第一篇:《银行业金融机构重要信息系统投产及变更管理办法》(银监办发[2009]437号)20091229
中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知
(银监办发[2009]437号)
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会 二00九年十二月二十九日
银行业金融机构重要信息系统投产及变更管理办法
第一章 总则
第一条 为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行第二条 在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄业监督管理法》、《中华人民共和国商业银行法》制定本办法。
银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条 本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条 本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条 银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。第六条 银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的第七条 银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,风险评估汇报,对风险控制过程进行监督。
承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条 银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。第九条 银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第十条 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
第十一条 银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应第十二条 银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。
第十三条 银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条 银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定年度投产及变更第十五条 银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,第十六条 银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。第十七条 银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统第十八条 银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将第十九条 银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
有效控制重要信息系统投产及变更风险。
投产及变更策略。
重要信息系统投产及变更可能对服务的影响告知客户。
业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十条 银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真第二十一条 银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,实情况。
保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十二条 银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十三条 银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处第二十四条 重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强第二十五条 银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部置计划和流程,必要时应实施演练。
监督与复核,避免操作失误和非法操作。
门协同做好应急准备。第二十六条 银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。
第二十七条 银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和第二十八条 银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,第二十九条 银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,信息科技部门对投产及变更的有效性进行验证。
并适时实施演练。
确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章 投产及变更报告
第三十条 银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。第三十一条 银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于:
(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)重要信息系统安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条 银行业金融机构应在重要信系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
第三十三条 银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向所在地中国银监会派出机构提交报告材料。
第三十四条 重要信息系统投产及变更如失败需要重新安排的,银行业金融机构应再次向中国银第三十五条 银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管监会或其派出机构报告。
理规范报告。
第六章 监督管理
第三十六条 针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以第三十七条 中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施第三十八条 银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关采取风险提示、约见谈话、监管质询等措施。
现场检查。
责任。
第七章 附则
第三十九条 本办法由中国银监会负责解释和修订。第四十条 本办法自公布之日起执行。
第二篇:银行业金融机构重要信息系统投产及变更管理办法范文
中国银监会办公厅关于印发
《银行业金融机构重要信息系统投产及变更管理办法》的通
知
银监办发[2009]437号
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。
2009年12月29日
银行业金融机构重要信息系统投产及变
更管理办法
第一章 总 则
第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城巿商业银行、农村商业银行、农村合作银行、农村信用社、城巿信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条本办法所称的重要信息系统投产及变更主要指:(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第十条银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。第十一条银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十二条银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。
第十三条银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定投产及变更规划,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第十五条银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
第十六条银行业金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。
第十七条银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。
第十八条银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。第十九条银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十条银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。
第二十一条银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十二条银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十三条银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处置计划和流程,必要时应实施演练。
第二十四条重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作。
第二十五条银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部门协同做好应急准备。
第二十六条银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。第二十七条银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。
第二十八条银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,并适时实施演练。
第二十九条银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章 投产及变更报告
第三十条银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。
第三十一条银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于:(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)
重要信息系统信息安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条银行业金融机构应在重要信息系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
第三十三条银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向 所在地中国银监会派出机构提交报告材料。
第三十四条重要信息系统投产及变更如失败需重新安排的,银行业金融机构应再次向中国银监会或其派出机构报告。第三十五条银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管理规范报告。
第六章 监督管理
第三十六条针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
第三十七条中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施现场检查。
第三十八条银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关责任。
第七章 附 则
第三十九条本办法由中国银监会负责解释和修订。第四十条本办法自公布之日起执行。
第三篇:银行业金融机构重要信息系统投产及变更管理办法
中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会
二00九年十二月二十九日
银行业金融机构重要信息系统投产及变更管理办法
第一章 总则
第一条 为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条 在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条 本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条 本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条 银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条 银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条 银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条 银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条 银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第十条 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
第十一条 银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十二条 银行业金融机构董事会及高级管理层应审慎重大项目的风险评估报告。
第十三条 银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条 银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定投产及变更规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第十五条 银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
第十六条 银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。
第十七条 银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。
第十八条 银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。
第十九条 银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十条 银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。
第二十一条 银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十二条 银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十三条 银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处置计划和流程,必要时应实施演练。
第二十四条 重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作。
第二十五条 银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部门协同做好应急准备。
第二十六条 银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。
第二十七条 银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。
第二十八条 银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,并适时实施演练。
第二十九条 银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章 投产及变更报告
第三十条 银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。
第三十一条 银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于:
(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称、业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)重要信息系统安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条 银行业金融机构应在重要信系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
第三十三条 银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向所在地中国银监会派出机
构提交报告材料。
第三十四条 重要信息系统投产及变更如失败需要重新安排的,银行业金融机构应再次向中国银监会或其派出机构报告。
第三十五条 银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管理规范报告。
第六章 监督管理
第三十六条 针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
第三十七条 中国银监会及其派出机构可依法对银行业金融的重要信息系统投产及变更实施现场检查。
第三十八条 银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关责任。
第七章 附则
第三十九条 本办法由中国银监会负责解释和修订。
第四十条 本办法自公布之日起执行。
第四篇:银行业金融机构重要信息系统投产及变更管理办法
银行业金融机构重要信息系统投产及变更管理办法
第一章 总则
第一条 为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行
第二条 在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄业监督管理法》、《中华人民共和国商业银行法》制定本办法。
银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条 本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条 本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条 银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。第六条 银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的第七条 银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,风险评估汇报,对风险控制过程进行监督。
承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条 银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影
第九条 银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
提出整改意见。
第三章 风险评估
第十条 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
第十一条 银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应第十二条 银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十三条 银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条 银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定投产及变更
第十五条 银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,第十六条 银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。
第十七条 银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统第十八条 银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将第十九条 银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。有效控制重要信息系统投产及变更风险。投产及变更策略。重要信息系统投产及变更可能对服务的影响告知客户。
业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十条 银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真
第二十一条 银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,实情况。
保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十二条 银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十三条 银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处
第二十四条 重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强第二十五条 银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部第二十六条 银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理置计划和流程,必要时应实施演练。监督与复核,避免操作失误和非法操作。门协同做好应急准备。
办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。
第二十七条 银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和
第二十八条 银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,第二十九条 银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,信息科技部门对投产及变更的有效性进行验证。并适时实施演练。
确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章 投产及变更报告
第三十条 银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。第三十一条 银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于:
(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)重要信息系统安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条 银行业金融机构应在重要信系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
第三十三条 银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向所在地中国银监会派出机构提交报告材料。
第三十四条 重要信息系统投产及变更如失败需要重新安排的,银行业金融机构应再次向中国银
第三十五条 银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管监会或其派出机构报告。
理规范报告。
第六章 监督管理
第三十六条 针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以
第三十七条 中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施第三十八条 银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关采取风险提示、约见谈话、监管质询等措施。现场检查。
责任。
第七章 附则
第三十九条 本办法由中国银监会负责解释和修订。
第四十条 本办法自公布之日起执行。
第五篇:银行业金融机构内部审计指引银监发2006-51号
银行业金融机构内部审计指引
银监发[2006]第51号2006年6月27日
第一章 总则
第一条 为促进银行业金融机构完善公司治理,加强内部控制,健全内部审计体系,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国公司法》、《中华人民共和国审计法》和《中华人民共和国审计法实施条例》等法律法规,制定本指引。
第二条 本指引所称银行业金融机构是指在中华人民共和国境内设立的政策性银行和商业银行。经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构可参照执行本指引。
第三条 本指引所称内部审计是一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。
第四条 银行业金融机构内部审计的目标是,保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行;在银行业金融机构风险框架内,促使风险控制在可接受水平;改善银行业金融机构的运营,增加价值。
第五条 银行业金融机构内部审计工作应当独立于经营管理,以风险为导向,确保客观公正。
第六条 中国银监会依据本指引检查评价银行业金融机构内部审计工作。
第二章 机构和人员
第七条 银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。没有设立董事会的,由高级管理层负责履行有关职责。董事会应下设审计委员会。审计委员会成员不少于3人,多数成员应是非执行董事。审计委员会主席应由独立董事担任。没有设立董事会的,审计委员会组成及委员会负责人由高级管理层确定。
第八条 银行业金融机构应建立审计全系统经营管理行为的内部审计部门,可设立一名首席审计官负责全系统的审计工作。首席审计官由董事会任命并纳入银行业金融机构高级管理人员任职资格核准范围,首席审计官岗位变动要事前向中国银监会报告。
第九条 银行业金融机构应建立独立垂直的内部审计管理体系。审计预算、人员薪酬、主要负责人任免由董事会或其专门委员会决定。内部审计人员薪酬不低于本机构其他部门同职级人员平均水平。
第十条 银行业金融机构内部审计人员原则上按员工总人数的1%配备,并建立内部岗位轮换制。
第十一条 内部审计人员应具备相应的专业从业资格:
(一)专业水平。内部审计人员应具备大专以上学历,掌握与银行业金融机构内部审计相关的专业知识,熟悉金融相关法律法规及内部控制制度。
(二)从业经验。内部审计人员至少应具备两年以上金融从业经验;审计项目负责人员至少应具有三年以上审计工作经验,或六年以上金融从业经验。
(三)道德准则。内部审计人员应具有正直、客观、廉洁、公正的职业操守,且从事金融业务以来无不良记录。
第三章 职责
第十二条 银行业金融机构应以制度形式明确董事会、审计委员会、首席审计官和内部审计部门及人员职责。
第十三条 董事会对内部审计的适当性和有效性承担最终责任,负责批准内部审计章程、中长期审计规划和工作计划等,为独立、客观开展内部审计工作提供必要保障,并对审计工作情况进行考核监督。
第十四条 审计委员会对董事会负责,根据董事会授权组织指导内部审计工作。审计委员会应定期召开会议,并可视需要邀请高级管理层人员列席。
第十五条 首席审计官负责组织实施内部审计章程、中长期审计规划和工作计划,做好协调工作,及时向董事会和高级管理层主要负责人报告审计工作情况,并对内部审计的整体质量负责。
第十六条 内部审计部门应对董事会和审计委员会负责,制定内部审计程序,评价风险状况和管理情况,落实审计工作计划,开展后续审计,监督整改情况,对审计项目质量负责,做好档案管理。
第十七条 内部审计事项主要包括:
(一)经营管理的合规性及合规部门工作情况。
(二)内部控制的健全性和有效性。
(三)风险状况及风险识别、计量、监控程序的适用性和有效性。
(四)信息系统规划设计、开发运行和管理维护的情况。
(五)会计记录和财务报告的准确性和可靠性。
(六)与风险相关的资本评估系统情况。
(七)机构运营绩效和管理人员履职情况等。
第四章 权限
第十八条 银行业金融机构应当以制度形式明确赋予内部审计部门履行职责所必需的权限。
第十九条 内部审计部门有权列席或参加与内部审计部门职责有关的会议。
第二十条 内部审计部门有权及时、全面了解经营管理信息,并就有关问题向审计对象和相关人员进行调查、质询、取证。
第二十一条 内部审计部门认为必要时有权向董事会直接汇报审计发现。
第二十二条 内部审计部门应具有处理建议权和必要的处罚权。
第二十三条 内部审计部门对拒绝接受或不配合内部审计、拒绝提供或提供虚假资料、打击报复或陷害审计人员的,有权向上级报告,要求及时予以制止并做出处理。
第五章 质量控制
第二十四条 内部审计部门可就风险管理、内部控制等有关问题提供咨询服务,但不应直接参与或负责内部控制设计和经营管理决策与执行。
第二十五条 内部审计部门应在风险评估的基础上确定审计重点,审计频率和程度应与银行业金融机构业务性质、复杂程度、风险状况和管理水平相一致。对每一营业机构的风险评估每年至少一次,审计每两年至少一次。第二十六条 内部审计部门和审计人员应严格按照审计程序和审计方法实施审计项目,并定期进行自我评估。
第二十七条 内部审计部门应建立内部审计人员的审计回避制度,确保内部审计的客观性。
第二十八条 内部审计部门应建立内部审计人员后续培训制度,鼓励内部审计人员取得注册会计师、注册内部审计师、注册信息系统审计师等执业资格,以保证内部审计人员的专业胜任能力。
第二十九条 内部审计部门应加强科技手段和信息技术在审计工作中的运用,建立完善非现场内部审计监测体系及内部审计操作系统、信息管理系统。
第三十条 内部审计部门根据工作需要,经董事会批准后,可将部分内部审计项目外包,但需事先对外包机构的独立性、客观性和专业胜任能力进行评估。
第三十一条 内部审计部门应建立审计复议制度,对审计对象提出异议的审计结论,由作出审计结论的审计机构的上级机构进行复议。
第三十二条 董事会可聘请外部机构对内部审计部门的尽职情况进行评价,并保证外部检查人员独立于评价对象、具备专业胜任能力以及与评价对象没有利益冲突。
第六章 报告制度
第三十三条 银行业金融机构应建立与垂直管理体系相适应的内部审计报告制度和报告线路。
第三十四条 审计委员会应按季度向董事会报告审计工作情况,并通报高级管理层和监事会。
第三十五条 首席审计官和内部审计部门应按季向董事会和高级管理层主要负责人报告审计工作情况。每年至少一次向董事会提交包括履职情况、审计发现和建议等内容的审计工作报告。
第三十六条 首席审计官和内部审计部门在审计事项结束后,应及时向董事会和高级管理层主要负责人报送包括审计概况、审计依据、审计结论、审计决定、审计建议、审计对象反馈意见等内容的项目审计报告。
第三十七条 银行业金融机构应建立完善与中国银监会的沟通和报告制度。董事会和高级管理层应就重大审计发现及时向中国银监会报告。内部审计部门应就以下事项向中国银监会或中国银监会派出机构报告:
(一)向董事会提交的全面审计工作报告。
(二)内部审计部门开展异地审计的,应同时将审计报告抄报审计对象所在地的中国银监会派出机构。
(三)内部审计部门发现重大问题并报告董事会后,在问题未得到认真查处整改的情况下,应直接向中国银监会报告相关情况。
(四)外部中介机构对银行业金融机构的审计报告。
(五)中国银监会及其派出机构要求报告的其他事项。
第七章 考核与问责
第三十八条 董事会和高级管理层应采取有效措施,确保内部审计成果得以充分利用。高级管理层对未按要求进行整改的问题,应督促整改,追究相关人员责任,并承担未对审计发现采取纠正措施所产生的责任和风险。
第三十九条 董事会应建立激励约束机制,对内部审计相关各方的尽职、履职情况进行考核评价,建立内部审计工作问责制度,明确内部审计责任追究、免责的认定标准和程序。
第四十条 董事会应对具有以下情节的内部审计部门负责人和直接责任人追究责任:
(一)未执行审计方案、程序和方法导致重大问题未能被发现。
(二)对审计发现问题隐瞒不报或者未如实反映。
(三)审计结论与事实严重不符。
(四)对审计发现问题查处整改工作跟踪不力。
(五)未按要求执行保密制度。
(六)其他有损银行业金融机构利益或声誉的行为。
第四十一条 银行业金融机构经检查监督和责任认定,有充分证据表明内部审计部门和审计人员按照有关法律、法规、规章和本指引以及银行业金融机构内部审计制度勤勉尽职地履行了职责,并及时报告了审查出的问题,在审计对象相关问题暴露时,可视情况免除或部分免除内部审计部门和相关审计人员的责任。
第八章 附则
第四十二条 银行业金融机构应根据本指引制定实施细则,并报中国银监会备案。
第四十三条 本指引由中国银监会负责解释。第四十四条 本指引自二○○六年七月一日实施。
![下载《银行业金融机构重要信息系统投产及变更管理办法》(银监办发[2009]437号)20091229word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 