欧美色欧美亚洲高清在线观看,国产特黄特色a级在线视频,国产一区视频一区欧美,亚洲成a 人在线观看中文

<ul id="fwlom"></ul>

<object id="fwlom"></object>

<span id="fwlom"></span><dfn id="fwlom"></dfn>

<object id="fwlom"></object>

<th id="3lqez"><table id="3lqez"></table></th>

<samp id="3lqez"></samp>

商業(yè)銀行信息科技治理建設(shè)指導意見(V2.51)(征求意見稿)

時間：2019-05-12 11:43:17 收藏本文下載本文作者：會員上傳

簡介：寫寫幫文庫小編為你整理了多篇相關(guān)的《商業(yè)銀行信息科技治理建設(shè)指導意見(V2.51)(征求意見稿)》，但愿對你工作學習有幫助，當然你在寫寫幫文庫還可以找到更多《商業(yè)銀行信息科技治理建設(shè)指導意見(V2.51)(征求意見稿)》。

第一篇：商業(yè)銀行信息科技治理建設(shè)指導意見(V2.51)(征求意見稿)

商業(yè)銀行信息科技治理建設(shè)指導意見

（討論稿）

第一章總則

第一條為規(guī)范商業(yè)銀行信息科技治理，提高信息科技工作效率和風險管理水平，確保信息系統(tǒng)安全、持續(xù)、穩(wěn)健運行，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》，以及其他相關(guān)法律、法規(guī)，制定本指導意見（以下簡稱意見）。

第二條信息科技治理是商業(yè)銀行公司治理的重要組成部分，是商業(yè)銀行在運用信息技術(shù)過程中，為實現(xiàn)信息科技工作既定目標所做出的制度安排，包括組織結(jié)構(gòu)、技術(shù)架構(gòu)、運行機制和激勵約束等。

第三條商業(yè)銀行信息科技治理的目標是健全信息科技治理組織結(jié)構(gòu)和技術(shù)架構(gòu)，明確決策和管理職責，優(yōu)化資源配臵，有效控制信息科技風險，確保信息科技戰(zhàn)略與業(yè)務(wù)發(fā)展目標相適應(yīng)，增強商業(yè)銀行核心競爭力和可持續(xù)發(fā)展能力。

第四條本意見適用于在中華人民共和國境內(nèi)依法設(shè)立的商業(yè)銀行，包括國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行和外資銀行。由中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)督管理的其他金融機構(gòu)參照執(zhí)行。

第二章組織結(jié)構(gòu)

第五條董事會是商業(yè)銀行最高決策組織，在信息科技治理中履行以下職責：

（一）審查批準本行信息科技治理結(jié)構(gòu)，定期聽取高級管理層關(guān)于信息科技工作匯報并予以評價；

（二）審查批準信息科技戰(zhàn)略規(guī)劃，確保與銀行總體業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃和重大策略相一致；

（三）審查批準信息科技方面的重大項目和投資。為確保有效履行上述職責，董事會主要成員應(yīng)對本行信息科技主要活動有所了解。

第六條監(jiān)事會是商業(yè)銀行監(jiān)督機構(gòu)，在信息科技治理中應(yīng)履行以下職責：

（一）對董事會、高級管理層履行信息科技職責的行為進行監(jiān)督；

（二）對銀行信息科技規(guī)劃、決策、風險管理和內(nèi)部控制等進行監(jiān)督；

（三）對沒有正確履行信息科技職責的高級管理人員，提出處罰建議。第七條董事長是商業(yè)銀行法定代表，在信息科技治理中履行以下職責：

（一）承擔本機構(gòu)信息科技風險管理的最終責任；

（二）召集、主持有關(guān)信息科技管理、風險防范和審計的董事會會議；

（三）督促、檢查董事會制定的信息科技工作決議執(zhí)行情況；

（四）落實其他應(yīng)由董事長承擔的信息科技工作。

第八條行長依照董事會授權(quán)，領(lǐng)導信息科技工作，在信息科技治理中履行以下職責：

（一）確保信息科技所需資源投入，統(tǒng)籌信息科技重大項目建設(shè)；

（二）提請董事會聘任或者解聘首席信息官。授權(quán)首席信息官、相關(guān)職能部門從事信息科技管理活動，協(xié)調(diào)解決信息科技工作中的重大問題；

（三）領(lǐng)導、組織、協(xié)調(diào)信息科技管理委員會工作；

（四）在商業(yè)銀行發(fā)生信息科技重大突發(fā)事件時，采取緊急措施，并向監(jiān)管部門報告；

（五）負責其他信息科技工作的領(lǐng)導職責。

第九條商業(yè)銀行應(yīng)設(shè)立由行長擔任主任，首席信息官擔任副主任的信息科技管理委員會，其成員應(yīng)包括科技、風險、主要業(yè)務(wù)部門和相關(guān)綜合部門負責人，必要時可聘請外部專業(yè)人士擔任委員或顧問。信息科技管理委員會下設(shè)辦事機構(gòu)，辦事機掛靠信息科技部門或單獨設(shè)立。

商業(yè)銀行分支機構(gòu)可參照總行設(shè)立相應(yīng)組織。

第十條信息科技管理委員會組成人員由行長和首席信息官提出具體人選，由管理層集體研究決定成立，相關(guān)材料報監(jiān)管部門備案。

第十一條

信息科技管理委員會成員需掌握信息科技政策和流程基本知識，并能夠在其負責的領(lǐng)域進行決策。信息科技管理委員會職責包括但不限于：

（一）審議信息科技發(fā)展戰(zhàn)略規(guī)劃并提交董事會審批，確保信息科技發(fā)展規(guī)劃和業(yè)務(wù)發(fā)展規(guī)劃保持一致；

（二）審查批準信息科技建設(shè)指導原則、技術(shù)架構(gòu)和主要信息科技工作制度；

（三）審議信息科技年度工作計劃及預(yù)算；

（四）審議重大科技項目的立項、預(yù)算和實施，并確定重大項目的優(yōu)先級；

（五）審查批準重大信息科技運營、安全、業(yè)務(wù)連續(xù)性、應(yīng)急管理相關(guān)事項；

（六）審查批準信息科技職業(yè)道德行為規(guī)范和全體人員信息科技教育事項；

（七）檢查所擬訂和審議事項的落實和執(zhí)行情況，組織對信息科技重大事項結(jié)果進行評估；

（八）審閱并向中國銀監(jiān)會及其派出機構(gòu)報送信息科技風險管理的年度報告；

（九）審查其他有關(guān)信息科技工作的重大事項。

第十二條

商業(yè)銀行要制定信息科技管理委員會的章程和工作制度，明確信息科技管理委員會的具體職責、議事規(guī)則和辦事流程，規(guī)范管理。信息科技管理委員會每半年至少召開一次工作會議，有重大事項時要及時召開會。議審計部門負責人應(yīng)列席信息科技管理委員會會議并發(fā)表獨立意見。

第十三條商業(yè)銀行設(shè)立首席信息官，在行長領(lǐng)導下開展工作，其職責包括：

（一）組織制定信息科技發(fā)展戰(zhàn)略規(guī)劃，確保符合銀行總體業(yè)務(wù)發(fā)展戰(zhàn)略和風險管理策略；

（二）組織制定科技建設(shè)指導原則、技術(shù)架構(gòu)和信息科技運行管理機制，確保制定的科技建設(shè)指導原則清晰、準確，技術(shù)架構(gòu)科學、合理，信息科技運行機制全面、高效；

（三）確保信息科技風險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)；

（四）組織制定信息安全目標、策略、方針及實施計劃，并組織落實；

（五）協(xié)助行長主持信息科技管理委員會日常工作，督促落實信息科技管理委員會通過的決議；

（六）參與全行業(yè)務(wù)發(fā)展重大事項和需信息技術(shù)支撐的重要業(yè)務(wù)決策；

（七）向信息科技管理委員會或受行長委托向董事會匯報信息科技工作，確保信息科技管理委員會、董事會擁有充分的信息做出信息科技領(lǐng)域的重大決策；

（八）組織制定信息科技年度工作計劃及預(yù)算；

（九）履行信息科技管理其他管理工作。

第十四條

首席信息官擬任人選應(yīng)符合高管人員任職資格基本條件。

第十五條

首席信息官由行長提名，董事會批準，按照中國銀監(jiān)會行政許可事項有關(guān)規(guī)定報監(jiān)管部門任職資格許可后，由董事會任命。

第十六條

商業(yè)銀行應(yīng)建立與業(yè)務(wù)相適應(yīng)的信息科技部門，根據(jù)工作需要可設(shè)立軟件開發(fā)、運行維護和數(shù)據(jù)中心等部門，由信息科技部門統(tǒng)一協(xié)調(diào)和指導。

商業(yè)銀行分支機構(gòu)按照職責分離的原則設(shè)臵相應(yīng)的信息科技管理部門或崗位。

第十七條

信息科技部門的主要職責是：

（一）根據(jù)全行的發(fā)展戰(zhàn)略，在首席信息官領(lǐng)導下擬訂信息科技發(fā)展戰(zhàn)略規(guī)劃、年度工作計劃和年度預(yù)算；

（二）負責建立科技管理制度，確定科技建設(shè)標準，規(guī)范科技工作流程，明確科技崗位職責；

（三）負責科技項目的技術(shù)可行性審查和生命周期內(nèi)的管理和實施，合理配臵科技資源，提高項目質(zhì)量和效率；

（四）加強生產(chǎn)運行管理，提高信息系統(tǒng)運行的穩(wěn)定性和連續(xù)性；

（五）制定本行信息安全政策、安全制度和安全策略，通過嚴格內(nèi)控、加強監(jiān)督等有效措施，確保本行信息科技工作規(guī)范運行、信息資產(chǎn)安全可靠和信息系統(tǒng)持續(xù)穩(wěn)定；

（六）制定知識產(chǎn)權(quán)保護制度和策略，并組織落實；

（七）負責科技隊伍建設(shè)、管理和業(yè)務(wù)考核工作；

（八）組織對外部技術(shù)和設(shè)備供應(yīng)商的資質(zhì)和服務(wù)品質(zhì)評審，對外包科技人員進行管理；

（九）組織對信息科技工作進行自我評估，并采取措施對評估發(fā)現(xiàn)的風險隱患和薄弱環(huán)節(jié)進行改進；

（十）配合風險管理、審計和監(jiān)管部門開展工作，根據(jù)風險管理、審計部門提出的風險控制建議和審計建議，制定信息科技風險防控技術(shù)方案和整改方案，采取相應(yīng)的技術(shù)措施，將風險降至可接受范圍；

（十一）其他信息科技相關(guān)工作。

第十八條國有商業(yè)銀行和股份制商業(yè)銀行信息科技人員總數(shù)與員工總?cè)藬?shù)的比例原則上不低于2.5%，城市商業(yè)銀行和其他地方法人機構(gòu)這一比例原則上不低于3%，至少不得少于3人?？萍既藛T中負責內(nèi)控和風險防范人員原則上不低于5%。

商業(yè)銀行分支機構(gòu)應(yīng)根據(jù)系統(tǒng)開發(fā)量、網(wǎng)點數(shù)量增配相適應(yīng)的科技人員。第十九條

信息科技人員應(yīng)當具備相應(yīng)的專業(yè)從業(yè)資格：

（一）具備大專以上學歷，掌握信息科技相關(guān)專業(yè)知識，熟悉銀行業(yè)信息科技工作，對金融知識有一定的了解；

（二）主要管理人員和項目負責人要具備銀行信息科技工作經(jīng)驗三年以上；

（三）具有勤奮、鉆研和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。

第二十條

商業(yè)銀行及其分支機構(gòu)應(yīng)在信息科技部門之外指定一個部門負責信息科技風險管理工作，主要職責是：

（一）將信息科技風險納入全行風險管理范圍內(nèi)，負責組織制定信息科技風險管理總體規(guī)劃；

（二）審查各個部門和各個環(huán)節(jié)的信息科技風險管理制度和控制流程，評價制度的執(zhí)行情況；

（三）識別、評估和檢查重要部門和重點環(huán)節(jié)的信息科技風險狀況；

（四）對重要科技項目的各個階段進行科技風險評審；

（五）負責本行業(yè)務(wù)連續(xù)性和應(yīng)急管理組織工作，定期組織相關(guān)部門進行業(yè)務(wù)影響性分析和應(yīng)急演練，并對應(yīng)急預(yù)案進行完善；

（六）對全行員工進行持續(xù)的信息科技風險教育；

（七）依據(jù)有關(guān)法律法規(guī)的要求，及時披露信息科技風險狀況。第二十一條

信息科技風險管理人員數(shù)量原則上按照科技人員數(shù)量的3%配備，至少不得少于2人。

第二十二條信息科技風險管理人員應(yīng)當具備相應(yīng)的專業(yè)從業(yè)資格：

（一）信息科技風險管理人員應(yīng)具備大專以上學歷，掌握信息科技相關(guān)專業(yè)知識，熟悉金融相關(guān)法律、法規(guī)和金融風險管理制度；

（二）具備兩年以上金融信息科技工作從業(yè)經(jīng)驗，風險管理項目負責人應(yīng)同時具備從事風險管理工作兩年以上；

（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。

第二十三條商業(yè)銀行及其分支機構(gòu)應(yīng)在內(nèi)部審計部門設(shè)立負責信息科技風險審計的部門或崗位。其主要職責是：

（一）制定信息科技審計制度、標準、計劃；

（二）實施信息科技審計計劃，檢查信息科技內(nèi)控機制和應(yīng)用控制的有效性；

（三）根據(jù)信息科技工作需要，對特殊事項進行專項審計；

（四）負責信息科技外部審計相關(guān)事宜；

（五）根據(jù)內(nèi)外部審計結(jié)果，對信息科技工作中的問題提出整改意見，并督促落實。

第二十四條信息科技風險審計人員數(shù)量原則上按照科技人員數(shù)量的5%配備，至少不得少于2人。第二十五條信息科技風險審計人員應(yīng)當具備相應(yīng)的專業(yè)從業(yè)資格：

（一）信息科技風險審計人員應(yīng)具備大專以上學歷，掌握信息科技相關(guān)專業(yè)知識，熟悉金融相關(guān)法律、法規(guī)和金融內(nèi)部控制制度。

（二）具備兩年以上金融信息科技工作從業(yè)經(jīng)驗，審計項目負責人應(yīng)同時具備從事審計工作兩年以上。

（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。

第二十六條商業(yè)銀行及其分支機構(gòu)應(yīng)對各業(yè)務(wù)部門的信息科技管理職責進行明確界定，包括但不限于以下內(nèi)容：

（一）根據(jù)業(yè)務(wù)發(fā)展計劃，提出系統(tǒng)需求計劃，并與信息科技部門進行溝通；

（二）按標準的業(yè)務(wù)需求范式編制業(yè)務(wù)需求；

（三）負責本部門申請的科技項目的測試和驗收；

（四）建立相關(guān)制度和流程，加強對信息系統(tǒng)使用管理，嚴格用戶權(quán)限和密碼管理，加強對應(yīng)用系統(tǒng)的訪問控制；

（五）加強本部門員工教育，督促本部門員工遵守信息科技相關(guān)制度和操作規(guī)程。

第三章規(guī)劃與架構(gòu) 第二十七條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃，制定本行信息科技戰(zhàn)略規(guī)劃，明確本行信息科技發(fā)展方向，指導本行信息科技工作。

第二十八條信息科技發(fā)展戰(zhàn)略規(guī)劃應(yīng)包含以下內(nèi)容：

（一）信息科技發(fā)展戰(zhàn)略規(guī)劃與業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃的銜接關(guān)系；

（二）信息科技發(fā)展戰(zhàn)略規(guī)劃的主要內(nèi)容和具體措施；

（三）確保信息科技發(fā)展戰(zhàn)略規(guī)劃得到落實的具體工作安排和責任落實；

（四）信息科技發(fā)展戰(zhàn)略規(guī)劃實施的評估、評價機制與完善措施；

（五）其他與信息科技發(fā)展規(guī)劃相關(guān)內(nèi)容。

第二十九條商業(yè)銀行應(yīng)根據(jù)信息科技戰(zhàn)略規(guī)劃制定完整、清晰的技術(shù)架構(gòu)，明確信息技術(shù)建設(shè)和運用的基本思路，要通過數(shù)據(jù)、流程、技術(shù)的標準化和一體化工作，規(guī)范數(shù)據(jù)格式、系統(tǒng)平臺、基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用，科學規(guī)劃數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)、基礎(chǔ)架構(gòu)和安全框架。

第三十條商業(yè)銀行應(yīng)建立技術(shù)架構(gòu)管理制度，落實技術(shù)架構(gòu)管理職責，明確技術(shù)架構(gòu)制訂、完善和實施流程，加強對技術(shù)架構(gòu)的管理。

第三十一條數(shù)據(jù)是商業(yè)銀行信息系統(tǒng)管理的重要資源，應(yīng)建立統(tǒng)一、規(guī)范的數(shù)據(jù)架構(gòu)，通過有效的數(shù)據(jù)架構(gòu)管理，準確、及時反映業(yè)務(wù)架構(gòu)的本質(zhì)。

第三十二條數(shù)據(jù)架構(gòu)的設(shè)計，至少應(yīng)達到以下要求：

（一）數(shù)據(jù)架構(gòu)設(shè)計應(yīng)科學合理，匹配和適應(yīng)銀行自身業(yè)務(wù)發(fā)展規(guī)劃的要求；

（二）建立數(shù)據(jù)標準化制度，為每一個數(shù)據(jù)元素提供唯一的定義和特征集；

（三）業(yè)務(wù)運作狀況要通過銀行信息系統(tǒng)中的數(shù)據(jù)真實、準確、及時地反映出來的；

（四）業(yè)務(wù)數(shù)據(jù)要體現(xiàn)安全、可用、有效共享和唯一加工點的要求，關(guān)鍵業(yè)務(wù)數(shù)據(jù)要集中處理；

（五）保障數(shù)據(jù)信息的安全、保密，防止內(nèi)外部攻擊；

（六）避免和減少不必要的數(shù)據(jù)冗余；

（七）綜合考慮數(shù)據(jù)存儲量、數(shù)據(jù)增長速度和存儲技術(shù)，做好數(shù)據(jù)存儲和備份工作；

（八）對信息的使用特別是與銀行以外的第三方機構(gòu)的數(shù)據(jù)交流和共享要有嚴格的授權(quán)管理；

（九）境內(nèi)客戶信息及所有交易記錄存放在中國境內(nèi)，未經(jīng)授權(quán)不得向境外機構(gòu)提供。

第三十三條商業(yè)銀行應(yīng)制定明確的應(yīng)用架構(gòu)，以適應(yīng)業(yè)務(wù)發(fā)展和風險管理的要求，清晰地反映各類業(yè)務(wù)的處理流程，滿足業(yè)務(wù)風險控制和安全經(jīng)營的需要。

第三十四條應(yīng)用架構(gòu)設(shè)計，至少應(yīng)達到以下要求：

（一）商業(yè)銀行應(yīng)建立統(tǒng)一的應(yīng)用架構(gòu)，規(guī)范本行應(yīng)用系統(tǒng)開發(fā)、推廣和使用等系統(tǒng)生命周期管理；

（二）信息系統(tǒng)建設(shè)應(yīng)適應(yīng)業(yè)務(wù)和管理發(fā)展的要求，具備良好的可擴展性和靈活性；

（三）采取措施保證應(yīng)用系統(tǒng)安全穩(wěn)定運行，滿足業(yè)務(wù)控制的需要；

（四）關(guān)鍵信息系統(tǒng)應(yīng)采用集中管理模式，不斷提升信息系統(tǒng)的集約化管理水平；

（五）信息系統(tǒng)必須滿足統(tǒng)一身份鑒別、訪問控制、安全審計、數(shù)據(jù)安全、交易安全、軟件容錯、資源控制、性能容量控制等方面的安全規(guī)范要求；

（六）商業(yè)銀行要擁有對關(guān)鍵業(yè)務(wù)系統(tǒng)開發(fā)、管理和運行維護的主導權(quán)，擁有主要業(yè)務(wù)系統(tǒng)、系統(tǒng)數(shù)據(jù)和系統(tǒng)關(guān)鍵設(shè)備的所有權(quán)；

（七）處理客戶信息和交易記錄的系統(tǒng)在中國境內(nèi)獨立運行，由國內(nèi)機構(gòu)全權(quán)管理和維護。

第三十五條基礎(chǔ)架構(gòu)是保證數(shù)據(jù)架構(gòu)和應(yīng)用架構(gòu)得以實施的重要手段，商業(yè)銀行應(yīng)明確建立包括基礎(chǔ)設(shè)施、支持平臺和系統(tǒng)開發(fā)在內(nèi)的基礎(chǔ)架構(gòu)。

第三十六條基礎(chǔ)架構(gòu)設(shè)計，至少應(yīng)達到以下要求：

（一）基礎(chǔ)架構(gòu)的設(shè)計和實現(xiàn)，必須做到統(tǒng)一規(guī)劃、統(tǒng)一標準和科學布局，具備安全、可靠、靈活和經(jīng)濟的特點，滿足業(yè)務(wù) 增長和創(chuàng)新的需要；

（二）基礎(chǔ)設(shè)施和與之相整合的服務(wù)不僅要保證現(xiàn)有應(yīng)用系統(tǒng)安全、持續(xù)、穩(wěn)健運行，也能為本行迅速采用新的業(yè)務(wù)應(yīng)用系統(tǒng)提供具有成本效益的服務(wù)；

（三）定期或有重大變化時對基礎(chǔ)架構(gòu)進行評估，保證基礎(chǔ)架構(gòu)的適應(yīng)性和合理性；

（四）應(yīng)按照有關(guān)規(guī)定，依據(jù)資產(chǎn)規(guī)模和經(jīng)營范圍決定建立全國性、區(qū)域性或地方性數(shù)據(jù)處理中心和災(zāi)難備份中心，實施主要系統(tǒng)和數(shù)據(jù)分等級災(zāi)備，提高業(yè)務(wù)連續(xù)運作和抵御風險能力；

（五）要根據(jù)系統(tǒng)等級和業(yè)務(wù)經(jīng)營范圍，明確計算機機房建設(shè)標準，所建計算機機房要符合國家和行業(yè)有關(guān)標準;

（六）網(wǎng)絡(luò)建設(shè)要采用成熟技術(shù)，具有安全、靈活、經(jīng)濟和易管理等特征，主要網(wǎng)絡(luò)接入要有必要的備份和帶寬冗余；

（七）主要硬件設(shè)備，應(yīng)與本行業(yè)務(wù)發(fā)展規(guī)劃相適應(yīng)，滿足未來一定時期內(nèi)業(yè)務(wù)量增長的需求，符合高可用性和高擴展性原則；

（八）在基礎(chǔ)架構(gòu)中要充分考慮在銀行機構(gòu)與客戶的接觸點和渠道方面對客戶信息的保護，確保相關(guān)信息系統(tǒng)安全、可靠運行；

（九）存放客戶信息、交易記錄和相關(guān)信息系統(tǒng)的設(shè)備存放中國境內(nèi)，由境內(nèi)機構(gòu)和人員全權(quán)管理和維護。

第三十七條商業(yè)銀行要從安全角度審查本行技術(shù)架構(gòu)，建立統(tǒng)一、高效、符合本行信息系統(tǒng)發(fā)展水平的信息安全架構(gòu)，為系統(tǒng)架構(gòu)提供所需要的安全服務(wù)，為安全設(shè)施部署提供依據(jù)。

第三十八條安全架構(gòu)設(shè)計應(yīng)該以風險為導向，與本行的安全策略相吻合，通過建立安全組織、安全方針、安全制度和安全策略降低整個企業(yè)的信息技術(shù)風險。

第三十九條安全架構(gòu)的設(shè)計和建立使得信息科技安全工作至少達到以下要求：

（一）客戶信息和銀行業(yè)務(wù)數(shù)據(jù)在處理、保存、傳輸和使用整個過程中安全、可靠和完整；

（二）信息系統(tǒng)所涉及物理環(huán)境、核心設(shè)備和關(guān)鍵基礎(chǔ)平臺安全有效；

（三）關(guān)鍵網(wǎng)絡(luò)系統(tǒng)安全、高效、可靠；

（四）采用多種技術(shù)措施，使本行信息和系統(tǒng)具備抵御外部威脅和干擾能力；

（五）確保內(nèi)部信息不被泄露；

（六）確保安全因素在系統(tǒng)設(shè)計和建設(shè)的每個階段都被詳細考慮；

（七）消除整體安全架構(gòu)中的單個故障點。

第四章工作機制

第四十條商業(yè)銀行應(yīng)建立科學、高效的信息科技運行管理制度，規(guī)范信息科技管理、風險防范和審計工作運行機制，提高信息科技工作效率和風險防范水平。

第四十一條商業(yè)銀行信息科技運行管理制度應(yīng)理順以下單位和部門之間運行機制和辦事流程：

（一）科技部門、風險管理部門、審計部門和主要業(yè)務(wù)部門之間的管理運行機制和辦事流程；

（二）信息科技內(nèi)部管理、開發(fā)、運維等內(nèi)設(shè)部門和崗位運行機制和辦事流程；

（三）總行及其分支機構(gòu)在信息科技管理、風險防范和審計工作中的運行機制和辦事流程。

第四十二條商業(yè)銀行應(yīng)加強上級行對下級行信息科技管理、風險防范和審計工作的管理、協(xié)調(diào)和指導工作。

第四十三條商業(yè)銀行應(yīng)建立清晰、有效的信息科技決策管理制度，明確信息科技決策內(nèi)容和相關(guān)領(lǐng)導、部門在信息科技決策中的角色和職責。

第四十四條商業(yè)銀行信息科技決策管理制度應(yīng)至少涵蓋以下內(nèi)容：

（一）信息科技發(fā)展戰(zhàn)略規(guī)劃、技術(shù)架構(gòu)和信息科技年度工作計劃制定、審閱和審批決策流程；

（二）信息科技項目管理流程及業(yè)務(wù)、科技、風險管理和審計等部門在項目決策中的職責、分工和路徑；

（三）科技建設(shè)經(jīng)費審批流程；

（四）信息安全管理流程及相關(guān)部門職責；

（五）重大事項和突發(fā)事件管理和處臵決策流程；

（六）信息科技資源配臵決策流程。

第四十五條

商業(yè)銀行應(yīng)建立規(guī)范、高效的信息科技服務(wù)運行機制，明確服務(wù)內(nèi)容、方式，確?？萍疾块T與業(yè)務(wù)部門之間、上級行與下級行之間有明晰的科技服務(wù)流程，不斷提高信息科技服務(wù)水平。

第四十六條商業(yè)銀行應(yīng)建立信息科技服務(wù)外包機制，明確信息科技外包范圍、內(nèi)容、方式，加強外包過程中外包單位評估和引進工作，規(guī)范對外包單位的管理。

第四十七條商業(yè)銀行應(yīng)建立全面、有效的信息科技風險管理制度，確保信息科技平穩(wěn)、安全、高效運行。

第四十八條商業(yè)銀行信息科技風險管理制度應(yīng)至少涵蓋以下內(nèi)容：

（一）建立信息技術(shù)業(yè)務(wù)連續(xù)性保障機制。風險管理部門組織信息科技部門和相關(guān)業(yè)務(wù)部門開展業(yè)務(wù)影響性分析，制定業(yè)務(wù)連續(xù)性計劃和應(yīng)急預(yù)案，定期組織演練，并對演練效果進行后評價，及時修改和完善業(yè)務(wù)連續(xù)計劃和應(yīng)急預(yù)案；

（二）建立信息科技安全運行保障機制。風險管理部門應(yīng)督促科技部門和業(yè)務(wù)部門制定重要信息系統(tǒng)操作管理規(guī)范，并督促執(zhí)行；

（三）建立信息科技風險評估預(yù)警機制。制定合理的預(yù)警指標體系，建立監(jiān)控系統(tǒng)，完善預(yù)警程序和措施；

（四）建立信息科技重大事項處理機制。重大事項經(jīng)首席信息官批準后，信息科技部門按有關(guān)規(guī)定報監(jiān)管部門，并組織實施；

（五）建立明晰的信息科技突發(fā)事件應(yīng)急處臵機制。按銀監(jiān)會《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》的規(guī)定，做好突發(fā)事件處臵工作。

第四十九條商業(yè)銀行應(yīng)建立信息科技審計制度，明確審計范圍和審計內(nèi)容，定期對信息科技工作開展內(nèi)部審計，每個機構(gòu)的審計間隔期不得超過三年。

上市銀行應(yīng)按有關(guān)規(guī)定組織開展信息科技外部審計。

第五十條商業(yè)銀行應(yīng)加強對信息科技績效管理，確保信息科技推動業(yè)務(wù)發(fā)展，為商業(yè)銀行增加價值。

第五十一條商業(yè)銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定信息科技知識產(chǎn)權(quán)保護策略和制度，禁止侵權(quán)盜版，采取有效措施保護本機構(gòu)自主知識產(chǎn)權(quán)。

第五章激勵約束

第五十二條商業(yè)銀行應(yīng)建立一套包括職位晉升、薪酬晉級在內(nèi)的信息科技激勵機制，激勵機制應(yīng)與信息科技運行效率、風險控制目標等相聯(lián)系，保證科技隊伍的穩(wěn)定。

第五十三條商業(yè)銀行信息科技管理委員會應(yīng)制定科學的價值評估辦法和考核指標，每年組織對信息科技工作進行評估，并建立以科技工作評估結(jié)果為依據(jù)的獎勵制度。

第五十四條

商業(yè)銀行應(yīng)建立信息科技問責制，對不履行信息科技職責或違反信息科技管理法律、法規(guī)的人員進行問責和懲處，確保信息科技管理和風險防范目標的實現(xiàn)。

第六章監(jiān)管措施

第五十五條中國銀監(jiān)會及其派出機構(gòu)負責對商業(yè)銀行信息科技治理進行監(jiān)管。

第五十六條新設(shè)立的銀行機構(gòu)，向監(jiān)管部門報送開業(yè)申請時，應(yīng)同時報送信息科技治理建設(shè)方案、信息科技發(fā)展規(guī)劃、信息技術(shù)架構(gòu)、信息科技管理制度等資料，經(jīng)審查后，才能批準開業(yè)。本意見公布前已經(jīng)設(shè)立的商業(yè)銀行，按本意見的要求完善信息科技治理結(jié)構(gòu)和機制，向監(jiān)管部門報備相關(guān)資料。

第五十七條商業(yè)銀行首席信息官納入高級管理人員任職資格管理范圍，由中國銀監(jiān)會及其派出機構(gòu)依法核準或取消任職資格。

第五十八條中國銀監(jiān)會及其派出機構(gòu)依法對商業(yè)銀行信息科技治理實施非現(xiàn)場監(jiān)管和現(xiàn)場檢查。商業(yè)銀行按要求向監(jiān)管部門報送非現(xiàn)場監(jiān)管資料、配合開展現(xiàn)場檢查。

第五十九條

商業(yè)銀行向監(jiān)管部門報送的信息科技管理年度報告中應(yīng)包括信息科技治理工作情況，當信息科技治理結(jié)構(gòu)、技術(shù)架構(gòu)和制度發(fā)生重大變化或發(fā)生與信息科技治理相關(guān)的重大事項時，要及時向監(jiān)管部門報告。

第六十條商業(yè)銀行信息科技出現(xiàn)重大風險，監(jiān)管部門依據(jù)相關(guān)法律、法規(guī)對相關(guān)機構(gòu)和人員做出行政處罰。

第七章附則

第六十一條本意見由中國銀監(jiān)會負責解釋。第六十二條本意見自公告之日起實施。

第二篇：《商業(yè)銀行公司治理指引》(征求意見稿)

《商業(yè)銀行公司治理指引》

（征求意見稿）

第一章總則

第一條為進一步完善商業(yè)銀行公司治理，促進商業(yè)銀行穩(wěn)健經(jīng)營和健康發(fā)展，保護存款人和其他利益相關(guān)者的合法權(quán)益，根據(jù)《中華人民共和國公司法》、《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》和其他相關(guān)法律、法規(guī)，制定本指引。

第二條中華人民共和國境內(nèi)經(jīng)銀行業(yè)監(jiān)督管理部門批準設(shè)立的商業(yè)銀行、經(jīng)國務(wù)院批準實行股份制改革的金融資產(chǎn)管理公司適用本指引。

第三條本指引所稱的商業(yè)銀行公司治理是指股東大會、董事會、監(jiān)事會、高級管理層、股東及其他利益相關(guān)者之間的相互關(guān)系，包括組織架構(gòu)、職責邊界、履職要求等治理制衡機制，以及決策、執(zhí)行、監(jiān)督、激勵約束等治理運行機制。

第四條

商業(yè)銀行公司治理應(yīng)遵循各治理主體獨立運作、有效制衡、相互合作、協(xié)調(diào)運轉(zhuǎn)的原則，建立合理的激勵、約束機制，科學、高效地進行決策、執(zhí)行和監(jiān)督。

第五條各治理主體應(yīng)由具備良好的專業(yè)背景、業(yè)務(wù)技能、職業(yè)操守和從業(yè)經(jīng)驗的人員組成，并在以下方面得到充分體現(xiàn)：

（一）確保商業(yè)銀行依法合規(guī)經(jīng)營；

（二）確保商業(yè)銀行培育審慎的信貸文化；

（三）確保商業(yè)銀行履行良好的社會責任；

（四）確保商業(yè)銀行保護金融消費者的合法權(quán) 益。

第六條各治理主體及其成員依法享有權(quán)利和承擔義務(wù)，共同維護商業(yè)銀行整體利益，不應(yīng)損害商業(yè)銀行利益或?qū)⒆陨砝媪桉{于商業(yè)銀行利益之上。

第七條商業(yè)銀行良好公司治理應(yīng)當至少包括以下內(nèi)容：

（一）健全的組織架構(gòu)；

（二）清晰的職責邊界；

（三）科學的發(fā)展戰(zhàn)略、價值準則與良好的社會責任；

（四）有效的風險管理與內(nèi)部控制；

（五）合理的激勵約束機制；

（六）完善的信息披露制度。

第八條商業(yè)銀行章程是銀行公司治理的基本文件，對股東大會、董事會、監(jiān)事會、高級管理層的組成、職責和議事規(guī)則等做出制度安排，并載明有關(guān)法律法規(guī)要求在章程中明確規(guī)定的其他事項。

商業(yè)銀行應(yīng)當制定章程并根據(jù)自身發(fā)展及相關(guān)法律法規(guī)要求及時修改完善章程。

第二章公司治理架構(gòu) 第一節(jié) 股東和股東大會

第九條股東應(yīng)當依法對商業(yè)銀行履行誠信義務(wù)，確保提交的股東資格資料真實、完整、有效。主要股東還應(yīng)完整、及時、準確地向董事會披露關(guān)聯(lián)方情況，并承諾當關(guān)聯(lián)關(guān)系發(fā)生變化時及時向董事會報告。

本指引所稱主要股東是指能夠直接、間接、共同持有或控制商業(yè)銀行百分之五以上股份或表決權(quán)以及對商業(yè)銀行決策有重大影響的股東。

第十條股東特別是主要股東應(yīng)當嚴格按照法律、法規(guī)、規(guī)章及商業(yè)銀行章程行使出資人權(quán)利，不應(yīng)謀取不當利益，不應(yīng)干預(yù)董事會、高級管理層根據(jù)章程享有的決策權(quán)和管理權(quán)，不應(yīng)越過董事會和高級管理層直接干預(yù)商業(yè)銀行經(jīng)營管理，不應(yīng)損害商業(yè)銀行利益和其他利益相關(guān)者合法權(quán)益。

第十一條股東特別是主要股東應(yīng)支持銀行董事會制定合理的資本規(guī)劃，使銀行資本持續(xù)地滿足監(jiān)管要求。當銀行資本不能滿足監(jiān)管要求時，應(yīng)制定資本補充計劃使資本充足率限期內(nèi)達到監(jiān)管要求，逾期沒有達到監(jiān)管要求，應(yīng)當降低分紅比例甚至停止分紅，并通過增加核心資本等方式補充資本。主要股東不應(yīng)阻礙其它股東對銀行補充資本或合格的新股東進入。

第十二條主要股東應(yīng)以書面形式作出資本補充和流動性支持的長期承諾，并作為商業(yè)銀行資本規(guī)劃和流動性應(yīng)急計劃的一部分。

第十三條股東獲得本行授信的條件不得優(yōu)于其他客戶同類授信的條件。

第十四條商業(yè)銀行不得接受本行股票為質(zhì)押權(quán)標的。股東特別是主要股東需以本行股票為自己或他人向本行以外的金融機構(gòu)擔保的，應(yīng)當事前告知本行董事會。

股東在本行借款余額超過其持有經(jīng)審計的上一股權(quán)凈值，不得將本行股票進行質(zhì)押。

商業(yè)銀行應(yīng)當在章程中規(guī)定，股東特別是主要股東在本行授信逾期時，應(yīng)對其在股東大會和派出董事在董事會上的表決權(quán)進行限制。

第十五條股東應(yīng)嚴格按照法律、法規(guī)、規(guī)章及商業(yè)銀行章程規(guī)定的程序提名董事、監(jiān)事候選人。

同一股東不得同時提名董事和監(jiān)事人選；同一股東提名的董事（監(jiān)事）人選已擔任董事（監(jiān)事）職務(wù)，在其任職期屆滿前，該股東不得再提名監(jiān)事（董事）候選人。因特殊股權(quán)結(jié)構(gòu)需要豁免的，應(yīng)當向銀行業(yè)監(jiān)督管理部門提出申請，并說明理由。

同一股東及其關(guān)聯(lián)人提名的董事原則上不得超過董事會成員總數(shù)的三分之一。

第十六條股東大會依據(jù)《公司法》和商業(yè)銀行章程行使職權(quán)。

第十七條股東大會會議包括年會和臨時會議。股東大會年會應(yīng)由董事會召集，并應(yīng)在每一會計結(jié)束后六個月內(nèi)召開。因特殊情況需延期召開的，應(yīng)向銀行業(yè)監(jiān)督管理部門報告，并說明延期召開的事由。

股東大會會議應(yīng)當實行律師見證制度，并由律師出具法律意見書。法律意見書應(yīng)當對股東大會召開程序、出席股東大會的股東資格、股東大會決議內(nèi)容等事項的合法性發(fā)表意見。

股東大會的會議議程和會議議題應(yīng)當由董事會依法、公正、合理地進行安排，確保股東大會能夠?qū)γ總€議題進行充分的討論。

第十八條股東大會議事規(guī)則由商業(yè)銀行董事會負責制定，并經(jīng)股東大會審議通過后執(zhí)行。

股東大會議事規(guī)則包括通知、提案機制、召開方式、文件準備、表決形式、會議記錄及簽署、關(guān)聯(lián)股東的回避等。

第二節(jié) 董事會

第十九條董事會對股東大會負責，對商業(yè)銀行經(jīng)營和管理承擔最終責任，除依據(jù)《公司法》等法律法規(guī)和商業(yè)銀行章程行使職責外，董事會在履行職責時還應(yīng)特別關(guān)注：

（一）制定商業(yè)銀行經(jīng)營發(fā)展戰(zhàn)略并監(jiān)督戰(zhàn)略實施；

（二）制定商業(yè)銀行風險容忍度、風險管理和內(nèi)部控制政策；

（三）制定資本規(guī)劃，承擔資本充足率管理最終責任；

（四）定期評估并完善商業(yè)銀行公司治理；

（五）負責商業(yè)銀行信息披露，并對商業(yè)銀行會計和財務(wù)報告的真實性、準確性、完整性和及時性承擔最終責任；

（六）監(jiān)督并確保高級管理層有效履行管理職責；

（七）關(guān)注和維護存款人和其他利益相關(guān)者利益；

（八）關(guān)注銀行與股東特別是主要股東之間的利益沖突，建立利益沖突識別、審查和管理機制等。

第二十條商業(yè)銀行應(yīng)根據(jù)其規(guī)模和業(yè)務(wù)狀況，確定合理的董事會人數(shù)及構(gòu)成。

第二十一條董事會由執(zhí)行董事和非執(zhí)行董事（包括股權(quán)董事、獨立董事）組成。

執(zhí)行董事是指在商業(yè)銀行擔任除董事職務(wù)外的其他高級經(jīng)營管理職務(wù)的董事。

非執(zhí)行董事是指在商業(yè)銀行不擔任經(jīng)營管理職務(wù)的董事。獨立董事是指不在商業(yè)銀行擔任除董事以外的其他職務(wù)，并與所聘商業(yè)銀行及其主要股東不存在任何可能影響其進行獨立、客觀判斷關(guān)系的董事。

第二十二條董事會應(yīng)根據(jù)商業(yè)銀行情況單獨或合并設(shè)立其專門委員會，如戰(zhàn)略委員會、審計委員會、風險管理委員會、關(guān)聯(lián)交易控制委員會、提名委員會、薪酬委員會等。

戰(zhàn)略委員會負責制定商業(yè)銀行經(jīng)營管理目標和長期發(fā)展戰(zhàn)略，監(jiān)督、檢查經(jīng)營計劃、投資方案的執(zhí)行情況。

審計委員會負責檢查商業(yè)銀行風險及合規(guī)狀況，會計政策、財務(wù)狀況和財務(wù)報告程序；負責商業(yè)銀行審計工作，并就審計后的財務(wù)報告信息真實性、準確性、完整性和及時性作出判斷性報告，提交董事會審議。

風險管理委員會負責監(jiān)督高級管理層關(guān)于資本和信用風險、流動性風險、市場風險、操作風險、合規(guī)風險和聲譽風險等風險的控制情況，對商業(yè)銀行風險政策、管理狀況及風險承受能力進行定期評估，提出完善商業(yè)銀行風險管理和內(nèi)部控制的意見。

關(guān)聯(lián)交易控制委員會負責關(guān)聯(lián)交易的管理、審查和批準，控制關(guān)聯(lián)交易風險。

提名委員會負責擬定董事和高級管理層成員的選任程序和標準，對董事和高級管理層成員的任職資格進行初步審核，并向董事會提出建議。

薪酬委員會負責審議全行薪酬管理制度和政策，擬定董事和高級管理層的薪酬方案，并向董事會提出薪酬方案建議，監(jiān)督方案實施。

第二十三條董事會專門委員會向董事會提供專業(yè)意見或根據(jù)董事會授權(quán)就專業(yè)事項進行決策。

各相關(guān)專門委員會應(yīng)當定期與高級管理層及部門交流商業(yè)銀行經(jīng)營和風險狀況，并提出意見和建議。

第二十四條各專門委員會成員應(yīng)當具有與專門委員會職責相適應(yīng)的專業(yè)知識和工作經(jīng)驗，各專門委員會負責人原則上不宜兼任。提名委員會、薪酬委員會、關(guān)聯(lián)交易控制委員會、審計委員會應(yīng)當由獨立董事?lián)呜撠熑耍渲嘘P(guān)聯(lián)交易控制委員會、審計委員會中獨立董事原則上應(yīng)占半數(shù)以上。

審計委員會成員應(yīng)當具有財務(wù)、審計和會計等某一方面的專業(yè)知識和工作經(jīng)驗。風險管理委員會負責人應(yīng)具有對各類風險進行判斷與管理經(jīng)驗，并能理解和解釋商業(yè)銀行已使用的風險管理模型。

第二十五條董事會設(shè)董事長一人，可以設(shè)副董事長。董事長和副董事長由董事會以全體董事過半數(shù)選舉產(chǎn)生。

商業(yè)銀行董事長和行長應(yīng)當分設(shè)，董事長不得由控股股東法定代表人或主要負責人兼任；商業(yè)銀行董事長和行長原則上不得兼任下設(shè)公司董事長。因特殊情況需要豁免的，應(yīng)向銀行業(yè)監(jiān)督管理部門申請核準，并說明理由。

第二十六條董事會例會每年至少應(yīng)當召開四次。董事會臨時會議的召開程序由商業(yè)銀行章程規(guī)定。

第二十七條董事會應(yīng)當制定內(nèi)容完備的董事會議事規(guī)則，包括通知、文件準備、召開方式、表決形式、提案機制、會議記錄及其簽署、董事會授權(quán)規(guī)則等，并報股東大會審議通過。

董事會議事規(guī)則中應(yīng)包括各項議案的提案機制和程序，明確各治理主體在提案中的權(quán)利和義務(wù)。在會議記錄中明確記載各項議案的提案方。

第二十八條董事會各專門委員會議事規(guī)則和工作程序由董事會制定。各專門委員會應(yīng)制定工作計劃并定期召開會議。

第二十九條董事會會議應(yīng)有過半數(shù)董事出席方可舉行。董事會做出決議，必須經(jīng)全體董事過半數(shù)通過。

董事會會議可采用會議表決（包括視頻會議）和通訊表決兩種表決方式，實行一人一票。

商業(yè)銀行章程或董事會議事規(guī)則應(yīng)對董事會采取通訊表決的條件和程序進行規(guī)定。董事會會議采取通訊表決方式時應(yīng)說明理由。

商業(yè)銀行章程應(yīng)當規(guī)定，利潤分配方案、重大投資、重大資產(chǎn)處臵方案、聘任或解聘高級管理人員、資本補充方案、重大股權(quán)變動以及財務(wù)重組等重大事項不應(yīng)采取通訊表決方式，應(yīng)當由董事會三分之二以上董事通過。

第三十條董事會召開董事會會議，應(yīng)當事先通知監(jiān)事會派員列席。

董事會在履行職責時，應(yīng)當充分考慮外部審計機構(gòu)的意見。第三十一條銀行業(yè)監(jiān)督管理部門對商業(yè)銀行的監(jiān)管意見及商業(yè)銀行整改情況應(yīng)當在董事會上予以通報。

第三節(jié) 監(jiān)事會

第三十二條監(jiān)事會是商業(yè)銀行的監(jiān)督機構(gòu)，對股東大會負責，除依據(jù)《公司法》等法律法規(guī)和商業(yè)銀行章程行使職責外，監(jiān)事會在履行職責時還應(yīng)特別關(guān)注：

（一）監(jiān)督董事會確立穩(wěn)健的經(jīng)營理念、價值準則和制定符合本行實際的發(fā)展戰(zhàn)略；

（二）定期對董事會制定的發(fā)展戰(zhàn)略科學性、合理性和有效性進行評估，形成評估報告；

（三）對本行經(jīng)營決策、風險管理和內(nèi)部控制等進行監(jiān)督檢查并督促整改；

（四）對董事及獨立董事的選聘程序進行監(jiān)督；

（五）對董事、監(jiān)事和高級管理人員履職情況進行綜合評價；

（六）對全行薪酬管理制度和政策及高級管理人員薪酬方案的科學性、合理性進行監(jiān)督；

（七）定期與銀行業(yè)監(jiān)督管理部門溝通商業(yè)銀行情況等。

第三十三條監(jiān)事會由職工代表出任的監(jiān)事、股東大會選舉的外部監(jiān)事和股東代表監(jiān)事組成。

外部監(jiān)事與商業(yè)銀行及其主要股東之間不應(yīng)存在影響其獨立判斷的關(guān)系。

第三十四條監(jiān)事會可根據(jù)情況設(shè)立提名委員會和監(jiān)督委員會。

提名委員會負責擬訂監(jiān)事的選任程序和標準，對監(jiān)事候選人的任職資格進行初步審核，并向監(jiān)事會提出建議；對董事及獨立董事的選聘程序進行監(jiān)督；對董事、監(jiān)事和高級管理人員履職情況進行綜合評價并向監(jiān)事會報告；對全行薪酬管理制度和政策及高級管理人員薪酬方案的科學性、合理性進行監(jiān)督。

提名委員會應(yīng)當由外部監(jiān)事?lián)呜撠熑恕?/p>

監(jiān)督委員會負責擬訂對本行財務(wù)活動的監(jiān)督方案并實施相關(guān)檢查，監(jiān)督董事會確立穩(wěn)健的經(jīng)營理念、價值準則和制定符合本行實際的發(fā)展戰(zhàn)略，對本行經(jīng)營決策、風險管理和內(nèi)部控制等進行監(jiān)督檢查。

第三十五條監(jiān)事會主席（監(jiān)事長）應(yīng)由專職人員擔任，且至少應(yīng)當具有財務(wù)、審計、金融、法律等某一方面專業(yè)知識和工作經(jīng)驗。

第三十六條監(jiān)事會應(yīng)當制定內(nèi)容完備的監(jiān)事會議事規(guī)則，包括通知、文件準備、召開方式、表決形式、會議記錄及其簽署等。監(jiān)事會例會每年至少應(yīng)當召開四次。監(jiān)事會臨時會議召開程序由商業(yè)銀行章程規(guī)定。

第三十七條監(jiān)事會在履職過程中有權(quán)要求董事會和高級管理層提供信息披露、審計等方面的必要信息。監(jiān)事會認為必要時，可以指派監(jiān)事列席高級管理層會議。

第三十八條監(jiān)事會可以獨立聘請外部機構(gòu)就相關(guān)工作提供專業(yè)協(xié)助。

第四節(jié) 高級管理層第三十九條高級管理層由行長、副行長、財務(wù)負責人、董事會秘書及監(jiān)管部門認定的其它高級管理人員組成。

第四十條高級管理層根據(jù)商業(yè)銀行章程及董事會授權(quán)開展經(jīng)營管理活動，確保銀行經(jīng)營與董事會所制定批準的發(fā)展戰(zhàn)略、風險偏好、各項政策流程和程序相一致。

高級管理層對董事會負責，同時接受監(jiān)事會監(jiān)督。高級管理層依法在其職權(quán)范圍內(nèi)的經(jīng)營管理活動不應(yīng)受干預(yù)。

第四十一條高級管理層應(yīng)當建立向董事會及其專門委員會、監(jiān)事會及其專門委員會信息報告制度，明確信息的種類、內(nèi)容、時間和方式等，確保董事、監(jiān)事能夠及時、準確地獲取各類信息。

第四十二條高級管理層應(yīng)當建立和完善各項會議制度，并制定相應(yīng)議事規(guī)則。

第四十三條行長依照法律、行政法規(guī)、商業(yè)銀行章程及董事會授權(quán)，行使有關(guān)職權(quán)。

第三章董事、監(jiān)事、高級管理人員

第一節(jié) 董事

第四十四條商業(yè)銀行應(yīng)制定規(guī)范、公開的董事選舉程序，經(jīng)股東大會批準后實施。

第四十五條董事提名及選舉的一般程序為：

（一）在商業(yè)銀行章程規(guī)定的董事會人數(shù)范圍內(nèi)，按照擬選任人數(shù)，可以由上一屆董事會提名委員會提出董事候選人名單；單獨或者合計持有商業(yè)銀行發(fā)行的有表決權(quán)股份總數(shù)百分之三以上股東可以向董事會提出董事候選人；

（二）董事會提名委員會對董事候選人的任職資格和條件進行初步審核，合格人選提交董事會審議；經(jīng)董事會審議通過后，以書面提案方式向股東大會提出董事候選人；

（三）董事候選人應(yīng)在股東大會召開之前做出書面承諾，同意接受提名，承諾公開披露的資料真實、完整并保證當選后切實履行董事義務(wù)；

（四）董事會應(yīng)當在股東大會召開前依照法律、法規(guī)和商業(yè)銀行章程規(guī)定向股東披露董事候選人詳細資料，保證股東在投票時對候選人有足夠的了解；

（五）股東大會對每位董事候選人逐一進行表決；

（六）遇有臨時增補董事，由董事會提名委員會或符合提名條件的股東提出，股東大會予以選舉或更換。

第四十六條獨立董事提名及選舉程序還應(yīng)遵循以下原則：

（一）董事會提名委員會、單獨或者合計持有商業(yè)銀行發(fā)行的有表決權(quán)股份總數(shù)百分之一以上股東可以向董事會提出獨立董事候選人，已經(jīng)提名董事的股東不得再提名獨立董事。

（二）被提名的獨立董事應(yīng)由董事會提名委員會進行資質(zhì)審查，審查重點包括獨立性、專業(yè)知識、經(jīng)驗和能力等；

（三）獨立董事的選聘應(yīng)主要遵循市場原則。第四十七條董事應(yīng)當符合銀行業(yè)監(jiān)督管理部門所規(guī)定的任職條件，董事任職資格須經(jīng)銀行業(yè)監(jiān)督管理部門審核。

董事任期由商業(yè)銀行章程規(guī)定，但每屆任期不得超過三年。董事任期屆滿，連選可以連任。獨立董事在同一家商業(yè)銀行任職時間累計不得超過六年。

第四十八條董事依法有權(quán)了解商業(yè)銀行的各項業(yè)務(wù)經(jīng)營情況和財務(wù)狀況，并對其他董事和高級管理層成員履行職責情況實施監(jiān)督。

第四十九條董事對商業(yè)銀行負有忠實和勤勉義務(wù)。董事應(yīng)當按照相關(guān)法律、法規(guī)、規(guī)章及商業(yè)銀行章程的要求，認真履行職責。

第五十條董事不可以在可能發(fā)生利益沖突的金融機構(gòu)兼任董事，如在其他金融機構(gòu)任職，應(yīng)事先告知商業(yè)銀行，并承諾上述職務(wù)之間不存在利益沖突。

獨立董事不應(yīng)在超過兩家商業(yè)銀行同時任職。

第五十一條董事應(yīng)當投入足夠的時間履行職責。董事應(yīng)當每年親自出席至少三分之二以上的董事會會議。

董事因故不能出席，可以書面委托同類別其他董事代為出席。

董事在董事會會議上應(yīng)當獨立、專業(yè)、客觀地發(fā)表意見。第五十二條董事個人直接或者間接與商業(yè)銀行已有或者計劃中的合同、交易、安排有關(guān)聯(lián)關(guān)系時，均應(yīng)將關(guān)聯(lián)關(guān)系的性質(zhì)和程度及時告知董事會關(guān)聯(lián)交易控制委員會，并且在審議相關(guān)事項時做必要的回避。

第五十三條股權(quán)董事應(yīng)當積極履行股東與商業(yè)銀行之間的溝通職責，重點關(guān)注股東與商業(yè)銀行關(guān)聯(lián)交易情況并支持商業(yè)銀行制定資本補充規(guī)劃。

第五十四條獨立董事履行職責時應(yīng)當對董事會審議事項發(fā)表客觀、公正的獨立意見，并重點關(guān)注以下事項：

（一）重大關(guān)聯(lián)交易的合法性和公允性；

（二）利潤分配方案；

（三）高級管理人員的聘任和解聘；

（四）可能造成商業(yè)銀行重大損失的事項；

（五）可能損害存款人、中小股東和其它利益相關(guān)者利益的事項；

（六）外部審計師的聘任等。

第五十五條獨立董事每年在商業(yè)銀行工作時間不得少于十五個工作日，擔任審計委員會、關(guān)聯(lián)交易委員會及風險管理委員會負責人的董事在商業(yè)銀行工作時間不得少于二十五個工作日。

第五十六條董事應(yīng)按要求參加培訓，了解董事的權(quán)利和義務(wù)，熟悉有關(guān)法律法規(guī)，掌握應(yīng)具備的相關(guān)知識。

第五十七條商業(yè)銀行應(yīng)規(guī)定董事在商業(yè)銀行的最低工作時間，并建立董事履職檔案，完整記錄董事參加董事會會議次數(shù)、獨立發(fā)表意見、建議及其被采納情況等，作為對董事評價的依據(jù)。

第二節(jié) 監(jiān)事

第五十八條監(jiān)事應(yīng)當依照法律、法規(guī)、規(guī)章及商業(yè)銀行章程規(guī)定，忠實履行監(jiān)督職責。

第五十九條監(jiān)事和外部監(jiān)事的提名及選舉程序應(yīng)參照董事和獨立董事的提名及選舉程序。

股東監(jiān)事和外部監(jiān)事由股東大會選舉和罷免；職工代表出任的監(jiān)事由銀行職工民主選舉產(chǎn)生或更換。

第六十條監(jiān)事任期每屆為三年。監(jiān)事任期屆滿，連選可以連任，外部監(jiān)事在同一家商業(yè)銀行任職時間累計不得超過六年。

第六十一條監(jiān)事應(yīng)積極參加監(jiān)事會組織的監(jiān)督檢查活動，依法有權(quán)進行獨立調(diào)查、取證，并實事求是提出問題和監(jiān)督意見。

第六十二條監(jiān)事應(yīng)每年至少親自出席三分之二的監(jiān)事會會議。監(jiān)事因故不能出席，可以書面委托同類別其他監(jiān)事代為出席。監(jiān)事連續(xù)兩次未能親自出席會議，也不委托其他監(jiān)事出席監(jiān)事會會議的，視為不能履職。

股東監(jiān)事和外部監(jiān)事每年在商業(yè)銀行工作時間不得少于十五個工作日。

職工監(jiān)事享有參與涉及員工切身利益的規(guī)章制度制定權(quán)利，并應(yīng)積極參與其執(zhí)行情況的檢查。

第六十三條監(jiān)事可以列席董事會會議，對董事會決議事項提出質(zhì)詢或者建議，但不享有表決權(quán)。列席董事會會議的監(jiān)事應(yīng)當將會議情況報告監(jiān)事會。

第六十四條監(jiān)事的薪酬應(yīng)由股東大會審議確定，董事會不得干預(yù)監(jiān)事薪酬標準。

第三節(jié) 高級管理人員

第六十五條高級管理人員應(yīng)通過銀行業(yè)監(jiān)督管理部門的任職資格審查。

第六十六條高級管理人員應(yīng)當遵循誠信原則，審慎、勤勉地在其職權(quán)范圍內(nèi)行使職權(quán)，不得為自己或他人謀取屬于本商業(yè)銀行的商業(yè)機會，不得接受與本商業(yè)銀行交易有關(guān)的利益。

高級管理人員原則上不得在沒有股權(quán)投資的其他經(jīng)濟組織兼職，在經(jīng)銀行業(yè)監(jiān)督管理部門批準的銀行附屬機構(gòu)兼職除外。

第六十七條高級管理人員應(yīng)當按照董事會要求，及時、準確、完整地向董事會報告有關(guān)本行經(jīng)營業(yè)績、重要合同、財務(wù)狀況、風險狀況和經(jīng)營前景等情況。

第六十八條高級管理人員應(yīng)當接受監(jiān)事會監(jiān)督，定期向監(jiān)事會提供有關(guān)本行經(jīng)營業(yè)績、重要合同、財務(wù)狀況、風險狀況和經(jīng)營前景等情況信息，不得阻撓、妨礙監(jiān)事會依職權(quán)進行的檢查、審計等活動。

第六十九條高級管理人員對董事會違反任免規(guī)定的行為，有權(quán)請求監(jiān)事會提出異議，并向監(jiān)管部門報告。

第四章發(fā)展戰(zhàn)略、價值準則和社會責任

第七十條商業(yè)銀行應(yīng)兼顧股東、存款人和其他利益相關(guān)者利益，制定清晰的發(fā)展戰(zhàn)略和良好的價值準則，并確保在全行得到有效貫徹。

第七十一條商業(yè)銀行發(fā)展戰(zhàn)略應(yīng)重點涵蓋中長期發(fā)展規(guī)劃、戰(zhàn)略目標、經(jīng)營理念、市場定位、資本管理和風險管理等方面的內(nèi)容。

商業(yè)銀行在關(guān)注總體發(fā)展戰(zhàn)略基礎(chǔ)上，還應(yīng)重點關(guān)注人才戰(zhàn)略和信息技術(shù)戰(zhàn)略等配套戰(zhàn)略。

第七十二條商業(yè)銀行發(fā)展戰(zhàn)略由董事會負責制定并向股東大會報告。董事會在制定發(fā)展戰(zhàn)略時應(yīng)充分考慮商業(yè)銀行所處的宏觀經(jīng)濟形勢、市場環(huán)境、風險承受能力和自身比較優(yōu)勢等因素，明確市場定位，突出差異化和特色化，不斷提高商業(yè)銀行核心競爭力。

第七十三條董事會在制定資本管理戰(zhàn)略時應(yīng)充分考慮商業(yè)銀行風險及其發(fā)展趨勢、風險管理水平及承受能力、資本結(jié)構(gòu)、資本質(zhì)量、資本補充渠道以及長期補充資本的能力等因素，并督促高級管理層具體執(zhí)行。

第七十四條商業(yè)銀行應(yīng)制定中長期信息科技規(guī)劃，建立健全管理組織和技術(shù)架構(gòu)成熟、運行安全穩(wěn)定、應(yīng)用豐富靈活、管理科學高效的信息科技體系，并確保信息科技建設(shè)對商業(yè)銀行業(yè)務(wù)和風險管控的有效支持。

第七十五條商業(yè)銀行應(yīng)建立健全人才招聘、開發(fā)、評估、激勵、使用和規(guī)劃的科學機制，逐步實現(xiàn)人力資源配臵市場化，推動商業(yè)銀行實現(xiàn)可持續(xù)發(fā)展。

第七十六條商業(yè)銀行董事會應(yīng)定期對發(fā)展戰(zhàn)略進行評估與審議，確保商業(yè)銀行發(fā)展戰(zhàn)略與經(jīng)營情況和市場環(huán)境變化相適應(yīng)。

監(jiān)事會應(yīng)對商業(yè)銀行發(fā)展戰(zhàn)略的制定、實施與評估進行監(jiān)督。

高級管理層應(yīng)在商業(yè)銀行發(fā)展戰(zhàn)略框架下制定科學合理的經(jīng)營管理目標與計劃。

第七十七條商業(yè)銀行應(yīng)樹立具有社會責任感的價值準則、企業(yè)文化和經(jīng)營理念，以此激勵全體員工更好地履職。

第七十八條商業(yè)銀行董事會負責核準包括董事會自身、高級管理層及全行員工應(yīng)遵循的職業(yè)規(guī)范與公司價值準則。

高級管理層負責制定包括全行各部門管理人員和業(yè)務(wù)人員的行為規(guī)范，明確具體的問責條款，并建立相應(yīng)處理機制。

第七十九條商業(yè)銀行應(yīng)鼓勵員工通過合法渠道對有關(guān)違法、違規(guī)和違反職業(yè)道德的行為予以報告，并充分保護員工合法權(quán)益。

第八十條商業(yè)銀行應(yīng)當在經(jīng)濟、環(huán)境和社會公益事業(yè)等方面履行社會責任，積極配合國家宏觀經(jīng)濟調(diào)控政策，并在制定發(fā)展戰(zhàn)略時予以體現(xiàn)，同時定期向公眾披露社會責任報告。

商業(yè)銀行應(yīng)支持國家產(chǎn)業(yè)政策和環(huán)保政策，保護和節(jié)約資源，促進社會可持續(xù)發(fā)展。

第八十一條商業(yè)銀行應(yīng)遵守公平、安全、有序的行業(yè)競爭秩序，以優(yōu)質(zhì)的專業(yè)化經(jīng)營，不斷改進金融服務(wù)，保護金融消費者合法權(quán)益，持續(xù)為國家、股東、員工、客戶和社會公眾創(chuàng)造價值。

第五章風險管理與內(nèi)部控制

第一節(jié) 風險管理

第八十二條商業(yè)銀行董事會對銀行風險管理承擔最終責任。

商業(yè)銀行董事會應(yīng)根據(jù)銀行風險狀況、發(fā)展規(guī)模和速度，建立全面的風險管理戰(zhàn)略、政策和程序，確定銀行面臨的主要風險、適當?shù)娘L險限額和風險偏好，督促高級管理層有效地識別、計量、監(jiān)測、控制并及時處臵商業(yè)銀行面臨的各種風險。

第八十三條商業(yè)銀行董事會及其風險管理委員會應(yīng)定期聽取高級管理層關(guān)于商業(yè)銀行風險狀況的專題報告，對商業(yè)銀行風險水平、風險管理狀況、風險承受能力進行評估，并提出全面風險管理意見。

第八十四條商業(yè)銀行應(yīng)建立獨立的風險管理部門，并確保該部門具備足夠的職權(quán)、資源和與董事會進行直接溝通的渠道，保證其獨立性。

商業(yè)銀行應(yīng)在人員數(shù)量和資質(zhì)、薪酬和其它激勵政策、信息科技系統(tǒng)訪問權(quán)限、專門的信息系統(tǒng)建設(shè)以及商業(yè)銀行內(nèi)部信息渠道等方面給予風險管理部門必要的支持。

第八十五條商業(yè)銀行的風險管理部門應(yīng)包括但不限于下列職責：

（一）對各項業(yè)務(wù)及各類風險進行持續(xù)、統(tǒng)一的監(jiān)測、分析與報告；

（二）持續(xù)監(jiān)控風險并測算與風險相關(guān)資本需求，及時向高級管理層和董事會報告；

（三）了解銀行股東特別是主要股東的風險狀況、集團架構(gòu)對商業(yè)銀行風險狀況的影響和傳導，定期進行壓力測試，并制定應(yīng)急預(yù)案；

（四）評估業(yè)務(wù)和產(chǎn)品創(chuàng)新、進入新市場以及市場環(huán)境發(fā)生顯著變化時，給商業(yè)銀行帶來的風險。

第八十六條商業(yè)銀行可設(shè)立獨立于操作和經(jīng)營條線的首席風險官。

首席風險官負責商業(yè)銀行的全面風險管理，并可直接向董事會及其專門委員會報告。

首席風險官應(yīng)具備判斷和影響商業(yè)銀行整體風險狀況的能力，并且具有完整、可靠、獨立的信息來源。首席風險官的聘任和解聘由董事會負責并及時向公眾披露。第八十七條商業(yè)銀行應(yīng)在集團層面和單體層面分別對風險進行持續(xù)的識別和監(jiān)控，風險管理的復雜程度應(yīng)與自身風險狀況變化和外部風險環(huán)境改變相一致。

商業(yè)銀行應(yīng)根據(jù)有關(guān)規(guī)定強化并表管理，董事會和高級管理層應(yīng)負責商業(yè)銀行整體及其子公司的全面風險管理，指導子公司做好風險管理工作，并在集團內(nèi)部建立必要的防火墻制度。

第八十八條商業(yè)銀行被集團控股或作為子公司時，董事會和高級管理層應(yīng)及時提示與要求集團或母公司，制定全公司全面發(fā)展戰(zhàn)略和風險政策時充分考慮子商業(yè)銀行的特殊性。

第二節(jié) 內(nèi)部控制

第八十九條商業(yè)銀行董事會應(yīng)當持續(xù)關(guān)注商業(yè)銀行內(nèi)部控制狀況，建立良好的內(nèi)部控制文化，監(jiān)督高級管理層制定相關(guān)政策、程序和措施，對風險進行全過程管理。

第九十條商業(yè)銀行應(yīng)建立健全內(nèi)部控制責任制，確保董事會、監(jiān)事會和高級管理層充分認識自身對內(nèi)部控制所承擔的責任。

董事會、高級管理層對內(nèi)部控制的有效性分層負責，并對內(nèi)部控制失效造成的重大損失承擔責任；

監(jiān)事會負責監(jiān)督董事會、高級管理層完善內(nèi)部控制體系和制度，履行內(nèi)部控制監(jiān)督職責。第九十一條商業(yè)銀行應(yīng)當有效建立各部門之間的橫向信息傳遞機制，以及董事會、高級管理層和各職能部門之間的縱向信息傳遞機制，確保董事會、監(jiān)事會、高級管理層及時了解銀行經(jīng)營和風險狀況，同時確保內(nèi)控政策及信息向相關(guān)部門和員工的有效傳遞。

第九十二條商業(yè)銀行應(yīng)當建立獨立的內(nèi)部控制監(jiān)督與評價部門，該部門應(yīng)對內(nèi)部控制制度建設(shè)和執(zhí)行情況進行有效監(jiān)督與評價，并可直接向董事會、監(jiān)事會和高級管理層報告。

第九十三條商業(yè)銀行應(yīng)建立獨立垂直的內(nèi)部審計管理體系和與之相適應(yīng)的內(nèi)部審計報告制度和報告線路。

首席審計官和內(nèi)部審計部門應(yīng)定期向董事會和監(jiān)事會報告審計工作情況，及時報送項目審計報告，并通報高級管理層。

首席審計官和審計部門負責人的聘任和解聘應(yīng)由董事會負責。

第九十四條商業(yè)銀行應(yīng)建立外聘審計機構(gòu)制度。商業(yè)銀行外聘審計機構(gòu)除履行財務(wù)審計外，應(yīng)對商業(yè)銀行審計的公司治理、內(nèi)部控制及經(jīng)營管理狀況進行評估，并向商業(yè)銀行和銀行業(yè)監(jiān)督管理部門提交管理建議書。

第九十五條董事會、監(jiān)事會和高級管理層應(yīng)有效利用內(nèi)部審計部門、外部審計機構(gòu)和內(nèi)部控制部門的工作成果，及時采取相應(yīng)糾正措施。

第六章激勵約束機制第一節(jié) 董事和監(jiān)事履職評價

第九十六條商業(yè)銀行應(yīng)當建立健全對董事和監(jiān)事的履職評價體系，明確董事和監(jiān)事的履職標準，建立并完善董事和監(jiān)事履職與誠信檔案。

第九十七條商業(yè)銀行對董事和監(jiān)事的履職評價應(yīng)包括董事和監(jiān)事自評、銀行高級管理人員評價、董事會評價和監(jiān)事會評價及外部評價等多個維度。

第九十八條監(jiān)事會負責對商業(yè)銀行董事和監(jiān)事履職的綜合評價，報經(jīng)股東大會批準后，向銀行業(yè)監(jiān)督管理部門報告最終評價結(jié)果。

銀行業(yè)監(jiān)督管理部門應(yīng)當對商業(yè)銀行董事和監(jiān)事的履職評價進行監(jiān)督。

第九十九條董事會、監(jiān)事會應(yīng)分別根據(jù)董事和監(jiān)事的履職情況提出董事和監(jiān)事合理的薪酬安排并報股東大會批準。

第一百條董事和監(jiān)事除在履職評價的自評環(huán)節(jié)外，不應(yīng)參與本人履職評價和薪酬相關(guān)的決定過程。

第一百零一條董事和監(jiān)事違反法律、法規(guī)或者商業(yè)銀行章程，給商業(yè)銀行造成損失的，商業(yè)銀行應(yīng)按規(guī)定向其問責，責令其承擔賠償責任。

第一百零二條對于不能按照規(guī)定履職的董事和監(jiān)事，商業(yè)銀行董事會和監(jiān)事會應(yīng)及時提出處理意見并采取相應(yīng)措施。第一百零三條商業(yè)銀行進行董事和監(jiān)事履職評價時，應(yīng)當充分考慮外部審計機構(gòu)的意見。

第二節(jié) 高級管理人員績效考核

第一百零四條商業(yè)銀行應(yīng)建立與銀行社會責任、企業(yè)文化、發(fā)展戰(zhàn)略、風險管理、整體效益、崗位職責相聯(lián)系科學合理的高級管理層激勵約束機制。

第一百零五條商業(yè)銀行應(yīng)建立公正透明的高級管理人員績效考核標準、程序以及相應(yīng)的薪酬機制。績效考核的標準應(yīng)體現(xiàn)保護存款人和投資人利益原則，確保銀行短期利益與長期利益相一致。

第一百零六條高級管理人員不應(yīng)參與本人績效考核標準和薪酬的決定過程。

第一百零七條商業(yè)銀行出現(xiàn)下列情形之一，應(yīng)當嚴格限定高級管理人員績效考核結(jié)果及其薪酬：

（一）資本充足率等主要監(jiān)管指標沒有達到監(jiān)管要求；

（二）資產(chǎn)質(zhì)量出現(xiàn)大幅下降；

（三）出現(xiàn)其他重大風險或盈利狀況明顯惡化。

第一百零八條高級管理人員違反法律、法規(guī)或者商業(yè)銀行章程，給商業(yè)銀行造成損失的，商業(yè)銀行應(yīng)按規(guī)定向其問責，要求其承擔賠償責任。

第三節(jié) 銀行薪酬機制

第一百零九條商業(yè)銀行應(yīng)制定合理的薪酬機制，確保其充分體現(xiàn)各類風險與成本相抵扣、長期與短期激勵相協(xié)調(diào)，人才培養(yǎng)和風險控制相適應(yīng)，并有利于本行戰(zhàn)略目標的實施和競爭力提升。

第一百一十條商業(yè)銀行應(yīng)建立科學的績效考核指標體系，并分解落實到具體部門和崗位，作為績效薪酬發(fā)放的依據(jù)。

商業(yè)銀行績效考核指標應(yīng)包括經(jīng)濟效益指標、風險成本控制指標和社會責任指標。

第一百一十一條商業(yè)銀行薪酬支付期限應(yīng)與相應(yīng)業(yè)務(wù)的風險持續(xù)時期保持一致，引入績效薪酬延期支付和追索扣回制度，其中主要高級管理人員績效薪酬應(yīng)提高延期支付比例。

第一百一十二條商業(yè)銀行可根據(jù)國家有關(guān)規(guī)定制定本行中長期激勵計劃。

第一百一十三條商業(yè)銀行審計部門每年應(yīng)對績效考核及薪酬機制和執(zhí)行情況進行專項審計，審計結(jié)果應(yīng)向董事會和監(jiān)事會報告，并報送銀行業(yè)監(jiān)督管理部門。

外部審計機構(gòu)應(yīng)將商業(yè)銀行薪酬制度的設(shè)計和執(zhí)行情況納入審計范圍。

第七章信息披露

第一百一十四條商業(yè)銀行應(yīng)當建立本行的信息披露管理制度，按照有關(guān)法律法規(guī)、會計制度和監(jiān)管規(guī)定進行信息披露。

第一百一十五條商業(yè)銀行應(yīng)當遵循真實性、準確性、完整性和及時性原則，規(guī)范地披露信息，不得存在虛假、誤導和重大遺漏等。

商業(yè)銀行信息披露應(yīng)盡可能使用通俗易懂的語言。第一百一十六條商業(yè)銀行董事會負責本行的信息披露，信息披露文件包括定期報告、臨時報告以及規(guī)定的其他文件。

第一百一十七條商業(yè)銀行定期披露的信息應(yīng)包括：基本信息、財務(wù)會計報告、風險管理信息、公司治理信息、重大事項等。

第一百一十八條商業(yè)銀行披露的基本信息應(yīng)包括但不限于以下內(nèi)容：法定名稱、注冊資本、注冊地、成立時間、經(jīng)營范圍、法定代表人、主要股東及其持股情況、董事、監(jiān)事、高級管理人員簡歷、客服和投訴電話、各分支機構(gòu)營業(yè)場所等。

第一百一十九條商業(yè)銀行披露的財務(wù)會計報告由會計報表、會計報表附注、財務(wù)情況說明書等組成。

商業(yè)銀行應(yīng)披露會計師事務(wù)所出具的審計報告。

第一百二十條商業(yè)銀行披露的風險管理狀況信息應(yīng)包括但不限于下列內(nèi)容：

（一）信用風險、流動性風險、市場風險、操作風險、聲譽風險和國別風險等各類風險狀況；

（二）風險控制情況，包括董事會、高級管理層對風險的監(jiān)控能力，風險管理的政策和程序，風險計量、監(jiān)測和管理信息系統(tǒng)，內(nèi)部控制和全面審計情況等。

（三）采用的風險評估及計量方法

商業(yè)銀行應(yīng)與外部審計機構(gòu)就風險管理信息披露的充分性進行討論。

第一百二十一條商業(yè)銀行披露的公司治理信息應(yīng)包括：

（一）內(nèi)召開股東大會情況；

（二）董事會構(gòu)成及其工作情況；

（三）獨立董事工作情況；

（四）監(jiān)事會構(gòu)成及其工作情況；

（五）外部監(jiān)事工作情況；

（六）高級管理層構(gòu)成及其基本情況；

（七）商業(yè)銀行薪酬制度及當年董事、監(jiān)事和高級管理人員薪酬；

（八）商業(yè)銀行部門設(shè)臵和分支機構(gòu)設(shè)臵情況；

（九）銀行對本行公司治理的整體評價；

（十）銀行業(yè)監(jiān)督管理部門規(guī)定的其它信息。

第一百二十二條商業(yè)銀行披露的重大事項應(yīng)包括但不限于下列內(nèi)容：

（一）最大十名股東及報告期內(nèi)變動情況；

（二）增加或減少注冊資本、分立合并事項；

（三）其他重要信息。第一百二十三條商業(yè)銀行報告應(yīng)包括本指引第一百一十七條規(guī)定的內(nèi)容。

第一百二十四條商業(yè)銀行發(fā)生下列事項之一的，除經(jīng)銀行業(yè)監(jiān)管部門豁免，應(yīng)自事項發(fā)生之日起十個工作日內(nèi)編制臨時信息披露報告，并通過公開渠道發(fā)布：

（一）控股股東或者實際控制人發(fā)生變更；

（二）更換董事長或者行長；

（三）當年董事會累計變更人數(shù)超過董事會成員人數(shù)的三分之一；

（四）商業(yè)銀行名稱、注冊資本或者注冊地發(fā)生變更；

（五）經(jīng)營范圍發(fā)生重大變化；

（六）合并或分立；

（七）重大投資、重大資產(chǎn)處臵；

（八）重大訴訟或者重大仲裁事項；

（九）商業(yè)銀行或者其分支機構(gòu)受到行政管理部門的重大處罰；

（十）聘任、更換或者提前解聘會計師事務(wù)所；

（十一）銀行業(yè)監(jiān)督管理部門規(guī)定的其他事項。

第一百二十五條商業(yè)銀行應(yīng)通過年報、互聯(lián)網(wǎng)站等方式披露銀行信息，并確保股東和利益相關(guān)者能夠及時方便地獲取所披露的信息。

第一百二十六條商業(yè)銀行董事、高級管理人員應(yīng)當對定期報告簽署書面確認意見，監(jiān)事會應(yīng)當提出書面審核意見，說明報告的編制和審核程序是否符合法律法規(guī)和監(jiān)管規(guī)定，報告的內(nèi)容是否能夠真實、準確、完整地反映商業(yè)銀行的實際情況。

董事、監(jiān)事、高級管理人員對定期報告內(nèi)容的真實性、準確性、完整性無法保證或者存在異議的，應(yīng)當陳述理由和發(fā)表意見，并予以披露。

第一百二十七條商業(yè)銀行監(jiān)事會應(yīng)當對董事、高級管理人員履行信息披露職責的行為進行監(jiān)督；關(guān)注公司信息披露情況，發(fā)現(xiàn)信息披露存在違法違規(guī)問題的，應(yīng)當進行調(diào)查并提出處理建議，并將相關(guān)情況及時向銀行業(yè)監(jiān)督管理部門報告。

第八章監(jiān)督管理

第一百二十八條銀行業(yè)監(jiān)督管理部門應(yīng)將商業(yè)銀行公司治理納入法人監(jiān)管體系中，并根據(jù)本指引全面評估商業(yè)銀行公司治理的健全性和有效性，提出監(jiān)管意見，督促商業(yè)銀行完善公司治理。

第一百二十九條銀行業(yè)監(jiān)督管理部門通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查實施對商業(yè)銀行公司治理的持續(xù)監(jiān)管，具體方式包括風險提示、現(xiàn)場檢查、監(jiān)管通報、約見會談、與內(nèi)外部審計師會談、任職資格審查和任前談話、與政府部門及其他監(jiān)管當局進行協(xié)作等。

第一百三十條銀行業(yè)監(jiān)督管理部門可以派員列席商業(yè)銀行股東大會、董事會、監(jiān)事會和經(jīng)營管理工作會等會議。商業(yè)銀行召開上述會議時，應(yīng)至少提前三個工作日通知銀行業(yè)監(jiān)督管理部門。

商業(yè)銀行應(yīng)將股東大會、董事會和監(jiān)事會的會議記錄和決議等文件及時報送銀行業(yè)監(jiān)督管理部門備案。

第一百三十一條銀行業(yè)監(jiān)督管理部門應(yīng)就公司治理監(jiān)督檢查評估結(jié)果與商業(yè)銀行董事會、監(jiān)事會、高級管理層進行充分溝通，并視情況將評價結(jié)果在銀行董事會、監(jiān)事會會議上通報。

第一百三十二條商業(yè)銀行不能滿足銀行業(yè)監(jiān)督管理部門確定的公司治理要求時，銀行業(yè)監(jiān)督管理部門有權(quán)要求商業(yè)銀行制定整改計劃，并視情況采取監(jiān)管措施。

第九章附則

第一百三十三條獨資銀行應(yīng)參照本指引關(guān)于監(jiān)事會和監(jiān)事的規(guī)定在銀行章程中對監(jiān)事的權(quán)利和責任做出規(guī)定。本指引關(guān)于同一股東提名董事、獨立董事和監(jiān)事的限制性規(guī)定不適用于獨資銀行股東。

第一百三十四條有限責任公司制商業(yè)銀行應(yīng)參照本指引關(guān)于股東大會、監(jiān)事會和監(jiān)事的規(guī)定在銀行章程中對股東會、監(jiān)事的權(quán)利和責任做出規(guī)定。

第一百三十五條本指引中“以上”均含本數(shù)。

第一百三十六條中國銀行業(yè)監(jiān)督管理委員會監(jiān)管的其他金融機構(gòu)參照執(zhí)行，并應(yīng)符合本指引所闡述的精神。

第一百三十七條本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋。

第一百三十八條本指引自公告之日起施行。本指引施行前頒布的《國有商業(yè)銀行公司治理及相關(guān)監(jiān)管指引》、《股份制商業(yè)銀行公司治理指引》、《股份制商業(yè)銀行獨立董事、外部監(jiān)事制度指引》、《股份制商業(yè)銀行董事會盡職指引》、《外資銀行法人機構(gòu)公司治理指引》和《進一步完善中小商業(yè)銀行公司治理指導意見》同時廢止。

第三篇：信息科技治理層面

信息科技治理層面

一、信息科技治理架構(gòu)

1、信息科技治理機構(gòu)的建立與履職（信息科技管理委員會）

2、首席信息官的設(shè)立與履職

3、是否指定信息科技風險的管理部門與管理職責

二、信息科技戰(zhàn)略管理

1、是否建立了與企業(yè)戰(zhàn)略相匹配的信息科技戰(zhàn)略

2、信息科技戰(zhàn)略是否經(jīng)董事會審批

三、信息科技風險管理

1、是否制定全面的信息科技風險管理策略

2、是否制定持續(xù)的風險識別和評估流程

3、是否制定了信息科技風險管理制度、技術(shù)規(guī)范、操作規(guī)程等，并且定期進行更新和公示

4、是否建立了持續(xù)的信息科技風險計量和檢測機制

5、是否把信息科技風險納入全行全面風險管理框架，并且明確牽

頭管理部門

四、信息科技的資源管理

1、信息科技的投資管理

2、信息科技的人力資源管理

3、信息科技的信息資產(chǎn)管理

五、

第四篇：商業(yè)銀行信息科技風險管理指引

商業(yè)銀行信息科技風險管理指引

第一章總則

第一條為加強商業(yè)銀行信息科技風險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。

第三條本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。第四條本指引所稱信息科技風險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。第五條信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第二章

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風險管理的第一責任人，負責組

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實

（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關(guān)風險能夠被識別、計量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信息科技風險管理重要性的認識。

（五）設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負責監(jiān)督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專業(yè)隊伍的建設(shè)，建立人

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風險管理審計，對審計報告

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風險管理的報告。

（九）確保信息科技風險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風險管理制度和流程，并安排相關(guān)培訓。

（十一）確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。

（十四）履行信息科技風險管理其他相關(guān)工作。

第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息

（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級、信息安全管理、災(zāi)難恢復計劃、信息科技外包和信息系統(tǒng)退出等職責。

（四）確保信息科技風險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一

（五）組織專業(yè)培訓，提高人才隊伍的專業(yè)技能。

（六）履行信息科技風險管理其他相關(guān)工作。

第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責進行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時更新。對相關(guān)人員應(yīng)采取下列風險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經(jīng)歷和專業(yè)資

（二）（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位

第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責協(xié)調(diào)制定有關(guān)信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技

第十二條商業(yè)銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機構(gòu)信息科技知識產(chǎn)權(quán)保護策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護本機構(gòu)自主知識產(chǎn)權(quán)。第十三條商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時披露信息科技風險

第三章

第十四條商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。第十五條商業(yè)銀行應(yīng)制定全面的信息科技風險管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級與保護。

（二）信息系統(tǒng)開發(fā)、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵。

第十六條商業(yè)銀行應(yīng)制定持續(xù)的風險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務(wù)的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優(yōu)先級別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程等，定期進行

（二）確定潛在風險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風險最小化。建立適當?shù)目刂瓶蚣埽员阌跈z查和平衡風險；定義每個業(yè)務(wù)級別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。4.5.第十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風險計量和監(jiān)測機制，其中應(yīng)包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統(tǒng)性能的程序和標準。

（三）建立信息科技服務(wù)投訴和事故處理的報告機制。

（四）建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

（五）（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環(huán)境下操作風險和管理控制的檢查。

（八）定期進行信息科技外包項目的風險狀況評價。

第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風險管理的要求，并防范因監(jiān)管差異所造成的風險。第四章信息安全

第二十條商業(yè)銀行信息科技部門負責建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內(nèi)的信息保護流程。

第二十一條商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）

（十一）第二十二條商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的第二十三條商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職

第二十四條商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

（一）（二）

（三）（四）

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）（七）

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶

（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控

第二十六條

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職

（二）（三）加強職責劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當系統(tǒng)被迫終止時向用戶提

（七）以書面或電子格式

（八）第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風險等級確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復查系統(tǒng)日志。交易日志或系統(tǒng)日志的復查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報信

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風險，并建立密

（一）（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓和嚴格審查。

（三）（四）

第二十九條商業(yè)銀行應(yīng)配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA

第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。第五章

第三十二條商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。

第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風險，包括潛在的各種操作風險、財務(wù)損失風險和因無效項目規(guī)劃或不適當?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成第三十四條商業(yè)銀行應(yīng)采取適當?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復雜

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準執(zhí)行緊急修復任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準，并對變更進行及時記錄和定期復查。

第三十六條商業(yè)銀行應(yīng)制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、第三十七條商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和

第三十八條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級過程。當設(shè)備達到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級時，應(yīng)及時進行系統(tǒng)升級，并將該類升級活

第六章

第三十九條商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中

第四十條商業(yè)銀行應(yīng)嚴格控制第三方人員（如服務(wù)供應(yīng)商）進入安全區(qū)域，如確需進入應(yīng)得到適當?shù)呐鷾?，其活動也?yīng)受到監(jiān)控；針對長期或臨時聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴格的審查

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技

第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復要求

第四十三條商業(yè)銀行應(yīng)制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留

第四十四條商業(yè)銀行應(yīng)建立事故管理及處臵機制，及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進行調(diào)查和解決。

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行

第四十六條商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對

第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)

第四十八條商業(yè)銀行應(yīng)及時進行維護和適當?shù)南到y(tǒng)升級，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預(yù)防性和補救性

第四十九條商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當?shù)牡谄哒?/p>

第五十條商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；

第五十一條商業(yè)銀行應(yīng)評估因意外事件導致其業(yè)務(wù)運行中斷的可能性及其影

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）（三）

第五十二條商業(yè)銀行應(yīng)采取系統(tǒng)恢復和雙機熱備處理等措施降低業(yè)務(wù)中斷的第五十三條商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安

（四）當商業(yè)銀行的業(yè)務(wù)或風險狀況發(fā)生變化時，對本條

（一）到

（三）進行

第五十四條商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風險管理部門或信息科技管理委員會確認。第八章外

第五十五條商業(yè)銀行不得將其信息科技管理責任外包，應(yīng)合理謹慎監(jiān)督外包職

第五十六條商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹慎，在準備實施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機構(gòu)。

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風

（二）（三）充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情

（五）關(guān)注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的第五十八條商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不

（一）（二）銀行業(yè)

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息

（四）（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風險制度和流程的意愿及相關(guān)措

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包

1.商業(yè)銀行或外包服務(wù)商的所2.3.第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。

第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資

（一）（二）

（三）（四）

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信

（六）第六十一條商業(yè)銀行應(yīng)建立恰當?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財務(wù)損失和重

第六十二條商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服

第九章內(nèi)部審計

第六十三條商業(yè)銀行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度，對相關(guān)系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內(nèi)部審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒樱哂羞m當?shù)牡诹臈l

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控

（二）（三）

（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風險評估結(jié)果對認為必要的特殊事

第六十五條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每第六十六條商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風險管理部門

第十章

第六十七條商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相

第六十八條在委托審計過程中，商業(yè)銀行應(yīng)確保外部審計機構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風險，國家法律、第六十九條商業(yè)銀行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細

第七十條銀監(jiān)會及其派出機構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對商業(yè)銀行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)的委托或授權(quán)對商業(yè)銀行進行審計時，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)

第七十一條外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的商

第七十二條商業(yè)銀行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風險信息，第十一章附

第七十三條未設(shè)董事會的商業(yè)銀行，應(yīng)當由其經(jīng)營決策機構(gòu)履行本指商業(yè)銀行信息科技風險管理指引第一章總則

第一條為加強商業(yè)銀行信息科技風險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，第二條

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨

第三條本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條本指引所稱信息科技風險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。第五條信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第二章

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風險管理的第一責任人，負責組

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實

（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關(guān)風險能夠

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信

（五）設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負責監(jiān)督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實際支出、信息科技的

（六）在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風險管理審計，對審計報告

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風險管理的報告。

（九）（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風險管理制度和

（十一）確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求，防范跨境

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)

（十四）第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息

（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級、信息安全管理、災(zāi)難恢復計劃、信息科技外包和信息

（四）確保信息科技風險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一

（五）（六）

第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責進行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經(jīng)歷和專業(yè)資

（二）（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權(quán)使用信

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等

第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責協(xié)調(diào)制定有關(guān)信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風險評估，第十一條商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技

第十二條商業(yè)銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機構(gòu)信息科技知識產(chǎn)權(quán)保護策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法

第十三條商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時披露信息科技風險

第三章

第十四條商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條商業(yè)銀行應(yīng)制定全面的信息科技風險管理策略，包括但不限于下述領(lǐng)

（一）（二）

（三）（四）

（五）（六）

（七）第十六條商業(yè)銀行應(yīng)制定持續(xù)的風險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務(wù)的潛在影響，對風險進行排序，并確定風險防范措施及所

第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的（一）制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程等，定期進行

（二）確定潛在風險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風險最小化。建立適當?shù)目刂瓶蚣埽员阌跈z查和平衡風險；定義每個業(yè)務(wù)級別的控

1.2.3.訪問授權(quán)以“必需知道”和“4.5.第十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風險計量和監(jiān)測機制，其中應(yīng)包括：

（一）（二）

（三）（四）

（五）（六）

（七）定期進行運行環(huán)境下操作風險和管理控制的檢查。

（八）第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風險管理的要求，并防范因監(jiān)管差異所造成的風險。第四章

第二十條商業(yè)銀行信息科技部門負責建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內(nèi)的信息保護流程。

第二十一條商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）業(yè)務(wù)連續(xù)性管

（十一）第二十二條商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的第二十三條商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職

第二十四條商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)

（一）（二）

（三）（四）

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）（七）

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶

（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)

第二十六條

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職

（二）（三）加強職責劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當系統(tǒng)被迫終止時向用戶提

（七）（八）

第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信

商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復查系統(tǒng)日志。交易日志或系統(tǒng)日志的復查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報信

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程

（一）（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓和嚴格審查。

（三）（四）

第二十九條商業(yè)銀行應(yīng)配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA

第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容

第五章

第三十二條商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風險，包括潛在的各種操作風險、財務(wù)損失風險和因無效項目規(guī)劃或不適當?shù)捻椖抗芾砜刂飘a(chǎn)生的第三十四條商業(yè)銀行應(yīng)采取適當?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復雜

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準執(zhí)行緊急修復任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)，且所有

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準，并對變更進行及時記錄和定期復查。

第三十六條商業(yè)銀行應(yīng)制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、第三十七條商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和

第三十八條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級過程。當設(shè)備達到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級時，應(yīng)及時進行系統(tǒng)升級，并將該類升級活

第六章

第三十九條商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供

第四十條商業(yè)銀行應(yīng)嚴格控制第三方人員（如服務(wù)供應(yīng)商）進入安全區(qū)域，如確需進入應(yīng)得到適當?shù)呐鷾?，其活動也?yīng)受到監(jiān)控；針對長期或臨時聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴格的審查

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技

第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序

第四十三條商業(yè)銀行應(yīng)制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留

第四十四條商業(yè)銀行應(yīng)建立事故管理及處臵機制，及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進行調(diào)查和解決。

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行

第四十六條商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對

第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)

第四十八條商業(yè)銀行應(yīng)及時進行維護和適當?shù)南到y(tǒng)升級，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預(yù)防性和補救性

第四十九條商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當?shù)牡谄哒?/p>

第五十條商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；

第五十一條商業(yè)銀行應(yīng)評估因意外事件導致其業(yè)務(wù)運行中斷的可能性及其影

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）（三）

第五十二條商業(yè)銀行應(yīng)采取系統(tǒng)恢復和雙機熱備處理等措施降低業(yè)務(wù)中斷的第五十三條商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安

（四）當商業(yè)銀行的業(yè)務(wù)或風險狀況發(fā)生變化時，對本條

（一）到

（三）進行

第五十四條商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風險管理部門或信息科技管理委員會確認。第八章外

第五十五條商業(yè)銀行不得將其信息科技管理責任外包，應(yīng)合理謹慎監(jiān)督外包職

第五十六條商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹慎，在準備實施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機構(gòu)。

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風

（二）（三）充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情

（五）關(guān)注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的第五十八條商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不

（一）（二）

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息

（四）（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風險制度和流程的意愿及相關(guān)措

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包

1.2.3.第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。

第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資

（一）（二）

（三）（四）

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息

（六）第六十一條商業(yè)銀行應(yīng)建立恰當?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財務(wù)損失和重

第六十二條商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服

第九章

第六十三條商業(yè)銀行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度，對相關(guān)系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內(nèi)部審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒樱哂羞m當?shù)牡诹臈l

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控

（二）（三）

（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風險評估結(jié)果對認為必要的特殊事

第六十五條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每第六十六條商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風險管理部門

第十章

第六十七條商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相

第六十八條在委托審計過程中，商業(yè)銀行應(yīng)確保外部審計機構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風險，國家法律、第六十九條商業(yè)銀行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細

第七十條銀監(jiān)會及其派出機構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對商業(yè)銀行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)的委托或授權(quán)對商業(yè)銀行進行審計時，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)

第七十一條外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的商

第七十二條商業(yè)銀行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風險信息，第十一章附

第七十三條未設(shè)董事會的商業(yè)銀行，應(yīng)當由其經(jīng)營決策機構(gòu)履行本指引中董事

第七十四條第七十五條

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

第七十四條第七十五條

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

第五篇：《商業(yè)銀行信息科技風險管理指引》

銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風險管理指引》

為進一步加強商業(yè)銀行信息科技風險管理，銀監(jiān)會近日發(fā)布《商業(yè)銀行信息科技風險管理指引》（以下簡稱《管理指引》），原《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)［2006］63號，以下簡稱原《指引》）同時廢止。

隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為銀行穩(wěn)健運營和發(fā)展的支柱，原《指引》定位在信息系統(tǒng)風險管理的基本、原則性要求，已難以滿足商業(yè)銀行信息科技風險管理的需要。為此，銀監(jiān)會在原《指引》的基礎(chǔ)上，廣泛征求業(yè)內(nèi)機構(gòu)意見，制定了本《管理指引》。

《管理指引》具有以下幾個特點：一是全面涵蓋商業(yè)銀行的信息科技活動，進一步明確信息科技與銀行業(yè)務(wù)的關(guān)系，對于認識和防范風險具有更加積極的作用；二是適用范圍由銀行業(yè)金融機構(gòu)變?yōu)榉ㄈ松虡I(yè)銀行，其他銀行業(yè)金融機構(gòu)參照執(zhí)行；三是信息科技治理作為首要內(nèi)容提出，充實并細化了對商業(yè)銀行在治理層面的具體要求；四是重點闡述了信息科技風險管理和內(nèi)外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內(nèi)的標準和成功實踐，對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等方面提出高標準、高要求，使操作性更強；六是加強了對客戶信息保護的要求。

新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風險管理，信息安全，信息系統(tǒng)開發(fā)、測試和維護，信息科技運行，業(yè)務(wù)連續(xù)性管理，外包，內(nèi)部審計，外部審計和附則等十一個部分。新《指引》的發(fā)布，將進一步推動我國銀行業(yè)信息科技風險管理向更高水平邁進。

商業(yè)銀行信息科技風險管理指引

第一章總則

第一條為加強商業(yè)銀行信息科技風險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。

第三條本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條本指引所稱信息科技風險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

第五條信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

第二章信息科技治理

第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風險管理的第一責任人，負責組織本指引的貫徹落實。

第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）相關(guān)監(jiān)管要求。

（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關(guān)風險能夠被識別、計量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設(shè)，提高全體人員對信息科技風險管理重要性的認識。

（五）設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負責監(jiān)督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎(chǔ)上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專業(yè)隊伍的建設(shè)，建立人才激勵機制。

（七）確保內(nèi)部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。

（八）每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風險管理的報告。

（九）確保信息科技風險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風險管理制度和流程，并安排相關(guān)培訓。

（十一）確保本法人機構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求，防范跨境風險。

（十二）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。

（十四）履行信息科技風險管理其他相關(guān)工作。

第八條商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報，并參與決策。首席信息官的職責包括：

（一）直接參與本銀行與信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策。

（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風險管理策略。

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級、信息安全管理、災(zāi)難恢復計劃、信息科技外包和信息系統(tǒng)退出等職責。

（四）確保信息科技風險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)。

（五）組織專業(yè)培訓，提高人才隊伍的專業(yè)技能。

（六）履行信息科技風險管理其他相關(guān)工作。

第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責進行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能，重要崗位應(yīng)制定詳細完整的工作手冊并適時更新。對相關(guān)人員應(yīng)采取下列風險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。

第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責協(xié)調(diào)制定有關(guān)信息科技風險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。

第十二條商業(yè)銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機構(gòu)信息科技知識產(chǎn)權(quán)保護策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護本機構(gòu)自主知識產(chǎn)權(quán)。

第十三條商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時披露信息科技風險狀況。

第三章信息科技風險管理

第十四條商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條商業(yè)銀行應(yīng)制定全面的信息科技風險管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級與保護。

（二）信息系統(tǒng)開發(fā)、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計劃與應(yīng)急處臵。

第十六條商業(yè)銀行應(yīng)制定持續(xù)的風險識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務(wù)的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優(yōu)先級別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

第十七條商業(yè)銀行應(yīng)依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程等，定期進行更新和公示。

（二）確定潛在風險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風險最小化。建立適當?shù)目刂瓶蚣?，以便于檢查和平衡風險；定義每個業(yè)務(wù)級別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。 4.審批和授權(quán)。 5.驗證和調(diào)節(jié)。

十八條商業(yè)銀行應(yīng)建立持續(xù)的信息科技風險計量和監(jiān)測機制，其中應(yīng)包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統(tǒng)性能的程序和標準。

（三）建立信息科技服務(wù)投訴和事故處理的報告機制。

（四）建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

（五）安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進行定期審查。

（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環(huán)境下操作風險和管理控制的檢查。

（八）定期進行信息科技外包項目的風險狀況評價。

第十九條中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風險管理的要求，并防范因監(jiān)管差異所造成的風險。

第四章信息安全

第二十條商業(yè)銀行信息科技部門負責建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內(nèi)的信息保護流程。

第二十一條商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。

信息安全策略應(yīng)涉及以下領(lǐng)域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產(chǎn)管理。

（四）人員安全管理。

（五）物理與環(huán)境安全管理。

（六）通信與運營管理。

（七）訪問控制管理。

（八）系統(tǒng)開發(fā)與維護管理。

（九）信息安全事故管理。

（十）業(yè)務(wù)連續(xù)性管理。

（十一）合規(guī)性管理。

第二十二條商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的工作崗位或離開商業(yè)銀行時，應(yīng)在系統(tǒng)中及時檢查、更新或注銷用戶身份。

第二十三條商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責，采取必要的預(yù)防、檢測和恢復控制措施。

第二十四條商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，4 如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等。

（一）域內(nèi)應(yīng)用程序和用戶組的重要程度。

（二）各種通訊渠道進入域的訪問點。

（三）域內(nèi)配臵的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。

（四）性能要求或標準。

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條商業(yè)銀行應(yīng)通過以下措施，確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人員、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限。

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。

（四）要求技術(shù)人員定期檢查可用的安全補丁，并報告補丁管理狀態(tài)。

（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。

第二十六條商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責。

（二）針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗證方法。

（三）加強職責劃分，對關(guān)鍵或敏感崗位進行雙重控制。

（四）在關(guān)鍵的接合點進行輸入驗證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當系統(tǒng)被迫終止時向用戶提供必要信息。

（七）以書面或電子格式保存審計痕跡。

（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。

第二十七條商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計算機和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：

（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯誤信息等。交易日志應(yīng)按照國家會計準則要求予以保存。

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風險等級確定，但不能少于一年。

商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計需要；應(yīng)采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發(fā)生后應(yīng)及時復查系統(tǒng)日志。交易日志或系統(tǒng)日志的復查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報信息科技管理委員會批準。

第二十八條商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲過程中出現(xiàn)泄露或被篡改的風險，并建立密碼設(shè)備管理制度，以確保：

（一）使用符合國家要求的加密技術(shù)和加密設(shè)備。

（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓和嚴格審查。

（三）加密強度滿足信息機密性的要求。

（四）制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

第二十九條商業(yè)銀行應(yīng)配備切實有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA）等。

第三十條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀。

第三十一條商業(yè)銀行應(yīng)對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。

第五章信息系統(tǒng)開發(fā)、測試和維護

第三十二條商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優(yōu)先排序、立項、審批和控制。項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。

第三十三條商業(yè)銀行應(yīng)認識到信息科技項目相關(guān)的風險，包括潛在的各種操作風險、財務(wù)損失風險和因無效項目規(guī)劃或不適當?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成本，并采取適當?shù)捻椖抗芾矸椒ǎ刂菩畔⒖萍柬椖肯嚓P(guān)的風險。

第三十四條商業(yè)銀行應(yīng)采取適當?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項目的規(guī)模、性質(zhì)和復雜度。

第三十五條商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護性，其中應(yīng)包括以下要求：

（一）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準執(zhí)行緊急修復任務(wù)外，禁止應(yīng)用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)，且所有的緊急修復活動都應(yīng)立即進行記錄和審核。

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準，并對變更進行及時記錄和定期復查。

第三十六條商業(yè)銀行應(yīng)制定并落實相關(guān)制度、標準和流程，確保信息系統(tǒng)開發(fā)、測試、維護過程中數(shù)據(jù)的完整性、保密性和可用性。

第三十七條商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說明，并通知相關(guān)人員。

第三十八條商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級過程。當設(shè)備達到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級時，應(yīng)及時進行系統(tǒng)升級，并將該類升級活動納入信息科技項目，接受相關(guān)的管理和控制，包括用戶驗收測試。

第六章信息科技運行

第三十九條商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運行。

第四十條商業(yè)銀行應(yīng)嚴格控制第三方人員（如服務(wù)供應(yīng)商）進入安全區(qū)域，如確需進入應(yīng)得到適當?shù)呐鷾?，其活動也?yīng)受到監(jiān)控；針對長期或臨時聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴格的審查程序，包括身份驗證和背景調(diào)查。

第四十一條商業(yè)銀行應(yīng)將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責做出明確規(guī)定。

第四十二條商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復要求。

第四十三條商業(yè)銀行應(yīng)制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留周期）。

第四十四條商業(yè)銀行應(yīng)建立事故管理及處臵機制，及時響應(yīng)信息系統(tǒng)運行事故，逐級向相關(guān)的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進行調(diào)查和解決。

第四十五條商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運行服務(wù)水平進行考核。

第四十六條商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時、完整地報告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對其進行識別和修正。

第四十七條商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。

第四十八條商業(yè)銀行應(yīng)及時進行維護和適當?shù)南到y(tǒng)升級，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預(yù)防性和補救性維護記錄），以確保有效維護設(shè)備和設(shè)施。

第四十九條商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗收測試和變更管理流程,采用恰當?shù)男拚匀〈o急變更。

第七章業(yè)務(wù)連續(xù)性管理

第五十條商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；定期對規(guī)劃進行更新和演練，以保證其有效性。

第五十一條商業(yè)銀行應(yīng)評估因意外事件導致其業(yè)務(wù)運行中斷的可能性及其影響，包括評估可能由下述原因?qū)е碌钠茐模邯?/p>

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）信息丟失或受損。

（三）外部事件（如戰(zhàn)爭、地震或臺風等）。

第五十二條商業(yè)銀行應(yīng)采取系統(tǒng)恢復和雙機熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險等方式降低影響。

第五十三條商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。2．運行恢復的優(yōu)先順序。

3．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機構(gòu)、客戶和媒體等）的溝通安排。

（二）更新實施業(yè)務(wù)連續(xù)性計劃的流程及相關(guān)聯(lián)系信息。

（三）驗證受中斷影響的信息完整性的步驟。

（四）當商業(yè)銀行的業(yè)務(wù)或風險狀況發(fā)生變化時，對本條

（一）到

（三）進行審核并升級。

第五十四條商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風險管理部門或信息科技管理委員會確認。

第八章外包

第五十五條商業(yè)銀行不得將其信息科技管理責任外包，應(yīng)合理謹慎監(jiān)督外包職能的履行。

第五十六條商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹慎，在準備實施重要外包時應(yīng)以書面材料正式報告銀監(jiān)會或其派出機構(gòu)。

第五十七條商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應(yīng)做好相關(guān)準備，其中包括：

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風險控制，是否滿足商業(yè)銀行履行對外包服務(wù)商的監(jiān)督義務(wù)。

（二）考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關(guān)的操作風險。

（三）充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進行風險評估，考查其設(shè)施和能力是否足以承擔相應(yīng)的責任。

（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

（五）關(guān)注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風險。

第五十八條商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不限于： 

（一）對外包服務(wù)商的報告要求和談判必要條件。

（二）銀行業(yè)監(jiān)管機構(gòu)和內(nèi)部審計、外部審計能執(zhí)行足夠的監(jiān)督。

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護措施保護客戶信息和其他信息。

（四）擔保和損失賠償是否充足。

（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風險制度和流程的意愿及相關(guān)措施。

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）第三方供應(yīng)商出現(xiàn)問題時，保證軟件持續(xù)可用的相關(guān)措施。

（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如：

1.商業(yè)銀行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。

2.商業(yè)銀行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。

3.外包服務(wù)商提供的服務(wù)不充分，造成商業(yè)銀行不能履行監(jiān)督義務(wù)。

第五十九條商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮的因素包括但不限于：

（一）提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。

（二）通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調(diào)整流程，采取整改措施。

第六十條商業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。

（三）要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

（四）應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。

（五）嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。

（六）確保在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。

第六十一條商業(yè)銀行應(yīng)建立恰當?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財務(wù)損失和重要人員的變動，以及外包協(xié)議的意外終止。

第六十二條商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。

第九章內(nèi)部審計

第六十三條商業(yè)銀行內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度，對相關(guān)系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內(nèi)部審計部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當?shù)氖跈?quán)訪問本銀行的記錄。

第六十四條商業(yè)銀行內(nèi)部信息科技審計的責任包括：

（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。

（二）按照第（一）款規(guī)定完成審計工作，在此基礎(chǔ)上提出整改意見。

（三）檢查整改意見是否得到落實。

（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風險評估結(jié)果對認為必要的特殊事項進行的審計。

第六十五條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全面審計。

第六十六條商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風險管理標準。

第十章外部審計

第六十七條商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息科技外部審計。

第六十八條在委托審計過程中，商業(yè)銀行應(yīng)確保外部審計機構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風險，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

第六十九條商業(yè)銀行在實施外部審計前應(yīng)與外部審計機構(gòu)進行充分溝通，詳細確定審計范圍，不應(yīng)故意隱瞞事實或阻撓審計檢查。

第七十條銀監(jiān)會及其派出機構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對商業(yè)銀行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)的委托或授權(quán)對商業(yè)銀行進行審計時，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進行審計。

第七十一條外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的商業(yè)銀行應(yīng)根據(jù)該審計報告提出整改計劃，并在規(guī)定的時間內(nèi)實施整改。

第七十二條商業(yè)銀行在委托外部審計機構(gòu)進行外部審計時，應(yīng)與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風險信息，防止其擅自對本銀行提供的任何文件進行修改、復制或帶離現(xiàn)場。

第十一章附則

第七十三條未設(shè)董事會的商業(yè)銀行，應(yīng)當由其經(jīng)營決策機構(gòu)履行本指引中董事會的有關(guān)信息科技風險管理職責。

第七十四條銀監(jiān)會依法對商業(yè)銀行的信息科技風險管理實施監(jiān)督檢查。

第七十五條本指引由銀監(jiān)會負責解釋、修訂。

第七十六條本指引自頒布之日起施行，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。

發(fā)文單位：中國銀行業(yè)監(jiān)督管理委員會

發(fā)布日期：2009-6-1 執(zhí)行日期：2009-6-1

Chapter I General Provisions

Article 1.Pursuant to the Law of the People?s Republic of China on Banking Regulation and Supervision，the Law of the People's Republic of China on Commercial Banks，the Regulations of the People?s Republic of China on Administration of Foreign-funded Banks，and other applicable laws and regulations，the Guidelines on the Risk Management of Commercial Banks? Information Technology（hereinafter referred to as the Guidelines）is formulated.Article 2.The Guidelines apply to all the commercial banks legally incorporated within the territory of the People?s Republic of China.The Guidelines may apply to other banking institutions including policy banks，rural cooperative banks，urban credit cooperatives，rural credit cooperatives，village banks，loan companies，financial asset management companies，trust and investment companies，finance firms，financial leasing companies，automobile financial companies and money brokers.Article 3.The term “information technology” stated in the Guidelines shall refer to the system built with computer，communication and software technologies，and employed by commercial banks to handle business transactions，operation management，and internal communication，collaborative work and controls.The term also include IT governance，IT organization structure and IT policies and procedures.Article 4.The risk of information technology refers to the operational risk，legal risk and reputation risk that are caused by natural factor，human factor，technological loopholes or management deficiencies when using information technology.Article 5.The objective of information system risk management is to establish an effective mechanism that can identify，measure，monitor，and control the risks of commercial banks? information system，ensure data integrity，availability，confidentiality and consistency，provide the relevant early warning，and thereby enable commercial banks? business innovations，uplift their capability in utilizing information technology，improve their core competitiveness and capacity for sustainable development.Chapter II IT governance

Article 6.The legal representative of commercial bank should be responsible to ensure compliance of this guideline.Article 7.The board of directors of commercial banks should have the following responsibilities with respect to the management of information systems：

（1）Implementing and complying with the national laws，regulations and technical standards pertaining to the management of information systems，as well as the regulatory requirements set by the China Banking Regulatory Commission（hereinafter referred to as the “CBRC”）；

（2）Periodically reviewing the alignment of IT strategy with the overall business strategies and significant policies of the bank，assessing the overall effectiveness and efficiency of the IT organization.（3）Approving IT risk management strategies and policies，understanding the major IT risks involved，setting acceptable levels for these risks，and ensuring the implementation of the measures necessary to identify，measure，monitor and control these risks.（4）Setting high ethical and integrity standards，and establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of IT risk management.（5）Establishing an IT steering committee which consists of representatives from senior management，the IT organization，and major business units，to oversee these responsibilities and report the effectiveness of strategic IT planning，the IT budget and actual expenditure，and the overall IT performance to the board of directors and senior management periodically.（6）Establishing IT governance structure，proper segregation of duty，clear role and responsibility，maintaining check and balances and clear reporting relationship.Strengthening IT professional staff by developing incentive program.（7）Ensuring that there is an effective internal audit of the IT risk management carried out by operationally independent，well-trained and qualified staff.The internal audit report should be submitted directly to the IT audit committee；

（8）Submitting an annual report to the CBRC and its local offices on information system risk management that has been reviewed and approved by the board of directors ；

（9）Ensuring the appropriating funding necessary for IT risk management works；

（10）Ensuring that all employees of the bank fully understand and adhere to the IT risk management policies and procedures approved by the board of directors and the senior management，and are provided with pertinent training.（11）Ensuring customer information，financial information，product information and core banking system of the legal entity are held independently within the territory，and complying with the regulatory on-site examination requirements of CBRC and guarding against cross-border risk.（12）Reporting in a timely manner to the CBRC and its local offices any serious incident of information systems or unexpected event，and quickly respond to it in accordance with the contingency plan；

（13）Cooperating with the CBRC and its local offices in the supervisory inspection of the risk management of information systems，and ensure that supervisory opinions are followed up； and

（14）Performing other related IT risk management tasks.Article 8.The head of the IT organization，commonly known as the Chief Information Officer（CIO）should report directly to the president.Roles and responsibilities of the CIO should include the following：

（1）Playing a direct role in key decisions for the business development involving the use of IT in the bank；

（2）The CIO should ensure that information systems meet the needs of the bank，and IT strategies，in particular information system development strategies，comply with the overall business strategies and IT risk management policies of the bank；

（3）The CIO should also be responsible for the establishment of an effective and efficient IT organization to carry out the IT functions of the bank.These include the IT budget and expenditure，IT risk management，IT policies，standards and procedures，IT internal controls，professional development，IT project initiatives，IT project management，information system maintenance and upgrade，IT operations，IT infrastructure，Information security，disaster recovery plan（DRP），IT outsourcing，and information system retirement；

（4）Ensuring the effectiveness of IT risk management throughout the organization including all branches.（5）Organizing professional trainings to improve technical proficiency of staff.（6）Performing other related IT risk management tasks.Article 9.Commercial banks should ensure that a clear definition of the IT organization structure and documentation of all job descriptions of important positions are always in place and updated in a timely manner.Staff in each position should meet relevant requirements on professional skills and knowledge.The following risk mitigation measures should be incorporated in the management program of related staff：

（1）Verification of personal information including confirmation of personal identification issued by government，academic credentials，prior work experience，professional qualifications；

（2）Ensuring that IT staff can meet the required professional ethics by checking character reference；

（3）Signing of agreements with employees about understanding of IT policies and guidelines，non-disclosure of confidential information，authorized use of information systems，and adherence to IT policies and procedures； and

（4）Evaluation of the risk of losing key IT personnel，especially during major IT development stage or in a period of unstable IT operations，and the relevant risk mitigation measures such as staff backup arrangement and staff succession plan.13

Article 10.Commercial banks should establish or designate a particular department for IT risk management.It should report directly to the CIO and the Chief Risk Officer（or risk management committee），serve as a member of the IT incident response team，and be responsible for coordinating the establishment of policies regarding IT risk management，especially the areas of information security，BCP，and compliance with the CBRC regulations，advising the business departments and IT department in implementing these policies，providing relevant compliance information，conducting on-going assessment of IT risks，and ensuring the follow-up of remediation advice，monitoring and escalating management of IT threats and non-compliance events.Article 11.Commercial banks should establish a special IT audit role and responsibility within internal audit function，which should put in place IT audit policies and procedures，develop and execute IT audit plan.Article 12.Commercial banks should put in place policies and procedures to protect intellectual property rights according to laws regarding intellectual properties，ensure purchase of legitimate software and hardware，prevention of the use of pirated software，and the protection of the proprietary rights of IT products developed by the bank，and ensure that these are fully understood and complied by all employees.Article 13.Commercial banks should，in accordance with relevant laws and regulations，disclose the risk profile of their IT normatively and timely.Chapter III IT Risk Management

Article 14.Commercial banks should formulate an IT strategy that aligns with the overall business plan of the bank，IT risk assessment plan and an IT operational plan that can ensure adequate financial resources and human resources to maintain a stable and secure IT environment.Article 15.Commercial banks should put in place a comprehensive set of IT risk management policies that include the following areas：

（1）Information security classification policy

（2）System development，testing and maintenance policy

（3）IT operation and maintenance policy

（4）Access control policy

（5）Physical security policy

（6）Personnel security policy

（7）Business Continuity Planning and Crisis and Emergency Management procedure

Article 16.Commercial banks should maintain an ongoing risk identification and assessment process that allows the bank to pinpoint the areas of concern in its information systems，assess the 14 potential impact of the risks on its business，rank the risks，and prioritize mitigation actions and the necessary resources（including outsourcing vendors，product vendors and service vendors）。

Article 17.Commercial banks should implement a comprehensive set of risk mitigation measures complying with the IT risk management policies and commensurate with the risk assessment of the bank.These mitigation measures should include：

（1）A set of clearly documented IT risk policies，technical standards，and operational procedures，which should be communicated to the staff frequently and kept up to date in a timely manner；

（2）Areas of potential conflicts of interest should be identified，minimized，and subject to careful，independent monitoring.Also it requires that an appropriate control structure is set up to facilitate checks and balances，with control activities defined at every business level，which should include：

-Top level reviews；

-Controls over physical and logical access to data and system；

-Access granted on “need to know” and “minimum authorization” basis；

-A system of approvals and authorizations； and

-A system of verification and reconciliation.Article 18.Commercial banks should put in place a set of ongoing risk measurement and monitoring mechanisms，which should include

（1）Pre and post-implementation review of IT projects；

（2）Benchmarks for periodic review of system performance；

（3）Reports of incidents and complaints about IT services；

（4）Reports of internal audit，external audit，and issues identified by CBRC； and

（5）Arrangement with vendors and business units for periodic review of service level agreements（SLAs）。

（6）The possible impact of new development of technology and new threats to software deployed.（7）Timely review of operational risk and management controls in operation area.（8）Assess the risk profile on IT outsourcing projects periodically.Article 19.Chinese commercial banks operating offshore and the foreign commercial banks in China should comply with the relevant regulatory requirements on information systems in and outside the People?s Republic of China.Chapter IV Information Security

Article 20.Information technology department of commercial banks should oversee the establishment of an information classification and protection scheme.All employees of the bank should be made aware of the importance of ensuring information confidentiality and provided with the necessary training to fully understand the information protection procedures within their responsibilities.Article 21.Commercial banks should put in place an information security management function to develop and maintain an ongoing information security management program，promote information security awareness，advise other IT functions on security issues，serve as the leader of IT incident response team，and report the evaluation of the information security of the bank to the IT steering committee periodically.The Information security management program should include Information security standards，strategy，an implementation plan，and an ongoing maintenance plan.Information security policy should include the following areas：

（1）IT security policy management

（2）Organization information security

（3）Asset management

（4）Personnel security

（5）Physical and environment security

（6）Communication and operation security

（7）Access control and authentication

（8）Acquirement，development and maintenance of information system

（9）Information security event management

（10）Business continuity management

（11）Compliance

Article 22.Commercial banks should have an effective process to manage user authentication and access control.Access to data and system should be strictly limited to authorized individuals whose identity is clearly established，and their activities in the information systems should be limited to the minimum required for their legitimate business use.Appropriate user authentication mechanism commensurate with the classification of information to be accessed should be selected.Timely review and removal of user identity from the system should be implemented when user transfers to a new job or leave the commercial bank.Article 23.Commercial banks should ensure all physical security zones，such as computer centers or data centers，network closets，areas containing confidential information or critical IT equipment，and respective accountabilities are clearly defined，and appropriate preventive，detective，and recuperative controls are put in place.Article 24.Commercial banks should divide their networks into logical security domains（hereinafter referred to as the “domain”）with different levels of security.The following security factors have to be assessed in order to define and implement effective security controls，such as physical or logical segregation of network，network filtering，logical access control，traffic encryption，network monitoring，activity log，etc.，for each domain and the whole network.（1）criticality of the applications and user groups within the domain；

（2）Access points to the domain through various communication channels；

（3）Network protocols and ports used by the applications and network equipment deployed within the domain；

（4）Performance requirement or benchmark；

（5）Nature of the domain，i.e.production or testing，internal or external；

（6）Connectivity between various domains； and

（7）Trustworthiness of the domain.Article 25.Commercial banks should secure the operating system and system software of all computer systems by

（1）Developing baseline security requirement for each operating system and ensuring all systems meet the baseline security requirement；

（2）Clearly defining a set of access privileges for different groups of users，namely，end-users，system development staff，computer operators，and system administrators and user administrators；

（3）Setting up a system of approval，verification，and monitoring procedures for using the highest privileged system accounts；

（4）Requiring technical staff to review available security patches，and report the patch status periodically； and

（5）Requiring technical staff to include important items such as unsuccessful logins，access to critical system files，changes made to user accounts，etc.in system logs，monitors the systems for any abnormal event manually or automatically，and report the monitoring periodically.Article 26.Commercial banks should ensure the security of all the application systems by

（1）Clearly defining the roles and responsibilities of end-users and IT staff regarding the application security；

（2）Implementing a robust authentication method commensurate with the criticality and sensibility of the application system；

（3）Enforcing segregation of duties and dual control over critical or sensitive functions；

（4）Requiring verification of input or reconciliation of output at critical junctures；

（5）Requiring the input and output of confidential information are handled in a secure manner to prevent theft，tampering，intentional leakage，or inadvertent leakage；

（6）Ensuring system can handle exceptions in a predefined way and provide meaningful message to users when the system is forced to terminate； and

（7）Maintaining audit trail in either paper or electronic format.（8）Requiring user administrator to monitor and review unsuccessful logins and changes to users accounts.Article 27.Commercial banks should have a set of policies and procedures controlling the logging of activities in all production systems to support effective auditing，security forensic analysis，and fraud prevention.Logging can be implemented in different layers of software and on different computer and networking equipment，which falls into two broad categories：

（1）Transaction journals.They are generated by application software and database management system，and contain authentication attempts，modification to data，error messages，etc.Transaction journals should be kept according to the national accounting policy.（2）System logs.They are generated by operating systems，database management system，firewalls，intrusion detection systems，and routers，etc.，and contain authentication attempts，system events，network events，error messages，etc.System logs should be kept for a period scaled to the risk classification，but no less than one year.Banks should ensure that sufficient items be included in the logs to facilitate effective internal controls，system troubleshooting，and auditing while taking appropriate measures to ensure time synchronization on all logs.Sufficient disk space should be allocated to prevent logs from being overwritten.System logs should be reviewed for any exception.The review frequency and retention period for transaction logs or database logs should be determined jointly by IT organization and pertinent business lines，and approved by the IT steering committee.Article 28.Commercial banks should have the capacity to employ encryption technologies to mitigate the risk of losing confidential information in the information systems or during its transmission.Appropriate management processes of the encryption facilities should be put in place to ensure that

（1）Encryption facilities in use should meet national security standards or requirements；

（2）Staff in charge of encryption facilities are well trained and screened；

（3）Encryption strength is adequate to protect the confidentiality of the information； and 18

（4）Effective and efficient key management procedures，especially key lifecycle management and certificate lifecycle management，are in place.Article 29.Commercial banks should put in place an effective and efficient system of securing all end-user computing equipment which include desktop personal computers（PCs），portable PCs，teller terminals，automatic teller machines（ATMs），passbook printers，debit or credit card readers，point of sale（POS）terminals，personal digital assistant（PDAs），etc and conduct periodic security checks on all equipments.Article 30.Commercial banks should put in place a set of policies and procedures to govern the collection，processing，storage，transmission，dissemination，and disposal of customer information.Article 31.All employees，including contract staff，should be provided with the necessary trainings to fully understand these policies procedures and the consequences of their violation.Commercial banks should adopt a zero tolerance policy against security violation.Chapter V Application System Development，Testing and Maintenance

Article 32.Commercial banks should have the capability to identify，plan，acquire，develop，test，deploy，maintain，upgrade，and retire information systems.Policies and procedures should be in place to govern the initiation，prioritization，approval，and control of IT projects.Progress reports of major IT projects should be submitted to and reviewed by the IT steering committee periodically.Decisions involving significant change of schedule，change of key personnel，change of vendors，and major expenditures should be included in the progress report.Article 33.Commercial banks should recognize the risks associated with IT projects，which include the possibilities of incurring various kinds of operational risk，financial losses，and opportunity costs stemming from ineffective project planning or inadequate project management controls of the bank.Therefore，appropriate project management methodologies should be adopted and implemented to control the risks associated with IT projects.Article 34.Commercial banks should adopt and implement a system development methodology to control the life cycle of Information systems.The typical phases of system life cycle include system analysis，design，development or acquisition，testing，trial run，deployment，maintenance，and retirement.The system development methodology to be used should be commensurate with the size，nature，and complexity of the IT project，and，generally speaking，should facilitate the management of the following risks.Article 35.Commercial banks should ensure system reliability，integrity，and maintainability by controlling system changes with a set of policies and procedures，which should include the following elements.（1）Ensure that production systems are separated from development or testing systems；

（2）Separating the duties of managing production systems and managing development or testing systems；

（3）Prohibiting application development and maintenance staff from accessing production system under normal circumstances unless management approval is granted to perform emergency repair，and all emergency repair activities should be recorded and reviewed promptly；

（4）Promoting changes of program or system configuration from development and testing systems to production systems should be jointly approved by IT organization and business departments，properly documented，and reviewed periodically.Article 36.Commercial banks should have in place a set of policies，standards，and procedures to ensure data integrity，confidentiality，and availability.These policies should be in accordance with data integrity amid IT development procedure.Article 37.Commercial banks should ensure that Information system problems could be tracked，analyzed，and resolved systematically through an effective problem management process.Problems should be documented，categorized，and indexed.Support services or technical assistance from vendors，if necessary，should also be documented.Contacts and relevant contract information should be made readily available to the employees concerned.Accountability and line of command should be delineated clearly and communicated to all employees concerned，which is of utmost importance to performing emergency repair.Article 38.Commercial banks should have a set of policies and procedures controlling the process of system upgrade.System upgrade is needed when the hardware reaches its lifespan or runs out of capacity，the underpinning software，namely，operating system，database management system，middleware，has to be upgraded，or the application software has to be upgraded.The system upgrade should be treated as a project and managed by all pertinent project management controls including user acceptance testing.Chapter VI IT Operations

Article 39.Commercial banks should consider fully the environmental threats（e.g.proximity to natural disaster zones，dangerous or hazardous facilities or busy/major roads）when selecting the locations of their data centers.Physical and environmental controls should be implemented to monitor environmental conditions could affect adversely the operation of information processing facilities.Equipment facilities should be protected from power failures and electrical supply interference.Article 40.In controlling access by third-party personnel（e.g.service providers）to secured areas，proper approval of access should be enforced and their activities should be closely monitored.It is important that proper screening procedures including verification and background checks，especially for sensitive technology-related jobs，are developed for permanent and temporary technical staff and contractors.20

Article 41.Commercial banks should separate IT operations or computer center operations from system development and maintenance to ensure segregation of duties within the IT organization.The commercial banks should document the roles and responsibilities of data center functions.Article 42.Commercial banks are required to retain transactional records in compliance with the national accounting policy.Procedures and technology are needed to be put in place to ensure the integrity，safekeeping and retrieval requirements of the archived data.Article 43.Commercial banks should detail operational instructions such as computer operator tasks，job scheduling and execution in the IT operations manual.The IT operations manual should also cover the procedures and requirements for on-site and off-site backup of data and software in both the production and development environments（i.e.frequency，scope and retention periods of back-up）。

Article 44.Commercial banks should have in place a problem management and processing system to respond promptly to IT operations incidents，to escalate reported incidents to relevant IT management staff and to record，analyze and keep tracks of all these incidents until rectification of the incidents with root cause analysis completed.A helpdesk function should be set up to provide front-line support to users on all technology-related problems and to direct the problems to relevant IT functions for investigation and resolution.Article 45.Commercial banks should establish service level agreement and assess the IT service level standard attained.Article 46.Commercial banks should implement a process to ensure that the performance of application systems is continuously monitored and exceptions are reported in a timely and comprehensive manner.The performance monitoring process should include forecasting capability to enable exceptions to be identified and corrected before they affect system performance.Article 47.Commercial banks should carry out capacity plan to cater for business growth and transaction increases due to changes of economic conditions.Capacity plan should be extended to cover back-up systems and related facilities in addition to the production environment.Article 48.Commercial banks should ensure the continued availability of technology related services with timely maintenance and appropriate system upgrades.Proper record keeping（including suspected and actual faults and preventive and corrective maintenance records）is necessary for effective facility and equipment maintenance.Article 49.Commercial banks should have an effective change management process in place to ensure integrity and reliability of the production environment.Commercial banks should develop a formal change management process.Chapter VII Business Continuity Management

Article 50.Commercial banks should have in place appropriate arrangements，having regard to the nature，scale and complexity of its business，to ensure that it can continue to function and meet its regulatory obligations in the event of an unforeseen interruption.These arrangements should be regularly updated and tested to ensure their effectiveness.Article 51.Commercial banks should consider the likelihood and impact of a disruption to the continuity of its operation from unexpected events.This should include assessing the disruptions to which it is particularly susceptible including but not limited to：

（1）Loss of failure of internal and external resources（such as people，systems and other assets）；

（2）The loss or corruption of its information； and

（3）External events（such as war，earthquake，typhoon，etc）。

Article 52.Commercial bank should act to reduce both the likelihood of disruptions（including system resilience and dual processing）； and the impact of disruptions（including by contingency arrangements and insurance）。

Article 53.Commercial bank should document its strategy for maintaining continuity of its operations，and its plans for communicating and regularly testing the adequacy and effectiveness of this strategy.Commercial bank should establish：

（1）Formal business continuity plans that outline arrangements to reduce the impact of a short，medium and long-term disruption，including：

a）Resource requirements such as people，systems and other assets，and arrangements for obtaining these resources；

b）The recovery priorities for the commercial bank?s operations； and

c）Communication arrangements for internal and external concerned parties（including CBRC，clients and the press）；

（2）Escalation and invocation plans that outline the processes for implementing the business continuity plans，together with relevant contact information；

（3）Processes to validate the integrity of information affected by the disruption；

（4）Processes to review and update（1）to（3）following changes to the commercial bank?s operations or risk profile.Article 54.A final BCP plan and an annual drill result must be signed off by the IT Risk management，or internal auditor and IT Steering Committee.Chapter VIII Outsourcing

Article 55.Commercial banks cannot contract out its regulatory obligations and should take reasonable care to supervise the discharge of outsourcing functions.22

Article 56.Commercial banks should take particular care to manage material outsourcing arrangement（such as outsourcing of data center，IT infrastructure，etc.），and should notify CBRC when it intends to enter into material outsourcing arrangement.Article 57.Before entering into，or significantly changing，an outsourcing arrangement，the commercial bank should：

（1）Analyze how the arrangement will fit with its organization and reporting structure； business strategy； overall risk profile； and ability to meet its regulatory obligations；

（2）Consider whether the arrangements will allow it to monitor and control its operational risk exposure relating to the outsourcing；

（3）Conduct appropriate due diligence of the service provider?s financial stability，expertise and risk assessment of the service provider，facilities and ability to cover the potential liabilities；

（4）Consider how it will ensure a smooth transition of its operations from its current arrangements to a new or changed outsourcing arrangement（including what will happen on the termination of the contract）； and

（5）Consider any concentration risk implications such as the business continuity implications that may arise if a single service provider is used by several firms.Article 58.In negotiating its contract with a service provider，the commercial bank should have regard to（but not limited to）：

（1）Reporting and negotiation requirements it may wish to impose on the service provider；

（2）Whether sufficient access will be available to its internal auditors，external auditors and banking regulators；

（3）Information ownership rights，confidentiality agreements and Firewalls to protect client and other information（including arrangements at the termination of contract）；

（4）The adequacy of any guarantees and indemnities；

（5）The extent to which the service provider must comply with the commercial bank?s polices and procedures covering IT Risk；

（6）The extent to which the service provider will provide business continuity for outsourced operations，and whether exclusive access to its resources is agreed；

（7）The need for continued availability of software following difficulty at a third party supplier；

（8）The processes for making changes to the outsourcing arrangement and the conditions under which the commercial bank or service provider can choose to change or terminate the outsourcing arrangement，such as where there is：

a）A change of ownership or control of the service provider or commercial bank； or

b）Significant change in the business operations of the service provider or commercial bank； or

c）Inadequate provision of services that may lead to the commercial bank being unable to meet its regulatory obligations.Article 59.In implementing a relationship management framework，and drafting the service level agreement with the service provider，the commercial bank should have regarded to（but not limited to）：

（1）The identification of qualitative and quantitative performance targets to assess the adequacy of service provision，to both the commercial bank and its clients，where appropriate；

（2）The evaluation of performance through service delivery reports and periodic self assessment and independent review by internal or external auditors； and

（3）Remediation action and escalation process for dealing with inadequate performance.Article 60.The commercial bank should enhance IT related outsourcing management，in place following（not limited to）measures to ensure data security of sensitive information such as customer information：

（1）Effectively separated from other customer information of the service provider；

（2）The related staff of service provider should be authorized on “need to know” and “minimum authorization” basis；

（3）Ensure service provider guarantee its staff for meeting the confidential requests；

（4）All outsourcing arrangements related to customer information should be identified as material outsourcing arrangements and the customers should be notified；

（5）Strictly monitor re-outsourcing actions of the service provider，and implement adequate control measures to ensure information security of the bank；

（6）Ensure all related sensitive information be refunded or deleted from the service provider?s storage when terminating the outsourcing arrangement.Article 61.The commercial bank should ensure that it has appropriate contingency in the event of a significant loss of services from the service provider.Particular issues to consider include a significant loss of resources，turnover of key staff，or financial failure of，the service provider，and unexpected termination of the outsourcing agreement.Article 62.All outsourcing contracts must be reviewed or signed off by IT Risk management，internal IT auditors，legal department and IT Steering Committee.There should be a process to periodically review and refine the service level agreements.Chapter IX Internal Audit

Article 63.Depending on the nature，scale and complexity of its business，it may be appropriate for the commercial banks to delegate much of the task of monitoring the appropriateness and effectiveness of its systems and controls to an internal audit function.An internal audit function should be adequately resourced and staffed by competent individuals，be independent of the day-to-day activities of the commercial bank and have appropriate access to the bank?s records.Article 64.The responsibilities of the internal IT audit function are：

（1）To establish，implement and maintain an audit plan to examine and evaluate the adequacy and effectiveness of the bank?s systems and internal control mechanisms and arrangements；

（2）To issue recommendations based on the result of work carried out in accordance with 1；

（3）To verify compliance with those recommendations；

（4）To carry out special audit on information technology.The term “special audit” of information technology refers to the investigation，analysis and assessment on the security incidents of the information system，or the audit performed on a special subject based on IT risk assessment result as deemed necessary by the audit department.Article 65.Based on the nature，scale and complexity of its business，deployment of information technology and IT risk assessment，commercial banks could determine the scope and frequency of IT internal audit.However，a comprehensive IT internal audit shall be performed at a minimum once every 3 years.Article 66.Commercial banks should engage its internal audit department and IT Risk management department when implementing system development of significant size and scale to ensure it meets the IT Risk standards of the Commercial banks.Chapter X External Audit

Article 67.The external information technology audit of commercial banks can be carried out by certified service providers in accordance with laws，rules and regulations.Article 68.The commercial bank should ensure IT audit service provider to review and examine bank?s hardware，software，documentation and data to identify IT risk when they are commissioned to perform the audit.Vital commercial and technical information which is protected by national laws and regulations should not be reviewed.Article 69.Commercial bank should communicate with the service provider in depth before the audit to determine audit scope，and should not withhold the truth or do not corporate with the service provider intentionally.Article 70.CBRC and its local offices could designate certified service providers to carry out IT audit or related review on commercial banks when needed.When carrying out audit on commercial banks，as commissioned or authorized by CBRC or its local offices，the service providers shall 25 present the letter of authority，and carry out the audit in accordance to the scope prescribed in the letter of authority.Article 71.Once the IT audit report produced by the service providers is reviewed and approved by CBRC or its local offices，the report will have the same legal status as if it is produced by the CBRC itself.Commercial banks should come up with a correction action plan prescribed in the report and implement the corrective actions according to the timeframe.Article 72.Commercial banks should ensure the service providers to strictly comply with laws and regulations to keep confidential and data security of any commercial secrets and private information learnt and IT risk information when conducting the audit.The service provider should not modify copy or take away any documents provided by the commercial banks.Chapter XI Supplementary Provisions

Article 73.Commercial banks with no board of directors should have their operating decision-making bodies perform the responsibilities of the board with regard to IT risk management specified herein.Article 74.The China Banking Regulatory Commission supervises and regulates the IT risk management of commercial banks under its authority by law.Article 75.The power of interpretation and modification of the Guidelines shall rest with the China Banking Regulatory Commission.Article 76.The Guidelines shall become effective as of the date of its issuance and the former Guidelines on the Risk Management of Banking Institutions? Information Systems shall be revoked at the same time.中國銀行業(yè)監(jiān)督管理委員會

下載商業(yè)銀行信息科技治理建設(shè)指導意見(V2.51)(征求意見稿)word格式文檔

下載商業(yè)銀行信息科技治理建設(shè)指導意見(V2.51)(征求意見稿).doc

將本文檔下載到自己電腦，方便修改和收藏，請勿使用迅雷等下載。

點此處下載文檔

文檔為doc格式

相關(guān)專題商業(yè)銀行信息技術(shù)管理商業(yè)銀行信息管理系統(tǒng) 商業(yè)銀行科技管理

網(wǎng)址：http://004km.cn/a1/2019051211/2f1d4fc0a8eb5dd8.html
聲明：本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳，本網(wǎng)站不擁有所有權(quán)，未作人工編輯處理，也不承擔相關(guān)法律責任。如果您發(fā)現(xiàn)有涉嫌版權(quán)的內(nèi)容，歡迎發(fā)送郵件至：645879355@qq.com 進行舉報，并提供相關(guān)證據(jù)，工作人員會在5個工作日內(nèi)聯(lián)系你，一經(jīng)查實，本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

相關(guān)范文推薦

商業(yè)銀行信息科技風險管理指引

商業(yè)銀行信息科技風險管理指引第一章總則第一條為加強商業(yè)銀行信息科技風險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民......

商業(yè)銀行信息科技風險管理指引（推薦）

商業(yè)銀行信息科技風險管理指引第一章總則第一條為加強商業(yè)銀行信息科技風險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民......

關(guān)于加強建筑裝飾行業(yè)信息化建設(shè)的指導意見(征求意見稿)

中國建筑裝飾協(xié)會信息部中國建筑裝飾協(xié)會信息咨詢委員會（二○○八年七月）我國建筑裝飾行業(yè)信息化的建設(shè)，經(jīng)過中國建筑裝飾協(xié)會2004年4月12日在北京召開的“第一次全國建筑裝......

關(guān)于加強科技倫理治理的意見全文

關(guān)于加強科技倫理治理的意見全文科技倫理是開展科學研究、技術(shù)開發(fā)等科技活動需要遵循的價值理念和行為規(guī)范，是促進科技事業(yè)健康發(fā)展的重要保障。當前，我國科技創(chuàng)新快速發(fā)展，面......

班組建設(shè)指導意見

師市加強煤礦班組建設(shè)指導意見班組是企業(yè)從事生產(chǎn)經(jīng)營活動最基層的組織形式，是保證安全生產(chǎn)、提高企業(yè)效益、激發(fā)職工活力的細胞。加強班組建設(shè)對進一步夯實基礎(chǔ)管理，增強基......

班級建設(shè)指導意見

班級建設(shè)指導意見班級是學校管理的基本單位。學校的發(fā)展取決于班級的發(fā)展。因此，為加強班級管理，特制定本規(guī)定，以促進班級建設(shè)的良性發(fā)展。一、班級管理的思想方法和目標：班級......

商業(yè)銀行信息科技風險管理指引_英文版

Guidelines on the Risk Management of Commercial Banks’ Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People’s Re......

征收后清場工作指導意見（征求意見稿）[推薦5篇]

征收后清場工作的指導意見為進一步推進項目征地工作順利開展，健全征收后土地清場工作制度，避免不必要的糾紛，提高國有資金使用效益，根據(jù)《珠海經(jīng)濟特區(qū)土地管理條例》、《珠......

點擊咨詢
第一篇
第二篇
第三篇
第四篇
第五篇
更多