第一篇：《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》(銀監(jiān)辦發(fā)[2009]437號)20091229

中國銀監(jiān)會辦公廳關(guān)于印發(fā)《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》的通知

（銀監(jiān)辦發(fā)[2009]437號）

各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行，各省級農(nóng)村信用聯(lián)社：

為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，保障銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)安全穩(wěn)定運(yùn)行，現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》印發(fā)給你們，請遵照執(zhí)行。請各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)各銀行業(yè)金融機(jī)構(gòu)。

中國銀行業(yè)監(jiān)督管理委員會 二00九年十二月二十九日

銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

第一章 總則

第一條 為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行第二條 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》制定本辦法。

銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城市信用社、外商獨(dú)資銀行、中外合資銀行適用本辦法。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

第三條 本辦法所稱的重要信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益，或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且實(shí)時性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第四條 本辦法所稱的重要信息系統(tǒng)投產(chǎn)及變更主要指：

（一）重要信息系統(tǒng)投產(chǎn)。

（二）支撐重要信息系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施投產(chǎn)。

（三）影響全轄或一個（含）以上分行系統(tǒng)服務(wù)、重要業(yè)務(wù)中斷時間3小時（含）以上的重要信息系統(tǒng)以及支持其運(yùn)行的基礎(chǔ)設(shè)施變更，包括機(jī)房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。

（四）其他對銀行重要業(yè)務(wù)運(yùn)營及重要信息系統(tǒng)的可用性、完整性、安全性具有較大潛在影響的投產(chǎn)及變更。

第二章 組織管理

第五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)健全I(xiàn)T治理結(jié)構(gòu)，落實(shí)重要信息系統(tǒng)投產(chǎn)及變更管理責(zé)任。第六條 銀行業(yè)金融機(jī)構(gòu)高級管理層應(yīng)統(tǒng)籌管理重要信息系統(tǒng)建設(shè)，聽取重大項(xiàng)目投產(chǎn)或變更的第七條 銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更管理機(jī)制、制度與流程，風(fēng)險(xiǎn)評估匯報(bào)，對風(fēng)險(xiǎn)控制過程進(jìn)行監(jiān)督。

承擔(dān)技術(shù)管理工作，協(xié)調(diào)業(yè)務(wù)、管理部門開展重要信息系統(tǒng)投產(chǎn)及變更工作，保障信息科技資源投入。

第八條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)、管理部門應(yīng)配合信息科技部門開展投產(chǎn)及變更工作，開展業(yè)務(wù)影響分析，制定業(yè)務(wù)管理辦法，組織用戶測試，保證業(yè)務(wù)資源投入。第九條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)開展重要信息系統(tǒng)投產(chǎn)及變更審計(jì)工作，針對問題發(fā)現(xiàn)提出整改意見。

第三章 風(fēng)險(xiǎn)評估

第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)充分識別、分析、評估重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，包括系統(tǒng)功能缺陷、客戶信息泄露、業(yè)務(wù)中斷、交易緩慢或其他因素可能造成的操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)，并形成風(fēng)險(xiǎn)評估報(bào)告。

第十一條 銀行業(yè)金融機(jī)構(gòu)在采取有效信息安全控制措施的前提下，可委托外部專家或具備相應(yīng)第十二條 銀行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)審核重大項(xiàng)目的風(fēng)險(xiǎn)評估報(bào)告。

第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)針對風(fēng)險(xiǎn)評估中發(fā)現(xiàn)的薄弱環(huán)節(jié)制定整改方案，明確整改時間。不資質(zhì)的外部專業(yè)機(jī)構(gòu)進(jìn)行重要信息系統(tǒng)投產(chǎn)及變更的風(fēng)險(xiǎn)評估工作。

具備整改條件的應(yīng)采取風(fēng)險(xiǎn)緩釋措施。

第四章 投產(chǎn)及變更控制

第十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定年度投產(chǎn)及變更第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程進(jìn)行安全審查，采取風(fēng)險(xiǎn)控制措施，第十六條 銀行金融機(jī)構(gòu)應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更內(nèi)容評審和審批、授權(quán)機(jī)制。第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)按照對業(yè)務(wù)影響最小原則，采取與風(fēng)險(xiǎn)程度相適應(yīng)的重要信息系統(tǒng)第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)合理避開業(yè)務(wù)高峰期和敏感時段安排重要信息系統(tǒng)上線，應(yīng)提前將第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立充分、完整的測試體系，測試結(jié)果應(yīng)經(jīng)過信息科技部門和相關(guān)規(guī)則，編制實(shí)施計(jì)劃和方案，確定實(shí)施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。

有效控制重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)。

投產(chǎn)及變更策略。

重要信息系統(tǒng)投產(chǎn)及變更可能對服務(wù)的影響告知客戶。

業(yè)務(wù)部門確認(rèn)，并形成測試和驗(yàn)收報(bào)告，確保系統(tǒng)上線后的正常穩(wěn)定運(yùn)行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。

第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立與生產(chǎn)環(huán)境相隔離的測試環(huán)境，測試環(huán)境應(yīng)模擬生產(chǎn)環(huán)境的真第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完善的版本管理制度，制定嚴(yán)格的審批、控制和操作流程，實(shí)情況。

保存完整的日志記錄。擬投產(chǎn)及變更的重要信息系統(tǒng)應(yīng)保證版本完整、準(zhǔn)確、有效，遵從系統(tǒng)開發(fā)和運(yùn)行管理制度規(guī)范。

第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程中的數(shù)據(jù)管理與質(zhì)量控制；測試環(huán)境中使用的敏感生產(chǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏、變形處理；需要?dú)v史數(shù)據(jù)遷移的，應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗(yàn)證，確保遷移后數(shù)據(jù)的完整性、安全性和可用性。

第二十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定重要信息系統(tǒng)投產(chǎn)及變更應(yīng)急預(yù)案，制定系統(tǒng)回退和應(yīng)急處第二十四條 重要信息系統(tǒng)投產(chǎn)及變更過程中，銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行上線實(shí)施方案，加強(qiáng)第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程的風(fēng)險(xiǎn)監(jiān)控和預(yù)警，各相關(guān)部置計(jì)劃和流程，必要時應(yīng)實(shí)施演練。

監(jiān)督與復(fù)核，避免操作失誤和非法操作。

門協(xié)同做好應(yīng)急準(zhǔn)備。第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定并落實(shí)系統(tǒng)運(yùn)行管理規(guī)程、制度，制定、完善相關(guān)業(yè)務(wù)管理辦法、操作規(guī)程，明確業(yè)務(wù)及運(yùn)行管理職責(zé)，組織必要的培訓(xùn)，確保投產(chǎn)及變更實(shí)施后業(yè)務(wù)順利開展。

第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后，組織業(yè)務(wù)部門、管理部門和第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后及時更新各項(xiàng)相關(guān)應(yīng)急預(yù)案，第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程產(chǎn)生的各類文檔資料進(jìn)行管理，信息科技部門對投產(chǎn)及變更的有效性進(jìn)行驗(yàn)證。

并適時實(shí)施演練。

確保文檔資料的完整性、及時性和有效性，并滿足獨(dú)立審計(jì)要求。

第五章 投產(chǎn)及變更報(bào)告

第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項(xiàng)向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告。第三十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告，包括但不限于：

（一）總體說明：投產(chǎn)及變更目的、內(nèi)容、計(jì)劃起止時間、業(yè)務(wù)影響范圍、聯(lián)系人及聯(lián)系方式等。

（二）重要信息系統(tǒng)基本信息，包括：系統(tǒng)名稱，業(yè)務(wù)功能，操作系統(tǒng)、數(shù)據(jù)庫、中間件情況，應(yīng)用架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)，生產(chǎn)主機(jī)備份方案、數(shù)據(jù)備份方案，運(yùn)行管理等相關(guān)職能部門，是否納入災(zāi)難恢復(fù)計(jì)劃等。

（三）重要信息系統(tǒng)安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。

（四）涉及基礎(chǔ)設(shè)施的，需提供基礎(chǔ)設(shè)施基本信息，包括機(jī)房和網(wǎng)絡(luò)方案。機(jī)房方案包括等級標(biāo)準(zhǔn)、地址、供配電系統(tǒng)、消防、空調(diào)、弱電系統(tǒng)、機(jī)房加固、機(jī)房空間規(guī)劃，以及機(jī)房驗(yàn)收報(bào)告等；網(wǎng)絡(luò)方案包括網(wǎng)絡(luò)架構(gòu)分區(qū)、核心網(wǎng)絡(luò)備份情況，以及區(qū)域間、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)邊界安全措施與網(wǎng)絡(luò)監(jiān)控措施等。

（五）采取外包方式的，需提交外包服務(wù)機(jī)構(gòu)情況、外包服務(wù)內(nèi)容、外包風(fēng)險(xiǎn)評估報(bào)告等。

（六）投產(chǎn)及變更方案，包括投產(chǎn)及變更的組織結(jié)構(gòu)與實(shí)施計(jì)劃、操作步驟等。

（七）風(fēng)險(xiǎn)評估報(bào)告，應(yīng)包括業(yè)務(wù)影響分析，技術(shù)風(fēng)險(xiǎn)分析與評估，控制措施的有效性，以及剩余風(fēng)險(xiǎn)等。

（八）應(yīng)急預(yù)案，包括應(yīng)急處置組織結(jié)構(gòu)，應(yīng)急場景，應(yīng)急處置流程、步驟，應(yīng)急聯(lián)系方式與報(bào)告路線等，實(shí)施演練的應(yīng)提交演練總結(jié)報(bào)告。

第三十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信系統(tǒng)投產(chǎn)及變更實(shí)施后1個月內(nèi)向中國銀監(jiān)會或其派出機(jī)構(gòu)提交總結(jié)報(bào)告材料，內(nèi)容包括但不限于：投產(chǎn)及變更方案執(zhí)行情況、效果，問題發(fā)現(xiàn)和處理情況，后續(xù)改進(jìn)措施等。如投產(chǎn)及變更失敗，應(yīng)詳細(xì)說明失敗原因。

第三十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)按照屬地監(jiān)管原則提交報(bào)告材料，報(bào)送路線如下：

（一）銀行業(yè)金融機(jī)構(gòu)法人組織實(shí)施投產(chǎn)及變更的，由該法人機(jī)構(gòu)統(tǒng)一向中國銀監(jiān)會或其派出機(jī)構(gòu)提交報(bào)告材料。

（二）銀行業(yè)金融機(jī)構(gòu)分行組織實(shí)施投產(chǎn)及變更的，由分行向所在地中國銀監(jiān)會派出機(jī)構(gòu)提交報(bào)告材料。

第三十四條 重要信息系統(tǒng)投產(chǎn)及變更如失敗需要重新安排的，銀行業(yè)金融機(jī)構(gòu)應(yīng)再次向中國銀第三十五條 銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心機(jī)房設(shè)立、場所變更，應(yīng)按照中國銀監(jiān)會有關(guān)數(shù)據(jù)中心管監(jiān)會或其派出機(jī)構(gòu)報(bào)告。

理規(guī)范報(bào)告。

第六章 監(jiān)督管理

第三十六條 針對銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，中國銀監(jiān)會及其派出機(jī)構(gòu)可以第三十七條 中國銀監(jiān)會及其派出機(jī)構(gòu)可依法對銀行業(yè)金融機(jī)構(gòu)的重要信息系統(tǒng)投產(chǎn)及變更實(shí)施第三十八條 銀行業(yè)金融機(jī)構(gòu)違反本辦法有關(guān)規(guī)定的，中國銀監(jiān)會及其派出機(jī)構(gòu)將依法追究相關(guān)采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢等措施。

現(xiàn)場檢查。

責(zé)任。

第七章 附則

第三十九條 本辦法由中國銀監(jiān)會負(fù)責(zé)解釋和修訂。第四十條 本辦法自公布之日起執(zhí)行。

第二篇：銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法范文

中國銀監(jiān)會辦公廳關(guān)于印發(fā)

《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》的通

知

銀監(jiān)辦發(fā)[2009]437號

各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行，各省級農(nóng)村信用聯(lián)社：

為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，保障銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)安全穩(wěn)定運(yùn)行，現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》印發(fā)給你們，請遵照執(zhí)行。請各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)各銀行業(yè)金融機(jī)構(gòu)。

2009年12月29日

銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變

更管理辦法

第一章 總 則

第一條為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》制定本辦法。

第二條在中華人民共和國境內(nèi)設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城巿商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城巿信用社、外商獨(dú)資銀行、中外合資銀行適用本辦法。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

第三條本辦法所稱的重要信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益，或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且實(shí)時性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第四條本辦法所稱的重要信息系統(tǒng)投產(chǎn)及變更主要指：(一）重要信息系統(tǒng)投產(chǎn)。

(二）支撐重要信息系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施投產(chǎn)。

(三）影響全轄或一個（含）以上分行系統(tǒng)服務(wù)、重要業(yè)務(wù)中斷時間3小時（含）以上的重要信息系統(tǒng)以及支持其運(yùn)行的基礎(chǔ)設(shè)施變更，包括機(jī)房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。(四）其他對銀行重要業(yè)務(wù)運(yùn)營及重要信息系統(tǒng)的可用性、完整性、安全性具有較大潛在影響的投產(chǎn)及變更。

第二章 組織管理

第五條銀行業(yè)金融機(jī)構(gòu)應(yīng)健全I(xiàn)T治理結(jié)構(gòu)，落實(shí)重要信息系統(tǒng)投產(chǎn)及變更管理責(zé)任。

第六條銀行業(yè)金融機(jī)構(gòu)高級管理層應(yīng)統(tǒng)籌管理重要信息系統(tǒng)建設(shè)，聽取重大項(xiàng)目投產(chǎn)或變更的風(fēng)險(xiǎn)評估匯報(bào)，對風(fēng)險(xiǎn)控制過程進(jìn)行監(jiān)督。

第七條銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更管理機(jī)制、制度與流程，承擔(dān)技術(shù)管理工作，協(xié)調(diào)業(yè)務(wù)、管理部門開展重要信息系統(tǒng)投產(chǎn)及變更工作，保障信息科技資源投入。

第八條銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)、管理部門應(yīng)配合信息科技部門開展投產(chǎn)及變更工作，開展業(yè)務(wù)影響分析，制定業(yè)務(wù)管理辦法，組織用戶測試，保證業(yè)務(wù)資源投入。

第九條銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)開展重要信息系統(tǒng)投產(chǎn)及變更審計(jì)工作，針對問題發(fā)現(xiàn)提出整改意見。

第三章 風(fēng)險(xiǎn)評估

第十條銀行業(yè)金融機(jī)構(gòu)應(yīng)充分識別、分析、評估重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，包括系統(tǒng)功能缺陷、客戶信息泄露、業(yè)務(wù)中斷、交易緩慢或其他因素可能造成的操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)，并形成風(fēng)險(xiǎn)評估報(bào)告。第十一條銀行業(yè)金融機(jī)構(gòu)在采取有效信息安全控制措施的前提下，可委托外部專家或具備相應(yīng)資質(zhì)的外部專業(yè)機(jī)構(gòu)進(jìn)行重要信息系統(tǒng)投產(chǎn)及變更的風(fēng)險(xiǎn)評估工作。

第十二條銀行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)審核重大項(xiàng)目的風(fēng)險(xiǎn)評估報(bào)告。

第十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)針對風(fēng)險(xiǎn)評估中發(fā)現(xiàn)的薄弱環(huán)節(jié)制定整改方案，明確整改時間。不具備整改條件的應(yīng)采取風(fēng)險(xiǎn)緩釋措施。

第四章 投產(chǎn)及變更控制

第十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定投產(chǎn)及變更規(guī)劃，編制實(shí)施計(jì)劃和方案，確定實(shí)施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。

第十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程進(jìn)行安全審查，采取風(fēng)險(xiǎn)控制措施，有效控制重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)。

第十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更內(nèi)容評審和審批、授權(quán)機(jī)制。

第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)按照對業(yè)務(wù)影響最小原則，采取與風(fēng)險(xiǎn)程度相適應(yīng)的重要信息系統(tǒng)投產(chǎn)及變更策略。

第十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)合理避開業(yè)務(wù)高峰期和敏感時段安排重要信息系統(tǒng)上線，應(yīng)提前將重要信息系統(tǒng)投產(chǎn)及變更可能對服務(wù)的影響告知客戶。第十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立充分、完整的測試體系，測試結(jié)果應(yīng)經(jīng)過信息科技部門和相關(guān)業(yè)務(wù)部門確認(rèn)，并形成測試和驗(yàn)收報(bào)告，確保系統(tǒng)上線后的正常穩(wěn)定運(yùn)行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。

第二十條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立與生產(chǎn)環(huán)境相隔離的測試環(huán)境，測試環(huán)境應(yīng)模擬生產(chǎn)環(huán)境的真實(shí)情況。

第二十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完善的版本管理制度，制定嚴(yán)格的審批、控制和操作流程，保存完整的日志記錄。擬投產(chǎn)及變更的重要信息系統(tǒng)應(yīng)保證版本完整、準(zhǔn)確、有效，遵從系統(tǒng)開發(fā)和運(yùn)行管理制度規(guī)范。

第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程中的數(shù)據(jù)管理與質(zhì)量控制；測試環(huán)境中使用的敏感生產(chǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏、變形處理；需要?dú)v史數(shù)據(jù)遷移的，應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗(yàn)證，確保遷移后數(shù)據(jù)的完整性、安全性和可用性。

第二十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)制定重要信息系統(tǒng)投產(chǎn)及變更應(yīng)急預(yù)案，制定系統(tǒng)回退和應(yīng)急處置計(jì)劃和流程，必要時應(yīng)實(shí)施演練。

第二十四條重要信息系統(tǒng)投產(chǎn)及變更過程中，銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行上線實(shí)施方案，加強(qiáng)監(jiān)督與復(fù)核，避免操作失誤和非法操作。

第二十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程的風(fēng)險(xiǎn)監(jiān)控和預(yù)警，各相關(guān)部門協(xié)同做好應(yīng)急準(zhǔn)備。

第二十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)制定并落實(shí)系統(tǒng)運(yùn)行管理規(guī)程、制度，制定、完善相關(guān)業(yè)務(wù)管理辦法、操作規(guī)程，明確業(yè)務(wù)及運(yùn)行管理職責(zé)，組織必要的培訓(xùn)，確保投產(chǎn)及變更實(shí)施后業(yè)務(wù)順利開展。第二十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后，組織業(yè)務(wù)部門、管理部門和信息科技部門對投產(chǎn)及變更的有效性進(jìn)行驗(yàn)證。

第二十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后及時更新各項(xiàng)相關(guān)應(yīng)急預(yù)案，并適時實(shí)施演練。

第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程產(chǎn)生的各類文檔資料進(jìn)行管理，確保文檔資料的完整性、及時性和有效性，并滿足獨(dú)立審計(jì)要求。

第五章 投產(chǎn)及變更報(bào)告

第三十條銀行業(yè)金融機(jī)構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項(xiàng)向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告。

第三十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告，包括但不限于：(一）總體說明：投產(chǎn)及變更目的、內(nèi)容、計(jì)劃起止時間、業(yè)務(wù)影響范圍、聯(lián)系人及聯(lián)系方式等。

(二）重要信息系統(tǒng)基本信息，包括：系統(tǒng)名稱，業(yè)務(wù)功能，操作系統(tǒng)、數(shù)據(jù)庫、中間件情況，應(yīng)用架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)，生產(chǎn)主機(jī)備份方案、數(shù)據(jù)備份方案，運(yùn)行管理等相關(guān)職能部門，是否納入災(zāi)難恢復(fù)計(jì)劃等。

(三）

重要信息系統(tǒng)信息安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。(四）涉及基礎(chǔ)設(shè)施的，需提供基礎(chǔ)設(shè)施基本信息，包括機(jī)房和網(wǎng)絡(luò)方案。機(jī)房方案包括等級標(biāo)準(zhǔn)、地址、供配電系統(tǒng)、消防、空調(diào)、弱電系統(tǒng)、機(jī)房加固、機(jī)房空間規(guī)劃，以及機(jī)房驗(yàn)收報(bào)告等；網(wǎng)絡(luò)方案包括網(wǎng)絡(luò)架構(gòu)分區(qū)、核心網(wǎng)絡(luò)備份情況，以及區(qū)域間、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)邊界安全措施與網(wǎng)絡(luò)監(jiān)控措施等。

(五）采取外包方式的，需提交外包服務(wù)機(jī)構(gòu)情況、外包服務(wù)內(nèi)容、外包風(fēng)險(xiǎn)評估報(bào)告等。

(六）投產(chǎn)及變更方案，包括投產(chǎn)及變更的組織結(jié)構(gòu)與實(shí)施計(jì)劃、操作步驟等。

(七）風(fēng)險(xiǎn)評估報(bào)告，應(yīng)包括業(yè)務(wù)影響分析，技術(shù)風(fēng)險(xiǎn)分析與評估，控制措施的有效性，以及剩余風(fēng)險(xiǎn)等。

(八）應(yīng)急預(yù)案，包括應(yīng)急處置組織結(jié)構(gòu)，應(yīng)急場景，應(yīng)急處置流程、步驟，應(yīng)急聯(lián)系方式與報(bào)告路線等，實(shí)施演練的應(yīng)提交演練總結(jié)報(bào)告。

第三十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后1個月內(nèi)向中國銀監(jiān)會或其派出機(jī)構(gòu)提交總結(jié)報(bào)告材料，內(nèi)容包括但不限于：投產(chǎn)及變更方案執(zhí)行情況、效果，問題發(fā)現(xiàn)和處理情況，后續(xù)改進(jìn)措施等。如投產(chǎn)及變更失敗，應(yīng)詳細(xì)說明失敗原因。

第三十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)按照屬地監(jiān)管原則提交報(bào)告材料，報(bào)送路線如下：

(一）銀行業(yè)金融機(jī)構(gòu)法人組織實(shí)施投產(chǎn)及變更的，由該法人機(jī)構(gòu)統(tǒng)一向中國銀監(jiān)會或其派出機(jī)構(gòu)提交報(bào)告材料。

(二）銀行業(yè)金融機(jī)構(gòu)分行組織實(shí)施投產(chǎn)及變更的，由分行向 所在地中國銀監(jiān)會派出機(jī)構(gòu)提交報(bào)告材料。

第三十四條重要信息系統(tǒng)投產(chǎn)及變更如失敗需重新安排的，銀行業(yè)金融機(jī)構(gòu)應(yīng)再次向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告。第三十五條銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心機(jī)房設(shè)立、場所變更，應(yīng)按照中國銀監(jiān)會有關(guān)數(shù)據(jù)中心管理規(guī)范報(bào)告。

第六章 監(jiān)督管理

第三十六條針對銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，中國銀監(jiān)會及其派出機(jī)構(gòu)可以采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢等措施。

第三十七條中國銀監(jiān)會及其派出機(jī)構(gòu)可依法對銀行業(yè)金融機(jī)構(gòu)的重要信息系統(tǒng)投產(chǎn)及變更實(shí)施現(xiàn)場檢查。

第三十八條銀行業(yè)金融機(jī)構(gòu)違反本辦法有關(guān)規(guī)定的，中國銀監(jiān)會及其派出機(jī)構(gòu)將依法追究相關(guān)責(zé)任。

第七章 附 則

第三十九條本辦法由中國銀監(jiān)會負(fù)責(zé)解釋和修訂。第四十條本辦法自公布之日起執(zhí)行。

第三篇：銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

中國銀監(jiān)會辦公廳關(guān)于印發(fā)《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》的通知各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行，各省級農(nóng)村信用聯(lián)社：

為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，保障銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)安全穩(wěn)定運(yùn)行，現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》印發(fā)給你們，請遵照執(zhí)行。請各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)各銀行業(yè)金融機(jī)構(gòu)。

中國銀行業(yè)監(jiān)督管理委員會

二00九年十二月二十九日

銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

第一章 總則

第一條 為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》制定本辦法。

第二條 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城市信用社、外商獨(dú)資銀行、中外合資銀行適用本辦法。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

第三條 本辦法所稱的重要信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益，或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且實(shí)時性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第四條 本辦法所稱的重要信息系統(tǒng)投產(chǎn)及變更主要指：

（一）重要信息系統(tǒng)投產(chǎn)。

（二）支撐重要信息系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施投產(chǎn)。

（三）影響全轄或一個（含）以上分行系統(tǒng)服務(wù)、重要業(yè)務(wù)中斷時間3小時（含）以上的重要信息系統(tǒng)以及支持其運(yùn)行的基礎(chǔ)設(shè)施變更，包括機(jī)房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。

（四）其他對銀行重要業(yè)務(wù)運(yùn)營及重要信息系統(tǒng)的可用性、完整性、安全性具有較大潛在影響的投產(chǎn)及變更。

第二章 組織管理

第五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)健全I(xiàn)T治理結(jié)構(gòu)，落實(shí)重要信息系統(tǒng)投產(chǎn)及變更管理責(zé)任。

第六條 銀行業(yè)金融機(jī)構(gòu)高級管理層應(yīng)統(tǒng)籌管理重要信息系統(tǒng)建設(shè)，聽取重大項(xiàng)目投產(chǎn)或變更的風(fēng)險(xiǎn)評估匯報(bào)，對風(fēng)險(xiǎn)控制過程進(jìn)行監(jiān)督。

第七條 銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更管理機(jī)制、制度與流程，承擔(dān)技術(shù)管理工作，協(xié)調(diào)業(yè)務(wù)、管理部門開展重要信息系統(tǒng)投產(chǎn)及變更工作，保障信息科技資源投入。

第八條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)、管理部門應(yīng)配合信息科技部門開展投產(chǎn)及變更工作，開展業(yè)務(wù)影響分析，制定業(yè)務(wù)管理辦法，組織用戶測試，保證業(yè)務(wù)資源投入。

第九條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)開展重要信息系統(tǒng)投產(chǎn)及變更審計(jì)工作，針對問題發(fā)現(xiàn)提出整改意見。

第三章 風(fēng)險(xiǎn)評估

第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)充分識別、分析、評估重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，包括系統(tǒng)功能缺陷、客戶信息泄露、業(yè)務(wù)中斷、交易緩慢或其他因素可能造成的操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)，并形成風(fēng)險(xiǎn)評估報(bào)告。

第十一條 銀行業(yè)金融機(jī)構(gòu)在采取有效信息安全控制措施的前提下，可委托外部專家或具備相應(yīng)資質(zhì)的外部專業(yè)機(jī)構(gòu)進(jìn)行重要信息系統(tǒng)投產(chǎn)及變更的風(fēng)險(xiǎn)評估工作。

第十二條 銀行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)審慎重大項(xiàng)目的風(fēng)險(xiǎn)評估報(bào)告。

第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)針對風(fēng)險(xiǎn)評估中發(fā)現(xiàn)的薄弱環(huán)節(jié)制定整改方案，明確整改時間。不具備整改條件的應(yīng)采取風(fēng)險(xiǎn)緩釋措施。

第四章 投產(chǎn)及變更控制

第十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定投產(chǎn)及變更規(guī)則，編制實(shí)施計(jì)劃和方案，確定實(shí)施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。

第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程進(jìn)行安全審查，采取風(fēng)險(xiǎn)控制措施，有效控制重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)。

第十六條 銀行金融機(jī)構(gòu)應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更內(nèi)容評審和審批、授權(quán)機(jī)制。

第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)按照對業(yè)務(wù)影響最小原則，采取與風(fēng)險(xiǎn)程度相適應(yīng)的重要信息系統(tǒng)投產(chǎn)及變更策略。

第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)合理避開業(yè)務(wù)高峰期和敏感時段安排重要信息系統(tǒng)上線，應(yīng)提前將重要信息系統(tǒng)投產(chǎn)及變更可能對服務(wù)的影響告知客戶。

第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立充分、完整的測試體系，測試結(jié)果應(yīng)經(jīng)過信息科技部門和相關(guān)業(yè)務(wù)部門確認(rèn)，并形成測試和驗(yàn)收報(bào)告，確保系統(tǒng)上線后的正常穩(wěn)定運(yùn)行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。

第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立與生產(chǎn)環(huán)境相隔離的測試環(huán)境，測試環(huán)境應(yīng)模擬生產(chǎn)環(huán)境的真實(shí)情況。

第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完善的版本管理制度，制定嚴(yán)格的審批、控制和操作流程，保存完整的日志記錄。擬投產(chǎn)及變更的重要信息系統(tǒng)應(yīng)保證版本完整、準(zhǔn)確、有效，遵從系統(tǒng)開發(fā)和運(yùn)行管理制度規(guī)范。

第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程中的數(shù)據(jù)管理與質(zhì)量控制；測試環(huán)境中使用的敏感生產(chǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏、變形處理；需要?dú)v史數(shù)據(jù)遷移的，應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗(yàn)證，確保遷移后數(shù)據(jù)的完整性、安全性和可用性。

第二十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定重要信息系統(tǒng)投產(chǎn)及變更應(yīng)急預(yù)案，制定系統(tǒng)回退和應(yīng)急處置計(jì)劃和流程，必要時應(yīng)實(shí)施演練。

第二十四條 重要信息系統(tǒng)投產(chǎn)及變更過程中，銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行上線實(shí)施方案，加強(qiáng)監(jiān)督與復(fù)核，避免操作失誤和非法操作。

第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程的風(fēng)險(xiǎn)監(jiān)控和預(yù)警，各相關(guān)部門協(xié)同做好應(yīng)急準(zhǔn)備。

第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定并落實(shí)系統(tǒng)運(yùn)行管理規(guī)程、制度，制定、完善相關(guān)業(yè)務(wù)管理辦法、操作規(guī)程，明確業(yè)務(wù)及運(yùn)行管理職責(zé)，組織必要的培訓(xùn)，確保投產(chǎn)及變更實(shí)施后業(yè)務(wù)順利開展。

第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后，組織業(yè)務(wù)部門、管理部門和信息科技部門對投產(chǎn)及變更的有效性進(jìn)行驗(yàn)證。

第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后及時更新各項(xiàng)相關(guān)應(yīng)急預(yù)案，并適時實(shí)施演練。

第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程產(chǎn)生的各類文檔資料進(jìn)行管理，確保文檔資料的完整性、及時性和有效性，并滿足獨(dú)立審計(jì)要求。

第五章 投產(chǎn)及變更報(bào)告

第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項(xiàng)向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告。

第三十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告，包括但不限于：

（一）總體說明：投產(chǎn)及變更目的、內(nèi)容、計(jì)劃起止時間、業(yè)務(wù)影響范圍、聯(lián)系人及聯(lián)系方式等。

（二）重要信息系統(tǒng)基本信息，包括：系統(tǒng)名稱、業(yè)務(wù)功能，操作系統(tǒng)、數(shù)據(jù)庫、中間件情況，應(yīng)用架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)，生產(chǎn)主機(jī)備份方案、數(shù)據(jù)備份方案，運(yùn)行管理等相關(guān)職能部門，是否納入災(zāi)難恢復(fù)計(jì)劃等。

（三）重要信息系統(tǒng)安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。

（四）涉及基礎(chǔ)設(shè)施的，需提供基礎(chǔ)設(shè)施基本信息，包括機(jī)房和網(wǎng)絡(luò)方案。機(jī)房方案包括等級標(biāo)準(zhǔn)、地址、供配電系統(tǒng)、消防、空調(diào)、弱電系統(tǒng)、機(jī)房加固、機(jī)房空間規(guī)劃，以及機(jī)房驗(yàn)收報(bào)告等；網(wǎng)絡(luò)方案包括網(wǎng)絡(luò)架構(gòu)分區(qū)、核心網(wǎng)絡(luò)備份情況，以及區(qū)域間、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)邊界安全措施與網(wǎng)絡(luò)監(jiān)控措施等。

（五）采取外包方式的，需提交外包服務(wù)機(jī)構(gòu)情況、外包服務(wù)內(nèi)容、外包風(fēng)險(xiǎn)評估報(bào)告等。

（六）投產(chǎn)及變更方案，包括投產(chǎn)及變更的組織結(jié)構(gòu)與實(shí)施計(jì)劃、操作步驟等。

（七）風(fēng)險(xiǎn)評估報(bào)告，應(yīng)包括業(yè)務(wù)影響分析，技術(shù)風(fēng)險(xiǎn)分析與評估，控制措施的有效性，以及剩余風(fēng)險(xiǎn)等。

（八）應(yīng)急預(yù)案，包括應(yīng)急處置組織結(jié)構(gòu)，應(yīng)急場景，應(yīng)急處置流程、步驟，應(yīng)急聯(lián)系方式與報(bào)告路線等，實(shí)施演練的應(yīng)提交演練總結(jié)報(bào)告。

第三十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信系統(tǒng)投產(chǎn)及變更實(shí)施后1個月內(nèi)向中國銀監(jiān)會或其派出機(jī)構(gòu)提交總結(jié)報(bào)告材料，內(nèi)容包括但不限于：投產(chǎn)及變更方案執(zhí)行情況、效果，問題發(fā)現(xiàn)和處理情況，后續(xù)改進(jìn)措施等。如投產(chǎn)及變更失敗，應(yīng)詳細(xì)說明失敗原因。

第三十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)按照屬地監(jiān)管原則提交報(bào)告材料，報(bào)送路線如下：

（一）銀行業(yè)金融機(jī)構(gòu)法人組織實(shí)施投產(chǎn)及變更的，由該法人機(jī)構(gòu)統(tǒng)一向中國銀監(jiān)會或其派出機(jī)構(gòu)提交報(bào)告材料。

（二）銀行業(yè)金融機(jī)構(gòu)分行組織實(shí)施投產(chǎn)及變更的，由分行向所在地中國銀監(jiān)會派出機(jī)

構(gòu)提交報(bào)告材料。

第三十四條 重要信息系統(tǒng)投產(chǎn)及變更如失敗需要重新安排的，銀行業(yè)金融機(jī)構(gòu)應(yīng)再次向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告。

第三十五條 銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心機(jī)房設(shè)立、場所變更，應(yīng)按照中國銀監(jiān)會有關(guān)數(shù)據(jù)中心管理規(guī)范報(bào)告。

第六章 監(jiān)督管理

第三十六條 針對銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，中國銀監(jiān)會及其派出機(jī)構(gòu)可以采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢等措施。

第三十七條 中國銀監(jiān)會及其派出機(jī)構(gòu)可依法對銀行業(yè)金融的重要信息系統(tǒng)投產(chǎn)及變更實(shí)施現(xiàn)場檢查。

第三十八條 銀行業(yè)金融機(jī)構(gòu)違反本辦法有關(guān)規(guī)定的，中國銀監(jiān)會及其派出機(jī)構(gòu)將依法追究相關(guān)責(zé)任。

第七章 附則

第三十九條 本辦法由中國銀監(jiān)會負(fù)責(zé)解釋和修訂。

第四十條 本辦法自公布之日起執(zhí)行。

第四篇：銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

第一章 總則

第一條 為加強(qiáng)銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行

第二條 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》制定本辦法。

銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城市信用社、外商獨(dú)資銀行、中外合資銀行適用本辦法。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

第三條 本辦法所稱的重要信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益，或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且實(shí)時性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第四條 本辦法所稱的重要信息系統(tǒng)投產(chǎn)及變更主要指：

（一）重要信息系統(tǒng)投產(chǎn)。

（二）支撐重要信息系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施投產(chǎn)。

（三）影響全轄或一個（含）以上分行系統(tǒng)服務(wù)、重要業(yè)務(wù)中斷時間3小時（含）以上的重要信息系統(tǒng)以及支持其運(yùn)行的基礎(chǔ)設(shè)施變更，包括機(jī)房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。

（四）其他對銀行重要業(yè)務(wù)運(yùn)營及重要信息系統(tǒng)的可用性、完整性、安全性具有較大潛在影響的投產(chǎn)及變更。

第二章 組織管理

第五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)健全I(xiàn)T治理結(jié)構(gòu)，落實(shí)重要信息系統(tǒng)投產(chǎn)及變更管理責(zé)任。第六條 銀行業(yè)金融機(jī)構(gòu)高級管理層應(yīng)統(tǒng)籌管理重要信息系統(tǒng)建設(shè)，聽取重大項(xiàng)目投產(chǎn)或變更的第七條 銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更管理機(jī)制、制度與流程，風(fēng)險(xiǎn)評估匯報(bào)，對風(fēng)險(xiǎn)控制過程進(jìn)行監(jiān)督。

承擔(dān)技術(shù)管理工作，協(xié)調(diào)業(yè)務(wù)、管理部門開展重要信息系統(tǒng)投產(chǎn)及變更工作，保障信息科技資源投入。

第八條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)、管理部門應(yīng)配合信息科技部門開展投產(chǎn)及變更工作，開展業(yè)務(wù)影

第九條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)開展重要信息系統(tǒng)投產(chǎn)及變更審計(jì)工作，針對問題發(fā)現(xiàn)響分析，制定業(yè)務(wù)管理辦法，組織用戶測試，保證業(yè)務(wù)資源投入。

提出整改意見。

第三章 風(fēng)險(xiǎn)評估

第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)充分識別、分析、評估重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，包括系統(tǒng)功能缺陷、客戶信息泄露、業(yè)務(wù)中斷、交易緩慢或其他因素可能造成的操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)，并形成風(fēng)險(xiǎn)評估報(bào)告。

第十一條 銀行業(yè)金融機(jī)構(gòu)在采取有效信息安全控制措施的前提下，可委托外部專家或具備相應(yīng)第十二條 銀行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)審核重大項(xiàng)目的風(fēng)險(xiǎn)評估報(bào)告。資質(zhì)的外部專業(yè)機(jī)構(gòu)進(jìn)行重要信息系統(tǒng)投產(chǎn)及變更的風(fēng)險(xiǎn)評估工作。

第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)針對風(fēng)險(xiǎn)評估中發(fā)現(xiàn)的薄弱環(huán)節(jié)制定整改方案，明確整改時間。不具備整改條件的應(yīng)采取風(fēng)險(xiǎn)緩釋措施。

第四章 投產(chǎn)及變更控制

第十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定投產(chǎn)及變更

第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程進(jìn)行安全審查，采取風(fēng)險(xiǎn)控制措施，第十六條 銀行金融機(jī)構(gòu)應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更內(nèi)容評審和審批、授權(quán)機(jī)制。

第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)按照對業(yè)務(wù)影響最小原則，采取與風(fēng)險(xiǎn)程度相適應(yīng)的重要信息系統(tǒng)第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)合理避開業(yè)務(wù)高峰期和敏感時段安排重要信息系統(tǒng)上線，應(yīng)提前將第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立充分、完整的測試體系，測試結(jié)果應(yīng)經(jīng)過信息科技部門和相關(guān)規(guī)則，編制實(shí)施計(jì)劃和方案，確定實(shí)施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。有效控制重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)。投產(chǎn)及變更策略。重要信息系統(tǒng)投產(chǎn)及變更可能對服務(wù)的影響告知客戶。

業(yè)務(wù)部門確認(rèn)，并形成測試和驗(yàn)收報(bào)告，確保系統(tǒng)上線后的正常穩(wěn)定運(yùn)行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。

第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立與生產(chǎn)環(huán)境相隔離的測試環(huán)境，測試環(huán)境應(yīng)模擬生產(chǎn)環(huán)境的真

第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完善的版本管理制度，制定嚴(yán)格的審批、控制和操作流程，實(shí)情況。

保存完整的日志記錄。擬投產(chǎn)及變更的重要信息系統(tǒng)應(yīng)保證版本完整、準(zhǔn)確、有效，遵從系統(tǒng)開發(fā)和運(yùn)行管理制度規(guī)范。

第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程中的數(shù)據(jù)管理與質(zhì)量控制；測試環(huán)境中使用的敏感生產(chǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏、變形處理；需要?dú)v史數(shù)據(jù)遷移的，應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗(yàn)證，確保遷移后數(shù)據(jù)的完整性、安全性和可用性。

第二十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定重要信息系統(tǒng)投產(chǎn)及變更應(yīng)急預(yù)案，制定系統(tǒng)回退和應(yīng)急處

第二十四條 重要信息系統(tǒng)投產(chǎn)及變更過程中，銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行上線實(shí)施方案，加強(qiáng)第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)重要信息系統(tǒng)投產(chǎn)及變更過程的風(fēng)險(xiǎn)監(jiān)控和預(yù)警，各相關(guān)部第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定并落實(shí)系統(tǒng)運(yùn)行管理規(guī)程、制度，制定、完善相關(guān)業(yè)務(wù)管理置計(jì)劃和流程，必要時應(yīng)實(shí)施演練。監(jiān)督與復(fù)核，避免操作失誤和非法操作。門協(xié)同做好應(yīng)急準(zhǔn)備。

辦法、操作規(guī)程，明確業(yè)務(wù)及運(yùn)行管理職責(zé)，組織必要的培訓(xùn)，確保投產(chǎn)及變更實(shí)施后業(yè)務(wù)順利開展。

第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后，組織業(yè)務(wù)部門、管理部門和

第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實(shí)施后及時更新各項(xiàng)相關(guān)應(yīng)急預(yù)案，第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程產(chǎn)生的各類文檔資料進(jìn)行管理，信息科技部門對投產(chǎn)及變更的有效性進(jìn)行驗(yàn)證。并適時實(shí)施演練。

確保文檔資料的完整性、及時性和有效性，并滿足獨(dú)立審計(jì)要求。

第五章 投產(chǎn)及變更報(bào)告

第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項(xiàng)向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告。第三十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向中國銀監(jiān)會或其派出機(jī)構(gòu)報(bào)告，包括但不限于：

（一）總體說明：投產(chǎn)及變更目的、內(nèi)容、計(jì)劃起止時間、業(yè)務(wù)影響范圍、聯(lián)系人及聯(lián)系方式等。

（二）重要信息系統(tǒng)基本信息，包括：系統(tǒng)名稱，業(yè)務(wù)功能，操作系統(tǒng)、數(shù)據(jù)庫、中間件情況，應(yīng)用架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)，生產(chǎn)主機(jī)備份方案、數(shù)據(jù)備份方案，運(yùn)行管理等相關(guān)職能部門，是否納入災(zāi)難恢復(fù)計(jì)劃等。

（三）重要信息系統(tǒng)安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。

（四）涉及基礎(chǔ)設(shè)施的，需提供基礎(chǔ)設(shè)施基本信息，包括機(jī)房和網(wǎng)絡(luò)方案。機(jī)房方案包括等級標(biāo)準(zhǔn)、地址、供配電系統(tǒng)、消防、空調(diào)、弱電系統(tǒng)、機(jī)房加固、機(jī)房空間規(guī)劃，以及機(jī)房驗(yàn)收報(bào)告等；網(wǎng)絡(luò)方案包括網(wǎng)絡(luò)架構(gòu)分區(qū)、核心網(wǎng)絡(luò)備份情況，以及區(qū)域間、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)邊界安全措施與網(wǎng)絡(luò)監(jiān)控措施等。

（五）采取外包方式的，需提交外包服務(wù)機(jī)構(gòu)情況、外包服務(wù)內(nèi)容、外包風(fēng)險(xiǎn)評估報(bào)告等。

（六）投產(chǎn)及變更方案，包括投產(chǎn)及變更的組織結(jié)構(gòu)與實(shí)施計(jì)劃、操作步驟等。

（七）風(fēng)險(xiǎn)評估報(bào)告，應(yīng)包括業(yè)務(wù)影響分析，技術(shù)風(fēng)險(xiǎn)分析與評估，控制措施的有效性，以及剩余風(fēng)險(xiǎn)等。

（八）應(yīng)急預(yù)案，包括應(yīng)急處置組織結(jié)構(gòu)，應(yīng)急場景，應(yīng)急處置流程、步驟，應(yīng)急聯(lián)系方式與報(bào)告路線等，實(shí)施演練的應(yīng)提交演練總結(jié)報(bào)告。

第三十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信系統(tǒng)投產(chǎn)及變更實(shí)施后1個月內(nèi)向中國銀監(jiān)會或其派出機(jī)構(gòu)提交總結(jié)報(bào)告材料，內(nèi)容包括但不限于：投產(chǎn)及變更方案執(zhí)行情況、效果，問題發(fā)現(xiàn)和處理情況，后續(xù)改進(jìn)措施等。如投產(chǎn)及變更失敗，應(yīng)詳細(xì)說明失敗原因。

第三十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)按照屬地監(jiān)管原則提交報(bào)告材料，報(bào)送路線如下：

（一）銀行業(yè)金融機(jī)構(gòu)法人組織實(shí)施投產(chǎn)及變更的，由該法人機(jī)構(gòu)統(tǒng)一向中國銀監(jiān)會或其派出機(jī)構(gòu)提交報(bào)告材料。

（二）銀行業(yè)金融機(jī)構(gòu)分行組織實(shí)施投產(chǎn)及變更的，由分行向所在地中國銀監(jiān)會派出機(jī)構(gòu)提交報(bào)告材料。

第三十四條 重要信息系統(tǒng)投產(chǎn)及變更如失敗需要重新安排的，銀行業(yè)金融機(jī)構(gòu)應(yīng)再次向中國銀

第三十五條 銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心機(jī)房設(shè)立、場所變更，應(yīng)按照中國銀監(jiān)會有關(guān)數(shù)據(jù)中心管監(jiān)會或其派出機(jī)構(gòu)報(bào)告。

理規(guī)范報(bào)告。

第六章 監(jiān)督管理

第三十六條 針對銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險(xiǎn)，中國銀監(jiān)會及其派出機(jī)構(gòu)可以

第三十七條 中國銀監(jiān)會及其派出機(jī)構(gòu)可依法對銀行業(yè)金融機(jī)構(gòu)的重要信息系統(tǒng)投產(chǎn)及變更實(shí)施第三十八條 銀行業(yè)金融機(jī)構(gòu)違反本辦法有關(guān)規(guī)定的，中國銀監(jiān)會及其派出機(jī)構(gòu)將依法追究相關(guān)采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢等措施?，F(xiàn)場檢查。

責(zé)任。

第七章 附則

第三十九條 本辦法由中國銀監(jiān)會負(fù)責(zé)解釋和修訂。

第四十條 本辦法自公布之日起執(zhí)行。

第五篇：銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引銀監(jiān)發(fā)2006-51號

銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引

銀監(jiān)發(fā)[2006]第51號2006年6月27日

第一章 總則

第一條 為促進(jìn)銀行業(yè)金融機(jī)構(gòu)完善公司治理，加強(qiáng)內(nèi)部控制，健全內(nèi)部審計(jì)體系，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國公司法》、《中華人民共和國審計(jì)法》和《中華人民共和國審計(jì)法實(shí)施條例》等法律法規(guī)，制定本指引。

第二條 本指引所稱銀行業(yè)金融機(jī)構(gòu)是指在中華人民共和國境內(nèi)設(shè)立的政策性銀行和商業(yè)銀行。經(jīng)中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu)可參照執(zhí)行本指引。

第三條 本指引所稱內(nèi)部審計(jì)是一種獨(dú)立、客觀的監(jiān)督、評價和咨詢活動，是銀行業(yè)金融機(jī)構(gòu)內(nèi)部控制的重要組成部分。通過系統(tǒng)化和規(guī)范化的方法，審查評價并改善銀行業(yè)金融機(jī)構(gòu)經(jīng)營活動、風(fēng)險(xiǎn)狀況、內(nèi)部控制和公司治理效果，促進(jìn)銀行業(yè)金融機(jī)構(gòu)穩(wěn)健發(fā)展。

第四條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)的目標(biāo)是，保證國家有關(guān)經(jīng)濟(jì)金融法律法規(guī)、方針政策、監(jiān)管部門規(guī)章的貫徹執(zhí)行；在銀行業(yè)金融機(jī)構(gòu)風(fēng)險(xiǎn)框架內(nèi)，促使風(fēng)險(xiǎn)控制在可接受水平；改善銀行業(yè)金融機(jī)構(gòu)的運(yùn)營，增加價值。

第五條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)工作應(yīng)當(dāng)獨(dú)立于經(jīng)營管理，以風(fēng)險(xiǎn)為導(dǎo)向，確保客觀公正。

第六條 中國銀監(jiān)會依據(jù)本指引檢查評價銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)工作。

第二章 機(jī)構(gòu)和人員

第七條 銀行業(yè)金融機(jī)構(gòu)的董事會負(fù)責(zé)建立和維護(hù)健全有效的內(nèi)部審計(jì)體系。沒有設(shè)立董事會的，由高級管理層負(fù)責(zé)履行有關(guān)職責(zé)。董事會應(yīng)下設(shè)審計(jì)委員會。審計(jì)委員會成員不少于3人，多數(shù)成員應(yīng)是非執(zhí)行董事。審計(jì)委員會主席應(yīng)由獨(dú)立董事?lián)?。沒有設(shè)立董事會的，審計(jì)委員會組成及委員會負(fù)責(zé)人由高級管理層確定。

第八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立審計(jì)全系統(tǒng)經(jīng)營管理行為的內(nèi)部審計(jì)部門，可設(shè)立一名首席審計(jì)官負(fù)責(zé)全系統(tǒng)的審計(jì)工作。首席審計(jì)官由董事會任命并納入銀行業(yè)金融機(jī)構(gòu)高級管理人員任職資格核準(zhǔn)范圍，首席審計(jì)官崗位變動要事前向中國銀監(jiān)會報(bào)告。

第九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立獨(dú)立垂直的內(nèi)部審計(jì)管理體系。審計(jì)預(yù)算、人員薪酬、主要負(fù)責(zé)人任免由董事會或其專門委員會決定。內(nèi)部審計(jì)人員薪酬不低于本機(jī)構(gòu)其他部門同職級人員平均水平。

第十條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)人員原則上按員工總?cè)藬?shù)的1%配備，并建立內(nèi)部崗位輪換制。

第十一條 內(nèi)部審計(jì)人員應(yīng)具備相應(yīng)的專業(yè)從業(yè)資格：

（一）專業(yè)水平。內(nèi)部審計(jì)人員應(yīng)具備大專以上學(xué)歷，掌握與銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)相關(guān)的專業(yè)知識，熟悉金融相關(guān)法律法規(guī)及內(nèi)部控制制度。

（二）從業(yè)經(jīng)驗(yàn)。內(nèi)部審計(jì)人員至少應(yīng)具備兩年以上金融從業(yè)經(jīng)驗(yàn)；審計(jì)項(xiàng)目負(fù)責(zé)人員至少應(yīng)具有三年以上審計(jì)工作經(jīng)驗(yàn)，或六年以上金融從業(yè)經(jīng)驗(yàn)。

（三）道德準(zhǔn)則。內(nèi)部審計(jì)人員應(yīng)具有正直、客觀、廉潔、公正的職業(yè)操守，且從事金融業(yè)務(wù)以來無不良記錄。

第三章 職責(zé)

第十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)以制度形式明確董事會、審計(jì)委員會、首席審計(jì)官和內(nèi)部審計(jì)部門及人員職責(zé)。

第十三條 董事會對內(nèi)部審計(jì)的適當(dāng)性和有效性承擔(dān)最終責(zé)任，負(fù)責(zé)批準(zhǔn)內(nèi)部審計(jì)章程、中長期審計(jì)規(guī)劃和工作計(jì)劃等，為獨(dú)立、客觀開展內(nèi)部審計(jì)工作提供必要保障，并對審計(jì)工作情況進(jìn)行考核監(jiān)督。

第十四條 審計(jì)委員會對董事會負(fù)責(zé)，根據(jù)董事會授權(quán)組織指導(dǎo)內(nèi)部審計(jì)工作。審計(jì)委員會應(yīng)定期召開會議，并可視需要邀請高級管理層人員列席。

第十五條 首席審計(jì)官負(fù)責(zé)組織實(shí)施內(nèi)部審計(jì)章程、中長期審計(jì)規(guī)劃和工作計(jì)劃，做好協(xié)調(diào)工作，及時向董事會和高級管理層主要負(fù)責(zé)人報(bào)告審計(jì)工作情況，并對內(nèi)部審計(jì)的整體質(zhì)量負(fù)責(zé)。

第十六條 內(nèi)部審計(jì)部門應(yīng)對董事會和審計(jì)委員會負(fù)責(zé)，制定內(nèi)部審計(jì)程序，評價風(fēng)險(xiǎn)狀況和管理情況，落實(shí)審計(jì)工作計(jì)劃，開展后續(xù)審計(jì)，監(jiān)督整改情況，對審計(jì)項(xiàng)目質(zhì)量負(fù)責(zé)，做好檔案管理。

第十七條 內(nèi)部審計(jì)事項(xiàng)主要包括：

（一）經(jīng)營管理的合規(guī)性及合規(guī)部門工作情況。

（二）內(nèi)部控制的健全性和有效性。

（三）風(fēng)險(xiǎn)狀況及風(fēng)險(xiǎn)識別、計(jì)量、監(jiān)控程序的適用性和有效性。

（四）信息系統(tǒng)規(guī)劃設(shè)計(jì)、開發(fā)運(yùn)行和管理維護(hù)的情況。

（五）會計(jì)記錄和財(cái)務(wù)報(bào)告的準(zhǔn)確性和可靠性。

（六）與風(fēng)險(xiǎn)相關(guān)的資本評估系統(tǒng)情況。

（七）機(jī)構(gòu)運(yùn)營績效和管理人員履職情況等。

第四章 權(quán)限

第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以制度形式明確賦予內(nèi)部審計(jì)部門履行職責(zé)所必需的權(quán)限。

第十九條 內(nèi)部審計(jì)部門有權(quán)列席或參加與內(nèi)部審計(jì)部門職責(zé)有關(guān)的會議。

第二十條 內(nèi)部審計(jì)部門有權(quán)及時、全面了解經(jīng)營管理信息，并就有關(guān)問題向?qū)徲?jì)對象和相關(guān)人員進(jìn)行調(diào)查、質(zhì)詢、取證。

第二十一條 內(nèi)部審計(jì)部門認(rèn)為必要時有權(quán)向董事會直接匯報(bào)審計(jì)發(fā)現(xiàn)。

第二十二條 內(nèi)部審計(jì)部門應(yīng)具有處理建議權(quán)和必要的處罰權(quán)。

第二十三條 內(nèi)部審計(jì)部門對拒絕接受或不配合內(nèi)部審計(jì)、拒絕提供或提供虛假資料、打擊報(bào)復(fù)或陷害審計(jì)人員的，有權(quán)向上級報(bào)告，要求及時予以制止并做出處理。

第五章 質(zhì)量控制

第二十四條 內(nèi)部審計(jì)部門可就風(fēng)險(xiǎn)管理、內(nèi)部控制等有關(guān)問題提供咨詢服務(wù)，但不應(yīng)直接參與或負(fù)責(zé)內(nèi)部控制設(shè)計(jì)和經(jīng)營管理決策與執(zhí)行。

第二十五條 內(nèi)部審計(jì)部門應(yīng)在風(fēng)險(xiǎn)評估的基礎(chǔ)上確定審計(jì)重點(diǎn)，審計(jì)頻率和程度應(yīng)與銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)性質(zhì)、復(fù)雜程度、風(fēng)險(xiǎn)狀況和管理水平相一致。對每一營業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)評估每年至少一次，審計(jì)每兩年至少一次。第二十六條 內(nèi)部審計(jì)部門和審計(jì)人員應(yīng)嚴(yán)格按照審計(jì)程序和審計(jì)方法實(shí)施審計(jì)項(xiàng)目，并定期進(jìn)行自我評估。

第二十七條 內(nèi)部審計(jì)部門應(yīng)建立內(nèi)部審計(jì)人員的審計(jì)回避制度，確保內(nèi)部審計(jì)的客觀性。

第二十八條 內(nèi)部審計(jì)部門應(yīng)建立內(nèi)部審計(jì)人員后續(xù)培訓(xùn)制度，鼓勵內(nèi)部審計(jì)人員取得注冊會計(jì)師、注冊內(nèi)部審計(jì)師、注冊信息系統(tǒng)審計(jì)師等執(zhí)業(yè)資格，以保證內(nèi)部審計(jì)人員的專業(yè)勝任能力。

第二十九條 內(nèi)部審計(jì)部門應(yīng)加強(qiáng)科技手段和信息技術(shù)在審計(jì)工作中的運(yùn)用，建立完善非現(xiàn)場內(nèi)部審計(jì)監(jiān)測體系及內(nèi)部審計(jì)操作系統(tǒng)、信息管理系統(tǒng)。

第三十條 內(nèi)部審計(jì)部門根據(jù)工作需要，經(jīng)董事會批準(zhǔn)后，可將部分內(nèi)部審計(jì)項(xiàng)目外包，但需事先對外包機(jī)構(gòu)的獨(dú)立性、客觀性和專業(yè)勝任能力進(jìn)行評估。

第三十一條 內(nèi)部審計(jì)部門應(yīng)建立審計(jì)復(fù)議制度，對審計(jì)對象提出異議的審計(jì)結(jié)論，由作出審計(jì)結(jié)論的審計(jì)機(jī)構(gòu)的上級機(jī)構(gòu)進(jìn)行復(fù)議。

第三十二條 董事會可聘請外部機(jī)構(gòu)對內(nèi)部審計(jì)部門的盡職情況進(jìn)行評價，并保證外部檢查人員獨(dú)立于評價對象、具備專業(yè)勝任能力以及與評價對象沒有利益沖突。

第六章 報(bào)告制度

第三十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立與垂直管理體系相適應(yīng)的內(nèi)部審計(jì)報(bào)告制度和報(bào)告線路。

第三十四條 審計(jì)委員會應(yīng)按季度向董事會報(bào)告審計(jì)工作情況，并通報(bào)高級管理層和監(jiān)事會。

第三十五條 首席審計(jì)官和內(nèi)部審計(jì)部門應(yīng)按季向董事會和高級管理層主要負(fù)責(zé)人報(bào)告審計(jì)工作情況。每年至少一次向董事會提交包括履職情況、審計(jì)發(fā)現(xiàn)和建議等內(nèi)容的審計(jì)工作報(bào)告。

第三十六條 首席審計(jì)官和內(nèi)部審計(jì)部門在審計(jì)事項(xiàng)結(jié)束后，應(yīng)及時向董事會和高級管理層主要負(fù)責(zé)人報(bào)送包括審計(jì)概況、審計(jì)依據(jù)、審計(jì)結(jié)論、審計(jì)決定、審計(jì)建議、審計(jì)對象反饋意見等內(nèi)容的項(xiàng)目審計(jì)報(bào)告。

第三十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完善與中國銀監(jiān)會的溝通和報(bào)告制度。董事會和高級管理層應(yīng)就重大審計(jì)發(fā)現(xiàn)及時向中國銀監(jiān)會報(bào)告。內(nèi)部審計(jì)部門應(yīng)就以下事項(xiàng)向中國銀監(jiān)會或中國銀監(jiān)會派出機(jī)構(gòu)報(bào)告：

（一）向董事會提交的全面審計(jì)工作報(bào)告。

（二）內(nèi)部審計(jì)部門開展異地審計(jì)的，應(yīng)同時將審計(jì)報(bào)告抄報(bào)審計(jì)對象所在地的中國銀監(jiān)會派出機(jī)構(gòu)。

（三）內(nèi)部審計(jì)部門發(fā)現(xiàn)重大問題并報(bào)告董事會后，在問題未得到認(rèn)真查處整改的情況下，應(yīng)直接向中國銀監(jiān)會報(bào)告相關(guān)情況。

（四）外部中介機(jī)構(gòu)對銀行業(yè)金融機(jī)構(gòu)的審計(jì)報(bào)告。

（五）中國銀監(jiān)會及其派出機(jī)構(gòu)要求報(bào)告的其他事項(xiàng)。

第七章 考核與問責(zé)

第三十八條 董事會和高級管理層應(yīng)采取有效措施，確保內(nèi)部審計(jì)成果得以充分利用。高級管理層對未按要求進(jìn)行整改的問題，應(yīng)督促整改，追究相關(guān)人員責(zé)任，并承擔(dān)未對審計(jì)發(fā)現(xiàn)采取糾正措施所產(chǎn)生的責(zé)任和風(fēng)險(xiǎn)。

第三十九條 董事會應(yīng)建立激勵約束機(jī)制，對內(nèi)部審計(jì)相關(guān)各方的盡職、履職情況進(jìn)行考核評價，建立內(nèi)部審計(jì)工作問責(zé)制度，明確內(nèi)部審計(jì)責(zé)任追究、免責(zé)的認(rèn)定標(biāo)準(zhǔn)和程序。

第四十條 董事會應(yīng)對具有以下情節(jié)的內(nèi)部審計(jì)部門負(fù)責(zé)人和直接責(zé)任人追究責(zé)任：

（一）未執(zhí)行審計(jì)方案、程序和方法導(dǎo)致重大問題未能被發(fā)現(xiàn)。

（二）對審計(jì)發(fā)現(xiàn)問題隱瞞不報(bào)或者未如實(shí)反映。

（三）審計(jì)結(jié)論與事實(shí)嚴(yán)重不符。

（四）對審計(jì)發(fā)現(xiàn)問題查處整改工作跟蹤不力。

（五）未按要求執(zhí)行保密制度。

（六）其他有損銀行業(yè)金融機(jī)構(gòu)利益或聲譽(yù)的行為。

第四十一條 銀行業(yè)金融機(jī)構(gòu)經(jīng)檢查監(jiān)督和責(zé)任認(rèn)定，有充分證據(jù)表明內(nèi)部審計(jì)部門和審計(jì)人員按照有關(guān)法律、法規(guī)、規(guī)章和本指引以及銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)制度勤勉盡職地履行了職責(zé)，并及時報(bào)告了審查出的問題，在審計(jì)對象相關(guān)問題暴露時，可視情況免除或部分免除內(nèi)部審計(jì)部門和相關(guān)審計(jì)人員的責(zé)任。

第八章 附則

第四十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)本指引制定實(shí)施細(xì)則，并報(bào)中國銀監(jiān)會備案。

第四十三條 本指引由中國銀監(jiān)會負(fù)責(zé)解釋。第四十四條 本指引自二○○六年七月一日實(shí)施。