个人收集整理 勿做商业用途
第一章 总则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业 监督管理法》、《中华人民共和国商业银行法》 、《中华人民共和国外资银行管理条 例》,以及国家信息安全相关要求和有关法律法规,制定本指引 .个人收集整理 勿做商业 用途
第二条 本指引适用于在中华人民共和国境内依法设立地法人商业银行、政 策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金 融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经 纪公司等其他银行业金融机构参照执 个人收集整理 勿做商业用途 行.
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代 信息技术, 在商业银行业务交易处理、 经营管理和内部控制等方面地应用, 并包 括进行信息科技治理,建立完整地管理组织架 构,制订完善地管理制度和流程 . 个人收集整理 勿做商业用途
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中, 由于自然因素、 人为因素、技术漏洞和管理缺陷产生地操作、 法律和声誉等风险 . 个人收集整理 勿做商业用途
第五条 信息科技风险管理地目标是通过建立有效地机制,实现对商业银行 信息科技风险地识别、 计量、监测和控制, 促进商业银行安全、 持续、稳健运行, 推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力 . 个人 收集整理 勿做商业用途
第二章 信息科技治理
第六条 商业银行法定代表人是本机构信息科技风险管理地第一责任人,负 责组织本指引贯彻落实 .
第七条 商业银行地董事会应履行以下信息科技管理职责:
( 一 ) 遵守并贯彻执行国家有关信息科技管理地法律、 法规和技术标准, 落实 中国银行业监督管理委员会 ( 以下简称银监会 ) 相关监管要求 .个人收集整理 勿做商业用 途
( 二)审查批准信息科技战略, 确保其与银行地总体业务战略和重大策略相一 致.评估信息科技及其风险管理工作地总体效果和效率 . 个人收集整理 勿做商业用途
( 三) 掌握主要地信息科技风险, 确定可接受地风险级别, 确保相关风险能够 被识别、计量、监测和控制 .
( 四)规范职业道德行为和廉洁标准, 增强内部文化建设, 提高全体人员对信 息科技风险管理重要性地认识 .
( 五) 设立一个由来自高级管理层、 信息科技部门和主要业务部门地代表组成 地专门信息科技管理委员会, 负责监督各项职责地落实, 定期向董事会和高级管 理层汇报信息科技战略规划地执行、 信息科技预算和实际支出、 信息科技地整体
个人收集整理 勿做商业用途
状况. 个人收集整理 勿做商业用途
( 六)在建立良好地公司治理地基础上进行信息科技治理, 形成分工合理、 职 责明确、
相互制衡、报告关系清晰地信息科技治理组织结构 . 加强信息科技专业 队伍地建设,建立人才激励机制 . 个人收集整理 勿做商业用途
( 七) 确保内部审计部门进行独立有效地信息科技风险管理审计, 对审计报告 进行确认并落实整改 .
( 八) 每年审阅并向银监会及其派出机构报送信息科技风险管理地年度报告 .
( 九) 确保信息科技风险管理工作所需资金 .
( 十 ) 确保银行所有员工充分理解和遵守经其批准地信息科技风险管理制度 和流程,并安排相关培训 .
( 十一) 确保本法人机构涉及客户信息、 账务信息以及产品信息等地核心系统 在中国境内独立运行, 并保持最高地管理权限, 符合银监会监管和实施现场检查 地要求,防范跨境风险 . 个人收集整理 勿做商业用途
( 十二 ) 及时向银监会及其派出机构报告本机构发生地重大信息科技事故或 突发事件,按相关预案快速响应 .
( 十三) 配合银监会及其派出机构做好信息科技风险监督检查工作, 并按照监 管意见进行整改 .
( 十四) 履行信息科技风险管理其他相关工作 .
第八条 商业银行应设立首席信息官, 直接向行长汇报, 并参与决策 . 首席信 息官地职责包括:
( 一) 直接参与本银行与信息科技运用有关地业务发展决策 .
( 二)确保信息科技战略, 尤其是信息系统开发战略, 符合本银行地总体业务 战略和信息科技风险管理策略 .
( 三) 负责建立一个切实有效地信息科技部门,承担本银行地信息科技职责 . 确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部 控制、专业化研发、 信息科技项目发起和管理、 信息系统和信息科技基础设施地 运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退 出等职责 . 个人收集整理 勿做商业用途
( 四 ) 确保信息科技风险管理地有效性, 并使有关管理措施落实到相关地每一 个内设机构和分支机构 .
( 五) 组织专业培训,提高人才队伍地专业技能 .
( 六) 履行信息科技风险管理其他相关工作 .
第九条 商业银行应对信息科技部门内部管理职责进行明确地界定;各岗位 地人员应具有相应地专业知识和技能, 重要岗位应制定详细完整地工作手册并适 时更新. 对相关人员应采取下列风险防范措施: 个人收集整理 勿做商业用途
( 一)验证个人信息, 包括核验有效身份证件、 学历证明、工作经历和专业资 格证书等信息 .
( 二) 审核信息科技员工地道德品行,确保其具备相应地职业操守 .
( 三) 确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信 息系统、信息科技管理制度和流程等要求,并同员工签订相关协议 . 个人收集整理 勿 做商业用途
( 四 ) 评估关键岗位信息科技员工流失带来地风险, 做好安排候补员工和岗位 接替计划等防范措施; 在员工岗位发生变化后及时变更相关信息 . 个人收集整理 勿做商 业用途
个人收集整理 勿做商业用途
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作, 并直接向首席信息官或首席风险官 (风险管理委员会 )报告工作 .该部门应为信息 科技突发事件应急响应小组地成员之一, 负责协调制定有关信息科技风险管理策 略,尤其是在涉及信息安全、 业务连续性计划和合规性风险等方面, 为业务部门 和信息科技部门提供建议及相关合规性信息, 实施持续信息科技风险评估, 跟踪 整改意见地落实,监控信息安全威胁和不合规事件地发生 . 个人收集整理 勿做商业用途
第十一条 商业银行应在内部审计部门设立专门地信息科技风险审计岗位, 负责信息科技审计制度和流程地实施, 制订和执行信息科技审计计划, 对信息科 技整个生命周期和重大事件等进行审计 . 个人收集整理 勿做商业用途
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知 识产权保护策略
和制度,并使所有员工充分理解并遵照执行 . 确保购买和使用合 法地软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权 . 个人收 集整理 勿做商业用途
第十三条 商业银行应依据有关法律法规地要求, 规范和及时披露信息科技 风险状况 .
第三章 信息科技风险管理
第十四条 商业银行应制定符合银行总体业务规划地信息科技战略、 信息科 技运行计划和信息科技风险评估计划, 确保配置足够人力、 财力资源,维持稳定、 安全地信息科技环境 . 个人收集整理 勿做商业用途
第十五条 商业银行应制定全面地信息科技风险管理策略, 包括但不限于下 述领域:
( 一 ) 信息分级与保护 .
( 二) 信息系统开发、测试和维护 .
立式导热油加热器
( 三 ) 信息科技运行和维护 .
( 四)访问控制 .
( 五)物理安全 .
( 六 ) 人员安全 .
( 七 ) 业务连续性计划与应急处置 .
第十六条 商业银行应制定持续地风险识别和评估流程, 确定信息科技中存 在隐患地区域, 评价风险对其业务地潜在影响, 对风险进行排序, 并确定风险防 范措施及所需资源地优先级别 (包括外包供应商、 产品供应商和服务商 ). 个人收集整 理 勿做商业用途
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果, 实施全 面地风险防范措施 . 防范措施应包括: 立式烤箱个人收集整理 勿做商业用途
( 一 ) 制定明确地信息科技风险管理制度、 技术标准和操作规程等, 定期进行 更新和公示 .
( 二)确定潜在风险区域, 并对这些区域进行详细和独立地监控, 实现风险最 小化. 建立适当地控制框架,以便于检查和平衡风险;定义每个业务级别地控制 内容,包括: 个人收集整理 勿做商业用途
1. 最高权限用户地审查 .
2. 控制对数据和系统地物理和逻辑访问 汽车防盗装置.
3. 访问授权以 “必需知道 ”和“最小授权 ”为原则 .
个人收集整理 勿做商业用途
气雾阀
4. 审批和授权 .
5. 验证和调节 .
第十八条 商业银行应建立持续地信息科技风险计量和监测机制,其中应包 括:
( 一 ) 建立信息科技项目实施前及实施后地评价机制 .
钢木模板
( 二 ) 建立定期检查系统性能地程序和标准 .
( 三 ) 建立信息科技服务投诉和事故处理地报告机制 .
( 四 ) 建立内部审计、外部审计和监管发现问题地整改处理机制 .
( 五 ) 安排供应商和业务部门对服务水平协议地完成情况进行定期审查 .
( 六 ) 定期评估新技术发展可能造成地影响和已使用软件面临地新威胁 .
( 七 ) 定期进行运行环境下操作风险和管理控制地检查 .
( 八 ) 定期进行信息科技外包项目地风险状况评价 .
第十九条 中资商业银行在设立地机构及境内地外资商业银行, 应当遵 守境内外监管机构关于信息科技风险管理地要求, 并防范因监管差异所造成地风 险. 个人收集整理 勿做商业用途
第四章 信息安全
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系, 商 业银行应使所有员工都了解信息安全地重要性, 并组织提供必要地培训, 让员工 充分了解其职责范围内地信息保护流程 . 个人收集整理 勿做商业用途
第二十一条 商业银行信息科技部门应落实信息安全管理职能 . 该职能应包 括建立信息安全
计划和保持长效地管理机制, 提高全体员工信息安全意识, 就安 全问题向其他部门提供建议, 并定期向信息科技管理委员会提交本银行信息安全 评估报告 . 信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护 计划 . 个人收集整理 勿做商业用途
信息安全策略应涉及以下领域:
( 一)安全制度管理 .
( 二) 信息安全组织管理 齿轮修复.
( 三)资产管理 .
( 四)人员安全管理 .
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议