第一篇:村鎮(zhèn)銀行信息科技整改報(bào)告
關(guān)于鐵嶺新星村鎮(zhèn)銀行 信息科技內(nèi)部審計(jì)的整改報(bào)告
內(nèi)審合規(guī)部于1-2月份對(duì)我部門的信息科技相關(guān)情況進(jìn)行了內(nèi)部審計(jì),審計(jì)中發(fā)現(xiàn)了一些問題,我部高度重視,認(rèn)真整改,現(xiàn)將整改情況匯報(bào)如下:
一、加強(qiáng)信息技術(shù)內(nèi)控制度的建設(shè)
加強(qiáng)與外包行興業(yè)銀行的互動(dòng),建立本行與興業(yè)銀行的良性運(yùn)行機(jī)制,積極參與到興業(yè)銀行的相關(guān)內(nèi)部控制流程來,做到托管行和外包行之間的相互牽制和協(xié)調(diào)。
加強(qiáng)本行內(nèi)部控制制度的建設(shè),貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求,履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé),建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度,并嚴(yán)格執(zhí)行。
建立健全良好的控制環(huán)境,控制環(huán)境是村鎮(zhèn)銀行信息科技的風(fēng)險(xiǎn)基調(diào);做好各項(xiàng)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估;進(jìn)一步做好信息科技的不相容職責(zé)相分離、相關(guān)業(yè)務(wù)流程的授權(quán)審批制度、信息安全管理等控制活動(dòng);加強(qiáng)信息系統(tǒng)建設(shè),信息系統(tǒng)不僅處理內(nèi)部資料,而且還處理形成企業(yè)決策和外部報(bào)告所必須的外部事件、行為和條件的信息。我行應(yīng)加強(qiáng)與外包銀行、監(jiān)管機(jī)構(gòu)、高級(jí)管理層、股東以及治理層之間的信息溝通;做到對(duì)信息科技內(nèi)部控制的持續(xù)監(jiān)控。
二、提高系統(tǒng)維護(hù)運(yùn)行效率
進(jìn)一步加強(qiáng)與承包方的溝通管理,溝通管理是企業(yè)組織的生命線。管理的過程,也就是溝通的過程。企業(yè)是個(gè)有生命的有機(jī)體,而溝通則是機(jī)體內(nèi)的血管,通過流動(dòng)來給組織系統(tǒng)提供養(yǎng)分,實(shí)現(xiàn)機(jī)體的良性循環(huán)。溝通管理是企業(yè)管理的核心內(nèi)容和實(shí)質(zhì)。
我行應(yīng)采用書面與口頭溝通相結(jié)合的溝通制度,例如,提交運(yùn)維申請(qǐng)單書面文件后,相關(guān)人員應(yīng)及時(shí)電話通知興業(yè)相關(guān)運(yùn)行維護(hù)人員。采用正式溝通和非正式溝通向結(jié)合的溝通方法,正式溝通是通過明文規(guī)定的渠道進(jìn)行信息傳遞的交流方式,非正式溝通不僅可以獲得信息,也是建立信任和關(guān)系的溝通。
強(qiáng)化運(yùn)維體系建設(shè),提升系統(tǒng)服務(wù)水平。要進(jìn)一步完善運(yùn)維管理流程,健全運(yùn)維管理制度和標(biāo)準(zhǔn),確保配置足夠的人力、物力、財(cái)力來維持安全、穩(wěn)定的信息科技環(huán)境,提升信息科技運(yùn)維保障能力。在高度上做好管理流程整合,在深度上做好業(yè)務(wù)流程分解,強(qiáng)化事件分級(jí)制度,建立起一個(gè)有效的事件分級(jí)及響應(yīng)機(jī)制,加強(qiáng)對(duì)業(yè)務(wù)連續(xù)性的管理,保障金融服務(wù)持續(xù)穩(wěn)定。
三、加強(qiáng)員工的信息科技安全知識(shí)培訓(xùn)
進(jìn)一步提高信息科技人員履職能力。采取有效方式和途徑,通過求助發(fā)起行或聘請(qǐng)其他外部專業(yè)技術(shù)人員對(duì)現(xiàn)有科技人員進(jìn)行培訓(xùn),提高信息科技人員的綜合素質(zhì)和履職能力。
針對(duì)銀行一線員工,集中開展關(guān)于銀行業(yè)務(wù)所需的相關(guān)設(shè)備的操作和維護(hù)的培訓(xùn),使一線工作人員掌握基本的相關(guān)設(shè)備耗材更換,灰塵清理等一些簡單維護(hù)技能,這樣一來既能縮短業(yè)務(wù)等待時(shí)間,提高工作的效率,又能節(jié)省科技人員的工作精力,使信息科技人員得以專注信息科技日常管理工作。
鐵嶺新星村鎮(zhèn)銀行信息科技部
2018年3月8日
第二篇:村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法
村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法
(征求意見稿)
第一章 總 則
第一條 為加強(qiáng)村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理,確保科技體系持續(xù)穩(wěn)定運(yùn)轉(zhuǎn),根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等有關(guān)法律、法規(guī),制定本辦法。
第二條 信息科技風(fēng)險(xiǎn)管理是通過建立有效機(jī)制,實(shí)現(xiàn)對(duì)銀行信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制,推動(dòng)村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新,提高信息化管理水平,保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。
第二章 信息科技風(fēng)險(xiǎn)管理組織架構(gòu)
第三條 信息科技風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。
第四條
發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)的主要管理部門,發(fā)起行科技信息中心有以下信息科技風(fēng)險(xiǎn)管理的權(quán)限和職責(zé):
(一)建立有效的信息科技風(fēng)險(xiǎn)管理管理架構(gòu),完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制,防范和控制信息科技風(fēng)險(xiǎn)管理;
(二)貫徹執(zhí)行國家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求;
(三)履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé),建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度,并嚴(yán)格執(zhí)行;
(四)負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等工作,提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運(yùn)行技術(shù)支持;
(五)負(fù)責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門落實(shí)有關(guān)信息科技風(fēng)險(xiǎn)管理的各項(xiàng)規(guī)章制度;
(六)發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理的牽頭部門,發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。
第三章 信息科技風(fēng)險(xiǎn)具體控制要求
第五條 信息科技總體風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)缺少信息系統(tǒng)風(fēng)險(xiǎn)管理策略;
(二)自然災(zāi)害、運(yùn)行環(huán)境變化;
(三)信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善;
(四)信息安全標(biāo)準(zhǔn)化工作不符合國家相關(guān)規(guī)定;
(五)缺乏信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制;
(六)數(shù)據(jù)中心機(jī)房物理安全;
(七)使用盜版軟件及自有成果的知識(shí)產(chǎn)權(quán)保護(hù);
(八)電子設(shè)備自身運(yùn)行;
(九)主機(jī)與網(wǎng)絡(luò)運(yùn)行;
(十)網(wǎng)絡(luò)安全;
(十一)密碼安全;
(十二)數(shù)據(jù)加密安全;
(十三)信息系統(tǒng)配置參數(shù)管理;
(十四)數(shù)據(jù)管理;
(十五)突發(fā)事件響應(yīng);
(十六)信息系統(tǒng)故障導(dǎo)致影響銀行信譽(yù);(十七)網(wǎng)上銀行安全。
第六條 信息系統(tǒng)總體風(fēng)險(xiǎn)控制措施:
(一)根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃,在村鎮(zhèn)銀行風(fēng)險(xiǎn)管理政策指引下,制定明確、持續(xù)的信息系統(tǒng)風(fēng)險(xiǎn)管理策略,根據(jù)信息系統(tǒng)的等級(jí)保護(hù)級(jí)別對(duì)信息系統(tǒng)進(jìn)行分析和評(píng)估,并實(shí)施有效的風(fēng)險(xiǎn)控制;
(二)建立同城信息系統(tǒng)災(zāi)備中心實(shí)現(xiàn)運(yùn)行環(huán)境備份,防止各類突發(fā)事故和惡意攻擊事件造成不良后果;
(三)建立健全相關(guān)信息科技制度,明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限,建立制約機(jī)制,實(shí)行最小授權(quán);
(四)嚴(yán)格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn),參照有關(guān)國際準(zhǔn)則,積極推進(jìn)信息安全標(biāo)準(zhǔn)化,開展信息安全等級(jí)保護(hù)等相關(guān)工作;
(五)加強(qiáng)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,及時(shí)對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行修補(bǔ)和完善,以保證信息系統(tǒng)的安全性和完整性;
(六)信息系統(tǒng)數(shù)據(jù)中心機(jī)房建設(shè)時(shí)嚴(yán)格參照國家有關(guān)計(jì)算機(jī)場地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn),數(shù)據(jù)中心機(jī)房實(shí)行嚴(yán)格的門禁管理措施,未經(jīng)授權(quán)不得進(jìn)入;
(七)加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù),使用正版軟件,加強(qiáng)軟件版本管理;積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品,并采取有效措施保護(hù)村鎮(zhèn)銀行信息化成果;
(八)嚴(yán)格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)規(guī)程,選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證,測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性,并配置適當(dāng)數(shù)量的備品、備件;
(九)嚴(yán)格參照相關(guān)標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)信息系統(tǒng)網(wǎng)絡(luò);網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性;關(guān)鍵網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份;嚴(yán)格線路租用合同管理,按照業(yè)務(wù)和交易流量要
求保證傳輸帶寬;監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備,保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行;
(十)加強(qiáng)網(wǎng)絡(luò)安全管理。嚴(yán)格網(wǎng)絡(luò)邊界控制,使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險(xiǎn);
(十一)加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備,完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度;
(十二)加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的管理;優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置,嚴(yán)格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫,采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取,以保證數(shù)據(jù)的完整性、保密性;
(十三)對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途,確定存取權(quán)限、方式和授權(quán)使用范圍,并嚴(yán)格審批和登記手續(xù);
(十四)制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案,并定期進(jìn)行演練、評(píng)審和修訂;
(十五)加強(qiáng)對(duì)技術(shù)文檔資料和重要數(shù)據(jù)的備份管理;技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放,按規(guī)定年限保存,調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)管理;
(十六)在信息系統(tǒng)可能影響客戶服務(wù)時(shí),及時(shí)通知業(yè)務(wù)部門,以便以適當(dāng)方式告知客戶;
(十七)采取有效技術(shù)措施,切實(shí)加強(qiáng)網(wǎng)上銀行信息安全保
障。加強(qiáng)網(wǎng)銀用戶身份認(rèn)證管理,與業(yè)務(wù)部門密切配合,逐步對(duì)所有網(wǎng)上銀行高風(fēng)險(xiǎn)賬戶操作統(tǒng)一使用雙重身份認(rèn)證。積極研發(fā)和應(yīng)用各類維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段,保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。
第七條
信息科技研發(fā)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)信息系統(tǒng)項(xiàng)目研發(fā)管理;
(二)信息系統(tǒng)項(xiàng)目開發(fā)人員外包;
(三)信息系統(tǒng)項(xiàng)目需求不明確;
(四)信息系統(tǒng)測試不規(guī)范或不完善;
(五)信息系統(tǒng)應(yīng)用推廣;
(六)信息系統(tǒng)測試發(fā)現(xiàn)的軟件缺陷;
(七)信息系統(tǒng)項(xiàng)目文檔管理;
(八)信息系統(tǒng)項(xiàng)目驗(yàn)收。
第八條
信息科技研發(fā)風(fēng)險(xiǎn)具體控制要求:
(一)一般項(xiàng)目研發(fā)成立項(xiàng)目工作小組,重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組,并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成,具體負(fù)責(zé)整個(gè)項(xiàng)目的開發(fā)工作;
(二)項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專業(yè)技術(shù)知識(shí),小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息
系統(tǒng)研發(fā)質(zhì)量和進(jìn)度;
(三)項(xiàng)目組根據(jù)業(yè)務(wù)部門項(xiàng)目需求編制項(xiàng)目功能說明書,依據(jù)項(xiàng)目功能說明書分別編寫項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說明書,設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說明書的要求;
(四)軟件研發(fā)必須建立獨(dú)立的測試環(huán)境,以保證測試的完整性和準(zhǔn)確性。一般測試應(yīng)包括功能測試、安全性測試、壓力測試、驗(yàn)收測試等,測試不得直接使用生產(chǎn)數(shù)據(jù);
(五)研發(fā)人員必須根據(jù)測試結(jié)果修補(bǔ)信息系統(tǒng)的功能和缺陷,提高信息系統(tǒng)的整體質(zhì)量;
(六)根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃,并進(jìn)行演練;
(七)開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認(rèn)并歸檔保存;
(八)軟件開發(fā)項(xiàng)目必須進(jìn)行嚴(yán)格的項(xiàng)目驗(yàn)收流程,項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收?qǐng)?bào)告,驗(yàn)收不合格不得投入使用。
第九條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)人為因素導(dǎo)致信息系統(tǒng)運(yùn)行故障;
(二)運(yùn)行管理不完善;
(三)信息系統(tǒng)日常變更;
(四)新建信息系統(tǒng)運(yùn)行;
(五)機(jī)房環(huán)境變化;
(六)信息系統(tǒng)故障報(bào)告程序。
第十條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)具體控制要求:
(一)信息系統(tǒng)運(yùn)行人員應(yīng)實(shí)行專職,不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)應(yīng)符合授權(quán)和維護(hù)規(guī)程要求;
(二)相關(guān)信息系統(tǒng)運(yùn)行維護(hù)人員嚴(yán)格按照信息系統(tǒng)管理制度及維護(hù)手冊(cè)運(yùn)行及維護(hù)信息系統(tǒng)。對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過上級(jí)審批、授權(quán)后方可進(jìn)行;
(三)制訂嚴(yán)格的信息系統(tǒng)變更處理流程,明確變更流程中各崗位的職責(zé)分工,并遵循流程實(shí)施控制和管理;
(四)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi),應(yīng)配合業(yè)務(wù)部門,積極參與組織對(duì)系統(tǒng)的后評(píng)價(jià),根據(jù)評(píng)價(jià)及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化;
(五)對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢,明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案;
(六)實(shí)行事件報(bào)告制度,發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件,應(yīng)即時(shí)上報(bào)并處理,必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。
第十一條
信息科技外包風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)外包風(fēng)險(xiǎn)是指
銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn):
(一)信息科技外包需求控制風(fēng)險(xiǎn);
(二)信息科技外包承包方合作風(fēng)險(xiǎn);
(三)信息科技外包項(xiàng)目商業(yè)風(fēng)險(xiǎn);
(四)信息科技外包項(xiàng)目安全風(fēng)險(xiǎn);
(五)信息科技外包項(xiàng)目質(zhì)量風(fēng)險(xiǎn);
(六)信息科技外包項(xiàng)目風(fēng)險(xiǎn)管理;
(七)信息科技外包項(xiàng)目責(zé)任風(fēng)險(xiǎn);(入)信息科技外包項(xiàng)目監(jiān)控風(fēng)險(xiǎn)。
第十二條 信息科技外包風(fēng)險(xiǎn)具體控制要求:
(一)在進(jìn)行信息系統(tǒng)外包時(shí),應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要,合理確定外包的原則和范圍,認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn),建立健全相關(guān)規(guī)章制度,制定相應(yīng)的風(fēng)險(xiǎn)防范措施;
(二)建立健全外包承包方評(píng)估機(jī)制,充分審查、評(píng)估承包方的經(jīng)營狀況、財(cái)務(wù)實(shí)力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平,并進(jìn)行必要的盡職情況調(diào)查。評(píng)估工作可委托具有國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)、具有相關(guān)專業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成;
(三)與承包方簽訂書面合同,明確雙方的權(quán)利、義務(wù),并規(guī)定承包方在安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任;
(四)充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接
影響,并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中;
(五)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與檢測程序,審查管理外包產(chǎn)生的風(fēng)險(xiǎn),提高本機(jī)構(gòu)的外包管理的能力;
(六)信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略,并建立針對(duì)信息系統(tǒng)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃;
(七)與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制,并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法,保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案;
(八)對(duì)信息系統(tǒng)外包承包方進(jìn)行持續(xù)的監(jiān)控。
第四章 附 則
第十三條 各支行可依據(jù)本辦法,結(jié)合本單位實(shí)際情況,制定具體實(shí)施細(xì)則。
第十四條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。
第三篇:銀行信息科技演講稿
追求科技,平凡中見崇高銀行信息科技演講稿尊敬的各位領(lǐng)導(dǎo)、同事:大家好!我是總行信息科技部一名普通的科技工作者,從踏進(jìn)我行大門的那一刻起,我就深深地愛上了這份工作。記得我剛到科技部時(shí),由于第一次接觸金融行業(yè),對(duì)我來講,這是一個(gè)新的開始。以前的很多經(jīng)驗(yàn)和技能一時(shí)得不到施展,工作難以上手,我內(nèi)心焦急如焚。這時(shí),**總似乎看出了我的顧慮和焦急,于是找我談心,與我溝通工作方法,隨后就安排各專業(yè)小組負(fù)責(zé)人在工作之余給新員工講解了我行信息系統(tǒng)體系架構(gòu)以及網(wǎng)絡(luò)拓?fù)涞戎R(shí),使我對(duì)全行的科技信息體系有了整體的認(rèn)識(shí)和把握,工作能夠快速上手。依然記得晚上十一點(diǎn)多,各個(gè)專業(yè)小組的領(lǐng)導(dǎo)還在中心機(jī)房給我們新員工進(jìn)行系統(tǒng)培訓(xùn),他們那種忘我的工作投入,著實(shí)讓我感動(dòng)。那時(shí)那刻,我覺得他們就是這個(gè)世界上最可愛的人。老員工對(duì)新員工生活上的慰問和關(guān)照,讓我內(nèi)心感到無比的溫暖和欣慰。我想說的是,在科技部這個(gè)大團(tuán)隊(duì)里,有太多的瑣事讓我感動(dòng),一種無法用文字和言語來表達(dá)的感動(dòng),這些經(jīng)歷將永遠(yuǎn)留在我的記憶中。這個(gè)團(tuán)隊(duì)每個(gè)成員身上所體現(xiàn)的務(wù)實(shí)、嚴(yán)謹(jǐn)、專業(yè)、默默付出,令人欽佩,我想:在這樣的優(yōu)秀的團(tuán)隊(duì)里工作,還有什么問題不能解決?能在這樣的家庭里成長,也是我最大的收獲和快樂。因?yàn)橄矚g技術(shù),我和我的伙伴們,在技術(shù)領(lǐng)域中刻苦鉆研,攻克了許多難題。
第四篇:銀行信息科技安全
銀行信息科技安全
信息技術(shù)快速發(fā)展以及客戶對(duì)高效便捷金融服務(wù)的迫切需求,帶來了電子銀行業(yè)務(wù)快速發(fā)展的機(jī)遇。“把業(yè)務(wù)搬到網(wǎng)上”成為銀行業(yè)務(wù)發(fā)展的一大趨勢(shì),銀行服務(wù)體系對(duì)網(wǎng)銀等電子渠道的依賴不斷加深,電子銀行替代率越來越高。網(wǎng)絡(luò)攻擊隨之增加,攻擊行為的性質(zhì)也從個(gè)人炫耀轉(zhuǎn)為組織化的經(jīng)濟(jì)利益獲取。在這種網(wǎng)絡(luò)環(huán)境下,客戶信息的保密和安全保障已經(jīng)成為公眾最為關(guān)注和憂慮的問題,信息技術(shù)的安全運(yùn)行和健康發(fā)展,已直接影響銀行的穩(wěn)健經(jīng)營,甚至關(guān)乎銀行聲譽(yù)、金融安全和社會(huì)穩(wěn)定。
我國銀行業(yè)正處于改革發(fā)展的關(guān)鍵時(shí)期,既存在著難得的機(jī)遇,也面臨嚴(yán)峻的挑戰(zhàn)。提升銀行業(yè)信息科技實(shí)力,以科技進(jìn)步和創(chuàng)新支持銀行業(yè)提高競爭力,促進(jìn)可持續(xù)健康發(fā)展,是銀行業(yè)迎接挑戰(zhàn),提高整體綜合實(shí)力的戰(zhàn)略選擇,也是健全金融體系,支持實(shí)體經(jīng)濟(jì)的必然要求。
銀行對(duì)信息科技的依賴程度日益加深,信息科技的安全運(yùn)行和健康發(fā)展直接影響到銀行的穩(wěn)健經(jīng)營,關(guān)乎銀行的聲譽(yù)、金融安全和社會(huì)穩(wěn)定,監(jiān)管部門越來越重視信息化建設(shè)與信息科技風(fēng)險(xiǎn)管理,銀行業(yè)要圍繞“自主可控、持續(xù)發(fā)展、科技創(chuàng)新”三大戰(zhàn)略切實(shí)加強(qiáng)信息科技建設(shè),集銀行業(yè)與監(jiān)管者的共同智慧,不斷研究探索并發(fā)揮信息科技的支撐作用,運(yùn)用信息科技的創(chuàng)新作用,切實(shí)提高銀行業(yè)的競爭力。
近年來,我國銀行業(yè)堅(jiān)持?jǐn)?shù)量與質(zhì)量并重、基礎(chǔ)建設(shè)與科技創(chuàng)新并行、提升服務(wù)與保障發(fā)展并舉的科學(xué)發(fā)展觀。在推進(jìn)信息化建設(shè),建立健全信息安全保障體系,加快科學(xué)創(chuàng)新等方面不懈努力,取得了顯著的成績。信息科技基礎(chǔ)設(shè)施日臻完善,科技投入保持較高增長,信息系統(tǒng)數(shù)量、建設(shè)速度同比增長,科技總投入增長較快。與此同時(shí),銀行業(yè)總規(guī)模連年保持兩位數(shù)增長,資產(chǎn)質(zhì)量不斷提高,盈利能力、風(fēng)險(xiǎn)抵抗能力不斷增強(qiáng)。銀行以客戶為中心的理念深入人心,積極應(yīng)用信息科技推進(jìn)業(yè)務(wù)模式的創(chuàng)新,網(wǎng)上銀行、手機(jī)銀行蓬勃發(fā)展,建設(shè)了一批緊密服務(wù)民生的特色業(yè)務(wù)、系統(tǒng),服務(wù)渠道日益多元,服務(wù)效率日益提高,社會(huì)體驗(yàn)日益改善,在進(jìn)一步方便人民基本生活的同時(shí),在引導(dǎo)金融消費(fèi)理念、規(guī)范金融消費(fèi)行為方面發(fā)揮了積極作用。層次化、立體化的保障體系初步形成,為維護(hù)金融信息安全發(fā)揮了基礎(chǔ)支撐作用。
在肯定成績、肯定發(fā)展的同時(shí),也要充分看到國情世情的變化,使得銀行業(yè)面臨更加復(fù)雜的環(huán)境。在加強(qiáng)監(jiān)管方面,進(jìn)一步完善信息科技監(jiān)管法律法規(guī),充分運(yùn)用非現(xiàn)場監(jiān)管、現(xiàn)場檢查、專項(xiàng)治理等監(jiān)管機(jī)制,深入探索適合信息科技風(fēng)險(xiǎn)特點(diǎn)的監(jiān)管方式,繼續(xù)加強(qiáng)在網(wǎng)銀、外包、業(yè)務(wù)連續(xù)性等重點(diǎn)領(lǐng)域的監(jiān)管力度,下大力氣解決這些系統(tǒng)性、全局性的風(fēng)險(xiǎn)問題。對(duì)于已經(jīng)暴露的風(fēng)險(xiǎn),要層層剖析,以對(duì)風(fēng)險(xiǎn)早暴露、早發(fā)現(xiàn)、早干預(yù)為目標(biāo),實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的全方位有效監(jiān)管。在加強(qiáng)指導(dǎo)方面,研究銀行業(yè)信息化建設(shè)中的共性問題、重大問題和疑難問題,在基礎(chǔ)架構(gòu)、數(shù)據(jù)管理、災(zāi)備體系等關(guān)鍵領(lǐng)域,集中行業(yè)智慧,突破發(fā)展瓶頸。大力推進(jìn)銀行業(yè)標(biāo)準(zhǔn)體系建設(shè),提升銀行業(yè)標(biāo)準(zhǔn)體系的科學(xué)性、完整性、開放性,促進(jìn)標(biāo)準(zhǔn)與監(jiān)管法規(guī)的銜接,重點(diǎn)開展標(biāo)準(zhǔn)的應(yīng)用、推廣工作。深入挖掘行業(yè)信息化建設(shè)最佳實(shí)踐,促進(jìn)經(jīng)驗(yàn)交流和成果共享。通過專業(yè)指導(dǎo)、課題研究工作機(jī)制,以大帶小,以老帶新,幫助銀行進(jìn)行信息化發(fā)展。
第五篇:村鎮(zhèn)銀行信息科技建設(shè)與管理指引
村鎮(zhèn)銀行信息科技建設(shè)與管理指引
(征求意見稿)第一章 總 則
第一條 為提高村鎮(zhèn)銀行信息科技建設(shè)及管理水平,有效防范信息科技風(fēng)險(xiǎn),促進(jìn)村鎮(zhèn)銀行持續(xù)、穩(wěn)健發(fā)展,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī),參照《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求,制定本指引。
第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的村鎮(zhèn)銀行,村鎮(zhèn)銀行主發(fā)起行(以下簡稱主發(fā)起行)及承擔(dān)村鎮(zhèn)銀行信息科技工作的銀行業(yè)金融機(jī)構(gòu)。
第三條 村鎮(zhèn)銀行信息科技工作目標(biāo)是通過建立有效的管理機(jī)制,科學(xué)開展信息科技建設(shè),加強(qiáng)信息科技風(fēng)險(xiǎn)管控,確保信息科技工作目標(biāo)與業(yè)務(wù)發(fā)展目標(biāo)一致,增強(qiáng)核心競爭力,促進(jìn)村鎮(zhèn)銀行安全、持續(xù)、穩(wěn)健發(fā)展。
第四條 村鎮(zhèn)銀行信息科技工作的基本原則是:
(一)發(fā)展為本:信息科技工作以支持村鎮(zhèn)銀行業(yè)務(wù)健康發(fā)展為根本要求;
(二)風(fēng)險(xiǎn)可控:積極采取措施,防范系統(tǒng)中斷、敏感信息泄露和資金損失等風(fēng)險(xiǎn);
(三)資源共享:信息科技工作應(yīng)統(tǒng)籌規(guī)劃、適度集中、節(jié)約高效,合理利用信息科技資源。
第五條 根據(jù)信息科技工作的責(zé)任主體不同,村鎮(zhèn)銀行信息科技管理分為自主管理和主發(fā)起行管理兩種模式。自主管理是指村鎮(zhèn)銀行獨(dú)立承擔(dān)信息科技規(guī)劃、建設(shè)、運(yùn)維、風(fēng)險(xiǎn)管理和審計(jì)等責(zé)任的管理模式,主發(fā)起行管理是指村鎮(zhèn)銀行將信息科技工作委托給主發(fā)起行并由其承擔(dān)村鎮(zhèn)銀行信息科技規(guī)劃、建設(shè)、運(yùn)維、風(fēng)險(xiǎn)管理和審計(jì)等責(zé)任的管理模式。
第六條 本指引所稱同業(yè)機(jī)構(gòu)是指中國銀行業(yè)監(jiān)督管理委員會(huì)(以下簡稱中國銀監(jiān)會(huì))監(jiān)管的銀行業(yè)金融機(jī)構(gòu)。
第七條 本指引所稱同業(yè)合作是指村鎮(zhèn)銀行或主發(fā)起行將原本由自身完成的信息科技工作委托給同業(yè)機(jī)構(gòu)進(jìn)行持續(xù)處理的行為。
第八條 本指引所稱信息科技外包是指村鎮(zhèn)銀行或主發(fā)起行將原本由自身完成的信息科技工作委托給同業(yè)機(jī)構(gòu)以外的其它機(jī)構(gòu)進(jìn)行持續(xù)處理的行為。
第九條 村鎮(zhèn)銀行應(yīng)根據(jù)本行市場定位和業(yè)務(wù)發(fā)展戰(zhàn)略,結(jié)合本行管理水平和技術(shù)能力,自主確定本行信息科技管理模式,并履行本指引第二章關(guān)于不同模式下信息科技治理的要求,積極采用自建、同業(yè)合作或外包的方式開展信息科技工作。
第二章信息科技治理 第一節(jié)自主管理模式
第十條 村鎮(zhèn)銀行法定代表人對(duì)村鎮(zhèn)銀行信息科技工作負(fù)最終責(zé)任。
第十一條 村鎮(zhèn)銀行董事會(huì)應(yīng)履行以下職責(zé),不設(shè)董事會(huì)的,應(yīng)設(shè)立由高級(jí)管理層組成的組織機(jī)構(gòu)(以下簡稱履職機(jī)構(gòu))履行下述職責(zé):
(一)負(fù)責(zé)審批信息科技戰(zhàn)略規(guī)劃,確保與本行的總體發(fā)展戰(zhàn)略相一致;
(二)負(fù)責(zé)建立適合業(yè)務(wù)發(fā)展的信息科技治理架構(gòu),確保責(zé)任明確、分工合理;
(三)為信息科技工作的開展提供資源保障;(四)建立信息科技工作激勵(lì)和考核機(jī)制;
(五)掌握主要的信息科技風(fēng)險(xiǎn),確保可接受的風(fēng)險(xiǎn)級(jí)別;(六)確保信息科技審計(jì)獨(dú)立有效開展;
(七)貫徹有關(guān)信息科技工作的法律法規(guī),落實(shí)中國銀監(jiān)會(huì)及其派出機(jī)構(gòu)監(jiān)管要求;
(八)向中國銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本行重大信息科技突發(fā)事件。
第十二條 村鎮(zhèn)銀行高級(jí)管理層應(yīng)履行以下職責(zé):(一)組織制定信息科技戰(zhàn)略規(guī)劃;
(二)建立信息科技部門或指派一個(gè)部門,承擔(dān)本行信息科技工作職責(zé),確保履行:信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技項(xiàng)目研發(fā)和運(yùn)行管理、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包等職責(zé)。
(三)負(fù)責(zé)對(duì)信息科技工作中的重大事項(xiàng)進(jìn)行決策;(四)組織開展信息科技建設(shè),建立信息科技工作制度和流程;
(五)組織評(píng)估本行信息科技風(fēng)險(xiǎn)并采取相應(yīng)的風(fēng)險(xiǎn)控制措施;
(六)組織開展信息科技專業(yè)培訓(xùn),開展信息科技人才隊(duì)伍建設(shè);
(七)向董事會(huì)或履職機(jī)構(gòu)報(bào)告本行重大信息科技突發(fā)事件。第十三條 村鎮(zhèn)銀行應(yīng)將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理框架,明確信息科技風(fēng)險(xiǎn)管理工作的主管部門,建立與業(yè)務(wù)發(fā)展規(guī)劃、經(jīng)營目標(biāo)、管理職責(zé)相適應(yīng)的信息科技風(fēng)險(xiǎn)管理策略,有效識(shí)別、計(jì)量、監(jiān)測和控制信息科技風(fēng)險(xiǎn)。
第十四條 村鎮(zhèn)銀行應(yīng)定期開展信息科技審計(jì),至少每三年覆蓋全部信息科技風(fēng)險(xiǎn)領(lǐng)域,并根據(jù)審計(jì)結(jié)果及時(shí)整改。第十五條 主發(fā)起行應(yīng)發(fā)揮自身在信息科技工作方面的經(jīng)驗(yàn)與優(yōu)勢(shì),對(duì)村鎮(zhèn)銀行的信息科技工作進(jìn)行指導(dǎo)和幫助,并履行以下職責(zé):
(一)協(xié)助村鎮(zhèn)銀行制定信息科技戰(zhàn)略規(guī)劃;
(二)為村鎮(zhèn)銀行信息科技重大事項(xiàng)和決策提供專業(yè)建議;(三)協(xié)助村鎮(zhèn)銀行開展信息科技建設(shè)及風(fēng)險(xiǎn)管理;(四)指導(dǎo)村鎮(zhèn)銀行落實(shí)本指引第三、四、五章中對(duì)于村鎮(zhèn)銀行的監(jiān)管要求。
第二節(jié)主發(fā)起行管理模式
第十六條 主發(fā)起行法定代表人對(duì)村鎮(zhèn)銀行信息科技工作負(fù)最終責(zé)任。
第十七條 主發(fā)起行董事會(huì)應(yīng)履行以下職責(zé):(一)審批村鎮(zhèn)銀行信息科技戰(zhàn)略規(guī)劃;
(二)負(fù)責(zé)建立與村鎮(zhèn)銀行規(guī)模、業(yè)務(wù)相適應(yīng)的信息科技治理架構(gòu);
(三)為村鎮(zhèn)銀行信息科技工作的開展提供資源保障。(四)建立村鎮(zhèn)銀行信息科技工作激勵(lì)和考核機(jī)制;(五)掌握主要的信息科技風(fēng)險(xiǎn),確保可接受的風(fēng)險(xiǎn)級(jí)別;(六)確保村鎮(zhèn)銀行信息科技審計(jì)獨(dú)立有效;(七)貫徹有關(guān)村鎮(zhèn)銀行信息科技工作的法律法規(guī),落實(shí)中國銀監(jiān)會(huì)及其派出機(jī)構(gòu)監(jiān)管要求;
(八)向中國銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告村鎮(zhèn)銀行重大信息科技突發(fā)事件。
第十八條 主發(fā)起行應(yīng)設(shè)立一個(gè)由主發(fā)起行高級(jí)管理層、多家村鎮(zhèn)銀行的高級(jí)管理層代表,及主發(fā)起行負(fù)責(zé)村鎮(zhèn)銀行業(yè)務(wù)、科技管理等部門組成的村鎮(zhèn)銀行信息科技管理委員會(huì),并履行以下職責(zé):
(一)組織協(xié)商制定村鎮(zhèn)銀行信息科技戰(zhàn)略規(guī)劃;
(二)負(fù)責(zé)村鎮(zhèn)銀行信息科技重大事項(xiàng)的決策,組織開展村鎮(zhèn)銀行信息科技建設(shè),建立村鎮(zhèn)銀行信息科技工作制度和流程;
(三)組織評(píng)估村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)并采取相應(yīng)的風(fēng)險(xiǎn)控制措施;
(四)定期聽取村鎮(zhèn)銀行對(duì)主發(fā)起行信息科技工作情況的反饋,持續(xù)改進(jìn)村鎮(zhèn)銀行信息科技服務(wù);
(五)向主發(fā)起行董事會(huì)報(bào)告、向村鎮(zhèn)銀行董事會(huì)或履職機(jī)構(gòu)通報(bào)村鎮(zhèn)銀行重大信息科技突發(fā)事件。
第十九條 主發(fā)起行應(yīng)建立村鎮(zhèn)銀行信息科技工作組織體系,包括:
(一)指派一個(gè)部門負(fù)責(zé)主發(fā)起行與村鎮(zhèn)銀行的信息科技工作統(tǒng)籌協(xié)調(diào)。(二)設(shè)立或指派一個(gè)部門負(fù)責(zé)村鎮(zhèn)銀行信息科技工作,建立獨(dú)立的團(tuán)隊(duì)負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)建設(shè)和運(yùn)行維護(hù);
(三)設(shè)立或指派一個(gè)部門負(fù)責(zé)村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理工作;
(四)主發(fā)起行審計(jì)部門負(fù)責(zé)村鎮(zhèn)銀行信息科技審計(jì)工作。第二十條 主發(fā)起行應(yīng)落實(shí)本指引第三章中對(duì)于村鎮(zhèn)銀行的監(jiān)管要求。
第二十一條 主發(fā)起行應(yīng)建立與村鎮(zhèn)銀行業(yè)務(wù)發(fā)展規(guī)劃、經(jīng)營目標(biāo)、管理職責(zé)相適應(yīng)的信息科技風(fēng)險(xiǎn)管理策略,有效識(shí)別、計(jì)量、監(jiān)測和控制信息科技風(fēng)險(xiǎn)。
第二十二條 主發(fā)起行應(yīng)定期開展村鎮(zhèn)銀行信息科技審計(jì),至少每三年覆蓋全部信息科技風(fēng)險(xiǎn)領(lǐng)域,并根據(jù)審計(jì)結(jié)果及時(shí)整改。
第二十三條 主發(fā)起行應(yīng)本著“成立初期免費(fèi)、發(fā)展時(shí)期減免、成熟穩(wěn)定時(shí)期保本”的原則,建立對(duì)村鎮(zhèn)銀行信息科技服務(wù)的收費(fèi)機(jī)制。
第二十四條 村鎮(zhèn)銀行應(yīng)積極參加信息科技戰(zhàn)略規(guī)劃、建設(shè)和風(fēng)險(xiǎn)管理工作,落實(shí)主發(fā)起行對(duì)村鎮(zhèn)銀行信息科技工作的要求,配合主發(fā)起行對(duì)村鎮(zhèn)銀行的信息科技審計(jì),定期對(duì)主發(fā)起行承擔(dān)的村鎮(zhèn)銀行信息科技工作進(jìn)行評(píng)價(jià),并向村鎮(zhèn)銀行信息科技管理委員會(huì)反饋評(píng)價(jià)結(jié)果。第二十五條 村鎮(zhèn)銀行與主發(fā)起行應(yīng)簽訂信息科技工作委托協(xié)議,委托協(xié)議應(yīng)包括但不限于:
(一)主發(fā)起行和村鎮(zhèn)銀行分別承擔(dān)的村鎮(zhèn)銀行信息科技管理責(zé)任、權(quán)利和義務(wù);
(二)主發(fā)起行承擔(dān)的村鎮(zhèn)銀行信息科技工作內(nèi)容;(三)對(duì)村鎮(zhèn)銀行客戶信息的保密要求;(四)村鎮(zhèn)銀行信息科技突發(fā)事件應(yīng)急機(jī)制;(五)協(xié)議變更流程;(六)協(xié)議的有效期限。
第二十六條 村鎮(zhèn)銀行主發(fā)起行為農(nóng)村商業(yè)銀行、農(nóng)村合作銀行或農(nóng)村信用社的,且主發(fā)起行重要信息系統(tǒng)在本省農(nóng)村信用聯(lián)社集中運(yùn)行的,村鎮(zhèn)銀行可將信息科技工作委托給省農(nóng)村信用聯(lián)社,由省農(nóng)村信用聯(lián)社履行主發(fā)起行管理責(zé)任。
第三章信息科技建設(shè)與管理
第二十七條 村鎮(zhèn)銀行應(yīng)制定符合總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃,確保配置足夠人力、財(cái)力資源,維持穩(wěn)定、安全的信息科技環(huán)境。制定信息科技架構(gòu),確定信息系統(tǒng)和基礎(chǔ)設(shè)施整體框架,保持前瞻性、可擴(kuò)展性和靈活性,并定期評(píng)估。
第二十八條 村鎮(zhèn)銀行信息系統(tǒng)應(yīng)滿足以下要求:(一)具備有效支持各項(xiàng)銀行業(yè)務(wù)開展所需的功能,滿足村鎮(zhèn)銀行發(fā)行銀行卡、建立支付結(jié)算渠道、發(fā)展電子銀行業(yè)務(wù)、創(chuàng)新金融產(chǎn)品等需求;
(二)具備與業(yè)務(wù)處理要求相匹配的良好性能;
(三)應(yīng)避免使用技術(shù)落后、不適應(yīng)業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)管理需要的信息系統(tǒng);
(四)對(duì)于現(xiàn)代化支付、銀行卡聯(lián)網(wǎng)、征信等系統(tǒng),原則上應(yīng)實(shí)現(xiàn)信息系統(tǒng)集中接入和集約管理。
第二十九條 村鎮(zhèn)銀行的信息科技基礎(chǔ)設(shè)施應(yīng)滿足以下要求:
(一)信息科技基礎(chǔ)設(shè)施建設(shè)應(yīng)遵循資源共享、標(biāo)準(zhǔn)統(tǒng)一、安全可靠、便于管理的原則,滿足可擴(kuò)展性、易維護(hù)性的要求,為各類信息科技應(yīng)用提供支持和服務(wù);
(二)機(jī)房建設(shè)應(yīng)滿足《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-2008)要求,信息系統(tǒng)運(yùn)行所依托的數(shù)據(jù)中心至少應(yīng)達(dá)到B級(jí)標(biāo)準(zhǔn),承擔(dān)超過30家(含)村鎮(zhèn)銀行信息系統(tǒng)運(yùn)行的,所依托的數(shù)據(jù)中心應(yīng)達(dá)到A級(jí)標(biāo)準(zhǔn);
(三)機(jī)房供電、空調(diào)、主機(jī)、存儲(chǔ)和網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施設(shè)備實(shí)現(xiàn)冗余配置,避免發(fā)生單點(diǎn)故障;
(四)承擔(dān)超過30家(含)村鎮(zhèn)銀行信息系統(tǒng)運(yùn)行或所承擔(dān)村鎮(zhèn)銀行資產(chǎn)總量超過300億元(含)的,應(yīng)建立重要信息系統(tǒng)同城實(shí)時(shí)數(shù)據(jù)級(jí)備份中心,并實(shí)現(xiàn)RPO不超過24小時(shí)的遠(yuǎn)程數(shù)據(jù)備份。第三十條 村鎮(zhèn)銀行應(yīng)建立完善的信息科技管理制度和工作規(guī)范,包括項(xiàng)目管理、系統(tǒng)開發(fā)運(yùn)行管理、安全管理、數(shù)據(jù)管理、應(yīng)急管理、外包管理、風(fēng)險(xiǎn)及審計(jì)管理。
第三十一條 村鎮(zhèn)銀行應(yīng)建立信息系統(tǒng)開發(fā)、運(yùn)行管理流程,涵蓋需求管理、開發(fā)管理、測試管理、驗(yàn)收管理、問題管理和變更管理等內(nèi)容,包括:
(一)建立需求管理機(jī)制,涵蓋需求風(fēng)險(xiǎn)分析和可行性研究,確保需求合理、準(zhǔn)確;
(二)建立系統(tǒng)化的開發(fā)、測試方法和流程,包括需求分析、設(shè)計(jì)、編碼、測試、評(píng)審、發(fā)版等環(huán)節(jié);
(三)嚴(yán)格管控信息系統(tǒng)投產(chǎn)上線,上線前應(yīng)有完備的上線方案和回退方案,上線過程應(yīng)進(jìn)行記錄和跟蹤,投產(chǎn)后應(yīng)做好系統(tǒng)驗(yàn)收,包括系統(tǒng)功能、性能、安全、文檔等;
(四)建立事件管理流程,快速響應(yīng)系統(tǒng)運(yùn)行事件、修復(fù)故障,及時(shí)恢復(fù)系統(tǒng)運(yùn)行,并深入分析問題根源,防范事件再次發(fā)生;
(五)建立配置管理流程,及時(shí)更新數(shù)據(jù)中心基礎(chǔ)設(shè)施和重要信息系統(tǒng)的配置信息,支持變更風(fēng)險(xiǎn)評(píng)估、變更實(shí)施、故障事件排查、問題分析等服務(wù)管理流程;
(六)建立變更管理流程,包括提出、審核、實(shí)施、記錄等環(huán)節(jié),確保信息系統(tǒng)可靠性、可維護(hù)性和可追溯性。變更前需進(jìn)行備份,變更實(shí)施需雙人操作。信息系統(tǒng)變更應(yīng)經(jīng)村鎮(zhèn)銀行信息科技管理部門確認(rèn)后方可實(shí)施。第三十二條 村鎮(zhèn)銀行應(yīng)建立信息安全管理機(jī)制,涵蓋物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、加密技術(shù)、日志管理等內(nèi)容,包括:
(一)明確機(jī)房物理安全區(qū)域,規(guī)范區(qū)域訪問管理,控制未授權(quán)訪問風(fēng)險(xiǎn);
(二)劃分生產(chǎn)網(wǎng)絡(luò)安全域,互聯(lián)網(wǎng)和生產(chǎn)網(wǎng)應(yīng)實(shí)現(xiàn)有效隔離,保障網(wǎng)絡(luò)通信安全;
(三)建立信息系統(tǒng)訪問控制和授權(quán)管理體系,根據(jù)最小授權(quán)原則配置不同用戶的訪問權(quán)限,嚴(yán)格管理高權(quán)限賬號(hào),規(guī)范系統(tǒng)普通賬號(hào)和密碼的創(chuàng)建、變更、刪除等,防止非法訪問;
(四)在生產(chǎn)數(shù)據(jù)采集、存儲(chǔ)、傳輸?shù)冗^程中應(yīng)對(duì)密碼等關(guān)鍵信息采取加密、校驗(yàn)等有效措施,確保該類信息安全,防止被篡改和竊取;
(五)村鎮(zhèn)銀行重要信息系統(tǒng)日志和交易日志、系統(tǒng)變更審批記錄以及數(shù)據(jù)使用、變更、備份、銷毀審批記錄應(yīng)保存完整,保留期限應(yīng)符合審計(jì)要求。
第三十三條 村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)的所有權(quán)歸村鎮(zhèn)銀行。村鎮(zhèn)銀行以外的單位未經(jīng)授權(quán),不得查詢、使用、變更、銷毀村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)。生產(chǎn)數(shù)據(jù)的管理規(guī)范包括:
(一)生產(chǎn)數(shù)據(jù)的查詢、使用應(yīng)遵循嚴(yán)格的審批和操作流程,經(jīng)村鎮(zhèn)銀行數(shù)據(jù)管理部門負(fù)責(zé)人審批同意方可使用。開發(fā)測試等需要使用生產(chǎn)數(shù)據(jù)時(shí),需對(duì)數(shù)據(jù)進(jìn)行脫敏處理;(二)生產(chǎn)數(shù)據(jù)變更應(yīng)遵循嚴(yán)格的審批和操作流程,經(jīng)村鎮(zhèn)銀行高管層審批同意后,雙人實(shí)施,并對(duì)變更結(jié)果進(jìn)行確認(rèn);
(三)廢棄生產(chǎn)數(shù)據(jù)應(yīng)經(jīng)審批后采用不可逆技術(shù)手段進(jìn)行銷毀處理,銷毀工作由數(shù)據(jù)管理部門現(xiàn)場監(jiān)督;
(四)生產(chǎn)數(shù)據(jù)至少每日進(jìn)行備份,備份介質(zhì)應(yīng)異地保存,定期對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)性測試,確保一致性和可用性;
(五)對(duì)于承擔(dān)多家村鎮(zhèn)銀行信息系統(tǒng)運(yùn)行的,應(yīng)采取技術(shù)措施,確保村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)的保密性和完整性。
第三十四條 村鎮(zhèn)銀行應(yīng)建立有效的應(yīng)急管理體系,確保重要信息系統(tǒng)突發(fā)事件發(fā)生后快速恢復(fù),降低或消除因重要信息系統(tǒng)服務(wù)中斷造成的影響和損失。包括:
(一)建立應(yīng)急管理組織機(jī)構(gòu),負(fù)責(zé)信息系統(tǒng)突發(fā)事件應(yīng)急管理工作;
(二)制定信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案,實(shí)施信息系統(tǒng)突發(fā)事件應(yīng)急處置;
(三)定期組織信息系統(tǒng)應(yīng)急演練,持續(xù)改進(jìn)信息系統(tǒng)應(yīng)急預(yù)案;
(四)將同業(yè)機(jī)構(gòu)、重要外包服務(wù)提供商納入應(yīng)急管理。
第四章同業(yè)合作管理
第三十五條 村鎮(zhèn)銀行或主發(fā)起行應(yīng)綜合評(píng)估擬受托同業(yè)機(jī)構(gòu)的行業(yè)經(jīng)驗(yàn)、科技實(shí)力和管理能力等,遵循平等、自愿、誠信、互利的原則,委托同業(yè)機(jī)構(gòu)承擔(dān)村鎮(zhèn)銀行信息科技服務(wù)工作。可選擇的受托同業(yè)機(jī)構(gòu)包括:
(一)經(jīng)中國銀監(jiān)會(huì)批準(zhǔn)、在中華人民共和國境內(nèi)設(shè)立、監(jiān)管評(píng)級(jí)為二級(jí)(含)以上的銀行業(yè)金融機(jī)構(gòu);
(二)省級(jí)農(nóng)村信用社聯(lián)合社(以下簡稱省聯(lián)社),經(jīng)中國銀監(jiān)會(huì)批準(zhǔn)的主要從事銀行IT系統(tǒng)、產(chǎn)品的開發(fā)和數(shù)據(jù)運(yùn)營維護(hù)等業(yè)務(wù)的非銀行金融機(jī)構(gòu)。
第三十六條 村鎮(zhèn)銀行與受托同業(yè)機(jī)構(gòu)應(yīng)簽訂同業(yè)合作協(xié)議,在主發(fā)起行管理模式下,村鎮(zhèn)銀行、主發(fā)起行、受托同業(yè)機(jī)構(gòu)應(yīng)簽訂三方合作協(xié)議。同業(yè)合作協(xié)議應(yīng)包括但不限于以下方面:
(一)各簽約方的責(zé)任、權(quán)利和義務(wù);(二)信息科技同業(yè)合作內(nèi)容;(三)合規(guī)與內(nèi)控要求;(四)服務(wù)連續(xù)性要求;(五)知識(shí)產(chǎn)權(quán)歸屬;
(六)與同業(yè)合作內(nèi)容相適應(yīng)的服務(wù)要求或服務(wù)水平條款;(七)同業(yè)合作評(píng)價(jià)與報(bào)告機(jī)制;
(八)受托同業(yè)機(jī)構(gòu)在安全和保密方面的責(zé)任;(九)協(xié)議變更流程;(十)協(xié)議的有效期限。第三十七條 受托同業(yè)機(jī)構(gòu)應(yīng)建立有效的信息科技治理機(jī)制,對(duì)其承擔(dān)的村鎮(zhèn)銀行信息科技工作負(fù)有科技風(fēng)險(xiǎn)管理責(zé)任,并配合村鎮(zhèn)銀行信息科技審計(jì)工作。
第三十八條 受托同業(yè)機(jī)構(gòu)開展村鎮(zhèn)銀行信息科技建設(shè)與管理應(yīng)遵照本指引第三章的要求。
第三十九條 各簽約方應(yīng)建立良好的溝通協(xié)調(diào)機(jī)制,應(yīng)指定部門負(fù)責(zé)信息科技事項(xiàng)的溝通工作,確保信息科技服務(wù)及時(shí)、到位。
(一)村鎮(zhèn)銀行或主發(fā)起行應(yīng)定期對(duì)受托同業(yè)機(jī)構(gòu)的科技服務(wù)進(jìn)行評(píng)價(jià),并將評(píng)價(jià)結(jié)果反饋至受托同業(yè)機(jī)構(gòu),促進(jìn)受托同業(yè)機(jī)構(gòu)改進(jìn)科技服務(wù);
(二)受托同業(yè)機(jī)構(gòu)應(yīng)確保對(duì)村鎮(zhèn)銀行的信息科技服務(wù)水平,包括服務(wù)內(nèi)容、服務(wù)流程、系統(tǒng)可用性、響應(yīng)時(shí)間、故障解決率等量化的服務(wù)標(biāo)準(zhǔn)等方面;
(三)受托同業(yè)機(jī)構(gòu)應(yīng)建立對(duì)村鎮(zhèn)銀行或主發(fā)起行的回訪機(jī)制,全面了解村鎮(zhèn)銀行的工作意見和建議,并根據(jù)回訪情況制定整改措施。回訪頻率不低于每年一次。
第五章外包管理 第四十條 村鎮(zhèn)銀行或主發(fā)起行在開展村鎮(zhèn)銀行信息科技外包活動(dòng)時(shí),可參照《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理指引》內(nèi)容進(jìn)行管理。
第四十一條 村鎮(zhèn)銀行或主發(fā)起行應(yīng)建立信息科技外包管理制度及流程,有效管控信息科技外包風(fēng)險(xiǎn)。
第四十二條 村鎮(zhèn)銀行或主發(fā)起行應(yīng)審慎開展村鎮(zhèn)銀行信息科技外包活動(dòng),信息科技外包前應(yīng)進(jìn)行全面的可行性分析,防范由于外包而引發(fā)的各類風(fēng)險(xiǎn)。可行性分析包括但不限于以下內(nèi)容:
(一)擬外包工作對(duì)村鎮(zhèn)銀行業(yè)務(wù)發(fā)展及風(fēng)險(xiǎn)狀況的影響;(二)對(duì)擬外包活動(dòng)的控制能力;(三)擬外包活動(dòng)對(duì)數(shù)據(jù)安全的影響;
(四)擬外包活動(dòng)意外終止對(duì)村鎮(zhèn)銀行的影響;(五)中國銀監(jiān)會(huì)要求的其他事項(xiàng)。
第四十三條 村鎮(zhèn)銀行或主發(fā)起行實(shí)施外包服務(wù)項(xiàng)目前,應(yīng)對(duì)服務(wù)提供商進(jìn)行盡職調(diào)查。盡職調(diào)查內(nèi)容包括但不限于:
(一)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn),包括服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場評(píng)價(jià)、監(jiān)管評(píng)價(jià)等;
(二)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力,包括內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等;(三)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況,包括從業(yè)時(shí)間、市場地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。第四十四條 在開展信息科技外包活動(dòng)時(shí),村鎮(zhèn)銀行或主發(fā)起行應(yīng)避免選擇存在下列情況的高風(fēng)險(xiǎn)外包服務(wù)提供商:
(一)影響國家安全和經(jīng)濟(jì)穩(wěn)定;(二)違反相關(guān)法律、行政法規(guī)及規(guī)章;
(三)竊取、泄露銀行業(yè)金融機(jī)構(gòu)的敏感信息,并造成惡劣影響;
(四)外包服務(wù)過程中,服務(wù)態(tài)度惡劣、服務(wù)質(zhì)量低下,且拒不按要求進(jìn)行改進(jìn),并給多家銀行業(yè)金融機(jī)構(gòu)造成損失;
(五)由于外包服務(wù)提供商原因引發(fā)《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》中定義的重大(含)及以上運(yùn)營中斷事件,且未采取有效整改措施;
(六)外包服務(wù)提供商拒絕配合銀行業(yè)金融機(jī)構(gòu)向銀行業(yè)監(jiān)督管理機(jī)構(gòu)提供村鎮(zhèn)銀行各類數(shù)據(jù);
(七)中國銀監(jiān)會(huì)認(rèn)定的“黑名單”服務(wù)提供商;(八)其他中國銀監(jiān)會(huì)認(rèn)定的對(duì)銀行業(yè)金融機(jī)構(gòu)造成損失或帶來惡劣影響的行為。
第四十五條 村鎮(zhèn)銀行或主發(fā)起行在實(shí)施外包服務(wù)項(xiàng)目前,應(yīng)與服務(wù)提供商簽訂外包服務(wù)合同,外包服務(wù)合同中應(yīng)明確以下內(nèi)容:(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件;
(二)合規(guī)與內(nèi)控要求,對(duì)法律法規(guī)及村鎮(zhèn)銀行內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施;
(三)服務(wù)連續(xù)性要求,服務(wù)提供商的業(yè)務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求;
(四)村鎮(zhèn)銀行監(jiān)控和檢查的權(quán)力,以及服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)開展延伸檢查的責(zé)任;
(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,以及合同變更或終止的過渡安排,包括信息、資料和設(shè)施的交接處置等過渡期間相關(guān)服務(wù)的安排;
(六)外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求;
(七)服務(wù)要求或服務(wù)水平條款,至少應(yīng)包括如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)及業(yè)務(wù)連續(xù)性要求的遵守情況、技術(shù)支持水平等;
(八)報(bào)告條款,至少包括如下內(nèi)容:常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求;(九)安全及保密條款,包括服務(wù)提供商不得在合同允許范圍外使用或者披露村鎮(zhèn)銀行信息,不得以村鎮(zhèn)銀行名義開展活動(dòng)等;
(十)外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包禁止條款;(十一)其他應(yīng)當(dāng)明確的事項(xiàng)。
第四十六條 村鎮(zhèn)銀行或主發(fā)起行應(yīng)與服務(wù)提供商簽訂服務(wù)水平協(xié)議,并按照服務(wù)水平協(xié)議要求提供相應(yīng)的科技服務(wù)。服務(wù)水平協(xié)議應(yīng)包括但不限于以下方面:
(一)明確的雙方職責(zé)描述;(二)詳細(xì)的服務(wù)內(nèi)容描述;
(三)服務(wù)請(qǐng)求受理流程、故障報(bào)告流程等服務(wù)工作流程;(四)與外包服務(wù)相適應(yīng)的服務(wù)水平指標(biāo);(五)服務(wù)質(zhì)量評(píng)價(jià)與報(bào)告;(六)服務(wù)水平協(xié)議變更流程;
(七)服務(wù)水平協(xié)議的有效期限和具體條款的有效期限。第四十七條 在外包服務(wù)實(shí)施過程中,村鎮(zhèn)銀行或主發(fā)起行應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。第四十八條 村鎮(zhèn)銀行或主發(fā)起行應(yīng)將外包風(fēng)險(xiǎn)審計(jì)納入信息科技審計(jì)范圍,至少每三年對(duì)重要外包服務(wù)商進(jìn)行一次全面審計(jì)。外包風(fēng)險(xiǎn)事件發(fā)生后,應(yīng)及時(shí)開展專項(xiàng)審計(jì)。
第四十九條 村鎮(zhèn)銀行或主發(fā)起行應(yīng)審慎選擇注冊(cè)地或數(shù)據(jù)中心在大陸以外地區(qū)的外包服務(wù)商,充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)的政治、經(jīng)濟(jì)和社會(huì)狀況,詳細(xì)分析國內(nèi)外法律法規(guī)、監(jiān)管要求差異,通過建立應(yīng)急預(yù)案等措施防范國別風(fēng)險(xiǎn)。選擇境外服務(wù)提供商實(shí)施外包項(xiàng)目,不應(yīng)妨礙村鎮(zhèn)銀行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)的延伸檢查權(quán)。
第六章監(jiān)督管理
第五十條 中國銀監(jiān)會(huì)及其派出機(jī)構(gòu)依法對(duì)村鎮(zhèn)銀行信息科技工作實(shí)施非現(xiàn)場監(jiān)管和現(xiàn)場檢查。
第五十一條 村鎮(zhèn)銀行信息科技管理模式為自主管理的,由村鎮(zhèn)銀行屬地監(jiān)管機(jī)構(gòu)履行信息科技監(jiān)管職責(zé);信息科技管理模式為主發(fā)起行管理的,由村鎮(zhèn)銀行主發(fā)起行屬地監(jiān)管機(jī)構(gòu)履行信息科技監(jiān)管職責(zé),并聯(lián)動(dòng)村鎮(zhèn)銀行屬地監(jiān)管機(jī)構(gòu)開展監(jiān)管工作。第五十二條 村鎮(zhèn)銀行向中國銀監(jiān)會(huì)或派出機(jī)構(gòu)提交開業(yè)行政許可申請(qǐng)時(shí),應(yīng)向?qū)俚乇O(jiān)管機(jī)構(gòu)報(bào)告其信息科技管理模式。采用主發(fā)起行管理模式的,主發(fā)起行應(yīng)同時(shí)向主發(fā)起行屬地監(jiān)管機(jī)構(gòu)報(bào)告。管理模式發(fā)生變更的,村鎮(zhèn)銀行及主發(fā)起行應(yīng)于變更前40個(gè)工作日分別向?qū)俚乇O(jiān)管機(jī)構(gòu)報(bào)告。
第五十三條 信息科技管理模式為主發(fā)起行管理的,村鎮(zhèn)銀行屬地監(jiān)管機(jī)構(gòu)應(yīng)逐級(jí)上報(bào)至中國銀監(jiān)會(huì)。
第五十四條 村鎮(zhèn)銀行或主發(fā)起行委托同業(yè)機(jī)構(gòu)或服務(wù)提供商開展以下信息科技工作時(shí),應(yīng)在同業(yè)合作協(xié)議或外包服務(wù)合同簽訂前20個(gè)工作日向中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
(一)信息科技工作整體委托;(二)數(shù)據(jù)中心、災(zāi)備中心整體委托;
(三)涉及將村鎮(zhèn)銀行客戶資料、交易數(shù)據(jù)等敏感信息交由同業(yè)機(jī)構(gòu)或服務(wù)提供商進(jìn)行存貯、分析或處理的;
(四)涉及跨境的信息科技外包;
(五)其他中國銀監(jiān)會(huì)認(rèn)為重要的信息科技委托事項(xiàng)。第五十五條 村鎮(zhèn)銀行或主發(fā)起行委托同業(yè)機(jī)構(gòu)或服務(wù)提供商開展第五十四條所述信息科技工作的報(bào)告內(nèi)容包括:
(一)委托服務(wù)基本情況,包括:委托服務(wù)名稱,委托服務(wù)的主要內(nèi)容,實(shí)施方式,影響的業(yè)務(wù)類型(渠道管理類、客戶管理類、產(chǎn)品管理類、財(cái)務(wù)管理類、決策支持類、共享支持類),委托服務(wù)起止時(shí)間;
(二)同業(yè)機(jī)構(gòu)或服務(wù)提供商基本情況,包括:同業(yè)機(jī)構(gòu)或服務(wù)提供商全稱,法人代表,注冊(cè)資本,成立時(shí)間,企業(yè)性質(zhì);(三)中國銀監(jiān)會(huì)規(guī)定的其他材料。
第五十六條 承擔(dān)村鎮(zhèn)銀行重要信息系統(tǒng)運(yùn)行的主發(fā)起行或同業(yè)機(jī)構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項(xiàng)在重要信息系統(tǒng)投產(chǎn)前至少20個(gè)工作日,變更前至少10個(gè)工作日向中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第五十七條 發(fā)生達(dá)到《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》報(bào)送級(jí)別的重要信息系統(tǒng)突發(fā)事件時(shí),村鎮(zhèn)銀行及主發(fā)起行應(yīng)遵照其要求向銀監(jiān)會(huì)及派出機(jī)構(gòu)報(bào)告。
第五十八條 對(duì)于承擔(dān)多家村鎮(zhèn)銀行信息科技工作、集中度風(fēng)險(xiǎn)相對(duì)較高的主發(fā)起行和同業(yè)機(jī)構(gòu),銀監(jiān)會(huì)及其派出機(jī)構(gòu)應(yīng)定期對(duì)其信息科技風(fēng)險(xiǎn)管理的有效性進(jìn)行評(píng)價(jià),并依據(jù)其所承接村鎮(zhèn)銀行的數(shù)量、資產(chǎn)規(guī)模等情況加強(qiáng)現(xiàn)場檢查。
第七章附則
第五十九條 本指引由中國銀監(jiān)會(huì)負(fù)責(zé)解釋。第六十條 本指引自發(fā)布之日起實(shí)施。
點(diǎn)擊咨詢 