第一篇:《銀行業金融機構重要信息系統投產及變更管理辦法》(銀監辦發[2009]437號)20091229
中國銀監會辦公廳關于印發《銀行業金融機構重要信息系統投產及變更管理辦法》的通知
(銀監辦發[2009]437號)
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行,各省級農村信用聯社:
為加強銀行業金融機構重要信息系統投產及變更風險管理,保障銀行業金融機構重要信息系統安全穩定運行,現將《銀行業金融機構重要信息系統投產及變更管理辦法》印發給你們,請遵照執行。請各銀監局將本通知轉發至轄內各銀行業金融機構。
中國銀行業監督管理委員會 二00九年十二月二十九日
銀行業金融機構重要信息系統投產及變更管理辦法
第一章 總則
第一條 為加強銀行業金融機構重要信息系統投產及變更風險管理,根據《中華人民共和國銀行第二條 在中華人民共和國境內設立的政策性銀行、國有商業銀行、股份制商業銀行、郵政儲蓄業監督管理法》、《中華人民共和國商業銀行法》制定本辦法。
銀行、城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、城市信用社、外商獨資銀行、中外合資銀行適用本辦法。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本辦法執行。
第三條 本辦法所稱的重要信息系統是指支撐重要業務,其信息安全和服務質量關系公民、法人和其他組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且實時性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第四條 本辦法所稱的重要信息系統投產及變更主要指:
(一)重要信息系統投產。
(二)支撐重要信息系統運行的機房和網絡基礎設施投產。
(三)影響全轄或一個(含)以上分行系統服務、重要業務中斷時間3小時(含)以上的重要信息系統以及支持其運行的基礎設施變更,包括機房場地遷移、網絡及核心業務系統應用架構變更、核心業務系統版本變更等。
(四)其他對銀行重要業務運營及重要信息系統的可用性、完整性、安全性具有較大潛在影響的投產及變更。
第二章 組織管理
第五條 銀行業金融機構應健全IT治理結構,落實重要信息系統投產及變更管理責任。第六條 銀行業金融機構高級管理層應統籌管理重要信息系統建設,聽取重大項目投產或變更的第七條 銀行業金融機構信息科技部門應建立重要信息系統投產及變更管理機制、制度與流程,風險評估匯報,對風險控制過程進行監督。
承擔技術管理工作,協調業務、管理部門開展重要信息系統投產及變更工作,保障信息科技資源投入。
第八條 銀行業金融機構業務、管理部門應配合信息科技部門開展投產及變更工作,開展業務影響分析,制定業務管理辦法,組織用戶測試,保證業務資源投入。第九條 銀行業金融機構內部審計部門應開展重要信息系統投產及變更審計工作,針對問題發現提出整改意見。
第三章 風險評估
第十條 銀行業金融機構應充分識別、分析、評估重要信息系統投產及變更風險,包括系統功能缺陷、客戶信息泄露、業務中斷、交易緩慢或其他因素可能造成的操作風險、法律風險和聲譽風險,并形成風險評估報告。
第十一條 銀行業金融機構在采取有效信息安全控制措施的前提下,可委托外部專家或具備相應第十二條 銀行業金融機構董事會及高級管理層應審核重大項目的風險評估報告。
第十三條 銀行業金融機構應針對風險評估中發現的薄弱環節制定整改方案,明確整改時間。不資質的外部專業機構進行重要信息系統投產及變更的風險評估工作。
具備整改條件的應采取風險緩釋措施。
第四章 投產及變更控制
第十四條 銀行業金融機構應統一組織協調重要信息系統投產及變更工作,制定年度投產及變更第十五條 銀行業金融機構應對重要信息系統投產及變更過程進行安全審查,采取風險控制措施,第十六條 銀行金融機構應建立重要信息系統投產及變更內容評審和審批、授權機制。第十七條 銀行業金融機構應按照對業務影響最小原則,采取與風險程度相適應的重要信息系統第十八條 銀行業金融機構應合理避開業務高峰期和敏感時段安排重要信息系統上線,應提前將第十九條 銀行業金融機構應建立充分、完整的測試體系,測試結果應經過信息科技部門和相關規則,編制實施計劃和方案,確定實施策略和步驟,明確崗位職責,確保關鍵崗位職責分離。
有效控制重要信息系統投產及變更風險。
投產及變更策略。
重要信息系統投產及變更可能對服務的影響告知客戶。
業務部門確認,并形成測試和驗收報告,確保系統上線后的正常穩定運行以及系統功能與業務目標的一致性。
第二十條 銀行業金融機構應建立與生產環境相隔離的測試環境,測試環境應模擬生產環境的真第二十一條 銀行業金融機構應建立完善的版本管理制度,制定嚴格的審批、控制和操作流程,實情況。
保存完整的日志記錄。擬投產及變更的重要信息系統應保證版本完整、準確、有效,遵從系統開發和運行管理制度規范。
第二十二條 銀行業金融機構應加強重要信息系統投產及變更過程中的數據管理與質量控制;測試環境中使用的敏感生產數據應進行脫敏、變形處理;需要歷史數據遷移的,應制定詳細的數據遷移計劃,并提前進行數據遷移測試和數據有效性、兼容性驗證,確保遷移后數據的完整性、安全性和可用性。
第二十三條 銀行業金融機構應制定重要信息系統投產及變更應急預案,制定系統回退和應急處第二十四條 重要信息系統投產及變更過程中,銀行業金融機構應嚴格執行上線實施方案,加強第二十五條 銀行業金融機構應加強重要信息系統投產及變更過程的風險監控和預警,各相關部置計劃和流程,必要時應實施演練。
監督與復核,避免操作失誤和非法操作。
門協同做好應急準備。第二十六條 銀行業金融機構應制定并落實系統運行管理規程、制度,制定、完善相關業務管理辦法、操作規程,明確業務及運行管理職責,組織必要的培訓,確保投產及變更實施后業務順利開展。
第二十七條 銀行業金融機構應在重要信息系統投產及變更實施后,組織業務部門、管理部門和第二十八條 銀行業金融機構應在重要信息系統投產及變更實施后及時更新各項相關應急預案,第二十九條 銀行業金融機構應對重要信息系統投產及變更過程產生的各類文檔資料進行管理,信息科技部門對投產及變更的有效性進行驗證。
并適時實施演練。
確保文檔資料的完整性、及時性和有效性,并滿足獨立審計要求。
第五章 投產及變更報告
第三十條 銀行業金融機構應就重要信息系統投產及變更事項向中國銀監會或其派出機構報告。第三十一條 銀行業金融機構應在重要信息系統投產前至少20個工作日、變更前至少10個工作日向中國銀監會或其派出機構報告,包括但不限于:
(一)總體說明:投產及變更目的、內容、計劃起止時間、業務影響范圍、聯系人及聯系方式等。
(二)重要信息系統基本信息,包括:系統名稱,業務功能,操作系統、數據庫、中間件情況,應用架構、技術架構、數據架構,生產主機備份方案、數據備份方案,運行管理等相關職能部門,是否納入災難恢復計劃等。
(三)重要信息系統安全策略和措施,包括對賬戶、交易和客戶敏感信息的安全控制措施等。
(四)涉及基礎設施的,需提供基礎設施基本信息,包括機房和網絡方案。機房方案包括等級標準、地址、供配電系統、消防、空調、弱電系統、機房加固、機房空間規劃,以及機房驗收報告等;網絡方案包括網絡架構分區、核心網絡備份情況,以及區域間、外聯網、互聯網邊界安全措施與網絡監控措施等。
(五)采取外包方式的,需提交外包服務機構情況、外包服務內容、外包風險評估報告等。
(六)投產及變更方案,包括投產及變更的組織結構與實施計劃、操作步驟等。
(七)風險評估報告,應包括業務影響分析,技術風險分析與評估,控制措施的有效性,以及剩余風險等。
(八)應急預案,包括應急處置組織結構,應急場景,應急處置流程、步驟,應急聯系方式與報告路線等,實施演練的應提交演練總結報告。
第三十二條 銀行業金融機構應在重要信系統投產及變更實施后1個月內向中國銀監會或其派出機構提交總結報告材料,內容包括但不限于:投產及變更方案執行情況、效果,問題發現和處理情況,后續改進措施等。如投產及變更失敗,應詳細說明失敗原因。
第三十三條 銀行業金融機構應按照屬地監管原則提交報告材料,報送路線如下:
(一)銀行業金融機構法人組織實施投產及變更的,由該法人機構統一向中國銀監會或其派出機構提交報告材料。
(二)銀行業金融機構分行組織實施投產及變更的,由分行向所在地中國銀監會派出機構提交報告材料。
第三十四條 重要信息系統投產及變更如失敗需要重新安排的,銀行業金融機構應再次向中國銀第三十五條 銀行業金融機構數據中心機房設立、場所變更,應按照中國銀監會有關數據中心管監會或其派出機構報告。
理規范報告。
第六章 監督管理
第三十六條 針對銀行業金融機構重要信息系統投產及變更風險,中國銀監會及其派出機構可以第三十七條 中國銀監會及其派出機構可依法對銀行業金融機構的重要信息系統投產及變更實施第三十八條 銀行業金融機構違反本辦法有關規定的,中國銀監會及其派出機構將依法追究相關采取風險提示、約見談話、監管質詢等措施。
現場檢查。
責任。
第七章 附則
第三十九條 本辦法由中國銀監會負責解釋和修訂。第四十條 本辦法自公布之日起執行。
第二篇:銀行業金融機構重要信息系統投產及變更管理辦法范文
中國銀監會辦公廳關于印發
《銀行業金融機構重要信息系統投產及變更管理辦法》的通
知
銀監辦發[2009]437號
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行,各省級農村信用聯社:
為加強銀行業金融機構重要信息系統投產及變更風險管理,保障銀行業金融機構重要信息系統安全穩定運行,現將《銀行業金融機構重要信息系統投產及變更管理辦法》印發給你們,請遵照執行。請各銀監局將本通知轉發至轄內各銀行業金融機構。
2009年12月29日
銀行業金融機構重要信息系統投產及變
更管理辦法
第一章 總 則
第一條為加強銀行業金融機構重要信息系統投產及變更風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》制定本辦法。
第二條在中華人民共和國境內設立的政策性銀行、國有商業銀行、股份制商業銀行、郵政儲蓄銀行、城巿商業銀行、農村商業銀行、農村合作銀行、農村信用社、城巿信用社、外商獨資銀行、中外合資銀行適用本辦法。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本辦法執行。
第三條本辦法所稱的重要信息系統是指支撐重要業務,其信息安全和服務質量關系公民、法人和其他組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且實時性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第四條本辦法所稱的重要信息系統投產及變更主要指:(一)重要信息系統投產。
(二)支撐重要信息系統運行的機房和網絡基礎設施投產。
(三)影響全轄或一個(含)以上分行系統服務、重要業務中斷時間3小時(含)以上的重要信息系統以及支持其運行的基礎設施變更,包括機房場地遷移、網絡及核心業務系統應用架構變更、核心業務系統版本變更等。(四)其他對銀行重要業務運營及重要信息系統的可用性、完整性、安全性具有較大潛在影響的投產及變更。
第二章 組織管理
第五條銀行業金融機構應健全IT治理結構,落實重要信息系統投產及變更管理責任。
第六條銀行業金融機構高級管理層應統籌管理重要信息系統建設,聽取重大項目投產或變更的風險評估匯報,對風險控制過程進行監督。
第七條銀行業金融機構信息科技部門應建立重要信息系統投產及變更管理機制、制度與流程,承擔技術管理工作,協調業務、管理部門開展重要信息系統投產及變更工作,保障信息科技資源投入。
第八條銀行業金融機構業務、管理部門應配合信息科技部門開展投產及變更工作,開展業務影響分析,制定業務管理辦法,組織用戶測試,保證業務資源投入。
第九條銀行業金融機構內部審計部門應開展重要信息系統投產及變更審計工作,針對問題發現提出整改意見。
第三章 風險評估
第十條銀行業金融機構應充分識別、分析、評估重要信息系統投產及變更風險,包括系統功能缺陷、客戶信息泄露、業務中斷、交易緩慢或其他因素可能造成的操作風險、法律風險和聲譽風險,并形成風險評估報告。第十一條銀行業金融機構在采取有效信息安全控制措施的前提下,可委托外部專家或具備相應資質的外部專業機構進行重要信息系統投產及變更的風險評估工作。
第十二條銀行業金融機構董事會及高級管理層應審核重大項目的風險評估報告。
第十三條銀行業金融機構應針對風險評估中發現的薄弱環節制定整改方案,明確整改時間。不具備整改條件的應采取風險緩釋措施。
第四章 投產及變更控制
第十四條銀行業金融機構應統一組織協調重要信息系統投產及變更工作,制定投產及變更規劃,編制實施計劃和方案,確定實施策略和步驟,明確崗位職責,確保關鍵崗位職責分離。
第十五條銀行業金融機構應對重要信息系統投產及變更過程進行安全審查,采取風險控制措施,有效控制重要信息系統投產及變更風險。
第十六條銀行業金融機構應建立重要信息系統投產及變更內容評審和審批、授權機制。
第十七條銀行業金融機構應按照對業務影響最小原則,采取與風險程度相適應的重要信息系統投產及變更策略。
第十八條銀行業金融機構應合理避開業務高峰期和敏感時段安排重要信息系統上線,應提前將重要信息系統投產及變更可能對服務的影響告知客戶。第十九條銀行業金融機構應建立充分、完整的測試體系,測試結果應經過信息科技部門和相關業務部門確認,并形成測試和驗收報告,確保系統上線后的正常穩定運行以及系統功能與業務目標的一致性。
第二十條銀行業金融機構應建立與生產環境相隔離的測試環境,測試環境應模擬生產環境的真實情況。
第二十一條銀行業金融機構應建立完善的版本管理制度,制定嚴格的審批、控制和操作流程,保存完整的日志記錄。擬投產及變更的重要信息系統應保證版本完整、準確、有效,遵從系統開發和運行管理制度規范。
第二十二條銀行業金融機構應加強重要信息系統投產及變更過程中的數據管理與質量控制;測試環境中使用的敏感生產數據應進行脫敏、變形處理;需要歷史數據遷移的,應制定詳細的數據遷移計劃,并提前進行數據遷移測試和數據有效性、兼容性驗證,確保遷移后數據的完整性、安全性和可用性。
第二十三條銀行業金融機構應制定重要信息系統投產及變更應急預案,制定系統回退和應急處置計劃和流程,必要時應實施演練。
第二十四條重要信息系統投產及變更過程中,銀行業金融機構應嚴格執行上線實施方案,加強監督與復核,避免操作失誤和非法操作。
第二十五條銀行業金融機構應加強重要信息系統投產及變更過程的風險監控和預警,各相關部門協同做好應急準備。
第二十六條銀行業金融機構應制定并落實系統運行管理規程、制度,制定、完善相關業務管理辦法、操作規程,明確業務及運行管理職責,組織必要的培訓,確保投產及變更實施后業務順利開展。第二十七條銀行業金融機構應在重要信息系統投產及變更實施后,組織業務部門、管理部門和信息科技部門對投產及變更的有效性進行驗證。
第二十八條銀行業金融機構應在重要信息系統投產及變更實施后及時更新各項相關應急預案,并適時實施演練。
第二十九條銀行業金融機構應對重要信息系統投產及變更過程產生的各類文檔資料進行管理,確保文檔資料的完整性、及時性和有效性,并滿足獨立審計要求。
第五章 投產及變更報告
第三十條銀行業金融機構應就重要信息系統投產及變更事項向中國銀監會或其派出機構報告。
第三十一條銀行業金融機構應在重要信息系統投產前至少20個工作日、變更前至少10個工作日向中國銀監會或其派出機構報告,包括但不限于:(一)總體說明:投產及變更目的、內容、計劃起止時間、業務影響范圍、聯系人及聯系方式等。
(二)重要信息系統基本信息,包括:系統名稱,業務功能,操作系統、數據庫、中間件情況,應用架構、技術架構、數據架構,生產主機備份方案、數據備份方案,運行管理等相關職能部門,是否納入災難恢復計劃等。
(三)
重要信息系統信息安全策略和措施,包括對賬戶、交易和客戶敏感信息的安全控制措施等。(四)涉及基礎設施的,需提供基礎設施基本信息,包括機房和網絡方案。機房方案包括等級標準、地址、供配電系統、消防、空調、弱電系統、機房加固、機房空間規劃,以及機房驗收報告等;網絡方案包括網絡架構分區、核心網絡備份情況,以及區域間、外聯網、互聯網邊界安全措施與網絡監控措施等。
(五)采取外包方式的,需提交外包服務機構情況、外包服務內容、外包風險評估報告等。
(六)投產及變更方案,包括投產及變更的組織結構與實施計劃、操作步驟等。
(七)風險評估報告,應包括業務影響分析,技術風險分析與評估,控制措施的有效性,以及剩余風險等。
(八)應急預案,包括應急處置組織結構,應急場景,應急處置流程、步驟,應急聯系方式與報告路線等,實施演練的應提交演練總結報告。
第三十二條銀行業金融機構應在重要信息系統投產及變更實施后1個月內向中國銀監會或其派出機構提交總結報告材料,內容包括但不限于:投產及變更方案執行情況、效果,問題發現和處理情況,后續改進措施等。如投產及變更失敗,應詳細說明失敗原因。
第三十三條銀行業金融機構應按照屬地監管原則提交報告材料,報送路線如下:
(一)銀行業金融機構法人組織實施投產及變更的,由該法人機構統一向中國銀監會或其派出機構提交報告材料。
(二)銀行業金融機構分行組織實施投產及變更的,由分行向 所在地中國銀監會派出機構提交報告材料。
第三十四條重要信息系統投產及變更如失敗需重新安排的,銀行業金融機構應再次向中國銀監會或其派出機構報告。第三十五條銀行業金融機構數據中心機房設立、場所變更,應按照中國銀監會有關數據中心管理規范報告。
第六章 監督管理
第三十六條針對銀行業金融機構重要信息系統投產及變更風險,中國銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。
第三十七條中國銀監會及其派出機構可依法對銀行業金融機構的重要信息系統投產及變更實施現場檢查。
第三十八條銀行業金融機構違反本辦法有關規定的,中國銀監會及其派出機構將依法追究相關責任。
第七章 附 則
第三十九條本辦法由中國銀監會負責解釋和修訂。第四十條本辦法自公布之日起執行。
第三篇:銀行業金融機構重要信息系統投產及變更管理辦法
中國銀監會辦公廳關于印發《銀行業金融機構重要信息系統投產及變更管理辦法》的通知各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行,各省級農村信用聯社:
為加強銀行業金融機構重要信息系統投產及變更風險管理,保障銀行業金融機構重要信息系統安全穩定運行,現將《銀行業金融機構重要信息系統投產及變更管理辦法》印發給你們,請遵照執行。請各銀監局將本通知轉發至轄內各銀行業金融機構。
中國銀行業監督管理委員會
二00九年十二月二十九日
銀行業金融機構重要信息系統投產及變更管理辦法
第一章 總則
第一條 為加強銀行業金融機構重要信息系統投產及變更風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》制定本辦法。
第二條 在中華人民共和國境內設立的政策性銀行、國有商業銀行、股份制商業銀行、郵政儲蓄銀行、城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、城市信用社、外商獨資銀行、中外合資銀行適用本辦法。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本辦法執行。
第三條 本辦法所稱的重要信息系統是指支撐重要業務,其信息安全和服務質量關系公民、法人和其他組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且實時性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第四條 本辦法所稱的重要信息系統投產及變更主要指:
(一)重要信息系統投產。
(二)支撐重要信息系統運行的機房和網絡基礎設施投產。
(三)影響全轄或一個(含)以上分行系統服務、重要業務中斷時間3小時(含)以上的重要信息系統以及支持其運行的基礎設施變更,包括機房場地遷移、網絡及核心業務系統應用架構變更、核心業務系統版本變更等。
(四)其他對銀行重要業務運營及重要信息系統的可用性、完整性、安全性具有較大潛在影響的投產及變更。
第二章 組織管理
第五條 銀行業金融機構應健全IT治理結構,落實重要信息系統投產及變更管理責任。
第六條 銀行業金融機構高級管理層應統籌管理重要信息系統建設,聽取重大項目投產或變更的風險評估匯報,對風險控制過程進行監督。
第七條 銀行業金融機構信息科技部門應建立重要信息系統投產及變更管理機制、制度與流程,承擔技術管理工作,協調業務、管理部門開展重要信息系統投產及變更工作,保障信息科技資源投入。
第八條 銀行業金融機構業務、管理部門應配合信息科技部門開展投產及變更工作,開展業務影響分析,制定業務管理辦法,組織用戶測試,保證業務資源投入。
第九條 銀行業金融機構內部審計部門應開展重要信息系統投產及變更審計工作,針對問題發現提出整改意見。
第三章 風險評估
第十條 銀行業金融機構應充分識別、分析、評估重要信息系統投產及變更風險,包括系統功能缺陷、客戶信息泄露、業務中斷、交易緩慢或其他因素可能造成的操作風險、法律風險和聲譽風險,并形成風險評估報告。
第十一條 銀行業金融機構在采取有效信息安全控制措施的前提下,可委托外部專家或具備相應資質的外部專業機構進行重要信息系統投產及變更的風險評估工作。
第十二條 銀行業金融機構董事會及高級管理層應審慎重大項目的風險評估報告。
第十三條 銀行業金融機構應針對風險評估中發現的薄弱環節制定整改方案,明確整改時間。不具備整改條件的應采取風險緩釋措施。
第四章 投產及變更控制
第十四條 銀行業金融機構應統一組織協調重要信息系統投產及變更工作,制定投產及變更規則,編制實施計劃和方案,確定實施策略和步驟,明確崗位職責,確保關鍵崗位職責分離。
第十五條 銀行業金融機構應對重要信息系統投產及變更過程進行安全審查,采取風險控制措施,有效控制重要信息系統投產及變更風險。
第十六條 銀行金融機構應建立重要信息系統投產及變更內容評審和審批、授權機制。
第十七條 銀行業金融機構應按照對業務影響最小原則,采取與風險程度相適應的重要信息系統投產及變更策略。
第十八條 銀行業金融機構應合理避開業務高峰期和敏感時段安排重要信息系統上線,應提前將重要信息系統投產及變更可能對服務的影響告知客戶。
第十九條 銀行業金融機構應建立充分、完整的測試體系,測試結果應經過信息科技部門和相關業務部門確認,并形成測試和驗收報告,確保系統上線后的正常穩定運行以及系統功能與業務目標的一致性。
第二十條 銀行業金融機構應建立與生產環境相隔離的測試環境,測試環境應模擬生產環境的真實情況。
第二十一條 銀行業金融機構應建立完善的版本管理制度,制定嚴格的審批、控制和操作流程,保存完整的日志記錄。擬投產及變更的重要信息系統應保證版本完整、準確、有效,遵從系統開發和運行管理制度規范。
第二十二條 銀行業金融機構應加強重要信息系統投產及變更過程中的數據管理與質量控制;測試環境中使用的敏感生產數據應進行脫敏、變形處理;需要歷史數據遷移的,應制定詳細的數據遷移計劃,并提前進行數據遷移測試和數據有效性、兼容性驗證,確保遷移后數據的完整性、安全性和可用性。
第二十三條 銀行業金融機構應制定重要信息系統投產及變更應急預案,制定系統回退和應急處置計劃和流程,必要時應實施演練。
第二十四條 重要信息系統投產及變更過程中,銀行業金融機構應嚴格執行上線實施方案,加強監督與復核,避免操作失誤和非法操作。
第二十五條 銀行業金融機構應加強重要信息系統投產及變更過程的風險監控和預警,各相關部門協同做好應急準備。
第二十六條 銀行業金融機構應制定并落實系統運行管理規程、制度,制定、完善相關業務管理辦法、操作規程,明確業務及運行管理職責,組織必要的培訓,確保投產及變更實施后業務順利開展。
第二十七條 銀行業金融機構應在重要信息系統投產及變更實施后,組織業務部門、管理部門和信息科技部門對投產及變更的有效性進行驗證。
第二十八條 銀行業金融機構應在重要信息系統投產及變更實施后及時更新各項相關應急預案,并適時實施演練。
第二十九條 銀行業金融機構應對重要信息系統投產及變更過程產生的各類文檔資料進行管理,確保文檔資料的完整性、及時性和有效性,并滿足獨立審計要求。
第五章 投產及變更報告
第三十條 銀行業金融機構應就重要信息系統投產及變更事項向中國銀監會或其派出機構報告。
第三十一條 銀行業金融機構應在重要信息系統投產前至少20個工作日、變更前至少10個工作日向中國銀監會或其派出機構報告,包括但不限于:
(一)總體說明:投產及變更目的、內容、計劃起止時間、業務影響范圍、聯系人及聯系方式等。
(二)重要信息系統基本信息,包括:系統名稱、業務功能,操作系統、數據庫、中間件情況,應用架構、技術架構、數據架構,生產主機備份方案、數據備份方案,運行管理等相關職能部門,是否納入災難恢復計劃等。
(三)重要信息系統安全策略和措施,包括對賬戶、交易和客戶敏感信息的安全控制措施等。
(四)涉及基礎設施的,需提供基礎設施基本信息,包括機房和網絡方案。機房方案包括等級標準、地址、供配電系統、消防、空調、弱電系統、機房加固、機房空間規劃,以及機房驗收報告等;網絡方案包括網絡架構分區、核心網絡備份情況,以及區域間、外聯網、互聯網邊界安全措施與網絡監控措施等。
(五)采取外包方式的,需提交外包服務機構情況、外包服務內容、外包風險評估報告等。
(六)投產及變更方案,包括投產及變更的組織結構與實施計劃、操作步驟等。
(七)風險評估報告,應包括業務影響分析,技術風險分析與評估,控制措施的有效性,以及剩余風險等。
(八)應急預案,包括應急處置組織結構,應急場景,應急處置流程、步驟,應急聯系方式與報告路線等,實施演練的應提交演練總結報告。
第三十二條 銀行業金融機構應在重要信系統投產及變更實施后1個月內向中國銀監會或其派出機構提交總結報告材料,內容包括但不限于:投產及變更方案執行情況、效果,問題發現和處理情況,后續改進措施等。如投產及變更失敗,應詳細說明失敗原因。
第三十三條 銀行業金融機構應按照屬地監管原則提交報告材料,報送路線如下:
(一)銀行業金融機構法人組織實施投產及變更的,由該法人機構統一向中國銀監會或其派出機構提交報告材料。
(二)銀行業金融機構分行組織實施投產及變更的,由分行向所在地中國銀監會派出機
構提交報告材料。
第三十四條 重要信息系統投產及變更如失敗需要重新安排的,銀行業金融機構應再次向中國銀監會或其派出機構報告。
第三十五條 銀行業金融機構數據中心機房設立、場所變更,應按照中國銀監會有關數據中心管理規范報告。
第六章 監督管理
第三十六條 針對銀行業金融機構重要信息系統投產及變更風險,中國銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。
第三十七條 中國銀監會及其派出機構可依法對銀行業金融的重要信息系統投產及變更實施現場檢查。
第三十八條 銀行業金融機構違反本辦法有關規定的,中國銀監會及其派出機構將依法追究相關責任。
第七章 附則
第三十九條 本辦法由中國銀監會負責解釋和修訂。
第四十條 本辦法自公布之日起執行。
第四篇:銀行業金融機構重要信息系統投產及變更管理辦法
銀行業金融機構重要信息系統投產及變更管理辦法
第一章 總則
第一條 為加強銀行業金融機構重要信息系統投產及變更風險管理,根據《中華人民共和國銀行
第二條 在中華人民共和國境內設立的政策性銀行、國有商業銀行、股份制商業銀行、郵政儲蓄業監督管理法》、《中華人民共和國商業銀行法》制定本辦法。
銀行、城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、城市信用社、外商獨資銀行、中外合資銀行適用本辦法。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本辦法執行。
第三條 本辦法所稱的重要信息系統是指支撐重要業務,其信息安全和服務質量關系公民、法人和其他組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且實時性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第四條 本辦法所稱的重要信息系統投產及變更主要指:
(一)重要信息系統投產。
(二)支撐重要信息系統運行的機房和網絡基礎設施投產。
(三)影響全轄或一個(含)以上分行系統服務、重要業務中斷時間3小時(含)以上的重要信息系統以及支持其運行的基礎設施變更,包括機房場地遷移、網絡及核心業務系統應用架構變更、核心業務系統版本變更等。
(四)其他對銀行重要業務運營及重要信息系統的可用性、完整性、安全性具有較大潛在影響的投產及變更。
第二章 組織管理
第五條 銀行業金融機構應健全IT治理結構,落實重要信息系統投產及變更管理責任。第六條 銀行業金融機構高級管理層應統籌管理重要信息系統建設,聽取重大項目投產或變更的第七條 銀行業金融機構信息科技部門應建立重要信息系統投產及變更管理機制、制度與流程,風險評估匯報,對風險控制過程進行監督。
承擔技術管理工作,協調業務、管理部門開展重要信息系統投產及變更工作,保障信息科技資源投入。
第八條 銀行業金融機構業務、管理部門應配合信息科技部門開展投產及變更工作,開展業務影
第九條 銀行業金融機構內部審計部門應開展重要信息系統投產及變更審計工作,針對問題發現響分析,制定業務管理辦法,組織用戶測試,保證業務資源投入。
提出整改意見。
第三章 風險評估
第十條 銀行業金融機構應充分識別、分析、評估重要信息系統投產及變更風險,包括系統功能缺陷、客戶信息泄露、業務中斷、交易緩慢或其他因素可能造成的操作風險、法律風險和聲譽風險,并形成風險評估報告。
第十一條 銀行業金融機構在采取有效信息安全控制措施的前提下,可委托外部專家或具備相應第十二條 銀行業金融機構董事會及高級管理層應審核重大項目的風險評估報告。資質的外部專業機構進行重要信息系統投產及變更的風險評估工作。
第十三條 銀行業金融機構應針對風險評估中發現的薄弱環節制定整改方案,明確整改時間。不具備整改條件的應采取風險緩釋措施。
第四章 投產及變更控制
第十四條 銀行業金融機構應統一組織協調重要信息系統投產及變更工作,制定投產及變更
第十五條 銀行業金融機構應對重要信息系統投產及變更過程進行安全審查,采取風險控制措施,第十六條 銀行金融機構應建立重要信息系統投產及變更內容評審和審批、授權機制。
第十七條 銀行業金融機構應按照對業務影響最小原則,采取與風險程度相適應的重要信息系統第十八條 銀行業金融機構應合理避開業務高峰期和敏感時段安排重要信息系統上線,應提前將第十九條 銀行業金融機構應建立充分、完整的測試體系,測試結果應經過信息科技部門和相關規則,編制實施計劃和方案,確定實施策略和步驟,明確崗位職責,確保關鍵崗位職責分離。有效控制重要信息系統投產及變更風險。投產及變更策略。重要信息系統投產及變更可能對服務的影響告知客戶。
業務部門確認,并形成測試和驗收報告,確保系統上線后的正常穩定運行以及系統功能與業務目標的一致性。
第二十條 銀行業金融機構應建立與生產環境相隔離的測試環境,測試環境應模擬生產環境的真
第二十一條 銀行業金融機構應建立完善的版本管理制度,制定嚴格的審批、控制和操作流程,實情況。
保存完整的日志記錄。擬投產及變更的重要信息系統應保證版本完整、準確、有效,遵從系統開發和運行管理制度規范。
第二十二條 銀行業金融機構應加強重要信息系統投產及變更過程中的數據管理與質量控制;測試環境中使用的敏感生產數據應進行脫敏、變形處理;需要歷史數據遷移的,應制定詳細的數據遷移計劃,并提前進行數據遷移測試和數據有效性、兼容性驗證,確保遷移后數據的完整性、安全性和可用性。
第二十三條 銀行業金融機構應制定重要信息系統投產及變更應急預案,制定系統回退和應急處
第二十四條 重要信息系統投產及變更過程中,銀行業金融機構應嚴格執行上線實施方案,加強第二十五條 銀行業金融機構應加強重要信息系統投產及變更過程的風險監控和預警,各相關部第二十六條 銀行業金融機構應制定并落實系統運行管理規程、制度,制定、完善相關業務管理置計劃和流程,必要時應實施演練。監督與復核,避免操作失誤和非法操作。門協同做好應急準備。
辦法、操作規程,明確業務及運行管理職責,組織必要的培訓,確保投產及變更實施后業務順利開展。
第二十七條 銀行業金融機構應在重要信息系統投產及變更實施后,組織業務部門、管理部門和
第二十八條 銀行業金融機構應在重要信息系統投產及變更實施后及時更新各項相關應急預案,第二十九條 銀行業金融機構應對重要信息系統投產及變更過程產生的各類文檔資料進行管理,信息科技部門對投產及變更的有效性進行驗證。并適時實施演練。
確保文檔資料的完整性、及時性和有效性,并滿足獨立審計要求。
第五章 投產及變更報告
第三十條 銀行業金融機構應就重要信息系統投產及變更事項向中國銀監會或其派出機構報告。第三十一條 銀行業金融機構應在重要信息系統投產前至少20個工作日、變更前至少10個工作日向中國銀監會或其派出機構報告,包括但不限于:
(一)總體說明:投產及變更目的、內容、計劃起止時間、業務影響范圍、聯系人及聯系方式等。
(二)重要信息系統基本信息,包括:系統名稱,業務功能,操作系統、數據庫、中間件情況,應用架構、技術架構、數據架構,生產主機備份方案、數據備份方案,運行管理等相關職能部門,是否納入災難恢復計劃等。
(三)重要信息系統安全策略和措施,包括對賬戶、交易和客戶敏感信息的安全控制措施等。
(四)涉及基礎設施的,需提供基礎設施基本信息,包括機房和網絡方案。機房方案包括等級標準、地址、供配電系統、消防、空調、弱電系統、機房加固、機房空間規劃,以及機房驗收報告等;網絡方案包括網絡架構分區、核心網絡備份情況,以及區域間、外聯網、互聯網邊界安全措施與網絡監控措施等。
(五)采取外包方式的,需提交外包服務機構情況、外包服務內容、外包風險評估報告等。
(六)投產及變更方案,包括投產及變更的組織結構與實施計劃、操作步驟等。
(七)風險評估報告,應包括業務影響分析,技術風險分析與評估,控制措施的有效性,以及剩余風險等。
(八)應急預案,包括應急處置組織結構,應急場景,應急處置流程、步驟,應急聯系方式與報告路線等,實施演練的應提交演練總結報告。
第三十二條 銀行業金融機構應在重要信系統投產及變更實施后1個月內向中國銀監會或其派出機構提交總結報告材料,內容包括但不限于:投產及變更方案執行情況、效果,問題發現和處理情況,后續改進措施等。如投產及變更失敗,應詳細說明失敗原因。
第三十三條 銀行業金融機構應按照屬地監管原則提交報告材料,報送路線如下:
(一)銀行業金融機構法人組織實施投產及變更的,由該法人機構統一向中國銀監會或其派出機構提交報告材料。
(二)銀行業金融機構分行組織實施投產及變更的,由分行向所在地中國銀監會派出機構提交報告材料。
第三十四條 重要信息系統投產及變更如失敗需要重新安排的,銀行業金融機構應再次向中國銀
第三十五條 銀行業金融機構數據中心機房設立、場所變更,應按照中國銀監會有關數據中心管監會或其派出機構報告。
理規范報告。
第六章 監督管理
第三十六條 針對銀行業金融機構重要信息系統投產及變更風險,中國銀監會及其派出機構可以
第三十七條 中國銀監會及其派出機構可依法對銀行業金融機構的重要信息系統投產及變更實施第三十八條 銀行業金融機構違反本辦法有關規定的,中國銀監會及其派出機構將依法追究相關采取風險提示、約見談話、監管質詢等措施。現場檢查。
責任。
第七章 附則
第三十九條 本辦法由中國銀監會負責解釋和修訂。
第四十條 本辦法自公布之日起執行。
第五篇:銀行業金融機構內部審計指引銀監發2006-51號
銀行業金融機構內部審計指引
銀監發[2006]第51號2006年6月27日
第一章 總則
第一條 為促進銀行業金融機構完善公司治理,加強內部控制,健全內部審計體系,依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國公司法》、《中華人民共和國審計法》和《中華人民共和國審計法實施條例》等法律法規,制定本指引。
第二條 本指引所稱銀行業金融機構是指在中華人民共和國境內設立的政策性銀行和商業銀行。經中國銀行業監督管理委員會(以下簡稱中國銀監會)批準設立的其他金融機構可參照執行本指引。
第三條 本指引所稱內部審計是一種獨立、客觀的監督、評價和咨詢活動,是銀行業金融機構內部控制的重要組成部分。通過系統化和規范化的方法,審查評價并改善銀行業金融機構經營活動、風險狀況、內部控制和公司治理效果,促進銀行業金融機構穩健發展。
第四條 銀行業金融機構內部審計的目標是,保證國家有關經濟金融法律法規、方針政策、監管部門規章的貫徹執行;在銀行業金融機構風險框架內,促使風險控制在可接受水平;改善銀行業金融機構的運營,增加價值。
第五條 銀行業金融機構內部審計工作應當獨立于經營管理,以風險為導向,確保客觀公正。
第六條 中國銀監會依據本指引檢查評價銀行業金融機構內部審計工作。
第二章 機構和人員
第七條 銀行業金融機構的董事會負責建立和維護健全有效的內部審計體系。沒有設立董事會的,由高級管理層負責履行有關職責。董事會應下設審計委員會。審計委員會成員不少于3人,多數成員應是非執行董事。審計委員會主席應由獨立董事擔任。沒有設立董事會的,審計委員會組成及委員會負責人由高級管理層確定。
第八條 銀行業金融機構應建立審計全系統經營管理行為的內部審計部門,可設立一名首席審計官負責全系統的審計工作。首席審計官由董事會任命并納入銀行業金融機構高級管理人員任職資格核準范圍,首席審計官崗位變動要事前向中國銀監會報告。
第九條 銀行業金融機構應建立獨立垂直的內部審計管理體系。審計預算、人員薪酬、主要負責人任免由董事會或其專門委員會決定。內部審計人員薪酬不低于本機構其他部門同職級人員平均水平。
第十條 銀行業金融機構內部審計人員原則上按員工總人數的1%配備,并建立內部崗位輪換制。
第十一條 內部審計人員應具備相應的專業從業資格:
(一)專業水平。內部審計人員應具備大專以上學歷,掌握與銀行業金融機構內部審計相關的專業知識,熟悉金融相關法律法規及內部控制制度。
(二)從業經驗。內部審計人員至少應具備兩年以上金融從業經驗;審計項目負責人員至少應具有三年以上審計工作經驗,或六年以上金融從業經驗。
(三)道德準則。內部審計人員應具有正直、客觀、廉潔、公正的職業操守,且從事金融業務以來無不良記錄。
第三章 職責
第十二條 銀行業金融機構應以制度形式明確董事會、審計委員會、首席審計官和內部審計部門及人員職責。
第十三條 董事會對內部審計的適當性和有效性承擔最終責任,負責批準內部審計章程、中長期審計規劃和工作計劃等,為獨立、客觀開展內部審計工作提供必要保障,并對審計工作情況進行考核監督。
第十四條 審計委員會對董事會負責,根據董事會授權組織指導內部審計工作。審計委員會應定期召開會議,并可視需要邀請高級管理層人員列席。
第十五條 首席審計官負責組織實施內部審計章程、中長期審計規劃和工作計劃,做好協調工作,及時向董事會和高級管理層主要負責人報告審計工作情況,并對內部審計的整體質量負責。
第十六條 內部審計部門應對董事會和審計委員會負責,制定內部審計程序,評價風險狀況和管理情況,落實審計工作計劃,開展后續審計,監督整改情況,對審計項目質量負責,做好檔案管理。
第十七條 內部審計事項主要包括:
(一)經營管理的合規性及合規部門工作情況。
(二)內部控制的健全性和有效性。
(三)風險狀況及風險識別、計量、監控程序的適用性和有效性。
(四)信息系統規劃設計、開發運行和管理維護的情況。
(五)會計記錄和財務報告的準確性和可靠性。
(六)與風險相關的資本評估系統情況。
(七)機構運營績效和管理人員履職情況等。
第四章 權限
第十八條 銀行業金融機構應當以制度形式明確賦予內部審計部門履行職責所必需的權限。
第十九條 內部審計部門有權列席或參加與內部審計部門職責有關的會議。
第二十條 內部審計部門有權及時、全面了解經營管理信息,并就有關問題向審計對象和相關人員進行調查、質詢、取證。
第二十一條 內部審計部門認為必要時有權向董事會直接匯報審計發現。
第二十二條 內部審計部門應具有處理建議權和必要的處罰權。
第二十三條 內部審計部門對拒絕接受或不配合內部審計、拒絕提供或提供虛假資料、打擊報復或陷害審計人員的,有權向上級報告,要求及時予以制止并做出處理。
第五章 質量控制
第二十四條 內部審計部門可就風險管理、內部控制等有關問題提供咨詢服務,但不應直接參與或負責內部控制設計和經營管理決策與執行。
第二十五條 內部審計部門應在風險評估的基礎上確定審計重點,審計頻率和程度應與銀行業金融機構業務性質、復雜程度、風險狀況和管理水平相一致。對每一營業機構的風險評估每年至少一次,審計每兩年至少一次。第二十六條 內部審計部門和審計人員應嚴格按照審計程序和審計方法實施審計項目,并定期進行自我評估。
第二十七條 內部審計部門應建立內部審計人員的審計回避制度,確保內部審計的客觀性。
第二十八條 內部審計部門應建立內部審計人員后續培訓制度,鼓勵內部審計人員取得注冊會計師、注冊內部審計師、注冊信息系統審計師等執業資格,以保證內部審計人員的專業勝任能力。
第二十九條 內部審計部門應加強科技手段和信息技術在審計工作中的運用,建立完善非現場內部審計監測體系及內部審計操作系統、信息管理系統。
第三十條 內部審計部門根據工作需要,經董事會批準后,可將部分內部審計項目外包,但需事先對外包機構的獨立性、客觀性和專業勝任能力進行評估。
第三十一條 內部審計部門應建立審計復議制度,對審計對象提出異議的審計結論,由作出審計結論的審計機構的上級機構進行復議。
第三十二條 董事會可聘請外部機構對內部審計部門的盡職情況進行評價,并保證外部檢查人員獨立于評價對象、具備專業勝任能力以及與評價對象沒有利益沖突。
第六章 報告制度
第三十三條 銀行業金融機構應建立與垂直管理體系相適應的內部審計報告制度和報告線路。
第三十四條 審計委員會應按季度向董事會報告審計工作情況,并通報高級管理層和監事會。
第三十五條 首席審計官和內部審計部門應按季向董事會和高級管理層主要負責人報告審計工作情況。每年至少一次向董事會提交包括履職情況、審計發現和建議等內容的審計工作報告。
第三十六條 首席審計官和內部審計部門在審計事項結束后,應及時向董事會和高級管理層主要負責人報送包括審計概況、審計依據、審計結論、審計決定、審計建議、審計對象反饋意見等內容的項目審計報告。
第三十七條 銀行業金融機構應建立完善與中國銀監會的溝通和報告制度。董事會和高級管理層應就重大審計發現及時向中國銀監會報告。內部審計部門應就以下事項向中國銀監會或中國銀監會派出機構報告:
(一)向董事會提交的全面審計工作報告。
(二)內部審計部門開展異地審計的,應同時將審計報告抄報審計對象所在地的中國銀監會派出機構。
(三)內部審計部門發現重大問題并報告董事會后,在問題未得到認真查處整改的情況下,應直接向中國銀監會報告相關情況。
(四)外部中介機構對銀行業金融機構的審計報告。
(五)中國銀監會及其派出機構要求報告的其他事項。
第七章 考核與問責
第三十八條 董事會和高級管理層應采取有效措施,確保內部審計成果得以充分利用。高級管理層對未按要求進行整改的問題,應督促整改,追究相關人員責任,并承擔未對審計發現采取糾正措施所產生的責任和風險。
第三十九條 董事會應建立激勵約束機制,對內部審計相關各方的盡職、履職情況進行考核評價,建立內部審計工作問責制度,明確內部審計責任追究、免責的認定標準和程序。
第四十條 董事會應對具有以下情節的內部審計部門負責人和直接責任人追究責任:
(一)未執行審計方案、程序和方法導致重大問題未能被發現。
(二)對審計發現問題隱瞞不報或者未如實反映。
(三)審計結論與事實嚴重不符。
(四)對審計發現問題查處整改工作跟蹤不力。
(五)未按要求執行保密制度。
(六)其他有損銀行業金融機構利益或聲譽的行為。
第四十一條 銀行業金融機構經檢查監督和責任認定,有充分證據表明內部審計部門和審計人員按照有關法律、法規、規章和本指引以及銀行業金融機構內部審計制度勤勉盡職地履行了職責,并及時報告了審查出的問題,在審計對象相關問題暴露時,可視情況免除或部分免除內部審計部門和相關審計人員的責任。
第八章 附則
第四十二條 銀行業金融機構應根據本指引制定實施細則,并報中國銀監會備案。
第四十三條 本指引由中國銀監會負責解釋。第四十四條 本指引自二○○六年七月一日實施。
![下載《銀行業金融機構重要信息系統投產及變更管理辦法》(銀監辦發[2009]437號)20091229word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 