第十六條主發(fā)起行法定代表人對村鎮(zhèn)銀行信息科技工作負最終責(zé)任。

第十七條主發(fā)起行董事會應(yīng)履行以下職責(zé)：(一)審批村鎮(zhèn)銀行信息科技戰(zhàn)略規(guī)劃；

(二)負責(zé)建立與村鎮(zhèn)銀行規(guī)模、業(yè)務(wù)相適應(yīng)的信息科技治理架構(gòu)；

(三)為村鎮(zhèn)銀行信息科技工作的開展提供資源保障。(四)建立村鎮(zhèn)銀行信息科技工作激勵和考核機制；(五)掌握主要的信息科技風(fēng)險，確?？山邮艿娘L(fēng)險級別；(六)確保村鎮(zhèn)銀行信息科技審計獨立有效；(七)貫徹有關(guān)村鎮(zhèn)銀行信息科技工作的法律法規(guī)，落實中國銀監(jiān)會及其派出機構(gòu)監(jiān)管要求；

(八)向中國銀監(jiān)會及其派出機構(gòu)報告村鎮(zhèn)銀行重大信息科技突發(fā)事件。

第十八條主發(fā)起行應(yīng)設(shè)立一個由主發(fā)起行高級管理層、多家村鎮(zhèn)銀行的高級管理層代表，及主發(fā)起行負責(zé)村鎮(zhèn)銀行業(yè)務(wù)、科技管理等部門組成的村鎮(zhèn)銀行信息科技管理委員會，并履行以下職責(zé)：

(一)組織協(xié)商制定村鎮(zhèn)銀行信息科技戰(zhàn)略規(guī)劃；

(二)負責(zé)村鎮(zhèn)銀行信息科技重大事項的決策，組織開展村鎮(zhèn)銀行信息科技建設(shè)，建立村鎮(zhèn)銀行信息科技工作制度和流程；

(三)組織評估村鎮(zhèn)銀行信息科技風(fēng)險并采取相應(yīng)的風(fēng)險控制措施；

(四)定期聽取村鎮(zhèn)銀行對主發(fā)起行信息科技工作情況的反饋，持續(xù)改進村鎮(zhèn)銀行信息科技服務(wù)；

(五)向主發(fā)起行董事會報告、向村鎮(zhèn)銀行董事會或履職機構(gòu)通報村鎮(zhèn)銀行重大信息科技突發(fā)事件。

第十九條主發(fā)起行應(yīng)建立村鎮(zhèn)銀行信息科技工作組織體系，包括：

(一)指派一個部門負責(zé)主發(fā)起行與村鎮(zhèn)銀行的信息科技工作統(tǒng)籌協(xié)調(diào)。(二)設(shè)立或指派一個部門負責(zé)村鎮(zhèn)銀行信息科技工作，建立獨立的團隊負責(zé)村鎮(zhèn)銀行信息系統(tǒng)建設(shè)和運行維護；

(三)設(shè)立或指派一個部門負責(zé)村鎮(zhèn)銀行信息科技風(fēng)險管理工作；

(四)主發(fā)起行審計部門負責(zé)村鎮(zhèn)銀行信息科技審計工作。第二十條主發(fā)起行應(yīng)落實本指引第三章中對于村鎮(zhèn)銀行的監(jiān)管要求。

第二十一條主發(fā)起行應(yīng)建立與村鎮(zhèn)銀行業(yè)務(wù)發(fā)展規(guī)劃、經(jīng)營目標、管理職責(zé)相適應(yīng)的信息科技風(fēng)險管理策略，有效識別、計量、監(jiān)測和控制信息科技風(fēng)險。

第二十二條主發(fā)起行應(yīng)定期開展村鎮(zhèn)銀行信息科技審計，至少每三年覆蓋全部信息科技風(fēng)險領(lǐng)域，并根據(jù)審計結(jié)果及時整改。

第二十三條主發(fā)起行應(yīng)本著“成立初期免費、發(fā)展時期減免、成熟穩(wěn)定時期保本”的原則，建立對村鎮(zhèn)銀行信息科技服務(wù)的收費機制。

第二十四條村鎮(zhèn)銀行應(yīng)積極參加信息科技戰(zhàn)略規(guī)劃、建設(shè)和風(fēng)險管理工作，落實主發(fā)起行對村鎮(zhèn)銀行信息科技工作的要求，配合主發(fā)起行對村鎮(zhèn)銀行的信息科技審計，定期對主發(fā)起行承擔(dān)的村鎮(zhèn)銀行信息科技工作進行評價，并向村鎮(zhèn)銀行信息科技管理委員會反饋評價結(jié)果。第二十五條村鎮(zhèn)銀行與主發(fā)起行應(yīng)簽訂信息科技工作委托協(xié)議，委托協(xié)議應(yīng)包括但不限于：

(一)主發(fā)起行和村鎮(zhèn)銀行分別承擔(dān)的村鎮(zhèn)銀行信息科技管理責(zé)任、權(quán)利和義務(wù)；

(二)主發(fā)起行承擔(dān)的村鎮(zhèn)銀行信息科技工作內(nèi)容；(三)對村鎮(zhèn)銀行客戶信息的保密要求；(四)村鎮(zhèn)銀行信息科技突發(fā)事件應(yīng)急機制；(五)協(xié)議變更流程；(六)協(xié)議的有效期限。

第二十六條村鎮(zhèn)銀行主發(fā)起行為農(nóng)村商業(yè)銀行、農(nóng)村合作銀行或農(nóng)村信用社的，且主發(fā)起行重要信息系統(tǒng)在本省農(nóng)村信用聯(lián)社集中運行的，村鎮(zhèn)銀行可將信息科技工作委托給省農(nóng)村信用聯(lián)社，由省農(nóng)村信用聯(lián)社履行主發(fā)起行管理責(zé)任。

第三章信息科技建設(shè)與管理

第二十七條村鎮(zhèn)銀行應(yīng)制定符合總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風(fēng)險評估計劃，確保配置足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。制定信息科技架構(gòu)，確定信息系統(tǒng)和基礎(chǔ)設(shè)施整體框架，保持前瞻性、可擴展性和靈活性，并定期評估。

第二十八條村鎮(zhèn)銀行信息系統(tǒng)應(yīng)滿足以下要求：(一)具備有效支持各項銀行業(yè)務(wù)開展所需的功能,滿足村鎮(zhèn)銀行發(fā)行銀行卡、建立支付結(jié)算渠道、發(fā)展電子銀行業(yè)務(wù)、創(chuàng)新金融產(chǎn)品等需求；

(二)具備與業(yè)務(wù)處理要求相匹配的良好性能；

(三)應(yīng)避免使用技術(shù)落后、不適應(yīng)業(yè)務(wù)發(fā)展和風(fēng)險管理需要的信息系統(tǒng)；

(四)對于現(xiàn)代化支付、銀行卡聯(lián)網(wǎng)、征信等系統(tǒng)，原則上應(yīng)實現(xiàn)信息系統(tǒng)集中接入和集約管理。

第二十九條村鎮(zhèn)銀行的信息科技基礎(chǔ)設(shè)施應(yīng)滿足以下要求：

（一）信息科技基礎(chǔ)設(shè)施建設(shè)應(yīng)遵循資源共享、標準統(tǒng)一、安全可靠、便于管理的原則，滿足可擴展性、易維護性的要求，為各類信息科技應(yīng)用提供支持和服務(wù)；

（二）機房建設(shè)應(yīng)滿足《電子信息系統(tǒng)機房設(shè)計規(guī)范》（GB50174-2008）要求，信息系統(tǒng)運行所依托的數(shù)據(jù)中心至少應(yīng)達到B級標準，承擔(dān)超過30家（含）村鎮(zhèn)銀行信息系統(tǒng)運行的，所依托的數(shù)據(jù)中心應(yīng)達到A級標準；

（三）機房供電、空調(diào)、主機、存儲和網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施設(shè)備實現(xiàn)冗余配置，避免發(fā)生單點故障；

（四）承擔(dān)超過30家（含）村鎮(zhèn)銀行信息系統(tǒng)運行或所承擔(dān)村鎮(zhèn)銀行資產(chǎn)總量超過300億元（含）的，應(yīng)建立重要信息系統(tǒng)同城實時數(shù)據(jù)級備份中心，并實現(xiàn)RPO不超過24小時的遠程數(shù)據(jù)備份。第三十條村鎮(zhèn)銀行應(yīng)建立完善的信息科技管理制度和工作規(guī)范，包括項目管理、系統(tǒng)開發(fā)運行管理、安全管理、數(shù)據(jù)管理、應(yīng)急管理、外包管理、風(fēng)險及審計管理。

第三十一條村鎮(zhèn)銀行應(yīng)建立信息系統(tǒng)開發(fā)、運行管理流程，涵蓋需求管理、開發(fā)管理、測試管理、驗收管理、問題管理和變更管理等內(nèi)容，包括：

(一)建立需求管理機制，涵蓋需求風(fēng)險分析和可行性研究，確保需求合理、準確；

(二)建立系統(tǒng)化的開發(fā)、測試方法和流程，包括需求分析、設(shè)計、編碼、測試、評審、發(fā)版等環(huán)節(jié)；

(三)嚴格管控信息系統(tǒng)投產(chǎn)上線，上線前應(yīng)有完備的上線方案和回退方案，上線過程應(yīng)進行記錄和跟蹤，投產(chǎn)后應(yīng)做好系統(tǒng)驗收，包括系統(tǒng)功能、性能、安全、文檔等；

(四)建立事件管理流程，快速響應(yīng)系統(tǒng)運行事件、修復(fù)故障，及時恢復(fù)系統(tǒng)運行，并深入分析問題根源，防范事件再次發(fā)生；

(五)建立配置管理流程，及時更新數(shù)據(jù)中心基礎(chǔ)設(shè)施和重要信息系統(tǒng)的配置信息，支持變更風(fēng)險評估、變更實施、故障事件排查、問題分析等服務(wù)管理流程；

(六)建立變更管理流程，包括提出、審核、實施、記錄等環(huán)節(jié)，確保信息系統(tǒng)可靠性、可維護性和可追溯性。變更前需進行備份，變更實施需雙人操作。信息系統(tǒng)變更應(yīng)經(jīng)村鎮(zhèn)銀行信息科技管理部門確認后方可實施。第三十二條村鎮(zhèn)銀行應(yīng)建立信息安全管理機制，涵蓋物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、加密技術(shù)、日志管理等內(nèi)容，包括：

(一)明確機房物理安全區(qū)域，規(guī)范區(qū)域訪問管理，控制未授權(quán)訪問風(fēng)險；

(二)劃分生產(chǎn)網(wǎng)絡(luò)安全域，互聯(lián)網(wǎng)和生產(chǎn)網(wǎng)應(yīng)實現(xiàn)有效隔離，保障網(wǎng)絡(luò)通信安全；

(三)建立信息系統(tǒng)訪問控制和授權(quán)管理體系，根據(jù)最小授權(quán)原則配置不同用戶的訪問權(quán)限，嚴格管理高權(quán)限賬號，規(guī)范系統(tǒng)普通賬號和密碼的創(chuàng)建、變更、刪除等，防止非法訪問；

(四)在生產(chǎn)數(shù)據(jù)采集、存儲、傳輸?shù)冗^程中應(yīng)對密碼等關(guān)鍵信息采取加密、校驗等有效措施，確保該類信息安全，防止被篡改和竊?。?/p>

(五)村鎮(zhèn)銀行重要信息系統(tǒng)日志和交易日志、系統(tǒng)變更審批記錄以及數(shù)據(jù)使用、變更、備份、銷毀審批記錄應(yīng)保存完整，保留期限應(yīng)符合審計要求。

第三十三條村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)的所有權(quán)歸村鎮(zhèn)銀行。村鎮(zhèn)銀行以外的單位未經(jīng)授權(quán)，不得查詢、使用、變更、銷毀村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)。生產(chǎn)數(shù)據(jù)的管理規(guī)范包括：

(一)生產(chǎn)數(shù)據(jù)的查詢、使用應(yīng)遵循嚴格的審批和操作流程，經(jīng)村鎮(zhèn)銀行數(shù)據(jù)管理部門負責(zé)人審批同意方可使用。開發(fā)測試等需要使用生產(chǎn)數(shù)據(jù)時，需對數(shù)據(jù)進行脫敏處理；(二)生產(chǎn)數(shù)據(jù)變更應(yīng)遵循嚴格的審批和操作流程，經(jīng)村鎮(zhèn)銀行高管層審批同意后，雙人實施，并對變更結(jié)果進行確認；

(三)廢棄生產(chǎn)數(shù)據(jù)應(yīng)經(jīng)審批后采用不可逆技術(shù)手段進行銷毀處理，銷毀工作由數(shù)據(jù)管理部門現(xiàn)場監(jiān)督；

(四)生產(chǎn)數(shù)據(jù)至少每日進行備份，備份介質(zhì)應(yīng)異地保存，定期對備份數(shù)據(jù)進行恢復(fù)性測試，確保一致性和可用性；

(五)對于承擔(dān)多家村鎮(zhèn)銀行信息系統(tǒng)運行的，應(yīng)采取技術(shù)措施，確保村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)的保密性和完整性。

第三十四條村鎮(zhèn)銀行應(yīng)建立有效的應(yīng)急管理體系，確保重要信息系統(tǒng)突發(fā)事件發(fā)生后快速恢復(fù)，降低或消除因重要信息系統(tǒng)服務(wù)中斷造成的影響和損失。包括：

(一)建立應(yīng)急管理組織機構(gòu)，負責(zé)信息系統(tǒng)突發(fā)事件應(yīng)急管理工作；

(二)制定信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案，實施信息系統(tǒng)突發(fā)事件應(yīng)急處置；

(三)定期組織信息系統(tǒng)應(yīng)急演練，持續(xù)改進信息系統(tǒng)應(yīng)急預(yù)案；

(四)將同業(yè)機構(gòu)、重要外包服務(wù)提供商納入應(yīng)急管理。

第四章同業(yè)合作管理

第三十五條村鎮(zhèn)銀行或主發(fā)起行應(yīng)綜合評估擬受托同業(yè)機構(gòu)的行業(yè)經(jīng)驗、科技實力和管理能力等，遵循平等、自愿、誠信、互利的原則，委托同業(yè)機構(gòu)承擔(dān)村鎮(zhèn)銀行信息科技服務(wù)工作?？蛇x擇的受托同業(yè)機構(gòu)包括：

(一)經(jīng)中國銀監(jiān)會批準、在中華人民共和國境內(nèi)設(shè)立、監(jiān)管評級為二級（含）以上的銀行業(yè)金融機構(gòu)；

(二)省級農(nóng)村信用社聯(lián)合社（以下簡稱省聯(lián)社），經(jīng)中國銀監(jiān)會批準的主要從事銀行IT系統(tǒng)、產(chǎn)品的開發(fā)和數(shù)據(jù)運營維護等業(yè)務(wù)的非銀行金融機構(gòu)。

第三十六條村鎮(zhèn)銀行與受托同業(yè)機構(gòu)應(yīng)簽訂同業(yè)合作協(xié)議，在主發(fā)起行管理模式下，村鎮(zhèn)銀行、主發(fā)起行、受托同業(yè)機構(gòu)應(yīng)簽訂三方合作協(xié)議。同業(yè)合作協(xié)議應(yīng)包括但不限于以下方面：

(一)各簽約方的責(zé)任、權(quán)利和義務(wù)；(二)信息科技同業(yè)合作內(nèi)容；(三)合規(guī)與內(nèi)控要求；(四)服務(wù)連續(xù)性要求；(五)知識產(chǎn)權(quán)歸屬；

(六)與同業(yè)合作內(nèi)容相適應(yīng)的服務(wù)要求或服務(wù)水平條款；(七)同業(yè)合作評價與報告機制；

(八)受托同業(yè)機構(gòu)在安全和保密方面的責(zé)任；(九)協(xié)議變更流程；(十)協(xié)議的有效期限。第三十七條受托同業(yè)機構(gòu)應(yīng)建立有效的信息科技治理機制，對其承擔(dān)的村鎮(zhèn)銀行信息科技工作負有科技風(fēng)險管理責(zé)任，并配合村鎮(zhèn)銀行信息科技審計工作。

第三十八條受托同業(yè)機構(gòu)開展村鎮(zhèn)銀行信息科技建設(shè)與管理應(yīng)遵照本指引第三章的要求。

第三十九條各簽約方應(yīng)建立良好的溝通協(xié)調(diào)機制，應(yīng)指定部門負責(zé)信息科技事項的溝通工作，確保信息科技服務(wù)及時、到位。

(一)村鎮(zhèn)銀行或主發(fā)起行應(yīng)定期對受托同業(yè)機構(gòu)的科技服務(wù)進行評價，并將評價結(jié)果反饋至受托同業(yè)機構(gòu)，促進受托同業(yè)機構(gòu)改進科技服務(wù)；

(二)受托同業(yè)機構(gòu)應(yīng)確保對村鎮(zhèn)銀行的信息科技服務(wù)水平，包括服務(wù)內(nèi)容、服務(wù)流程、系統(tǒng)可用性、響應(yīng)時間、故障解決率等量化的服務(wù)標準等方面；

(三)受托同業(yè)機構(gòu)應(yīng)建立對村鎮(zhèn)銀行或主發(fā)起行的回訪機制，全面了解村鎮(zhèn)銀行的工作意見和建議，并根據(jù)回訪情況制定整改措施?；卦L頻率不低于每年一次。

第五章外包管理第四十條村鎮(zhèn)銀行或主發(fā)起行在開展村鎮(zhèn)銀行信息科技外包活動時，可參照《銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險管理指引》內(nèi)容進行管理。

第四十一條村鎮(zhèn)銀行或主發(fā)起行應(yīng)建立信息科技外包管理制度及流程，有效管控信息科技外包風(fēng)險。

第四十二條村鎮(zhèn)銀行或主發(fā)起行應(yīng)審慎開展村鎮(zhèn)銀行信息科技外包活動，信息科技外包前應(yīng)進行全面的可行性分析，防范由于外包而引發(fā)的各類風(fēng)險?？尚行苑治霭ǖ幌抻谝韵聝?nèi)容：

(一)擬外包工作對村鎮(zhèn)銀行業(yè)務(wù)發(fā)展及風(fēng)險狀況的影響；(二)對擬外包活動的控制能力；(三)擬外包活動對數(shù)據(jù)安全的影響；

(四)擬外包活動意外終止對村鎮(zhèn)銀行的影響；(五)中國銀監(jiān)會要求的其他事項。

第四十三條村鎮(zhèn)銀行或主發(fā)起行實施外包服務(wù)項目前，應(yīng)對服務(wù)提供商進行盡職調(diào)查。盡職調(diào)查內(nèi)容包括但不限于：

(一)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗，包括服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗、服務(wù)人員技能、市場評價、監(jiān)管評價等；

(二)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括內(nèi)部控制機制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等；(三)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況，包括從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。第四十四條在開展信息科技外包活動時，村鎮(zhèn)銀行或主發(fā)起行應(yīng)避免選擇存在下列情況的高風(fēng)險外包服務(wù)提供商：

(一)影響國家安全和經(jīng)濟穩(wěn)定；(二)違反相關(guān)法律、行政法規(guī)及規(guī)章；

(三)竊取、泄露銀行業(yè)金融機構(gòu)的敏感信息，并造成惡劣影響；

(四)外包服務(wù)過程中，服務(wù)態(tài)度惡劣、服務(wù)質(zhì)量低下，且拒不按要求進行改進，并給多家銀行業(yè)金融機構(gòu)造成損失；

(五)由于外包服務(wù)提供商原因引發(fā)《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》中定義的重大（含）及以上運營中斷事件，且未采取有效整改措施；

(六)外包服務(wù)提供商拒絕配合銀行業(yè)金融機構(gòu)向銀行業(yè)監(jiān)督管理機構(gòu)提供村鎮(zhèn)銀行各類數(shù)據(jù)；

(七)中國銀監(jiān)會認定的“黑名單”服務(wù)提供商；(八)其他中國銀監(jiān)會認定的對銀行業(yè)金融機構(gòu)造成損失或帶來惡劣影響的行為。

第四十五條村鎮(zhèn)銀行或主發(fā)起行在實施外包服務(wù)項目前，應(yīng)與服務(wù)提供商簽訂外包服務(wù)合同，外包服務(wù)合同中應(yīng)明確以下內(nèi)容：(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；

(二)合規(guī)與內(nèi)控要求，對法律法規(guī)及村鎮(zhèn)銀行內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報貫徹機制、服務(wù)提供商的內(nèi)控措施；

(三)服務(wù)連續(xù)性要求，服務(wù)提供商的業(yè)務(wù)連續(xù)性管理目標應(yīng)當(dāng)滿足銀行業(yè)金融機構(gòu)業(yè)務(wù)連續(xù)性目標要求；

(四)村鎮(zhèn)銀行監(jiān)控和檢查的權(quán)力，以及服務(wù)提供商配合其內(nèi)、外部審計機構(gòu)和監(jiān)管機構(gòu)開展延伸檢查的責(zé)任；

(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，以及合同變更或終止的過渡安排，包括信息、資料和設(shè)施的交接處置等過渡期間相關(guān)服務(wù)的安排；

(六)外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；

(七)服務(wù)要求或服務(wù)水平條款，至少應(yīng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標準及業(yè)務(wù)連續(xù)性要求的遵守情況、技術(shù)支持水平等；

(八)報告條款，至少包括如下內(nèi)容：常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求；(九)安全及保密條款，包括服務(wù)提供商不得在合同允許范圍外使用或者披露村鎮(zhèn)銀行信息，不得以村鎮(zhèn)銀行名義開展活動等；

(十)外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包禁止條款；(十一)其他應(yīng)當(dāng)明確的事項。

第四十六條村鎮(zhèn)銀行或主發(fā)起行應(yīng)與服務(wù)提供商簽訂服務(wù)水平協(xié)議，并按照服務(wù)水平協(xié)議要求提供相應(yīng)的科技服務(wù)。服務(wù)水平協(xié)議應(yīng)包括但不限于以下方面：

(一)明確的雙方職責(zé)描述；(二)詳細的服務(wù)內(nèi)容描述；

(三)服務(wù)請求受理流程、故障報告流程等服務(wù)工作流程；(四)與外包服務(wù)相適應(yīng)的服務(wù)水平指標；(五)服務(wù)質(zhì)量評價與報告；(六)服務(wù)水平協(xié)議變更流程；

(七)服務(wù)水平協(xié)議的有效期限和具體條款的有效期限。第四十七條在外包服務(wù)實施過程中，村鎮(zhèn)銀行或主發(fā)起行應(yīng)當(dāng)對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。第四十八條村鎮(zhèn)銀行或主發(fā)起行應(yīng)將外包風(fēng)險審計納入信息科技審計范圍，至少每三年對重要外包服務(wù)商進行一次全面審計。外包風(fēng)險事件發(fā)生后，應(yīng)及時開展專項審計。

第四十九條村鎮(zhèn)銀行或主發(fā)起行應(yīng)審慎選擇注冊地或數(shù)據(jù)中心在大陸以外地區(qū)的外包服務(wù)商，充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)的政治、經(jīng)濟和社會狀況，詳細分析國內(nèi)外法律法規(guī)、監(jiān)管要求差異，通過建立應(yīng)急預(yù)案等措施防范國別風(fēng)險。選擇境外服務(wù)提供商實施外包項目，不應(yīng)妨礙村鎮(zhèn)銀行外包服務(wù)監(jiān)控管理職能及監(jiān)管機構(gòu)的延伸檢查權(quán)。

第六章監(jiān)督管理

第五十條中國銀監(jiān)會及其派出機構(gòu)依法對村鎮(zhèn)銀行信息科技工作實施非現(xiàn)場監(jiān)管和現(xiàn)場檢查。

第五十一條村鎮(zhèn)銀行信息科技管理模式為自主管理的，由村鎮(zhèn)銀行屬地監(jiān)管機構(gòu)履行信息科技監(jiān)管職責(zé);信息科技管理模式為主發(fā)起行管理的，由村鎮(zhèn)銀行主發(fā)起行屬地監(jiān)管機構(gòu)履行信息科技監(jiān)管職責(zé)，并聯(lián)動村鎮(zhèn)銀行屬地監(jiān)管機構(gòu)開展監(jiān)管工作。第五十二條村鎮(zhèn)銀行向中國銀監(jiān)會或派出機構(gòu)提交開業(yè)行政許可申請時，應(yīng)向?qū)俚乇O(jiān)管機構(gòu)報告其信息科技管理模式。采用主發(fā)起行管理模式的，主發(fā)起行應(yīng)同時向主發(fā)起行屬地監(jiān)管機構(gòu)報告。管理模式發(fā)生變更的，村鎮(zhèn)銀行及主發(fā)起行應(yīng)于變更前40個工作日分別向?qū)俚乇O(jiān)管機構(gòu)報告。

第五十三條信息科技管理模式為主發(fā)起行管理的，村鎮(zhèn)銀行屬地監(jiān)管機構(gòu)應(yīng)逐級上報至中國銀監(jiān)會。

第五十四條村鎮(zhèn)銀行或主發(fā)起行委托同業(yè)機構(gòu)或服務(wù)提供商開展以下信息科技工作時,應(yīng)在同業(yè)合作協(xié)議或外包服務(wù)合同簽訂前20個工作日向中國銀監(jiān)會或其派出機構(gòu)報告。

(一)信息科技工作整體委托；(二)數(shù)據(jù)中心、災(zāi)備中心整體委托；

(三)涉及將村鎮(zhèn)銀行客戶資料、交易數(shù)據(jù)等敏感信息交由同業(yè)機構(gòu)或服務(wù)提供商進行存貯、分析或處理的；

(四)涉及跨境的信息科技外包；

(五)其他中國銀監(jiān)會認為重要的信息科技委托事項。第五十五條村鎮(zhèn)銀行或主發(fā)起行委托同業(yè)機構(gòu)或服務(wù)提供商開展第五十四條所述信息科技工作的報告內(nèi)容包括：

(一)委托服務(wù)基本情況，包括：委托服務(wù)名稱，委托服務(wù)的主要內(nèi)容，實施方式，影響的業(yè)務(wù)類型（渠道管理類、客戶管理類、產(chǎn)品管理類、財務(wù)管理類、決策支持類、共享支持類），委托服務(wù)起止時間；

(二)同業(yè)機構(gòu)或服務(wù)提供商基本情況，包括：同業(yè)機構(gòu)或服務(wù)提供商全稱，法人代表，注冊資本，成立時間，企業(yè)性質(zhì)；(三)中國銀監(jiān)會規(guī)定的其他材料。

第五十六條承擔(dān)村鎮(zhèn)銀行重要信息系統(tǒng)運行的主發(fā)起行或同業(yè)機構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項在重要信息系統(tǒng)投產(chǎn)前至少20個工作日，變更前至少10個工作日向中國銀監(jiān)會或其派出機構(gòu)報告。

第五十七條發(fā)生達到《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》報送級別的重要信息系統(tǒng)突發(fā)事件時，村鎮(zhèn)銀行及主發(fā)起行應(yīng)遵照其要求向銀監(jiān)會及派出機構(gòu)報告。

第五十八條對于承擔(dān)多家村鎮(zhèn)銀行信息科技工作、集中度風(fēng)險相對較高的主發(fā)起行和同業(yè)機構(gòu)，銀監(jiān)會及其派出機構(gòu)應(yīng)定期對其信息科技風(fēng)險管理的有效性進行評價，并依據(jù)其所承接村鎮(zhèn)銀行的數(shù)量、資產(chǎn)規(guī)模等情況加強現(xiàn)場檢查。

第七章附則

第五十九條本指引由中國銀監(jiān)會負責(zé)解釋。第六十條本指引自發(fā)布之日起實施。

第二篇：村鎮(zhèn)銀行信息科技風(fēng)險管理辦法

村鎮(zhèn)銀行信息科技風(fēng)險管理辦法

（征求意見稿）

第一章總則

第一條為加強村鎮(zhèn)銀行信息科技風(fēng)險管理，確?？萍俭w系持續(xù)穩(wěn)定運轉(zhuǎn)，根據(jù)《商業(yè)銀行信息科技風(fēng)險管理指引》等有關(guān)法律、法規(guī)，制定本辦法。

第二條信息科技風(fēng)險管理是通過建立有效機制，實現(xiàn)對銀行信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制，推動村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新，提高信息化管理水平，保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。

第二章信息科技風(fēng)險管理組織架構(gòu)

第三條信息科技風(fēng)險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。

第四條

發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險的主要管理部門，發(fā)起行科技信息中心有以下信息科技風(fēng)險管理的權(quán)限和職責(zé)：

（一）建立有效的信息科技風(fēng)險管理管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機制，防范和控制信息科技風(fēng)險管理；

（二）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標準，落實人民銀行和銀監(jiān)會相關(guān)監(jiān)管要求；

（三）履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和管理職責(zé)，建立、健全村鎮(zhèn)銀行信息科技風(fēng)險管理相關(guān)規(guī)章、制度，并嚴格執(zhí)行；

（四）負責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和監(jiān)控等工作，提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運行技術(shù)支持；

（五）負責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實有關(guān)信息科技風(fēng)險管理的各項規(guī)章制度；

（六）發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。

第三章信息科技風(fēng)險具體控制要求

第五條信息科技總體風(fēng)險點是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險。包括以下風(fēng)險點：

（一）缺少信息系統(tǒng)風(fēng)險管理策略；

（二）自然災(zāi)害、運行環(huán)境變化；

（三）信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善；

（四）信息安全標準化工作不符合國家相關(guān)規(guī)定；

（五）缺乏信息安全風(fēng)險評估機制；

（六）數(shù)據(jù)中心機房物理安全；

（七）使用盜版軟件及自有成果的知識產(chǎn)權(quán)保護；

（八）電子設(shè)備自身運行；

（九）主機與網(wǎng)絡(luò)運行；

（十）網(wǎng)絡(luò)安全；

（十一）密碼安全；

（十二）數(shù)據(jù)加密安全；

（十三）信息系統(tǒng)配置參數(shù)管理；

（十四）數(shù)據(jù)管理；

（十五）突發(fā)事件響應(yīng)；

（十六）信息系統(tǒng)故障導(dǎo)致影響銀行信譽；（十七）網(wǎng)上銀行安全。

第六條信息系統(tǒng)總體風(fēng)險控制措施：

（一）根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃，在村鎮(zhèn)銀行風(fēng)險管理政策指引下，制定明確、持續(xù)的信息系統(tǒng)風(fēng)險管理策略，根據(jù)信息系統(tǒng)的等級保護級別對信息系統(tǒng)進行分析和評估，并實施有效的風(fēng)險控制；

（二）建立同城信息系統(tǒng)災(zāi)備中心實現(xiàn)運行環(huán)境備份，防止各類突發(fā)事故和惡意攻擊事件造成不良后果；

（三）建立健全相關(guān)信息科技制度，明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機制，實行最小授權(quán)；

（四）嚴格執(zhí)行國家信息安全相關(guān)標準，參照有關(guān)國際準則，積極推進信息安全標準化，開展信息安全等級保護等相關(guān)工作；

（五）加強對信息系統(tǒng)的風(fēng)險評估，及時對風(fēng)險點進行修補和完善，以保證信息系統(tǒng)的安全性和完整性；

（六）信息系統(tǒng)數(shù)據(jù)中心機房建設(shè)時嚴格參照國家有關(guān)計算機場地、環(huán)境、供配電等技術(shù)標準，數(shù)據(jù)中心機房實行嚴格的門禁管理措施，未經(jīng)授權(quán)不得進入；

（七）加強知識產(chǎn)權(quán)保護，使用正版軟件，加強軟件版本管理；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護村鎮(zhèn)銀行信息化成果；

（八）嚴格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標準。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當(dāng)數(shù)量的備品、備件；

（九）嚴格參照相關(guān)標準和規(guī)范設(shè)計、建設(shè)信息系統(tǒng)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進性和產(chǎn)品成熟性；關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴格線路租用合同管理，按照業(yè)務(wù)和交易流量要

求保證傳輸帶寬；監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運行；

（十）加強網(wǎng)絡(luò)安全管理。嚴格網(wǎng)絡(luò)邊界控制，使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險；

（十一）加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度；

（十二）加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫，采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護敏感數(shù)據(jù)的傳輸和存取，以保證數(shù)據(jù)的完整性、保密性；

（十三）對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，并嚴格審批和登記手續(xù)；

（十四）制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案，并定期進行演練、評審和修訂；

（十五）加強對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時應(yīng)嚴格授權(quán)管理；

（十六）在信息系統(tǒng)可能影響客戶服務(wù)時，及時通知業(yè)務(wù)部門，以便以適當(dāng)方式告知客戶；

（十七）采取有效技術(shù)措施，切實加強網(wǎng)上銀行信息安全保

障。加強網(wǎng)銀用戶身份認證管理，與業(yè)務(wù)部門密切配合，逐步對所有網(wǎng)上銀行高風(fēng)險賬戶操作統(tǒng)一使用雙重身份認證。積極研發(fā)和應(yīng)用各類維護網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。

第七條

信息科技研發(fā)風(fēng)險的操作風(fēng)險點是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險。包括以下風(fēng)險點：

（一）信息系統(tǒng)項目研發(fā)管理；

（二）信息系統(tǒng)項目開發(fā)人員外包；

（三）信息系統(tǒng)項目需求不明確；

（四）信息系統(tǒng)測試不規(guī)范或不完善；

（五）信息系統(tǒng)應(yīng)用推廣；

（六）信息系統(tǒng)測試發(fā)現(xiàn)的軟件缺陷；

（七）信息系統(tǒng)項目文檔管理；

（八）信息系統(tǒng)項目驗收。

第八條

信息科技研發(fā)風(fēng)險具體控制要求：

（一）一般項目研發(fā)成立項目工作小組，重大項目還應(yīng)成立項目領(lǐng)導(dǎo)小組，并指定負責(zé)人。項目領(lǐng)導(dǎo)小組負責(zé)項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負責(zé)整個項目的開發(fā)工作；

（二）項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識，小組負責(zé)人需具備組織領(lǐng)導(dǎo)能力，保證信息

系統(tǒng)研發(fā)質(zhì)量和進度；

（三）項目組根據(jù)業(yè)務(wù)部門項目需求編制項目功能說明書，依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書，設(shè)計和編碼應(yīng)符合項目功能說明書的要求；

（四）軟件研發(fā)必須建立獨立的測試環(huán)境，以保證測試的完整性和準確性。一般測試應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試等，測試不得直接使用生產(chǎn)數(shù)據(jù)；

（五）研發(fā)人員必須根據(jù)測試結(jié)果修補信息系統(tǒng)的功能和缺陷，提高信息系統(tǒng)的整體質(zhì)量；

（六）根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃，并進行演練；

（七）開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認并歸檔保存；

（八）軟件開發(fā)項目必須進行嚴格的項目驗收流程，項目驗收應(yīng)出具由相關(guān)負責(zé)人簽字的項目驗收報告，驗收不合格不得投入使用。

第九條信息科技運行維護風(fēng)險的操作風(fēng)險點是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險。包括以下風(fēng)險點：

（一）人為因素導(dǎo)致信息系統(tǒng)運行故障；

（二）運行管理不完善；

（三）信息系統(tǒng)日常變更；

（四）新建信息系統(tǒng)運行；

（五）機房環(huán)境變化；

（六）信息系統(tǒng)故障報告程序。

第十條信息科技運行維護風(fēng)險具體控制要求：

（一）信息系統(tǒng)運行人員應(yīng)實行專職，不得由其他人員兼任。運行人員應(yīng)按操作規(guī)程巡檢和操作。對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護應(yīng)符合授權(quán)和維護規(guī)程要求；

（二）相關(guān)信息系統(tǒng)運行維護人員嚴格按照信息系統(tǒng)管理制度及維護手冊運行及維護信息系統(tǒng)。對軟件或數(shù)據(jù)的維護必須通過上級審批、授權(quán)后方可進行；

（三）制訂嚴格的信息系統(tǒng)變更處理流程，明確變更流程中各崗位的職責(zé)分工，并遵循流程實施控制和管理；

（四）在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，應(yīng)配合業(yè)務(wù)部門，積極參與組織對系統(tǒng)的后評價，根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化；

（五）對機房環(huán)境設(shè)施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案；

（六）實行事件報告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件，應(yīng)即時上報并處理，必要時啟動應(yīng)急處理預(yù)案。

第十一條

信息科技外包風(fēng)險的操作風(fēng)險點外包風(fēng)險是指

銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。包括以下風(fēng)險點：

（一）信息科技外包需求控制風(fēng)險；

（二）信息科技外包承包方合作風(fēng)險；

（三）信息科技外包項目商業(yè)風(fēng)險；

（四）信息科技外包項目安全風(fēng)險；

（五）信息科技外包項目質(zhì)量風(fēng)險；

（六）信息科技外包項目風(fēng)險管理；

（七）信息科技外包項目責(zé)任風(fēng)險；（入）信息科技外包項目監(jiān)控風(fēng)險。

第十二條信息科技外包風(fēng)險具體控制要求：

（一）在進行信息系統(tǒng)外包時，應(yīng)根據(jù)風(fēng)險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風(fēng)險，建立健全相關(guān)規(guī)章制度，制定相應(yīng)的風(fēng)險防范措施；

（二）建立健全外包承包方評估機制，充分審查、評估承包方的經(jīng)營狀況、財務(wù)實力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實際風(fēng)險控制與責(zé)任承擔(dān)水平，并進行必要的盡職情況調(diào)查。評估工作可委托具有國家相應(yīng)監(jiān)管部門認定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗的獨立機構(gòu)完成；

（三）與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責(zé)任；

（四）充分認識外包服務(wù)對信息系統(tǒng)風(fēng)險控制的直接和間接

影響，并將其納入總體安全策略和風(fēng)險控制之中；

（五）建立完整的信息系統(tǒng)外包風(fēng)險評估與檢測程序，審查管理外包產(chǎn)生的風(fēng)險，提高本機構(gòu)的外包管理的能力；

（六）信息系統(tǒng)外包風(fēng)險管理應(yīng)符合風(fēng)險管理標準和策略，并建立針對信息系統(tǒng)外包風(fēng)險的應(yīng)急計劃；

（七）與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法，保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案；

（八）對信息系統(tǒng)外包承包方進行持續(xù)的監(jiān)控。

第四章附則

第十三條各支行可依據(jù)本辦法，結(jié)合本單位實際情況，制定具體實施細則。

第十四條本辦法由村鎮(zhèn)銀行負責(zé)解釋和修訂。第十五條本規(guī)定自印發(fā)之日起施行。

第三篇：商業(yè)銀行信息科技風(fēng)險管理指引

商業(yè)銀行信息科技風(fēng)險管理指引

第一章總則

第一條為加強商業(yè)銀行信息科技風(fēng)險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。

第三條本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條本指引所稱信息科技風(fēng)險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。

第五條信息科技風(fēng)險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

第二章信息科技治理

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負責(zé)組織本指引的貫徹落實。

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）相關(guān)監(jiān)管要求。

（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風(fēng)險管理工作的總體效果和效率。

（三）掌握主要的信息科技風(fēng)險，確定可接受的風(fēng)險級別，確保相關(guān)風(fēng)險能夠被識別、計量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險管理重要性的認識。

（五）設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負責(zé)監(jiān)督各項職責(zé)的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專業(yè)隊伍的建設(shè)，建立人才激勵機制。

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風(fēng)險管理審計，對審計報告進行確認并落實整改。

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風(fēng)險管理的報告。

（九）確保信息科技風(fēng)險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風(fēng)險管理制度和流程，并安排相關(guān)培訓(xùn)。

（十一）確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求，防范跨境風(fēng)險。

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風(fēng)險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。

（十四）履行信息科技風(fēng)險管理其他相關(guān)工作。 第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息官的職責(zé)包括：

（一）直接參與本銀行與信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策。

（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險管理策略。

（三）負責(zé)建立一個切實有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級、信息安全管理、災(zāi)難恢復(fù)計劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。

（四）確保信息科技風(fēng)險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)。

（五）組織專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能。

（六）履行信息科技風(fēng)險管理其他相關(guān)工作。

第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時更新。對相關(guān)人員應(yīng)采取下列風(fēng)險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。 第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責(zé)信息科技風(fēng)險管理工作，并直接向首席信息官或首席風(fēng)險官（風(fēng)險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風(fēng)險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風(fēng)險審計崗位，負責(zé)信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。

第十二條商業(yè)銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機構(gòu)信息科技知識產(chǎn)權(quán)保護策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護本機構(gòu)自主知識產(chǎn)權(quán)。

第十三條商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時披露信息科技風(fēng)險狀況。

第三章信息科技風(fēng)險管理

第十四條商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風(fēng)險評估計劃，確保配臵足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級與保護。

（二）信息系統(tǒng)開發(fā)、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵。 第十六條商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進行排序，并確定風(fēng)險防范措施及所需資源的優(yōu)先級別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果，實施全面的風(fēng)險防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風(fēng)險管理制度、技術(shù)標準和操作規(guī)程等，定期進行更新和公示。

（二）確定潛在風(fēng)險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風(fēng)險最小化。建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險；定義每個業(yè)務(wù)級別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。 4.審批和授權(quán)。 5.驗證和調(diào)節(jié)。 第十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機制，其中應(yīng)包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統(tǒng)性能的程序和標準。

（三）建立信息科技服務(wù)投訴和事故處理的報告機制。

（四）建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

（五）安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進行定期審查。

（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環(huán)境下操作風(fēng)險和管理控制的檢查。

（八）定期進行信息科技外包項目的風(fēng)險狀況評價。 第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風(fēng)險管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險。

第四章信息安全

第二十條商業(yè)銀行信息科技部門負責(zé)建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護流程。

第二十一條商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。

信息安全策略應(yīng)涉及以下領(lǐng)域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產(chǎn)管理。

（四）人員安全管理。

（五）物理與環(huán)境安全管理。

（六）通信與運營管理。

（七）訪問控制管理。

（八）系統(tǒng)開發(fā)與維護管理。

（九）信息安全事故管理。

（十）業(yè)務(wù)連續(xù)性管理。

（十一）合規(guī)性管理。

第二十二條商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的工作崗位或離開商業(yè)銀行時，應(yīng)在系統(tǒng)中及時檢查、更新或注銷用戶身份。

第二十三條商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測和恢復(fù)控制措施。

第二十四條商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

（一）域內(nèi)應(yīng)用程序和用戶組的重要程度。

（二）各種通訊渠道進入域的訪問點。

（三）域內(nèi)配臵的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。

（四）性能要求或標準。

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人員、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限。

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。

（四）要求技術(shù)人員定期檢查可用的安全補丁，并報告補丁管理狀態(tài)。

（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。

第二十六條商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。

（二）針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗證方法。

（三）加強職責(zé)劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（四）在關(guān)鍵的接合點進行輸入驗證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時向用戶提供必要信息。

（七）以書面或電子格式保存審計痕跡。

（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。

第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計算機和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：

（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保存。

商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當(dāng)措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報信息科技管理委員會批準。

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風(fēng)險，并建立密碼設(shè)備管理制度，以確保：

（一）使用符合國家要求的加密技術(shù)和加密設(shè)備。

（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴格審查。

（三）加密強度滿足信息機密性的要求。

（四）制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

第二十九條商業(yè)銀行應(yīng)配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA）等。 第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。

第五章信息系統(tǒng)開發(fā)、測試和維護

第三十二條商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當(dāng)包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。 第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風(fēng)險，包括潛在的各種操作風(fēng)險、財務(wù)損失風(fēng)險和因無效項目規(guī)劃或不適當(dāng)?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成本，并采取適當(dāng)?shù)捻椖抗芾矸椒ǎ刂菩畔⒖萍柬椖肯嚓P(guān)的風(fēng)險。

第三十四條商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復(fù)雜度。

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，其中應(yīng)包括以下要求：

（一）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動都應(yīng)立即進行記錄和審核。

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準，并對變更進行及時記錄和定期復(fù)查。

第三十六條商業(yè)銀行應(yīng)制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、保密性和可用性。

第三十七條商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說明，并通知相關(guān)人員。

第三十八條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級過程。當(dāng)設(shè)備達到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級時，應(yīng)及時進行系統(tǒng)升級，并將該類升級活動納入信息科技項目，接受相關(guān)的管理和控制，包括用戶驗收測試。

第六章信息科技運行

第三十九條商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運行。

第四十條商業(yè)銀行應(yīng)嚴格控制第三方人員（如服務(wù)供應(yīng)商）進入安全區(qū)域，如確需進入應(yīng)得到適當(dāng)?shù)呐鷾剩浠顒右矐?yīng)受到監(jiān)控；針對長期或臨時聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴格的審查程序，包括身份驗證和背景調(diào)查。

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。 第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求。

第四十三條商業(yè)銀行應(yīng)制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留周期）。

第四十四條商業(yè)銀行應(yīng)建立事故管理及處臵機制，及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進行調(diào)查和解決。

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行服務(wù)水平進行考核。

第四十六條商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對其進行識別和修正。 第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。

第四十八條商業(yè)銀行應(yīng)及時進行維護和適當(dāng)?shù)南到y(tǒng)升級，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預(yù)防性和補救性維護記錄），以確保有效維護設(shè)備和設(shè)施。

第四十九條商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進行備份,以便必要時可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。

第七章業(yè)務(wù)連續(xù)性管理

第五十條商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；定期對規(guī)劃進行更新和演練，以保證其有效性。

第五十一條商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運行中斷的可能性及其影響，包括評估可能由下述原因?qū)е碌钠茐模邯?/p>

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）信息丟失或受損。

（三）外部事件（如戰(zhàn)爭、地震或臺風(fēng)等）。

第五十二條商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險等方式降低影響。

第五十三條商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

2．運行恢復(fù)的優(yōu)先順序。

3．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安排。

（二）更新實施業(yè)務(wù)連續(xù)性計劃的流程及相關(guān)聯(lián)系信息。

（三）驗證受中斷影響的信息完整性的步驟。

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險狀況發(fā)生變化時，對本條

（一）到

（三）進行審核并升級。

第五十四條商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險管理部門或信息科技管理委員會確認。

第八章外包

第五十五條商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹慎監(jiān)督外包職能的履行。

第五十六條商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹慎，在準備實施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機構(gòu)。

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相關(guān)準備，其中包括：

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險控制，是否滿足商業(yè)銀行履行對外包服務(wù)商的監(jiān)督義務(wù)。

（二）考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關(guān)的操作風(fēng)險。

（三）充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進行風(fēng)險評估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

（五）關(guān)注可能存在的集中風(fēng)險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風(fēng)險。

第五十八條商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不限于：

（一）對外包服務(wù)商的報告要求和談判必要條件。

（二）銀行業(yè)監(jiān)管機構(gòu)和內(nèi)部審計、外部審計能執(zhí)行足夠的監(jiān)督。

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息和其他信息。

（四）擔(dān)保和損失賠償是否充足。

（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險制度和流程的意愿及相關(guān)措施。

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）第三方供應(yīng)商出現(xiàn)問題時，保證軟件持續(xù)可用的相關(guān)措施。

（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如：

1.商業(yè)銀行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。 2.商業(yè)銀行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。 3.外包服務(wù)商提供的服務(wù)不充分，造成商業(yè)銀行不能履行監(jiān)督義務(wù)。

第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮的因素包括但不限于：

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。 第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。

（三）要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

（四）應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。

（六）確保在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。

第六十一條商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財務(wù)損失和重要人員的變動，以及外包協(xié)議的意外終止。

第六十二條商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。



第九章內(nèi)部審計

第六十三條商業(yè)銀行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進行監(jiān)測。內(nèi)部審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當(dāng)?shù)氖跈?quán)訪問本銀行的記錄。

第六十四條商業(yè)銀行內(nèi)部信息科技審計的責(zé)任包括：

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。

（二）按照第（一）款規(guī)定完成審計工作，在此基礎(chǔ)上提出整改意見。

（三）檢查整改意見是否得到落實。

（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風(fēng)險評估結(jié)果對認為必要的特殊事項進行的審計。

第六十五條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全面審計。

第六十六條商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風(fēng)險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險管理標準。

第十章外部審計

第六十七條商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息科技外部審計。

第六十八條在委托審計過程中，商業(yè)銀行應(yīng)確保外部審計機構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

第六十九條商業(yè)銀行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細確定審計范圍，不應(yīng)故意隱瞞事實或阻撓審計檢查。

第七十條銀監(jiān)會及其派出機構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對商業(yè)銀行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)的委托或授權(quán)對商業(yè)銀行進行審計時，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進行審計。

第七十一條外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的商業(yè)銀行應(yīng)根據(jù)該審計報告提出整改計劃，并在規(guī)定的時間內(nèi)實施整改。

第七十二條商業(yè)銀行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險信息，防止其擅自對本銀行提供的任何文件進行修改、復(fù)制或帶離現(xiàn)場。

第十一章附則

第七十三條未設(shè)董事會的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機構(gòu)履行本指引中董事會的有關(guān)信息科技風(fēng)險管理職責(zé)。

第七十四條銀監(jiān)會依法對商業(yè)銀行的信息科技風(fēng)險管理實施監(jiān)督檢查。

第七十五條本指引由銀監(jiān)會負責(zé)解釋、修訂。

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

第四篇：商業(yè)銀行信息科技風(fēng)險管理指引

商業(yè)銀行信息科技風(fēng)險管理指引

第一章總則

第一條為加強商業(yè)銀行信息科技風(fēng)險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。

第三條本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。第四條本指引所稱信息科技風(fēng)險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。第五條信息科技風(fēng)險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第二章

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負責(zé)組

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實

（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風(fēng)險管理工作的總體效果和效率。

（三）掌握主要的信息科技風(fēng)險，確定可接受的風(fēng)險級別，確保相關(guān)風(fēng)險能夠被識別、計量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險管理重要性的認識。

（六）在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專業(yè)隊伍的建設(shè)，建立人

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風(fēng)險管理審計，對審計報告

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風(fēng)險管理的報告。

（九）確保信息科技風(fēng)險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風(fēng)險管理制度和流程，并安排相關(guān)培訓(xùn)。

（十一）確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風(fēng)險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。

（十四）履行信息科技風(fēng)險管理其他相關(guān)工作。

第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息

（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)

（四）確保信息科技風(fēng)險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一

（五）組織專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能。

（六）履行信息科技風(fēng)險管理其他相關(guān)工作。

第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時更新。對相關(guān)人員應(yīng)采取下列風(fēng)險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資

（二）（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補員工和崗位

第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責(zé)信息科技風(fēng)險管理工作，并直接向首席信息官或首席風(fēng)險官（風(fēng)險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風(fēng)險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風(fēng)險審計崗位，負責(zé)信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技

第三章

第十四條商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風(fēng)險評估計劃，確保配臵足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。第十五條商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級與保護。

（二）信息系統(tǒng)開發(fā)、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵。

第十六條商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進行排序，并確定風(fēng)險防范措施及所需資源的優(yōu)先級別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果，實施全面的風(fēng)險防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風(fēng)險管理制度、技術(shù)標準和操作規(guī)程等，定期進行

（二）確定潛在風(fēng)險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風(fēng)險最小化。建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險；定義每個業(yè)務(wù)級別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。4.5.第十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機制，其中應(yīng)包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統(tǒng)性能的程序和標準。

（三）建立信息科技服務(wù)投訴和事故處理的報告機制。

（四）建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

（五）（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環(huán)境下操作風(fēng)險和管理控制的檢查。

（八）定期進行信息科技外包項目的風(fēng)險狀況評價。

第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風(fēng)險管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險。第四章信息安全

第二十條商業(yè)銀行信息科技部門負責(zé) 建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護流程。

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）

（十一）第二十二條商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的第二十三條商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職

（一）（二）

（三）（四）

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）（七）

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶

（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控

第二十六條

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職

（二）（三）加強職責(zé)劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時向用戶提

（七）以書面或電子格式

（八）第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險等級確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當(dāng)措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報信

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風(fēng)險，并建立密

（一）（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴格審查。

（三）（四）

第二十九條商業(yè)銀行應(yīng)配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA

第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。第五章

第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風(fēng)險，包括潛在的各種操作風(fēng)險、財務(wù)損失風(fēng)險和因無效項目規(guī)劃或不適當(dāng)?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成第三十四條商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復(fù)雜

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準，并對變更進行及時記錄和定期復(fù)查。

第三十六條商業(yè)銀行應(yīng)制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、第三十七條商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和

第六章

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技

第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行

第四十六條商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對

第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)

第四十八條商業(yè)銀行應(yīng)及時進行維護和適當(dāng)?shù)南到y(tǒng)升級，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預(yù)防性和補救性

第五十一條商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運行中斷的可能性及其影

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）（三）

第五十二條商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機熱備處理等措施降低業(yè)務(wù)中斷的第五十三條商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險狀況發(fā)生變化時，對本條

（一）到

（三）進行

第五十四條商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險管理部門或信息科技管理委員會確認。第八章外

第五十五條商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹慎監(jiān)督外包職

第五十六條商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹慎，在準備實施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機構(gòu)。

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)

（二）（三）充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情

（五）關(guān)注可能存在的集中風(fēng)險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的第五十八條商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不

（一）（二）銀行業(yè)

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息

（四）（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險制度和流程的意愿及相關(guān)措

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包

1.商業(yè)銀行或外包服務(wù)商的所2.3.第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。

第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資

（一）（二）

（三）（四）

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信

（六）第六十一條商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財務(wù)損失和重

第六十二條商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服

第九章內(nèi)部審計

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控

（二）（三）

（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風(fēng)險評估結(jié)果對認為必要的特殊事

第六十五條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每第六十六條商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風(fēng)險管理部門

第十章

第六十七條商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相

第六十八條在委托審計過程中，商業(yè)銀行應(yīng)確保外部審計機構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險，國家法律、第六十九條商業(yè)銀行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細

第七十一條外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的商

第七十二條商業(yè)銀行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險信息，第十一章附

第七十三條未設(shè)董事會的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機構(gòu)履行本指商業(yè)銀行信息科技風(fēng)險管理指引第一章總則

第一條為加強商業(yè)銀行信息科技風(fēng)險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，第二條

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨

第三條本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條本指引所稱信息科技風(fēng)險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。第五條信息科技風(fēng)險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第二章

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負責(zé)組

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實

（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一

（三）掌握主要的信息科技風(fēng)險，確定可接受的風(fēng)險級別，確保相關(guān)風(fēng)險能夠

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信

（五）設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負責(zé)監(jiān)督各項職責(zé)的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實際支出、信息科技的

（六）在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風(fēng)險管理審計，對審計報告

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風(fēng)險管理的報告。

（九）（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風(fēng)險管理制度和

（十一）確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求，防范跨境

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風(fēng)險監(jiān)督檢查工作，并按照監(jiān)

（十四）第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息

（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)

（四）確保信息科技風(fēng)險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一

（五）（六）

第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時

（一）驗證個人信息，包括核驗有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資

（二）（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補員工和崗位接替計劃等

第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責(zé)信息科技風(fēng)險管理工作，并直接向首席信息官或首席風(fēng)險官（風(fēng)險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風(fēng)險評估，第十一條商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風(fēng)險審計崗位，負責(zé)信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技

第十二條商業(yè)銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機構(gòu)信息科技知識產(chǎn)權(quán)保護策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法

第十三條商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時披露信息科技風(fēng)險

第三章

第十四條商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風(fēng)險評估計劃，確保配臵足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于下述領(lǐng)

（一）（二）

（三）（四）

（五）（六）

（七）第十六條商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進行排序，并確定風(fēng)險防范措施及所

第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果，實施全面的（一）制定明確的信息科技風(fēng)險管理制度、技術(shù)標準和操作規(guī)程等，定期進行

（二）確定潛在風(fēng)險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風(fēng)險最小化。建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險；定義每個業(yè)務(wù)級別的控

1.2.3.訪問授權(quán)以“必需知道”和“4.5.第十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機制，其中應(yīng)包括：

（一）（二）

（三）（四）

（五）（六）

（七）定期進行運行環(huán)境下操作風(fēng)險和管理控制的檢查。

（八）第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風(fēng)險管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險。第四章

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）業(yè)務(wù)連續(xù)性管

（一）（二）

（三）（四）

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）（七）

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶

（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)

第二十六條

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職

（二）（三）加強職責(zé)劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（七）（八）

第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程

（一）（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴格審查。

（三）（四）

第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容

第五章

第三十二條商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當(dāng)包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風(fēng)險，包括潛在的各種操作風(fēng)險、財務(wù)損失風(fēng)險和因無效項目規(guī)劃或不適當(dāng)?shù)捻椖抗芾砜刂飘a(chǎn)生的第三十四條商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復(fù)雜

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)，且所有

第六章

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技

第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行

第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)

第五十一條商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運行中斷的可能性及其影

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）（三）

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險狀況發(fā)生變化時，對本條

（一）到

（三）進行

第五十五條商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹慎監(jiān)督外包職

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)

（二）（三）充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情

（一）（二）

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息

（四）（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險制度和流程的意愿及相關(guān)措

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包

1.2.3.第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。

第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資

（一）（二）

（三）（四）

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息

第九章

第六十三條商業(yè)銀行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進行監(jiān)測。內(nèi)部審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日常活動，具有適當(dāng)?shù)牡诹臈l

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控

（二）（三）

第十章

第六十七條商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相

第七十三條未設(shè)董事會的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機構(gòu)履行本指引中董事

第七十四條第七十五條

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

第七十四條第七十五條

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

第五篇：《商業(yè)銀行信息科技風(fēng)險管理指引》

銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》

為進一步加強商業(yè)銀行信息科技風(fēng)險管理，銀監(jiān)會近日發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《管理指引》），原《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》（銀監(jiān)發(fā)［2006］63號，以下簡稱原《指引》）同時廢止。

隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為銀行穩(wěn)健運營和發(fā)展的支柱，原《指引》定位在信息系統(tǒng)風(fēng)險管理的基本、原則性要求，已難以滿足商業(yè)銀行信息科技風(fēng)險管理的需要。為此，銀監(jiān)會在原《指引》的基礎(chǔ)上，廣泛征求業(yè)內(nèi)機構(gòu)意見，制定了本《管理指引》。

《管理指引》具有以下幾個特點：一是全面涵蓋商業(yè)銀行的信息科技活動，進一步明確信息科技與銀行業(yè)務(wù)的關(guān)系，對于認識和防范風(fēng)險具有更加積極的作用；二是適用范圍由銀行業(yè)金融機構(gòu)變?yōu)榉ㄈ松虡I(yè)銀行，其他銀行業(yè)金融機構(gòu)參照執(zhí)行；三是信息科技治理作為首要內(nèi)容提出，充實并細化了對商業(yè)銀行在治理層面的具體要求；四是重點闡述了信息科技風(fēng)險管理和內(nèi)外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內(nèi)的標準和成功實踐，對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等方面提出高標準、高要求，使操作性更強；六是加強了對客戶信息保護的要求。

新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風(fēng)險管理，信息安全，信息系統(tǒng)開發(fā)、測試和維護，信息科技運行，業(yè)務(wù)連續(xù)性管理，外包，內(nèi)部審計，外部審計和附則等十一個部分。新《指引》的發(fā)布，將進一步推動我國銀行業(yè)信息科技風(fēng)險管理向更高水平邁進。

商業(yè)銀行信息科技風(fēng)險管理指引

第一章總則

第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。

第二章信息科技治理

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負責(zé)組織本指引的貫徹落實。

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責(zé)：

（三）掌握主要的信息科技風(fēng)險，確定可接受的風(fēng)險級別，確保相關(guān)風(fēng)險能夠被識別、計量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險管理重要性的認識。

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風(fēng)險管理審計，對審計報告進行確認并落實整改。

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風(fēng)險管理的報告。

（九）確保信息科技風(fēng)險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風(fēng)險管理制度和流程，并安排相關(guān)培訓(xùn)。

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風(fēng)險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。

（十四）履行信息科技風(fēng)險管理其他相關(guān)工作。

第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息官的職責(zé)包括：

（一）直接參與本銀行與信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策。

（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險管理策略。

（四）確保信息科技風(fēng)險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)。

（五）組織專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能。

（六）履行信息科技風(fēng)險管理其他相關(guān)工作。

（一）驗證個人信息，包括核驗有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。

第十三條商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時披露信息科技風(fēng)險狀況。

第三章信息科技風(fēng)險管理

第十五條商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級與保護。

（二）信息系統(tǒng)開發(fā)、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵。

第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險管理策略和風(fēng)險評估結(jié)果，實施全面的風(fēng)險防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風(fēng)險管理制度、技術(shù)標準和操作規(guī)程等，定期進行更新和公示。

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。 4.審批和授權(quán)。 5.驗證和調(diào)節(jié)。

十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險計量和監(jiān)測機制，其中應(yīng)包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統(tǒng)性能的程序和標準。

（三）建立信息科技服務(wù)投訴和事故處理的報告機制。

（四）建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

（五）安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進行定期審查。

（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環(huán)境下操作風(fēng)險和管理控制的檢查。

（八）定期進行信息科技外包項目的風(fēng)險狀況評價。

第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風(fēng)險管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險。

第四章信息安全

信息安全策略應(yīng)涉及以下領(lǐng)域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產(chǎn)管理。

（四）人員安全管理。

（五）物理與環(huán)境安全管理。

（六）通信與運營管理。

（七）訪問控制管理。

（八）系統(tǒng)開發(fā)與維護管理。

（九）信息安全事故管理。

（十）業(yè)務(wù)連續(xù)性管理。

（十一）合規(guī)性管理。

第二十四條商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，4 如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

（一）域內(nèi)應(yīng)用程序和用戶組的重要程度。

（二）各種通訊渠道進入域的訪問點。

（三）域內(nèi)配臵的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。

（四）性能要求或標準。

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。

（四）要求技術(shù)人員定期檢查可用的安全補丁，并報告補丁管理狀態(tài)。

（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。

第二十六條商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。

（二）針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗證方法。

（三）加強職責(zé)劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（四）在關(guān)鍵的接合點進行輸入驗證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時向用戶提供必要信息。

（七）以書面或電子格式保存審計痕跡。

（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風(fēng)險，并建立密碼設(shè)備管理制度，以確保：

（一）使用符合國家要求的加密技術(shù)和加密設(shè)備。

（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴格審查。

（三）加密強度滿足信息機密性的要求。

（四）制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。

第五章信息系統(tǒng)開發(fā)、測試和維護

第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風(fēng)險，包括潛在的各種操作風(fēng)險、財務(wù)損失風(fēng)險和因無效項目規(guī)劃或不適當(dāng)?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成本，并采取適當(dāng)?shù)捻椖抗芾矸椒?，控制信息科技項目相關(guān)的風(fēng)險。

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，其中應(yīng)包括以下要求：

（一）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

第六章信息科技運行

第四十條商業(yè)銀行應(yīng)嚴格控制第三方人員（如服務(wù)供應(yīng)商）進入安全區(qū)域，如確需進入應(yīng)得到適當(dāng)?shù)呐鷾?，其活動也?yīng)受到監(jiān)控；針對長期或臨時聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴格的審查程序，包括身份驗證和背景調(diào)查。

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。

第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求。

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行服務(wù)水平進行考核。

第四十六條商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對其進行識別和修正。

第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。

第七章業(yè)務(wù)連續(xù)性管理

第五十一條商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運行中斷的可能性及其影響，包括評估可能由下述原因?qū)е碌钠茐模邯?/p>

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）信息丟失或受損。

（三）外部事件（如戰(zhàn)爭、地震或臺風(fēng)等）。

第五十三條商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。2．運行恢復(fù)的優(yōu)先順序。

3．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安排。

（二）更新實施業(yè)務(wù)連續(xù)性計劃的流程及相關(guān)聯(lián)系信息。

（三）驗證受中斷影響的信息完整性的步驟。

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險狀況發(fā)生變化時，對本條

（一）到

（三）進行審核并升級。

第五十四條商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險管理部門或信息科技管理委員會確認。

第八章外包

第五十五條商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹慎監(jiān)督外包職能的履行。

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相關(guān)準備，其中包括：

（二）考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關(guān)的操作風(fēng)險。

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

（五）關(guān)注可能存在的集中風(fēng)險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風(fēng)險。

第五十八條商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不限于： 

（一）對外包服務(wù)商的報告要求和談判必要條件。

（二）銀行業(yè)監(jiān)管機構(gòu)和內(nèi)部審計、外部審計能執(zhí)行足夠的監(jiān)督。

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息和其他信息。

（四）擔(dān)保和損失賠償是否充足。

（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險制度和流程的意愿及相關(guān)措施。

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）第三方供應(yīng)商出現(xiàn)問題時，保證軟件持續(xù)可用的相關(guān)措施。

（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如：

1.商業(yè)銀行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。

2.商業(yè)銀行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。

3.外包服務(wù)商提供的服務(wù)不充分，造成商業(yè)銀行不能履行監(jiān)督義務(wù)。

第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮的因素包括但不限于：

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。

第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。

（三）要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

（四）應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。

（六）確保在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。

第六十二條商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。

第九章內(nèi)部審計

第六十四條商業(yè)銀行內(nèi)部信息科技審計的責(zé)任包括：

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。

（二）按照第（一）款規(guī)定完成審計工作，在此基礎(chǔ)上提出整改意見。

（三）檢查整改意見是否得到落實。

第六十六條商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風(fēng)險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險管理標準。

第十章外部審計

第六十九條商業(yè)銀行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細確定審計范圍，不應(yīng)故意隱瞞事實或阻撓審計檢查。

第七十二條商業(yè)銀行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險信息，防止其擅自對本銀行提供的任何文件進行修改、復(fù)制或帶離現(xiàn)場。

第十一章附則

第七十四條銀監(jiān)會依法對商業(yè)銀行的信息科技風(fēng)險管理實施監(jiān)督檢查。

第七十五條本指引由銀監(jiān)會負責(zé)解釋、修訂。

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

發(fā)文單位：中國銀行業(yè)監(jiān)督管理委員會

發(fā)布日期：2009-6-1 執(zhí)行日期：2009-6-1

Chapter I General Provisions

Article 1.Pursuant to the Law of the People?s Republic of China on Banking Regulation and Supervision，the Law of the People's Republic of China on Commercial Banks，the Regulations of the People?s Republic of China on Administration of Foreign-funded Banks，and other applicable laws and regulations，the Guidelines on the Risk Management of Commercial Banks? Information Technology（hereinafter referred to as the Guidelines）is formulated.Article 2.The Guidelines apply to all the commercial banks legally incorporated within the territory of the People?s Republic of China.The Guidelines may apply to other banking institutions including policy banks，rural cooperative banks，urban credit cooperatives，rural credit cooperatives，village banks，loan companies，financial asset management companies，trust and investment companies，finance firms，financial leasing companies，automobile financial companies and money brokers.Article 3.The term “information technology” stated in the Guidelines shall refer to the system built with computer，communication and software technologies，and employed by commercial banks to handle business transactions，operation management，and internal communication，collaborative work and controls.The term also include IT governance，IT organization structure and IT policies and procedures.Article 4.The risk of information technology refers to the operational risk，legal risk and reputation risk that are caused by natural factor，human factor，technological loopholes or management deficiencies when using information technology.Article 5.The objective of information system risk management is to establish an effective mechanism that can identify，measure，monitor，and control the risks of commercial banks? information system，ensure data integrity，availability，confidentiality and consistency，provide the relevant early warning，and thereby enable commercial banks? business innovations，uplift their capability in utilizing information technology，improve their core competitiveness and capacity for sustainable development.Chapter II IT governance

Article 6.The legal representative of commercial bank should be responsible to ensure compliance of this guideline.Article 7.The board of directors of commercial banks should have the following responsibilities with respect to the management of information systems：

（1）Implementing and complying with the national laws，regulations and technical standards pertaining to the management of information systems，as well as the regulatory requirements set by the China Banking Regulatory Commission（hereinafter referred to as the “CBRC”）；

（2）Periodically reviewing the alignment of IT strategy with the overall business strategies and significant policies of the bank，assessing the overall effectiveness and efficiency of the IT organization.（3）Approving IT risk management strategies and policies，understanding the major IT risks involved，setting acceptable levels for these risks，and ensuring the implementation of the measures necessary to identify，measure，monitor and control these risks.（4）Setting high ethical and integrity standards，and establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of IT risk management.（5）Establishing an IT steering committee which consists of representatives from senior management，the IT organization，and major business units，to oversee these responsibilities and report the effectiveness of strategic IT planning，the IT budget and actual expenditure，and the overall IT performance to the board of directors and senior management periodically.（6）Establishing IT governance structure，proper segregation of duty，clear role and responsibility，maintaining check and balances and clear reporting relationship.Strengthening IT professional staff by developing incentive program.（7）Ensuring that there is an effective internal audit of the IT risk management carried out by operationally independent，well-trained and qualified staff.The internal audit report should be submitted directly to the IT audit committee；

（8）Submitting an annual report to the CBRC and its local offices on information system risk management that has been reviewed and approved by the board of directors ；

（9）Ensuring the appropriating funding necessary for IT risk management works；

（10）Ensuring that all employees of the bank fully understand and adhere to the IT risk management policies and procedures approved by the board of directors and the senior management，and are provided with pertinent training.（11）Ensuring customer information，financial information，product information and core banking system of the legal entity are held independently within the territory，and complying with the regulatory on-site examination requirements of CBRC and guarding against cross-border risk.（12）Reporting in a timely manner to the CBRC and its local offices any serious incident of information systems or unexpected event，and quickly respond to it in accordance with the contingency plan；

（13）Cooperating with the CBRC and its local offices in the supervisory inspection of the risk management of information systems，and ensure that supervisory opinions are followed up； and

（14）Performing other related IT risk management tasks.Article 8.The head of the IT organization，commonly known as the Chief Information Officer（CIO）should report directly to the president.Roles and responsibilities of the CIO should include the following：

（1）Playing a direct role in key decisions for the business development involving the use of IT in the bank；

（2）The CIO should ensure that information systems meet the needs of the bank，and IT strategies，in particular information system development strategies，comply with the overall business strategies and IT risk management policies of the bank；

（3）The CIO should also be responsible for the establishment of an effective and efficient IT organization to carry out the IT functions of the bank.These include the IT budget and expenditure，IT risk management，IT policies，standards and procedures，IT internal controls，professional development，IT project initiatives，IT project management，information system maintenance and upgrade，IT operations，IT infrastructure，Information security，disaster recovery plan（DRP），IT outsourcing，and information system retirement；

（4）Ensuring the effectiveness of IT risk management throughout the organization including all branches.（5）Organizing professional trainings to improve technical proficiency of staff.（6）Performing other related IT risk management tasks.Article 9.Commercial banks should ensure that a clear definition of the IT organization structure and documentation of all job descriptions of important positions are always in place and updated in a timely manner.Staff in each position should meet relevant requirements on professional skills and knowledge.The following risk mitigation measures should be incorporated in the management program of related staff：

（1）Verification of personal information including confirmation of personal identification issued by government，academic credentials，prior work experience，professional qualifications；

（2）Ensuring that IT staff can meet the required professional ethics by checking character reference；

（3）Signing of agreements with employees about understanding of IT policies and guidelines，non-disclosure of confidential information，authorized use of information systems，and adherence to IT policies and procedures； and

（4）Evaluation of the risk of losing key IT personnel，especially during major IT development stage or in a period of unstable IT operations，and the relevant risk mitigation measures such as staff backup arrangement and staff succession plan.13

Article 10.Commercial banks should establish or designate a particular department for IT risk management.It should report directly to the CIO and the Chief Risk Officer（or risk management committee），serve as a member of the IT incident response team，and be responsible for coordinating the establishment of policies regarding IT risk management，especially the areas of information security，BCP，and compliance with the CBRC regulations，advising the business departments and IT department in implementing these policies，providing relevant compliance information，conducting on-going assessment of IT risks，and ensuring the follow-up of remediation advice，monitoring and escalating management of IT threats and non-compliance events.Article 11.Commercial banks should establish a special IT audit role and responsibility within internal audit function，which should put in place IT audit policies and procedures，develop and execute IT audit plan.Article 12.Commercial banks should put in place policies and procedures to protect intellectual property rights according to laws regarding intellectual properties，ensure purchase of legitimate software and hardware，prevention of the use of pirated software，and the protection of the proprietary rights of IT products developed by the bank，and ensure that these are fully understood and complied by all employees.Article 13.Commercial banks should，in accordance with relevant laws and regulations，disclose the risk profile of their IT normatively and timely.Chapter III IT Risk Management

Article 14.Commercial banks should formulate an IT strategy that aligns with the overall business plan of the bank，IT risk assessment plan and an IT operational plan that can ensure adequate financial resources and human resources to maintain a stable and secure IT environment.Article 15.Commercial banks should put in place a comprehensive set of IT risk management policies that include the following areas：

（1）Information security classification policy

（2）System development，testing and maintenance policy

（3）IT operation and maintenance policy

（4）Access control policy

（5）Physical security policy

（6）Personnel security policy

（7）Business Continuity Planning and Crisis and Emergency Management procedure

Article 16.Commercial banks should maintain an ongoing risk identification and assessment process that allows the bank to pinpoint the areas of concern in its information systems，assess the 14 potential impact of the risks on its business，rank the risks，and prioritize mitigation actions and the necessary resources（including outsourcing vendors，product vendors and service vendors）。

Article 17.Commercial banks should implement a comprehensive set of risk mitigation measures complying with the IT risk management policies and commensurate with the risk assessment of the bank.These mitigation measures should include：

（1）A set of clearly documented IT risk policies，technical standards，and operational procedures，which should be communicated to the staff frequently and kept up to date in a timely manner；

（2）Areas of potential conflicts of interest should be identified，minimized，and subject to careful，independent monitoring.Also it requires that an appropriate control structure is set up to facilitate checks and balances，with control activities defined at every business level，which should include：

-Top level reviews；

-Controls over physical and logical access to data and system；

-Access granted on “need to know” and “minimum authorization” basis；

-A system of approvals and authorizations； and

-A system of verification and reconciliation.Article 18.Commercial banks should put in place a set of ongoing risk measurement and monitoring mechanisms，which should include

（1）Pre and post-implementation review of IT projects；

（2）Benchmarks for periodic review of system performance；

（3）Reports of incidents and complaints about IT services；

（4）Reports of internal audit，external audit，and issues identified by CBRC； and

（5）Arrangement with vendors and business units for periodic review of service level agreements（SLAs）。

（6）The possible impact of new development of technology and new threats to software deployed.（7）Timely review of operational risk and management controls in operation area.（8）Assess the risk profile on IT outsourcing projects periodically.Article 19.Chinese commercial banks operating offshore and the foreign commercial banks in China should comply with the relevant regulatory requirements on information systems in and outside the People?s Republic of China.Chapter IV Information Security

Article 20.Information technology department of commercial banks should oversee the establishment of an information classification and protection scheme.All employees of the bank should be made aware of the importance of ensuring information confidentiality and provided with the necessary training to fully understand the information protection procedures within their responsibilities.Article 21.Commercial banks should put in place an information security management function to develop and maintain an ongoing information security management program，promote information security awareness，advise other IT functions on security issues，serve as the leader of IT incident response team，and report the evaluation of the information security of the bank to the IT steering committee periodically.The Information security management program should include Information security standards，strategy，an implementation plan，and an ongoing maintenance plan.Information security policy should include the following areas：

（1）IT security policy management

（2）Organization information security

（3）Asset management

（4）Personnel security

（5）Physical and environment security

（6）Communication and operation security

（7）Access control and authentication

（8）Acquirement，development and maintenance of information system

（9）Information security event management

（10）Business continuity management

（11）Compliance

Article 22.Commercial banks should have an effective process to manage user authentication and access control.Access to data and system should be strictly limited to authorized individuals whose identity is clearly established，and their activities in the information systems should be limited to the minimum required for their legitimate business use.Appropriate user authentication mechanism commensurate with the classification of information to be accessed should be selected.Timely review and removal of user identity from the system should be implemented when user transfers to a new job or leave the commercial bank.Article 23.Commercial banks should ensure all physical security zones，such as computer centers or data centers，network closets，areas containing confidential information or critical IT equipment，and respective accountabilities are clearly defined，and appropriate preventive，detective，and recuperative controls are put in place.Article 24.Commercial banks should divide their networks into logical security domains（hereinafter referred to as the “domain”）with different levels of security.The following security factors have to be assessed in order to define and implement effective security controls，such as physical or logical segregation of network，network filtering，logical access control，traffic encryption，network monitoring，activity log，etc.，for each domain and the whole network.（1）criticality of the applications and user groups within the domain；

（2）Access points to the domain through various communication channels；

（3）Network protocols and ports used by the applications and network equipment deployed within the domain；

（4）Performance requirement or benchmark；

（5）Nature of the domain，i.e.production or testing，internal or external；

（6）Connectivity between various domains； and

（7）Trustworthiness of the domain.Article 25.Commercial banks should secure the operating system and system software of all computer systems by

（1）Developing baseline security requirement for each operating system and ensuring all systems meet the baseline security requirement；

（2）Clearly defining a set of access privileges for different groups of users，namely，end-users，system development staff，computer operators，and system administrators and user administrators；

（3）Setting up a system of approval，verification，and monitoring procedures for using the highest privileged system accounts；

（4）Requiring technical staff to review available security patches，and report the patch status periodically； and

（5）Requiring technical staff to include important items such as unsuccessful logins，access to critical system files，changes made to user accounts，etc.in system logs，monitors the systems for any abnormal event manually or automatically，and report the monitoring periodically.Article 26.Commercial banks should ensure the security of all the application systems by

（1）Clearly defining the roles and responsibilities of end-users and IT staff regarding the application security；

（2）Implementing a robust authentication method commensurate with the criticality and sensibility of the application system；

（3）Enforcing segregation of duties and dual control over critical or sensitive functions；

（4）Requiring verification of input or reconciliation of output at critical junctures；

（5）Requiring the input and output of confidential information are handled in a secure manner to prevent theft，tampering，intentional leakage，or inadvertent leakage；

（6）Ensuring system can handle exceptions in a predefined way and provide meaningful message to users when the system is forced to terminate； and

（7）Maintaining audit trail in either paper or electronic format.（8）Requiring user administrator to monitor and review unsuccessful logins and changes to users accounts.Article 27.Commercial banks should have a set of policies and procedures controlling the logging of activities in all production systems to support effective auditing，security forensic analysis，and fraud prevention.Logging can be implemented in different layers of software and on different computer and networking equipment，which falls into two broad categories：

（1）Transaction journals.They are generated by application software and database management system，and contain authentication attempts，modification to data，error messages，etc.Transaction journals should be kept according to the national accounting policy.（2）System logs.They are generated by operating systems，database management system，firewalls，intrusion detection systems，and routers，etc.，and contain authentication attempts，system events，network events，error messages，etc.System logs should be kept for a period scaled to the risk classification，but no less than one year.Banks should ensure that sufficient items be included in the logs to facilitate effective internal controls，system troubleshooting，and auditing while taking appropriate measures to ensure time synchronization on all logs.Sufficient disk space should be allocated to prevent logs from being overwritten.System logs should be reviewed for any exception.The review frequency and retention period for transaction logs or database logs should be determined jointly by IT organization and pertinent business lines，and approved by the IT steering committee.Article 28.Commercial banks should have the capacity to employ encryption technologies to mitigate the risk of losing confidential information in the information systems or during its transmission.Appropriate management processes of the encryption facilities should be put in place to ensure that

（1）Encryption facilities in use should meet national security standards or requirements；

（2）Staff in charge of encryption facilities are well trained and screened；

（3）Encryption strength is adequate to protect the confidentiality of the information； and 18

（4）Effective and efficient key management procedures，especially key lifecycle management and certificate lifecycle management，are in place.Article 29.Commercial banks should put in place an effective and efficient system of securing all end-user computing equipment which include desktop personal computers（PCs），portable PCs，teller terminals，automatic teller machines（ATMs），passbook printers，debit or credit card readers，point of sale（POS）terminals，personal digital assistant（PDAs），etc and conduct periodic security checks on all equipments.Article 30.Commercial banks should put in place a set of policies and procedures to govern the collection，processing，storage，transmission，dissemination，and disposal of customer information.Article 31.All employees，including contract staff，should be provided with the necessary trainings to fully understand these policies procedures and the consequences of their violation.Commercial banks should adopt a zero tolerance policy against security violation.Chapter V Application System Development，Testing and Maintenance

Article 32.Commercial banks should have the capability to identify，plan，acquire，develop，test，deploy，maintain，upgrade，and retire information systems.Policies and procedures should be in place to govern the initiation，prioritization，approval，and control of IT projects.Progress reports of major IT projects should be submitted to and reviewed by the IT steering committee periodically.Decisions involving significant change of schedule，change of key personnel，change of vendors，and major expenditures should be included in the progress report.Article 33.Commercial banks should recognize the risks associated with IT projects，which include the possibilities of incurring various kinds of operational risk，financial losses，and opportunity costs stemming from ineffective project planning or inadequate project management controls of the bank.Therefore，appropriate project management methodologies should be adopted and implemented to control the risks associated with IT projects.Article 34.Commercial banks should adopt and implement a system development methodology to control the life cycle of Information systems.The typical phases of system life cycle include system analysis，design，development or acquisition，testing，trial run，deployment，maintenance，and retirement.The system development methodology to be used should be commensurate with the size，nature，and complexity of the IT project，and，generally speaking，should facilitate the management of the following risks.Article 35.Commercial banks should ensure system reliability，integrity，and maintainability by controlling system changes with a set of policies and procedures，which should include the following elements.（1）Ensure that production systems are separated from development or testing systems；

（2）Separating the duties of managing production systems and managing development or testing systems；

（3）Prohibiting application development and maintenance staff from accessing production system under normal circumstances unless management approval is granted to perform emergency repair，and all emergency repair activities should be recorded and reviewed promptly；

（4）Promoting changes of program or system configuration from development and testing systems to production systems should be jointly approved by IT organization and business departments，properly documented，and reviewed periodically.Article 36.Commercial banks should have in place a set of policies，standards，and procedures to ensure data integrity，confidentiality，and availability.These policies should be in accordance with data integrity amid IT development procedure.Article 37.Commercial banks should ensure that Information system problems could be tracked，analyzed，and resolved systematically through an effective problem management process.Problems should be documented，categorized，and indexed.Support services or technical assistance from vendors，if necessary，should also be documented.Contacts and relevant contract information should be made readily available to the employees concerned.Accountability and line of command should be delineated clearly and communicated to all employees concerned，which is of utmost importance to performing emergency repair.Article 38.Commercial banks should have a set of policies and procedures controlling the process of system upgrade.System upgrade is needed when the hardware reaches its lifespan or runs out of capacity，the underpinning software，namely，operating system，database management system，middleware，has to be upgraded，or the application software has to be upgraded.The system upgrade should be treated as a project and managed by all pertinent project management controls including user acceptance testing.Chapter VI IT Operations

Article 39.Commercial banks should consider fully the environmental threats（e.g.proximity to natural disaster zones，dangerous or hazardous facilities or busy/major roads）when selecting the locations of their data centers.Physical and environmental controls should be implemented to monitor environmental conditions could affect adversely the operation of information processing facilities.Equipment facilities should be protected from power failures and electrical supply interference.Article 40.In controlling access by third-party personnel（e.g.service providers）to secured areas，proper approval of access should be enforced and their activities should be closely monitored.It is important that proper screening procedures including verification and background checks，especially for sensitive technology-related jobs，are developed for permanent and temporary technical staff and contractors.20

Article 41.Commercial banks should separate IT operations or computer center operations from system development and maintenance to ensure segregation of duties within the IT organization.The commercial banks should document the roles and responsibilities of data center functions.Article 42.Commercial banks are required to retain transactional records in compliance with the national accounting policy.Procedures and technology are needed to be put in place to ensure the integrity，safekeeping and retrieval requirements of the archived data.Article 43.Commercial banks should detail operational instructions such as computer operator tasks，job scheduling and execution in the IT operations manual.The IT operations manual should also cover the procedures and requirements for on-site and off-site backup of data and software in both the production and development environments（i.e.frequency，scope and retention periods of back-up）。

Article 44.Commercial banks should have in place a problem management and processing system to respond promptly to IT operations incidents，to escalate reported incidents to relevant IT management staff and to record，analyze and keep tracks of all these incidents until rectification of the incidents with root cause analysis completed.A helpdesk function should be set up to provide front-line support to users on all technology-related problems and to direct the problems to relevant IT functions for investigation and resolution.Article 45.Commercial banks should establish service level agreement and assess the IT service level standard attained.Article 46.Commercial banks should implement a process to ensure that the performance of application systems is continuously monitored and exceptions are reported in a timely and comprehensive manner.The performance monitoring process should include forecasting capability to enable exceptions to be identified and corrected before they affect system performance.Article 47.Commercial banks should carry out capacity plan to cater for business growth and transaction increases due to changes of economic conditions.Capacity plan should be extended to cover back-up systems and related facilities in addition to the production environment.Article 48.Commercial banks should ensure the continued availability of technology related services with timely maintenance and appropriate system upgrades.Proper record keeping（including suspected and actual faults and preventive and corrective maintenance records）is necessary for effective facility and equipment maintenance.Article 49.Commercial banks should have an effective change management process in place to ensure integrity and reliability of the production environment.Commercial banks should develop a formal change management process.Chapter VII Business Continuity Management

Article 50.Commercial banks should have in place appropriate arrangements，having regard to the nature，scale and complexity of its business，to ensure that it can continue to function and meet its regulatory obligations in the event of an unforeseen interruption.These arrangements should be regularly updated and tested to ensure their effectiveness.Article 51.Commercial banks should consider the likelihood and impact of a disruption to the continuity of its operation from unexpected events.This should include assessing the disruptions to which it is particularly susceptible including but not limited to：

（1）Loss of failure of internal and external resources（such as people，systems and other assets）；

（2）The loss or corruption of its information； and

（3）External events（such as war，earthquake，typhoon，etc）。

Article 52.Commercial bank should act to reduce both the likelihood of disruptions（including system resilience and dual processing）； and the impact of disruptions（including by contingency arrangements and insurance）。

Article 53.Commercial bank should document its strategy for maintaining continuity of its operations，and its plans for communicating and regularly testing the adequacy and effectiveness of this strategy.Commercial bank should establish：

（1）Formal business continuity plans that outline arrangements to reduce the impact of a short，medium and long-term disruption，including：

a）Resource requirements such as people，systems and other assets，and arrangements for obtaining these resources；

b）The recovery priorities for the commercial bank?s operations； and

c）Communication arrangements for internal and external concerned parties（including CBRC，clients and the press）；

（2）Escalation and invocation plans that outline the processes for implementing the business continuity plans，together with relevant contact information；

（3）Processes to validate the integrity of information affected by the disruption；

（4）Processes to review and update（1）to（3）following changes to the commercial bank?s operations or risk profile.Article 54.A final BCP plan and an annual drill result must be signed off by the IT Risk management，or internal auditor and IT Steering Committee.Chapter VIII Outsourcing

Article 55.Commercial banks cannot contract out its regulatory obligations and should take reasonable care to supervise the discharge of outsourcing functions.22

Article 56.Commercial banks should take particular care to manage material outsourcing arrangement（such as outsourcing of data center，IT infrastructure，etc.），and should notify CBRC when it intends to enter into material outsourcing arrangement.Article 57.Before entering into，or significantly changing，an outsourcing arrangement，the commercial bank should：

（1）Analyze how the arrangement will fit with its organization and reporting structure； business strategy； overall risk profile； and ability to meet its regulatory obligations；

（2）Consider whether the arrangements will allow it to monitor and control its operational risk exposure relating to the outsourcing；

（3）Conduct appropriate due diligence of the service provider?s financial stability，expertise and risk assessment of the service provider，facilities and ability to cover the potential liabilities；

（4）Consider how it will ensure a smooth transition of its operations from its current arrangements to a new or changed outsourcing arrangement（including what will happen on the termination of the contract）； and

（5）Consider any concentration risk implications such as the business continuity implications that may arise if a single service provider is used by several firms.Article 58.In negotiating its contract with a service provider，the commercial bank should have regard to（but not limited to）：

（1）Reporting and negotiation requirements it may wish to impose on the service provider；

（2）Whether sufficient access will be available to its internal auditors，external auditors and banking regulators；

（3）Information ownership rights，confidentiality agreements and Firewalls to protect client and other information（including arrangements at the termination of contract）；

（4）The adequacy of any guarantees and indemnities；

（5）The extent to which the service provider must comply with the commercial bank?s polices and procedures covering IT Risk；

（6）The extent to which the service provider will provide business continuity for outsourced operations，and whether exclusive access to its resources is agreed；

（7）The need for continued availability of software following difficulty at a third party supplier；

（8）The processes for making changes to the outsourcing arrangement and the conditions under which the commercial bank or service provider can choose to change or terminate the outsourcing arrangement，such as where there is：

a）A change of ownership or control of the service provider or commercial bank； or

b）Significant change in the business operations of the service provider or commercial bank； or

c）Inadequate provision of services that may lead to the commercial bank being unable to meet its regulatory obligations.Article 59.In implementing a relationship management framework，and drafting the service level agreement with the service provider，the commercial bank should have regarded to（but not limited to）：

（1）The identification of qualitative and quantitative performance targets to assess the adequacy of service provision，to both the commercial bank and its clients，where appropriate；

（2）The evaluation of performance through service delivery reports and periodic self assessment and independent review by internal or external auditors； and

（3）Remediation action and escalation process for dealing with inadequate performance.Article 60.The commercial bank should enhance IT related outsourcing management，in place following（not limited to）measures to ensure data security of sensitive information such as customer information：

（1）Effectively separated from other customer information of the service provider；

（2）The related staff of service provider should be authorized on “need to know” and “minimum authorization” basis；

（3）Ensure service provider guarantee its staff for meeting the confidential requests；

（4）All outsourcing arrangements related to customer information should be identified as material outsourcing arrangements and the customers should be notified；

（5）Strictly monitor re-outsourcing actions of the service provider，and implement adequate control measures to ensure information security of the bank；

（6）Ensure all related sensitive information be refunded or deleted from the service provider?s storage when terminating the outsourcing arrangement.Article 61.The commercial bank should ensure that it has appropriate contingency in the event of a significant loss of services from the service provider.Particular issues to consider include a significant loss of resources，turnover of key staff，or financial failure of，the service provider，and unexpected termination of the outsourcing agreement.Article 62.All outsourcing contracts must be reviewed or signed off by IT Risk management，internal IT auditors，legal department and IT Steering Committee.There should be a process to periodically review and refine the service level agreements.Chapter IX Internal Audit

Article 63.Depending on the nature，scale and complexity of its business，it may be appropriate for the commercial banks to delegate much of the task of monitoring the appropriateness and effectiveness of its systems and controls to an internal audit function.An internal audit function should be adequately resourced and staffed by competent individuals，be independent of the day-to-day activities of the commercial bank and have appropriate access to the bank?s records.Article 64.The responsibilities of the internal IT audit function are：

（1）To establish，implement and maintain an audit plan to examine and evaluate the adequacy and effectiveness of the bank?s systems and internal control mechanisms and arrangements；

（2）To issue recommendations based on the result of work carried out in accordance with 1；

（3）To verify compliance with those recommendations；

（4）To carry out special audit on information technology.The term “special audit” of information technology refers to the investigation，analysis and assessment on the security incidents of the information system，or the audit performed on a special subject based on IT risk assessment result as deemed necessary by the audit department.Article 65.Based on the nature，scale and complexity of its business，deployment of information technology and IT risk assessment，commercial banks could determine the scope and frequency of IT internal audit.However，a comprehensive IT internal audit shall be performed at a minimum once every 3 years.Article 66.Commercial banks should engage its internal audit department and IT Risk management department when implementing system development of significant size and scale to ensure it meets the IT Risk standards of the Commercial banks.Chapter X External Audit

Article 67.The external information technology audit of commercial banks can be carried out by certified service providers in accordance with laws，rules and regulations.Article 68.The commercial bank should ensure IT audit service provider to review and examine bank?s hardware，software，documentation and data to identify IT risk when they are commissioned to perform the audit.Vital commercial and technical information which is protected by national laws and regulations should not be reviewed.Article 69.Commercial bank should communicate with the service provider in depth before the audit to determine audit scope，and should not withhold the truth or do not corporate with the service provider intentionally.Article 70.CBRC and its local offices could designate certified service providers to carry out IT audit or related review on commercial banks when needed.When carrying out audit on commercial banks，as commissioned or authorized by CBRC or its local offices，the service providers shall 25 present the letter of authority，and carry out the audit in accordance to the scope prescribed in the letter of authority.Article 71.Once the IT audit report produced by the service providers is reviewed and approved by CBRC or its local offices，the report will have the same legal status as if it is produced by the CBRC itself.Commercial banks should come up with a correction action plan prescribed in the report and implement the corrective actions according to the timeframe.Article 72.Commercial banks should ensure the service providers to strictly comply with laws and regulations to keep confidential and data security of any commercial secrets and private information learnt and IT risk information when conducting the audit.The service provider should not modify copy or take away any documents provided by the commercial banks.Chapter XI Supplementary Provisions

Article 73.Commercial banks with no board of directors should have their operating decision-making bodies perform the responsibilities of the board with regard to IT risk management specified herein.Article 74.The China Banking Regulatory Commission supervises and regulates the IT risk management of commercial banks under its authority by law.Article 75.The power of interpretation and modification of the Guidelines shall rest with the China Banking Regulatory Commission.Article 76.The Guidelines shall become effective as of the date of its issuance and the former Guidelines on the Risk Management of Banking Institutions? Information Systems shall be revoked at the same time.中國銀行業(yè)監(jiān)督管理委員會

欧美色欧美亚洲高清在线观看,国产特黄特色a级在线视频,国产一区视频一区欧美,亚洲成a 人在线观看中文

村鎮(zhèn)銀行信息科技建設(shè)與管理指引（共五則）

第一篇：村鎮(zhèn)銀行信息科技建設(shè)與管理指引

第二篇：村鎮(zhèn)銀行信息科技風(fēng)險管理辦法

第三篇：商業(yè)銀行信息科技風(fēng)險管理指引

第四篇：商業(yè)銀行信息科技風(fēng)險管理指引

第五篇：《商業(yè)銀行信息科技風(fēng)險管理指引》

相關(guān)范文推薦

村鎮(zhèn)銀行信息科技整改報告（5篇范文）

商業(yè)銀行信息科技風(fēng)險管理指引（推薦）

商業(yè)銀行信息科技風(fēng)險管理指引_英文版

村鎮(zhèn)銀行審批指引（5篇模版）

村鎮(zhèn)銀行組建審批工作指引

村鎮(zhèn)銀行控股公司董事會盡職指引

村鎮(zhèn)建設(shè)與規(guī)劃管理

某商業(yè)銀行信息科技風(fēng)險管理指引—(正式版)