第一篇：商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場檢查指南

商業(yè)銀行信息科技風(fēng)險(xiǎn)

現(xiàn)場檢查指南

目 錄

第一部分 概述.............................................................................................................................12 1.指南說明...................................................................................................................................13 1.1 目的及適用范圍.............................................................................................................13 1.2 編寫原則.........................................................................................................................14 1.3 指南框架.........................................................................................................................15 第二部分 科技管理.....................................................................................................................17 2.信息科技治理...........................................................................................................................18 2.1 董事會(huì)及高級(jí)管理層.....................................................................................................18 檢查項(xiàng)1 ：董事會(huì)........................................................................................................18 檢查項(xiàng)2 ：信息科技管理委員會(huì)................................................................................19 檢查項(xiàng)3 ：首席信息官（CIO）..................................................................................20 2.2 信息科技部門.................................................................................................................21 檢查項(xiàng)1 ：信息科技部門............................................................................................21 檢查項(xiàng)2 ：信息科技戰(zhàn)略規(guī)劃....................................................................................23 2.3 信息科技風(fēng)險(xiǎn)管理部門.................................................................................................24 檢查項(xiàng)1 ：信息科技風(fēng)險(xiǎn)管理部門............................................................................24 2.4 信息科技風(fēng)險(xiǎn)審計(jì)部門.................................................................................................25 檢查項(xiàng)1 ：信息科技風(fēng)險(xiǎn)審計(jì)部門............................................................................25 2.5 知識(shí)產(chǎn)權(quán)保護(hù)和信息披露.............................................................................................26 檢查項(xiàng)1 ：知識(shí)產(chǎn)權(quán)保護(hù)............................................................................................26 檢查項(xiàng)2 ：信息披露....................................................................................................26 3.信息科技風(fēng)險(xiǎn)管理...................................................................................................................28 3.1 風(fēng)險(xiǎn)識(shí)別和評估.............................................................................................................28 檢查項(xiàng)1 ：風(fēng)險(xiǎn)管理策略............................................................................................28 檢查項(xiàng)2 ：風(fēng)險(xiǎn)識(shí)別與評估........................................................................................29 3.2 風(fēng)險(xiǎn)防范和檢測.............................................................................................................29 檢查項(xiàng)1 ：風(fēng)險(xiǎn)防范措施............................................................................................29 檢查項(xiàng)2 ：風(fēng)險(xiǎn)計(jì)量與檢測........................................................................................30 4.信息安全管理...........................................................................................................................32 4.1 安全管理機(jī)制與管理組織.............................................................................................32 檢查項(xiàng)1：信息分類和保護(hù)體系..................................................................................32 檢查項(xiàng)2：安全管理機(jī)制..............................................................................................33 檢查項(xiàng)3：信息安全策略..............................................................................................34 檢查項(xiàng)4：信息安全組織..............................................................................................34 4.2 安全管理制度.................................................................................................................35 檢查項(xiàng)1：規(guī)章制度......................................................................................................35 檢查項(xiàng)2：制度合規(guī)......................................................................................................36 2 檢查項(xiàng)3：制度執(zhí)行......................................................................................................37 4.3 人員管理.........................................................................................................................38 檢查項(xiàng)1：人員管理......................................................................................................38 4.4 安全評估報(bào)告.................................................................................................................39 檢查項(xiàng)1：安全評估報(bào)告..............................................................................................39 4.5 宣傳、教育和培訓(xùn).........................................................................................................39 檢查項(xiàng)1：宣傳、教育和培訓(xùn)......................................................................................39 5.系統(tǒng)開發(fā)、測試與維護(hù).............................................................................................................41 5.1開發(fā)管理..........................................................................................................................41 檢查項(xiàng)1：管理架構(gòu)......................................................................................................41 檢查項(xiàng)2：制度建設(shè)......................................................................................................43 檢查項(xiàng)3：項(xiàng)目控制體系..............................................................................................44 檢查項(xiàng)4：系統(tǒng)開發(fā)的操作風(fēng)險(xiǎn)..................................................................................45 檢查項(xiàng)5：數(shù)據(jù)繼承和遷移..........................................................................................46 5.2系統(tǒng)測試與上線..............................................................................................................47 檢查項(xiàng)1：系統(tǒng)測試......................................................................................................47 檢查項(xiàng)2：系統(tǒng)驗(yàn)收......................................................................................................49 檢查項(xiàng)3：投產(chǎn)上線......................................................................................................49 5.3系統(tǒng)下線..........................................................................................................................50 檢查項(xiàng)1：系統(tǒng)下線......................................................................................................50 6.系統(tǒng)運(yùn)行管理...........................................................................................................................52 6.1 日常管理.........................................................................................................................52 檢查項(xiàng)1：職責(zé)分離......................................................................................................52 檢查項(xiàng)2：值班制度......................................................................................................53 檢查項(xiàng)3：操作管理......................................................................................................53 檢查項(xiàng)4：人員管理......................................................................................................54 6.2 訪問控制策略.................................................................................................................55 檢查項(xiàng)1：物理訪問控制策略......................................................................................55 檢查項(xiàng)2：邏輯訪問控制策略......................................................................................56 檢查項(xiàng)3：賬號(hào)及權(quán)限管理..........................................................................................57 檢查項(xiàng)4：用戶責(zé)任及終端管理..................................................................................58 檢查項(xiàng)5：遠(yuǎn)程接入的控制..........................................................................................59 6.3 日志管理.........................................................................................................................60 檢查項(xiàng)1：審計(jì)日志檢查..............................................................................................60 檢查項(xiàng)2：日志信息的保護(hù)..........................................................................................60 檢查項(xiàng)3：操作日志的檢查..........................................................................................61 檢查項(xiàng)4：錯(cuò)誤日志的檢查..........................................................................................61 6.4系統(tǒng)監(jiān)控..........................................................................................................................62 檢查項(xiàng)1：基礎(chǔ)環(huán)境監(jiān)控..............................................................................................62 檢查項(xiàng)2：系統(tǒng)性能監(jiān)控..............................................................................................62 檢查項(xiàng)3：系統(tǒng)運(yùn)行監(jiān)控..............................................................................................63 檢查項(xiàng)4：測評體系......................................................................................................64 6.5 事件管理.........................................................................................................................65 3 檢查項(xiàng)1：事件報(bào)告流程..............................................................................................65 檢查項(xiàng)2：事件管理和改進(jìn)..........................................................................................66 檢查項(xiàng)3：服務(wù)臺(tái)管理..................................................................................................67 6.6問題管理..........................................................................................................................67 檢查項(xiàng)1：事件分析和問題生成..................................................................................68 檢查項(xiàng)2：臺(tái)賬管理......................................................................................................68 檢查項(xiàng)3：問題處臵......................................................................................................68 6.7 容量管理.........................................................................................................................69 檢查項(xiàng)1：容量規(guī)劃......................................................................................................69 檢查項(xiàng)2：容量監(jiān)測......................................................................................................70 檢查項(xiàng)3：容量變更......................................................................................................70 6.8 變更管理.........................................................................................................................71 檢查項(xiàng)1：變更的流程..................................................................................................72 檢查項(xiàng)2：變更的評估..................................................................................................72 檢查項(xiàng)3：變更的授權(quán)..................................................................................................73 檢查項(xiàng)4：變更的執(zhí)行..................................................................................................73 檢查項(xiàng)5：緊急變更......................................................................................................74 檢查項(xiàng)6：重大變更......................................................................................................74 7.業(yè)務(wù)連續(xù)性管理.......................................................................................................................76 7.1 業(yè)務(wù)連續(xù)性管理組織.....................................................................................................77 檢查項(xiàng)1：董事會(huì)及高管層的職責(zé)..............................................................................77 檢查項(xiàng)2：業(yè)務(wù)連續(xù)性管理組織的建立......................................................................78 檢查項(xiàng)3：業(yè)務(wù)連續(xù)性管理組織職責(zé)..........................................................................79 7.2 IT服務(wù)連續(xù)性管理........................................................................................................80 檢查項(xiàng)1：IT服務(wù)連續(xù)性計(jì)劃的組織保障.................................................................80 檢查項(xiàng)2：風(fēng)險(xiǎn)評估及業(yè)務(wù)影響分析..........................................................................81 檢查項(xiàng)3：IT服務(wù)連續(xù)性計(jì)劃的制定.........................................................................81 檢查項(xiàng)4：IT服務(wù)連續(xù)性計(jì)劃的測試與維護(hù).............................................................82 檢查項(xiàng)5：IT服務(wù)連續(xù)性計(jì)劃審計(jì).............................................................................83 檢查項(xiàng)6：IT服務(wù)連續(xù)性相關(guān)領(lǐng)域的控制.................................................................84 8.應(yīng)急管理...................................................................................................................................85 8.1 應(yīng)急組織.........................................................................................................................85 檢查項(xiàng)1：應(yīng)急管理團(tuán)隊(duì)..............................................................................................85 檢查項(xiàng)2：應(yīng)急管理職責(zé)..............................................................................................86 檢查項(xiàng)3：應(yīng)急管理制度..............................................................................................86 8.2 應(yīng)急預(yù)案.........................................................................................................................87 檢查項(xiàng)1：應(yīng)急預(yù)案制訂..............................................................................................87 檢查項(xiàng)2：應(yīng)急預(yù)案內(nèi)容..............................................................................................87 檢查項(xiàng)3：應(yīng)急預(yù)案更新..............................................................................................89 檢查項(xiàng)4：外包服務(wù)應(yīng)急..............................................................................................89 檢查項(xiàng)5：應(yīng)急預(yù)案培訓(xùn)..............................................................................................90 8.3 應(yīng)急保障.........................................................................................................................90 檢查項(xiàng)1：人員保障......................................................................................................90 4 檢查項(xiàng)2：物質(zhì)保障......................................................................................................90 檢查項(xiàng)3：技術(shù)保障......................................................................................................91 檢查項(xiàng)4：溝通保障......................................................................................................91 8.4 應(yīng)急演練.........................................................................................................................92 檢查項(xiàng)1：應(yīng)急演練的計(jì)劃..........................................................................................92 檢查項(xiàng)2：應(yīng)急演練的實(shí)施..........................................................................................92 檢查項(xiàng)3：應(yīng)急演練的總結(jié)..........................................................................................93 8.5 應(yīng)急響應(yīng).........................................................................................................................93 檢查項(xiàng)1：應(yīng)急響應(yīng)流程..............................................................................................93 檢查項(xiàng)2：全程記錄處臵過程......................................................................................94 檢查項(xiàng)3：應(yīng)急事件報(bào)告..............................................................................................95 檢查項(xiàng)4：與第三方溝通..............................................................................................95 檢查項(xiàng)5：向新聞媒體通報(bào)制度..................................................................................96 檢查項(xiàng)6：應(yīng)急處臵總結(jié)..............................................................................................96 8.6 持續(xù)改進(jìn).........................................................................................................................97 檢查項(xiàng)1：應(yīng)急事件評估..............................................................................................97 檢查項(xiàng)2：應(yīng)急響應(yīng)評估..............................................................................................97 檢查項(xiàng)3：應(yīng)急管理改進(jìn)..............................................................................................97 9.災(zāi)難恢復(fù)管理...........................................................................................................................99 9.1 災(zāi)難恢復(fù)組織架構(gòu).........................................................................................................99 檢查項(xiàng)1：災(zāi)難恢復(fù)相關(guān)組織架構(gòu)..............................................................................99 9.2 災(zāi)難恢復(fù)策略...............................................................................................................101 檢查項(xiàng)1：總體控制....................................................................................................101 檢查項(xiàng)2：災(zāi)難恢復(fù)策略............................................................................................101 檢查項(xiàng)3：災(zāi)難備份策略............................................................................................103 檢查項(xiàng)4：外包風(fēng)險(xiǎn)....................................................................................................104 9.3 災(zāi)難恢復(fù)預(yù)案...............................................................................................................105 檢查項(xiàng)1：災(zāi)難恢復(fù)預(yù)案............................................................................................105 檢查項(xiàng)2：聯(lián)絡(luò)與通訊................................................................................................106 檢查項(xiàng)3：教育、培訓(xùn)和演練....................................................................................107 9.4評估和維護(hù)更新............................................................................................................107 檢查項(xiàng)1：災(zāi)備策略的評估和維護(hù)更新....................................................................107 檢查項(xiàng)2：災(zāi)難恢復(fù)預(yù)案的評估和維護(hù)更新............................................................108 10.數(shù)據(jù)管理...............................................................................................................................109 10.1 數(shù)據(jù)管理制度和崗位.................................................................................................109 檢查項(xiàng)1: 數(shù)據(jù)管理制度............................................................................................109 檢查項(xiàng)2 ：數(shù)據(jù)管理崗位..........................................................................................110 10.2 數(shù)據(jù)備份、恢復(fù)策略.................................................................................................110 檢查項(xiàng)1：數(shù)據(jù)備份、轉(zhuǎn)儲(chǔ)策略................................................................................110 檢查項(xiàng)2：數(shù)據(jù)恢復(fù)、抽檢策略................................................................................111 10.3數(shù)據(jù)存儲(chǔ)介質(zhì)管理......................................................................................................112 檢查項(xiàng)1：介質(zhì)管理....................................................................................................112 檢查項(xiàng)2：介質(zhì)的清理和銷毀....................................................................................113 5 11.外包管理...............................................................................................................................114 11.1外包管理制度..............................................................................................................114 檢查項(xiàng)1：外包管理制度............................................................................................114 檢查項(xiàng)2：外包審批流程............................................................................................114 檢查項(xiàng)3：外包協(xié)議....................................................................................................115 檢查項(xiàng)4：服務(wù)水平協(xié)議............................................................................................115 檢查項(xiàng)5：外包安全保密措施....................................................................................116 檢查項(xiàng)6：外包文檔管理............................................................................................116 11.2外包評估和監(jiān)督..........................................................................................................117 檢查項(xiàng)1：外包服務(wù)商的評估....................................................................................117 檢查項(xiàng)2：外包項(xiàng)目的監(jiān)督管理................................................................................117 12.內(nèi)部審計(jì)...............................................................................................................................119 12.1 內(nèi)部審計(jì)管理.............................................................................................................119 檢查項(xiàng)1：內(nèi)部審計(jì)部門、崗位、人員和職責(zé)........................................................119 檢查項(xiàng)2：內(nèi)部審計(jì)制度和辦法................................................................................119 12.2 內(nèi)部審計(jì)要求.............................................................................................................120 檢查項(xiàng)1：內(nèi)部審計(jì)范圍和頻率................................................................................120 檢查項(xiàng)2：內(nèi)部審計(jì)結(jié)果的有效性............................................................................120 13.外部審計(jì)...............................................................................................................................122 13.1 外部審計(jì)資質(zhì).............................................................................................................122 檢查項(xiàng)1：外部審計(jì)機(jī)構(gòu)的資質(zhì)................................................................................122 13.2 外部審計(jì)要求.............................................................................................................122 檢查項(xiàng)1：商業(yè)銀行配合外部審計(jì)情況....................................................................122 檢查項(xiàng)2：外部審計(jì)有效性........................................................................................123 檢查項(xiàng)3：外審過程中的保密要求............................................................................123 第三部分 基礎(chǔ)設(shè)施...................................................................................................................125 14.計(jì)算機(jī)機(jī)房...........................................................................................................................126 14.1計(jì)算機(jī)機(jī)房建設(shè)..........................................................................................................126 檢查項(xiàng)1：計(jì)算機(jī)機(jī)房選址........................................................................................126 檢查項(xiàng)2：機(jī)房功能分區(qū)............................................................................................127 檢查項(xiàng)3：計(jì)算機(jī)機(jī)房基礎(chǔ)設(shè)施建設(shè)........................................................................127 檢查項(xiàng)4：計(jì)算機(jī)機(jī)房的環(huán)境要求............................................................................130 檢查項(xiàng)5：計(jì)算機(jī)機(jī)房日常維護(hù)................................................................................131 14.2計(jì)算機(jī)機(jī)房管理..........................................................................................................132 檢查項(xiàng)1：計(jì)算機(jī)機(jī)房安全管理................................................................................132 檢查項(xiàng)2：計(jì)算機(jī)機(jī)房集中監(jiān)控系統(tǒng)........................................................................133 檢查項(xiàng)3：計(jì)算機(jī)機(jī)房安全區(qū)域訪問控制................................................................134 檢查項(xiàng)4：計(jì)算機(jī)機(jī)房運(yùn)行管理................................................................................135 14.3機(jī)房設(shè)備管理..............................................................................................................136 檢查項(xiàng)1：機(jī)房設(shè)備的環(huán)境安全................................................................................136 15.網(wǎng)絡(luò)通訊...............................................................................................................................137 15.1 內(nèi)控管理.....................................................................................................................137 檢查項(xiàng)1：內(nèi)控制度....................................................................................................137 6 檢查項(xiàng)2：人員管理....................................................................................................138 檢查項(xiàng)3：訪問控制....................................................................................................138 檢查項(xiàng)4：日志管理....................................................................................................139 檢查項(xiàng)5：第三方管理................................................................................................140 檢查項(xiàng)6：服務(wù)外包....................................................................................................141 檢查項(xiàng)7：文檔管理....................................................................................................141 檢查項(xiàng)8：風(fēng)險(xiǎn)評估....................................................................................................142 15.2 網(wǎng)絡(luò)運(yùn)行維護(hù).............................................................................................................143 檢查項(xiàng)1：運(yùn)行監(jiān)控....................................................................................................143 檢查項(xiàng)2：性能監(jiān)控....................................................................................................143 檢查項(xiàng)3：流量監(jiān)控....................................................................................................144 檢查項(xiàng)4：監(jiān)控預(yù)警....................................................................................................144 檢查項(xiàng)5：性能調(diào)優(yōu)....................................................................................................144 檢查項(xiàng)6：事件管理....................................................................................................145 檢查項(xiàng)7：運(yùn)行檢查....................................................................................................145 15.3 網(wǎng)絡(luò)變更管理.............................................................................................................146 檢查項(xiàng)1：變更發(fā)起....................................................................................................146 檢查項(xiàng)2：變更計(jì)劃....................................................................................................147 檢查項(xiàng)3：變更測試....................................................................................................147 檢查項(xiàng)4：變更審批....................................................................................................147 檢查項(xiàng)5：變更實(shí)施....................................................................................................148 15.4 網(wǎng)絡(luò)服務(wù)可用性.........................................................................................................149 檢查項(xiàng)1：容量管理....................................................................................................149 檢查項(xiàng)2：冗余管理....................................................................................................149 檢查項(xiàng)3：帶外管理....................................................................................................150 檢查項(xiàng)4：壓力測試....................................................................................................151 檢查項(xiàng)5：應(yīng)急管理....................................................................................................151 15.5 網(wǎng)絡(luò)安全技術(shù).............................................................................................................151 檢查項(xiàng)1：結(jié)構(gòu)安全....................................................................................................151 檢查項(xiàng)2：物理安全....................................................................................................153 檢查項(xiàng)3：傳輸安全....................................................................................................153 檢查項(xiàng)4：訪問控制....................................................................................................154 檢查項(xiàng)5：接入安全....................................................................................................155 檢查項(xiàng)6：網(wǎng)絡(luò)邊界安全............................................................................................156 檢查項(xiàng)7：入侵檢測防范............................................................................................157 檢查項(xiàng)8：惡意代碼防范............................................................................................158 檢查項(xiàng)9：網(wǎng)絡(luò)設(shè)備防護(hù)............................................................................................158 檢查項(xiàng)10：網(wǎng)絡(luò)安全測試..........................................................................................160 檢查項(xiàng)11：安全審計(jì)日志..........................................................................................161 檢查項(xiàng)12：安全檢查..................................................................................................162 16.操作系統(tǒng)...............................................................................................................................163 16.1賬號(hào)及密碼管理..........................................................................................................163 檢查項(xiàng)1：管理制度....................................................................................................163 7 檢查項(xiàng)2：賬號(hào)、密碼管理........................................................................................163 檢查項(xiàng)3：賬號(hào)、密碼管理檢查................................................................................165 16.2系統(tǒng)訪問控制..............................................................................................................165 檢查項(xiàng)1：訪問控制策略............................................................................................165 檢查項(xiàng)2：用戶登錄行為管理....................................................................................166 檢查項(xiàng)3：登錄失敗日志管理....................................................................................166 檢查項(xiàng)4：最小化訪問................................................................................................167 16.3遠(yuǎn)程接入管理..............................................................................................................168 檢查項(xiàng)1：遠(yuǎn)程管理制度............................................................................................168 檢查項(xiàng)2：遠(yuǎn)程維護(hù)管理............................................................................................169 檢查項(xiàng)3：遠(yuǎn)程維護(hù)審查............................................................................................169 16.4日常維護(hù).......................................................................................................................170 檢查項(xiàng)1：系統(tǒng)性能監(jiān)控............................................................................................170 檢查項(xiàng)2：補(bǔ)丁及漏洞管理........................................................................................170 檢查項(xiàng)3：日常維護(hù)管理............................................................................................171 檢查項(xiàng)4：系統(tǒng)備份和故障恢復(fù)................................................................................172 檢查項(xiàng)5：病毒及惡意代碼管理................................................................................172 檢查項(xiàng)6：定時(shí)進(jìn)程設(shè)臵管理....................................................................................173 檢查項(xiàng)7：系統(tǒng)審計(jì)功能............................................................................................173 17.數(shù)據(jù)庫管理系統(tǒng)...................................................................................................................175 17.1訪問控制.......................................................................................................................175 檢查項(xiàng)1：身份認(rèn)證....................................................................................................175 檢查項(xiàng)2：授權(quán)控制....................................................................................................176 檢查項(xiàng)3：遠(yuǎn)程訪問....................................................................................................177 檢查項(xiàng)4：安全參數(shù)設(shè)臵............................................................................................178 17.2日常管理.......................................................................................................................178 檢查項(xiàng)1：數(shù)據(jù)安全....................................................................................................178 檢查項(xiàng)2：審計(jì)功能....................................................................................................179 檢查項(xiàng)3：性能管理....................................................................................................180 檢查項(xiàng)4：補(bǔ)丁升級(jí)....................................................................................................181 17.3連續(xù)性管理...................................................................................................................181 檢查項(xiàng)1：備份和恢復(fù)................................................................................................181 檢查項(xiàng)2：連續(xù)性和應(yīng)急管理....................................................................................182 18.第三方中間件.......................................................................................................................184 18.1 產(chǎn)品管理.....................................................................................................................184 檢查項(xiàng)1：中間件測試................................................................................................184 檢查項(xiàng)2：中間件管理................................................................................................184 檢查項(xiàng)3：中間件與業(yè)務(wù)系統(tǒng)架構(gòu)............................................................................185 18.2 運(yùn)行管理.....................................................................................................................185 檢查項(xiàng)1：維護(hù)流程和操作手冊................................................................................185 檢查項(xiàng)2：中間件配臵管理........................................................................................185 檢查項(xiàng)3：中間件日志管理的程序............................................................................186 檢查項(xiàng)4：中間件的性能監(jiān)控....................................................................................186 8 檢查項(xiàng)5：中間件產(chǎn)生的事件和問題管理................................................................187 檢查項(xiàng)6：中間件的變更............................................................................................187 檢查項(xiàng)7：單點(diǎn)故障問題和負(fù)載均衡........................................................................187 檢查項(xiàng)8：壓力測試....................................................................................................188 第四部分 應(yīng)用系統(tǒng)...................................................................................................................189 19.應(yīng)用系統(tǒng)...............................................................................................................................190 19.1 應(yīng)用系統(tǒng)管理.............................................................................................................190 檢查項(xiàng)1：業(yè)務(wù)管理辦法與操作流程........................................................................190 檢查項(xiàng)2：重要應(yīng)用系統(tǒng)評估....................................................................................190 檢查項(xiàng)3：應(yīng)用系統(tǒng)版本管理....................................................................................191 檢查項(xiàng)4：應(yīng)用系統(tǒng)培訓(xùn)教育....................................................................................192 19.2 應(yīng)用系統(tǒng)操作.............................................................................................................192 檢查項(xiàng)1：終端用戶管理............................................................................................192 檢查項(xiàng)2：訪問控制與授權(quán)管理................................................................................193 檢查項(xiàng)3：數(shù)據(jù)保密處理............................................................................................194 檢查項(xiàng)4：數(shù)據(jù)完整性處理........................................................................................195 檢查項(xiàng)5：數(shù)據(jù)準(zhǔn)確性處理........................................................................................195 檢查項(xiàng)6：日志管理機(jī)制............................................................................................196 檢查項(xiàng)7：備份、恢復(fù)機(jī)制........................................................................................197 檢查項(xiàng)8：文檔資料管理............................................................................................198 檢查項(xiàng)9：內(nèi)部審計(jì)的參與........................................................................................199 20.電子銀行...............................................................................................................................200 20.1 電子銀行業(yè)務(wù)合規(guī)性.................................................................................................200 檢查項(xiàng)1：電子銀行業(yè)務(wù)合規(guī)性................................................................................200 20.2 電子銀行風(fēng)險(xiǎn)管理體系.............................................................................................201 檢查項(xiàng)1：電子銀行風(fēng)險(xiǎn)管理體系............................................................................201 20.3 電子銀行安全管理.....................................................................................................202 檢查項(xiàng)1：電子銀行安全策略管理............................................................................202 檢查項(xiàng)2：電子銀行安全措施....................................................................................203 檢查項(xiàng)3：電子銀行安全監(jiān)控....................................................................................204 檢查項(xiàng)4：電子銀行安全評估....................................................................................204 20.4 電子銀行可用性管理.................................................................................................205 檢查項(xiàng)1：電子銀行基礎(chǔ)設(shè)施....................................................................................205 檢查項(xiàng)2：電子銀行性能監(jiān)測和評估........................................................................205 20.5 電子銀行應(yīng)急管理.....................................................................................................206 檢查項(xiàng)1： 電子銀行應(yīng)急預(yù)案..................................................................................206 檢查項(xiàng)2：電子銀行應(yīng)急演練....................................................................................207 21.銀行卡系統(tǒng)...........................................................................................................................208 21.1 銀行卡系統(tǒng)管理.........................................................................................................208 檢查項(xiàng)1：銀行卡系統(tǒng)容量的合理規(guī)劃....................................................................208 檢查項(xiàng)2：銀行卡系統(tǒng)物理設(shè)備風(fēng)險(xiǎn)和故障處理....................................................209 檢查項(xiàng)3：銀行卡交易監(jiān)控........................................................................................209 檢查項(xiàng)4：賬戶密碼和交易數(shù)據(jù)的存儲(chǔ)和傳輸........................................................210 9 檢查項(xiàng)5：銀行卡系統(tǒng)應(yīng)急預(yù)案................................................................................211 21.2 終端設(shè)備.....................................................................................................................212 檢查項(xiàng)1：自助銀行機(jī)具和安裝環(huán)境的物理安全....................................................212 檢查項(xiàng)2：自助銀行機(jī)具的通信安全........................................................................212 檢查項(xiàng)3：自助銀行機(jī)具的安全裝臵........................................................................213 檢查項(xiàng)4：自助銀行業(yè)務(wù)操作流程（機(jī)具軟件）....................................................213 檢查項(xiàng)5：自助銀行機(jī)具的巡查維護(hù)........................................................................214 檢查項(xiàng)6：POS機(jī).........................................................................................................214 21.3 自助銀行監(jiān)控.............................................................................................................215 檢查項(xiàng)1：自助銀行設(shè)備日常運(yùn)行的監(jiān)控情況........................................................215 檢查項(xiàng)2：監(jiān)控中心和監(jiān)控設(shè)備................................................................................215 檢查項(xiàng)3：自助銀行監(jiān)控發(fā)現(xiàn)問題的處臵情況........................................................216 檢查項(xiàng)4：自助銀行設(shè)施安全評估（信息科技方面）............................................216 22.第三方存管系統(tǒng)...................................................................................................................217 22.1 管理架構(gòu)和職責(zé).........................................................................................................217 檢查項(xiàng)1：管理架構(gòu)與崗位職責(zé)分工........................................................................217 22.2 系統(tǒng)功能.....................................................................................................................217 檢查項(xiàng)1：系統(tǒng)功能....................................................................................................217 22.3 系統(tǒng)一般安全與賬戶處理.........................................................................................218 檢查項(xiàng)1：賬戶沖正處理............................................................................................218 檢查項(xiàng)2：網(wǎng)絡(luò)訪問控制與病毒防范........................................................................218 22.4 數(shù)據(jù)交換.....................................................................................................................219 檢查項(xiàng)1：數(shù)據(jù)交換安全性........................................................................................219 22.5 運(yùn)行維護(hù).....................................................................................................................220 檢查項(xiàng)1：運(yùn)行維護(hù)安全性........................................................................................220 22.6 系統(tǒng)備份.....................................................................................................................220 檢查項(xiàng)1：系統(tǒng)備份安全性........................................................................................220 22.7 應(yīng)急恢復(fù)與事故處理.................................................................................................221 檢查項(xiàng)1：應(yīng)急恢復(fù)與事故處理流程........................................................................221 22.8 系統(tǒng)測試.....................................................................................................................221 檢查項(xiàng)1：系統(tǒng)測試....................................................................................................221 22.9 臨時(shí)派出柜臺(tái).............................................................................................................222 檢查項(xiàng)1：系統(tǒng)派出柜臺(tái)安全性................................................................................222 附錄...............................................................................................................................................223 23.常用檢查方法.......................................................................................................................224 23.1 問卷與函證.................................................................................................................224 23.2 訪談.............................................................................................................................225 23.3 查閱.............................................................................................................................226 23.4 觀察.............................................................................................................................227 23.5 測試.............................................................................................................................227 26.6 分析性復(fù)核.................................................................................................................230 26.7 評審.............................................................................................................................231 24.主要網(wǎng)絡(luò)設(shè)備常用操作.......................................................................................................232 10 24.1 Cisco設(shè)備常用操作..................................................................................................232 交換機(jī)...........................................................................................................................232 路由器...........................................................................................................................233 防火墻...........................................................................................................................234 24.2 H3C設(shè)備常用操作......................................................................................................234 交換機(jī)...........................................................................................................................234 路由器...........................................................................................................................236 防火墻...........................................................................................................................237 25.主要操作系統(tǒng)常用操作.......................................................................................................238 25.1 AIX系統(tǒng)檢查常用操作..............................................................................................238 25.2 HP/UX系統(tǒng)檢查常用操作..........................................................................................246 25.3 Solaris系統(tǒng)檢查常用操作......................................................................................250 25.4 Windows系統(tǒng)檢查常用操作......................................................................................251 26.主要數(shù)據(jù)庫管理系統(tǒng)常用操作...........................................................................................256 26.1 DB2 系統(tǒng)檢查常用操作.............................................................................................256 26.2 Sybase 系統(tǒng)檢查常用操作.......................................................................................257 26.3 Oracle 系統(tǒng)檢查常用操作.......................................................................................257 26.4 Informix 系統(tǒng)檢查常用操作...................................................................................259 26.5 SQL SERVER系統(tǒng)檢查常用操作................................................................................261

第一部分 概述

1.指南說明

1.1 目的及適用范圍

信息科技與銀行業(yè)務(wù)高度融合，已成為銀行業(yè)金融機(jī)構(gòu)提高運(yùn)營效率、實(shí)現(xiàn)經(jīng)營戰(zhàn)略和加快金融創(chuàng)新的重要手段。與此同時(shí)，銀行業(yè)對信息科技的高度依賴，使得信息科技風(fēng)險(xiǎn)成為影響銀行業(yè)穩(wěn)健運(yùn)行的主要隱患之一。銀監(jiān)會(huì)按照科學(xué)發(fā)展觀要求，與時(shí)俱進(jìn)，大力加強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管，充分利用現(xiàn)場檢查這一監(jiān)管手段，深入檢查銀行機(jī)構(gòu)在信息科技治理、風(fēng)險(xiǎn)管理、信息安全、業(yè)務(wù)連續(xù)性、電子銀行等領(lǐng)域的科技風(fēng)險(xiǎn)及管理情況，發(fā)現(xiàn)問題、排查隱患，督促銀行及時(shí)整改。商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場檢查工作，既是銀監(jiān)會(huì)深入掌握銀行信息化建設(shè)、科技管理整體情況的有效方法，也是對銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況進(jìn)行準(zhǔn)確分析和評價(jià)的重要手段，對及時(shí)預(yù)警風(fēng)險(xiǎn)，提高銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管控能力和水平，保護(hù)存款人和公眾利益，維護(hù)金融體系安全和穩(wěn)定有著重要的意義。

為提高信息科技風(fēng)險(xiǎn)現(xiàn)場檢查質(zhì)量，規(guī)范檢查行為，銀監(jiān)會(huì)在“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”監(jiān)管理念指導(dǎo)下，全面總結(jié)信息科技現(xiàn)場檢查經(jīng)驗(yàn)，充分借鑒國外監(jiān)管機(jī)構(gòu)的檢查規(guī)范和最佳實(shí)踐，編寫了《商業(yè)銀行信息科技風(fēng)險(xiǎn)現(xiàn)場檢查指南》（以下簡稱《指南》）?！吨改稀肪幹频闹饕康脑谟冢阂皇敲鞔_了商業(yè)銀行目前主要的信息科技風(fēng)險(xiǎn)領(lǐng)域、主要風(fēng)險(xiǎn)點(diǎn)，闡明了檢查思路和主要方法，幫 13 助檢查人員明確檢查目標(biāo)，從而提高信息科技風(fēng)險(xiǎn)現(xiàn)場檢查的有效性和針對性，提升現(xiàn)場檢查質(zhì)量，為銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)開展信息科技風(fēng)險(xiǎn)現(xiàn)場檢查提供全面和有針對性的指導(dǎo)。二是提供了評價(jià)銀行信息科技風(fēng)險(xiǎn)管理各領(lǐng)域狀況的參考標(biāo)準(zhǔn)，并提出了具體的檢查要求和步驟，進(jìn)一步規(guī)范了信息科技風(fēng)險(xiǎn)現(xiàn)場檢查的程序、手段和行為，是銀監(jiān)會(huì)及各級(jí)派出機(jī)構(gòu)實(shí)施現(xiàn)場檢查工作的一個(gè)重要參考依據(jù)和檢查指導(dǎo)工具。三是指明了商業(yè)銀行信息科技風(fēng)險(xiǎn)防控的重點(diǎn)領(lǐng)域、方向和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，提出了風(fēng)險(xiǎn)識(shí)別、預(yù)警和控制的具體手段，商業(yè)銀行可以充分借鑒《指南》內(nèi)的信息科技風(fēng)險(xiǎn)防控原則和指導(dǎo)思想，應(yīng)用到銀行信息科技建設(shè)和管理實(shí)踐中，成為指導(dǎo)銀行全面開展科技風(fēng)險(xiǎn)防控、提升管理能力的有力武器。

《指南》主要適用于在中華人民共和國境內(nèi)依法設(shè)立的國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行的信息科技風(fēng)險(xiǎn)現(xiàn)場檢查。政策性銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社的信息科技風(fēng)險(xiǎn)現(xiàn)場檢查，應(yīng)考慮區(qū)域經(jīng)濟(jì)水平、機(jī)構(gòu)規(guī)模與公司治理結(jié)構(gòu)差異，按照本指南的風(fēng)險(xiǎn)防控原則，結(jié)合實(shí)際情況進(jìn)行檢查。村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)現(xiàn)場檢查可參考本《指南》。

1.2 編寫原則

一、突出風(fēng)險(xiǎn)為本的監(jiān)管理念。《指南》堅(jiān)持法人監(jiān)管、風(fēng)險(xiǎn)為 本的監(jiān)管理念，緊扣信息科技風(fēng)險(xiǎn)這一中心，詳細(xì)說明了商業(yè)銀行信息科技風(fēng)險(xiǎn)管理中的300多個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，明確提出了具體的控制要求和檢查方法、步驟，涵蓋了商業(yè)銀行信息科技風(fēng)險(xiǎn)管控的各個(gè)方面和環(huán)節(jié)。

二、堅(jiān)持分類監(jiān)管的原則?！吨改稀穮⒄障嚓P(guān)行業(yè)標(biāo)準(zhǔn)和規(guī)范，指出了商業(yè)銀行信息科技風(fēng)險(xiǎn)控制所應(yīng)達(dá)到的標(biāo)準(zhǔn)，同時(shí)兼顧不同類型銀行機(jī)構(gòu)的特點(diǎn)體現(xiàn)分類監(jiān)管原則，針對不同的被檢查主體，在檢查目標(biāo)上有所區(qū)別和側(cè)重，以便于監(jiān)管人員正確把握檢查標(biāo)準(zhǔn)和尺度，對商業(yè)銀行的指導(dǎo)更具有針對性。

三、體現(xiàn)監(jiān)管引領(lǐng)作用。《指南》借鑒了國際銀行業(yè)信息科技風(fēng)險(xiǎn)管理和監(jiān)管的最新理念，也充分吸收了國內(nèi)先進(jìn)銀行的成功經(jīng)驗(yàn)，商業(yè)銀行可以對照《指南》分析差距，將《指南》要求作為持續(xù)提高信息科技風(fēng)險(xiǎn)管控水平的目標(biāo)。

1.3 指南框架

《指南》強(qiáng)調(diào)：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理應(yīng)以科技治理為核心，通過完善科技治理架構(gòu)，形成有效內(nèi)控機(jī)制，將信息科技風(fēng)險(xiǎn)管控理念貫穿于系統(tǒng)開發(fā)、測試和運(yùn)營維護(hù)的信息系統(tǒng)生命周期管理全過程。

《指南》包含4個(gè)部分和附錄，共26章節(jié)。第一部分“概述”主要介紹了編制《指南》的目的和適應(yīng)范圍、闡述了《指南》的編寫原則等內(nèi)容。第二部分“科技管理”包含12個(gè)章節(jié)，提出了對商業(yè) 銀行信息科技治理、信息科技風(fēng)險(xiǎn)管理、信息安全管理、信息系統(tǒng)生命周期管理、信息系統(tǒng)運(yùn)行管理、業(yè)務(wù)連續(xù)性管理、應(yīng)急管理、災(zāi)難備份管理、數(shù)據(jù)管理、外包管理、內(nèi)部審計(jì)、外部審計(jì)的基本要求、檢查內(nèi)容和檢查方法、步驟等。第三部分“基礎(chǔ)設(shè)施”包含5個(gè)章節(jié)，提出了對商業(yè)銀行計(jì)算機(jī)房、網(wǎng)絡(luò)通訊、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、第三方中間件等基礎(chǔ)設(shè)施的基本要求、檢查內(nèi)容和檢查方法、步驟等。第四部分“應(yīng)用系統(tǒng)”包含4個(gè)章節(jié)，提出了對商業(yè)銀行核心業(yè)務(wù)系統(tǒng)、電子銀行系統(tǒng)、銀行卡系統(tǒng)、第三方存管系統(tǒng)的基本要求、檢查內(nèi)容和檢查方法、步驟等。

附錄包含4個(gè)章節(jié)，收錄了常用檢查方法和常用操作命令，常用操作命令包括主要網(wǎng)絡(luò)設(shè)備常用操作命令、主要操作系統(tǒng)常用操作命令、主要數(shù)據(jù)庫管理系統(tǒng)常用操作命令等。

第二部分 科技管理

2.信息科技治理

商業(yè)銀行的董事會(huì)和高級(jí)管理層應(yīng)根據(jù)本銀行的發(fā)展戰(zhàn)略，運(yùn)用先進(jìn)管理理念加強(qiáng)信息科技治理，提高信息技術(shù)使用效益，推動(dòng)商業(yè)銀行的業(yè)務(wù)創(chuàng)新，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

提示：在對商業(yè)銀行的信息科技治理情況進(jìn)行檢查和評價(jià)時(shí)，可根據(jù)銀行機(jī)構(gòu)的實(shí)際情況，按照分類監(jiān)管、循序漸進(jìn)的原則，合理把握標(biāo)準(zhǔn)與尺度。如，有的銀行機(jī)構(gòu)還不具備建立專門信息科技管理委員會(huì)的條件時(shí)，可以指定其他委員會(huì)暫時(shí)代行其職責(zé)，也可以由一個(gè)專門的管理協(xié)調(diào)小組或由一個(gè)已存在的機(jī)構(gòu)（例如董事會(huì)）承擔(dān)其職責(zé)。又如：在監(jiān)管部門沒有對商業(yè)銀行首席信息官制度作出更加明確的規(guī)定或銀行機(jī)構(gòu)還不具備設(shè)立首席信息官的條件時(shí)，可以指定一位具有科技從業(yè)背景或工作經(jīng)驗(yàn)的高管人員承擔(dān)首席信息官的工作職責(zé)。

2.1 董事會(huì)及高級(jí)管理層

檢查項(xiàng)1 ：董事會(huì)

基本要求：（1）董事會(huì)應(yīng)對銀行的信息科技治理負(fù)有最終責(zé)任。(2)董事會(huì)應(yīng)及時(shí)聽取信息科技管理委員會(huì)和首席信息官的匯報(bào),了解主要的信息科技風(fēng)險(xiǎn)。(3)信息科技重大事項(xiàng)的決策應(yīng)經(jīng)過董事會(huì)審議。

檢查方法、步驟：(1)訪談董事會(huì)成員/董事會(huì)秘書,了解:(a)董事會(huì)在銀行信息科技管理領(lǐng)域的角色和職責(zé);(b)董事會(huì)是否了解本行所面臨的主要信息科技風(fēng)險(xiǎn);(c)董事會(huì)對信息科技重大事項(xiàng)和決策職責(zé)的界定,以及董事會(huì)信息科技重大決策的流程;(d)經(jīng)過董事會(huì)討論和決議的信息科技重大事項(xiàng)的落實(shí)情況;(e)董事會(huì)如何對信息科技的建設(shè)和管理情況進(jìn)行監(jiān)督。(2)查閱相關(guān)資料,如董事會(huì)章程,董事會(huì)會(huì)議紀(jì)要,對重大信息科技事項(xiàng)的審批決議的記錄等,對上述信息進(jìn)行驗(yàn)證。

檢查項(xiàng)2 ：信息科技管理委員會(huì)

基本要求：（1）銀行應(yīng)建立信息科技管理委員會(huì),該委員會(huì)成員應(yīng)包括銀行高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表。(2)信息科技管理委員會(huì)的職責(zé)應(yīng)包括:(a)設(shè)定全行IT戰(zhàn)略目標(biāo)，指導(dǎo)IT方面的資金投入，對IT規(guī)劃進(jìn)行審批；(b)合理運(yùn)用現(xiàn)有資源，指導(dǎo)信息科技部門提供高質(zhì)量的IT服務(wù)，同時(shí)要監(jiān)督IT成本管理情況；(c)通過調(diào)整IT項(xiàng)目和活動(dòng)的優(yōu)先級(jí)解決資源短缺造成的沖突；(d)確保IT戰(zhàn)略的及時(shí)更新；(e)對主要的IT政策、標(biāo)準(zhǔn)、原則進(jìn)行審批；(f)對重要的IT項(xiàng)目和活動(dòng)進(jìn)行監(jiān)控；(g)監(jiān)督和管理IT績效，確保達(dá)到預(yù)期IT服務(wù)水平；(h)對重大IT項(xiàng)目進(jìn)行審批。（3）定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行情況、信息科技預(yù)算和實(shí)際支出情況、信息科技的整體管理狀況, 面臨的主要風(fēng)險(xiǎn)及其應(yīng)對措施等。檢查方法、步驟：（1）訪談信息科技管理委員會(huì)成員,了解信息科技管理委員會(huì)的主要職責(zé)和開展的主要工作。如(a)是否確保信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性;(b)信息科技管理委員會(huì)是否了解本行主要的信息科技風(fēng)險(xiǎn)并制定了應(yīng)對措施;(c)重大信息科技項(xiàng)目投資的審批情況;(e)預(yù)算和執(zhí)行情況;(f)IT績效等。(2)調(diào)閱信息科技管理委員會(huì)相關(guān)文件,如信息科技管理委員會(huì)章程/政策,會(huì)議紀(jì)要,對重大事項(xiàng)的討論和審批記錄等,對訪談了解到的信息進(jìn)行驗(yàn)證。(3）查閱信息科技管理委員會(huì)向董事會(huì)和高級(jí)管理層的匯報(bào)材料和相關(guān)會(huì)議記錄,了解其向董事會(huì)和高級(jí)管理層匯報(bào)工作的情況。

檢查項(xiàng)3 ：首席信息官（CIO）

基本要求：（1）商業(yè)銀行應(yīng)建立首席信息官制度，明確其工作職責(zé)及報(bào)告路線。（2）首席信息官應(yīng)了解并參與本行業(yè)務(wù)發(fā)展決策。（3）首席信息官應(yīng)負(fù)責(zé)制定和及時(shí)更新信息科技戰(zhàn)略,確保信息科技戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。（4）首席信息官應(yīng)確保信息科技職能的規(guī)范和有效運(yùn)作。（5）首席信息官應(yīng)領(lǐng)導(dǎo)和協(xié)調(diào)信息科技部門做好以下工作：信息科技預(yù)算和支出，信息科技政策、標(biāo)準(zhǔn)和流程制定及執(zhí)行，信息科技內(nèi)部控制、專業(yè)化研發(fā)，信息科技項(xiàng)目管理，信息系統(tǒng)和科技基礎(chǔ)設(shè)施的建設(shè)、維護(hù)和運(yùn)行管理，信息安全管理，應(yīng)急管理和災(zāi)難恢復(fù)計(jì)劃，信息科技外包和信息系統(tǒng)退出等。（6）首席信息官應(yīng)確保信息科技人才隊(duì)伍具備充分的專業(yè)技能。

檢查方法、步驟：（1）訪談首席信息官，關(guān)注以下內(nèi)容:(a)銀行 的信息科技戰(zhàn)略及其與業(yè)務(wù)戰(zhàn)略的一致性;(b)銀行目前面臨的主要信息科技風(fēng)險(xiǎn)和應(yīng)對策略;(c)銀行未來1-3年的信息科技發(fā)展規(guī)劃;(d)首席信息官開展了哪些主要工作;(e)首席信息官如何與高級(jí)管理層/董事會(huì)/信息科技管理委員會(huì)等保持有效溝通;(f)首席信息官對銀行信息科技領(lǐng)域主要問題的了解情況和應(yīng)對計(jì)劃;(g)首席信息官如何對信息科技部門的活動(dòng)和績效進(jìn)行監(jiān)控。（2）查閱相關(guān)文檔資料，如信息科技部門的匯報(bào)資料,董事會(huì)/高級(jí)管理層匯報(bào)資料,會(huì)議紀(jì)要, 信息科技重大決策的審批記錄,戰(zhàn)略規(guī)劃,預(yù)算執(zhí)行情況的分析,風(fēng)險(xiǎn)評估報(bào)告等,對訪談了解到的信息進(jìn)行驗(yàn)證。

2.2 信息科技部門

檢查項(xiàng)1 ：信息科技部門

基本要求：（1）商業(yè)銀行應(yīng)建立與銀行業(yè)務(wù)相適應(yīng)的信息科技部門，負(fù)責(zé)信息科技產(chǎn)品的開發(fā)、外包、測試、上線和變更，負(fù)責(zé)相應(yīng)信息系統(tǒng)的運(yùn)行、維護(hù)和安全，為銀行提供信息科技業(yè)務(wù)產(chǎn)品。（2）信息科技部門應(yīng)該根據(jù)工作內(nèi)容，制定完整的內(nèi)部工作流程和內(nèi)控制度，建立與相關(guān)職能部門之間的協(xié)調(diào)配合機(jī)制，保證信息科技工作的有序、高效。（3）信息科技部門應(yīng)定期分析評估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)防控策略、措施和檢查流程，切實(shí)做好信息科技風(fēng)險(xiǎn)管控。（4）信息科技部門所配臵的信息科技人員的數(shù)量應(yīng)適應(yīng)業(yè)務(wù)及IT發(fā)展水平，能保證各個(gè)信息系統(tǒng)和各項(xiàng)信息科技工作安全 21 持續(xù)地運(yùn)轉(zhuǎn)。信息科技部門應(yīng)做好科技人員管理，注重科技專業(yè)和風(fēng)險(xiǎn)教育。信息科技人員應(yīng)有良好的品德、職業(yè)操守和信用記錄，具備相應(yīng)的專業(yè)知識(shí)技能。（5）信息科技部門應(yīng)該建設(shè)一支與銀行信息科技產(chǎn)品開發(fā)戰(zhàn)略相適應(yīng)的信息科技開發(fā)隊(duì)伍，應(yīng)做好信息科技開發(fā)管理，以及相關(guān)的外包服務(wù)管理、知識(shí)產(chǎn)權(quán)管理和開發(fā)環(huán)節(jié)的風(fēng)險(xiǎn)管理，為銀行提供安全的信息科技業(yè)務(wù)產(chǎn)品。（6）信息科技部門應(yīng)建設(shè)好銀行信息科技系統(tǒng)安全連續(xù)運(yùn)行的環(huán)境（包括場地、設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)安全、訪問控制和管理制度等），做好各種環(huán)境的監(jiān)測控制，做好事件、問題管理和變更管理，做好緊急事件應(yīng)急預(yù)案。（7）信息科技部門應(yīng)嚴(yán)格遵守國家各項(xiàng)安全管理制度，配合風(fēng)險(xiǎn)管理部門、合規(guī)部門、業(yè)務(wù)部門編制各項(xiàng)信息科技業(yè)務(wù)產(chǎn)品的操作手冊和訪問控制制度，協(xié)助做好業(yè)務(wù)部門信息科技風(fēng)險(xiǎn)控制和安全教育。

檢查方法、步驟:（1）調(diào)閱信息科技部門的各項(xiàng)工作流程和規(guī)章制度。（2）調(diào)閱信息科技風(fēng)險(xiǎn)管理政策和制度。（3）調(diào)閱信息科技部門的組織結(jié)構(gòu)圖,崗位職責(zé)說明。(4)訪談信息科技部門負(fù)責(zé)人、內(nèi)部各條線負(fù)責(zé)人和信息科技風(fēng)險(xiǎn)管理人員，關(guān)注以下內(nèi)容：（a）信息科技部門內(nèi)部設(shè)臵了哪些條線？各條線是否實(shí)現(xiàn)了必要的職責(zé)分離,如開發(fā)團(tuán)隊(duì)和運(yùn)行團(tuán)隊(duì)分離, 信息科技人員不從事業(yè)務(wù)操作, 有專門的團(tuán)隊(duì)開展安全檢查等；(b)信息科技部門的資源狀況,包括人員是否充足,是否擁有充分的技能；(c)問題和風(fēng)險(xiǎn)的報(bào)告路線、流程和處臵效率；(d)信息科技人員的激勵(lì)機(jī)制；(e)如何對信息科技人員進(jìn)行職業(yè)道德方面的教育,如何在全行科技職能范圍內(nèi)推進(jìn)風(fēng)險(xiǎn)管理和 內(nèi)部控制的理念；(f)信息科技人員的任免和招聘,是否進(jìn)行背景調(diào)查;(g)主要崗位是否輪崗;(h)信息科技人員的技能培訓(xùn)情況;(i)信息科技人員是否了解本行的信息科技政策/流程/規(guī)范/標(biāo)準(zhǔn)等。

檢查項(xiàng)2 ：信息科技戰(zhàn)略規(guī)劃

基本要求：（1）商業(yè)銀行信息科技戰(zhàn)略規(guī)劃應(yīng)在充分的市場調(diào)查和技術(shù)分析的基礎(chǔ)上，由首席信息官, 銀行高級(jí)管理層, 科技部門、風(fēng)險(xiǎn)管理和業(yè)務(wù)部門共同討論制定，并經(jīng)過信息科技管理委員會(huì)審查和批準(zhǔn)，并報(bào)董事會(huì)審議。（2）信息科技戰(zhàn)略規(guī)劃應(yīng)該與業(yè)務(wù)發(fā)展規(guī)劃保持一致,為實(shí)現(xiàn)銀行發(fā)展戰(zhàn)略提供緊密的信息科技支持。（3）信息科技戰(zhàn)略規(guī)劃應(yīng)包含但不限于：IT治理建設(shè)的規(guī)劃(關(guān)注于管理組織和制度建設(shè)等), 應(yīng)用架構(gòu)規(guī)劃(關(guān)注于應(yīng)用系統(tǒng)的建設(shè)), 信息科技基礎(chǔ)設(shè)施規(guī)劃(關(guān)注于基礎(chǔ)設(shè)施建設(shè))。(4)在銀行總體戰(zhàn)略發(fā)生變化時(shí),銀行信息科技戰(zhàn)略規(guī)劃應(yīng)及時(shí)作出相應(yīng)的調(diào)整。(5)銀行應(yīng)定期更新信息科技戰(zhàn)略規(guī)劃。(6)銀行高級(jí)管理層應(yīng)對信息科技戰(zhàn)略規(guī)劃的落實(shí)情況進(jìn)行監(jiān)督。

檢查方法、步驟:（1）調(diào)閱信息科技發(fā)展戰(zhàn)略規(guī)劃或其他中長期發(fā)展規(guī)劃，關(guān)注相關(guān)規(guī)劃的配合和銜接。（2）訪談信息科技管理部門負(fù)責(zé)人和相關(guān)工作人員，重點(diǎn)關(guān)注：（a）信息科技發(fā)展戰(zhàn)略規(guī)劃的制定是否有各方面人員參與，是否經(jīng)過高級(jí)管理層審批；（b）信息科技發(fā)展戰(zhàn)略規(guī)劃的內(nèi)容是否包含了應(yīng)用架構(gòu),基礎(chǔ)設(shè)施,IT治理等方面；（c）信息科技發(fā)展戰(zhàn)略規(guī)劃完成情況、信息科技工作的總體狀況、信息科技工作的薄弱點(diǎn)和問題；(d)信息科技戰(zhàn)略規(guī)劃是否依據(jù)環(huán)境變化,總體戰(zhàn)略變更等進(jìn)行調(diào)整。

2.3 信息科技風(fēng)險(xiǎn)管理部門

檢查項(xiàng)1 ：信息科技風(fēng)險(xiǎn)管理部門

基本要求：（1）商業(yè)銀行應(yīng)建立全行信息科技風(fēng)險(xiǎn)管理框架，設(shè)立或指定信息科技風(fēng)險(xiǎn)管理部門，明確相應(yīng)的管理職責(zé)，設(shè)臵必要的崗位，配臵足夠的信息科技風(fēng)險(xiǎn)管理人員。（2）信息科技風(fēng)險(xiǎn)管理部門應(yīng)制定信息科技風(fēng)險(xiǎn)管理大綱。大綱應(yīng)清楚描述信息科技風(fēng)險(xiǎn)特點(diǎn)、識(shí)別和評估流程、持續(xù)的控制措施和報(bào)告處理機(jī)制。（3）信息科技風(fēng)險(xiǎn)管理部門應(yīng)定期審查各個(gè)相關(guān)部門和環(huán)節(jié)的信息科技風(fēng)險(xiǎn)控制流程和管理制度，定期檢查制度的執(zhí)行情況，防止出現(xiàn)失控的環(huán)節(jié)和管理制度老化的情況。（4）信息科技風(fēng)險(xiǎn)管理部門應(yīng)對重要的信息科技工作環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評估，定期檢查和上報(bào)信息科技風(fēng)險(xiǎn)控制狀況。（5）信息科技風(fēng)險(xiǎn)管理部門應(yīng)對全行員工進(jìn)行持續(xù)的信息科技風(fēng)險(xiǎn)教育。

檢查方法、步驟:（1）調(diào)閱信息科技風(fēng)險(xiǎn)管理的相關(guān)政策, 流程,管理規(guī)范, 工作手冊,以及開展信息科技風(fēng)險(xiǎn)管理的記錄, 如日常工作記錄、會(huì)議紀(jì)要和風(fēng)險(xiǎn)評估報(bào)告等。（2）調(diào)閱組織結(jié)構(gòu)圖和職責(zé)說明,了解信息科技風(fēng)險(xiǎn)管理部門的組織結(jié)構(gòu)和人員的配臵情況。（3）了解信息科技風(fēng)險(xiǎn)管理部門的工作情況, 包括風(fēng)險(xiǎn)管理框架,評估標(biāo) 24 準(zhǔn),是否定期開展風(fēng)險(xiǎn)評估, 風(fēng)險(xiǎn)評估的結(jié)果,主要風(fēng)險(xiǎn)和應(yīng)對措施等。（4）了解信息科技風(fēng)險(xiǎn)管理部門和信息科技部, 業(yè)務(wù)部門, 內(nèi)審部門和其他相關(guān)部門的相互協(xié)作情況。(5)了解信息科技風(fēng)險(xiǎn)教育和培訓(xùn)的開展情況,并調(diào)閱培訓(xùn)資料和記錄等。

2.4 信息科技風(fēng)險(xiǎn)審計(jì)部門

檢查項(xiàng)1 ：信息科技風(fēng)險(xiǎn)審計(jì)部門

基本要求：（1）商業(yè)銀行應(yīng)指定專門負(fù)責(zé)信息科技風(fēng)險(xiǎn)審計(jì)的部門，設(shè)臵必要的崗位，并配備適量信息科技風(fēng)險(xiǎn)專業(yè)審計(jì)人員。（2）制定信息科技風(fēng)險(xiǎn)審計(jì)制度和相應(yīng)的審計(jì)手冊。（3）應(yīng)有計(jì)劃、有側(cè)重點(diǎn)地開展信息科技風(fēng)險(xiǎn)審計(jì)工作。（4）及時(shí)向董事會(huì)和監(jiān)事會(huì)報(bào)告信息科技風(fēng)險(xiǎn)審計(jì)情況。（5）審計(jì)發(fā)現(xiàn)重大風(fēng)險(xiǎn)隱患應(yīng)及時(shí)報(bào)告。

檢查方法、步驟：（1）訪談信息科技審計(jì)部門負(fù)責(zé)人和工作人員, 了解以下信息:(a)信息科技審計(jì)職能的定位, 工作范圍,組織結(jié)構(gòu)和分工(包括信息科技內(nèi)審團(tuán)隊(duì)內(nèi)部的分工,以及與其他內(nèi)審團(tuán)隊(duì)的分工),匯報(bào)路線, 人員配臵, 技能(如是否擁有專業(yè)資格)等情況；(b)信息科技審計(jì)計(jì)劃, 關(guān)注計(jì)劃制定過程中是否考慮了風(fēng)險(xiǎn),并基于風(fēng)險(xiǎn)狀況制定相應(yīng)計(jì)劃；(c)信息科技審計(jì)工作的標(biāo)準(zhǔn)和規(guī)范；(d)信息科技內(nèi)審工作的執(zhí)行情況,包括開展了哪些主要工作,有哪些主要發(fā)現(xiàn),整改情況等；(e)審計(jì)結(jié)果的匯報(bào)和溝通,包括與被審計(jì)方的溝通和落實(shí)整改,及與高級(jí)管理層和董事會(huì)的匯報(bào)。(f)內(nèi)審人員的持續(xù)培 25 訓(xùn)情況。(2)調(diào)閱信息科技審計(jì)相關(guān)文檔,包括:(a)信息科技審計(jì)章程或相關(guān)制度；(b)信息科技審計(jì)部組織結(jié)構(gòu)圖,職責(zé)說明等；(c)信息科技風(fēng)險(xiǎn)審計(jì)手冊或其他標(biāo)準(zhǔn)規(guī)范文檔。（3）調(diào)閱商業(yè)銀行審計(jì)工作計(jì)劃、工作底稿和審計(jì)報(bào)告。（4）調(diào)閱審計(jì)發(fā)現(xiàn)落實(shí)整改情況的記錄。(5)調(diào)閱培訓(xùn)記錄。

2.5 知識(shí)產(chǎn)權(quán)保護(hù)和信息披露

檢查項(xiàng)1 ：知識(shí)產(chǎn)權(quán)保護(hù)

基本要求：（1）商業(yè)銀行應(yīng)按照國家有關(guān)知識(shí)產(chǎn)權(quán)法律、法規(guī)的要求，制定本單位知識(shí)產(chǎn)權(quán)保護(hù)制度。（2）應(yīng)采取有效措施確保所有員工充分理解知識(shí)產(chǎn)權(quán)保護(hù)制度并遵照執(zhí)行。（3）規(guī)范合法軟件的購買和使用，禁止使用盜版軟件。（4）做好自主開發(fā)的信息科技產(chǎn)品的知識(shí)產(chǎn)權(quán)保護(hù)工作。

檢查方法、步驟：（1）調(diào)閱商業(yè)銀行遵守知識(shí)產(chǎn)權(quán)法律的相關(guān)制度并審查其內(nèi)容。（2）查閱商業(yè)銀行的軟件清單，檢查是否擁有產(chǎn)權(quán)或授權(quán)及到期狀況。（3）查閱外包服務(wù)協(xié)議和相關(guān)文件中是否有知識(shí)產(chǎn)權(quán)的保護(hù)條款，并檢查落實(shí)情況。

檢查項(xiàng)2 ：信息披露

基本要求：商業(yè)銀行應(yīng)依據(jù)國家有關(guān)法律、法規(guī)的要求，按照監(jiān)管機(jī)構(gòu)規(guī)定的格式和時(shí)間，及時(shí)規(guī)范地披露信息科技風(fēng)險(xiǎn)信息。

檢查方法、步驟：（1）調(diào)閱商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)披露的制 度。（2）查閱商業(yè)銀行披露信息科技風(fēng)險(xiǎn)評估結(jié)果的記錄。（3）重點(diǎn)關(guān)注信息披露是否符合《商業(yè)銀行信息披露辦法》等有關(guān)法律、法規(guī)的要求，是否按照監(jiān)管機(jī)構(gòu)規(guī)定的格式和時(shí)間及時(shí)規(guī)范地發(fā)布。(4)訪談信息科技人員了解信息披露的流程, 以及信息披露執(zhí)行情況,如科技人員是否了解披露要求,如何確保披露信息的及時(shí)和準(zhǔn)確等。

3.信息科技風(fēng)險(xiǎn)管理

商業(yè)銀行應(yīng)制定信息科技風(fēng)險(xiǎn)管理策略，制定風(fēng)險(xiǎn)識(shí)別和評估、風(fēng)險(xiǎn)防范措施，對風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測。

3.1 風(fēng)險(xiǎn)識(shí)別和評估

檢查項(xiàng)1 ：風(fēng)險(xiǎn)管理策略

基本要求：（1）商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)發(fā)展規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃；（2）應(yīng)配臵足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境；（3）應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于：信息分級(jí)與保護(hù)，信息系統(tǒng)開發(fā)、測試和維護(hù)，信息科技運(yùn)行和維護(hù)，訪問控制，物理安全，人員安全，業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處臵。

檢查方法、步驟：（1）訪談信息科技部門及信息科技風(fēng)險(xiǎn)管理部門負(fù)責(zé)人員,了解以下內(nèi)容:(a)信息科技風(fēng)險(xiǎn)管理策略和方法,如風(fēng)險(xiǎn)框架和分類,評估方法和標(biāo)準(zhǔn),以及對風(fēng)險(xiǎn)容忍度的界定；(b)銀行的主要信息科技風(fēng)險(xiǎn)及其應(yīng)對措施；(c)在開展信息科技風(fēng)險(xiǎn)管理過程中遇到的主要挑戰(zhàn)。(2)調(diào)閱信息科技風(fēng)險(xiǎn)管理文檔,如信息科技風(fēng)險(xiǎn)管理政策和流程, 風(fēng)險(xiǎn)評估規(guī)范或手冊等。

檢查項(xiàng)2 ：風(fēng)險(xiǎn)識(shí)別與評估

基本要求：（1）商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評估流程，確定信息科技風(fēng)險(xiǎn)隱患；（2）定期評估信息科技風(fēng)險(xiǎn)對其業(yè)務(wù)的潛在影響，對風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別。

檢查方法、步驟：（1）調(diào)閱風(fēng)險(xiǎn)識(shí)別和評估流程文檔，風(fēng)險(xiǎn)評估報(bào)告和相關(guān)工作底稿，了解具體工作開展情況。（2）與信息科技風(fēng)險(xiǎn)管理相關(guān)人員(如信息科技部門人員和信息科技風(fēng)險(xiǎn)管理部門人員)訪談, 了解信息科技風(fēng)險(xiǎn)評估的過程,信息來源,評估結(jié)果,以及對識(shí)別的風(fēng)險(xiǎn)是否制定了應(yīng)對措施。

3.2 風(fēng)險(xiǎn)防范和檢測

檢查項(xiàng)1 ：風(fēng)險(xiǎn)防范措施

基本要求：（1）商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程，并定期進(jìn)行更新和公布；（2）確定潛在風(fēng)險(xiǎn)區(qū)域，并對這些區(qū)域進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)及早發(fā)現(xiàn)、影響最小化；（3）建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)。定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：最高權(quán)限用戶審查，控制數(shù)據(jù)和系統(tǒng)的物理及邏輯訪問，訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則，審批和授權(quán)，驗(yàn)證和調(diào)節(jié)等。

檢查方法、步驟：（1）調(diào)閱信息科技管理制度、技術(shù)標(biāo)準(zhǔn)、操作 29 規(guī)程等文檔,并訪談信息科技人員和風(fēng)險(xiǎn)管理人員,了解信息科技風(fēng)險(xiǎn)控制的主要原則和措施.(注:這里應(yīng)主要關(guān)注風(fēng)險(xiǎn)控制的原則, 如怎樣落實(shí)訪問控制的最小授權(quán),對風(fēng)險(xiǎn)/安全事件的監(jiān)控,災(zāi)難恢復(fù)的安排等，具體控制的設(shè)計(jì)和執(zhí)行情況將在各個(gè)領(lǐng)域中進(jìn)行檢查。)（2）調(diào)閱風(fēng)險(xiǎn)監(jiān)控相關(guān)工作記錄,如風(fēng)險(xiǎn)評估報(bào)告,信息科技各職能部門關(guān)于風(fēng)險(xiǎn)的匯報(bào)文檔等.訪談風(fēng)險(xiǎn)管理人員，了解對高風(fēng)險(xiǎn)區(qū)域的監(jiān)控情況；(3)了解信息科技職能和風(fēng)險(xiǎn)管理職能如何對主要風(fēng)險(xiǎn)進(jìn)行監(jiān)控,如定期匯總各條線(如運(yùn)行,開發(fā),測試等)的匯報(bào),對一些重要事項(xiàng)和指標(biāo)的持續(xù)監(jiān)測, 內(nèi)外審的發(fā)現(xiàn)和建議的落實(shí),問題上報(bào)制度等。

檢查項(xiàng)2 ：風(fēng)險(xiǎn)計(jì)量與檢測

基本要求：（1）商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和檢測機(jī)制，其中包括：建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評價(jià)機(jī)制,建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn),建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制,建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制,安排對服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查,定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅,定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查,定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評價(jià)。（2）中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資法人銀行，應(yīng)對境內(nèi)外監(jiān)管機(jī)構(gòu)有關(guān)信息科技風(fēng)險(xiǎn)監(jiān)管政策的差異性進(jìn)行分析并防范由此可能產(chǎn)生的風(fēng)險(xiǎn)。檢查方法、步驟：（1）調(diào)閱有關(guān)文檔(如風(fēng)險(xiǎn)評估制度和方法,評估報(bào)告,關(guān)于風(fēng)險(xiǎn)和安全事件的匯報(bào)等)，了解商業(yè)銀行是否建立信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測機(jī)制。（2）訪談相關(guān)工作人員，了解中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資法人銀行是否對監(jiān)管政策的差異性進(jìn)行了充分分析并采取有效風(fēng)險(xiǎn)防范措施。

4.信息安全管理

保證信息安全是商業(yè)銀行的一項(xiàng)重要任務(wù)，商業(yè)銀行應(yīng)在信息科技部門內(nèi)部設(shè)臵專門的信息安全管理部門或崗位，建立完善的信息安全管理制度，保證信息的機(jī)密性、完整性和可用性。信息安全涉及到人員、管理、技術(shù)等各個(gè)方面，本章節(jié)主要包含人員安全和管理安全的檢查內(nèi)容，技術(shù)安全方面的檢查內(nèi)容參見第三部分“基礎(chǔ)設(shè)施”部分。

提示：在對商業(yè)銀行的信息安全管理進(jìn)行檢查和評價(jià)時(shí)，可根據(jù)銀行機(jī)構(gòu)的實(shí)際情況，按照分類監(jiān)管、循序漸進(jìn)的原則，合理把握標(biāo)準(zhǔn)與尺度。如，科技人員少、信息系統(tǒng)種類不多的銀行機(jī)構(gòu)，可以不設(shè)臵單獨(dú)的安全管理部門，但應(yīng)設(shè)臵專職的崗位；信息科技崗位設(shè)臵可以彼此兼職，但不相容崗位應(yīng)分離，做到操作系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員及數(shù)據(jù)庫管理員彼此分離、網(wǎng)絡(luò)管理員和其他系統(tǒng)管理員彼此分離、批量處理人員和業(yè)務(wù)數(shù)據(jù)庫管理員彼此分離。

4.1 安全管理機(jī)制與管理組織

檢查項(xiàng)1：信息分類和保護(hù)體系

基本要求：商業(yè)銀行信息科技部門應(yīng)對各類信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，根據(jù)信息系統(tǒng)的重要程度等因素，建立和實(shí)施信息系統(tǒng)分類和保護(hù)體系，并保證該體系在銀行內(nèi)部的貫徹落實(shí)。

檢查方法、步驟：（1）調(diào)閱信息系統(tǒng)分類管理制度，查看相關(guān)制度是否建立健全，是否對信息類別和訪問人員的范圍、級(jí)別作出明確規(guī)定；（2）檢查商業(yè)銀行是否針對不同的信息系統(tǒng)，制訂了不同的安全防范措施，采取了不同的技術(shù)防范手段；（3）檢查商業(yè)銀行是否對信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評估和防范。

檢查項(xiàng)2：安全管理機(jī)制

基本要求：商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。包括：建立信息安全計(jì)劃和保持長效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，定期向信息科技管理委員會(huì)提交本行信息安全評估報(bào)告等。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。

檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全計(jì)劃或相關(guān)文檔，檢查商業(yè)銀行是否制訂信息安全計(jì)劃。（2）分析信息安全計(jì)劃，評估商業(yè)銀行信息科技部門能否對信息安全進(jìn)行持續(xù)、長期和有效的管理，確保信息安全和信息系統(tǒng)安全運(yùn)行。（3）檢查商業(yè)銀行信息科技部門是否組織培訓(xùn)和宣傳教育等活動(dòng)以提高全體員工信息安全意識(shí)，是否就安全問題向其他部門提供安全建議。（4）檢查商業(yè)銀行信息科技部門是否對各類信息和信息系統(tǒng)制訂相應(yīng)的信息安全標(biāo)準(zhǔn)，是否制訂相關(guān)的管理策略，是否制訂實(shí)施計(jì)劃，是否制訂持續(xù)改進(jìn)、完善計(jì)劃。通過訪談了解這些管理策略和計(jì)劃是否有效實(shí)施。（5）調(diào)閱信息安全評估報(bào)告，檢查信息科技部門是否定期對本行信息安全進(jìn)行評

估。檢查項(xiàng)3：信息安全策略

基本要求：商業(yè)銀行應(yīng)制訂詳細(xì)的信息安全策略，至少包括以下內(nèi)容：信息安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營管理、訪問控制管理、系統(tǒng)開發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。

檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全策略，檢查是否制定信息安全策略及其內(nèi)容是否完整、全面。（2）調(diào)閱信息安全管理規(guī)定，查看是否制定信息安全管理規(guī)定以及是否具有相應(yīng)的實(shí)施要求和細(xì)則。

檢查項(xiàng)4：信息安全組織

基本要求：商業(yè)銀行應(yīng)建立配套的安全管理職能部門，通過管理機(jī)構(gòu)的崗位設(shè)臵、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障。應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批；安全管理人員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

檢查方法、步驟：（1）調(diào)閱相關(guān)崗位職責(zé)說明文件，檢查是否設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗 34 位的職責(zé)；（2）檢查是否限制安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等；（3）查詢相關(guān)制度文件和審批記錄，檢查是否根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問等關(guān)鍵活動(dòng)進(jìn)行審批；（4）調(diào)閱信息安全檢查記錄，檢查安全管理員是否定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，檢查結(jié)果是否及時(shí)報(bào)告和處理。

4.2 安全管理制度

檢查項(xiàng)1：規(guī)章制度

基本要求：商業(yè)銀行應(yīng)對信息安全風(fēng)險(xiǎn)進(jìn)行分析、評估；應(yīng)對信息安全管理工作建立相應(yīng)的管理制度；應(yīng)要求管理人員或操作人員嚴(yán)格執(zhí)行管理制度，各項(xiàng)操作符合制度要求；應(yīng)注明安全管理制度密級(jí)程度，并進(jìn)行密級(jí)管理；信息安全制度建設(shè)應(yīng)全面涵蓋信息系統(tǒng)的安全風(fēng)險(xiǎn)點(diǎn)，如：用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、各類業(yè)務(wù)系統(tǒng)安全、客戶端安全、病毒防護(hù)、敏感數(shù)據(jù)保護(hù)、文檔管理等內(nèi)容。信息安全制度應(yīng)包含違規(guī)處罰條款；重要工作和崗位應(yīng)制訂詳盡的管理辦法和工作職責(zé)；信息安全制度應(yīng)包括對服務(wù)商的責(zé)任和義務(wù)要求；信息安全事件報(bào)告制度和處理流程應(yīng)清晰明確；信息安全管理制度應(yīng)注明發(fā)布范圍，有發(fā)文編號(hào)和相關(guān)部門的收文記錄；信息安全制度應(yīng)及時(shí)發(fā)布和修訂。

商業(yè)銀行應(yīng)建立完善的信息系統(tǒng)管理制度，管理制度應(yīng)正式發(fā)文予以公布，或收集整理形成制度匯編以便于員工學(xué)習(xí)掌握。

檢查方法、步驟：（1）調(diào)閱商業(yè)銀行信息安全管理相關(guān)的會(huì)議記錄。（2）調(diào)閱信息安全相關(guān)的制度，查看：(a)是否圍繞著風(fēng)險(xiǎn)分析、評估報(bào)告開展制度建設(shè)，各項(xiàng)制度能否有效防范風(fēng)險(xiǎn)；（b）已有制度是否涵蓋信息系統(tǒng)的各項(xiàng)風(fēng)險(xiǎn)點(diǎn)，包括用戶管理、物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、各類業(yè)務(wù)應(yīng)用系統(tǒng)安全、客戶端安全、病毒防護(hù)、敏感數(shù)據(jù)保護(hù)、文檔管理等內(nèi)容；（c）是否包含違規(guī)的處罰條款；（d）是否包括針對服務(wù)商的管理要求，如職責(zé)和義務(wù)；（e）是否建立信息安全事件報(bào)告制度和處理流程，制度和流程是否清晰和明確；(3)調(diào)閱信息安全管理部門職責(zé)和工作計(jì)劃，查看是否對重要的信息系統(tǒng)安全管理崗位制定了明確的管理辦法和工作職責(zé)。（4）信息安全管理負(fù)責(zé)人員座談，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，檢查是否已經(jīng)針對上述事件對信息安全制度進(jìn)行了及時(shí)修訂和頒布實(shí)施。

檢查項(xiàng)2：制度合規(guī)

基本要求：信息安全制度應(yīng)符合國家有關(guān)信息科技管理的法律法規(guī)；應(yīng)符合國家有關(guān)信息科技管理的技術(shù)標(biāo)準(zhǔn)；應(yīng)符合銀監(jiān)會(huì)有關(guān)要求；對于擁有境外機(jī)構(gòu)的銀行，其制度也應(yīng)符合境外監(jiān)管機(jī)構(gòu)的要求。

檢查方法、步驟：（1）調(diào)閱信息安全制度，檢查：（a）制度是否遵循國家有關(guān)信息科技管理的法律法規(guī)要求；（b）技術(shù)性比較強(qiáng)的信

息系統(tǒng)安全制度是否低于國家相關(guān)標(biāo)準(zhǔn)規(guī)定；（c）審查其是否與銀監(jiān)會(huì)相關(guān)辦法、要求相沖突。（2）與信息安全管理負(fù)責(zé)人座談，了解該銀行是否在境外設(shè)立分支機(jī)構(gòu)，境外分支機(jī)構(gòu)信息安全制度是否符合所在國、地區(qū)監(jiān)管機(jī)構(gòu)的要求。

檢查項(xiàng)3：制度執(zhí)行

基本要求：信息科技相關(guān)工作應(yīng)嚴(yán)格遵守信息安全制度規(guī)定；對違規(guī)操作的應(yīng)根據(jù)相應(yīng)條款進(jìn)行處罰；被處罰管理部門或個(gè)人應(yīng)對違規(guī)操作進(jìn)行整改；審計(jì)部門應(yīng)對信息安全制度執(zhí)行情況定期進(jìn)行審計(jì)。

檢查方法、步驟：（1）與負(fù)責(zé)信息安全的人員訪談，了解信息安全制度執(zhí)行情況；（2）調(diào)閱銀行或部門會(huì)議記錄，查看銀行或部門是否對日志、視頻等記錄中出現(xiàn)的違規(guī)操作行為進(jìn)行過認(rèn)定，并對違規(guī)人員或部門進(jìn)行過處罰；（3）調(diào)閱銀行或部門會(huì)議記錄，查看是否對違規(guī)操作進(jìn)行過整改，整改的后續(xù)情況如何。對于因制度漏洞造成的風(fēng)險(xiǎn)，是否及時(shí)對相關(guān)制度進(jìn)行了修改：（4）調(diào)閱內(nèi)、外部審計(jì)資料，查看是否有關(guān)于信息安全制度執(zhí)行情況的審計(jì)報(bào)告；（5）調(diào)閱審計(jì)文件，查看對信息安全制度執(zhí)行情況的審計(jì)頻度和審計(jì)內(nèi)容是否符合銀行要求；（6）調(diào)閱銀行或部門文件，查看是否對審計(jì)發(fā)現(xiàn)的問題進(jìn)行過整改落實(shí)，后續(xù)的整改落實(shí)情況是否符合審計(jì)要求。

4.3 人員管理

檢查項(xiàng)1：人員管理

基本要求：（1）信息科技的崗位設(shè)臵應(yīng)合理，應(yīng)做到分工明確、職責(zé)清晰，重要崗位需要相互制約、監(jiān)督；（2）信息科技人員應(yīng)無不良記錄；信息科技人員的專業(yè)知識(shí)和業(yè)務(wù)水平應(yīng)達(dá)到本行要求；應(yīng)加強(qiáng)對臨時(shí)聘用或合同制信息科技人員的安全管理措施；（3）應(yīng)對信息科技人員權(quán)限進(jìn)行分級(jí)管理，關(guān)鍵崗位應(yīng)有AB角；應(yīng)分離不相容崗位人員職責(zé)，不得兼任；（4）信息安全管理崗位應(yīng)配備專職安全管理員。關(guān)鍵區(qū)域或部位的安全管理員應(yīng)符合機(jī)要人員管理要求，對涉密人員應(yīng)簽訂保密協(xié)議；（5）信息科技人員管理要全面，應(yīng)包括背景調(diào)查、人員招聘、上崗培訓(xùn)、安全培訓(xùn)、人員離崗審查、強(qiáng)制休假等方面。

檢查方法、步驟：（1）調(diào)閱銀行人事制度，了解銀行的信息科技崗位設(shè)臵情況，是否配備了專門的安全管理崗位；（2）與信息科技管理人員和普通員工進(jìn)行座談，聽取其對信息科技崗位設(shè)臵的意見，分析崗位設(shè)臵是否合理；（3）調(diào)閱銀行人事檔案，查看是否建立了信息科技人員的績效考核制度，查看信息科技人員是否有不良記錄；（4）調(diào)閱銀行人事檔案和與信息科技從業(yè)人員進(jìn)行座談，了解信息科技人員的專業(yè)知識(shí)和業(yè)務(wù)水平；（5）調(diào)閱銀行人事管理制度或部門人事管理制度，分析是否有針對正式信息科技人員、臨時(shí)聘用或合同制信息科技人員及顧問制定不同的人事管理制度；（6）調(diào)閱信息安全管理的

相關(guān)制度，確認(rèn)是否對不同信息科技崗位進(jìn)行了權(quán)限劃分和分級(jí)管理，并能貫徹落實(shí)上述制度和要求。

4.4 安全評估報(bào)告

檢查項(xiàng)1：安全評估報(bào)告

基本要求：商業(yè)銀行應(yīng)定期對信息系統(tǒng)安全情況進(jìn)行評估，并提交安全評估報(bào)告。當(dāng)信息系統(tǒng)發(fā)生重大變化時(shí)，應(yīng)及時(shí)進(jìn)行信息安全評估。對安全評估中發(fā)現(xiàn)的問題，應(yīng)及時(shí)整改。

檢查方法、步驟：（1）調(diào)閱安全評估報(bào)告，檢查商業(yè)銀行是否定期對信息系統(tǒng)安全進(jìn)行評估。如果信息系統(tǒng)發(fā)生重大變化或升級(jí)后，是否及時(shí)進(jìn)行信息安全評估：（2）檢查安全評估是否全面，是否覆蓋所有信息系統(tǒng)，是否覆蓋所有信息安全范圍；（3）檢查安全評估報(bào)告反映的問題是否及時(shí)得到處理或改進(jìn)。4.5 宣傳、教育和培訓(xùn)

檢查項(xiàng)1：宣傳、教育和培訓(xùn)

基本要求：高管層、信息安全管理部門負(fù)責(zé)人應(yīng)知曉信息安全政策；銀行應(yīng)加強(qiáng)對客戶的信息安全重要性的宣傳教育工作；銀行應(yīng)定期組織員工進(jìn)行信息系統(tǒng)安全重要性教育；銀行應(yīng)組織員工學(xué)習(xí)基本的信息系統(tǒng)安全管理制度；信息科技人員應(yīng)掌握與其崗位相關(guān)的信息安全管理制度。

檢查方法、步驟：（1）與高管層、信息安全管理部門負(fù)責(zé)人座談，了解是否知曉本銀行的信息安全政策；（2）與高管層座談，了解銀行是否對客戶進(jìn)行過信息安全方面的宣傳教育，其內(nèi)容、力度和頻度如何；（3）與普通員工座談，了解是否接受過有關(guān)信息安全方面教育；（4）抽查銀行內(nèi)部部門的學(xué)習(xí)記錄，看是否組織過信息安全防范知識(shí)方面的學(xué)習(xí)培訓(xùn)；（5）與普通員工座談，看是否知曉本銀行基本的信息安全制度；（6）調(diào)閱信息科技部門的學(xué)習(xí)記錄，看是否對信息科技人員進(jìn)行過信息安全制度的傳達(dá)，是否組織過信息安全制度的學(xué)習(xí)培訓(xùn)；（7）與信息科技人員座談，看是否掌握與其從事崗位相關(guān)的信息安全管理制度。

5.系統(tǒng)開發(fā)、測試與維護(hù)

5.1開發(fā)管理

良好的系統(tǒng)開發(fā)管理是一個(gè)系統(tǒng)能否穩(wěn)健運(yùn)行的必要前提，因此應(yīng)加強(qiáng)對商業(yè)銀行系統(tǒng)開發(fā)管理工作的檢查力度，從而準(zhǔn)確評估各運(yùn)行系統(tǒng)以及即將上線系統(tǒng)的穩(wěn)定性和可靠性。通過對商業(yè)銀行的相關(guān)制度、規(guī)定、流程以及文檔、記錄的檢查和分析，了解其管理層是否統(tǒng)籌考慮系統(tǒng)開發(fā)與信息科技戰(zhàn)略規(guī)劃及業(yè)務(wù)發(fā)展目標(biāo)的一致性，是否對系統(tǒng)開發(fā)的可行性、必要性、成本效益核算以及存在的風(fēng)險(xiǎn)等方面進(jìn)行全面評估，是否建設(shè)了合理的開發(fā)管理組織框架，是否對開發(fā)過程進(jìn)行了全面的風(fēng)險(xiǎn)管控，以確保系統(tǒng)開發(fā)過程的合理、高效和安全。

檢查項(xiàng)1：管理架構(gòu)

基本要求：應(yīng)建立信息科技管理委員會(huì)對信息系統(tǒng)項(xiàng)目建設(shè)的審批、授權(quán)機(jī)制，重大信息系統(tǒng)項(xiàng)目開發(fā)應(yīng)經(jīng)過銀行董事會(huì)的批準(zhǔn)，并符合該機(jī)構(gòu)的IT戰(zhàn)略規(guī)劃和業(yè)務(wù)發(fā)展目標(biāo)。信息科技部門應(yīng)設(shè)臵獨(dú)立的崗位并配備足夠的具備相關(guān)知識(shí)和技能的專業(yè)人員對信息系統(tǒng)項(xiàng)目開發(fā)進(jìn)行集中管理，系統(tǒng)開發(fā)應(yīng)成立專門的開發(fā)建設(shè)項(xiàng)目組，具體負(fù)責(zé)信息系統(tǒng)的開發(fā)建設(shè)。在系統(tǒng)開發(fā)立項(xiàng)審批前，應(yīng)進(jìn)行系統(tǒng)開發(fā)可行性研究，以控制與信息科技有關(guān)的風(fēng)險(xiǎn)。項(xiàng)目開發(fā)過程中應(yīng)定 41 期向首席信息官或高級(jí)管理層匯報(bào)項(xiàng)目實(shí)施狀況。信息系統(tǒng)開發(fā)過程應(yīng)有業(yè)務(wù)需求部門人員參與，并定期與業(yè)務(wù)需求部門一起審核信息系統(tǒng)開發(fā)建設(shè)情況，查看是否能夠滿足生產(chǎn)業(yè)務(wù)的需要，是否與業(yè)務(wù)需求相符合，是否對關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)進(jìn)行了有效控制。

檢查方法、步驟：（1）檢查商業(yè)銀行是否有系統(tǒng)開發(fā)的可行性研究、成本效益分析、風(fēng)險(xiǎn)評估等報(bào)告，查看是否對項(xiàng)目的可行性、成本效益核算以及可能出現(xiàn)的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失、無效系統(tǒng)規(guī)劃等進(jìn)行了深入的分析；（2）調(diào)閱相關(guān)會(huì)議紀(jì)要，查看相關(guān)分析結(jié)果是否得到信息科技管理委員會(huì)的認(rèn)可，分析信息科技管理委員會(huì)是否對系統(tǒng)開發(fā)的可行性、必要性以及與IT戰(zhàn)略規(guī)劃和業(yè)務(wù)發(fā)展目標(biāo)的一致有充分認(rèn)識(shí)；（3）對于重大信息系統(tǒng)開發(fā)項(xiàng)目，查看是否有銀行董事會(huì)批準(zhǔn)實(shí)施系統(tǒng)開發(fā)的記錄；（4）調(diào)閱重大項(xiàng)目相關(guān)開發(fā)建設(shè)文檔，查看是否成立了專門的項(xiàng)目組，具體負(fù)責(zé)項(xiàng)目的開發(fā)建設(shè)。如成立有項(xiàng)目組，調(diào)閱項(xiàng)目組相關(guān)工作文件，檢查項(xiàng)目組是否盡職完成其相關(guān)職責(zé)；（5）查看是否有項(xiàng)目實(shí)施部門定期向信息科技管理委員會(huì)報(bào)告系統(tǒng)開發(fā)進(jìn)展的報(bào)告；（6）查看商業(yè)銀行是否設(shè)臵獨(dú)立的部門負(fù)責(zé)系統(tǒng)開發(fā)，調(diào)閱部門人員清單及簡介（含資質(zhì)），判斷該部門人員的數(shù)量和專業(yè)背景對于其承擔(dān)的系統(tǒng)開發(fā)職責(zé)是否充分和適當(dāng)；（7）調(diào)閱項(xiàng)目開發(fā)相關(guān)文件，查看信息系統(tǒng)開發(fā)過程是否有業(yè)務(wù)部門人員參與，檢查項(xiàng)目開發(fā)過程中開發(fā)部門是否與業(yè)務(wù)部門定期總結(jié)信息系統(tǒng)開發(fā)建設(shè)情況，以確認(rèn)正在開發(fā)的系統(tǒng)是否與業(yè)務(wù)需求相符合，是否對關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)進(jìn)行了有效控制；（8）檢查信息系統(tǒng)投產(chǎn)后，實(shí)施

部門是否組織了對系統(tǒng)的后評價(jià)，并根據(jù)評估結(jié)果及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。

檢查項(xiàng)2：制度建設(shè)

基本要求：商業(yè)銀行應(yīng)制定全面的信息系統(tǒng)開發(fā)管理制度和流程，包括但不限于系統(tǒng)的開發(fā)流程和組織管理、參與部門的職責(zé)劃分、時(shí)間進(jìn)度和財(cái)務(wù)預(yù)算管理、質(zhì)量檢測和風(fēng)險(xiǎn)評估等。商業(yè)銀行制定的制度和流程，應(yīng)涵蓋信息系統(tǒng)開發(fā)的全周期，包括：分析、設(shè)計(jì)、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出等，制度和流程應(yīng)經(jīng)過高級(jí)管理層和相關(guān)部門的認(rèn)可，明確相關(guān)部門和人員的職責(zé)，并定期進(jìn)行評估和更新。

檢查方法、步驟：（1）調(diào)閱商業(yè)銀行系統(tǒng)開發(fā)相關(guān)的制度和流程，檢查其是否明確了管理組織及職責(zé)，是否對開發(fā)流程管理進(jìn)行全面的管控。是否建立了質(zhì)量檢測和風(fēng)險(xiǎn)評估機(jī)制等；（2）詢問相關(guān)人員，是否有高級(jí)管理層和所有有關(guān)部門認(rèn)可這些制度和流程的說明，查看相關(guān)會(huì)議紀(jì)要、相關(guān)文件的傳閱痕跡等；（3）檢查系統(tǒng)開發(fā)過程中，相關(guān)制度和流程是否得到有效的實(shí)施，如是否界定了明確的部門和人員職責(zé)，職責(zé)劃分是否合理，是否有完整的時(shí)間進(jìn)度管理和財(cái)務(wù)預(yù)算管理，是否要求實(shí)施部門定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況等；（4）檢查商業(yè)銀行制定的制度和流程是否涵蓋了信息系統(tǒng)開發(fā)的立項(xiàng)、可行性分

析、制定需求、方案設(shè)計(jì)、程序開發(fā)、系統(tǒng)測試、系統(tǒng)驗(yàn)收、使用培訓(xùn)、實(shí)施操作和維護(hù)等各環(huán)節(jié)。

檢查項(xiàng)3：項(xiàng)目控制體系

基本要求：（1）商業(yè)銀行應(yīng)制定合理的項(xiàng)目生命周期，加強(qiáng)項(xiàng)目生命周期管理，包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出；（2）應(yīng)開展對系統(tǒng)需求和技術(shù)架構(gòu)的管理，使系統(tǒng)需求與業(yè)務(wù)目標(biāo)保持一致；（3）應(yīng)當(dāng)建立一套符合質(zhì)量管理標(biāo)準(zhǔn)的質(zhì)量控制體系，有效控制開發(fā)質(zhì)量；（4）應(yīng)根據(jù)項(xiàng)目風(fēng)險(xiǎn)評估，在系統(tǒng)開發(fā)過程中落實(shí)主要風(fēng)險(xiǎn)點(diǎn)的風(fēng)險(xiǎn)控制措施；（5）系統(tǒng)開發(fā)環(huán)境與運(yùn)行環(huán)境應(yīng)當(dāng)分離，包括網(wǎng)絡(luò)分離、設(shè)備分離、數(shù)據(jù)分離、人員分離等，防止開發(fā)活動(dòng)對業(yè)務(wù)運(yùn)行環(huán)境造成風(fēng)險(xiǎn)；（6）系統(tǒng)開發(fā)過程中應(yīng)進(jìn)行必要的安全控制，應(yīng)對源代碼進(jìn)行有效管理，對程序源代碼進(jìn)行嚴(yán)格的審查，不應(yīng)留有“后門”，即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過安全規(guī)則的任何類型的入口和文檔中未說明的任何模式的入口。

檢查方法、步驟：（1）檢查銀行是否有信息系統(tǒng)生命周期管理制度，是否有項(xiàng)目生命周期管理流程和記錄；（2）檢查系統(tǒng)需求和技術(shù)架構(gòu)的評估文檔，看系統(tǒng)需求與業(yè)務(wù)目標(biāo)是否保持一致；（3）詢問系統(tǒng)開發(fā)部門負(fù)責(zé)人，銀行是否建立了系統(tǒng)開發(fā)質(zhì)量控制體系，調(diào)閱其項(xiàng)目質(zhì)量控制標(biāo)準(zhǔn)、代碼編寫規(guī)范（軟件）以及質(zhì)量控制檢查和監(jiān)督的記錄；（4）檢查是否有項(xiàng)目需求和計(jì)劃的風(fēng)險(xiǎn)評估以及業(yè)務(wù)的風(fēng)險(xiǎn)

點(diǎn)分析,是否有對業(yè)務(wù)操作環(huán)境（如人員素質(zhì)、操作場所等環(huán)境）的相關(guān)風(fēng)險(xiǎn)分析，是否有對項(xiàng)目延期的風(fēng)險(xiǎn)、項(xiàng)目進(jìn)程中發(fā)現(xiàn)的風(fēng)險(xiǎn)、項(xiàng)目外包的風(fēng)險(xiǎn)等關(guān)鍵控制點(diǎn)制定風(fēng)險(xiǎn)控制措施，是否有風(fēng)險(xiǎn)控制措施的落實(shí)記錄和監(jiān)督記錄；（5）檢查系統(tǒng)開發(fā)環(huán)境和運(yùn)行環(huán)境是否分離，網(wǎng)絡(luò)是否有效隔離，設(shè)備是否獨(dú)立于生產(chǎn)系統(tǒng)，開發(fā)人員是否接觸生產(chǎn)系統(tǒng)，開發(fā)過程中是否使用了生產(chǎn)數(shù)據(jù),使用的生產(chǎn)數(shù)據(jù)是否得到高級(jí)管理層的批準(zhǔn)并經(jīng)過脫敏或相關(guān)限制；（6）檢查系統(tǒng)開發(fā)過程中，是否進(jìn)行安全控制，是否對源代碼進(jìn)行有效管理和嚴(yán)格的審查，系統(tǒng)所有入口是否都經(jīng)過安全規(guī)則的控制，并在系統(tǒng)開發(fā)文檔中全部注明。

檢查項(xiàng)4：系統(tǒng)開發(fā)的操作風(fēng)險(xiǎn)

基本要求：商業(yè)銀行應(yīng)當(dāng)加強(qiáng)對開發(fā)隊(duì)伍的管理，合理選擇具備相當(dāng)專業(yè)知識(shí)和技術(shù)水平的項(xiàng)目經(jīng)理，并應(yīng)對技術(shù)人員，尤其是外來技術(shù)人員的開發(fā)行為加強(qiáng)管理，對于外包開發(fā)與合作開發(fā)的開發(fā)方應(yīng)進(jìn)行充分調(diào)研分析，以保證系統(tǒng)的可靠性；應(yīng)當(dāng)加強(qiáng)信息科技項(xiàng)目文檔管理和文檔版本控制；銀行信息科技開發(fā)部門應(yīng)當(dāng)加強(qiáng)對開發(fā)過程的檢查，確保開發(fā)目標(biāo)的實(shí)現(xiàn)。對以外包和合作開發(fā)為主進(jìn)行信息系統(tǒng)開發(fā)建設(shè)的銀行機(jī)構(gòu)，應(yīng)特別重視對外來技術(shù)人員的開發(fā)行為加強(qiáng)管理，對于外包開發(fā)與合作開發(fā)的開發(fā)方應(yīng)進(jìn)行充分調(diào)研分析，以保證系統(tǒng)的可靠性。

檢查方法、步驟：（1）詢問商業(yè)銀行對項(xiàng)目開發(fā)經(jīng)理的知識(shí)水平

要求，查看部分項(xiàng)目開發(fā)經(jīng)理的資信歷史、資格證書、從業(yè)經(jīng)歷的調(diào)查記錄；（2）對于外包開發(fā)與合作開發(fā)的項(xiàng)目，詢問項(xiàng)目管理成員，開發(fā)方是否在業(yè)內(nèi)有過針對客戶的不良紀(jì)錄,商業(yè)銀行是否有對開發(fā)方技術(shù)實(shí)力與人力資源充分性進(jìn)行分析；（3）檢查是否制定了文檔管理規(guī)范制度，查看項(xiàng)目開發(fā)設(shè)計(jì)、源代碼、技術(shù)使用和運(yùn)行維護(hù)說明書、用戶使用手冊，風(fēng)險(xiǎn)評估報(bào)告等項(xiàng)目文檔管理是否符合規(guī)范，是否進(jìn)行了文檔的版本控制；（4）檢查銀行是否有系統(tǒng)開發(fā)過程的檢查記錄，是否對系統(tǒng)完整性、惡意代碼和后門程序進(jìn)行了檢查。

檢查項(xiàng)5：數(shù)據(jù)繼承和遷移

基本要求：信息系統(tǒng)升級(jí)變更，應(yīng)特別重視對歷史數(shù)據(jù)的繼承和遷移。應(yīng)合理規(guī)劃數(shù)據(jù)結(jié)構(gòu)，并進(jìn)行數(shù)據(jù)兼容性分析，防止因兼容性不夠而造成歷史數(shù)據(jù)的無法使用和繼承，進(jìn)而影響業(yè)務(wù)生產(chǎn)和客戶利益。信息系統(tǒng)升級(jí)變更前，應(yīng)制訂詳細(xì)的數(shù)據(jù)遷移計(jì)劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗(yàn)證。商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、安全性和可用性。

檢查方法、步驟：（1）檢查是否進(jìn)行新舊系統(tǒng)業(yè)務(wù)數(shù)據(jù)兼容程度分析，并形成書面報(bào)告；（2）檢查業(yè)務(wù)系統(tǒng)上線前，是否制訂詳細(xì)的數(shù)據(jù)遷移計(jì)劃，數(shù)據(jù)遷移計(jì)劃是否嚴(yán)密；（3）檢查業(yè)務(wù)系統(tǒng)上線或升級(jí)前，是否進(jìn)行過數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容程度驗(yàn)證；有數(shù)據(jù)移植時(shí)，檢查是否針對新舊系統(tǒng)中被移植部分?jǐn)?shù)據(jù)的一致性進(jìn)行過

驗(yàn)證，對數(shù)據(jù)調(diào)整時(shí)，是否對調(diào)整過程進(jìn)行了完整記錄并由相關(guān)人員簽字；（4）檢查是否制定了相關(guān)制度、標(biāo)準(zhǔn)和流程，以保證信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、安全性和可用性。

5.2系統(tǒng)測試與上線

充分的系統(tǒng)測試和周密的上線程序是保障系統(tǒng)正常穩(wěn)定運(yùn)行的重要環(huán)節(jié)，商業(yè)銀行應(yīng)該確保充分的系統(tǒng)測試和具備完善系統(tǒng)上線程序的管理，以確保系統(tǒng)的測試結(jié)果是可信的，上線流程是完善的。通過對相關(guān)制度、流程和程序的檢查，分析商業(yè)銀行在系統(tǒng)測試和上線過程是否存在缺陷，從而對各系統(tǒng)做出合理的評估，避免系統(tǒng)測試不充分上線，或上線程序不周密，導(dǎo)致系統(tǒng)風(fēng)險(xiǎn)，造成損失。

檢查項(xiàng)1：系統(tǒng)測試

基本要求：商業(yè)銀行應(yīng)為所有的主要變更建立充分的測試體系（如：系統(tǒng)單元測試、系統(tǒng)集成測試、系統(tǒng)驗(yàn)收測試、用戶測試、預(yù)演、數(shù)據(jù)轉(zhuǎn)換的驗(yàn)證、平行測試等）以保證系統(tǒng)測試的完整和充分；商業(yè)銀行應(yīng)建立完善的測試團(tuán)隊(duì)，并確保測試工作的公正性和獨(dú)立性；應(yīng)當(dāng)確保充分，完整的系統(tǒng)測試；測試環(huán)境應(yīng)與生產(chǎn)環(huán)境相隔離；應(yīng)當(dāng)對信息系統(tǒng)功能進(jìn)行充分測試，保障系統(tǒng)功能與業(yè)務(wù)目標(biāo)一致；應(yīng)當(dāng)對信息系統(tǒng)進(jìn)行非功能測試，保證系統(tǒng)的兼容性、可靠性、通用性、安裝的可操作性，防范在信息系統(tǒng)性能峰值情況下發(fā)生的問題。系統(tǒng)變更應(yīng)建立回滾變更的程序，以便于在發(fā)生問題的情況下可以恢 47 復(fù)到原始的程序、系統(tǒng)配臵和數(shù)據(jù)，在變更遷徙到生產(chǎn)環(huán)境前應(yīng)進(jìn)行回滾程序的試運(yùn)行，以保證回滾程序是有效、可靠的。系統(tǒng)測試過程中應(yīng)對測試的情況進(jìn)行規(guī)范的記錄，最終形成測試文檔并進(jìn)行分析。

檢查方法、步驟：：1）檢查系統(tǒng)變更的測試報(bào)告，分析測試內(nèi)容和測試步驟是否完整，測試用例是否充分涵蓋所有業(yè)務(wù)場景；（2）調(diào)閱測試團(tuán)隊(duì)人員清單，分析測試團(tuán)隊(duì)人員角色、知識(shí)水平等是否充分，詢問相關(guān)負(fù)責(zé)人通過哪些措施保證測試團(tuán)隊(duì)的公正性和獨(dú)立性；（3）調(diào)閱測試方案、測試用例、測試記錄等，分析銀行的測試方案是否完善，測試計(jì)劃是否完整，測試環(huán)境是否與生產(chǎn)環(huán)境相隔離，測試用例是否充分，測試用例是否有生產(chǎn)數(shù)據(jù)，當(dāng)使用生產(chǎn)數(shù)據(jù)測試時(shí)是否得到高級(jí)管理層的審批并采取相關(guān)限制及進(jìn)行脫敏處理，測試執(zhí)行情況記錄是否完整，查看是否有對充分測試的審核報(bào)告；（4）調(diào)閱功能測試記錄，查看系統(tǒng)功能測試結(jié)果是否與業(yè)務(wù)需求一致；（5）調(diào)閱非功能性測試報(bào)告或記錄（非功能測試技術(shù)主要包括：配臵和安裝測試、兼容性和互操作性測試、文檔和幫助測試、錯(cuò)誤恢復(fù)測試、性能測試、可靠性測試、保密性測試、壓力測試、可用性測試、容量測試），分析測試用例是否充分，測試結(jié)果是否與業(yè)務(wù)需求一致；（6）檢查是否建立系統(tǒng)變更的回退程序，是否有回退程序的測試或試運(yùn)行成功的記錄；（7）調(diào)閱系統(tǒng)測試報(bào)告，檢查系統(tǒng)測試過程中是否對測試的情況進(jìn)行規(guī)范的記錄，是否形成測試文檔；對測試過程是否進(jìn)行分析，并提出相應(yīng)修改意見。

檢查項(xiàng)2：系統(tǒng)驗(yàn)收

基本要求：商業(yè)銀行應(yīng)當(dāng)在系統(tǒng)發(fā)布前對測試過程進(jìn)行充分審查，防止未經(jīng)充分測試的系統(tǒng)上線運(yùn)行；應(yīng)當(dāng)在系統(tǒng)發(fā)布前對系統(tǒng)交付物的完整性進(jìn)行檢查，以及對代碼進(jìn)行檢驗(yàn)；對打包銷售的系統(tǒng)，應(yīng)要求其提供充分可靠的測試證明，并進(jìn)行代碼審查；應(yīng)當(dāng)對系統(tǒng)進(jìn)行一段時(shí)間的試運(yùn)行，及時(shí)發(fā)現(xiàn)試運(yùn)行中存在的問題，改正后方可正式上線。

檢查方法、步驟：（1）調(diào)閱系統(tǒng)驗(yàn)收記錄和測試質(zhì)量的評估報(bào)告，檢查系統(tǒng)發(fā)布前商業(yè)銀行是否對測試的過程和有關(guān)測試充分進(jìn)行了審查并對測試質(zhì)量進(jìn)行了評估；（2）查看驗(yàn)收記錄中是否對系統(tǒng)交付物的完整性進(jìn)行了檢查，檢查的內(nèi)容還應(yīng)該包括軟件發(fā)布計(jì)劃、操作手冊和應(yīng)急預(yù)案等文檔；（3）檢查打包銷售的軟件是否有完整的、充分的和可靠的測試報(bào)告，是否有對軟件代碼的審查記錄，特別是對秘密信道及特洛伊木馬程序?qū)彶?；?）檢查是否有完整的試運(yùn)行報(bào)告、試運(yùn)行記錄、系統(tǒng)錯(cuò)誤修正記錄等，查看系統(tǒng)的試運(yùn)行是否通過。

檢查項(xiàng)3：投產(chǎn)上線

基本要求：商業(yè)銀行應(yīng)重視信息系統(tǒng)的投產(chǎn)上線工作，做到以下幾點(diǎn)：（1）包括用戶需求書、功能說明書、設(shè)計(jì)說明書、技術(shù)與業(yè)務(wù)操作手冊等在內(nèi)的所有文檔資料在上線前應(yīng)正式歸檔保管；（2）投產(chǎn)上線所用的系統(tǒng)生產(chǎn)環(huán)境已經(jīng)建立并經(jīng)驗(yàn)收測試證明有效；（3）清除 49 投產(chǎn)上線用的系統(tǒng)生產(chǎn)環(huán)境中的驗(yàn)收測試數(shù)據(jù)（另行安排生產(chǎn)環(huán)境除外）；（4）完成投產(chǎn)上線計(jì)劃書、上線操作手冊、回退操作手冊并經(jīng)驗(yàn)證；（5）有數(shù)據(jù)移植時(shí)還需對新舊系統(tǒng)中被移植部分?jǐn)?shù)據(jù)的一致性進(jìn)行驗(yàn)證，對數(shù)據(jù)調(diào)整時(shí)應(yīng)對調(diào)整過程完整記錄并請相關(guān)人員簽字；（6）已對運(yùn)行人員、業(yè)務(wù)管理人員、業(yè)務(wù)操作人員進(jìn)行了培訓(xùn)，開發(fā)人員與運(yùn)行維護(hù)人員已經(jīng)完成了職責(zé)移交。

檢查方法、步驟:（1）檢查文檔資料管理系統(tǒng)，確認(rèn)與該信息系統(tǒng)有關(guān)的各類文檔資料已經(jīng)正式歸檔保管，納入生產(chǎn)系統(tǒng)文檔資料管理范圍；（2）與業(yè)務(wù)和技術(shù)人員訪談，了解投產(chǎn)上線的完整過程，判斷投產(chǎn)上線用的環(huán)境是否在啟用時(shí)已經(jīng)驗(yàn)證有效、測試業(yè)務(wù)數(shù)據(jù)得到完全清理、被移植到生產(chǎn)環(huán)境的數(shù)據(jù)與在原環(huán)境中數(shù)據(jù)保持一致性；（3）與運(yùn)行人員和開發(fā)維護(hù)人員訪談，了解在投產(chǎn)時(shí)，運(yùn)行人員是否熟悉運(yùn)行操作，維護(hù)人員是否接管維護(hù)職責(zé)，從而判斷是否實(shí)行崗位分離和存在操作風(fēng)險(xiǎn)。

5.3系統(tǒng)下線

商業(yè)銀行應(yīng)對系統(tǒng)下線按規(guī)范流程妥善處理，確保下線系統(tǒng)敏感數(shù)據(jù)的安全性和完整性。

檢查項(xiàng)1：系統(tǒng)下線

基本要求：商業(yè)銀行應(yīng)當(dāng)關(guān)注系統(tǒng)下線工作，并做到以下幾點(diǎn)：（1）下線前，應(yīng)當(dāng)做好充分的論證，證明該信息系統(tǒng)的功能已經(jīng)失 50

第二篇：銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管現(xiàn)場檢查手冊

前 言

信息科技已經(jīng)成為銀行業(yè)金融機(jī)構(gòu)實(shí)現(xiàn)經(jīng)營戰(zhàn)略和業(yè)務(wù)運(yùn)營的基礎(chǔ)平臺(tái)以及金融創(chuàng)新的 重要手段。銀行業(yè)對信息科技的高度依賴，決定了信息系統(tǒng)的安全性、可靠性和有效性對維 系整個(gè)銀行業(yè)的安全和金融體系的穩(wěn)定具有至關(guān)重要的作用。

銀監(jiān)會(huì)黨委對信息科技風(fēng)險(xiǎn)監(jiān)管工作高度重視，劉明康主席多次召開專項(xiàng)工作會(huì)議并做 出重要批示和指示，明確要求著力推進(jìn)信息科技風(fēng)險(xiǎn)監(jiān)管。銀監(jiān)會(huì)堅(jiān)持貫徹“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”的監(jiān)管理念，把信息科技風(fēng)險(xiǎn)納入銀行總體風(fēng)險(xiǎn)監(jiān)管框架，切實(shí)加強(qiáng)制 度建設(shè)和風(fēng)險(xiǎn)監(jiān)控，確保銀行業(yè)信息系統(tǒng)安全穩(wěn)定。

在目前信息技術(shù)革新日新月異、金融業(yè)務(wù)不斷創(chuàng)新、銀行對信息科技依賴性越來越大的 新形勢下，銀監(jiān)會(huì)堅(jiān)持“風(fēng)險(xiǎn)為本”的監(jiān)管原則，提出了信息科技風(fēng)險(xiǎn)功能性監(jiān)管的新思路，突出“制度先行”，完善監(jiān)管框架，借鑒和吸收國際先進(jìn)標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐，不斷豐富信息 科技風(fēng)險(xiǎn)監(jiān)管方式方法，制定了一系列的監(jiān)管規(guī)范，結(jié)合奧運(yùn)保障開展現(xiàn)場檢查，并針對性 地發(fā)出有關(guān)風(fēng)險(xiǎn)提示，建立非現(xiàn)場監(jiān)管體系和監(jiān)管評級(jí)體系，從而構(gòu)建了信息科技風(fēng)險(xiǎn)監(jiān)管 的基礎(chǔ)框架，全面展開信息科技風(fēng)險(xiǎn)的監(jiān)管工作。

按照郭利根副主席提出的“集成資源，形成信息科技風(fēng)險(xiǎn)監(jiān)管合力”和“搞好規(guī)劃，全面加 強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管制度建設(shè)”要求，銀監(jiān)會(huì)強(qiáng)化機(jī)制建設(shè)、優(yōu)化資源配置，整合科技人力資 源，集中全國銀監(jiān)會(huì)系統(tǒng)科技骨干力量，在北京成立了信息科技監(jiān)管“專項(xiàng)工作組”，又在上 海、深圳兩地分別成立信息科技風(fēng)險(xiǎn)監(jiān)管工作室，按照統(tǒng)一調(diào)度、統(tǒng)一指揮、統(tǒng)一培訓(xùn)的工 作原則，制度建設(shè)、奧運(yùn)保障、現(xiàn)場檢查、非現(xiàn)場監(jiān)管及監(jiān)管評級(jí)五線并舉，形成了矩陣式 的監(jiān)管工作模式，快速鍛煉了一支能戰(zhàn)會(huì)戰(zhàn)、能夠擔(dān)當(dāng)重任的信息科技風(fēng)險(xiǎn)專業(yè)化監(jiān)管隊(duì)伍。

《手冊》的編寫得到了各方的大力支持。上海、湖北、安徽、山東、山西、江蘇、江西、河南、內(nèi)蒙古、黑龍江、青島、福建、河北、寧夏、遼寧、吉林、浙江、四川、深圳、廣東、天津、重慶、大連、云南、貴州銀監(jiān)局派出精銳技術(shù)骨干，參加《手冊》編寫工作；銀監(jiān)會(huì) 各部門與各銀監(jiān)局提出了許多寶貴意見；上海銀監(jiān)局為編寫工作提供了大量支持和保障工作。整個(gè)《手冊》內(nèi)容融合了銀監(jiān)系統(tǒng)內(nèi)信息科技人員的經(jīng)驗(yàn)和智慧，匯聚了銀監(jiān)會(huì)各部門與各 銀監(jiān)局的寶貴意見和建議，應(yīng)屬于銀監(jiān)會(huì)系統(tǒng)及科技人員共同努力的成果和結(jié)晶。在此，向 所有參與工作的單位和個(gè)人致以誠摯的謝意！

編寫人員

林 麗 朱永揚(yáng) 懌衛(wèi)飛 李 丹 駱絮飛 鄒 偉 房世暉

崔維琪 朱 斌 馮業(yè)偉 葉 照 喬昱瑞 紀(jì)奀 武 齊興利

吳瑞麟 陳宏宇

譚 楊 李 鵬 張 偉 周嘉弘 史文明 李海波

張惠芳 郝海峰 何 禹 包 龍

李曉東 楊中華 靖雪晶 殷有超 陸 陽 崔 晨 懌美東

陸 翔 盛于南 懌殿南

陳云龍

游 琨

劉 楠

目 錄

第一部分 概述.............................................2

1.銀行信息科技風(fēng)險(xiǎn)及其監(jiān)管...............................2

1.1 銀行信息科技風(fēng)險(xiǎn)................................................................2 1.2 銀行信息科技風(fēng)險(xiǎn)特點(diǎn)............................................................2

1.3 風(fēng)險(xiǎn)成因分析....................................................................3

1.4 信息科技風(fēng)險(xiǎn)監(jiān)管意義............................................................4 2.現(xiàn)場檢查一般流程.......................................5

2.1 現(xiàn)場檢查準(zhǔn)備階段................................................................5 2.2 現(xiàn)場檢查實(shí)施階段................................................................7

2.3 現(xiàn)場檢查后續(xù)階段................................................................8 3.常用檢查方法...........................................9 第二部分 科技管理.......................................11 4.科技治理..............................................11

4.1 董事會(huì)及高管層.................................................................11 檢查項(xiàng) 1 ：董事會(huì)和高級(jí)管理層............................................................................................11

4.2 信息科技工作的管理機(jī)構(gòu).........................................................12

檢查項(xiàng) 1 ：全行信息科技工作的管理機(jī)構(gòu).............................................................................12

4.3 信息科技部門...................................................................13

檢查項(xiàng) 1 ：信息科技部門.......................................................................................................13

4.4 信息科技戰(zhàn)略規(guī)劃...............................................................15

檢查項(xiàng) 1 ：信息科技戰(zhàn)略規(guī)劃................................................................................................15

4.5 信息科技風(fēng)險(xiǎn)管理部門...........................................................15

檢查項(xiàng) 1 ：信息科技風(fēng)險(xiǎn)管理部門........................................................................................15

4.6 信息科技風(fēng)險(xiǎn)審計(jì)...............................................................16

檢查項(xiàng) 1 ：信息科技風(fēng)險(xiǎn)審計(jì)機(jī)制........................................................................................16

4.7 知識(shí)產(chǎn)權(quán)保護(hù)...................................................................17

檢查項(xiàng) 1 ：敉識(shí)產(chǎn)權(quán)制度.......................................................................................................17

4.8 信息披露.......................................................................17

檢查項(xiàng) 1 ：信息披露..............................................................................................................17 5.連續(xù)性管理............................................18

5.1 信息系統(tǒng)連續(xù)性組織.............................................................18 檢查項(xiàng) 1：系統(tǒng)連續(xù)性管理組織..............................................................................................18 檢查項(xiàng) 2：系統(tǒng)連續(xù)性管理組織職責(zé)......................................................................................19 檢查項(xiàng) 3：系統(tǒng)連續(xù)性計(jì)劃編制、維護(hù)...................................................................................20 檢查項(xiàng) 4：系統(tǒng)連續(xù)性計(jì)劃編制、維護(hù)職責(zé)...........................................................................20 檢查項(xiàng) 5：系統(tǒng)連續(xù)性計(jì)劃執(zhí)行組織......................................................................................20 檢查項(xiàng) 6：系統(tǒng)連續(xù)性計(jì)劃執(zhí)行組織職責(zé)...............................................................................21 檢查項(xiàng) 7：人員變動(dòng)管理.........................................................................................................22 5.2 信息系統(tǒng)連續(xù)性計(jì)劃.............................................................22 檢查項(xiàng) 1：系統(tǒng)連續(xù)性計(jì)劃.....................................................................................................22 檢查項(xiàng) 2：測試及持續(xù)更新.....................................................................................................24 檢查項(xiàng) 3：信息系統(tǒng)連續(xù)性計(jì)劃管理......................................................................................25 檢查項(xiàng) 4：系統(tǒng)連續(xù)性計(jì)劃培訓(xùn)..............................................................................................25 檢查項(xiàng) 5：系統(tǒng)連續(xù)性計(jì)劃審計(jì)..............................................................................................25 6.應(yīng)急管理..............................................26

6.1 應(yīng)急組織.......................................................................26 檢查項(xiàng) 1：應(yīng)急管理團(tuán)隊(duì).........................................................................................................26 檢查項(xiàng) 2：應(yīng)急管理職責(zé).........................................................................................................27 檢查項(xiàng) 3：應(yīng)急管理制度.........................................................................................................27 6.2 應(yīng)急預(yù)案.......................................................................27

檢查項(xiàng) 1：應(yīng)急預(yù)案制訂.........................................................................................................27

檢查項(xiàng) 2：應(yīng)急預(yù)案內(nèi)容.........................................................................................................28

檢查項(xiàng) 3：應(yīng)急預(yù)案更新.........................................................................................................29 檢查項(xiàng) 4：外包服務(wù)應(yīng)急.........................................................................................................29 檢查項(xiàng) 5：應(yīng)急培訓(xùn)................................................................................................................29 6.3 應(yīng)急演練.......................................................................30 檢查項(xiàng) 1：應(yīng)急演練前............................................................................................................30 檢查項(xiàng) 2：應(yīng)急演練過程.........................................................................................................30 檢查項(xiàng) 3：應(yīng)急演練后............................................................................................................30 6.4 應(yīng)急響應(yīng).......................................................................31 檢查項(xiàng) 1：應(yīng)急響應(yīng)流程.........................................................................................................31 檢查項(xiàng) 3：應(yīng)急事件報(bào)告.........................................................................................................32 檢查項(xiàng) 4：與第三方溝通.........................................................................................................32 檢查項(xiàng) 5 ：向新聞媒體通報(bào)制度............................................................................................32 檢查項(xiàng) 6：應(yīng)急處置總結(jié).........................................................................................................33 6.5 應(yīng)急保障.......................................................................33 檢查項(xiàng) 1：人員保障................................................................................................................33 檢查項(xiàng) 2：物質(zhì)保障................................................................................................................33 檢查項(xiàng) 3：技術(shù)保障................................................................................................................34 檢查項(xiàng) 4：溝通保障................................................................................................................34 6.6 持續(xù)改進(jìn).......................................................................34 檢查項(xiàng) 1：應(yīng)急事件評估、改進(jìn)..............................................................................................34 檢查項(xiàng) 2：應(yīng)急響應(yīng)評估.........................................................................................................35 檢查項(xiàng) 3：應(yīng)急管理評估.........................................................................................................35 檢查項(xiàng) 4：納入全面風(fēng)險(xiǎn)管理機(jī)制..........................................................................................35 7.信息系統(tǒng)安全管理......................................35

7.1 安全管理組織...................................................................36 檢查項(xiàng) 1：管理目標(biāo)................................................................................................................36

檢查項(xiàng) 2：人員風(fēng)險(xiǎn)................................................................................................................36

7.2 安全管理制度...................................................................37 檢查項(xiàng) 1：規(guī)章制度................................................................................................................37 檢查項(xiàng) 2：制度合規(guī)................................................................................................................38 查項(xiàng) 3：制度執(zhí)行....................................................................................................................38 檢查項(xiàng) 4：宣傳和教育培訓(xùn).....................................................................................................39 檢查項(xiàng) 5：事件響應(yīng)和處理.....................................................................................................39 8.外包管理..............................................40

8.1 服務(wù)外包管理制度...............................................................40 檢查項(xiàng) 1：服務(wù)外包管理制度.................................................................................................40 檢查項(xiàng) 2：對重要外包項(xiàng)目評估..............................................................................................41 檢查項(xiàng) 3：外包安全保密措施.................................................................................................41 8.2 服務(wù)外包管理風(fēng)險(xiǎn)評估...........................................................41 檢查項(xiàng) 1：對服務(wù)外包商評估.................................................................................................41 檢查項(xiàng) 2：對服務(wù)外包商審查.................................................................................................42 8.3 服務(wù)外包審批...................................................................42

檢查項(xiàng) 1：服務(wù)外包審批流程.................................................................................................42

8.4 服務(wù)外包應(yīng)急響應(yīng)...............................................................42 檢查項(xiàng) 1：服務(wù)外包應(yīng)急計(jì)劃.................................................................................................42 檢查項(xiàng) 2：服務(wù)外包商聯(lián)絡(luò)機(jī)制..............................................................................................43 檢查項(xiàng) 3：服務(wù)外包應(yīng)急演練.................................................................................................43 8.5 外包合同.......................................................................43 檢查項(xiàng) 1：外包合同................................................................................................................43 檢查項(xiàng) 2：服務(wù)外包商訪問權(quán)限..............................................................................................44 檢查項(xiàng) 3：外包服務(wù)法律風(fēng)險(xiǎn).................................................................................................44 8.6 服務(wù)外包文檔的完備性...........................................................45

檢查項(xiàng) 1：服務(wù)外包文檔.........................................................................................................45

第三篇：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

第一章 總 則

第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理?xiàng)l例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。

第三條 本指引所稱信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。第四條 本指引所稱信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。第五條 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。第二章

第六條 商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組

第七條 商業(yè)銀行的董事會(huì)應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)

（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率。

（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。

（五）設(shè)立一個(gè)由來自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人

（七）確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對審計(jì)報(bào)告

（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。

（九）確保信息科技風(fēng)險(xiǎn)管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。

（十一）確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場檢

（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改。

（十四）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

第八條 商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報(bào)，并參與決策。首席信息

（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)

（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技 預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。

（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一

（五）組織專業(yè)培訓(xùn)，提高人才隊(duì)伍的專業(yè)技能。

（六）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

第九條 商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進(jìn)行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊并適時(shí)更新。對相關(guān)人員應(yīng)采取下列風(fēng)險(xiǎn)防范措施：

（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資

（二）（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位

第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評估，跟蹤整改意見的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條 商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技

第十二條 商業(yè)銀行應(yīng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機(jī)構(gòu)信息科技知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)。第十三條 商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時(shí)披露信息科技風(fēng)險(xiǎn)

第三章

第十四條 商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃，確保配臵足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境。第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級(jí)與保護(hù)。

（二）信息系統(tǒng)開發(fā)、測試和維護(hù)。

（三）信息科技運(yùn)行和維護(hù)。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處臵。

第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評估流程，確定信息科技中存在隱患的區(qū)域，評價(jià)風(fēng)險(xiǎn)對其業(yè)務(wù)的潛在影響，對風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行

（二）確定潛在風(fēng)險(xiǎn)區(qū)域，并對這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。4.5.第十八條 商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測機(jī)制，其中應(yīng)包括：

（一）建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評價(jià)機(jī)制。

（二）建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。

（三）建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制。

（四）建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制。

（五）（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。

（八）定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評價(jià)。

第十九條 中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機(jī)構(gòu)關(guān)于信息科技風(fēng)險(xiǎn)管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險(xiǎn)。第四章 信息安全

第二十條 商業(yè)銀行信息科技部門負(fù)責(zé) 建立和實(shí)施信息分類和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計(jì)劃和保持長效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評估報(bào)告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）

（十一）第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動(dòng)到新的第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職

第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進(jìn)行評估，并根據(jù)安全級(jí)別定義和評估結(jié)果實(shí)施有效的安全控制，如對每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等。

（一）（二）

（三）（四）

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）（七）

第二十五條 商業(yè)銀行應(yīng)通過以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計(jì)算機(jī)操作人

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶

（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控

第二十六條

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職

（二）（三）加強(qiáng)職責(zé)劃分，對關(guān)鍵或敏感崗位進(jìn)行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶提

（七）以書面或電子格式

（八）第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國家會(huì)計(jì)準(zhǔn)則要求予以保

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信

第二十八條 商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密

（一）（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審查。

（三）（四）

第二十九條 商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）和個(gè)人數(shù)字助理（PDA

第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條 商業(yè)銀行應(yīng)對所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。第五章

第三十二條 商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對系統(tǒng)的后評價(jià)，并根據(jù)評價(jià)結(jié)果及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。

第三十三條 商業(yè)銀行應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成第三十四條 商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜

第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護(hù)人員

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn)，并對變更進(jìn)行及時(shí)記錄和定期復(fù)查。

第三十六條 商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、第三十七條 商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進(jìn)行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和

第三十八條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級(jí)過程。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活

第六章

第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中

第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對長期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查

第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技

第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求

第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說明。如在信息科技運(yùn)行手冊中說明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留

第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺(tái)，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進(jìn)行調(diào)查和解決。

第四十五條 商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運(yùn)行

第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對

第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)

第四十八條 商業(yè)銀行應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性

第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗(yàn)收測試和變更管理流程,采用恰當(dāng)?shù)牡谄哒?/p>

第五十條 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；

第五十一條 商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）（三）

第五十二條 商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的第五十三條 商業(yè)銀行應(yīng)建立維持其運(yùn)營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對本條

（一）到

（三）進(jìn)行

第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。第八章 外

第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職

第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第五十七條 商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報(bào)告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)

（二）（三）充分審查、評估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，對外包服務(wù)商進(jìn)

（四）考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情

（五）關(guān)注可能存在的集中風(fēng)險(xiǎn)，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的第五十八條 商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不

（一）（二）銀行業(yè)

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶信息

（四）（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)制度和流程的意愿及相關(guān)措

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包

1.商業(yè)銀行或外包服務(wù)商的所2.3.第五十九條 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮

（一）提出定性和定量的績效指標(biāo)，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶

（二）通過服務(wù)水平報(bào)告、定期自我評估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績效考核。

（三）針對績效不達(dá)標(biāo)的情況調(diào)整流程，采取整改措施。

第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資

（一）（二）

（三）（四）

（五）嚴(yán)格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信

（六）第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財(cái)務(wù)損失和重

第六十二條 商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險(xiǎn)管理部門、法律部門和信息科技管理委員會(huì)審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服

第九章 內(nèi)部審計(jì)

第六十三條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日?；顒?dòng)，具有適當(dāng)?shù)牡诹臈l

（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控

（二）（三）

（四）執(zhí)行信息科技專項(xiàng)審計(jì)。信息科技專項(xiàng)審計(jì)，是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評估結(jié)果對認(rèn)為必要的特殊事

第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每第六十六條 商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門

第十章

第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相

第六十八條 在委托審計(jì)過程中，商業(yè)銀行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國家法律、第六十九條 商業(yè)銀行在實(shí)施外部審計(jì)前應(yīng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)

第七十條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對商業(yè)銀行執(zhí)行信息科技審計(jì)或相關(guān)檢查。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)

第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商

第七十二條 商業(yè)銀行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，第十一章 附

第七十三條 未設(shè)董事會(huì)的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機(jī)構(gòu)履行本指 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 第一章 總 則

第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理?xiàng)l例》，第二條

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨

第三條 本指引所稱信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條 本指引所稱信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。第五條 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。第二章

第六條 商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組

第七條 商業(yè)銀行的董事會(huì)應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)

（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一

（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠

（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信

（五）設(shè)立一個(gè)由來自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的

（六）在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專

（七）確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對審計(jì)報(bào)告

（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。

（九）（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和

（十一）確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場檢查的要求，防范跨境

（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突

（十三）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)

（十四）第八條 商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報(bào)，并參與決策。首席信息

（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)

（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息

（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一

（五）（六）

第九條 商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進(jìn)行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊并適時(shí)

（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資

（二）（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位接替計(jì)劃等

第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評估，第十一條 商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技

第十二條 商業(yè)銀行應(yīng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機(jī)構(gòu)信息科技知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法

第十三條 商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時(shí)披露信息科技風(fēng)險(xiǎn)

第三章

第十四條 商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃，確保配臵足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)

（一）（二）

（三）（四）

（五）（六）

（七）第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評估流程，確定信息科技中存在隱患的區(qū)域，評價(jià)風(fēng)險(xiǎn)對其業(yè)務(wù)的潛在影響，對風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所

第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評估結(jié)果，實(shí)施全面的（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行

（二）確定潛在風(fēng)險(xiǎn)區(qū)域，并對這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控

1.2.3.訪問授權(quán)以“必需知道”和“4.5.第十八條 商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測機(jī)制，其中應(yīng)包括：

（一）（二）

（三）（四）

（五）（六）

（七）定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。

（八）第十九條 中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機(jī)構(gòu)關(guān)于信息科技風(fēng)險(xiǎn)管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險(xiǎn)。第四章

第二十條 商業(yè)銀行信息科技部門負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計(jì)劃和保持長效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評估報(bào)告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）業(yè)務(wù)連續(xù)性管

（十一）第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動(dòng)到新的第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職

第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進(jìn)行評估，并根據(jù)安全級(jí)別定義和評估結(jié)果實(shí)施有效的安全控制，如對每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)

（一）（二）

（三）（四）

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）（七）

第二十五條 商業(yè)銀行應(yīng)通過以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計(jì)算機(jī)操作人

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶

（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)

第二十六條

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職

（二）（三）加強(qiáng)職責(zé)劃分，對關(guān)鍵或敏感崗位進(jìn)行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶提

（七）（八）

第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國家會(huì)計(jì)準(zhǔn)則要求予以保

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信

商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信

第二十八條 商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過程

（一）（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審查。

（三）（四）

第二十九條 商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）和個(gè)人數(shù)字助理（PDA

第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條 商業(yè)銀行應(yīng)對所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容

第五章

第三十二條 商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對系統(tǒng)的后評價(jià)，并根據(jù)評價(jià)結(jié)果及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。第三十三條 商業(yè)銀行應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的第三十四條 商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜

第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn)，并對變更進(jìn)行及時(shí)記錄和定期復(fù)查。

第三十六條 商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、第三十七條 商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進(jìn)行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和

第三十八條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級(jí)過程。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活

第六章

第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供

第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對長期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查

第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技

第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序

第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說明。如在信息科技運(yùn)行手冊中說明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留

第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺(tái)，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進(jìn)行調(diào)查和解決。

第四十五條 商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運(yùn)行

第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對

第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)

第四十八條 商業(yè)銀行應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性

第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗(yàn)收測試和變更管理流程,采用恰當(dāng)?shù)牡谄哒?/p>

第五十條 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；

第五十一條 商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）（三）

第五十二條 商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的第五十三條 商業(yè)銀行應(yīng)建立維持其運(yùn)營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對本條

（一）到

（三）進(jìn)行

第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。第八章 外

第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職

第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第五十七條 商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報(bào)告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)

（二）（三）充分審查、評估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，對外包服務(wù)商進(jìn)

（四）考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情

（五）關(guān)注可能存在的集中風(fēng)險(xiǎn)，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的第五十八條 商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不

（一）（二）

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶信息

（四）（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)制度和流程的意愿及相關(guān)措

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包

1.2.3.第五十九條 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮

（一）提出定性和定量的績效指標(biāo)，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶

（二）通過服務(wù)水平報(bào)告、定期自我評估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績效考核。

（三）針對績效不達(dá)標(biāo)的情況調(diào)整流程，采取整改措施。

第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資

（一）（二）

（三）（四）

（五）嚴(yán)格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息

（六）第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財(cái)務(wù)損失和重

第六十二條 商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險(xiǎn)管理部門、法律部門和信息科技管理委員會(huì)審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服

第九章

第六十三條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日常活動(dòng)，具有適當(dāng)?shù)牡诹臈l

（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控

（二）（三）

（四）執(zhí)行信息科技專項(xiàng)審計(jì)。信息科技專項(xiàng)審計(jì)，是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評估結(jié)果對認(rèn)為必要的特殊事

第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每第六十六條 商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門

第十章

第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相

第六十八條 在委托審計(jì)過程中，商業(yè)銀行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國家法律、第六十九條 商業(yè)銀行在實(shí)施外部審計(jì)前應(yīng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)

第七十條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對商業(yè)銀行執(zhí)行信息科技審計(jì)或相關(guān)檢查。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)

第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商

第七十二條 商業(yè)銀行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，第十一章 附

第七十三條 未設(shè)董事會(huì)的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機(jī)構(gòu)履行本指引中董事

第七十四條 第七十五條

第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)?2006?63號(hào)）同時(shí)廢止。

第七十四條 第七十五條

第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)?2006?63號(hào)）同時(shí)廢止。

第四篇：《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》

銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》

為進(jìn)一步加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)近日發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡稱《管理指引》），原《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)［2006］63號(hào)，以下簡稱原《指引》）同時(shí)廢止。

隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為銀行穩(wěn)健運(yùn)營和發(fā)展的支柱，原《指引》定位在信息系統(tǒng)風(fēng)險(xiǎn)管理的基本、原則性要求，已難以滿足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要。為此，銀監(jiān)會(huì)在原《指引》的基礎(chǔ)上，廣泛征求業(yè)內(nèi)機(jī)構(gòu)意見，制定了本《管理指引》。

《管理指引》具有以下幾個(gè)特點(diǎn)：一是全面涵蓋商業(yè)銀行的信息科技活動(dòng)，進(jìn)一步明確信息科技與銀行業(yè)務(wù)的關(guān)系，對于認(rèn)識(shí)和防范風(fēng)險(xiǎn)具有更加積極的作用；二是適用范圍由銀行業(yè)金融機(jī)構(gòu)變?yōu)榉ㄈ松虡I(yè)銀行，其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行；三是信息科技治理作為首要內(nèi)容提出，充實(shí)并細(xì)化了對商業(yè)銀行在治理層面的具體要求；四是重點(diǎn)闡述了信息科技風(fēng)險(xiǎn)管理和內(nèi)外部審計(jì)要求，特別是要求審計(jì)貫穿信息科技活動(dòng)的整個(gè)過程之中；五是參照國際國內(nèi)的標(biāo)準(zhǔn)和成功實(shí)踐，對商業(yè)銀行信息科技整個(gè)生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等方面提出高標(biāo)準(zhǔn)、高要求，使操作性更強(qiáng)；六是加強(qiáng)了對客戶信息保護(hù)的要求。

新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風(fēng)險(xiǎn)管理，信息安全，信息系統(tǒng)開發(fā)、測試和維護(hù)，信息科技運(yùn)行，業(yè)務(wù)連續(xù)性管理，外包，內(nèi)部審計(jì)，外部審計(jì)和附則等十一個(gè)部分。新《指引》的發(fā)布，將進(jìn)一步推動(dòng)我國銀行業(yè)信息科技風(fēng)險(xiǎn)管理向更高水平邁進(jìn)。

商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

第一章 總 則

第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理?xiàng)l例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。

第三條 本指引所稱信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條 本指引所稱信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第五條 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

第二章 信息科技治理

第六條 商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。

第七條 商業(yè)銀行的董事會(huì)應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國銀行業(yè)監(jiān)督管理委員會(huì)（以下簡稱銀監(jiān)會(huì)）相關(guān)監(jiān)管要求。

（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率。

（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。

（五）設(shè)立一個(gè)由來自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。

（七）確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。

（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。

（九）確保信息科技風(fēng)險(xiǎn)管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。

（十一）確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場檢查的要求，防范跨境風(fēng)險(xiǎn)。

（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改。

（十四）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

第八條 商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報(bào)，并參與決策。首席信息官的職責(zé)包括：

（一）直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。

（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。

（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。

（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。

（五）組織專業(yè)培訓(xùn)，提高人才隊(duì)伍的專業(yè)技能。

（六）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

第九條 商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進(jìn)行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊并適時(shí)更新。對相關(guān)人員應(yīng)采取下列風(fēng)險(xiǎn)防范措施：

（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位接替計(jì)劃等防范措施；在員工崗位發(fā)生變化后及時(shí)變更相關(guān)信息。

第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評估，跟蹤整改意見的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條 商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)。

第十二條 商業(yè)銀行應(yīng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機(jī)構(gòu)信息科技知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)。

第十三條 商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時(shí)披露信息科技風(fēng)險(xiǎn)狀況。

第三章 信息科技風(fēng)險(xiǎn)管理

第十四條 商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃，確保配臵足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級(jí)與保護(hù)。

（二）信息系統(tǒng)開發(fā)、測試和維護(hù)。

（三）信息科技運(yùn)行和維護(hù)。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處臵。

第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評估流程，確定信息科技中存在隱患的區(qū)域，評價(jià)風(fēng)險(xiǎn)對其業(yè)務(wù)的潛在影響，對風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新和公示。

（二）確定潛在風(fēng)險(xiǎn)區(qū)域，并對這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。 4.審批和授權(quán)。 5.驗(yàn)證和調(diào)節(jié)。

十八條 商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測機(jī)制，其中應(yīng)包括：

（一）建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評價(jià)機(jī)制。

（二）建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。

（三）建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制。

（四）建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制。

（五）安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查。

（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。

（八）定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評價(jià)。

第十九條 中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機(jī)構(gòu)關(guān)于信息科技風(fēng)險(xiǎn)管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險(xiǎn)。

第四章 信息安全

第二十條 商業(yè)銀行信息科技部門負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計(jì)劃和保持長效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評估報(bào)告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。

信息安全策略應(yīng)涉及以下領(lǐng)域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產(chǎn)管理。

（四）人員安全管理。

（五）物理與環(huán)境安全管理。

（六）通信與運(yùn)營管理。

（七）訪問控制管理。

（八）系統(tǒng)開發(fā)與維護(hù)管理。

（九）信息安全事故管理。

（十）業(yè)務(wù)連續(xù)性管理。

（十一）合規(guī)性管理。

第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動(dòng)到新的工作崗位或離開商業(yè)銀行時(shí)，應(yīng)在系統(tǒng)中及時(shí)檢查、更新或注銷用戶身份。

第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測和恢復(fù)控制措施。

第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進(jìn)行評估，并根據(jù)安全級(jí)別定義和評估結(jié)果實(shí)施有效的安全控制，4 如對每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等。

（一）域內(nèi)應(yīng)用程序和用戶組的重要程度。

（二）各種通訊渠道進(jìn)入域的訪問點(diǎn)。

（三）域內(nèi)配臵的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。

（四）性能要求或標(biāo)準(zhǔn)。

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條 商業(yè)銀行應(yīng)通過以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計(jì)算機(jī)操作人員、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限。

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。

（四）要求技術(shù)人員定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)。

（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。

第二十六條 商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。

（二）針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗(yàn)證方法。

（三）加強(qiáng)職責(zé)劃分，對關(guān)鍵或敏感崗位進(jìn)行雙重控制。

（四）在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶提供必要信息。

（七）以書面或電子格式保存審計(jì)痕跡。

（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。

第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：

（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國家會(huì)計(jì)準(zhǔn)則要求予以保存。

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。

商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。

第二十八條 商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度，以確保：

（一）使用符合國家要求的加密技術(shù)和加密設(shè)備。

（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審查。

（三）加密強(qiáng)度滿足信息機(jī)密性的要求。

（四）制定并落實(shí)有效的管理流程，尤其是密鑰和證書生命周期管理。

第二十九條 商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）和個(gè)人數(shù)字助理（PDA）等。

第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條 商業(yè)銀行應(yīng)對所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。

第五章 信息系統(tǒng)開發(fā)、測試和維護(hù)

第三十二條 商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對系統(tǒng)的后評價(jià)，并根據(jù)評價(jià)結(jié)果及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。

第三十三條 商業(yè)銀行應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本，并采取適當(dāng)?shù)捻?xiàng)目管理方法，控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。

第三十四條 商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜度。

第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，其中應(yīng)包括以下要求：

（一）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn)，并對變更進(jìn)行及時(shí)記錄和定期復(fù)查。

第三十六條 商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性。

第三十七條 商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進(jìn)行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說明，并通知相關(guān)人員。

第三十八條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級(jí)過程。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活動(dòng)納入信息科技項(xiàng)目，接受相關(guān)的管理和控制，包括用戶驗(yàn)收測試。

第六章 信息科技運(yùn)行

第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行。

第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對長期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查。

第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。

第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求。

第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說明。如在信息科技運(yùn)行手冊中說明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留周期）。

第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺(tái)，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進(jìn)行調(diào)查和解決。

第四十五條 商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運(yùn)行服務(wù)水平進(jìn)行考核。

第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對其進(jìn)行識(shí)別和修正。

第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。

第四十八條 商業(yè)銀行應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄），以確保有效維護(hù)設(shè)備和設(shè)施。

第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗(yàn)收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。

第七章 業(yè)務(wù)連續(xù)性管理

第五十條 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對規(guī)劃進(jìn)行更新和演練，以保證其有效性。

第五十一條 商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響，包括評估可能由下述原因?qū)е碌钠茐模邯?/p>

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）信息丟失或受損。

（三）外部事件（如戰(zhàn)爭、地震或臺(tái)風(fēng)等）。

第五十二條 商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險(xiǎn)等方式降低影響。

第五十三條 商業(yè)銀行應(yīng)建立維持其運(yùn)營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。2．運(yùn)行恢復(fù)的優(yōu)先順序。

3．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安排。

（二）更新實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃的流程及相關(guān)聯(lián)系信息。

（三）驗(yàn)證受中斷影響的信息完整性的步驟。

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對本條

（一）到

（三）進(jìn)行審核并升級(jí)。

第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。

第八章 外 包

第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。

第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第五十七條 商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相關(guān)準(zhǔn)備，其中包括：

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報(bào)告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險(xiǎn)控制，是否滿足商業(yè)銀行履行對外包服務(wù)商的監(jiān)督義務(wù)。

（二）考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關(guān)的操作風(fēng)險(xiǎn)。

（三）充分審查、評估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，對外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。

（四）考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

（五）關(guān)注可能存在的集中風(fēng)險(xiǎn)，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。

第五十八條 商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不限于： 

（一）對外包服務(wù)商的報(bào)告要求和談判必要條件。

（二）銀行業(yè)監(jiān)管機(jī)構(gòu)和內(nèi)部審計(jì)、外部審計(jì)能執(zhí)行足夠的監(jiān)督。

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶信息和其他信息。

（四）擔(dān)保和損失賠償是否充足。

（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)制度和流程的意愿及相關(guān)措施。

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）第三方供應(yīng)商出現(xiàn)問題時(shí)，保證軟件持續(xù)可用的相關(guān)措施。

（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如：

1.商業(yè)銀行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。

2.商業(yè)銀行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。

3.外包服務(wù)商提供的服務(wù)不充分，造成商業(yè)銀行不能履行監(jiān)督義務(wù)。

第五十九條 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮的因素包括但不限于：

（一）提出定性和定量的績效指標(biāo)，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。

（二）通過服務(wù)水平報(bào)告、定期自我評估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績效考核。

（三）針對績效不達(dá)標(biāo)的情況調(diào)整流程，采取整改措施。

第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實(shí)現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。

（三）要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

（四）應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。

（五）嚴(yán)格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。

（六）確保在中止外包協(xié)議時(shí)收回或銷毀外包服務(wù)商保存的所有客戶資料。

第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財(cái)務(wù)損失和重要人員的變動(dòng)，以及外包協(xié)議的意外終止。

第六十二條 商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險(xiǎn)管理部門、法律部門和信息科技管理委員會(huì)審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。

第九章 內(nèi)部審計(jì)

第六十三條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日?；顒?dòng)，具有適當(dāng)?shù)氖跈?quán)訪問本銀行的記錄。

第六十四條 商業(yè)銀行內(nèi)部信息科技審計(jì)的責(zé)任包括：

（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性。

（二）按照第（一）款規(guī)定完成審計(jì)工作，在此基礎(chǔ)上提出整改意見。

（三）檢查整改意見是否得到落實(shí)。

（四）執(zhí)行信息科技專項(xiàng)審計(jì)。信息科技專項(xiàng)審計(jì)，是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評估結(jié)果對認(rèn)為必要的特殊事項(xiàng)進(jìn)行的審計(jì)。

第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。

第六十六條 商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

第十章 外部審計(jì)

第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。

第六十八條 在委托審計(jì)過程中，商業(yè)銀行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

第六十九條 商業(yè)銀行在實(shí)施外部審計(jì)前應(yīng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)確定審計(jì)范圍，不應(yīng)故意隱瞞事實(shí)或阻撓審計(jì)檢查。

第七十條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對商業(yè)銀行執(zhí)行信息科技審計(jì)或相關(guān)檢查。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進(jìn)行審計(jì)。

第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商業(yè)銀行應(yīng)根據(jù)該審計(jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。

第七十二條 商業(yè)銀行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，防止其擅自對本銀行提供的任何文件進(jìn)行修改、復(fù)制或帶離現(xiàn)場。

第十一章 附 則

第七十三條 未設(shè)董事會(huì)的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機(jī)構(gòu)履行本指引中董事會(huì)的有關(guān)信息科技風(fēng)險(xiǎn)管理職責(zé)。

第七十四條 銀監(jiān)會(huì)依法對商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理實(shí)施監(jiān)督檢查。

第七十五條 本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。

第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)?2006?63號(hào)）同時(shí)廢止。

發(fā)文單位：中國銀行業(yè)監(jiān)督管理委員會(huì)

發(fā)布日期：2009-6-1 執(zhí)行日期：2009-6-1

Chapter I General Provisions

Article 1.Pursuant to the Law of the People?s Republic of China on Banking Regulation and Supervision，the Law of the People's Republic of China on Commercial Banks，the Regulations of the People?s Republic of China on Administration of Foreign-funded Banks，and other applicable laws and regulations，the Guidelines on the Risk Management of Commercial Banks? Information Technology（hereinafter referred to as the Guidelines）is formulated.Article 2.The Guidelines apply to all the commercial banks legally incorporated within the territory of the People?s Republic of China.The Guidelines may apply to other banking institutions including policy banks，rural cooperative banks，urban credit cooperatives，rural credit cooperatives，village banks，loan companies，financial asset management companies，trust and investment companies，finance firms，financial leasing companies，automobile financial companies and money brokers.Article 3.The term “information technology” stated in the Guidelines shall refer to the system built with computer，communication and software technologies，and employed by commercial banks to handle business transactions，operation management，and internal communication，collaborative work and controls.The term also include IT governance，IT organization structure and IT policies and procedures.Article 4.The risk of information technology refers to the operational risk，legal risk and reputation risk that are caused by natural factor，human factor，technological loopholes or management deficiencies when using information technology.Article 5.The objective of information system risk management is to establish an effective mechanism that can identify，measure，monitor，and control the risks of commercial banks? information system，ensure data integrity，availability，confidentiality and consistency，provide the relevant early warning，and thereby enable commercial banks? business innovations，uplift their capability in utilizing information technology，improve their core competitiveness and capacity for sustainable development.Chapter II IT governance

Article 6.The legal representative of commercial bank should be responsible to ensure compliance of this guideline.Article 7.The board of directors of commercial banks should have the following responsibilities with respect to the management of information systems：

（1）Implementing and complying with the national laws，regulations and technical standards pertaining to the management of information systems，as well as the regulatory requirements set by the China Banking Regulatory Commission（hereinafter referred to as the “CBRC”）；

（2）Periodically reviewing the alignment of IT strategy with the overall business strategies and significant policies of the bank，assessing the overall effectiveness and efficiency of the IT organization.（3）Approving IT risk management strategies and policies，understanding the major IT risks involved，setting acceptable levels for these risks，and ensuring the implementation of the measures necessary to identify，measure，monitor and control these risks.（4）Setting high ethical and integrity standards，and establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of IT risk management.（5）Establishing an IT steering committee which consists of representatives from senior management，the IT organization，and major business units，to oversee these responsibilities and report the effectiveness of strategic IT planning，the IT budget and actual expenditure，and the overall IT performance to the board of directors and senior management periodically.（6）Establishing IT governance structure，proper segregation of duty，clear role and responsibility，maintaining check and balances and clear reporting relationship.Strengthening IT professional staff by developing incentive program.（7）Ensuring that there is an effective internal audit of the IT risk management carried out by operationally independent，well-trained and qualified staff.The internal audit report should be submitted directly to the IT audit committee；

（8）Submitting an annual report to the CBRC and its local offices on information system risk management that has been reviewed and approved by the board of directors ；

（9）Ensuring the appropriating funding necessary for IT risk management works；

（10）Ensuring that all employees of the bank fully understand and adhere to the IT risk management policies and procedures approved by the board of directors and the senior management，and are provided with pertinent training.（11）Ensuring customer information，financial information，product information and core banking system of the legal entity are held independently within the territory，and complying with the regulatory on-site examination requirements of CBRC and guarding against cross-border risk.（12）Reporting in a timely manner to the CBRC and its local offices any serious incident of information systems or unexpected event，and quickly respond to it in accordance with the contingency plan；

（13）Cooperating with the CBRC and its local offices in the supervisory inspection of the risk management of information systems，and ensure that supervisory opinions are followed up； and

（14）Performing other related IT risk management tasks.Article 8.The head of the IT organization，commonly known as the Chief Information Officer（CIO）should report directly to the president.Roles and responsibilities of the CIO should include the following：

（1）Playing a direct role in key decisions for the business development involving the use of IT in the bank；

（2）The CIO should ensure that information systems meet the needs of the bank，and IT strategies，in particular information system development strategies，comply with the overall business strategies and IT risk management policies of the bank；

（3）The CIO should also be responsible for the establishment of an effective and efficient IT organization to carry out the IT functions of the bank.These include the IT budget and expenditure，IT risk management，IT policies，standards and procedures，IT internal controls，professional development，IT project initiatives，IT project management，information system maintenance and upgrade，IT operations，IT infrastructure，Information security，disaster recovery plan（DRP），IT outsourcing，and information system retirement；

（4）Ensuring the effectiveness of IT risk management throughout the organization including all branches.（5）Organizing professional trainings to improve technical proficiency of staff.（6）Performing other related IT risk management tasks.Article 9.Commercial banks should ensure that a clear definition of the IT organization structure and documentation of all job descriptions of important positions are always in place and updated in a timely manner.Staff in each position should meet relevant requirements on professional skills and knowledge.The following risk mitigation measures should be incorporated in the management program of related staff：

（1）Verification of personal information including confirmation of personal identification issued by government，academic credentials，prior work experience，professional qualifications；

（2）Ensuring that IT staff can meet the required professional ethics by checking character reference；

（3）Signing of agreements with employees about understanding of IT policies and guidelines，non-disclosure of confidential information，authorized use of information systems，and adherence to IT policies and procedures； and

（4）Evaluation of the risk of losing key IT personnel，especially during major IT development stage or in a period of unstable IT operations，and the relevant risk mitigation measures such as staff backup arrangement and staff succession plan.13

Article 10.Commercial banks should establish or designate a particular department for IT risk management.It should report directly to the CIO and the Chief Risk Officer（or risk management committee），serve as a member of the IT incident response team，and be responsible for coordinating the establishment of policies regarding IT risk management，especially the areas of information security，BCP，and compliance with the CBRC regulations，advising the business departments and IT department in implementing these policies，providing relevant compliance information，conducting on-going assessment of IT risks，and ensuring the follow-up of remediation advice，monitoring and escalating management of IT threats and non-compliance events.Article 11.Commercial banks should establish a special IT audit role and responsibility within internal audit function，which should put in place IT audit policies and procedures，develop and execute IT audit plan.Article 12.Commercial banks should put in place policies and procedures to protect intellectual property rights according to laws regarding intellectual properties，ensure purchase of legitimate software and hardware，prevention of the use of pirated software，and the protection of the proprietary rights of IT products developed by the bank，and ensure that these are fully understood and complied by all employees.Article 13.Commercial banks should，in accordance with relevant laws and regulations，disclose the risk profile of their IT normatively and timely.Chapter III IT Risk Management

Article 14.Commercial banks should formulate an IT strategy that aligns with the overall business plan of the bank，IT risk assessment plan and an IT operational plan that can ensure adequate financial resources and human resources to maintain a stable and secure IT environment.Article 15.Commercial banks should put in place a comprehensive set of IT risk management policies that include the following areas：

（1）Information security classification policy

（2）System development，testing and maintenance policy

（3）IT operation and maintenance policy

（4）Access control policy

（5）Physical security policy

（6）Personnel security policy

（7）Business Continuity Planning and Crisis and Emergency Management procedure

Article 16.Commercial banks should maintain an ongoing risk identification and assessment process that allows the bank to pinpoint the areas of concern in its information systems，assess the 14 potential impact of the risks on its business，rank the risks，and prioritize mitigation actions and the necessary resources（including outsourcing vendors，product vendors and service vendors）。

Article 17.Commercial banks should implement a comprehensive set of risk mitigation measures complying with the IT risk management policies and commensurate with the risk assessment of the bank.These mitigation measures should include：

（1）A set of clearly documented IT risk policies，technical standards，and operational procedures，which should be communicated to the staff frequently and kept up to date in a timely manner；

（2）Areas of potential conflicts of interest should be identified，minimized，and subject to careful，independent monitoring.Also it requires that an appropriate control structure is set up to facilitate checks and balances，with control activities defined at every business level，which should include：

-Top level reviews；

-Controls over physical and logical access to data and system；

-Access granted on “need to know” and “minimum authorization” basis；

-A system of approvals and authorizations； and

-A system of verification and reconciliation.Article 18.Commercial banks should put in place a set of ongoing risk measurement and monitoring mechanisms，which should include

（1）Pre and post-implementation review of IT projects；

（2）Benchmarks for periodic review of system performance；

（3）Reports of incidents and complaints about IT services；

（4）Reports of internal audit，external audit，and issues identified by CBRC； and

（5）Arrangement with vendors and business units for periodic review of service level agreements（SLAs）。

（6）The possible impact of new development of technology and new threats to software deployed.（7）Timely review of operational risk and management controls in operation area.（8）Assess the risk profile on IT outsourcing projects periodically.Article 19.Chinese commercial banks operating offshore and the foreign commercial banks in China should comply with the relevant regulatory requirements on information systems in and outside the People?s Republic of China.Chapter IV Information Security

Article 20.Information technology department of commercial banks should oversee the establishment of an information classification and protection scheme.All employees of the bank should be made aware of the importance of ensuring information confidentiality and provided with the necessary training to fully understand the information protection procedures within their responsibilities.Article 21.Commercial banks should put in place an information security management function to develop and maintain an ongoing information security management program，promote information security awareness，advise other IT functions on security issues，serve as the leader of IT incident response team，and report the evaluation of the information security of the bank to the IT steering committee periodically.The Information security management program should include Information security standards，strategy，an implementation plan，and an ongoing maintenance plan.Information security policy should include the following areas：

（1）IT security policy management

（2）Organization information security

（3）Asset management

（4）Personnel security

（5）Physical and environment security

（6）Communication and operation security

（7）Access control and authentication

（8）Acquirement，development and maintenance of information system

（9）Information security event management

（10）Business continuity management

（11）Compliance

Article 22.Commercial banks should have an effective process to manage user authentication and access control.Access to data and system should be strictly limited to authorized individuals whose identity is clearly established，and their activities in the information systems should be limited to the minimum required for their legitimate business use.Appropriate user authentication mechanism commensurate with the classification of information to be accessed should be selected.Timely review and removal of user identity from the system should be implemented when user transfers to a new job or leave the commercial bank.Article 23.Commercial banks should ensure all physical security zones，such as computer centers or data centers，network closets，areas containing confidential information or critical IT equipment，and respective accountabilities are clearly defined，and appropriate preventive，detective，and recuperative controls are put in place.Article 24.Commercial banks should divide their networks into logical security domains（hereinafter referred to as the “domain”）with different levels of security.The following security factors have to be assessed in order to define and implement effective security controls，such as physical or logical segregation of network，network filtering，logical access control，traffic encryption，network monitoring，activity log，etc.，for each domain and the whole network.（1）criticality of the applications and user groups within the domain；

（2）Access points to the domain through various communication channels；

（3）Network protocols and ports used by the applications and network equipment deployed within the domain；

（4）Performance requirement or benchmark；

（5）Nature of the domain，i.e.production or testing，internal or external；

（6）Connectivity between various domains； and

（7）Trustworthiness of the domain.Article 25.Commercial banks should secure the operating system and system software of all computer systems by

（1）Developing baseline security requirement for each operating system and ensuring all systems meet the baseline security requirement；

（2）Clearly defining a set of access privileges for different groups of users，namely，end-users，system development staff，computer operators，and system administrators and user administrators；

（3）Setting up a system of approval，verification，and monitoring procedures for using the highest privileged system accounts；

（4）Requiring technical staff to review available security patches，and report the patch status periodically； and

（5）Requiring technical staff to include important items such as unsuccessful logins，access to critical system files，changes made to user accounts，etc.in system logs，monitors the systems for any abnormal event manually or automatically，and report the monitoring periodically.Article 26.Commercial banks should ensure the security of all the application systems by

（1）Clearly defining the roles and responsibilities of end-users and IT staff regarding the application security；

（2）Implementing a robust authentication method commensurate with the criticality and sensibility of the application system；

（3）Enforcing segregation of duties and dual control over critical or sensitive functions；

（4）Requiring verification of input or reconciliation of output at critical junctures；

（5）Requiring the input and output of confidential information are handled in a secure manner to prevent theft，tampering，intentional leakage，or inadvertent leakage；

（6）Ensuring system can handle exceptions in a predefined way and provide meaningful message to users when the system is forced to terminate； and

（7）Maintaining audit trail in either paper or electronic format.（8）Requiring user administrator to monitor and review unsuccessful logins and changes to users accounts.Article 27.Commercial banks should have a set of policies and procedures controlling the logging of activities in all production systems to support effective auditing，security forensic analysis，and fraud prevention.Logging can be implemented in different layers of software and on different computer and networking equipment，which falls into two broad categories：

（1）Transaction journals.They are generated by application software and database management system，and contain authentication attempts，modification to data，error messages，etc.Transaction journals should be kept according to the national accounting policy.（2）System logs.They are generated by operating systems，database management system，firewalls，intrusion detection systems，and routers，etc.，and contain authentication attempts，system events，network events，error messages，etc.System logs should be kept for a period scaled to the risk classification，but no less than one year.Banks should ensure that sufficient items be included in the logs to facilitate effective internal controls，system troubleshooting，and auditing while taking appropriate measures to ensure time synchronization on all logs.Sufficient disk space should be allocated to prevent logs from being overwritten.System logs should be reviewed for any exception.The review frequency and retention period for transaction logs or database logs should be determined jointly by IT organization and pertinent business lines，and approved by the IT steering committee.Article 28.Commercial banks should have the capacity to employ encryption technologies to mitigate the risk of losing confidential information in the information systems or during its transmission.Appropriate management processes of the encryption facilities should be put in place to ensure that

（1）Encryption facilities in use should meet national security standards or requirements；

（2）Staff in charge of encryption facilities are well trained and screened；

（3）Encryption strength is adequate to protect the confidentiality of the information； and 18

（4）Effective and efficient key management procedures，especially key lifecycle management and certificate lifecycle management，are in place.Article 29.Commercial banks should put in place an effective and efficient system of securing all end-user computing equipment which include desktop personal computers（PCs），portable PCs，teller terminals，automatic teller machines（ATMs），passbook printers，debit or credit card readers，point of sale（POS）terminals，personal digital assistant（PDAs），etc and conduct periodic security checks on all equipments.Article 30.Commercial banks should put in place a set of policies and procedures to govern the collection，processing，storage，transmission，dissemination，and disposal of customer information.Article 31.All employees，including contract staff，should be provided with the necessary trainings to fully understand these policies procedures and the consequences of their violation.Commercial banks should adopt a zero tolerance policy against security violation.Chapter V Application System Development，Testing and Maintenance

Article 32.Commercial banks should have the capability to identify，plan，acquire，develop，test，deploy，maintain，upgrade，and retire information systems.Policies and procedures should be in place to govern the initiation，prioritization，approval，and control of IT projects.Progress reports of major IT projects should be submitted to and reviewed by the IT steering committee periodically.Decisions involving significant change of schedule，change of key personnel，change of vendors，and major expenditures should be included in the progress report.Article 33.Commercial banks should recognize the risks associated with IT projects，which include the possibilities of incurring various kinds of operational risk，financial losses，and opportunity costs stemming from ineffective project planning or inadequate project management controls of the bank.Therefore，appropriate project management methodologies should be adopted and implemented to control the risks associated with IT projects.Article 34.Commercial banks should adopt and implement a system development methodology to control the life cycle of Information systems.The typical phases of system life cycle include system analysis，design，development or acquisition，testing，trial run，deployment，maintenance，and retirement.The system development methodology to be used should be commensurate with the size，nature，and complexity of the IT project，and，generally speaking，should facilitate the management of the following risks.Article 35.Commercial banks should ensure system reliability，integrity，and maintainability by controlling system changes with a set of policies and procedures，which should include the following elements.（1）Ensure that production systems are separated from development or testing systems；

（2）Separating the duties of managing production systems and managing development or testing systems；

（3）Prohibiting application development and maintenance staff from accessing production system under normal circumstances unless management approval is granted to perform emergency repair，and all emergency repair activities should be recorded and reviewed promptly；

（4）Promoting changes of program or system configuration from development and testing systems to production systems should be jointly approved by IT organization and business departments，properly documented，and reviewed periodically.Article 36.Commercial banks should have in place a set of policies，standards，and procedures to ensure data integrity，confidentiality，and availability.These policies should be in accordance with data integrity amid IT development procedure.Article 37.Commercial banks should ensure that Information system problems could be tracked，analyzed，and resolved systematically through an effective problem management process.Problems should be documented，categorized，and indexed.Support services or technical assistance from vendors，if necessary，should also be documented.Contacts and relevant contract information should be made readily available to the employees concerned.Accountability and line of command should be delineated clearly and communicated to all employees concerned，which is of utmost importance to performing emergency repair.Article 38.Commercial banks should have a set of policies and procedures controlling the process of system upgrade.System upgrade is needed when the hardware reaches its lifespan or runs out of capacity，the underpinning software，namely，operating system，database management system，middleware，has to be upgraded，or the application software has to be upgraded.The system upgrade should be treated as a project and managed by all pertinent project management controls including user acceptance testing.Chapter VI IT Operations

Article 39.Commercial banks should consider fully the environmental threats（e.g.proximity to natural disaster zones，dangerous or hazardous facilities or busy/major roads）when selecting the locations of their data centers.Physical and environmental controls should be implemented to monitor environmental conditions could affect adversely the operation of information processing facilities.Equipment facilities should be protected from power failures and electrical supply interference.Article 40.In controlling access by third-party personnel（e.g.service providers）to secured areas，proper approval of access should be enforced and their activities should be closely monitored.It is important that proper screening procedures including verification and background checks，especially for sensitive technology-related jobs，are developed for permanent and temporary technical staff and contractors.20

Article 41.Commercial banks should separate IT operations or computer center operations from system development and maintenance to ensure segregation of duties within the IT organization.The commercial banks should document the roles and responsibilities of data center functions.Article 42.Commercial banks are required to retain transactional records in compliance with the national accounting policy.Procedures and technology are needed to be put in place to ensure the integrity，safekeeping and retrieval requirements of the archived data.Article 43.Commercial banks should detail operational instructions such as computer operator tasks，job scheduling and execution in the IT operations manual.The IT operations manual should also cover the procedures and requirements for on-site and off-site backup of data and software in both the production and development environments（i.e.frequency，scope and retention periods of back-up）。

Article 44.Commercial banks should have in place a problem management and processing system to respond promptly to IT operations incidents，to escalate reported incidents to relevant IT management staff and to record，analyze and keep tracks of all these incidents until rectification of the incidents with root cause analysis completed.A helpdesk function should be set up to provide front-line support to users on all technology-related problems and to direct the problems to relevant IT functions for investigation and resolution.Article 45.Commercial banks should establish service level agreement and assess the IT service level standard attained.Article 46.Commercial banks should implement a process to ensure that the performance of application systems is continuously monitored and exceptions are reported in a timely and comprehensive manner.The performance monitoring process should include forecasting capability to enable exceptions to be identified and corrected before they affect system performance.Article 47.Commercial banks should carry out capacity plan to cater for business growth and transaction increases due to changes of economic conditions.Capacity plan should be extended to cover back-up systems and related facilities in addition to the production environment.Article 48.Commercial banks should ensure the continued availability of technology related services with timely maintenance and appropriate system upgrades.Proper record keeping（including suspected and actual faults and preventive and corrective maintenance records）is necessary for effective facility and equipment maintenance.Article 49.Commercial banks should have an effective change management process in place to ensure integrity and reliability of the production environment.Commercial banks should develop a formal change management process.Chapter VII Business Continuity Management

Article 50.Commercial banks should have in place appropriate arrangements，having regard to the nature，scale and complexity of its business，to ensure that it can continue to function and meet its regulatory obligations in the event of an unforeseen interruption.These arrangements should be regularly updated and tested to ensure their effectiveness.Article 51.Commercial banks should consider the likelihood and impact of a disruption to the continuity of its operation from unexpected events.This should include assessing the disruptions to which it is particularly susceptible including but not limited to：

（1）Loss of failure of internal and external resources（such as people，systems and other assets）；

（2）The loss or corruption of its information； and

（3）External events（such as war，earthquake，typhoon，etc）。

Article 52.Commercial bank should act to reduce both the likelihood of disruptions（including system resilience and dual processing）； and the impact of disruptions（including by contingency arrangements and insurance）。

Article 53.Commercial bank should document its strategy for maintaining continuity of its operations，and its plans for communicating and regularly testing the adequacy and effectiveness of this strategy.Commercial bank should establish：

（1）Formal business continuity plans that outline arrangements to reduce the impact of a short，medium and long-term disruption，including：

a）Resource requirements such as people，systems and other assets，and arrangements for obtaining these resources；

b）The recovery priorities for the commercial bank?s operations； and

c）Communication arrangements for internal and external concerned parties（including CBRC，clients and the press）；

（2）Escalation and invocation plans that outline the processes for implementing the business continuity plans，together with relevant contact information；

（3）Processes to validate the integrity of information affected by the disruption；

（4）Processes to review and update（1）to（3）following changes to the commercial bank?s operations or risk profile.Article 54.A final BCP plan and an annual drill result must be signed off by the IT Risk management，or internal auditor and IT Steering Committee.Chapter VIII Outsourcing

Article 55.Commercial banks cannot contract out its regulatory obligations and should take reasonable care to supervise the discharge of outsourcing functions.22

Article 56.Commercial banks should take particular care to manage material outsourcing arrangement（such as outsourcing of data center，IT infrastructure，etc.），and should notify CBRC when it intends to enter into material outsourcing arrangement.Article 57.Before entering into，or significantly changing，an outsourcing arrangement，the commercial bank should：

（1）Analyze how the arrangement will fit with its organization and reporting structure； business strategy； overall risk profile； and ability to meet its regulatory obligations；

（2）Consider whether the arrangements will allow it to monitor and control its operational risk exposure relating to the outsourcing；

（3）Conduct appropriate due diligence of the service provider?s financial stability，expertise and risk assessment of the service provider，facilities and ability to cover the potential liabilities；

（4）Consider how it will ensure a smooth transition of its operations from its current arrangements to a new or changed outsourcing arrangement（including what will happen on the termination of the contract）； and

（5）Consider any concentration risk implications such as the business continuity implications that may arise if a single service provider is used by several firms.Article 58.In negotiating its contract with a service provider，the commercial bank should have regard to（but not limited to）：

（1）Reporting and negotiation requirements it may wish to impose on the service provider；

（2）Whether sufficient access will be available to its internal auditors，external auditors and banking regulators；

（3）Information ownership rights，confidentiality agreements and Firewalls to protect client and other information（including arrangements at the termination of contract）；

（4）The adequacy of any guarantees and indemnities；

（5）The extent to which the service provider must comply with the commercial bank?s polices and procedures covering IT Risk；

（6）The extent to which the service provider will provide business continuity for outsourced operations，and whether exclusive access to its resources is agreed；

（7）The need for continued availability of software following difficulty at a third party supplier；

（8）The processes for making changes to the outsourcing arrangement and the conditions under which the commercial bank or service provider can choose to change or terminate the outsourcing arrangement，such as where there is：

a）A change of ownership or control of the service provider or commercial bank； or

b）Significant change in the business operations of the service provider or commercial bank； or

c）Inadequate provision of services that may lead to the commercial bank being unable to meet its regulatory obligations.Article 59.In implementing a relationship management framework，and drafting the service level agreement with the service provider，the commercial bank should have regarded to（but not limited to）：

（1）The identification of qualitative and quantitative performance targets to assess the adequacy of service provision，to both the commercial bank and its clients，where appropriate；

（2）The evaluation of performance through service delivery reports and periodic self assessment and independent review by internal or external auditors； and

（3）Remediation action and escalation process for dealing with inadequate performance.Article 60.The commercial bank should enhance IT related outsourcing management，in place following（not limited to）measures to ensure data security of sensitive information such as customer information：

（1）Effectively separated from other customer information of the service provider；

（2）The related staff of service provider should be authorized on “need to know” and “minimum authorization” basis；

（3）Ensure service provider guarantee its staff for meeting the confidential requests；

（4）All outsourcing arrangements related to customer information should be identified as material outsourcing arrangements and the customers should be notified；

（5）Strictly monitor re-outsourcing actions of the service provider，and implement adequate control measures to ensure information security of the bank；

（6）Ensure all related sensitive information be refunded or deleted from the service provider?s storage when terminating the outsourcing arrangement.Article 61.The commercial bank should ensure that it has appropriate contingency in the event of a significant loss of services from the service provider.Particular issues to consider include a significant loss of resources，turnover of key staff，or financial failure of，the service provider，and unexpected termination of the outsourcing agreement.Article 62.All outsourcing contracts must be reviewed or signed off by IT Risk management，internal IT auditors，legal department and IT Steering Committee.There should be a process to periodically review and refine the service level agreements.Chapter IX Internal Audit

Article 63.Depending on the nature，scale and complexity of its business，it may be appropriate for the commercial banks to delegate much of the task of monitoring the appropriateness and effectiveness of its systems and controls to an internal audit function.An internal audit function should be adequately resourced and staffed by competent individuals，be independent of the day-to-day activities of the commercial bank and have appropriate access to the bank?s records.Article 64.The responsibilities of the internal IT audit function are：

（1）To establish，implement and maintain an audit plan to examine and evaluate the adequacy and effectiveness of the bank?s systems and internal control mechanisms and arrangements；

（2）To issue recommendations based on the result of work carried out in accordance with 1；

（3）To verify compliance with those recommendations；

（4）To carry out special audit on information technology.The term “special audit” of information technology refers to the investigation，analysis and assessment on the security incidents of the information system，or the audit performed on a special subject based on IT risk assessment result as deemed necessary by the audit department.Article 65.Based on the nature，scale and complexity of its business，deployment of information technology and IT risk assessment，commercial banks could determine the scope and frequency of IT internal audit.However，a comprehensive IT internal audit shall be performed at a minimum once every 3 years.Article 66.Commercial banks should engage its internal audit department and IT Risk management department when implementing system development of significant size and scale to ensure it meets the IT Risk standards of the Commercial banks.Chapter X External Audit

Article 67.The external information technology audit of commercial banks can be carried out by certified service providers in accordance with laws，rules and regulations.Article 68.The commercial bank should ensure IT audit service provider to review and examine bank?s hardware，software，documentation and data to identify IT risk when they are commissioned to perform the audit.Vital commercial and technical information which is protected by national laws and regulations should not be reviewed.Article 69.Commercial bank should communicate with the service provider in depth before the audit to determine audit scope，and should not withhold the truth or do not corporate with the service provider intentionally.Article 70.CBRC and its local offices could designate certified service providers to carry out IT audit or related review on commercial banks when needed.When carrying out audit on commercial banks，as commissioned or authorized by CBRC or its local offices，the service providers shall 25 present the letter of authority，and carry out the audit in accordance to the scope prescribed in the letter of authority.Article 71.Once the IT audit report produced by the service providers is reviewed and approved by CBRC or its local offices，the report will have the same legal status as if it is produced by the CBRC itself.Commercial banks should come up with a correction action plan prescribed in the report and implement the corrective actions according to the timeframe.Article 72.Commercial banks should ensure the service providers to strictly comply with laws and regulations to keep confidential and data security of any commercial secrets and private information learnt and IT risk information when conducting the audit.The service provider should not modify copy or take away any documents provided by the commercial banks.Chapter XI Supplementary Provisions

Article 73.Commercial banks with no board of directors should have their operating decision-making bodies perform the responsibilities of the board with regard to IT risk management specified herein.Article 74.The China Banking Regulatory Commission supervises and regulates the IT risk management of commercial banks under its authority by law.Article 75.The power of interpretation and modification of the Guidelines shall rest with the China Banking Regulatory Commission.Article 76.The Guidelines shall become effective as of the date of its issuance and the former Guidelines on the Risk Management of Banking Institutions? Information Systems shall be revoked at the same time.中國銀行業(yè)監(jiān)督管理委員會(huì)

第五篇：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

第一章 總 則

第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理?xiàng)l例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。

第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。

第三條 本指引所稱信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。

第四條 本指引所稱信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第五條 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

第二章 信息科技治理

第六條 商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。

第七條 商業(yè)銀行的董事會(huì)應(yīng)履行以下信息科技管理職責(zé)：

（一）遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國銀行業(yè)監(jiān)督管理委員會(huì)（以下簡稱銀監(jiān)會(huì)）相關(guān)監(jiān)管要求。

（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率。

（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測和控制。

（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。

（五）設(shè)立一個(gè)由來自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。

（七）確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。

（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。

（九）確保信息科技風(fēng)險(xiǎn)管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。

（十一）確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場檢查的要求，防范跨境風(fēng)險(xiǎn)。

（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

（十三）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改。

（十四）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。 第八條 商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報(bào)，并參與決策。首席信息官的職責(zé)包括：

（一）直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。

（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。

（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。

（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。

（五）組織專業(yè)培訓(xùn)，提高人才隊(duì)伍的專業(yè)技能。

（六）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

第九條 商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責(zé)進(jìn)行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊并適時(shí)更新。對相關(guān)人員應(yīng)采取下列風(fēng)險(xiǎn)防范措施：

（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。

（四）評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位接替計(jì)劃等防范措施；在員工崗位發(fā)生變化后及時(shí)變更相關(guān)信息。 第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評估，跟蹤整改意見的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。

第十一條 商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)。

第十二條 商業(yè)銀行應(yīng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機(jī)構(gòu)信息科技知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，并使所有員工充分理解并遵照執(zhí)行。確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)。

第十三條 商業(yè)銀行應(yīng)依據(jù)有關(guān)法律法規(guī)的要求，規(guī)范和及時(shí)披露信息科技風(fēng)險(xiǎn)狀況。

第三章 信息科技風(fēng)險(xiǎn)管理

第十四條 商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃，確保配臵足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域：

（一）信息分級(jí)與保護(hù)。

（二）信息系統(tǒng)開發(fā)、測試和維護(hù)。

（三）信息科技運(yùn)行和維護(hù)。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處臵。 第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評估流程，確定信息科技中存在隱患的區(qū)域，評價(jià)風(fēng)險(xiǎn)對其業(yè)務(wù)的潛在影響，對風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：

（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新和公示。

（二）確定潛在風(fēng)險(xiǎn)區(qū)域，并對這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：

1.最高權(quán)限用戶的審查。

2.控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3.訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。 4.審批和授權(quán)。 5.驗(yàn)證和調(diào)節(jié)。 第十八條 商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測機(jī)制，其中應(yīng)包括：

（一）建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評價(jià)機(jī)制。

（二）建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。

（三）建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制。

（四）建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制。

（五）安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查。

（六）定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。

（八）定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評價(jià)。 第十九條 中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機(jī)構(gòu)關(guān)于信息科技風(fēng)險(xiǎn)管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險(xiǎn)。

第四章 信息安全

第二十條 商業(yè)銀行信息科技部門負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計(jì)劃和保持長效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評估報(bào)告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。

信息安全策略應(yīng)涉及以下領(lǐng)域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產(chǎn)管理。

（四）人員安全管理。

（五）物理與環(huán)境安全管理。

（六）通信與運(yùn)營管理。

（七）訪問控制管理。

（八）系統(tǒng)開發(fā)與維護(hù)管理。

（九）信息安全事故管理。

（十）業(yè)務(wù)連續(xù)性管理。

（十一）合規(guī)性管理。

第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動(dòng)到新的工作崗位或離開商業(yè)銀行時(shí)，應(yīng)在系統(tǒng)中及時(shí)檢查、更新或注銷用戶身份。

第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測和恢復(fù)控制措施。

第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。應(yīng)該對下列安全因素進(jìn)行評估，并根據(jù)安全級(jí)別定義和評估結(jié)果實(shí)施有效的安全控制，如對每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等。

（一）域內(nèi)應(yīng)用程序和用戶組的重要程度。

（二）各種通訊渠道進(jìn)入域的訪問點(diǎn)。

（三）域內(nèi)配臵的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。

（四）性能要求或標(biāo)準(zhǔn)。

（五）域的性質(zhì)，如生產(chǎn)域或測試域、內(nèi)部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條 商業(yè)銀行應(yīng)通過以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全：

（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。

（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計(jì)算機(jī)操作人員、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限。

（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。

（四）要求技術(shù)人員定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)。

（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。

第二十六條 商業(yè)銀行應(yīng)通過以下措施，確保所有信息系統(tǒng)的安全：

（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。

（二）針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗(yàn)證方法。

（三）加強(qiáng)職責(zé)劃分，對關(guān)鍵或敏感崗位進(jìn)行雙重控制。

（四）在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶提供必要信息。

（七）以書面或電子格式保存審計(jì)痕跡。

（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。

第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：

（一）交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國家會(huì)計(jì)準(zhǔn)則要求予以保存。

（二）系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。

商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。

第二十八條 商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度，以確保：

（一）使用符合國家要求的加密技術(shù)和加密設(shè)備。

（二）管理、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審查。

（三）加密強(qiáng)度滿足信息機(jī)密性的要求。

（四）制定并落實(shí)有效的管理流程，尤其是密鑰和證書生命周期管理。

第二十九條 商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）和個(gè)人數(shù)字助理（PDA）等。 第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

第三十一條 商業(yè)銀行應(yīng)對所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。

第五章 信息系統(tǒng)開發(fā)、測試和維護(hù)

第三十二條 商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對系統(tǒng)的后評價(jià)，并根據(jù)評價(jià)結(jié)果及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。 第三十三條 商業(yè)銀行應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本，并采取適當(dāng)?shù)捻?xiàng)目管理方法，控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。

第三十四條 商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開發(fā)或外購、測試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜度。

第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，其中應(yīng)包括以下要求：

（一）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)有效隔離。

（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。

（三）除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。

（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門和業(yè)務(wù)部門的聯(lián)合批準(zhǔn)，并對變更進(jìn)行及時(shí)記錄和定期復(fù)查。

第三十六條 商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程中數(shù)據(jù)的完整性、保密性和可用性。

第三十七條 商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進(jìn)行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說明，并通知相關(guān)人員。

第三十八條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級(jí)過程。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活動(dòng)納入信息科技項(xiàng)目，接受相關(guān)的管理和控制，包括用戶驗(yàn)收測試。

第六章 信息科技運(yùn)行

第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行。

第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對長期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查。

第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。 第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求。

第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說明。如在信息科技運(yùn)行手冊中說明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留周期）。

第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺(tái)，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進(jìn)行調(diào)查和解決。

第四十五條 商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對信息科技運(yùn)行服務(wù)水平進(jìn)行考核。

第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對系統(tǒng)性能造成影響前對其進(jìn)行識(shí)別和修正。 第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。

第四十八條 商業(yè)銀行應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄），以確保有效維護(hù)設(shè)備和設(shè)施。

第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門和業(yè)務(wù)部門共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過正常的驗(yàn)收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。

第七章 業(yè)務(wù)連續(xù)性管理

第五十條 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對規(guī)劃進(jìn)行更新和演練，以保證其有效性。

第五十一條 商業(yè)銀行應(yīng)評估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響，包括評估可能由下述原因?qū)е碌钠茐模邯?/p>

（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。

（二）信息丟失或受損。

（三）外部事件（如戰(zhàn)爭、地震或臺(tái)風(fēng)等）。

第五十二條 商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險(xiǎn)等方式降低影響。

第五十三條 商業(yè)銀行應(yīng)建立維持其運(yùn)營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括：

（一）規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。

2．運(yùn)行恢復(fù)的優(yōu)先順序。

3．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安排。

（二）更新實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃的流程及相關(guān)聯(lián)系信息。

（三）驗(yàn)證受中斷影響的信息完整性的步驟。

（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對本條

（一）到

（三）進(jìn)行審核并升級(jí)。

第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。

第八章 外 包

第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。

第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第五十七條 商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相關(guān)準(zhǔn)備，其中包括：

（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報(bào)告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險(xiǎn)控制，是否滿足商業(yè)銀行履行對外包服務(wù)商的監(jiān)督義務(wù)。

（二）考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關(guān)的操作風(fēng)險(xiǎn)。

（三）充分審查、評估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，對外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。

（四）考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

（五）關(guān)注可能存在的集中風(fēng)險(xiǎn)，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。

第五十八條 商業(yè)銀行在與外包服務(wù)商合同談判過程中，應(yīng)考慮的因素包括但不限于：

（一）對外包服務(wù)商的報(bào)告要求和談判必要條件。

（二）銀行業(yè)監(jiān)管機(jī)構(gòu)和內(nèi)部審計(jì)、外部審計(jì)能執(zhí)行足夠的監(jiān)督。

（三）通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶信息和其他信息。

（四）擔(dān)保和損失賠償是否充足。

（五）外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)制度和流程的意愿及相關(guān)措施。

（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。

（七）第三方供應(yīng)商出現(xiàn)問題時(shí)，保證軟件持續(xù)可用的相關(guān)措施。

（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如：

1.商業(yè)銀行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。 2.商業(yè)銀行或外包服務(wù)商的業(yè)務(wù)經(jīng)營發(fā)生重大變化。 3.外包服務(wù)商提供的服務(wù)不充分，造成商業(yè)銀行不能履行監(jiān)督義務(wù)。

第五十九條 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮的因素包括但不限于：

（一）提出定性和定量的績效指標(biāo)，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。

（二）通過服務(wù)水平報(bào)告、定期自我評估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績效考核。

（三）針對績效不達(dá)標(biāo)的情況調(diào)整流程，采取整改措施。 第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實(shí)現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。

（三）要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

（四）應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。

（五）嚴(yán)格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。

（六）確保在中止外包協(xié)議時(shí)收回或銷毀外包服務(wù)商保存的所有客戶資料。

第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財(cái)務(wù)損失和重要人員的變動(dòng)，以及外包協(xié)議的意外終止。

第六十二條 商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險(xiǎn)管理部門、法律部門和信息科技管理委員會(huì)審核通過。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。



第九章 內(nèi)部審計(jì)

第六十三條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日?；顒?dòng)，具有適當(dāng)?shù)氖跈?quán)訪問本銀行的記錄。

第六十四條 商業(yè)銀行內(nèi)部信息科技審計(jì)的責(zé)任包括：

（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性。

（二）按照第（一）款規(guī)定完成審計(jì)工作，在此基礎(chǔ)上提出整改意見。

（三）檢查整改意見是否得到落實(shí)。

（四）執(zhí)行信息科技專項(xiàng)審計(jì)。信息科技專項(xiàng)審計(jì)，是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評估結(jié)果對認(rèn)為必要的特殊事項(xiàng)進(jìn)行的審計(jì)。

第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。

第六十六條 商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

第十章 外部審計(jì)

第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。

第六十八條 在委托審計(jì)過程中，商業(yè)銀行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

第六十九條 商業(yè)銀行在實(shí)施外部審計(jì)前應(yīng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)確定審計(jì)范圍，不應(yīng)故意隱瞞事實(shí)或阻撓審計(jì)檢查。

第七十條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對商業(yè)銀行執(zhí)行信息科技審計(jì)或相關(guān)檢查。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進(jìn)行審計(jì)。

第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商業(yè)銀行應(yīng)根據(jù)該審計(jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。

第七十二條 商業(yè)銀行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，防止其擅自對本銀行提供的任何文件進(jìn)行修改、復(fù)制或帶離現(xiàn)場。

第十一章 附 則

第七十三條 未設(shè)董事會(huì)的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營決策機(jī)構(gòu)履行本指引中董事會(huì)的有關(guān)信息科技風(fēng)險(xiǎn)管理職責(zé)。

第七十四條 銀監(jiān)會(huì)依法對商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理實(shí)施監(jiān)督檢查。

第七十五條 本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。

第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)?2006?63號(hào)）同時(shí)廢止。