第一篇:商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)
商业银行信息科技治理建设指导意见
(讨论稿)
第一章 总则
第一条 为规范商业银行信息科技治理,提高信息科技工作效率和风险管理水平,确保信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》,以及其他相关法律、法规,制定本指导意见(以下简称意见)。
第二条 信息科技治理是商业银行公司治理的重要组成部分,是商业银行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织结构、技术架构、运行机制和激励约束等。
第三条 商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构,明确决策和管理职责,优化资源配臵,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强商业银行核心竞争力和可持续发展能力。
第四条 本意见适用于在中华人民共和国境内依法设立的商业银行,包括国有商业银行、股份制商业银行、城市商业银行和外资银行。由中国银行业监督管理委员会(以下简称中国银监会)监督管理的其他金融机构参照执行。
第二章 组织结构
第五条 董事会是商业银行最高决策组织,在信息科技治理中履行以下职责:
(一)审查批准本行信息科技治理结构,定期听取高级管理层关于信息科技工作汇报并予以评价;
(二)审查批准信息科技战略规划,确保与银行总体业务发展战略规划和重大策略相一致;
(三)审查批准信息科技方面的重大项目和投资。为确保有效履行上述职责,董事会主要成员应对本行信息科技主要活动有所了解。
第六条 监事会是商业银行监督机构,在信息科技治理中应履行以下职责:
(一)对董事会、高级管理层履行信息科技职责的行为进行监督;
(二)对银行信息科技规划、决策、风险管理和内部控制等进行监督;
(三)对没有正确履行信息科技职责的高级管理人员,提出处罚建议。第七条 董事长是商业银行法定代表,在信息科技治理中履行以下职责:
(一)承担本机构信息科技风险管理的最终责任;
(二)召集、主持有关信息科技管理、风险防范和审计的董事会会议;
(三)督促、检查董事会制定的信息科技工作决议执行情况;
(四)落实其他应由董事长承担的信息科技工作。
第八条 行长依照董事会授权,领导信息科技工作,在信息科技治理中履行以下职责:
(一)确保信息科技所需资源投入,统筹信息科技重大项目建设;
(二)提请董事会聘任或者解聘首席信息官。授权首席信息官、相关职能部门从事信息科技管理活动,协调解决信息科技工作中的重大问题;
(三)领导、组织、协调信息科技管理委员会工作;
(四)在商业银行发生信息科技重大突发事件时,采取紧急措施,并向监管部门报告;
(五)负责其他信息科技工作的领导职责。
第九条 商业银行应设立由行长担任主任,首席信息官担任副主任的信息科技管理委员会,其成员应包括科技、风险、主要业务部门和相关综合部门负责人,必要时可聘请外部专业人士担任委员或顾问。信息科技管理委员会下设办事机构,办事机挂靠 信息科技部门或单独设立。
商业银行分支机构可参照总行设立相应组织。
第十条 信息科技管理委员会组成人员由行长和首席信息官提出具体人选,由管理层集体研究决定成立,相关材料报监管部门备案。
第十一条
信息科技管理委员会成员需掌握信息科技政策和流程基本知识,并能够在其负责的领域进行决策。信息科技管理委员会职责包括但不限于:
(一)审议信息科技发展战略规划并提交董事会审批,确保信息科技发展规划和业务发展规划保持一致;
(二)审查批准信息科技建设指导原则、技术架构和主要信息科技工作制度;
(三)审议信息科技年度工作计划及预算;
(四)审议重大科技项目的立项、预算和实施,并确定重大项目的优先级;
(五)审查批准重大信息科技运营、安全、业务连续性、应急管理相关事项;
(六)审查批准信息科技职业道德行为规范和全体人员信息科技教育事项;
(七)检查所拟订和审议事项的落实和执行情况,组织对信息科技重大事项结果进行评估;
(八)审阅并向中国银监会及其派出机构报送信息科技风险 管理的年度报告;
(九)审查其他有关信息科技工作的重大事项。
第十二条
商业银行要制定信息科技管理委员会的章程和工作制度,明确信息科技管理委员会的具体职责、议事规则和办事流程,规范管理。信息科技管理委员会每半年至少召开一次工作会议,有重大事项时要及时召开会。议审计部门负责人应列席信息科技管理委员会会议并发表独立意见。
第十三条 商业银行设立首席信息官,在行长领导下开展工作,其职责包括:
(一)组织制定信息科技发展战略规划,确保符合银行总体业务发展战略和风险管理策略;
(二)组织制定科技建设指导原则、技术架构和信息科技运行管理机制,确保制定的科技建设指导原则清晰、准确,技术架构科学、合理,信息科技运行机制全面、高效;
(三)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构;
(四)组织制定信息安全目标、策略、方针及实施计划,并组织落实;
(五)协助行长主持信息科技管理委员会日常工作,督促落实信息科技管理委员会通过的决议;
(六)参与全行业务发展重大事项和需信息技术支撑的重要业务决策;
(七)向信息科技管理委员会或受行长委托向董事会汇报信息科技工作,确保信息科技管理委员会、董事会拥有充分的信息做出信息科技领域的重大决策;
(八)组织制定信息科技年度工作计划及预算;
(九)履行信息科技管理其他管理工作。
第十四条
首席信息官拟任人选应符合高管人员任职资格基本条件。
第十五条
首席信息官由行长提名,董事会批准,按照中国银监会行政许可事项有关规定报监管部门任职资格许可后,由董事会任命。
第十六条
商业银行应建立与业务相适应的信息科技部门,根据工作需要可设立软件开发、运行维护和数据中心等部门,由信息科技部门统一协调和指导。
商业银行分支机构按照职责分离的原则设臵相应的信息科技管理部门或岗位。
第十七条
信息科技部门的主要职责是:
(一)根据全行的发展战略,在首席信息官领导下拟订信息科技发展战略规划、年度工作计划和年度预算;
(二)负责建立科技管理制度,确定科技建设标准,规范科技工作流程,明确科技岗位职责;
(三)负责科技项目的技术可行性审查和生命周期内的管理和实施,合理配臵科技资源,提高项目质量和效率;
(四)加强生产运行管理,提高信息系统运行的稳定性和连续性;
(五)制定本行信息安全政策、安全制度和安全策略,通过严格内控、加强监督等有效措施,确保本行信息科技工作规范运行、信息资产安全可靠和信息系统持续稳定;
(六)制定知识产权保护制度和策略,并组织落实;
(七)负责科技队伍建设、管理和业务考核工作;
(八)组织对外部技术和设备供应商的资质和服务品质评审,对外包科技人员进行管理;
(九)组织对信息科技工作进行自我评估,并采取措施对评估发现的风险隐患和薄弱环节进行改进;
(十)配合风险管理、审计和监管部门开展工作,根据风险管理、审计部门提出的风险控制建议和审计建议,制定信息科技风险防控技术方案和整改方案,采取相应的技术措施,将风险降至可接受范围;
(十一)其他信息科技相关工作。
第十八条 国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原则上不低于2.5%,城市商业银行和其他地方法人机构这一比例原则上不低于3%,至少不得少于3人。科技人员中负责内控和风险防范人员原则上不低于5%。
商业银行分支机构应根据系统开发量、网点数量增配相适应的科技人员。第十九条
信息科技人员应当具备相应的专业从业资格:
(一)具备大专以上学历,掌握信息科技相关专业知识,熟悉银行业信息科技工作,对金融知识有一定的了解;
(二)主要管理人员和项目负责人要具备银行信息科技工作经验三年以上;
(三)具有勤奋、钻研和廉洁的职业操守,且从业以来无不良记录。
第二十条
商业银行及其分支机构应在信息科技部门之外指定一个部门负责信息科技风险管理工作,主要职责是:
(一)将信息科技风险纳入全行风险管理范围内,负责组织制定信息科技风险管理总体规划;
(二)审查各个部门和各个环节的信息科技风险管理制度和控制流程,评价制度的执行情况;
(三)识别、评估和检查重要部门和重点环节的信息科技风险状况;
(四)对重要科技项目的各个阶段进行科技风险评审;
(五)负责本行业务连续性和应急管理组织工作,定期组织相关部门进行业务影响性分析和应急演练,并对应急预案进行完善;
(六)对全行员工进行持续的信息科技风险教育;
(七)依据有关法律法规的要求,及时披露信息科技风险状况。第二十一条
信息科技风险管理人员数量原则上按照科技人员数量的3%配备,至少不得少于2人。
第二十二条 信息科技风险管理人员应当具备相应的专业从业资格:
(一)信息科技风险管理人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融风险管理制度;
(二)具备两年以上金融信息科技工作从业经验,风险管理项目负责人应同时具备从事风险管理工作两年以上;
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十三条 商业银行及其分支机构应在内部审计部门设立负责信息科技风险审计的部门或岗位。其主要职责是:
(一)制定信息科技审计制度、标准、计划;
(二)实施信息科技审计计划,检查信息科技内控机制和应用控制的有效性;
(三)根据信息科技工作需要,对特殊事项进行专项审计;
(四)负责信息科技外部审计相关事宜;
(五)根据内外部审计结果,对信息科技工作中的问题提出整改意见,并督促落实。
第二十四条 信息科技风险审计人员数量原则上按照科技人员数量的5%配备,至少不得少于2人。第二十五条 信息科技风险审计人员应当具备相应的专业从业资格:
(一)信息科技风险审计人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融内部控制制度。
(二)具备两年以上金融信息科技工作从业经验,审计项目负责人应同时具备从事审计工作两年以上。
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十六条 商业银行及其分支机构应对各业务部门的信息科技管理职责进行明确界定,包括但不限于以下内容:
(一)根据业务发展计划,提出系统需求计划,并与信息科技部门进行沟通;
(二)按标准的业务需求范式编制业务需求;
(三)负责本部门申请的科技项目的测试和验收;
(四)建立相关制度和流程,加强对信息系统使用管理,严格用户权限和密码管理,加强对应用系统的访问控制;
(五)加强本部门员工教育,督促本部门员工遵守信息科技相关制度和操作规程。
第三章 规划与架构 第二十七条 商业银行应根据业务发展战略规划,制定本行信息科技战略规划,明确本行信息科技发展方向,指导本行信息科技工作。
第二十八条 信息科技发展战略规划应包含以下内容:
(一)信息科技发展战略规划与业务发展战略规划的衔接关系;
(二)信息科技发展战略规划的主要内容和具体措施;
(三)确保信息科技发展战略规划得到落实的具体工作安排和责任落实;
(四)信息科技发展战略规划实施的评估、评价机制与完善措施;
(五)其他与信息科技发展规划相关内容。
第二十九条 商业银行应根据信息科技战略规划制定完整、清晰的技术架构,明确信息技术建设和运用的基本思路,要通过数据、流程、技术的标准化和一体化工作,规范数据格式、系统平台、基础设施和业务应用,科学规划数据架构、应用架构、基础架构和安全框架。
第三十条 商业银行应建立技术架构管理制度,落实技术架构管理职责,明确技术架构制订、完善和实施流程,加强对技术架构的管理。
第三十一条 数据是商业银行信息系统管理的重要资源,应建立统一、规范的数据架构,通过有效的数据架构管理,准确、及 时反映业务架构的本质。
第三十二条 数据架构的设计,至少应达到以下要求:
(一)数据架构设计应科学合理,匹配和适应银行自身业务发展规划的要求;
(二)建立数据标准化制度,为每一个数据元素提供唯一的定义和特征集;
(三)业务运作状况要通过银行信息系统中的数据真实、准确、及时地反映出来的;
(四)业务数据要体现安全、可用、有效共享和唯一加工点的要求,关键业务数据要集中处理;
(五)保障数据信息的安全、保密,防止内外部攻击;
(六)避免和减少不必要的数据冗余;
(七)综合考虑数据存储量、数据增长速度和存储技术,做好数据存储和备份工作;
(八)对信息的使用特别是与银行以外的第三方机构的数据交流和共享要有严格的授权管理;
(九)境内客户信息及所有交易记录存放在中国境内,未经授权不得向境外机构提供。
第三十三条 商业银行应制定明确的应用架构,以适应业务发展和风险管理的要求,清晰地反映各类业务的处理流程,满足业务风险控制和安全经营的需要。
第三十四条 应用架构设计,至少应达到以下要求:
(一)商业银行应建立统一的应用架构,规范本行应用系统开发、推广和使用等系统生命周期管理;
(二)信息系统建设应适应业务和管理发展的要求,具备良好的可扩展性和灵活性;
(三)采取措施保证应用系统安全稳定运行,满足业务控制的需要;
(四)关键信息系统应采用集中管理模式,不断提升信息系统的集约化管理水平;
(五)信息系统必须满足统一身份鉴别、访问控制、安全审计、数据安全、交易安全、软件容错、资源控制、性能容量控制等方面的安全规范要求;
(六)商业银行要拥有对关键业务系统开发、管理和运行维护的主导权,拥有主要业务系统、系统数据和系统关键设备的所有权;
(七)处理客户信息和交易记录的系统在中国境内独立运行,由国内机构全权管理和维护。
第三十五条 基础架构是保证数据架构和应用架构得以实施的重要手段,商业银行应明确建立包括基础设施、支持平台和系统开发在内的基础架构。
第三十六条 基础架构设计,至少应达到以下要求:
(一)基础架构的设计和实现,必须做到统一规划、统一标准和科学布局,具备安全、可靠、灵活和经济的特点,满足业务 增长和创新的需要;
(二)基础设施和与之相整合的服务不仅要保证现有应用系统安全、持续、稳健运行,也能为本行迅速采用新的业务应用系统提供具有成本效益的服务;
(三)定期或有重大变化时对基础架构进行评估,保证基础架构的适应性和合理性;
(四)应按照有关规定,依据资产规模和经营范围决定建立全国性、区域性或地方性数据处理中心和灾难备份中心,实施主要系统和数据分等级灾备,提高业务连续运作和抵御风险能力;
(五)要根据系统等级和业务经营范围,明确计算机机房建设标准,所建计算机机房要符合国家和行业有关标准;
(六)网络建设要采用成熟技术,具有安全、灵活、经济和易管理等特征,主要网络接入要有必要的备份和带宽冗余;
(七)主要硬件设备,应与本行业务发展规划相适应,满足未来一定时期内业务量增长的需求,符合高可用性和高扩展性原则;
(八)在基础架构中要充分考虑在银行机构与客户的接触点和渠道方面对客户信息的保护,确保相关信息系统安全、可靠运行;
(九)存放客户信息、交易记录和相关信息系统的设备存放中国境内,由境内机构和人员全权管理和维护。
第三十七条 商业银行要从安全角度审查本行技术架构,建立 统一、高效、符合本行信息系统发展水平的信息安全架构,为系统架构提供所需要的安全服务,为安全设施部署提供依据。
第三十八条 安全架构设计应该以风险为导向,与本行的安全策略相吻合,通过建立安全组织、安全方针、安全制度和安全策略降低整个企业的信息技术风险。
第三十九条 安全架构的设计和建立使得信息科技安全工作至少达到以下要求:
(一)客户信息和银行业务数据在处理、保存、传输和使用整个过程中安全、可靠和完整;
(二)信息系统所涉及物理环境、核心设备和关键基础平台安全有效;
(三)关键网络系统安全、高效、可靠;
(四)采用多种技术措施,使本行信息和系统具备抵御外部威胁和干扰能力;
(五)确保内部信息不被泄露;
(六)确保安全因素在系统设计和建设的每个阶段都被详细考虑;
(七)消除整体安全架构中的单个故障点。
第四章 工作机制
第四十条 商业银行应建立科学、高效的信息科技运行管理制 度,规范信息科技管理、风险防范和审计工作运行机制,提高信息科技工作效率和风险防范水平。
第四十一条 商业银行信息科技运行管理制度应理顺以下单位和部门之间运行机制和办事流程:
(一)科技部门、风险管理部门、审计部门和主要业务部门之间的管理运行机制和办事流程;
(二)信息科技内部管理、开发、运维等内设部门和岗位运行机制和办事流程;
(三)总行及其分支机构在信息科技管理、风险防范和审计工作中的运行机制和办事流程。
第四十二条 商业银行应加强上级行对下级行信息科技管理、风险防范和审计工作的管理、协调和指导工作。
第四十三条 商业银行应建立清晰、有效的信息科技决策管理制度,明确信息科技决策内容和相关领导、部门在信息科技决策中的角色和职责。
第四十四条 商业银行信息科技决策管理制度应至少涵盖以下内容:
(一)信息科技发展战略规划、技术架构和信息科技年度工作计划制定、审阅和审批决策流程;
(二)信息科技项目管理流程及业务、科技、风险管理和审计等部门在项目决策中的职责、分工和路径;
(三)科技建设经费审批流程;
(四)信息安全管理流程及相关部门职责;
(五)重大事项和突发事件管理和处臵决策流程;
(六)信息科技资源配臵决策流程。
第四十五条
商业银行应建立规范、高效的信息科技服务运行机制,明确服务内容、方式,确保科技部门与业务部门之间、上级行与下级行之间有明晰的科技服务流程,不断提高信息科技服务水平。
第四十六条 商业银行应建立信息科技服务外包机制,明确信息科技外包范围、内容、方式,加强外包过程中外包单位评估和引进工作,规范对外包单位的管理。
第四十七条 商业银行应建立全面、有效的信息科技风险管理制度,确保信息科技平稳、安全、高效运行。
第四十八条 商业银行信息科技风险管理制度应至少涵盖以下内容:
(一)建立信息技术业务连续性保障机制。风险管理部门组织信息科技部门和相关业务部门开展业务影响性分析,制定业务连续性计划和应急预案,定期组织演练,并对演练效果进行后评价,及时修改和完善业务连续计划和应急预案;
(二)建立信息科技安全运行保障机制。风险管理部门应督促科技部门和业务部门制定重要信息系统操作管理规范,并督促执行;
(三)建立信息科技风险评估预警机制。制定合理的预警指 标体系,建立监控系统,完善预警程序和措施;
(四)建立信息科技重大事项处理机制。重大事项经首席信息官批准后,信息科技部门按有关规定报监管部门,并组织实施;
(五)建立明晰的信息科技突发事件应急处臵机制。按银监会《银行业重要信息系统突发事件应急管理规范》的规定,做好突发事件处臵工作。
第四十九条 商业银行应建立信息科技审计制度,明确审计范围和审计内容,定期对信息科技工作开展内部审计,每个机构的审计间隔期不得超过三年。
上市银行应按有关规定组织开展信息科技外部审计。
第五十条 商业银行应加强对信息科技绩效管理,确保信息科技推动业务发展,为商业银行增加价值。
第五十一条 商业银行应按照知识产权相关法律法规,制定信息科技知识产权保护策略和制度,禁止侵权盗版,采取有效措施保护本机构自主知识产权。
第五章 激励约束
第五十二条 商业银行应建立一套包括职位晋升、薪酬晋级在内的信息科技激励机制,激励机制应与信息科技运行效率、风险控制目标等相联系,保证科技队伍的稳定。
第五十三条 商业银行信息科技管理委员会应制定科学的价 值评估办法和考核指标,每年组织对信息科技工作进行评估,并建立以科技工作评估结果为依据的奖励制度。
第五十四条
商业银行应建立信息科技问责制,对不履行信息科技职责或违反信息科技管理法律、法规的人员进行问责和惩处,确保信息科技管理和风险防范目标的实现。
第六章 监管措施
第五十五条 中国银监会及其派出机构负责对商业银行信息科技治理进行监管。
第五十六条 新设立的银行机构,向监管部门报送开业申请时,应同时报送信息科技治理建设方案、信息科技发展规划、信息技术架构、信息科技管理制度等资料,经审查后,才能批准开业。本意见公布前已经设立的商业银行,按本意见的要求完善信息科技治理结构和机制,向监管部门报备相关资料。
第五十七条 商业银行首席信息官纳入高级管理人员任职资格管理范围,由中国银监会及其派出机构依法核准或取消任职资格。
第五十八条 中国银监会及其派出机构依法对商业银行信息科技治理实施非现场监管和现场检查。商业银行按要求向监管部门报送非现场监管资料、配合开展现场检查。
第五十九条
商业银行向监管部门报送的信息科技管理年度 报告中应包括信息科技治理工作情况,当信息科技治理结构、技术架构和制度发生重大变化或发生与信息科技治理相关的重大事项时,要及时向监管部门报告。
第六十条 商业银行信息科技出现重大风险,监管部门依据相关法律、法规对相关机构和人员做出行政处罚。
第七章 附则
第六十一条 本意见由中国银监会负责解释。第六十二条 本意见自公告之日起实施。
第二篇:《商业银行公司治理指引》(征求意见稿)
《商业银行公司治理指引》
(征求意见稿)
第一章 总则
第一条 为进一步完善商业银行公司治理,促进商业银行稳健经营和健康发展,保护存款人和其他利益相关者的合法权益,根据《中华人民共和国公司法》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和其他相关法律、法规,制定本指引。
第二条 中华人民共和国境内经银行业监督管理部门批准设立的商业银行、经国务院批准实行股份制改革的金融资产管理公司适用本指引。
第三条 本指引所称的商业银行公司治理是指股东大会、董事会、监事会、高级管理层、股东及其他利益相关者之间的相互关系,包括组织架构、职责边界、履职要求等治理制衡机制,以及决策、执行、监督、激励约束等治理运行机制。
第四条
商业银行公司治理应遵循各治理主体独立运作、有效制衡、相互合作、协调运转的原则,建立合理的激励、约束机制,科学、高效地进行决策、执行和监督。
第五条 各治理主体应由具备良好的专业背景、业务技能、职业操守和从业经验的人员组成,并在以下方面得到充分体现:
(一)确保商业银行依法合规经营;
(二)确保商业银行培育审慎的信贷文化;
(三)确保商业银行履行良好的社会责任;
(四)确保商业银行保护金融消费者的合法权 益。
第六条 各治理主体及其成员依法享有权利和承担义务,共同维护商业银行整体利益,不应损害商业银行利益或将自身利益凌驾于商业银行利益之上。
第七条 商业银行良好公司治理应当至少包括以下内容:
(一)健全的组织架构;
(二)清晰的职责边界;
(三)科学的发展战略、价值准则与良好的社会 责任;
(四)有效的风险管理与内部控制;
(五)合理的激励约束机制;
(六)完善的信息披露制度。
第八条 商业银行章程是银行公司治理的基本文件,对股东大会、董事会、监事会、高级管理层的组成、职责和议事规则等做出制度安排,并载明有关法律法规要求在章程中明确规定的其他事项。
商业银行应当制定章程并根据自身发展及相关法律法规要求及时修改完善章程。
第二章 公司治理架构 第一节 股东和股东大会
第九条 股东应当依法对商业银行履行诚信义务,确保提交的股东资格资料真实、完整、有效。主要股东还应完整、及时、准确地向董事会披露关联方情况,并承诺当关联关系发生变化时及时向董事会报告。
本指引所称主要股东是指能够直接、间接、共同持有或控制商业银行百分之五以上股份或表决权以及对商业银行决策有重大影响的股东。
第十条 股东特别是主要股东应当严格按照法律、法规、规章及商业银行章程行使出资人权利,不应谋取不当利益,不应干预董事会、高级管理层根据章程享有的决策权和管理权,不应越过董事会和高级管理层直接干预商业银行经营管理,不应损害商业银行利益和其他利益相关者合法权益。
第十一条 股东特别是主要股东应支持银行董事会制定合理的资本规划,使银行资本持续地满足监管要求。当银行资本不能满足监管要求时,应制定资本补充计划使资本充足率限期内达到监管要求,逾期没有达到监管要求,应当降低分红比例甚至停止分红,并通过增加核心资本等方式补充资本。主要股东不应阻碍其它股东对银行补充资本或合格的新股东进入。
第十二条 主要股东应以书面形式作出资本补充和流动性支持的长期承诺,并作为商业银行资本规划和流动性应急计划的一部分。
第十三条 股东获得本行授信的条件不得优于其他客户同类授信的条件。
第十四条 商业银行不得接受本行股票为质押权标的。股东特别是主要股东需以本行股票为自己或他人向本行以外的金融机构担保的,应当事前告知本行董事会。
股东在本行借款余额超过其持有经审计的上一股权净值,不得将本行股票进行质押。
商业银行应当在章程中规定,股东特别是主要股东在本行授信逾期时,应对其在股东大会和派出董事在董事会上的表决权进行限制。
第十五条 股东应严格按照法律、法规、规章及商业银行章程规定的程序提名董事、监事候选人。
同一股东不得同时提名董事和监事人选;同一股东提名的董事(监事)人选已担任董事(监事)职务,在其任职期届满前,该股东不得再提名监事(董事)候选人。因特殊股权结构需要豁免的,应当向银行业监督管理部门提出申请,并说明理由。
同一股东及其关联人提名的董事原则上不得超过董事会成员总数的三分之一。
第十六条 股东大会依据《公司法》和商业银行章程行使职权。
第十七条 股东大会会议包括年会和临时会议。股东大会年会应由董事会召集,并应在每一会计结束后六个月内召开。因特殊情况需延期召开的,应向银行业监督管理部门报告,并说明延期召开的事由。
股东大会会议应当实行律师见证制度,并由律师出具法律意见书。法律意见书应当对股东大会召开程序、出席股东大会的股东资格、股东大会决议内容等事项的合法性发表意见。
股东大会的会议议程和会议议题应当由董事会依法、公正、合理地进行安排,确保股东大会能够对每个议题进行充分的讨论。
第十八条 股东大会议事规则由商业银行董事会负责制定,并经股东大会审议通过后执行。
股东大会议事规则包括通知、提案机制、召开方式、文件准备、表决形式、会议记录及签署、关联股东的回避等。
第二节 董事会
第十九条 董事会对股东大会负责,对商业银行经营和管理承担最终责任,除依据《公司法》等法律法规和商业银行章程行使职责外,董事会在履行职责时还应特别关注:
(一)制定商业银行经营发展战略并监督战略实施;
(二)制定商业银行风险容忍度、风险管理和内部控制政策;
(三)制定资本规划,承担资本充足率管理最终责任;
(四)定期评估并完善商业银行公司治理;
(五)负责商业银行信息披露,并对商业银行会计和财务报告的真实性、准确性、完整性和及时性承担最终责任;
(六)监督并确保高级管理层有效履行管理职责;
(七)关注和维护存款人和其他利益相关者利益;
(八)关注银行与股东特别是主要股东之间的利益冲突,建立利益冲突识别、审查和管理机制等。
第二十条 商业银行应根据其规模和业务状况,确定合理的董事会人数及构成。
第二十一条 董事会由执行董事和非执行董事(包括股权董事、独立董事)组成。
执行董事是指在商业银行担任除董事职务外的其他高级经营管理职务的董事。
非执行董事是指在商业银行不担任经营管理职务的董事。独立董事是指不在商业银行担任除董事以外的其他职务,并与所聘商业银行及其主要股东不存在任何可能影响其进行独立、客观判断关系的董事。
第二十二条 董事会应根据商业银行情况单独或合并设立其专门委员会,如战略委员会、审计委员会、风险管理委员会、关联交易控制委员会、提名委员会、薪酬委员会等。
战略委员会负责制定商业银行经营管理目标和长期发展战略,监督、检查经营计划、投资方案的执行情况。
审计委员会负责检查商业银行风险及合规状况,会计政策、财务状况和财务报告程序;负责商业银行审计工作,并就审计后的财务报告信息真实性、准确性、完整性和及时性作出判断性报告,提交董事会审议。
风险管理委员会负责监督高级管理层关于资本和信用风险、流动性风险、市场风险、操作风险、合规风险和声誉风险等风险的控制情况,对商业银行风险政策、管理状况及风险承受能力进行定期评估,提出完善商业银行风险管理和内部控制的意见。
关联交易控制委员会负责关联交易的管理、审查和批准,控制关联交易风险。
提名委员会负责拟定董事和高级管理层成员的选任程序和标准,对董事和高级管理层成员的任职资格进行初步审核,并向董事会提出建议。
薪酬委员会负责审议全行薪酬管理制度和政策,拟定董事和高级管理层的薪酬方案,并向董事会提出薪酬方案建议,监督方案实施。
第二十三条 董事会专门委员会向董事会提供专业意见或根据董事会授权就专业事项进行决策。
各相关专门委员会应当定期与高级管理层及部门交流商业银行经营和风险状况,并提出意见和建议。
第二十四条 各专门委员会成员应当具有与专门委员会职责相适应的专业知识和工作经验,各专门委员会负责人原则上不宜兼任。提名委员会、薪酬委员会、关联交易控制委员会、审计委员会应当由独立董事担任负责人,其中关联交易控制委员会、审计委员会中独立董事原则上应占半数以上。
审计委员会成员应当具有财务、审计和会计等某一方面的专业知识和工作经验。风险管理委员会负责人应具有对各类风险进行判断与管理经验,并能理解和解释商业银行已使用的风险管理模型。
第二十五条 董事会设董事长一人,可以设副董事长。董事长和副董事长由董事会以全体董事过半数选举产生。
商业银行董事长和行长应当分设,董事长不得由控股股东法定代表人或主要负责人兼任;商业银行董事长和行长原则上不得兼任下设公司董事长。因特殊情况需要豁免的,应向银行业监督管理部门申请核准,并说明理由。
第二十六条 董事会例会每年至少应当召开四次。董事会临时会议的召开程序由商业银行章程规定。
第二十七条 董事会应当制定内容完备的董事会议事规则,包括通知、文件准备、召开方式、表决形式、提案机制、会议记录及其签署、董事会授权规则等,并报股东大会审议通过。
董事会议事规则中应包括各项议案的提案机制和程序,明确各治理主体在提案中的权利和义务。在会议记录中明确记载各项议案的提案方。
第二十八条 董事会各专门委员会议事规则和工作程序由董事会制定。各专门委员会应制定工作计划并定期召开会议。
第二十九条 董事会会议应有过半数董事出席方可举行。董事会做出决议,必须经全体董事过半数通过。
董事会会议可采用会议表决(包括视频会议)和通讯表决两种表决方式,实行一人一票。
商业银行章程或董事会议事规则应对董事会采取通讯表决的条件和程序进行规定。董事会会议采取通讯表决方式时应说明理由。
商业银行章程应当规定,利润分配方案、重大投资、重大资产处臵方案、聘任或解聘高级管理人员、资本补充方案、重大股权变动以及财务重组等重大事项不应采取通讯表决方式,应当由董事会三分之二以上董事通过。
第三十条 董事会召开董事会会议,应当事先通知监事会派员列席。
董事会在履行职责时,应当充分考虑外部审计机构的意见。第三十一条 银行业监督管理部门对商业银行的监管意见及商业银行整改情况应当在董事会上予以通报。
第三节 监事会
第三十二条 监事会是商业银行的监督机构,对股东大会负责,除依据《公司法》等法律法规和商业银行章程行使职责外,监事会在履行职责时还应特别关注:
(一)监督董事会确立稳健的经营理念、价值准则和制定符合本行实际的发展战略;
(二)定期对董事会制定的发展战略科学性、合理性和有效性进行评估,形成评估报告;
(三)对本行经营决策、风险管理和内部控制等进 行监督检查并督促整改;
(四)对董事及独立董事的选聘程序进行监督;
(五)对董事、监事和高级管理人员履职情况进行 综合评价;
(六)对全行薪酬管理制度和政策及高级管理人员 薪酬方案的科学性、合理性进行监督;
(七)定期与银行业监督管理部门沟通商业银行情 况等。
第三十三条 监事会由职工代表出任的监事、股东大会选举的外部监事和股东代表监事组成。
外部监事与商业银行及其主要股东之间不应存在影响其独立判断的关系。
第三十四条 监事会可根据情况设立提名委员会和监督委员会。
提名委员会负责拟订监事的选任程序和标准,对监事候选人的任职资格进行初步审核,并向监事会提出建议;对董事及独立董事的选聘程序进行监督;对董事、监事和高级管理人员履职情况进行综合评价并向监事会报告;对全行薪酬管理制度和政策及高级管理人员薪酬方案的科学性、合理性进行监督。
提名委员会应当由外部监事担任负责人。
监督委员会负责拟订对本行财务活动的监督方案并实施相关检查,监督董事会确立稳健的经营理念、价值准则和制定符合本行实际的发展战略,对本行经营决策、风险管理和内部控制等进行监督检查。
第三十五条 监事会主席(监事长)应由专职人员担任,且至少应当具有财务、审计、金融、法律等某一方面专业知识和工作经验。
第三十六条 监事会应当制定内容完备的监事会议事规则,包括通知、文件准备、召开方式、表决形式、会议记录及其签署等。监事会例会每年至少应当召开四次。监事会临时会议召开程序由商业银行章程规定。
第三十七条 监事会在履职过程中有权要求董事会和高级管理层提供信息披露、审计等方面的必要信息。监事会认为必要时,可以指派监事列席高级管理层会议。
第三十八条 监事会可以独立聘请外部机构就相关工作提供专业协助。
第四节 高级管理层 第三十九条 高级管理层由行长、副行长、财务负责人、董事会秘书及监管部门认定的其它高级管理人员组成。
第四十条 高级管理层根据商业银行章程及董事会授权开展经营管理活动,确保银行经营与董事会所制定批准的发展战略、风险偏好、各项政策流程和程序相一致。
高级管理层对董事会负责,同时接受监事会监督。高级管理层依法在其职权范围内的经营管理活动不应受干预。
第四十一条 高级管理层应当建立向董事会及其专门委员会、监事会及其专门委员会信息报告制度,明确信息的种类、内容、时间和方式等,确保董事、监事能够及时、准确地获取各类信息。
第四十二条 高级管理层应当建立和完善各项会议制度,并制定相应议事规则。
第四十三条 行长依照法律、行政法规、商业银行章程及董事会授权,行使有关职权。
第三章 董事、监事、高级管理人员
第一节 董事
第四十四条 商业银行应制定规范、公开的董事选举程序,经股东大会批准后实施。
第四十五条 董事提名及选举的一般程序为:
(一)在商业银行章程规定的董事会人数范围内,按照拟选任人数,可以由上一届董事会提名委员会提出董事候选人名单;单独或者合计持有商业银行发行的有表决权股份总数百分之三以上股东可以向董事会提出董事候选人;
(二)董事会提名委员会对董事候选人的任职资格和条件进行初步审核,合格人选提交董事会审议;经董事会审议通过后,以书面提案方式向股东大会提出董事候选人;
(三)董事候选人应在股东大会召开之前做出书面承诺,同意接受提名,承诺公开披露的资料真实、完整并保证当选后切实履行董事义务;
(四)董事会应当在股东大会召开前依照法律、法规和商业银行章程规定向股东披露董事候选人详细资料,保证股东在投票时对候选人有足够的了解;
(五)股东大会对每位董事候选人逐一进行表决;
(六)遇有临时增补董事,由董事会提名委员会或符合提名条件的股东提出,股东大会予以选举或更换。
第四十六条 独立董事提名及选举程序还应遵循以下原则:
(一)董事会提名委员会、单独或者合计持有商业银行发行的有表决权股份总数百分之一以上股东可以向董事会提出独立董事候选人,已经提名董事的股东不得再提名独立董事。
(二)被提名的独立董事应由董事会提名委员会进行资质审查,审查重点包括独立性、专业知识、经验和能力等;
(三)独立董事的选聘应主要遵循市场原则。第四十七条 董事应当符合银行业监督管理部门所规定的任职条件,董事任职资格须经银行业监督管理部门审核。
董事任期由商业银行章程规定,但每届任期不得超过三年。董事任期届满,连选可以连任。独立董事在同一家商业银行任职时间累计不得超过六年。
第四十八条 董事依法有权了解商业银行的各项业务经营情况和财务状况,并对其他董事和高级管理层成员履行职责情况实施监督。
第四十九条 董事对商业银行负有忠实和勤勉义务。董事应当按照相关法律、法规、规章及商业银行章程的要求,认真履行职责。
第五十条 董事不可以在可能发生利益冲突的金融机构兼任董事,如在其他金融机构任职,应事先告知商业银行,并承诺上述职务之间不存在利益冲突。
独立董事不应在超过两家商业银行同时任职。
第五十一条 董事应当投入足够的时间履行职责。董事应当每年亲自出席至少三分之二以上的董事会会议。
董事因故不能出席,可以书面委托同类别其他董事代为出席。
董事在董事会会议上应当独立、专业、客观地发表意见。第五十二条 董事个人直接或者间接与商业银行已有或者计划中的合同、交易、安排有关联关系时,均应将关联关系的性质和程度及时告知董事会关联交易控制委员会,并且在审议相关事项时做必要的回避。
第五十三条 股权董事应当积极履行股东与商业银行之间的沟通职责,重点关注股东与商业银行关联交易情况并支持商业银行制定资本补充规划。
第五十四条 独立董事履行职责时应当对董事会审议事项发表客观、公正的独立意见,并重点关注以下事项:
(一)重大关联交易的合法性和公允性;
(二)利润分配方案;
(三)高级管理人员的聘任和解聘;
(四)可能造成商业银行重大损失的事项;
(五)可能损害存款人、中小股东和其它利益相关者利益的事项;
(六)外部审计师的聘任等。
第五十五条 独立董事每年在商业银行工作时间不得少于十五个工作日,担任审计委员会、关联交易委员会及风险管理委员会负责人的董事在商业银行工作时间不得少于二十五个工作日。
第五十六条 董事应按要求参加培训,了解董事的权利和义务,熟悉有关法律法规,掌握应具备的相关知识。
第五十七条 商业银行应规定董事在商业银行的最低工作时间,并建立董事履职档案,完整记录董事参加董事会会议次数、独立发表意见、建议及其被采纳情况等,作为对董事评价的依据。
第二节 监事
第五十八条 监事应当依照法律、法规、规章及商业银行章程规定,忠实履行监督职责。
第五十九条 监事和外部监事的提名及选举程序应参照董事和独立董事的提名及选举程序。
股东监事和外部监事由股东大会选举和罢免;职工代表出任的监事由银行职工民主选举产生或更换。
第六十条 监事任期每届为三年。监事任期届满,连选可以连任,外部监事在同一家商业银行任职时间累计不得超过六年。
第六十一条 监事应积极参加监事会组织的监督检查活动,依法有权进行独立调查、取证,并实事求是提出问题和监督意见。
第六十二条 监事应每年至少亲自出席三分之二的监事会会议。监事因故不能出席,可以书面委托同类别其他监事代为出席。监事连续两次未能亲自出席会议,也不委托其他监事出席监事会会议的,视为不能履职。
股东监事和外部监事每年在商业银行工作时间不得少于十五个工作日。
职工监事享有参与涉及员工切身利益的规章制度制定权利,并应积极参与其执行情况的检查。
第六十三条 监事可以列席董事会会议,对董事会决议事项提出质询或者建议,但不享有表决权。列席董事会会议的监事应当将会议情况报告监事会。
第六十四条 监事的薪酬应由股东大会审议确定,董事会不得干预监事薪酬标准。
第三节 高级管理人员
第六十五条 高级管理人员应通过银行业监督管理部门的任职资格审查。
第六十六条 高级管理人员应当遵循诚信原则,审慎、勤勉地在其职权范围内行使职权,不得为自己或他人谋取属于本商业银行的商业机会,不得接受与本商业银行交易有关的利益。
高级管理人员原则上不得在没有股权投资的其他经济组织兼职,在经银行业监督管理部门批准的银行附属机构兼职除外。
第六十七条 高级管理人员应当按照董事会要求,及时、准确、完整地向董事会报告有关本行经营业绩、重要合同、财务状况、风险状况和经营前景等情况。
第六十八条 高级管理人员应当接受监事会监督,定期向监事会提供有关本行经营业绩、重要合同、财务状况、风险状况和经营前景等情况信息,不得阻挠、妨碍监事会依职权进行的检查、审计等活动。
第六十九条 高级管理人员对董事会违反任免规定的行为,有权请求监事会提出异议,并向监管部门报告。
第四章 发展战略、价值准则和社会责任
第七十条 商业银行应兼顾股东、存款人和其他利益相关者利益,制定清晰的发展战略和良好的价值准则,并确保在全行得到有效贯彻。
第七十一条 商业银行发展战略应重点涵盖中长期发展规划、战略目标、经营理念、市场定位、资本管理和风险管理等方面的内容。
商业银行在关注总体发展战略基础上,还应重点关注人才战略和信息技术战略等配套战略。
第七十二条 商业银行发展战略由董事会负责制定并向股东大会报告。董事会在制定发展战略时应充分考虑商业银行所处的宏观经济形势、市场环境、风险承受能力和自身比较优势等因素,明确市场定位,突出差异化和特色化,不断提高商业银行核心竞争力。
第七十三条 董事会在制定资本管理战略时应充分考虑商业银行风险及其发展趋势、风险管理水平及承受能力、资本结构、资本质量、资本补充渠道以及长期补充资本的能力等因素,并督促高级管理层具体执行。
第七十四条 商业银行应制定中长期信息科技规划,建立健全管理组织和技术架构成熟、运行安全稳定、应用丰富灵活、管理科学高效的信息科技体系,并确保信息科技建设对商业银行业务和风险管控的有效支持。
第七十五条 商业银行应建立健全人才招聘、开发、评估、激励、使用和规划的科学机制,逐步实现人力资源配臵市场化,推动商业银行实现可持续发展。
第七十六条 商业银行董事会应定期对发展战略进行评估与审议,确保商业银行发展战略与经营情况和市场环境变化相适应。
监事会应对商业银行发展战略的制定、实施与评估进行监督。
高级管理层应在商业银行发展战略框架下制定科学合理的经营管理目标与计划。
第七十七条 商业银行应树立具有社会责任感的价值准则、企业文化和经营理念,以此激励全体员工更好地履职。
第七十八条 商业银行董事会负责核准包括董事会自身、高级管理层及全行员工应遵循的职业规范与公司价值准则。
高级管理层负责制定包括全行各部门管理人员和业务人员的行为规范,明确具体的问责条款,并建立相应处理机制。
第七十九条 商业银行应鼓励员工通过合法渠道对有关违法、违规和违反职业道德的行为予以报告,并充分保护员工合法权益。
第八十条 商业银行应当在经济、环境和社会公益事业等方面履行社会责任,积极配合国家宏观经济调控政策,并在制定发展战略时予以体现,同时定期向公众披露社会责任报告。
商业银行应支持国家产业政策和环保政策,保护和节约资源,促进社会可持续发展。
第八十一条 商业银行应遵守公平、安全、有序的行业竞争秩序,以优质的专业化经营,不断改进金融服务,保护金融消费者合法权益,持续为国家、股东、员工、客户和社会公众创造价值。
第五章 风险管理与内部控制
第一节 风险管理
第八十二条 商业银行董事会对银行风险管理承担最终责任。
商业银行董事会应根据银行风险状况、发展规模和速度,建立全面的风险管理战略、政策和程序,确定银行面临的主要风险、适当的风险限额和风险偏好,督促高级管理层有效地识别、计量、监测、控制并及时处臵商业银行面临的各种风险。
第八十三条 商业银行董事会及其风险管理委员会应定期听取高级管理层关于商业银行风险状况的专题报告,对商业银行风险水平、风险管理状况、风险承受能力进行评估,并提出全面风险管理意见。
第八十四条 商业银行应建立独立的风险管理部门,并确保该部门具备足够的职权、资源和与董事会进行直接沟通的渠道,保证其独立性。
商业银行应在人员数量和资质、薪酬和其它激励政策、信息科技系统访问权限、专门的信息系统建设以及商业银行内部信息渠道等方面给予风险管理部门必要的支持。
第八十五条 商业银行的风险管理部门应包括但不限于下列职责:
(一)对各项业务及各类风险进行持续、统一的监测、分析与报告;
(二)持续监控风险并测算与风险相关资本需求,及时向高级管理层和董事会报告;
(三)了解银行股东特别是主要股东的风险状况、集团架构对商业银行风险状况的影响和传导,定期进行压力测试,并制定应急预案;
(四)评估业务和产品创新、进入新市场以及市场环境发生显著变化时,给商业银行带来的风险。
第八十六条 商业银行可设立独立于操作和经营条线的首席风险官。
首席风险官负责商业银行的全面风险管理,并可直接向董事会及其专门委员会报告。
首席风险官应具备判断和影响商业银行整体风险状况的能力,并且具有完整、可靠、独立的信息来源。首席风险官的聘任和解聘由董事会负责并及时向公众披露。第八十七条 商业银行应在集团层面和单体层面分别对风险进行持续的识别和监控,风险管理的复杂程度应与自身风险状况变化和外部风险环境改变相一致。
商业银行应根据有关规定强化并表管理,董事会和高级管理层应负责商业银行整体及其子公司的全面风险管理,指导子公司做好风险管理工作,并在集团内部建立必要的防火墙制度。
第八十八条 商业银行被集团控股或作为子公司时,董事会和高级管理层应及时提示与要求集团或母公司,制定全公司全面发展战略和风险政策时充分考虑子商业银行的特殊性。
第二节 内部控制
第八十九条 商业银行董事会应当持续关注商业银行内部控制状况,建立良好的内部控制文化,监督高级管理层制定相关政策、程序和措施,对风险进行全过程管理。
第九十条 商业银行应建立健全内部控制责任制,确保董事会、监事会和高级管理层充分认识自身对内部控制所承担的责任。
董事会、高级管理层对内部控制的有效性分层负责,并对内部控制失效造成的重大损失承担责任;
监事会负责监督董事会、高级管理层完善内部控制体系和制度,履行内部控制监督职责。第九十一条 商业银行应当有效建立各部门之间的横向信息传递机制,以及董事会、高级管理层和各职能部门之间的纵向信息传递机制,确保董事会、监事会、高级管理层及时了解银行经营和风险状况,同时确保内控政策及信息向相关部门和员工的有效传递。
第九十二条 商业银行应当建立独立的内部控制监督与评价部门,该部门应对内部控制制度建设和执行情况进行有效监督与评价,并可直接向董事会、监事会和高级管理层报告。
第九十三条 商业银行应建立独立垂直的内部审计管理体系和与之相适应的内部审计报告制度和报告线路。
首席审计官和内部审计部门应定期向董事会和监事会报告审计工作情况,及时报送项目审计报告,并通报高级管理层。
首席审计官和审计部门负责人的聘任和解聘应由董事会负责。
第九十四条 商业银行应建立外聘审计机构制度。商业银行外聘审计机构除履行财务审计外,应对商业银行审计的公司治理、内部控制及经营管理状况进行评估,并向商业银行和银行业监督管理部门提交管理建议书。
第九十五条 董事会、监事会和高级管理层应有效利用内部审计部门、外部审计机构和内部控制部门的工作成果,及时采取相应纠正措施。
第六章 激励约束机制 第一节 董事和监事履职评价
第九十六条 商业银行应当建立健全对董事和监事的履职评价体系,明确董事和监事的履职标准,建立并完善董事和监事履职与诚信档案。
第九十七条 商业银行对董事和监事的履职评价应包括董事和监事自评、银行高级管理人员评价、董事会评价和监事会评价及外部评价等多个维度。
第九十八条 监事会负责对商业银行董事和监事履职的综合评价,报经股东大会批准后,向银行业监督管理部门报告最终评价结果。
银行业监督管理部门应当对商业银行董事和监事的履职评价进行监督。
第九十九条 董事会、监事会应分别根据董事和监事的履职情况提出董事和监事合理的薪酬安排并报股东大会批准。
第一百条 董事和监事除在履职评价的自评环节外,不应参与本人履职评价和薪酬相关的决定过程。
第一百零一条 董事和监事违反法律、法规或者商业银行章程,给商业银行造成损失的,商业银行应按规定向其问责,责令其承担赔偿责任。
第一百零二条 对于不能按照规定履职的董事和监事,商业银行董事会和监事会应及时提出处理意见并采取相应措施。第一百零三条 商业银行进行董事和监事履职评价时,应当充分考虑外部审计机构的意见。
第二节 高级管理人员绩效考核
第一百零四条 商业银行应建立与银行社会责任、企业文化、发展战略、风险管理、整体效益、岗位职责相联系科学合理的高级管理层激励约束机制。
第一百零五条 商业银行应建立公正透明的高级管理人员绩效考核标准、程序以及相应的薪酬机制。绩效考核的标准应体现保护存款人和投资人利益原则,确保银行短期利益与长期利益相一致。
第一百零六条 高级管理人员不应参与本人绩效考核标准和薪酬的决定过程。
第一百零七条 商业银行出现下列情形之一,应当严格限定高级管理人员绩效考核结果及其薪酬:
(一)资本充足率等主要监管指标没有达到监管要求;
(二)资产质量出现大幅下降;
(三)出现其他重大风险或盈利状况明显恶化。
第一百零八条 高级管理人员违反法律、法规或者商业银行章程,给商业银行造成损失的,商业银行应按规定向其问责,要求其承担赔偿责任。
第三节 银行薪酬机制
第一百零九条 商业银行应制定合理的薪酬机制,确保其充分体现各类风险与成本相抵扣、长期与短期激励相协调,人才培养和风险控制相适应,并有利于本行战略目标的实施和竞争力提升。
第一百一十条 商业银行应建立科学的绩效考核指标体系,并分解落实到具体部门和岗位,作为绩效薪酬发放的依据。
商业银行绩效考核指标应包括经济效益指标、风险成本控制指标和社会责任指标。
第一百一十一条 商业银行薪酬支付期限应与相应业务的风险持续时期保持一致,引入绩效薪酬延期支付和追索扣回制度,其中主要高级管理人员绩效薪酬应提高延期支付比例。
第一百一十二条 商业银行可根据国家有关规定制定本行中长期激励计划。
第一百一十三条 商业银行审计部门每年应对绩效考核及薪酬机制和执行情况进行专项审计,审计结果应向董事会和监事会报告,并报送银行业监督管理部门。
外部审计机构应将商业银行薪酬制度的设计和执行情况纳入审计范围。
第七章 信息披露
第一百一十四条 商业银行应当建立本行的信息披露管理制度,按照有关法律法规、会计制度和监管规定进行信息披露。
第一百一十五条 商业银行应当遵循真实性、准确性、完整性和及时性原则,规范地披露信息,不得存在虚假、误导和重大遗漏等。
商业银行信息披露应尽可能使用通俗易懂的语言。第一百一十六条 商业银行董事会负责本行的信息披露,信息披露文件包括定期报告、临时报告以及规定的其他文件。
第一百一十七条 商业银行定期披露的信息应包括:基本信息、财务会计报告、风险管理信息、公司治理信息、重大事项等。
第一百一十八条 商业银行披露的基本信息应包括但不限于以下内容:法定名称、注册资本、注册地、成立时间、经营范围、法定代表人、主要股东及其持股情况、董事、监事、高级管理人员简历、客服和投诉电话、各分支机构营业场所等。
第一百一十九条 商业银行披露的财务会计报告由会计报表、会计报表附注、财务情况说明书等组成。
商业银行应披露会计师事务所出具的审计报告。
第一百二十条 商业银行披露的风险管理状况信息应包括但不限于下列内容:
(一)信用风险、流动性风险、市场风险、操作风险、声誉风险和国别风险等各类风险状况;
(二)风险控制情况,包括董事会、高级管理层对风险的监控能力,风险管理的政策和程序,风险计量、监测和管理信息系统,内部控制和全面审计情况等。
(三)采用的风险评估及计量方法
商业银行应与外部审计机构就风险管理信息披露的充分性进行讨论。
第一百二十一条 商业银行披露的公司治理信息应包括:
(一)内召开股东大会情况;
(二)董事会构成及其工作情况;
(三)独立董事工作情况;
(四)监事会构成及其工作情况;
(五)外部监事工作情况;
(六)高级管理层构成及其基本情况;
(七)商业银行薪酬制度及当年董事、监事和高级管理人员薪酬;
(八)商业银行部门设臵和分支机构设臵情况;
(九)银行对本行公司治理的整体评价;
(十)银行业监督管理部门规定的其它信息。
第一百二十二条 商业银行披露的重大事项应包括但不限于下列内容:
(一)最大十名股东及报告期内变动情况;
(二)增加或减少注册资本、分立合并事项;
(三)其他重要信息。第一百二十三条 商业银行报告应包括本指引第一百一十七条规定的内容。
第一百二十四条 商业银行发生下列事项之一的,除经银行业监管部门豁免,应自事项发生之日起十个工作日内编制临时信息披露报告,并通过公开渠道发布:
(一)控股股东或者实际控制人发生变更;
(二)更换董事长或者行长;
(三)当年董事会累计变更人数超过董事会成员人数的三分之一;
(四)商业银行名称、注册资本或者注册地发生变更;
(五)经营范围发生重大变化;
(六)合并或分立;
(七)重大投资、重大资产处臵;
(八)重大诉讼或者重大仲裁事项;
(九)商业银行或者其分支机构受到行政管理部门的重大处罚;
(十)聘任、更换或者提前解聘会计师事务所;
(十一)银行业监督管理部门规定的其他事项。
第一百二十五条 商业银行应通过年报、互联网站等方式披露银行信息,并确保股东和利益相关者能够及时方便地获取所披露的信息。
第一百二十六条 商业银行董事、高级管理人员应当对定期报告签署书面确认意见,监事会应当提出书面审核意见,说明报告的编制和审核程序是否符合法律法规和监管规定,报告的内容是否能够真实、准确、完整地反映商业银行的实际情况。
董事、监事、高级管理人员对定期报告内容的真实性、准确性、完整性无法保证或者存在异议的,应当陈述理由和发表意见,并予以披露。
第一百二十七条 商业银行监事会应当对董事、高级管理人员履行信息披露职责的行为进行监督;关注公司信息披露情况,发现信息披露存在违法违规问题的,应当进行调查并提出处理建议,并将相关情况及时向银行业监督管理部门报告。
第八章 监督管理
第一百二十八条 银行业监督管理部门应将商业银行公司治理纳入法人监管体系中,并根据本指引全面评估商业银行公司治理的健全性和有效性,提出监管意见,督促商业银行完善公司治理。
第一百二十九条 银行业监督管理部门通过非现场监管和现场检查实施对商业银行公司治理的持续监管,具体方式包括风险提示、现场检查、监管通报、约见会谈、与内外部审计师会谈、任职资格审查和任前谈话、与政府部门及其他监管当局进行协作等。
第一百三十条 银行业监督管理部门可以派员列席商业银行股东大会、董事会、监事会和经营管理工作会等会议。商业银行召开上述会议时,应至少提前三个工作日通知银行业监督管理部门。
商业银行应将股东大会、董事会和监事会的会议记录和决议等文件及时报送银行业监督管理部门备案。
第一百三十一条 银行业监督管理部门应就公司治理监督检查评估结果与商业银行董事会、监事会、高级管理层进行充分沟通,并视情况将评价结果在银行董事会、监事会会议上通报。
第一百三十二条 商业银行不能满足银行业监督管理部门确定的公司治理要求时,银行业监督管理部门有权要求商业银行制定整改计划,并视情况采取监管措施。
第九章 附则
第一百三十三条 独资银行应参照本指引关于监事会和监事的规定在银行章程中对监事的权利和责任做出规定。本指引关于同一股东提名董事、独立董事和监事的限制性规定不适用于独资银行股东。
第一百三十四条 有限责任公司制商业银行应参照本指引关于股东大会、监事会和监事的规定在银行章程中对股东会、监事的权利和责任做出规定。
第一百三十五条 本指引中“以上”均含本数。
第一百三十六条 中国银行业监督管理委员会监管的其他金融机构参照执行,并应符合本指引所阐述的精神。
第一百三十七条 本指引由中国银行业监督管理委员会负责解释。
第一百三十八条 本指引自公告之日起施行。本指引施行前颁布的《国有商业银行公司治理及相关监管指引》、《股份制商业银行公司治理指引》、《股份制商业银行独立董事、外部监事制度指引》、《股份制商业银行董事会尽职指引》、《外资银行法人机构公司治理指引》和《进一步完善中小商业银行公司治理指导意见》同时废止。
第三篇:信息科技治理层面
信息科技治理层面
一、信息科技治理架构
1、信息科技治理机构的建立与履职(信息科技管理委员会)
2、首席信息官的设立与履职
3、是否指定信息科技风险的管理部门与管理职责
二、信息科技战略管理
1、是否建立了与企业战略相匹配的信息科技战略
2、信息科技战略是否经董事会审批
三、信息科技风险管理
1、是否制定全面的信息科技风险管理策略
2、是否制定持续的风险识别和评估流程
3、是否制定了信息科技风险管理制度、技术规范、操作规程等,并且定期进行更新和公示
4、是否建立了持续的信息科技风险计量和检测机制
5、是否把信息科技风险纳入全行全面风险管理框架,并且明确牵
头管理部门
四、信息科技的资源管理
1、信息科技的投资管理
2、信息科技的人力资源管理
3、信息科技的信息资产管理
五、
第四篇:商业银行信息科技风险管理指引
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息
(一)(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技 预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资
(二)(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险
第三章
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。
第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。4.5.第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。
第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。第四章 信息安全
第二十条 商业银行信息科技部门负责 建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
(一)(二)
(三)(四)
(五)(六)
(七)(八)
(九)(十)
(十一)第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)(二)
(三)(四)
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)(七)
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户
(四)(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控
第二十六条
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职
(二)(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提
(七)以书面或电子格式
(八)第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密
(一)(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)(四)
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。第五章
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。
第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的(一)
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活
第六章
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的第七章
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)(三)
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
23.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。第八章 外
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风
(二)(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不
(一)(二)银行业
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息
(四)(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包
1.商业银行或外包服务商的所2.3.第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资
(一)(二)
(三)(四)
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信
(六)第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的第六十四条
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控
(二)(三)
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门
第十章
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,第十一章 附
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指 商业银行信息科技风险管理指引 第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,第二条
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监
(十四)第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息
(一)(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一
(五)(六)
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资
(二)(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险
第三章
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领
(一)(二)
(三)(四)
(五)(六)
(七)第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控
1.2.3.访问授权以“必需知道”和“4.5.第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)(二)
(三)(四)
(五)(六)
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。第四章
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维
(一)(二)
(三)(四)
(五)(六)
(七)(八)
(九)(十)业务连续性管
(十一)第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现
(一)(二)
(三)(四)
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)(七)
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户
(四)(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监
第二十六条
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职
(二)(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提
(七)(八)
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程
(一)(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)(四)
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容
第五章
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的(一)
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活
第六章
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的第七章
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)(三)
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
23.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。第八章 外
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风
(二)(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不
(一)(二)
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息
(四)(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包
1.2.3.第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资
(一)(二)
(三)(四)
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息
(六)第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服
第九章
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的第六十四条
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控
(二)(三)
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门
第十章
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,第十一章 附
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事
第七十四条 第七十五条
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
第七十四条 第七十五条
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
第五篇:《商业银行信息科技风险管理指引》
银监会发布《商业银行信息科技风险管理指引》
为进一步加强商业银行信息科技风险管理,银监会近日发布《商业银行信息科技风险管理指引》(以下简称《管理指引》),原《银行业金融机构信息系统风险管理指引》(银监发[2006]63号,以下简称原《指引》)同时废止。
随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,原《指引》定位在信息系统风险管理的基本、原则性要求,已难以满足商业银行信息科技风险管理的需要。为此,银监会在原《指引》的基础上,广泛征求业内机构意见,制定了本《管理指引》。
《管理指引》具有以下几个特点:一是全面涵盖商业银行的信息科技活动,进一步明确信息科技与银行业务的关系,对于认识和防范风险具有更加积极的作用;二是适用范围由银行业金融机构变为法人商业银行,其他银行业金融机构参照执行;三是信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;四是重点阐述了信息科技风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中;五是参照国际国内的标准和成功实践,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,使操作性更强;六是加强了对客户信息保护的要求。
新《指引》共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则等十一个部分。新《指引》的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进。
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章 信息科技治理
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息官的职责包括:
(一)直接参与本银行与信息科技运用有关的业务发展决策。
(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
(二)审核信息科技员工的道德品行,确保其具备相应的职业操守。
(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险状况。
第三章 信息科技风险管理
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。
第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。 4.审批和授权。 5.验证和调节。
十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。
第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
第四章 信息安全
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略应涉及以下领域:
(一)安全制度管理。
(二)信息安全组织管理。
(三)资产管理。
(四)人员安全管理。
(五)物理与环境安全管理。
(六)通信与运营管理。
(七)访问控制管理。
(八)系统开发与维护管理。
(九)信息安全事故管理。
(十)业务连续性管理。
(十一)合规性管理。
第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。
第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,4 如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)域内应用程序和用户组的重要程度。
(二)各种通讯渠道进入域的访问点。
(三)域内配臵的网络设备和应用程序使用的网络协议和端口。
(四)性能要求或标准。
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)不同域之间的连通性。
(七)域的可信程度。
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。
(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十六条 商业银行应通过以下措施,确保所有信息系统的安全:
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。
(二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。
(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)在关键的接合点进行输入验证或输出核对。
(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。
(七)以书面或电子格式保存审计痕迹。
(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:
(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
(一)使用符合国家要求的加密技术和加密设备。
(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)加密强度满足信息机密性的要求。
(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
第五章 信息系统开发、测试和维护
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。
第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
(一)生产系统与开发系统、测试系统有效隔离。
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活动纳入信息科技项目,接受相关的管理和控制,包括用户验收测试。
第六章 信息科技运行
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。
第七章 业务连续性管理
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)信息丢失或受损。
(三)外部事件(如战争、地震或台风等)。
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。2.运行恢复的优先顺序。
3.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。
(二)更新实施业务连续性计划的流程及相关联系信息。
(三)验证受中断影响的信息完整性的步骤。
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行审核并升级。
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。
第八章 外 包
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行。
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制,是否满足商业银行履行对外包服务商的监督义务。
(二)考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。
(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。
第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不限于:
(一)对外包服务商的报告要求和谈判必要条件。
(二)银行业监管机构和内部审计、外部审计能执行足够的监督。
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。
(四)担保和损失赔偿是否充足。
(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)第三方供应商出现问题时,保证软件持续可用的相关措施。
(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包协议的条件,例如:
1.商业银行或外包服务商的所有权或控制权发生变化。
2.商业银行或外包服务商的业务经营发生重大变化。
3.外包服务商提供的服务不充分,造成商业银行不能履行监督义务。
第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户提供服务的充分性。
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资料等敏感信息的安全,包括但不限于采取以下措施:
(一)实现本银行客户资料与外包服务商其他客户资料的有效隔离。
(二)按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。
(三)要求外包服务商保证其相关人员遵守保密规定。
(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息的安全。
(六)确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。
第六十四条 商业银行内部信息科技审计的责任包括:
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性。
(二)按照第(一)款规定完成审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。
第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。
第十章 外部审计
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商业银行应根据该审计报告提出整改计划,并在规定的时间内实施整改。
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。
第十一章 附 则
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。
第七十四条 银监会依法对商业银行的信息科技风险管理实施监督检查。
第七十五条 本指引由银监会负责解释、修订。
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
发文单位:中国银行业监督管理委员会
发布日期:2009-6-1 执行日期:2009-6-1
Chapter I General Provisions
Article 1.Pursuant to the Law of the People„s Republic of China on Banking Regulation and Supervision,the Law of the People's Republic of China on Commercial Banks,the Regulations of the People‟s Republic of China on Administration of Foreign-funded Banks,and other applicable laws and regulations,the Guidelines on the Risk Management of Commercial Banks„ Information Technology(hereinafter referred to as the Guidelines)is formulated.Article 2.The Guidelines apply to all the commercial banks legally incorporated within the territory of the People„s Republic of China.The Guidelines may apply to other banking institutions including policy banks,rural cooperative banks,urban credit cooperatives,rural credit cooperatives,village banks,loan companies,financial asset management companies,trust and investment companies,finance firms,financial leasing companies,automobile financial companies and money brokers.Article 3.The term “information technology” stated in the Guidelines shall refer to the system built with computer,communication and software technologies,and employed by commercial banks to handle business transactions,operation management,and internal communication,collaborative work and controls.The term also include IT governance,IT organization structure and IT policies and procedures.Article 4.The risk of information technology refers to the operational risk,legal risk and reputation risk that are caused by natural factor,human factor,technological loopholes or management deficiencies when using information technology.Article 5.The objective of information system risk management is to establish an effective mechanism that can identify,measure,monitor,and control the risks of commercial banks„ information system,ensure data integrity,availability,confidentiality and consistency,provide the relevant early warning,and thereby enable commercial banks‟ business innovations,uplift their capability in utilizing information technology,improve their core competitiveness and capacity for sustainable development.Chapter II IT governance
Article 6.The legal representative of commercial bank should be responsible to ensure compliance of this guideline.Article 7.The board of directors of commercial banks should have the following responsibilities with respect to the management of information systems:
(1)Implementing and complying with the national laws,regulations and technical standards pertaining to the management of information systems,as well as the regulatory requirements set by the China Banking Regulatory Commission(hereinafter referred to as the “CBRC”);
(2)Periodically reviewing the alignment of IT strategy with the overall business strategies and significant policies of the bank,assessing the overall effectiveness and efficiency of the IT organization.(3)Approving IT risk management strategies and policies,understanding the major IT risks involved,setting acceptable levels for these risks,and ensuring the implementation of the measures necessary to identify,measure,monitor and control these risks.(4)Setting high ethical and integrity standards,and establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of IT risk management.(5)Establishing an IT steering committee which consists of representatives from senior management,the IT organization,and major business units,to oversee these responsibilities and report the effectiveness of strategic IT planning,the IT budget and actual expenditure,and the overall IT performance to the board of directors and senior management periodically.(6)Establishing IT governance structure,proper segregation of duty,clear role and responsibility,maintaining check and balances and clear reporting relationship.Strengthening IT professional staff by developing incentive program.(7)Ensuring that there is an effective internal audit of the IT risk management carried out by operationally independent,well-trained and qualified staff.The internal audit report should be submitted directly to the IT audit committee;
(8)Submitting an annual report to the CBRC and its local offices on information system risk management that has been reviewed and approved by the board of directors ;
(9)Ensuring the appropriating funding necessary for IT risk management works;
(10)Ensuring that all employees of the bank fully understand and adhere to the IT risk management policies and procedures approved by the board of directors and the senior management,and are provided with pertinent training.(11)Ensuring customer information,financial information,product information and core banking system of the legal entity are held independently within the territory,and complying with the regulatory on-site examination requirements of CBRC and guarding against cross-border risk.(12)Reporting in a timely manner to the CBRC and its local offices any serious incident of information systems or unexpected event,and quickly respond to it in accordance with the contingency plan;
(13)Cooperating with the CBRC and its local offices in the supervisory inspection of the risk management of information systems,and ensure that supervisory opinions are followed up; and
(14)Performing other related IT risk management tasks.Article 8.The head of the IT organization,commonly known as the Chief Information Officer(CIO)should report directly to the president.Roles and responsibilities of the CIO should include the following:
(1)Playing a direct role in key decisions for the business development involving the use of IT in the bank;
(2)The CIO should ensure that information systems meet the needs of the bank,and IT strategies,in particular information system development strategies,comply with the overall business strategies and IT risk management policies of the bank;
(3)The CIO should also be responsible for the establishment of an effective and efficient IT organization to carry out the IT functions of the bank.These include the IT budget and expenditure,IT risk management,IT policies,standards and procedures,IT internal controls,professional development,IT project initiatives,IT project management,information system maintenance and upgrade,IT operations,IT infrastructure,Information security,disaster recovery plan(DRP),IT outsourcing,and information system retirement;
(4)Ensuring the effectiveness of IT risk management throughout the organization including all branches.(5)Organizing professional trainings to improve technical proficiency of staff.(6)Performing other related IT risk management tasks.Article 9.Commercial banks should ensure that a clear definition of the IT organization structure and documentation of all job descriptions of important positions are always in place and updated in a timely manner.Staff in each position should meet relevant requirements on professional skills and knowledge.The following risk mitigation measures should be incorporated in the management program of related staff:
(1)Verification of personal information including confirmation of personal identification issued by government,academic credentials,prior work experience,professional qualifications;
(2)Ensuring that IT staff can meet the required professional ethics by checking character reference;
(3)Signing of agreements with employees about understanding of IT policies and guidelines,non-disclosure of confidential information,authorized use of information systems,and adherence to IT policies and procedures; and
(4)Evaluation of the risk of losing key IT personnel,especially during major IT development stage or in a period of unstable IT operations,and the relevant risk mitigation measures such as staff backup arrangement and staff succession plan.13
Article 10.Commercial banks should establish or designate a particular department for IT risk management.It should report directly to the CIO and the Chief Risk Officer(or risk management committee),serve as a member of the IT incident response team,and be responsible for coordinating the establishment of policies regarding IT risk management,especially the areas of information security,BCP,and compliance with the CBRC regulations,advising the business departments and IT department in implementing these policies,providing relevant compliance information,conducting on-going assessment of IT risks,and ensuring the follow-up of remediation advice,monitoring and escalating management of IT threats and non-compliance events.Article 11.Commercial banks should establish a special IT audit role and responsibility within internal audit function,which should put in place IT audit policies and procedures,develop and execute IT audit plan.Article 12.Commercial banks should put in place policies and procedures to protect intellectual property rights according to laws regarding intellectual properties,ensure purchase of legitimate software and hardware,prevention of the use of pirated software,and the protection of the proprietary rights of IT products developed by the bank,and ensure that these are fully understood and complied by all employees.Article 13.Commercial banks should,in accordance with relevant laws and regulations,disclose the risk profile of their IT normatively and timely.Chapter III IT Risk Management
Article 14.Commercial banks should formulate an IT strategy that aligns with the overall business plan of the bank,IT risk assessment plan and an IT operational plan that can ensure adequate financial resources and human resources to maintain a stable and secure IT environment.Article 15.Commercial banks should put in place a comprehensive set of IT risk management policies that include the following areas:
(1)Information security classification policy
(2)System development,testing and maintenance policy
(3)IT operation and maintenance policy
(4)Access control policy
(5)Physical security policy
(6)Personnel security policy
(7)Business Continuity Planning and Crisis and Emergency Management procedure
Article 16.Commercial banks should maintain an ongoing risk identification and assessment process that allows the bank to pinpoint the areas of concern in its information systems,assess the 14 potential impact of the risks on its business,rank the risks,and prioritize mitigation actions and the necessary resources(including outsourcing vendors,product vendors and service vendors)。
Article 17.Commercial banks should implement a comprehensive set of risk mitigation measures complying with the IT risk management policies and commensurate with the risk assessment of the bank.These mitigation measures should include:
(1)A set of clearly documented IT risk policies,technical standards,and operational procedures,which should be communicated to the staff frequently and kept up to date in a timely manner;
(2)Areas of potential conflicts of interest should be identified,minimized,and subject to careful,independent monitoring.Also it requires that an appropriate control structure is set up to facilitate checks and balances,with control activities defined at every business level,which should include:
-Top level reviews;
-Controls over physical and logical access to data and system;
-Access granted on “need to know” and “minimum authorization” basis;
-A system of approvals and authorizations; and
-A system of verification and reconciliation.Article 18.Commercial banks should put in place a set of ongoing risk measurement and monitoring mechanisms,which should include
(1)Pre and post-implementation review of IT projects;
(2)Benchmarks for periodic review of system performance;
(3)Reports of incidents and complaints about IT services;
(4)Reports of internal audit,external audit,and issues identified by CBRC; and
(5)Arrangement with vendors and business units for periodic review of service level agreements(SLAs)。
(6)The possible impact of new development of technology and new threats to software deployed.(7)Timely review of operational risk and management controls in operation area.(8)Assess the risk profile on IT outsourcing projects periodically.Article 19.Chinese commercial banks operating offshore and the foreign commercial banks in China should comply with the relevant regulatory requirements on information systems in and outside the People„s Republic of China.Chapter IV Information Security
Article 20.Information technology department of commercial banks should oversee the establishment of an information classification and protection scheme.All employees of the bank should be made aware of the importance of ensuring information confidentiality and provided with the necessary training to fully understand the information protection procedures within their responsibilities.Article 21.Commercial banks should put in place an information security management function to develop and maintain an ongoing information security management program,promote information security awareness,advise other IT functions on security issues,serve as the leader of IT incident response team,and report the evaluation of the information security of the bank to the IT steering committee periodically.The Information security management program should include Information security standards,strategy,an implementation plan,and an ongoing maintenance plan.Information security policy should include the following areas:
(1)IT security policy management
(2)Organization information security
(3)Asset management
(4)Personnel security
(5)Physical and environment security
(6)Communication and operation security
(7)Access control and authentication
(8)Acquirement,development and maintenance of information system
(9)Information security event management
(10)Business continuity management
(11)Compliance
Article 22.Commercial banks should have an effective process to manage user authentication and access control.Access to data and system should be strictly limited to authorized individuals whose identity is clearly established,and their activities in the information systems should be limited to the minimum required for their legitimate business use.Appropriate user authentication mechanism commensurate with the classification of information to be accessed should be selected.Timely review and removal of user identity from the system should be implemented when user transfers to a new job or leave the commercial bank.Article 23.Commercial banks should ensure all physical security zones,such as computer centers or data centers,network closets,areas containing confidential information or critical IT equipment,and respective accountabilities are clearly defined,and appropriate preventive,detective,and recuperative controls are put in place.Article 24.Commercial banks should divide their networks into logical security domains(hereinafter referred to as the “domain”)with different levels of security.The following security factors have to be assessed in order to define and implement effective security controls,such as physical or logical segregation of network,network filtering,logical access control,traffic encryption,network monitoring,activity log,etc.,for each domain and the whole network.(1)criticality of the applications and user groups within the domain;
(2)Access points to the domain through various communication channels;
(3)Network protocols and ports used by the applications and network equipment deployed within the domain;
(4)Performance requirement or benchmark;
(5)Nature of the domain,i.e.production or testing,internal or external;
(6)Connectivity between various domains; and
(7)Trustworthiness of the domain.Article 25.Commercial banks should secure the operating system and system software of all computer systems by
(1)Developing baseline security requirement for each operating system and ensuring all systems meet the baseline security requirement;
(2)Clearly defining a set of access privileges for different groups of users,namely,end-users,system development staff,computer operators,and system administrators and user administrators;
(3)Setting up a system of approval,verification,and monitoring procedures for using the highest privileged system accounts;
(4)Requiring technical staff to review available security patches,and report the patch status periodically; and
(5)Requiring technical staff to include important items such as unsuccessful logins,access to critical system files,changes made to user accounts,etc.in system logs,monitors the systems for any abnormal event manually or automatically,and report the monitoring periodically.Article 26.Commercial banks should ensure the security of all the application systems by
(1)Clearly defining the roles and responsibilities of end-users and IT staff regarding the application security;
(2)Implementing a robust authentication method commensurate with the criticality and sensibility of the application system;
(3)Enforcing segregation of duties and dual control over critical or sensitive functions;
(4)Requiring verification of input or reconciliation of output at critical junctures;
(5)Requiring the input and output of confidential information are handled in a secure manner to prevent theft,tampering,intentional leakage,or inadvertent leakage;
(6)Ensuring system can handle exceptions in a predefined way and provide meaningful message to users when the system is forced to terminate; and
(7)Maintaining audit trail in either paper or electronic format.(8)Requiring user administrator to monitor and review unsuccessful logins and changes to users accounts.Article 27.Commercial banks should have a set of policies and procedures controlling the logging of activities in all production systems to support effective auditing,security forensic analysis,and fraud prevention.Logging can be implemented in different layers of software and on different computer and networking equipment,which falls into two broad categories:
(1)Transaction journals.They are generated by application software and database management system,and contain authentication attempts,modification to data,error messages,etc.Transaction journals should be kept according to the national accounting policy.(2)System logs.They are generated by operating systems,database management system,firewalls,intrusion detection systems,and routers,etc.,and contain authentication attempts,system events,network events,error messages,etc.System logs should be kept for a period scaled to the risk classification,but no less than one year.Banks should ensure that sufficient items be included in the logs to facilitate effective internal controls,system troubleshooting,and auditing while taking appropriate measures to ensure time synchronization on all logs.Sufficient disk space should be allocated to prevent logs from being overwritten.System logs should be reviewed for any exception.The review frequency and retention period for transaction logs or database logs should be determined jointly by IT organization and pertinent business lines,and approved by the IT steering committee.Article 28.Commercial banks should have the capacity to employ encryption technologies to mitigate the risk of losing confidential information in the information systems or during its transmission.Appropriate management processes of the encryption facilities should be put in place to ensure that
(1)Encryption facilities in use should meet national security standards or requirements;
(2)Staff in charge of encryption facilities are well trained and screened;
(3)Encryption strength is adequate to protect the confidentiality of the information; and 18
(4)Effective and efficient key management procedures,especially key lifecycle management and certificate lifecycle management,are in place.Article 29.Commercial banks should put in place an effective and efficient system of securing all end-user computing equipment which include desktop personal computers(PCs),portable PCs,teller terminals,automatic teller machines(ATMs),passbook printers,debit or credit card readers,point of sale(POS)terminals,personal digital assistant(PDAs),etc and conduct periodic security checks on all equipments.Article 30.Commercial banks should put in place a set of policies and procedures to govern the collection,processing,storage,transmission,dissemination,and disposal of customer information.Article 31.All employees,including contract staff,should be provided with the necessary trainings to fully understand these policies procedures and the consequences of their violation.Commercial banks should adopt a zero tolerance policy against security violation.Chapter V Application System Development,Testing and Maintenance
Article 32.Commercial banks should have the capability to identify,plan,acquire,develop,test,deploy,maintain,upgrade,and retire information systems.Policies and procedures should be in place to govern the initiation,prioritization,approval,and control of IT projects.Progress reports of major IT projects should be submitted to and reviewed by the IT steering committee periodically.Decisions involving significant change of schedule,change of key personnel,change of vendors,and major expenditures should be included in the progress report.Article 33.Commercial banks should recognize the risks associated with IT projects,which include the possibilities of incurring various kinds of operational risk,financial losses,and opportunity costs stemming from ineffective project planning or inadequate project management controls of the bank.Therefore,appropriate project management methodologies should be adopted and implemented to control the risks associated with IT projects.Article 34.Commercial banks should adopt and implement a system development methodology to control the life cycle of Information systems.The typical phases of system life cycle include system analysis,design,development or acquisition,testing,trial run,deployment,maintenance,and retirement.The system development methodology to be used should be commensurate with the size,nature,and complexity of the IT project,and,generally speaking,should facilitate the management of the following risks.Article 35.Commercial banks should ensure system reliability,integrity,and maintainability by controlling system changes with a set of policies and procedures,which should include the following elements.(1)Ensure that production systems are separated from development or testing systems;
(2)Separating the duties of managing production systems and managing development or testing systems;
(3)Prohibiting application development and maintenance staff from accessing production system under normal circumstances unless management approval is granted to perform emergency repair,and all emergency repair activities should be recorded and reviewed promptly;
(4)Promoting changes of program or system configuration from development and testing systems to production systems should be jointly approved by IT organization and business departments,properly documented,and reviewed periodically.Article 36.Commercial banks should have in place a set of policies,standards,and procedures to ensure data integrity,confidentiality,and availability.These policies should be in accordance with data integrity amid IT development procedure.Article 37.Commercial banks should ensure that Information system problems could be tracked,analyzed,and resolved systematically through an effective problem management process.Problems should be documented,categorized,and indexed.Support services or technical assistance from vendors,if necessary,should also be documented.Contacts and relevant contract information should be made readily available to the employees concerned.Accountability and line of command should be delineated clearly and communicated to all employees concerned,which is of utmost importance to performing emergency repair.Article 38.Commercial banks should have a set of policies and procedures controlling the process of system upgrade.System upgrade is needed when the hardware reaches its lifespan or runs out of capacity,the underpinning software,namely,operating system,database management system,middleware,has to be upgraded,or the application software has to be upgraded.The system upgrade should be treated as a project and managed by all pertinent project management controls including user acceptance testing.Chapter VI IT Operations
Article 39.Commercial banks should consider fully the environmental threats(e.g.proximity to natural disaster zones,dangerous or hazardous facilities or busy/major roads)when selecting the locations of their data centers.Physical and environmental controls should be implemented to monitor environmental conditions could affect adversely the operation of information processing facilities.Equipment facilities should be protected from power failures and electrical supply interference.Article 40.In controlling access by third-party personnel(e.g.service providers)to secured areas,proper approval of access should be enforced and their activities should be closely monitored.It is important that proper screening procedures including verification and background checks,especially for sensitive technology-related jobs,are developed for permanent and temporary technical staff and contractors.20
Article 41.Commercial banks should separate IT operations or computer center operations from system development and maintenance to ensure segregation of duties within the IT organization.The commercial banks should document the roles and responsibilities of data center functions.Article 42.Commercial banks are required to retain transactional records in compliance with the national accounting policy.Procedures and technology are needed to be put in place to ensure the integrity,safekeeping and retrieval requirements of the archived data.Article 43.Commercial banks should detail operational instructions such as computer operator tasks,job scheduling and execution in the IT operations manual.The IT operations manual should also cover the procedures and requirements for on-site and off-site backup of data and software in both the production and development environments(i.e.frequency,scope and retention periods of back-up)。
Article 44.Commercial banks should have in place a problem management and processing system to respond promptly to IT operations incidents,to escalate reported incidents to relevant IT management staff and to record,analyze and keep tracks of all these incidents until rectification of the incidents with root cause analysis completed.A helpdesk function should be set up to provide front-line support to users on all technology-related problems and to direct the problems to relevant IT functions for investigation and resolution.Article 45.Commercial banks should establish service level agreement and assess the IT service level standard attained.Article 46.Commercial banks should implement a process to ensure that the performance of application systems is continuously monitored and exceptions are reported in a timely and comprehensive manner.The performance monitoring process should include forecasting capability to enable exceptions to be identified and corrected before they affect system performance.Article 47.Commercial banks should carry out capacity plan to cater for business growth and transaction increases due to changes of economic conditions.Capacity plan should be extended to cover back-up systems and related facilities in addition to the production environment.Article 48.Commercial banks should ensure the continued availability of technology related services with timely maintenance and appropriate system upgrades.Proper record keeping(including suspected and actual faults and preventive and corrective maintenance records)is necessary for effective facility and equipment maintenance.Article 49.Commercial banks should have an effective change management process in place to ensure integrity and reliability of the production environment.Commercial banks should develop a formal change management process.Chapter VII Business Continuity Management
Article 50.Commercial banks should have in place appropriate arrangements,having regard to the nature,scale and complexity of its business,to ensure that it can continue to function and meet its regulatory obligations in the event of an unforeseen interruption.These arrangements should be regularly updated and tested to ensure their effectiveness.Article 51.Commercial banks should consider the likelihood and impact of a disruption to the continuity of its operation from unexpected events.This should include assessing the disruptions to which it is particularly susceptible including but not limited to:
(1)Loss of failure of internal and external resources(such as people,systems and other assets);
(2)The loss or corruption of its information; and
(3)External events(such as war,earthquake,typhoon,etc)。
Article 52.Commercial bank should act to reduce both the likelihood of disruptions(including system resilience and dual processing); and the impact of disruptions(including by contingency arrangements and insurance)。
Article 53.Commercial bank should document its strategy for maintaining continuity of its operations,and its plans for communicating and regularly testing the adequacy and effectiveness of this strategy.Commercial bank should establish:
(1)Formal business continuity plans that outline arrangements to reduce the impact of a short,medium and long-term disruption,including:
a)Resource requirements such as people,systems and other assets,and arrangements for obtaining these resources;
b)The recovery priorities for the commercial bank„s operations; and
c)Communication arrangements for internal and external concerned parties(including CBRC,clients and the press);
(2)Escalation and invocation plans that outline the processes for implementing the business continuity plans,together with relevant contact information;
(3)Processes to validate the integrity of information affected by the disruption;
(4)Processes to review and update(1)to(3)following changes to the commercial bank„s operations or risk profile.Article 54.A final BCP plan and an annual drill result must be signed off by the IT Risk management,or internal auditor and IT Steering Committee.Chapter VIII Outsourcing
Article 55.Commercial banks cannot contract out its regulatory obligations and should take reasonable care to supervise the discharge of outsourcing functions.22
Article 56.Commercial banks should take particular care to manage material outsourcing arrangement(such as outsourcing of data center,IT infrastructure,etc.),and should notify CBRC when it intends to enter into material outsourcing arrangement.Article 57.Before entering into,or significantly changing,an outsourcing arrangement,the commercial bank should:
(1)Analyze how the arrangement will fit with its organization and reporting structure; business strategy; overall risk profile; and ability to meet its regulatory obligations;
(2)Consider whether the arrangements will allow it to monitor and control its operational risk exposure relating to the outsourcing;
(3)Conduct appropriate due diligence of the service provider„s financial stability,expertise and risk assessment of the service provider,facilities and ability to cover the potential liabilities;
(4)Consider how it will ensure a smooth transition of its operations from its current arrangements to a new or changed outsourcing arrangement(including what will happen on the termination of the contract); and
(5)Consider any concentration risk implications such as the business continuity implications that may arise if a single service provider is used by several firms.Article 58.In negotiating its contract with a service provider,the commercial bank should have regard to(but not limited to):
(1)Reporting and negotiation requirements it may wish to impose on the service provider;
(2)Whether sufficient access will be available to its internal auditors,external auditors and banking regulators;
(3)Information ownership rights,confidentiality agreements and Firewalls to protect client and other information(including arrangements at the termination of contract);
(4)The adequacy of any guarantees and indemnities;
(5)The extent to which the service provider must comply with the commercial bank„s polices and procedures covering IT Risk;
(6)The extent to which the service provider will provide business continuity for outsourced operations,and whether exclusive access to its resources is agreed;
(7)The need for continued availability of software following difficulty at a third party supplier;
(8)The processes for making changes to the outsourcing arrangement and the conditions under which the commercial bank or service provider can choose to change or terminate the outsourcing arrangement,such as where there is:
a)A change of ownership or control of the service provider or commercial bank; or
b)Significant change in the business operations of the service provider or commercial bank; or
c)Inadequate provision of services that may lead to the commercial bank being unable to meet its regulatory obligations.Article 59.In implementing a relationship management framework,and drafting the service level agreement with the service provider,the commercial bank should have regarded to(but not limited to):
(1)The identification of qualitative and quantitative performance targets to assess the adequacy of service provision,to both the commercial bank and its clients,where appropriate;
(2)The evaluation of performance through service delivery reports and periodic self assessment and independent review by internal or external auditors; and
(3)Remediation action and escalation process for dealing with inadequate performance.Article 60.The commercial bank should enhance IT related outsourcing management,in place following(not limited to)measures to ensure data security of sensitive information such as customer information:
(1)Effectively separated from other customer information of the service provider;
(2)The related staff of service provider should be authorized on “need to know” and “minimum authorization” basis;
(3)Ensure service provider guarantee its staff for meeting the confidential requests;
(4)All outsourcing arrangements related to customer information should be identified as material outsourcing arrangements and the customers should be notified;
(5)Strictly monitor re-outsourcing actions of the service provider,and implement adequate control measures to ensure information security of the bank;
(6)Ensure all related sensitive information be refunded or deleted from the service provider„s storage when terminating the outsourcing arrangement.Article 61.The commercial bank should ensure that it has appropriate contingency in the event of a significant loss of services from the service provider.Particular issues to consider include a significant loss of resources,turnover of key staff,or financial failure of,the service provider,and unexpected termination of the outsourcing agreement.Article 62.All outsourcing contracts must be reviewed or signed off by IT Risk management,internal IT auditors,legal department and IT Steering Committee.There should be a process to periodically review and refine the service level agreements.Chapter IX Internal Audit
Article 63.Depending on the nature,scale and complexity of its business,it may be appropriate for the commercial banks to delegate much of the task of monitoring the appropriateness and effectiveness of its systems and controls to an internal audit function.An internal audit function should be adequately resourced and staffed by competent individuals,be independent of the day-to-day activities of the commercial bank and have appropriate access to the bank„s records.Article 64.The responsibilities of the internal IT audit function are:
(1)To establish,implement and maintain an audit plan to examine and evaluate the adequacy and effectiveness of the bank„s systems and internal control mechanisms and arrangements;
(2)To issue recommendations based on the result of work carried out in accordance with 1;
(3)To verify compliance with those recommendations;
(4)To carry out special audit on information technology.The term “special audit” of information technology refers to the investigation,analysis and assessment on the security incidents of the information system,or the audit performed on a special subject based on IT risk assessment result as deemed necessary by the audit department.Article 65.Based on the nature,scale and complexity of its business,deployment of information technology and IT risk assessment,commercial banks could determine the scope and frequency of IT internal audit.However,a comprehensive IT internal audit shall be performed at a minimum once every 3 years.Article 66.Commercial banks should engage its internal audit department and IT Risk management department when implementing system development of significant size and scale to ensure it meets the IT Risk standards of the Commercial banks.Chapter X External Audit
Article 67.The external information technology audit of commercial banks can be carried out by certified service providers in accordance with laws,rules and regulations.Article 68.The commercial bank should ensure IT audit service provider to review and examine bank„s hardware,software,documentation and data to identify IT risk when they are commissioned to perform the audit.Vital commercial and technical information which is protected by national laws and regulations should not be reviewed.Article 69.Commercial bank should communicate with the service provider in depth before the audit to determine audit scope,and should not withhold the truth or do not corporate with the service provider intentionally.Article 70.CBRC and its local offices could designate certified service providers to carry out IT audit or related review on commercial banks when needed.When carrying out audit on commercial banks,as commissioned or authorized by CBRC or its local offices,the service providers shall 25 present the letter of authority,and carry out the audit in accordance to the scope prescribed in the letter of authority.Article 71.Once the IT audit report produced by the service providers is reviewed and approved by CBRC or its local offices,the report will have the same legal status as if it is produced by the CBRC itself.Commercial banks should come up with a correction action plan prescribed in the report and implement the corrective actions according to the timeframe.Article 72.Commercial banks should ensure the service providers to strictly comply with laws and regulations to keep confidential and data security of any commercial secrets and private information learnt and IT risk information when conducting the audit.The service provider should not modify copy or take away any documents provided by the commercial banks.Chapter XI Supplementary Provisions
Article 73.Commercial banks with no board of directors should have their operating decision-making bodies perform the responsibilities of the board with regard to IT risk management specified herein.Article 74.The China Banking Regulatory Commission supervises and regulates the IT risk management of commercial banks under its authority by law.Article 75.The power of interpretation and modification of the Guidelines shall rest with the China Banking Regulatory Commission.Article 76.The Guidelines shall become effective as of the date of its issuance and the former Guidelines on the Risk Management of Banking Institutions„ Information Systems shall be revoked at the same time.中国银行业监督管理委员会
点击咨询 