第一篇：信息科技風險管理經驗交流

額敏縣農村信用合作聯社

信息科技風險管理經驗交流

塔城地區銀監分局：

根據塔城地區銀監分局《關于召開2011年塔城地區銀行業金融機構信息科技風險管理聯席會議的通知》要求，現將和額敏縣農村信用合作聯社信息科技風險管理情況匯報如下：

一、信息科技風險管理基本情況

為提高安全管理意識，充分認識信息科技風險管理工作的重要性，建立了一把手負責制，明確信息科技風險管理的職責權限，逐級落實信息科技管理責任，嚴格事故追究責任制。成立了以聯社理事長為組長、領導班子成員為副組長、各相關部門及營業網點主任為成員的信息科技工作領導小組，制定了信息科技應急處置預案，明確了因信息科技風險導致營業網點發生業務故障時，聯社各相關部門需采取的措施和步驟，提高了對信息科技風險的預防和處置能力。

2009年10月，自治區聯社鑒于各縣級聯社信息科技風險管理技術力量薄弱，管控能力較差等情況，以地區為單位成立了科技分中心，對各聯社信息科技工作和部分重要設備統一進行管理，并每季對網點進行一次科技風險管理巡檢。

二、聯社信息科技應用情況

（一）網絡情況。目前我社各網點均通過租用電信公司專線與直接與塔城地區科技分中心相聯，業務專線與因特網物理隔離，可以有效的防止了網絡不法分子對我社業務網絡

攻擊和破壞。對部分重要的網絡設備、參數（如網點路由器）由地區科技分中心進行備份。

目前我社網點全部建立了電話線路備份，如網點專線出現故障，通過向地區科技分中心申請后，可以使用電話備份線路辦理業務。

（二）生產環境。為提高農村信用社的業務發展，增強業務處理能力，自治區農村信用社使用了數據集中模式，數據集中到自治區聯社科技中心。各項應用系統的維護、數據備份等由自治區科技中心操作。

（三）科技管理。

我社所有電腦均安裝網絡版殺毒軟件，并及時進行更新，防止病毒傳播和有害程序注入，保證了網點和機關各部門的電腦穩定安全運行。

三、存在的問題

由于縣聯社沒有專職或兼職科技管理人員，對縣聯社的新業務軟件上線，軟硬件的日常維護，科技分中心距離縣聯社較遠，技術支掙不是很方便。如網點線路關鍵設備發生故障，不能迅速排除故障，可能造成網點停業時間較長。

今后我社將在自治區聯社的領導下，在地區銀監局的正確監管下，加強信息科技風險防范，努力提高信息科技防范工作力度，做好對敏感信息的保護和應急能力建設，確保我社信息科技工作穩定、安全發展。

額敏縣農村信用合作聯社

二〇一一年四月二十六日

第二篇：商業銀行信息科技風險管理指引

商業銀行信息科技風險管理指引

第一章 總 則

第一條 為加強商業銀行信息科技風險管理，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關要求和有關法律法規，制定本指引。

第二條 本指引適用于在中華人民共和國境內依法設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。

第三條 本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。第四條 本指引所稱信息科技風險，是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。第五條 信息科技風險管理的目標是通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。第二章

第六條 商業銀行法定代表人是本機構信息科技風險管理的第一責任人，負責組

第七條 商業銀行的董事會應履行以下信息科技管理職責：

（一）遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實

（二）審查批準信息科技戰略，確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。

（四）規范職業道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識。

（五）設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設，建立人

（七）確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告

（八）每年審閱并向銀監會及其派出機構報送信息科技風險管理的報告。

（九）確保信息科技風險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓。

（十一）確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢

（十二）及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件，按相關預案快速響應。

（十三）配合銀監會及其派出機構做好信息科技風險監督檢查工作，并按照監管意見進行整改。

（十四）履行信息科技風險管理其他相關工作。

第八條 商業銀行應設立首席信息官，直接向行長匯報，并參與決策。首席信息

（一）（二）確保信息科技戰略，尤其是信息系統開發戰略，符合本銀行的總體業務

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技 預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。

（四）確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一

（五）組織專業培訓，提高人才隊伍的專業技能。

（六）履行信息科技風險管理其他相關工作。

第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定；各崗位的人員應具有相應的專業知識和技能，重要崗位應制定詳細完整的工作手冊并適時更新。對相關人員應采取下列風險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經歷和專業資

（二）（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求，并同員工簽訂相關協議。

（四）評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位

第十條 商業銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應為信息科技突發事件應急響應小組的成員之一，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件的發生。

第十一條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃，對信息科技

第十二條 商業銀行應按照知識產權相關法律法規，制定本機構信息科技知識產權保護策略和制度，并使所有員工充分理解并遵照執行。確保購買和使用合法的軟硬件產品，禁止侵權盜版；采取有效措施保護本機構自主知識產權。第十三條 商業銀行應依據有關法律法規的要求，規范和及時披露信息科技風險

第三章

第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩定、安全的信息科技環境。第十五條 商業銀行應制定全面的信息科技風險管理策略，包括但不限于下述領域：

（一）信息分級與保護。

（二）信息系統開發、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業務連續性計劃與應急處臵。

第十六條 商業銀行應制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別（包括外包供應商、產品供應商和服務商）。第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：

（一）制定明確的信息科技風險管理制度、技術標準和操作規程等，定期進行

（二）確定潛在風險區域，并對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便于檢查和平衡風險；定義每個業務級別的控制內容，包括：

1.最高權限用戶的審查。

2.控制對數據和系統的物理和邏輯訪問。

3.訪問授權以“必需知道”和“最小授權”為原則。4.5.第十八條 商業銀行應建立持續的信息科技風險計量和監測機制，其中應包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統性能的程序和標準。

（三）建立信息科技服務投訴和事故處理的報告機制。

（四）建立內部審計、外部審計和監管發現問題的整改處理機制。

（五）（六）定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環境下操作風險和管理控制的檢查。

（八）定期進行信息科技外包項目的風險狀況評價。

第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行，應當遵守境內外監管機構關于信息科技風險管理的要求，并防范因監管差異所造成的風險。第四章 信息安全

第二十條 商業銀行信息科技部門負責 建立和實施信息分類和保護體系，商業銀行應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程。

第二十一條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）

（十一）第二十二條 商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的第二十三條 商業銀行應確保設立物理安全保護區域，包括計算機中心或數據中心、存儲機密信息或放臵網絡設備等重要信息科技設備的區域，明確相應的職

第二十四條 商業銀行應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。

（一）（二）

（三）（四）

（五）域的性質，如生產域或測試域、內部域或外部域。

（六）（七）

第二十五條 商業銀行應通過以下措施，確保所有計算機操作系統和系統軟件的安全：

（一）制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要

（二）明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人

（三）制定最高權限系統賬戶的審批、驗證和監控流程，并確保最高權限用戶

（四）（五）在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監控

第二十六條

（一）明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職

（二）（三）加強職責劃分，對關鍵或敏感崗位進行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統按預先定義的方式處理例外情況，當系統被迫終止時向用戶提

（七）以書面或電子格式

（八）第二十七條 商業銀行應制定相關策略和流程，管理所有生產系統的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應用軟件和數據庫管理系統產生，內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保

（二）系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成，內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定，但不能少于一年。商業銀行應保證交易日志和系統日志中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定，并報信

第二十八條 商業銀行應采取加密技術，防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險，并建立密

（一）（二）管理、使用密碼設備的員工經過專業培訓和嚴格審查。

（三）（四）

第二十九條 商業銀行應配備切實有效的系統，確保所有終端用戶設備的安全，并定期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數字助理（PDA

第三十條 商業銀行應制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。

第三十一條 商業銀行應對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容忍政策。第五章

第三十二條 商業銀行應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內，組織對系統的后評價，并根據評價結果及時對系統功能進行調整和優化。

第三十三條 商業銀行應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成第三十四條 商業銀行應采取適當的系統開發方法，控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜

第三十五條 商業銀行應制定相關控制信息系統變更的制度和流程，確保系統的（一）

（二）生產系統與開發系統、測試系統的管理職能相分離。

（三）除得到管理層批準執行緊急修復任務外，禁止應用程序開發和維護人員

（四）將完成開發和測試環境的程序或系統配臵變更應用到生產系統時，應得到信息科技部門和業務部門的聯合批準，并對變更進行及時記錄和定期復查。

第三十六條 商業銀行應制定并落實相關制度、標準和流程，確保信息系統開發、第三十七條 商業銀行應建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和

第三十八條 商業銀行應制定相關制度和流程，控制系統升級過程。當設備達到預期使用壽命或性能不能滿足業務需求，基礎軟件（操作系統、數據庫管理系統、中間件）或應用軟件必須升級時，應及時進行系統升級，并將該類升級活

第六章

第三十九條 商業銀行在選擇數據中心的地理位臵時，應充分考慮環境威脅（如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路），采取物理控制措施，監控對信息處理設備運行構成威脅的環境狀況，并防止因意外斷電或供電干擾影響數據中

第四十條 商業銀行應嚴格控制第三方人員（如服務供應商）進入安全區域，如確需進入應得到適當的批準，其活動也應受到監控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查

第四十一條 商業銀行應將信息科技運行與系統開發和維護分離，確保信息科技

第四十二條 商業銀行應按照有關法律法規要求保存交易記錄，采取必要的程序和技術，確保存檔數據的完整性，滿足安全保存和可恢復要求

第四十三條 商業銀行應制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執行步驟，以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求（即備份的頻率、范圍和保留

第四十四條 商業銀行應建立事故管理及處臵機制，及時響應信息系統運行事故，逐級向相關的信息科技管理人員報告事故的發生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業銀行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

第四十五條 商業銀行應建立服務水平管理相關的制度和流程，對信息科技運行

第四十六條 商業銀行應建立連續監控信息系統性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統性能造成影響前對

第四十七條 商業銀行應制定容量規劃，以適應由于外部環境變化產生的業務發

第四十八條 商業銀行應及時進行維護和適當的系統升級，以確保與技術相關服務的連續可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性

第四十九條 商業銀行應制定有效的變更管理流程，以確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，由信息科技部門和業務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的第七章

第五十條 商業銀行應根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務；

第五十一條 商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影

（一）內外部資源的故障或缺失（如人員、系統或其他資產）。

（二）（三）

第五十二條 商業銀行應采取系統恢復和雙機熱備處理等措施降低業務中斷的第五十三條 商業銀行應建立維持其運營連續性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規范的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統和其他資產）以及獲取資源的方式。

23．與內部各部門及外部相關各方（尤其是監管機構、客戶和媒體等）的溝通安

（四）當商業銀行的業務或風險狀況發生變化時，對本條

（一）到

（三）進行

第五十四條 商業銀行的業務連續性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。第八章 外

第五十五條 商業銀行不得將其信息科技管理責任外包，應合理謹慎監督外包職

第五十六條 商業銀行實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。

第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前，應做好相

（一）分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風

（二）（三）充分審查、評估外包服務商的財務穩定性和專業經驗，對外包服務商進

（四）考慮外包協議變更前后實施的平穩過渡（包括終止合同可能發生的情

（五）關注可能存在的集中風險，如多家商業銀行共用同一外包服務商帶來的第五十八條 商業銀行在與外包服務商合同談判過程中，應考慮的因素包括但不

（一）（二）銀行業

（三）通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息

（四）（五）外包服務商遵守商業銀行有關信息科技風險制度和流程的意愿及相關措

（六）外包服務商提供的業務連續性保障水平，以及提供相關專屬資源的承諾。

（七）（八）變更外包協議的流程，以及商業銀行或外包服務商選擇變更或終止外包

1.商業銀行或外包服務商的所2.3.第五十九條 商業銀行在實施雙方關系管理，以及起草服務水平協議時，應考慮

（一）提出定性和定量的績效指標，評估外包服務商為商業銀行及其相關客戶

（二）通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調整流程，采取整改措施。

第六十條 商業銀行應加強信息科技相關外包管理工作，確保商業銀行的客戶資

（一）（二）

（三）（四）

（五）嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業銀行相關信

（六）第六十一條 商業銀行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重

第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服

第九章 內部審計

第六十三條 商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當的第六十四條

（一）制定、實施和調整審計計劃，檢查和評估商業銀行信息科技系統和內控

（二）（三）

（四）執行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事

第六十五條 商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每第六十六條 商業銀行在進行大規模系統開發時，應要求信息科技風險管理部門

第十章

第六十七條 商業銀行可以在符合法律、法規和監管要求的情況下，委托具備相

第六十八條 在委托審計過程中，商業銀行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查，以發現信息科技存在的風險，國家法律、第六十九條 商業銀行在實施外部審計前應與外部審計機構進行充分溝通，詳細

第七十條 銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對商業銀行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委托或授權對商業銀行進行審計時，應出示委托授權書，并依照委托授權

第七十一條 外部審計機構根據授權出具的審計報告，經銀監會及其派出機構審閱批準后具有與銀監會及其派出機構出具的檢查報告同等的效力，被審計的商

第七十二條 商業銀行在委托外部審計機構進行外部審計時，應與其簽訂保密協議，并督促其嚴格遵守法律法規，保守本銀行的商業秘密和信息科技風險信息，第十一章 附

第七十三條 未設董事會的商業銀行，應當由其經營決策機構履行本指 商業銀行信息科技風險管理指引 第一章 總 則

第一條 為加強商業銀行信息科技風險管理，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》，第二條

政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨

第三條 本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。

第四條 本指引所稱信息科技風險，是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。第五條 信息科技風險管理的目標是通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。第二章

第六條 商業銀行法定代表人是本機構信息科技風險管理的第一責任人，負責組

第七條 商業銀行的董事會應履行以下信息科技管理職責：

（一）遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實

（二）審查批準信息科技戰略，確保其與銀行的總體業務戰略和重大策略相一

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠

（四）規范職業道德行為和廉潔標準，增強內部文化建設，提高全體人員對信

（五）設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的

（六）在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專

（七）確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告

（八）每年審閱并向銀監會及其派出機構報送信息科技風險管理的報告。

（九）（十）確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和

（十一）確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢查的要求，防范跨境

（十二）及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突

（十三）配合銀監會及其派出機構做好信息科技風險監督檢查工作，并按照監

（十四）第八條 商業銀行應設立首席信息官，直接向行長匯報，并參與決策。首席信息

（一）（二）確保信息科技戰略，尤其是信息系統開發戰略，符合本銀行的總體業務

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息

（四）確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一

（五）（六）

第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定；各崗位的人員應具有相應的專業知識和技能，重要崗位應制定詳細完整的工作手冊并適時

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經歷和專業資

（二）（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信

（四）評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等

第十條 商業銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應為信息科技突發事件應急響應小組的成員之一，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，第十一條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃，對信息科技

第十二條 商業銀行應按照知識產權相關法律法規，制定本機構信息科技知識產權保護策略和制度，并使所有員工充分理解并遵照執行。確保購買和使用合法

第十三條 商業銀行應依據有關法律法規的要求，規范和及時披露信息科技風險

第三章

第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩定、安全的信息科技環境。

第十五條 商業銀行應制定全面的信息科技風險管理策略，包括但不限于下述領

（一）（二）

（三）（四）

（五）（六）

（七）第十六條 商業銀行應制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所

第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的（一）制定明確的信息科技風險管理制度、技術標準和操作規程等，定期進行

（二）確定潛在風險區域，并對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便于檢查和平衡風險；定義每個業務級別的控

1.2.3.訪問授權以“必需知道”和“4.5.第十八條 商業銀行應建立持續的信息科技風險計量和監測機制，其中應包括：

（一）（二）

（三）（四）

（五）（六）

（七）定期進行運行環境下操作風險和管理控制的檢查。

（八）第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行，應當遵守境內外監管機構關于信息科技風險管理的要求，并防范因監管差異所造成的風險。第四章

第二十條 商業銀行信息科技部門負責建立和實施信息分類和保護體系，商業銀行應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程。

第二十一條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維

（一）（二）

（三）（四）

（五）（六）

（七）（八）

（九）（十）業務連續性管

（十一）第二十二條 商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的第二十三條 商業銀行應確保設立物理安全保護區域，包括計算機中心或數據中心、存儲機密信息或放臵網絡設備等重要信息科技設備的區域，明確相應的職

第二十四條 商業銀行應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區、實現

（一）（二）

（三）（四）

（五）域的性質，如生產域或測試域、內部域或外部域。

（六）（七）

第二十五條 商業銀行應通過以下措施，確保所有計算機操作系統和系統軟件的

（一）制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要

（二）明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人

（三）制定最高權限系統賬戶的審批、驗證和監控流程，并確保最高權限用戶

（四）（五）在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監

第二十六條

（一）明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職

（二）（三）加強職責劃分，對關鍵或敏感崗位進行雙重控制。

（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統按預先定義的方式處理例外情況，當系統被迫終止時向用戶提

（七）（八）

第二十七條 商業銀行應制定相關策略和流程，管理所有生產系統的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、（一）交易日志。交易日志由應用軟件和數據庫管理系統產生，內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保

（二）系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成，內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信

商業銀行應保證交易日志和系統日志中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定，并報信

第二十八條 商業銀行應采取加密技術，防范涉密信息在傳輸、處理、存儲過程

（一）（二）管理、使用密碼設備的員工經過專業培訓和嚴格審查。

（三）（四）

第二十九條 商業銀行應配備切實有效的系統，確保所有終端用戶設備的安全，并定期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數字助理（PDA

第三十條 商業銀行應制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。

第三十一條 商業銀行應對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容

第五章

第三十二條 商業銀行應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內，組織對系統的后評價，并根據評價結果及時對系統功能進行調整和優化。第三十三條 商業銀行應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的第三十四條 商業銀行應采取適當的系統開發方法，控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜

第三十五條 商業銀行應制定相關控制信息系統變更的制度和流程，確保系統的（一）

（二）生產系統與開發系統、測試系統的管理職能相分離。

（三）除得到管理層批準執行緊急修復任務外，禁止應用程序開發和維護人員進入生產系統，且所有

（四）將完成開發和測試環境的程序或系統配臵變更應用到生產系統時，應得到信息科技部門和業務部門的聯合批準，并對變更進行及時記錄和定期復查。

第三十六條 商業銀行應制定并落實相關制度、標準和流程，確保信息系統開發、第三十七條 商業銀行應建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和

第三十八條 商業銀行應制定相關制度和流程，控制系統升級過程。當設備達到預期使用壽命或性能不能滿足業務需求，基礎軟件（操作系統、數據庫管理系統、中間件）或應用軟件必須升級時，應及時進行系統升級，并將該類升級活

第六章

第三十九條 商業銀行在選擇數據中心的地理位臵時，應充分考慮環境威脅（如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路），采取物理控制措施，監控對信息處理設備運行構成威脅的環境狀況，并防止因意外斷電或供

第四十條 商業銀行應嚴格控制第三方人員（如服務供應商）進入安全區域，如確需進入應得到適當的批準，其活動也應受到監控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查

第四十一條 商業銀行應將信息科技運行與系統開發和維護分離，確保信息科技

第四十二條 商業銀行應按照有關法律法規要求保存交易記錄，采取必要的程序

第四十三條 商業銀行應制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執行步驟，以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求（即備份的頻率、范圍和保留

第四十四條 商業銀行應建立事故管理及處臵機制，及時響應信息系統運行事故，逐級向相關的信息科技管理人員報告事故的發生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業銀行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

第四十五條 商業銀行應建立服務水平管理相關的制度和流程，對信息科技運行

第四十六條 商業銀行應建立連續監控信息系統性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統性能造成影響前對

第四十七條 商業銀行應制定容量規劃，以適應由于外部環境變化產生的業務發

第四十八條 商業銀行應及時進行維護和適當的系統升級，以確保與技術相關服務的連續可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性

第四十九條 商業銀行應制定有效的變更管理流程，以確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，由信息科技部門和業務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的第七章

第五十條 商業銀行應根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務；

第五十一條 商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影

（一）內外部資源的故障或缺失（如人員、系統或其他資產）。

（二）（三）

第五十二條 商業銀行應采取系統恢復和雙機熱備處理等措施降低業務中斷的第五十三條 商業銀行應建立維持其運營連續性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規范的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統和其他資產）以及獲取資源的方式。

23．與內部各部門及外部相關各方（尤其是監管機構、客戶和媒體等）的溝通安

（四）當商業銀行的業務或風險狀況發生變化時，對本條

（一）到

（三）進行

第五十四條 商業銀行的業務連續性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。第八章 外

第五十五條 商業銀行不得將其信息科技管理責任外包，應合理謹慎監督外包職

第五十六條 商業銀行實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。

第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前，應做好相

（一）分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風

（二）（三）充分審查、評估外包服務商的財務穩定性和專業經驗，對外包服務商進

（四）考慮外包協議變更前后實施的平穩過渡（包括終止合同可能發生的情

（五）關注可能存在的集中風險，如多家商業銀行共用同一外包服務商帶來的第五十八條 商業銀行在與外包服務商合同談判過程中，應考慮的因素包括但不

（一）（二）

（三）通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息

（四）（五）外包服務商遵守商業銀行有關信息科技風險制度和流程的意愿及相關措

（六）外包服務商提供的業務連續性保障水平，以及提供相關專屬資源的承諾。

（七）（八）變更外包協議的流程，以及商業銀行或外包服務商選擇變更或終止外包

1.2.3.第五十九條 商業銀行在實施雙方關系管理，以及起草服務水平協議時，應考慮

（一）提出定性和定量的績效指標，評估外包服務商為商業銀行及其相關客戶

（二）通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調整流程，采取整改措施。

第六十條 商業銀行應加強信息科技相關外包管理工作，確保商業銀行的客戶資

（一）（二）

（三）（四）

（五）嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業銀行相關信息

（六）第六十一條 商業銀行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重

第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服

第九章

第六十三條 商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于本銀行的日常活動，具有適當的第六十四條

（一）制定、實施和調整審計計劃，檢查和評估商業銀行信息科技系統和內控

（二）（三）

（四）執行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事

第六十五條 商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每第六十六條 商業銀行在進行大規模系統開發時，應要求信息科技風險管理部門

第十章

第六十七條 商業銀行可以在符合法律、法規和監管要求的情況下，委托具備相

第六十八條 在委托審計過程中，商業銀行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查，以發現信息科技存在的風險，國家法律、第六十九條 商業銀行在實施外部審計前應與外部審計機構進行充分溝通，詳細

第七十條 銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對商業銀行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委托或授權對商業銀行進行審計時，應出示委托授權書，并依照委托授權

第七十一條 外部審計機構根據授權出具的審計報告，經銀監會及其派出機構審閱批準后具有與銀監會及其派出機構出具的檢查報告同等的效力，被審計的商

第七十二條 商業銀行在委托外部審計機構進行外部審計時，應與其簽訂保密協議，并督促其嚴格遵守法律法規，保守本銀行的商業秘密和信息科技風險信息，第十一章 附

第七十三條 未設董事會的商業銀行，應當由其經營決策機構履行本指引中董事

第七十四條 第七十五條

第七十六條 本指引自頒布之日起施行，《銀行業金融機構信息系統風險管理指引》（銀監發?2006?63號）同時廢止。

第七十四條 第七十五條

第七十六條 本指引自頒布之日起施行，《銀行業金融機構信息系統風險管理指引》（銀監發?2006?63號）同時廢止。

第三篇：某公司信息科技風險管理報告

信息科技風險管理2013年報告

自去年以來，公司高層更加重視公司信息科技風險管控，要求我們對信息管理、人員、技術等方面提升信息安全管理水平和管理能力，建立管理與技術相結合的全方位的風險管理體系。具體來說，主要采取以下幾方面的措施開展信息安全工作。

一、將信息科技風險管理和信息安全納入公司信息科技發展規劃。為了提高信息科技風險管理能力，提升信息科技對業務戰略發展的可持續支持能力，科技規劃中明確了信息科技發展方向，強調了科技基礎建設，提高信息科技風險管理水平，有效防范信息科技風險。

二、完善信息科技治理，大力開展信息科技風險管理制度建設。從只注重提高硬件配置水平逐步轉變為同時注重軟件投入和業務管理的綜合管理。例如，以前我們在信息安全管理普遍存在一個誤區，人為部署了高性能的硬件設備、實現網絡設備雙機熱備、就算完成了信息科技風險控制的工作，其實不然，因為信息安全不單是技術問題，更是管理問題，只有持續完善信息科技治理架構，從組織架構和制度等管理層面采取防范措施，才能真正實現信息安全管理的目標。

三、在信息科技風險治理方面的措施主要包括三方面。a)認真學習和領會我們的客戶金融行業對信息科技風險

1管理的要求，吸收借鑒同業經驗，將監管要求和同業經驗轉化為工作規范，建立系統完善的信息科技風險管理組織架構和機制；成立以主管領導為組長的信息系統突發事件應急小組、應急處置小組和科技支持保障小組，做好突發事件應急處理。

b)建立健全信息科技規章制度。為了做好制度建設，公司領導高度重視，以公司流程建設為契機，完善了相關制度，理順了相關制度的制定、修訂、廢止流程和審批制度流程，切實抓好制度建設。

c)采取有效的信息科技風險管理的制度，防范和化解信息安全風險。首先，完善基礎設施建設，對中心機房進行改造，更換老舊的硬件設備，提高硬件設備防范風險的能力；三是提升運行管理的水平，推進運行流程化和集中化管理，防范操作風險，確保信息系統的安全穩定運行。四是完善應急預案，積極配合省聯社開展應急演練，切實提高風險防控水平。

d)軟件正版化是今年公司信息科技工作的一項重點內容。結合我公司的實際情況，為加快對盜版或未經授權、許可軟件的清理換裝工作，推進公司軟件正版化工作，確保公司軟件正版化工作目標的實現。

信息科技風險防控是長期而艱巨的工作，我們將按照公司董事會的要求，加強日常管理，提高業務水平，將信息科技風險防控作為工作的重中之重，保證各項業務的安全穩定運行。2014-01-01

第四篇：《商業銀行信息科技風險管理指引》

銀監會發布《商業銀行信息科技風險管理指引》

為進一步加強商業銀行信息科技風險管理，銀監會近日發布《商業銀行信息科技風險管理指引》（以下簡稱《管理指引》），原《銀行業金融機構信息系統風險管理指引》（銀監發［2006］63號，以下簡稱原《指引》）同時廢止。

隨著銀行業信息化的發展，信息科技的作用已經從業務支持逐步走向與業務的融合，成為銀行穩健運營和發展的支柱，原《指引》定位在信息系統風險管理的基本、原則性要求，已難以滿足商業銀行信息科技風險管理的需要。為此，銀監會在原《指引》的基礎上，廣泛征求業內機構意見，制定了本《管理指引》。

《管理指引》具有以下幾個特點：一是全面涵蓋商業銀行的信息科技活動，進一步明確信息科技與銀行業務的關系，對于認識和防范風險具有更加積極的作用；二是適用范圍由銀行業金融機構變為法人商業銀行，其他銀行業金融機構參照執行；三是信息科技治理作為首要內容提出，充實并細化了對商業銀行在治理層面的具體要求；四是重點闡述了信息科技風險管理和內外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內的標準和成功實踐，對商業銀行信息科技整個生命周期內的信息安全、業務連續性管理和外包等方面提出高標準、高要求，使操作性更強；六是加強了對客戶信息保護的要求。

新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風險管理，信息安全，信息系統開發、測試和維護，信息科技運行，業務連續性管理，外包，內部審計，外部審計和附則等十一個部分。新《指引》的發布，將進一步推動我國銀行業信息科技風險管理向更高水平邁進。

商業銀行信息科技風險管理指引

第一章 總 則

第一條 為加強商業銀行信息科技風險管理，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關要求和有關法律法規，制定本指引。

第二條 本指引適用于在中華人民共和國境內依法設立的法人商業銀行。

政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。

第三條 本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。

第四條 本指引所稱信息科技風險，是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

第五條 信息科技風險管理的目標是通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。

第二章 信息科技治理

第六條 商業銀行法定代表人是本機構信息科技風險管理的第一責任人，負責組織本指引的貫徹落實。

第七條 商業銀行的董事會應履行以下信息科技管理職責：

（一）遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實中國銀行業監督管理委員會（以下簡稱銀監會）相關監管要求。

（二）審查批準信息科技戰略，確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。

（四）規范職業道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識。

（五）設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設，建立人才激勵機制。

（七）確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。

（八）每年審閱并向銀監會及其派出機構報送信息科技風險管理的報告。

（九）確保信息科技風險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓。

（十一）確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢查的要求，防范跨境風險。

（十二）及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件，按相關預案快速響應。

（十三）配合銀監會及其派出機構做好信息科技風險監督檢查工作，并按照監管意見進行整改。

（十四）履行信息科技風險管理其他相關工作。

第八條 商業銀行應設立首席信息官，直接向行長匯報，并參與決策。首席信息官的職責包括：

（一）直接參與本銀行與信息科技運用有關的業務發展決策。

（二）確保信息科技戰略，尤其是信息系統開發戰略，符合本銀行的總體業務戰略和信息科技風險管理策略。

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。

（四）確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一個內設機構和分支機構。

（五）組織專業培訓，提高人才隊伍的專業技能。

（六）履行信息科技風險管理其他相關工作。

第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定；各崗位的人員應具有相應的專業知識和技能，重要崗位應制定詳細完整的工作手冊并適時更新。對相關人員應采取下列風險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應的職業操守。

（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求，并同員工簽訂相關協議。

（四）評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發生變化后及時變更相關信息。

第十條 商業銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應為信息科技突發事件應急響應小組的成員之一，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件的發生。

第十一條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。

第十二條 商業銀行應按照知識產權相關法律法規，制定本機構信息科技知識產權保護策略和制度，并使所有員工充分理解并遵照執行。確保購買和使用合法的軟硬件產品，禁止侵權盜版；采取有效措施保護本機構自主知識產權。

第十三條 商業銀行應依據有關法律法規的要求，規范和及時披露信息科技風險狀況。

第三章 信息科技風險管理

第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩定、安全的信息科技環境。

第十五條 商業銀行應制定全面的信息科技風險管理策略，包括但不限于下述領域：

（一）信息分級與保護。

（二）信息系統開發、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業務連續性計劃與應急處臵。

第十六條 商業銀行應制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別（包括外包供應商、產品供應商和服務商）。

第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：

（一）制定明確的信息科技風險管理制度、技術標準和操作規程等，定期進行更新和公示。

（二）確定潛在風險區域，并對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便于檢查和平衡風險；定義每個業務級別的控制內容，包括：

1.最高權限用戶的審查。

2.控制對數據和系統的物理和邏輯訪問。

3.訪問授權以“必需知道”和“最小授權”為原則。 4.審批和授權。 5.驗證和調節。

十八條 商業銀行應建立持續的信息科技風險計量和監測機制，其中應包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統性能的程序和標準。

（三）建立信息科技服務投訴和事故處理的報告機制。

（四）建立內部審計、外部審計和監管發現問題的整改處理機制。

（五）安排供應商和業務部門對服務水平協議的完成情況進行定期審查。

（六）定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環境下操作風險和管理控制的檢查。

（八）定期進行信息科技外包項目的風險狀況評價。

第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行，應當遵守境內外監管機構關于信息科技風險管理的要求，并防范因監管差異所造成的風險。

第四章 信息安全

第二十條 商業銀行信息科技部門負責建立和實施信息分類和保護體系，商業銀行應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程。

第二十一條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。

信息安全策略應涉及以下領域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產管理。

（四）人員安全管理。

（五）物理與環境安全管理。

（六）通信與運營管理。

（七）訪問控制管理。

（八）系統開發與維護管理。

（九）信息安全事故管理。

（十）業務連續性管理。

（十一）合規性管理。

第二十二條 商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開商業銀行時，應在系統中及時檢查、更新或注銷用戶身份。

第二十三條 商業銀行應確保設立物理安全保護區域，包括計算機中心或數據中心、存儲機密信息或放臵網絡設備等重要信息科技設備的區域，明確相應的職責，采取必要的預防、檢測和恢復控制措施。

第二十四條 商業銀行應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，4 如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。

（一）域內應用程序和用戶組的重要程度。

（二）各種通訊渠道進入域的訪問點。

（三）域內配臵的網絡設備和應用程序使用的網絡協議和端口。

（四）性能要求或標準。

（五）域的性質，如生產域或測試域、內部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條 商業銀行應通過以下措施，確保所有計算機操作系統和系統軟件的安全：

（一）制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要求。

（二）明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。

（三）制定最高權限系統賬戶的審批、驗證和監控流程，并確保最高權限用戶的操作日志被記錄和監察。

（四）要求技術人員定期檢查可用的安全補丁，并報告補丁管理狀態。

（五）在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監控情況。

第二十六條 商業銀行應通過以下措施，確保所有信息系統的安全：

（一）明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。

（二）針對信息系統的重要性和敏感程度，采取有效的身份驗證方法。

（三）加強職責劃分，對關鍵或敏感崗位進行雙重控制。

（四）在關鍵的接合點進行輸入驗證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統按預先定義的方式處理例外情況，當系統被迫終止時向用戶提供必要信息。

（七）以書面或電子格式保存審計痕跡。

（八）要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。

第二十七條 商業銀行應制定相關策略和流程，管理所有生產系統的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、不同的計算機和網絡設備上完成，日志劃分為兩大類：

（一）交易日志。交易日志由應用軟件和數據庫管理系統產生，內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。

（二）系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成，內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定，但不能少于一年。

商業銀行應保證交易日志和系統日志中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定，并報信息科技管理委員會批準。

第二十八條 商業銀行應采取加密技術，防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險，并建立密碼設備管理制度，以確保：

（一）使用符合國家要求的加密技術和加密設備。

（二）管理、使用密碼設備的員工經過專業培訓和嚴格審查。

（三）加密強度滿足信息機密性的要求。

（四）制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

第二十九條 商業銀行應配備切實有效的系統，確保所有終端用戶設備的安全，并定期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數字助理（PDA）等。

第三十條 商業銀行應制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。

第三十一條 商業銀行應對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容忍政策。

第五章 信息系統開發、測試和維護

第三十二條 商業銀行應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內，組織對系統的后評價，并根據評價結果及時對系統功能進行調整和優化。

第三十三條 商業銀行應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成本，并采取適當的項目管理方法，控制信息科技項目相關的風險。

第三十四條 商業銀行應采取適當的系統開發方法，控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜度。

第三十五條 商業銀行應制定相關控制信息系統變更的制度和流程，確保系統的可靠性、完整性和可維護性，其中應包括以下要求：

（一）生產系統與開發系統、測試系統有效隔離。

（二）生產系統與開發系統、測試系統的管理職能相分離。

（三）除得到管理層批準執行緊急修復任務外，禁止應用程序開發和維護人員進入生產系統，且所有的緊急修復活動都應立即進行記錄和審核。

（四）將完成開發和測試環境的程序或系統配臵變更應用到生產系統時，應得到信息科技部門和業務部門的聯合批準，并對變更進行及時記錄和定期復查。

第三十六條 商業銀行應制定并落實相關制度、標準和流程，確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性。

第三十七條 商業銀行應建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和說明，并通知相關人員。

第三十八條 商業銀行應制定相關制度和流程，控制系統升級過程。當設備達到預期使用壽命或性能不能滿足業務需求，基礎軟件（操作系統、數據庫管理系統、中間件）或應用軟件必須升級時，應及時進行系統升級，并將該類升級活動納入信息科技項目，接受相關的管理和控制，包括用戶驗收測試。

第六章 信息科技運行

第三十九條 商業銀行在選擇數據中心的地理位臵時，應充分考慮環境威脅（如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路），采取物理控制措施，監控對信息處理設備運行構成威脅的環境狀況，并防止因意外斷電或供電干擾影響數據中心的正常運行。

第四十條 商業銀行應嚴格控制第三方人員（如服務供應商）進入安全區域，如確需進入應得到適當的批準，其活動也應受到監控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調查。

第四十一條 商業銀行應將信息科技運行與系統開發和維護分離，確保信息科技部門內部的崗位制約；對數據中心的崗位和職責做出明確規定。

第四十二條 商業銀行應按照有關法律法規要求保存交易記錄，采取必要的程序和技術，確保存檔數據的完整性，滿足安全保存和可恢復要求。

第四十三條 商業銀行應制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執行步驟，以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求（即備份的頻率、范圍和保留周期）。

第四十四條 商業銀行應建立事故管理及處臵機制，及時響應信息系統運行事故，逐級向相關的信息科技管理人員報告事故的發生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業銀行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

第四十五條 商業銀行應建立服務水平管理相關的制度和流程，對信息科技運行服務水平進行考核。

第四十六條 商業銀行應建立連續監控信息系統性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統性能造成影響前對其進行識別和修正。

第四十七條 商業銀行應制定容量規劃，以適應由于外部環境變化產生的業務發展和交易量增長。容量規劃應涵蓋生產系統、備份系統及相關設備。

第四十八條 商業銀行應及時進行維護和適當的系統升級，以確保與技術相關服務的連續可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性維護記錄），以確保有效維護設備和設施。

第四十九條 商業銀行應制定有效的變更管理流程，以確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，由信息科技部門和業務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的修正以取代緊急變更。

第七章 業務連續性管理

第五十條 商業銀行應根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務；定期對規劃進行更新和演練，以保證其有效性。

第五十一條 商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：

（一）內外部資源的故障或缺失（如人員、系統或其他資產）。

（二）信息丟失或受損。

（三）外部事件（如戰爭、地震或臺風等）。

第五十二條 商業銀行應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性，并通過應急安排和保險等方式降低影響。

第五十三條 商業銀行應建立維持其運營連續性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規范的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統和其他資產）以及獲取資源的方式。2．運行恢復的優先順序。

3．與內部各部門及外部相關各方（尤其是監管機構、客戶和媒體等）的溝通安排。

（二）更新實施業務連續性計劃的流程及相關聯系信息。

（三）驗證受中斷影響的信息完整性的步驟。

（四）當商業銀行的業務或風險狀況發生變化時，對本條

（一）到

（三）進行審核并升級。

第五十四條 商業銀行的業務連續性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。

第八章 外 包

第五十五條 商業銀行不得將其信息科技管理責任外包，應合理謹慎監督外包職能的履行。

第五十六條 商業銀行實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。

第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前，應做好相關準備，其中包括：

（一）分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風險控制，是否滿足商業銀行履行對外包服務商的監督義務。

（二）考慮外包協議是否允許商業銀行監測和控制與外包相關的操作風險。

（三）充分審查、評估外包服務商的財務穩定性和專業經驗，對外包服務商進行風險評估，考查其設施和能力是否足以承擔相應的責任。

（四）考慮外包協議變更前后實施的平穩過渡（包括終止合同可能發生的情況）。

（五）關注可能存在的集中風險，如多家商業銀行共用同一外包服務商帶來的潛在業務連續性風險。

第五十八條 商業銀行在與外包服務商合同談判過程中，應考慮的因素包括但不限于： 

（一）對外包服務商的報告要求和談判必要條件。

（二）銀行業監管機構和內部審計、外部審計能執行足夠的監督。

（三）通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息和其他信息。

（四）擔保和損失賠償是否充足。

（五）外包服務商遵守商業銀行有關信息科技風險制度和流程的意愿及相關措施。

（六）外包服務商提供的業務連續性保障水平，以及提供相關專屬資源的承諾。

（七）第三方供應商出現問題時，保證軟件持續可用的相關措施。

（八）變更外包協議的流程，以及商業銀行或外包服務商選擇變更或終止外包協議的條件，例如：

1.商業銀行或外包服務商的所有權或控制權發生變化。

2.商業銀行或外包服務商的業務經營發生重大變化。

3.外包服務商提供的服務不充分，造成商業銀行不能履行監督義務。

第五十九條 商業銀行在實施雙方關系管理，以及起草服務水平協議時，應考慮的因素包括但不限于：

（一）提出定性和定量的績效指標，評估外包服務商為商業銀行及其相關客戶提供服務的充分性。

（二）通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調整流程，采取整改措施。

第六十條 商業銀行應加強信息科技相關外包管理工作，確保商業銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。

（三）要求外包服務商保證其相關人員遵守保密規定。

（四）應將涉及本銀行客戶資料的外包作為重要外包，并告知相關客戶。

（五）嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業銀行相關信息的安全。

（六）確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。

第六十一條 商業銀行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協議的意外終止。

第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服務水平協議。

第九章 內部審計

第六十三條 商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于本銀行的日?；顒樱哂羞m當的授權訪問本銀行的記錄。

第六十四條 商業銀行內部信息科技審計的責任包括：

（一）制定、實施和調整審計計劃，檢查和評估商業銀行信息科技系統和內控機制的充分性和有效性。

（二）按照第（一）款規定完成審計工作，在此基礎上提出整改意見。

（三）檢查整改意見是否得到落實。

（四）執行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。

第六十五條 商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。

第六十六條 商業銀行在進行大規模系統開發時，應要求信息科技風險管理部門和內部審計部門參與，保證系統開發符合本銀行信息科技風險管理標準。

第十章 外部審計

第六十七條 商業銀行可以在符合法律、法規和監管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。

第六十八條 在委托審計過程中，商業銀行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查，以發現信息科技存在的風險，國家法律、法規及監管部門規章、規范性文件規定的重要商業、技術保密信息除外。

第六十九條 商業銀行在實施外部審計前應與外部審計機構進行充分溝通，詳細確定審計范圍，不應故意隱瞞事實或阻撓審計檢查。

第七十條 銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對商業銀行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委托或授權對商業銀行進行審計時，應出示委托授權書，并依照委托授權書上規定的范圍進行審計。

第七十一條 外部審計機構根據授權出具的審計報告，經銀監會及其派出機構審閱批準后具有與銀監會及其派出機構出具的檢查報告同等的效力，被審計的商業銀行應根據該審計報告提出整改計劃，并在規定的時間內實施整改。

第七十二條 商業銀行在委托外部審計機構進行外部審計時，應與其簽訂保密協議，并督促其嚴格遵守法律法規，保守本銀行的商業秘密和信息科技風險信息，防止其擅自對本銀行提供的任何文件進行修改、復制或帶離現場。

第十一章 附 則

第七十三條 未設董事會的商業銀行，應當由其經營決策機構履行本指引中董事會的有關信息科技風險管理職責。

第七十四條 銀監會依法對商業銀行的信息科技風險管理實施監督檢查。

第七十五條 本指引由銀監會負責解釋、修訂。

第七十六條 本指引自頒布之日起施行，《銀行業金融機構信息系統風險管理指引》（銀監發?2006?63號）同時廢止。

發文單位：中國銀行業監督管理委員會

發布日期：2009-6-1 執行日期：2009-6-1

Chapter I General Provisions

Article 1.Pursuant to the Law of the People?s Republic of China on Banking Regulation and Supervision，the Law of the People's Republic of China on Commercial Banks，the Regulations of the People?s Republic of China on Administration of Foreign-funded Banks，and other applicable laws and regulations，the Guidelines on the Risk Management of Commercial Banks? Information Technology（hereinafter referred to as the Guidelines）is formulated.Article 2.The Guidelines apply to all the commercial banks legally incorporated within the territory of the People?s Republic of China.The Guidelines may apply to other banking institutions including policy banks，rural cooperative banks，urban credit cooperatives，rural credit cooperatives，village banks，loan companies，financial asset management companies，trust and investment companies，finance firms，financial leasing companies，automobile financial companies and money brokers.Article 3.The term “information technology” stated in the Guidelines shall refer to the system built with computer，communication and software technologies，and employed by commercial banks to handle business transactions，operation management，and internal communication，collaborative work and controls.The term also include IT governance，IT organization structure and IT policies and procedures.Article 4.The risk of information technology refers to the operational risk，legal risk and reputation risk that are caused by natural factor，human factor，technological loopholes or management deficiencies when using information technology.Article 5.The objective of information system risk management is to establish an effective mechanism that can identify，measure，monitor，and control the risks of commercial banks? information system，ensure data integrity，availability，confidentiality and consistency，provide the relevant early warning，and thereby enable commercial banks? business innovations，uplift their capability in utilizing information technology，improve their core competitiveness and capacity for sustainable development.Chapter II IT governance

Article 6.The legal representative of commercial bank should be responsible to ensure compliance of this guideline.Article 7.The board of directors of commercial banks should have the following responsibilities with respect to the management of information systems：

（1）Implementing and complying with the national laws，regulations and technical standards pertaining to the management of information systems，as well as the regulatory requirements set by the China Banking Regulatory Commission（hereinafter referred to as the “CBRC”）；

（2）Periodically reviewing the alignment of IT strategy with the overall business strategies and significant policies of the bank，assessing the overall effectiveness and efficiency of the IT organization.（3）Approving IT risk management strategies and policies，understanding the major IT risks involved，setting acceptable levels for these risks，and ensuring the implementation of the measures necessary to identify，measure，monitor and control these risks.（4）Setting high ethical and integrity standards，and establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of IT risk management.（5）Establishing an IT steering committee which consists of representatives from senior management，the IT organization，and major business units，to oversee these responsibilities and report the effectiveness of strategic IT planning，the IT budget and actual expenditure，and the overall IT performance to the board of directors and senior management periodically.（6）Establishing IT governance structure，proper segregation of duty，clear role and responsibility，maintaining check and balances and clear reporting relationship.Strengthening IT professional staff by developing incentive program.（7）Ensuring that there is an effective internal audit of the IT risk management carried out by operationally independent，well-trained and qualified staff.The internal audit report should be submitted directly to the IT audit committee；

（8）Submitting an annual report to the CBRC and its local offices on information system risk management that has been reviewed and approved by the board of directors ；

（9）Ensuring the appropriating funding necessary for IT risk management works；

（10）Ensuring that all employees of the bank fully understand and adhere to the IT risk management policies and procedures approved by the board of directors and the senior management，and are provided with pertinent training.（11）Ensuring customer information，financial information，product information and core banking system of the legal entity are held independently within the territory，and complying with the regulatory on-site examination requirements of CBRC and guarding against cross-border risk.（12）Reporting in a timely manner to the CBRC and its local offices any serious incident of information systems or unexpected event，and quickly respond to it in accordance with the contingency plan；

（13）Cooperating with the CBRC and its local offices in the supervisory inspection of the risk management of information systems，and ensure that supervisory opinions are followed up； and

（14）Performing other related IT risk management tasks.Article 8.The head of the IT organization，commonly known as the Chief Information Officer（CIO）should report directly to the president.Roles and responsibilities of the CIO should include the following：

（1）Playing a direct role in key decisions for the business development involving the use of IT in the bank；

（2）The CIO should ensure that information systems meet the needs of the bank，and IT strategies，in particular information system development strategies，comply with the overall business strategies and IT risk management policies of the bank；

（3）The CIO should also be responsible for the establishment of an effective and efficient IT organization to carry out the IT functions of the bank.These include the IT budget and expenditure，IT risk management，IT policies，standards and procedures，IT internal controls，professional development，IT project initiatives，IT project management，information system maintenance and upgrade，IT operations，IT infrastructure，Information security，disaster recovery plan（DRP），IT outsourcing，and information system retirement；

（4）Ensuring the effectiveness of IT risk management throughout the organization including all branches.（5）Organizing professional trainings to improve technical proficiency of staff.（6）Performing other related IT risk management tasks.Article 9.Commercial banks should ensure that a clear definition of the IT organization structure and documentation of all job descriptions of important positions are always in place and updated in a timely manner.Staff in each position should meet relevant requirements on professional skills and knowledge.The following risk mitigation measures should be incorporated in the management program of related staff：

（1）Verification of personal information including confirmation of personal identification issued by government，academic credentials，prior work experience，professional qualifications；

（2）Ensuring that IT staff can meet the required professional ethics by checking character reference；

（3）Signing of agreements with employees about understanding of IT policies and guidelines，non-disclosure of confidential information，authorized use of information systems，and adherence to IT policies and procedures； and

（4）Evaluation of the risk of losing key IT personnel，especially during major IT development stage or in a period of unstable IT operations，and the relevant risk mitigation measures such as staff backup arrangement and staff succession plan.13

Article 10.Commercial banks should establish or designate a particular department for IT risk management.It should report directly to the CIO and the Chief Risk Officer（or risk management committee），serve as a member of the IT incident response team，and be responsible for coordinating the establishment of policies regarding IT risk management，especially the areas of information security，BCP，and compliance with the CBRC regulations，advising the business departments and IT department in implementing these policies，providing relevant compliance information，conducting on-going assessment of IT risks，and ensuring the follow-up of remediation advice，monitoring and escalating management of IT threats and non-compliance events.Article 11.Commercial banks should establish a special IT audit role and responsibility within internal audit function，which should put in place IT audit policies and procedures，develop and execute IT audit plan.Article 12.Commercial banks should put in place policies and procedures to protect intellectual property rights according to laws regarding intellectual properties，ensure purchase of legitimate software and hardware，prevention of the use of pirated software，and the protection of the proprietary rights of IT products developed by the bank，and ensure that these are fully understood and complied by all employees.Article 13.Commercial banks should，in accordance with relevant laws and regulations，disclose the risk profile of their IT normatively and timely.Chapter III IT Risk Management

Article 14.Commercial banks should formulate an IT strategy that aligns with the overall business plan of the bank，IT risk assessment plan and an IT operational plan that can ensure adequate financial resources and human resources to maintain a stable and secure IT environment.Article 15.Commercial banks should put in place a comprehensive set of IT risk management policies that include the following areas：

（1）Information security classification policy

（2）System development，testing and maintenance policy

（3）IT operation and maintenance policy

（4）Access control policy

（5）Physical security policy

（6）Personnel security policy

（7）Business Continuity Planning and Crisis and Emergency Management procedure

Article 16.Commercial banks should maintain an ongoing risk identification and assessment process that allows the bank to pinpoint the areas of concern in its information systems，assess the 14 potential impact of the risks on its business，rank the risks，and prioritize mitigation actions and the necessary resources（including outsourcing vendors，product vendors and service vendors）。

Article 17.Commercial banks should implement a comprehensive set of risk mitigation measures complying with the IT risk management policies and commensurate with the risk assessment of the bank.These mitigation measures should include：

（1）A set of clearly documented IT risk policies，technical standards，and operational procedures，which should be communicated to the staff frequently and kept up to date in a timely manner；

（2）Areas of potential conflicts of interest should be identified，minimized，and subject to careful，independent monitoring.Also it requires that an appropriate control structure is set up to facilitate checks and balances，with control activities defined at every business level，which should include：

-Top level reviews；

-Controls over physical and logical access to data and system；

-Access granted on “need to know” and “minimum authorization” basis；

-A system of approvals and authorizations； and

-A system of verification and reconciliation.Article 18.Commercial banks should put in place a set of ongoing risk measurement and monitoring mechanisms，which should include

（1）Pre and post-implementation review of IT projects；

（2）Benchmarks for periodic review of system performance；

（3）Reports of incidents and complaints about IT services；

（4）Reports of internal audit，external audit，and issues identified by CBRC； and

（5）Arrangement with vendors and business units for periodic review of service level agreements（SLAs）。

（6）The possible impact of new development of technology and new threats to software deployed.（7）Timely review of operational risk and management controls in operation area.（8）Assess the risk profile on IT outsourcing projects periodically.Article 19.Chinese commercial banks operating offshore and the foreign commercial banks in China should comply with the relevant regulatory requirements on information systems in and outside the People?s Republic of China.Chapter IV Information Security

Article 20.Information technology department of commercial banks should oversee the establishment of an information classification and protection scheme.All employees of the bank should be made aware of the importance of ensuring information confidentiality and provided with the necessary training to fully understand the information protection procedures within their responsibilities.Article 21.Commercial banks should put in place an information security management function to develop and maintain an ongoing information security management program，promote information security awareness，advise other IT functions on security issues，serve as the leader of IT incident response team，and report the evaluation of the information security of the bank to the IT steering committee periodically.The Information security management program should include Information security standards，strategy，an implementation plan，and an ongoing maintenance plan.Information security policy should include the following areas：

（1）IT security policy management

（2）Organization information security

（3）Asset management

（4）Personnel security

（5）Physical and environment security

（6）Communication and operation security

（7）Access control and authentication

（8）Acquirement，development and maintenance of information system

（9）Information security event management

（10）Business continuity management

（11）Compliance

Article 22.Commercial banks should have an effective process to manage user authentication and access control.Access to data and system should be strictly limited to authorized individuals whose identity is clearly established，and their activities in the information systems should be limited to the minimum required for their legitimate business use.Appropriate user authentication mechanism commensurate with the classification of information to be accessed should be selected.Timely review and removal of user identity from the system should be implemented when user transfers to a new job or leave the commercial bank.Article 23.Commercial banks should ensure all physical security zones，such as computer centers or data centers，network closets，areas containing confidential information or critical IT equipment，and respective accountabilities are clearly defined，and appropriate preventive，detective，and recuperative controls are put in place.Article 24.Commercial banks should divide their networks into logical security domains（hereinafter referred to as the “domain”）with different levels of security.The following security factors have to be assessed in order to define and implement effective security controls，such as physical or logical segregation of network，network filtering，logical access control，traffic encryption，network monitoring，activity log，etc.，for each domain and the whole network.（1）criticality of the applications and user groups within the domain；

（2）Access points to the domain through various communication channels；

（3）Network protocols and ports used by the applications and network equipment deployed within the domain；

（4）Performance requirement or benchmark；

（5）Nature of the domain，i.e.production or testing，internal or external；

（6）Connectivity between various domains； and

（7）Trustworthiness of the domain.Article 25.Commercial banks should secure the operating system and system software of all computer systems by

（1）Developing baseline security requirement for each operating system and ensuring all systems meet the baseline security requirement；

（2）Clearly defining a set of access privileges for different groups of users，namely，end-users，system development staff，computer operators，and system administrators and user administrators；

（3）Setting up a system of approval，verification，and monitoring procedures for using the highest privileged system accounts；

（4）Requiring technical staff to review available security patches，and report the patch status periodically； and

（5）Requiring technical staff to include important items such as unsuccessful logins，access to critical system files，changes made to user accounts，etc.in system logs，monitors the systems for any abnormal event manually or automatically，and report the monitoring periodically.Article 26.Commercial banks should ensure the security of all the application systems by

（1）Clearly defining the roles and responsibilities of end-users and IT staff regarding the application security；

（2）Implementing a robust authentication method commensurate with the criticality and sensibility of the application system；

（3）Enforcing segregation of duties and dual control over critical or sensitive functions；

（4）Requiring verification of input or reconciliation of output at critical junctures；

（5）Requiring the input and output of confidential information are handled in a secure manner to prevent theft，tampering，intentional leakage，or inadvertent leakage；

（6）Ensuring system can handle exceptions in a predefined way and provide meaningful message to users when the system is forced to terminate； and

（7）Maintaining audit trail in either paper or electronic format.（8）Requiring user administrator to monitor and review unsuccessful logins and changes to users accounts.Article 27.Commercial banks should have a set of policies and procedures controlling the logging of activities in all production systems to support effective auditing，security forensic analysis，and fraud prevention.Logging can be implemented in different layers of software and on different computer and networking equipment，which falls into two broad categories：

（1）Transaction journals.They are generated by application software and database management system，and contain authentication attempts，modification to data，error messages，etc.Transaction journals should be kept according to the national accounting policy.（2）System logs.They are generated by operating systems，database management system，firewalls，intrusion detection systems，and routers，etc.，and contain authentication attempts，system events，network events，error messages，etc.System logs should be kept for a period scaled to the risk classification，but no less than one year.Banks should ensure that sufficient items be included in the logs to facilitate effective internal controls，system troubleshooting，and auditing while taking appropriate measures to ensure time synchronization on all logs.Sufficient disk space should be allocated to prevent logs from being overwritten.System logs should be reviewed for any exception.The review frequency and retention period for transaction logs or database logs should be determined jointly by IT organization and pertinent business lines，and approved by the IT steering committee.Article 28.Commercial banks should have the capacity to employ encryption technologies to mitigate the risk of losing confidential information in the information systems or during its transmission.Appropriate management processes of the encryption facilities should be put in place to ensure that

（1）Encryption facilities in use should meet national security standards or requirements；

（2）Staff in charge of encryption facilities are well trained and screened；

（3）Encryption strength is adequate to protect the confidentiality of the information； and 18

（4）Effective and efficient key management procedures，especially key lifecycle management and certificate lifecycle management，are in place.Article 29.Commercial banks should put in place an effective and efficient system of securing all end-user computing equipment which include desktop personal computers（PCs），portable PCs，teller terminals，automatic teller machines（ATMs），passbook printers，debit or credit card readers，point of sale（POS）terminals，personal digital assistant（PDAs），etc and conduct periodic security checks on all equipments.Article 30.Commercial banks should put in place a set of policies and procedures to govern the collection，processing，storage，transmission，dissemination，and disposal of customer information.Article 31.All employees，including contract staff，should be provided with the necessary trainings to fully understand these policies procedures and the consequences of their violation.Commercial banks should adopt a zero tolerance policy against security violation.Chapter V Application System Development，Testing and Maintenance

Article 32.Commercial banks should have the capability to identify，plan，acquire，develop，test，deploy，maintain，upgrade，and retire information systems.Policies and procedures should be in place to govern the initiation，prioritization，approval，and control of IT projects.Progress reports of major IT projects should be submitted to and reviewed by the IT steering committee periodically.Decisions involving significant change of schedule，change of key personnel，change of vendors，and major expenditures should be included in the progress report.Article 33.Commercial banks should recognize the risks associated with IT projects，which include the possibilities of incurring various kinds of operational risk，financial losses，and opportunity costs stemming from ineffective project planning or inadequate project management controls of the bank.Therefore，appropriate project management methodologies should be adopted and implemented to control the risks associated with IT projects.Article 34.Commercial banks should adopt and implement a system development methodology to control the life cycle of Information systems.The typical phases of system life cycle include system analysis，design，development or acquisition，testing，trial run，deployment，maintenance，and retirement.The system development methodology to be used should be commensurate with the size，nature，and complexity of the IT project，and，generally speaking，should facilitate the management of the following risks.Article 35.Commercial banks should ensure system reliability，integrity，and maintainability by controlling system changes with a set of policies and procedures，which should include the following elements.（1）Ensure that production systems are separated from development or testing systems；

（2）Separating the duties of managing production systems and managing development or testing systems；

（3）Prohibiting application development and maintenance staff from accessing production system under normal circumstances unless management approval is granted to perform emergency repair，and all emergency repair activities should be recorded and reviewed promptly；

（4）Promoting changes of program or system configuration from development and testing systems to production systems should be jointly approved by IT organization and business departments，properly documented，and reviewed periodically.Article 36.Commercial banks should have in place a set of policies，standards，and procedures to ensure data integrity，confidentiality，and availability.These policies should be in accordance with data integrity amid IT development procedure.Article 37.Commercial banks should ensure that Information system problems could be tracked，analyzed，and resolved systematically through an effective problem management process.Problems should be documented，categorized，and indexed.Support services or technical assistance from vendors，if necessary，should also be documented.Contacts and relevant contract information should be made readily available to the employees concerned.Accountability and line of command should be delineated clearly and communicated to all employees concerned，which is of utmost importance to performing emergency repair.Article 38.Commercial banks should have a set of policies and procedures controlling the process of system upgrade.System upgrade is needed when the hardware reaches its lifespan or runs out of capacity，the underpinning software，namely，operating system，database management system，middleware，has to be upgraded，or the application software has to be upgraded.The system upgrade should be treated as a project and managed by all pertinent project management controls including user acceptance testing.Chapter VI IT Operations

Article 39.Commercial banks should consider fully the environmental threats（e.g.proximity to natural disaster zones，dangerous or hazardous facilities or busy/major roads）when selecting the locations of their data centers.Physical and environmental controls should be implemented to monitor environmental conditions could affect adversely the operation of information processing facilities.Equipment facilities should be protected from power failures and electrical supply interference.Article 40.In controlling access by third-party personnel（e.g.service providers）to secured areas，proper approval of access should be enforced and their activities should be closely monitored.It is important that proper screening procedures including verification and background checks，especially for sensitive technology-related jobs，are developed for permanent and temporary technical staff and contractors.20

Article 41.Commercial banks should separate IT operations or computer center operations from system development and maintenance to ensure segregation of duties within the IT organization.The commercial banks should document the roles and responsibilities of data center functions.Article 42.Commercial banks are required to retain transactional records in compliance with the national accounting policy.Procedures and technology are needed to be put in place to ensure the integrity，safekeeping and retrieval requirements of the archived data.Article 43.Commercial banks should detail operational instructions such as computer operator tasks，job scheduling and execution in the IT operations manual.The IT operations manual should also cover the procedures and requirements for on-site and off-site backup of data and software in both the production and development environments（i.e.frequency，scope and retention periods of back-up）。

Article 44.Commercial banks should have in place a problem management and processing system to respond promptly to IT operations incidents，to escalate reported incidents to relevant IT management staff and to record，analyze and keep tracks of all these incidents until rectification of the incidents with root cause analysis completed.A helpdesk function should be set up to provide front-line support to users on all technology-related problems and to direct the problems to relevant IT functions for investigation and resolution.Article 45.Commercial banks should establish service level agreement and assess the IT service level standard attained.Article 46.Commercial banks should implement a process to ensure that the performance of application systems is continuously monitored and exceptions are reported in a timely and comprehensive manner.The performance monitoring process should include forecasting capability to enable exceptions to be identified and corrected before they affect system performance.Article 47.Commercial banks should carry out capacity plan to cater for business growth and transaction increases due to changes of economic conditions.Capacity plan should be extended to cover back-up systems and related facilities in addition to the production environment.Article 48.Commercial banks should ensure the continued availability of technology related services with timely maintenance and appropriate system upgrades.Proper record keeping（including suspected and actual faults and preventive and corrective maintenance records）is necessary for effective facility and equipment maintenance.Article 49.Commercial banks should have an effective change management process in place to ensure integrity and reliability of the production environment.Commercial banks should develop a formal change management process.Chapter VII Business Continuity Management

Article 50.Commercial banks should have in place appropriate arrangements，having regard to the nature，scale and complexity of its business，to ensure that it can continue to function and meet its regulatory obligations in the event of an unforeseen interruption.These arrangements should be regularly updated and tested to ensure their effectiveness.Article 51.Commercial banks should consider the likelihood and impact of a disruption to the continuity of its operation from unexpected events.This should include assessing the disruptions to which it is particularly susceptible including but not limited to：

（1）Loss of failure of internal and external resources（such as people，systems and other assets）；

（2）The loss or corruption of its information； and

（3）External events（such as war，earthquake，typhoon，etc）。

Article 52.Commercial bank should act to reduce both the likelihood of disruptions（including system resilience and dual processing）； and the impact of disruptions（including by contingency arrangements and insurance）。

Article 53.Commercial bank should document its strategy for maintaining continuity of its operations，and its plans for communicating and regularly testing the adequacy and effectiveness of this strategy.Commercial bank should establish：

（1）Formal business continuity plans that outline arrangements to reduce the impact of a short，medium and long-term disruption，including：

a）Resource requirements such as people，systems and other assets，and arrangements for obtaining these resources；

b）The recovery priorities for the commercial bank?s operations； and

c）Communication arrangements for internal and external concerned parties（including CBRC，clients and the press）；

（2）Escalation and invocation plans that outline the processes for implementing the business continuity plans，together with relevant contact information；

（3）Processes to validate the integrity of information affected by the disruption；

（4）Processes to review and update（1）to（3）following changes to the commercial bank?s operations or risk profile.Article 54.A final BCP plan and an annual drill result must be signed off by the IT Risk management，or internal auditor and IT Steering Committee.Chapter VIII Outsourcing

Article 55.Commercial banks cannot contract out its regulatory obligations and should take reasonable care to supervise the discharge of outsourcing functions.22

Article 56.Commercial banks should take particular care to manage material outsourcing arrangement（such as outsourcing of data center，IT infrastructure，etc.），and should notify CBRC when it intends to enter into material outsourcing arrangement.Article 57.Before entering into，or significantly changing，an outsourcing arrangement，the commercial bank should：

（1）Analyze how the arrangement will fit with its organization and reporting structure； business strategy； overall risk profile； and ability to meet its regulatory obligations；

（2）Consider whether the arrangements will allow it to monitor and control its operational risk exposure relating to the outsourcing；

（3）Conduct appropriate due diligence of the service provider?s financial stability，expertise and risk assessment of the service provider，facilities and ability to cover the potential liabilities；

（4）Consider how it will ensure a smooth transition of its operations from its current arrangements to a new or changed outsourcing arrangement（including what will happen on the termination of the contract）； and

（5）Consider any concentration risk implications such as the business continuity implications that may arise if a single service provider is used by several firms.Article 58.In negotiating its contract with a service provider，the commercial bank should have regard to（but not limited to）：

（1）Reporting and negotiation requirements it may wish to impose on the service provider；

（2）Whether sufficient access will be available to its internal auditors，external auditors and banking regulators；

（3）Information ownership rights，confidentiality agreements and Firewalls to protect client and other information（including arrangements at the termination of contract）；

（4）The adequacy of any guarantees and indemnities；

（5）The extent to which the service provider must comply with the commercial bank?s polices and procedures covering IT Risk；

（6）The extent to which the service provider will provide business continuity for outsourced operations，and whether exclusive access to its resources is agreed；

（7）The need for continued availability of software following difficulty at a third party supplier；

（8）The processes for making changes to the outsourcing arrangement and the conditions under which the commercial bank or service provider can choose to change or terminate the outsourcing arrangement，such as where there is：

a）A change of ownership or control of the service provider or commercial bank； or

b）Significant change in the business operations of the service provider or commercial bank； or

c）Inadequate provision of services that may lead to the commercial bank being unable to meet its regulatory obligations.Article 59.In implementing a relationship management framework，and drafting the service level agreement with the service provider，the commercial bank should have regarded to（but not limited to）：

（1）The identification of qualitative and quantitative performance targets to assess the adequacy of service provision，to both the commercial bank and its clients，where appropriate；

（2）The evaluation of performance through service delivery reports and periodic self assessment and independent review by internal or external auditors； and

（3）Remediation action and escalation process for dealing with inadequate performance.Article 60.The commercial bank should enhance IT related outsourcing management，in place following（not limited to）measures to ensure data security of sensitive information such as customer information：

（1）Effectively separated from other customer information of the service provider；

（2）The related staff of service provider should be authorized on “need to know” and “minimum authorization” basis；

（3）Ensure service provider guarantee its staff for meeting the confidential requests；

（4）All outsourcing arrangements related to customer information should be identified as material outsourcing arrangements and the customers should be notified；

（5）Strictly monitor re-outsourcing actions of the service provider，and implement adequate control measures to ensure information security of the bank；

（6）Ensure all related sensitive information be refunded or deleted from the service provider?s storage when terminating the outsourcing arrangement.Article 61.The commercial bank should ensure that it has appropriate contingency in the event of a significant loss of services from the service provider.Particular issues to consider include a significant loss of resources，turnover of key staff，or financial failure of，the service provider，and unexpected termination of the outsourcing agreement.Article 62.All outsourcing contracts must be reviewed or signed off by IT Risk management，internal IT auditors，legal department and IT Steering Committee.There should be a process to periodically review and refine the service level agreements.Chapter IX Internal Audit

Article 63.Depending on the nature，scale and complexity of its business，it may be appropriate for the commercial banks to delegate much of the task of monitoring the appropriateness and effectiveness of its systems and controls to an internal audit function.An internal audit function should be adequately resourced and staffed by competent individuals，be independent of the day-to-day activities of the commercial bank and have appropriate access to the bank?s records.Article 64.The responsibilities of the internal IT audit function are：

（1）To establish，implement and maintain an audit plan to examine and evaluate the adequacy and effectiveness of the bank?s systems and internal control mechanisms and arrangements；

（2）To issue recommendations based on the result of work carried out in accordance with 1；

（3）To verify compliance with those recommendations；

（4）To carry out special audit on information technology.The term “special audit” of information technology refers to the investigation，analysis and assessment on the security incidents of the information system，or the audit performed on a special subject based on IT risk assessment result as deemed necessary by the audit department.Article 65.Based on the nature，scale and complexity of its business，deployment of information technology and IT risk assessment，commercial banks could determine the scope and frequency of IT internal audit.However，a comprehensive IT internal audit shall be performed at a minimum once every 3 years.Article 66.Commercial banks should engage its internal audit department and IT Risk management department when implementing system development of significant size and scale to ensure it meets the IT Risk standards of the Commercial banks.Chapter X External Audit

Article 67.The external information technology audit of commercial banks can be carried out by certified service providers in accordance with laws，rules and regulations.Article 68.The commercial bank should ensure IT audit service provider to review and examine bank?s hardware，software，documentation and data to identify IT risk when they are commissioned to perform the audit.Vital commercial and technical information which is protected by national laws and regulations should not be reviewed.Article 69.Commercial bank should communicate with the service provider in depth before the audit to determine audit scope，and should not withhold the truth or do not corporate with the service provider intentionally.Article 70.CBRC and its local offices could designate certified service providers to carry out IT audit or related review on commercial banks when needed.When carrying out audit on commercial banks，as commissioned or authorized by CBRC or its local offices，the service providers shall 25 present the letter of authority，and carry out the audit in accordance to the scope prescribed in the letter of authority.Article 71.Once the IT audit report produced by the service providers is reviewed and approved by CBRC or its local offices，the report will have the same legal status as if it is produced by the CBRC itself.Commercial banks should come up with a correction action plan prescribed in the report and implement the corrective actions according to the timeframe.Article 72.Commercial banks should ensure the service providers to strictly comply with laws and regulations to keep confidential and data security of any commercial secrets and private information learnt and IT risk information when conducting the audit.The service provider should not modify copy or take away any documents provided by the commercial banks.Chapter XI Supplementary Provisions

Article 73.Commercial banks with no board of directors should have their operating decision-making bodies perform the responsibilities of the board with regard to IT risk management specified herein.Article 74.The China Banking Regulatory Commission supervises and regulates the IT risk management of commercial banks under its authority by law.Article 75.The power of interpretation and modification of the Guidelines shall rest with the China Banking Regulatory Commission.Article 76.The Guidelines shall become effective as of the date of its issuance and the former Guidelines on the Risk Management of Banking Institutions? Information Systems shall be revoked at the same time.中國銀行業監督管理委員會

第五篇：商業銀行信息科技風險管理指引

商業銀行信息科技風險管理指引

第一章 總 則

第一條 為加強商業銀行信息科技風險管理，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關要求和有關法律法規，制定本指引。

第二條 本指引適用于在中華人民共和國境內依法設立的法人商業銀行。

政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。

第三條 本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。

第四條 本指引所稱信息科技風險，是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

第五條 信息科技風險管理的目標是通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。

第二章 信息科技治理

第六條 商業銀行法定代表人是本機構信息科技風險管理的第一責任人，負責組織本指引的貫徹落實。

第七條 商業銀行的董事會應履行以下信息科技管理職責：

（一）遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實中國銀行業監督管理委員會（以下簡稱銀監會）相關監管要求。

（二）審查批準信息科技戰略，確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。

（四）規范職業道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識。

（五）設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。

（六）在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設，建立人才激勵機制。

（七）確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。

（八）每年審閱并向銀監會及其派出機構報送信息科技風險管理的報告。

（九）確保信息科技風險管理工作所需資金。

（十）確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓。

（十一）確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢查的要求，防范跨境風險。

（十二）及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件，按相關預案快速響應。

（十三）配合銀監會及其派出機構做好信息科技風險監督檢查工作，并按照監管意見進行整改。

（十四）履行信息科技風險管理其他相關工作。 第八條 商業銀行應設立首席信息官，直接向行長匯報，并參與決策。首席信息官的職責包括：

（一）直接參與本銀行與信息科技運用有關的業務發展決策。

（二）確保信息科技戰略，尤其是信息系統開發戰略，符合本銀行的總體業務戰略和信息科技風險管理策略。

（三）負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保其履行：信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。

（四）確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一個內設機構和分支機構。

（五）組織專業培訓，提高人才隊伍的專業技能。

（六）履行信息科技風險管理其他相關工作。

第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定；各崗位的人員應具有相應的專業知識和技能，重要崗位應制定詳細完整的工作手冊并適時更新。對相關人員應采取下列風險防范措施：

（一）驗證個人信息，包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。

（二）審核信息科技員工的道德品行，確保其具備相應的職業操守。

（三）確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求，并同員工簽訂相關協議。

（四）評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發生變化后及時變更相關信息。 第十條 商業銀行應設立或指派一個特定部門負責信息科技風險管理工作，并直接向首席信息官或首席風險官（風險管理委員會）報告工作。該部門應為信息科技突發事件應急響應小組的成員之一，負責協調制定有關信息科技風險管理策略，尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面，為業務部門和信息科技部門提供建議及相關合規性信息，實施持續信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件的發生。

第十一條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。

第十二條 商業銀行應按照知識產權相關法律法規，制定本機構信息科技知識產權保護策略和制度，并使所有員工充分理解并遵照執行。確保購買和使用合法的軟硬件產品，禁止侵權盜版；采取有效措施保護本機構自主知識產權。

第十三條 商業銀行應依據有關法律法規的要求，規范和及時披露信息科技風險狀況。

第三章 信息科技風險管理

第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃，確保配臵足夠人力、財力資源，維持穩定、安全的信息科技環境。

第十五條 商業銀行應制定全面的信息科技風險管理策略，包括但不限于下述領域：

（一）信息分級與保護。

（二）信息系統開發、測試和維護。

（三）信息科技運行和維護。

（四）訪問控制。

（五）物理安全。

（六）人員安全。

（七）業務連續性計劃與應急處臵。 第十六條 商業銀行應制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，并確定風險防范措施及所需資源的優先級別（包括外包供應商、產品供應商和服務商）。

第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。防范措施應包括：

（一）制定明確的信息科技風險管理制度、技術標準和操作規程等，定期進行更新和公示。

（二）確定潛在風險區域，并對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便于檢查和平衡風險；定義每個業務級別的控制內容，包括：

1.最高權限用戶的審查。

2.控制對數據和系統的物理和邏輯訪問。

3.訪問授權以“必需知道”和“最小授權”為原則。 4.審批和授權。 5.驗證和調節。 第十八條 商業銀行應建立持續的信息科技風險計量和監測機制，其中應包括：

（一）建立信息科技項目實施前及實施后的評價機制。

（二）建立定期檢查系統性能的程序和標準。

（三）建立信息科技服務投訴和事故處理的報告機制。

（四）建立內部審計、外部審計和監管發現問題的整改處理機制。

（五）安排供應商和業務部門對服務水平協議的完成情況進行定期審查。

（六）定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。

（七）定期進行運行環境下操作風險和管理控制的檢查。

（八）定期進行信息科技外包項目的風險狀況評價。 第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行，應當遵守境內外監管機構關于信息科技風險管理的要求，并防范因監管差異所造成的風險。

第四章 信息安全

第二十條 商業銀行信息科技部門負責建立和實施信息分類和保護體系，商業銀行應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程。

第二十一條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。

信息安全策略應涉及以下領域：

（一）安全制度管理。

（二）信息安全組織管理。

（三）資產管理。

（四）人員安全管理。

（五）物理與環境安全管理。

（六）通信與運營管理。

（七）訪問控制管理。

（八）系統開發與維護管理。

（九）信息安全事故管理。

（十）業務連續性管理。

（十一）合規性管理。

第二十二條 商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開商業銀行時，應在系統中及時檢查、更新或注銷用戶身份。

第二十三條 商業銀行應確保設立物理安全保護區域，包括計算機中心或數據中心、存儲機密信息或放臵網絡設備等重要信息科技設備的區域，明確相應的職責，采取必要的預防、檢測和恢復控制措施。

第二十四條 商業銀行應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。

（一）域內應用程序和用戶組的重要程度。

（二）各種通訊渠道進入域的訪問點。

（三）域內配臵的網絡設備和應用程序使用的網絡協議和端口。

（四）性能要求或標準。

（五）域的性質，如生產域或測試域、內部域或外部域。

（六）不同域之間的連通性。

（七）域的可信程度。

第二十五條 商業銀行應通過以下措施，確保所有計算機操作系統和系統軟件的安全：

（一）制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要求。

（二）明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。

（三）制定最高權限系統賬戶的審批、驗證和監控流程，并確保最高權限用戶的操作日志被記錄和監察。

（四）要求技術人員定期檢查可用的安全補丁，并報告補丁管理狀態。

（五）在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監控情況。

第二十六條 商業銀行應通過以下措施，確保所有信息系統的安全：

（一）明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。

（二）針對信息系統的重要性和敏感程度，采取有效的身份驗證方法。

（三）加強職責劃分，對關鍵或敏感崗位進行雙重控制。

（四）在關鍵的接合點進行輸入驗證或輸出核對。

（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

（六）確保系統按預先定義的方式處理例外情況，當系統被迫終止時向用戶提供必要信息。

（七）以書面或電子格式保存審計痕跡。

（八）要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。

第二十七條 商業銀行應制定相關策略和流程，管理所有生產系統的活動日志，以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、不同的計算機和網絡設備上完成，日志劃分為兩大類：

（一）交易日志。交易日志由應用軟件和數據庫管理系統產生，內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。

（二）系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成，內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定，但不能少于一年。

商業銀行應保證交易日志和系統日志中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要；應采取適當措施保證所有日志同步計時，并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定，并報信息科技管理委員會批準。

第二十八條 商業銀行應采取加密技術，防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險，并建立密碼設備管理制度，以確保：

（一）使用符合國家要求的加密技術和加密設備。

（二）管理、使用密碼設備的員工經過專業培訓和嚴格審查。

（三）加密強度滿足信息機密性的要求。

（四）制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。

第二十九條 商業銀行應配備切實有效的系統，確保所有終端用戶設備的安全，并定期對所有設備進行安全檢查，包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數字助理（PDA）等。 第三十條 商業銀行應制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。

第三十一條 商業銀行應對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容忍政策。

第五章 信息系統開發、測試和維護

第三十二條 商業銀行應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢，制定制度和流程，管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內，組織對系統的后評價，并根據評價結果及時對系統功能進行調整和優化。 第三十三條 商業銀行應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成本，并采取適當的項目管理方法，控制信息科技項目相關的風險。

第三十四條 商業銀行應采取適當的系統開發方法，控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜度。

第三十五條 商業銀行應制定相關控制信息系統變更的制度和流程，確保系統的可靠性、完整性和可維護性，其中應包括以下要求：

（一）生產系統與開發系統、測試系統有效隔離。

（二）生產系統與開發系統、測試系統的管理職能相分離。

（三）除得到管理層批準執行緊急修復任務外，禁止應用程序開發和維護人員進入生產系統，且所有的緊急修復活動都應立即進行記錄和審核。

（四）將完成開發和測試環境的程序或系統配臵變更應用到生產系統時，應得到信息科技部門和業務部門的聯合批準，并對變更進行及時記錄和定期復查。

第三十六條 商業銀行應制定并落實相關制度、標準和流程，確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性。

第三十七條 商業銀行應建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和說明，并通知相關人員。

第三十八條 商業銀行應制定相關制度和流程，控制系統升級過程。當設備達到預期使用壽命或性能不能滿足業務需求，基礎軟件（操作系統、數據庫管理系統、中間件）或應用軟件必須升級時，應及時進行系統升級，并將該類升級活動納入信息科技項目，接受相關的管理和控制，包括用戶驗收測試。

第六章 信息科技運行

第三十九條 商業銀行在選擇數據中心的地理位臵時，應充分考慮環境威脅（如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路），采取物理控制措施，監控對信息處理設備運行構成威脅的環境狀況，并防止因意外斷電或供電干擾影響數據中心的正常運行。

第四十條 商業銀行應嚴格控制第三方人員（如服務供應商）進入安全區域，如確需進入應得到適當的批準，其活動也應受到監控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調查。

第四十一條 商業銀行應將信息科技運行與系統開發和維護分離，確保信息科技部門內部的崗位制約；對數據中心的崗位和職責做出明確規定。 第四十二條 商業銀行應按照有關法律法規要求保存交易記錄，采取必要的程序和技術，確保存檔數據的完整性，滿足安全保存和可恢復要求。

第四十三條 商業銀行應制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執行步驟，以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求（即備份的頻率、范圍和保留周期）。

第四十四條 商業銀行應建立事故管理及處臵機制，及時響應信息系統運行事故，逐級向相關的信息科技管理人員報告事故的發生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業銀行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調查和解決。

第四十五條 商業銀行應建立服務水平管理相關的制度和流程，對信息科技運行服務水平進行考核。

第四十六條 商業銀行應建立連續監控信息系統性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統性能造成影響前對其進行識別和修正。 第四十七條 商業銀行應制定容量規劃，以適應由于外部環境變化產生的業務發展和交易量增長。容量規劃應涵蓋生產系統、備份系統及相關設備。

第四十八條 商業銀行應及時進行維護和適當的系統升級，以確保與技術相關服務的連續可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性維護記錄），以確保有效維護設備和設施。

第四十九條 商業銀行應制定有效的變更管理流程，以確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，由信息科技部門和業務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的修正以取代緊急變更。

第七章 業務連續性管理

第五十條 商業銀行應根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃，以確保在出現無法預見的中斷時，系統仍能持續運行并提供服務；定期對規劃進行更新和演練，以保證其有效性。

第五十一條 商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：

（一）內外部資源的故障或缺失（如人員、系統或其他資產）。

（二）信息丟失或受損。

（三）外部事件（如戰爭、地震或臺風等）。

第五十二條 商業銀行應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性，并通過應急安排和保險等方式降低影響。

第五十三條 商業銀行應建立維持其運營連續性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：

（一）規范的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:

1．資源需求（如人員、系統和其他資產）以及獲取資源的方式。

2．運行恢復的優先順序。

3．與內部各部門及外部相關各方（尤其是監管機構、客戶和媒體等）的溝通安排。

（二）更新實施業務連續性計劃的流程及相關聯系信息。

（三）驗證受中斷影響的信息完整性的步驟。

（四）當商業銀行的業務或風險狀況發生變化時，對本條

（一）到

（三）進行審核并升級。

第五十四條 商業銀行的業務連續性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。

第八章 外 包

第五十五條 商業銀行不得將其信息科技管理責任外包，應合理謹慎監督外包職能的履行。

第五十六條 商業銀行實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。

第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前，應做好相關準備，其中包括：

（一）分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風險控制，是否滿足商業銀行履行對外包服務商的監督義務。

（二）考慮外包協議是否允許商業銀行監測和控制與外包相關的操作風險。

（三）充分審查、評估外包服務商的財務穩定性和專業經驗，對外包服務商進行風險評估，考查其設施和能力是否足以承擔相應的責任。

（四）考慮外包協議變更前后實施的平穩過渡（包括終止合同可能發生的情況）。

（五）關注可能存在的集中風險，如多家商業銀行共用同一外包服務商帶來的潛在業務連續性風險。

第五十八條 商業銀行在與外包服務商合同談判過程中，應考慮的因素包括但不限于：

（一）對外包服務商的報告要求和談判必要條件。

（二）銀行業監管機構和內部審計、外部審計能執行足夠的監督。

（三）通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息和其他信息。

（四）擔保和損失賠償是否充足。

（五）外包服務商遵守商業銀行有關信息科技風險制度和流程的意愿及相關措施。

（六）外包服務商提供的業務連續性保障水平，以及提供相關專屬資源的承諾。

（七）第三方供應商出現問題時，保證軟件持續可用的相關措施。

（八）變更外包協議的流程，以及商業銀行或外包服務商選擇變更或終止外包協議的條件，例如：

1.商業銀行或外包服務商的所有權或控制權發生變化。 2.商業銀行或外包服務商的業務經營發生重大變化。 3.外包服務商提供的服務不充分，造成商業銀行不能履行監督義務。

第五十九條 商業銀行在實施雙方關系管理，以及起草服務水平協議時，應考慮的因素包括但不限于：

（一）提出定性和定量的績效指標，評估外包服務商為商業銀行及其相關客戶提供服務的充分性。

（二）通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。

（三）針對績效不達標的情況調整流程，采取整改措施。 第六十條 商業銀行應加強信息科技相關外包管理工作，確保商業銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一）實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。

（二）按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。

（三）要求外包服務商保證其相關人員遵守保密規定。

（四）應將涉及本銀行客戶資料的外包作為重要外包，并告知相關客戶。

（五）嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業銀行相關信息的安全。

（六）確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。

第六十一條 商業銀行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協議的意外終止。

第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服務水平協議。



第九章 內部審計

第六十三條 商業銀行內部審計部門應根據業務的性質、規模和復雜程度，對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于本銀行的日?；顒樱哂羞m當的授權訪問本銀行的記錄。

第六十四條 商業銀行內部信息科技審計的責任包括：

（一）制定、實施和調整審計計劃，檢查和評估商業銀行信息科技系統和內控機制的充分性和有效性。

（二）按照第（一）款規定完成審計工作，在此基礎上提出整改意見。

（三）檢查整改意見是否得到落實。

（四）執行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。

第六十五條 商業銀行應根據業務性質、規模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。

第六十六條 商業銀行在進行大規模系統開發時，應要求信息科技風險管理部門和內部審計部門參與，保證系統開發符合本銀行信息科技風險管理標準。

第十章 外部審計

第六十七條 商業銀行可以在符合法律、法規和監管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。

第六十八條 在委托審計過程中，商業銀行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查，以發現信息科技存在的風險，國家法律、法規及監管部門規章、規范性文件規定的重要商業、技術保密信息除外。

第六十九條 商業銀行在實施外部審計前應與外部審計機構進行充分溝通，詳細確定審計范圍，不應故意隱瞞事實或阻撓審計檢查。

第七十條 銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對商業銀行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委托或授權對商業銀行進行審計時，應出示委托授權書，并依照委托授權書上規定的范圍進行審計。

第七十一條 外部審計機構根據授權出具的審計報告，經銀監會及其派出機構審閱批準后具有與銀監會及其派出機構出具的檢查報告同等的效力，被審計的商業銀行應根據該審計報告提出整改計劃，并在規定的時間內實施整改。

第七十二條 商業銀行在委托外部審計機構進行外部審計時，應與其簽訂保密協議，并督促其嚴格遵守法律法規，保守本銀行的商業秘密和信息科技風險信息，防止其擅自對本銀行提供的任何文件進行修改、復制或帶離現場。

第十一章 附 則

第七十三條 未設董事會的商業銀行，應當由其經營決策機構履行本指引中董事會的有關信息科技風險管理職責。

第七十四條 銀監會依法對商業銀行的信息科技風險管理實施監督檢查。

第七十五條 本指引由銀監會負責解釋、修訂。

第七十六條 本指引自頒布之日起施行，《銀行業金融機構信息系統風險管理指引》（銀監發?2006?63號）同時廢止。