银行业信息科技风险监管现场检查手册

第一篇：银行业信息科技风险监管现场检查手册

前言

信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度依赖，决定了信息系统的安全性、可靠性和有效性对维系整个银行业的安全和金融体系的稳定具有至关重要的作用。

银监会党委对信息科技风险监管工作高度重视，刘明康主席多次召开专项工作会议并做出重要批示和指示，明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念，把信息科技风险纳入银行总体风险监管框架，切实加强制度建设和风险监控，确保银行业信息系统安全稳定。

在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的新形势下，银监会坚持“风险为本”的监管原则，提出了信息科技风险功能性监管的新思路，突出“制度先行”，完善监管框架，借鉴和吸收国际先进标准及业界最佳实践，不断丰富信息科技风险监管方式方法，制定了一系列的监管规范，结合奥运保障开展现场检查，并针对性地发出有关风险提示，建立非现场监管体系和监管评级体系，从而构建了信息科技风险监管的基础框架，全面展开信息科技风险的监管工作。

按照郭利根副主席提出的“集成资源，形成信息科技风险监管合力”和“搞好规划，全面加强信息科技风险监管制度建设”要求，银监会强化机制建设、优化资源配置，整合科技人力资源，集中全国银监会系统科技骨干力量，在北京成立了信息科技监管“专项工作组”，又在上海、深圳两地分别成立信息科技风险监管工作室，按照统一调度、统一指挥、统一培训的工作原则，制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举，形成了矩阵式的监管工作模式，快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。

《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干，参加《手册》编写工作；银监会各部门与各银监局提出了许多宝贵意见；上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧，汇聚了银监会各部门与各银监局的宝贵意见和建议，应属于银监会系统及科技人员共同努力的成果和结晶。在此，向所有参与工作的单位和个人致以诚挚的谢意！

编写人员

林丽朱永扬怿卫飞李丹骆絮飞邹伟房世晖

崔维琪朱斌冯业伟叶照乔昱瑞纪奀武齐兴利

吴瑞麟陈宏宇

谭杨李鹏张伟周嘉弘史文明李海波

张惠芳郝海峰何禹包龙

李晓东杨中华靖雪晶殷有超陆阳崔晨怿美东

陆翔盛于南怿殿南

陈云龙

游琨

刘楠

第一部分概述.............................................2

1.银行信息科技风险及其监管...............................2

1.1 银行信息科技风险................................................................2 1.2 银行信息科技风险特点............................................................2

1.3 风险成因分析....................................................................3

1.4 信息科技风险监管意义............................................................4 2.现场检查一般流程.......................................5

2.1 现场检查准备阶段................................................................5 2.2 现场检查实施阶段................................................................7

2.3 现场检查后续阶段................................................................8 3.常用检查方法...........................................9 第二部分科技管理.......................................11 4.科技治理..............................................11

4.1 董事会及高管层.................................................................11 检查项 1 ：董事会和高级管理层............................................................................................11

4.2 信息科技工作的管理机构.........................................................12

检查项 1 ：全行信息科技工作的管理机构.............................................................................12

4.3 信息科技部门...................................................................13

检查项 1 ：信息科技部门.......................................................................................................13

4.4 信息科技战略规划...............................................................15

检查项 1 ：信息科技战略规划................................................................................................15

4.5 信息科技风险管理部门...........................................................15

检查项 1 ：信息科技风险管理部门........................................................................................15

4.6 信息科技风险审计...............................................................16

检查项 1 ：信息科技风险审计机制........................................................................................16

4.7 知识产权保护...................................................................17

检查项 1 ：敉识产权制度.......................................................................................................17

4.8 信息披露.......................................................................17

检查项 1 ：信息披露..............................................................................................................17 5.连续性管理............................................18

5.1 信息系统连续性组织.............................................................18 检查项 1：系统连续性管理组织..............................................................................................18 检查项 2：系统连续性管理组织职责......................................................................................19 检查项 3：系统连续性计划编制、维护...................................................................................20 检查项 4：系统连续性计划编制、维护职责...........................................................................20 检查项 5：系统连续性计划执行组织......................................................................................20 检查项 6：系统连续性计划执行组织职责...............................................................................21 检查项 7：人员变动管理.........................................................................................................22 5.2 信息系统连续性计划.............................................................22 检查项 1：系统连续性计划.....................................................................................................22 检查项 2：测试及持续更新.....................................................................................................24 检查项 3：信息系统连续性计划管理......................................................................................25 检查项 4：系统连续性计划培训..............................................................................................25 检查项 5：系统连续性计划审计..............................................................................................25 6.应急管理..............................................26

6.1 应急组织.......................................................................26 检查项 1：应急管理团队.........................................................................................................26 检查项 2：应急管理职责.........................................................................................................27 检查项 3：应急管理制度.........................................................................................................27 6.2 应急预案.......................................................................27

检查项 1：应急预案制订.........................................................................................................27

检查项 2：应急预案内容.........................................................................................................28

检查项 3：应急预案更新.........................................................................................................29 检查项 4：外包服务应急.........................................................................................................29 检查项 5：应急培训................................................................................................................29 6.3 应急演练.......................................................................30 检查项 1：应急演练前............................................................................................................30 检查项 2：应急演练过程.........................................................................................................30 检查项 3：应急演练后............................................................................................................30 6.4 应急响应.......................................................................31 检查项 1：应急响应流程.........................................................................................................31 检查项 3：应急事件报告.........................................................................................................32 检查项 4：与第三方沟通.........................................................................................................32 检查项 5 ：向新闻媒体通报制度............................................................................................32 检查项 6：应急处置总结.........................................................................................................33 6.5 应急保障.......................................................................33 检查项 1：人员保障................................................................................................................33 检查项 2：物质保障................................................................................................................33 检查项 3：技术保障................................................................................................................34 检查项 4：沟通保障................................................................................................................34 6.6 持续改进.......................................................................34 检查项 1：应急事件评估、改进..............................................................................................34 检查项 2：应急响应评估.........................................................................................................35 检查项 3：应急管理评估.........................................................................................................35 检查项 4：纳入全面风险管理机制..........................................................................................35 7.信息系统安全管理......................................35

7.1 安全管理组织...................................................................36 检查项 1：管理目标................................................................................................................36

检查项 2：人员风险................................................................................................................36

7.2 安全管理制度...................................................................37 检查项 1：规章制度................................................................................................................37 检查项 2：制度合规................................................................................................................38 查项 3：制度执行....................................................................................................................38 检查项 4：宣传和教育培训.....................................................................................................39 检查项 5：事件响应和处理.....................................................................................................39 8.外包管理..............................................40

8.1 服务外包管理制度...............................................................40 检查项 1：服务外包管理制度.................................................................................................40 检查项 2：对重要外包项目评估..............................................................................................41 检查项 3：外包安全保密措施.................................................................................................41 8.2 服务外包管理风险评估...........................................................41 检查项 1：对服务外包商评估.................................................................................................41 检查项 2：对服务外包商审查.................................................................................................42 8.3 服务外包审批...................................................................42

检查项 1：服务外包审批流程.................................................................................................42

8.4 服务外包应急响应...............................................................42 检查项 1：服务外包应急计划.................................................................................................42 检查项 2：服务外包商联络机制..............................................................................................43 检查项 3：服务外包应急演练.................................................................................................43 8.5 外包合同.......................................................................43 检查项 1：外包合同................................................................................................................43 检查项 2：服务外包商访问权限..............................................................................................44 检查项 3：外包服务法律风险.................................................................................................44 8.6 服务外包文档的完备性...........................................................45

检查项 1：服务外包文档.........................................................................................................45

第二篇：银行业信息科技风险监管报告

探索银行业信息科技风险监管框架

银行业信息科技风险监管概述

信息科技风险是随着信息科技技术广泛应用而新生的词汇，最早出现在上世纪九十年代，目前业界对此缺乏统一的定义。中国银监会定义的信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

2001年巴塞尔新资本协议草案明确了银行业资本监管的发展趋势，即将资本要求与银行风险管理紧密相连。新资本协议以监管当局对资本计量的要求为基础，通过约束银行资本，达到控制行业规模和风险的目的。在新资本协议关注的三大风险中，信息科技风险被默认为操作风险的一部分，未对信息科技风险的管理提出具体要求。

信息科技稳定运行是银行业务正常经营的基本条件，银行数据集中造成了风险的高度集中，科技风险成为唯一能使银行瞬间瘫痪的风险。信息科技风险具有区别于其他操作风险的特殊性：一是风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高；二是由于管理因素、技术因素多重作用，导致偶发性和不确定性突出；三是信息科技一般不直接造成经济损失，其造成的间接损失难以计量；四是单个信息系统可影响多个业务，影响范围广且具有不确定性。

科技风险与操作风险当前处在不同的发展阶段，其管理理论、管理方法等方面有着一定的差异性。在管理体系方面，信息科技风险管理的理论已进入风险导向的科技风险管理阶段，但以风险为导向的识别、监测、计量方面尚不成体系；在管理方法方面，信息科技风险的特殊性在于产品和技术层面的风险也是其重要风险因素；在损失特点方面，信息科技风险通常不产生直接的风险损失，这决定了通常情况下科技风险损失往往难以使用货币金额方式进行表示；在风险计量方面，目前尚缺乏有效计量信息科技风险资本的方法。

当前银行业大多将信息科技风险作为操作风险的一部分，纳入银行全面风险管理体系。但是，随着行业发展和技术进步，在操作风险模式下管理信息科技风险也存在一定的困难：一是目前的操作风险管理方法中对科技风险的管理方法涉及较少，难以兼顾到信息科技风险的专业技术特性，难以实现对信息科技风险的有效管理；二是风险监管资本计量未能充分考虑信息科技风险因素，信息科技风险造成的损失及其相应的监管资本计量存在困难。基于科技风险特点及其作为操作风险一部分进行管理遇到的问题，将信息科技风险从操作风险中拆分并独立管理，能更有效的管理信息科技风险。

信息科技风险应被视为一种独立的、重要的风险类型被单独管理，与操作风险的管理分开；应根据信息科技损失的特点设计与操作风险标准法和高级法匹配的计量模型，体现信息科技风险对银行资本的影响和敏感性。

银行业信息科技风险核心监管指标

在实施“风险为本”的监管框架中，需要探索建立一套可量化、相对简单、可动态监测的核心监管指标体系，来动态监测信息科技风险状况，直观评估银行信息科技风险的管理水平。

核心监管指标作为监管机构识别和预警银行风险的重要手段和方法，对健全内部风险制衡机制，完善风险管理政策和流程，优化风险计量工具，进行有效的风险控制起到了积极的促进作用。信息科技风险核心监管指标可以分为两类，一类是结果性指标，另一类是过程性指标。结果性指标是以目标为导向，对已经发生的科技风险事件和信息安全事件进行统计后建立的量化指标，其反映的是风险状况和发展趋势。过程性指标主要反映银行风险控制和管理能力。这样两类指标相互补充，起到全面评估机构风险水平的目的。

信息科技风险监管具体目标包括业务连续性、信息安全、公众满意度以及合法合规。从信息科技风险监管目标出发，可逐层分解出系统可利用率、业务量等指标，它们相对简单、直观、容易测算和计量，可以成为结果性指标。另外一类是过程性指标，这类指标基于当前银行业信息科技管理最佳实践，对信息科技的每个领域都能够起关键控制作用。监管指标一方面可以用来监测银行业整体风险状况，评估银行业风险水平，同时也可以与监管手段相结合，提高信息科技风险监管水平。

银行业信息科技风险资本计量

信息科技风险是巴塞尔新资本协议全面风险计量框架中的组成部分，科技风险资本计量是科技风险管理的重要手段。

计量信息科技风险可以借鉴当前相对成熟的操作风险的计量方法。但是，直接用操作风险计量方法计量信息科技风险存在挑战，主要表现如下：一是信息科技风险与总收入、业务交易量、客户数或业务交易金额等指标的关联并不密切；二是大部分信息科技风险的损失不是显性的，除少数信息科技风险事件（如引发客户索赔、延误罚息）有“直接损失”外，大部分信息科技风险事件的影响体现为业务中断、声誉受损等“间接损失”；三是信息科技风险损失数据相对较少，极端严重事件的数据更少，计量 “尾部风险”面临挑战。

基于高级法的计量思路是在操作风险的统一计量框架下对信息科技风险这一类型单独计量，可将信息风险损失定义为金额损失和时间损失两个维度，建立时间与金额的转换关系，拟合频率分布和严重度分布，之后整合为总损失分布，根据置信度确定未来一定时期内的非预期损失，最后用内部衡量法进行调整得出计量结果。将科技风险持续时间转换为间接损失金额有两种方法，分别为解析法和映射法。解析法是考量信息系统对银行利润贡献度，即某个信息系统单位时间对银行产生的利润，根据系统中断时间、影响范围、系统重要性进行计算，得出信息科技风险事件的间接损失。映射法是根据影响范围和系统重要程度将影响时间加权计算转化为“标准”的影响时间，然后建立标准影响时间与损失金额之间的映射关系，从而确定损失。

未来，随着信息技术的飞速发展，银行业对信息科技的依赖越来越大，云计算、物联网等新技术既加快了银行创新发展，对信息科技风险管理提出了更高的要求；快速变化的外部环境，开放的互联网环境，技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等，所有这些都使得信息科技风险管理与监管面临着更加现实的挑战，需要我们不断地思考和研究，提高信息科技风险管理能力。

（本文是中国金融四十人论坛内部课题《银行业金融机构信息科技风险监管研究》的报告简本，课题得到中国金融四十人论坛立项资助并组织专家评审）

第三篇：银行业金融机构信息科技风险非现场监管报表

银行业金融机构信息科技风险非现场监管报表

（征求意见稿）目录

第一部分报表..................................................1 I信息科技风险调查问卷............................................1 Q-R-1 信息科技风险调查问卷.....................................1 II基本情况报表...................................................8 T-B-1 信息科技治理基本情况表...................................8 T-B-2 信息科技风险管理情况表..................................10 T-B-3 信息科技内外部审计与评估基本情况表......................12 T-B-4 应急管理基本情况表......................................14 T-B-5 信息科技项目基本情况表..................................15 T-B-6 灾备基本情况表..........................................16 T-B-7 外包基本情况表..........................................18 T-B-8 各类中心基本情况表......................................19 T-B-9 数据中心及灾备中心机房基本情况表........................20 T-B-10 重要信息系统统计表......................................21 T-B-11 网络基本情况表..........................................23 T-B-12 电子银行业务品种统计表..................................24 T-B-13 电子银行业务量统计表....................................25 第二部分季度报表.................................................27 T-B-14 重要信息系统运行基本情况报表............................27 T-B-15 组织机构、人员重大变动表................................30 第三部分报告......................................................31 R-R-1 信息化建设与信息科技风险管理报告....................31 附录参考定义.....................................................32 2 填报须知

一、本报表作为银监会信息科技风险监管体系的重要组成部分及信息科技风险识别、评估工作的基础和前提，旨在全面收集和监测银行业金融机构信息科技风险状况。

二、本报表主要适用于在中华人民共和国境内依法设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、外资法人银行等银行业金融机构。

三、本报表是为针对信息科技风险而设的专门报表，银行业金融机构应当对所填报数据的真实性负责。

四、本报表应由风险管理部门组织填报。

五、本报表分为报表、季度报表和报告。报表统计周期为12个月，即上一年10月1日至本9月30日，报送截止时间为每年10月15日；季度报表报送时间为季后10日内；报告报送时间为自然年后40日内。

六、报表中未特别说明统计范围的，皆指全行范围。

七、填报过程中，对于需要特别说明的项目或问题，请在备注栏中描述具体情况。

八、报送截止后，对于存在疑问的报表，监管人员可要求机构提供详实材料予以核实或重报；如有必要，将发起现场检查，并以现场检查结果为准。

九、本报表附有术语参考定义，填报过程中可供参考。第一部分报表

I信息科技风险调查问卷

Q-R-1 信息科技风险调查问卷

填报机构：填报人：责任人：填报日期：年月日编号项目填报说明内容单位备注 1.信息科技风险管理 Q0001 对信息科技制度进行定期修订

以信息科技制度修订发文为准□是□否 N/A Q0002 对信息科技规划定期评估并修改

若对信息科技规划定期评估并修改，请回答是 □是□否 N/A Q0003 制定了关键岗位轮岗计划并依照执行

以轮岗计划和记录（接替岗位后工作至少一周）为准 □是□否 N/A Q0004 规定在职人员定期参加信息安全及保密培训

以相应人员参与的培训记录为准□是□否 N/A 2.审计 Q0005 依据制定的审计计划、方案开展信息科技审计

以相应批文为准□是□否 N/A Q0006 信息科技审计报告抄送风险管理部门

以提交给风险管理部门的审计报告为准

□是□否 N/A Q0007 与外部审计机构签署保密协议

若所有的外部审计活动均与外部审计机构签署保密协议，请回答是 □是□否 N/A Q0008 信息科技内部审计覆盖的比例

请计算最近12个月信息科技内部审计的分支机构数与分支机构数的比值 % 3.重要信息系统 Q0009 发生核心业务系统替换或计划实施核心业务系统替换

若最近12 个月发生核心系统的替换或未来12个月计划实施，请回答是

□是□否 N/A Q0010 有多少家外部机构将系统或设备交由本机构托管

如有其他机构（或银行）将其系统、设备或业务处理交由本机构管理（托管行为），请统计这些机构的数量个

Q0011 交由外部机构托管的系统数

请统计交由外部机构托管的系统数个 Q0012 与本机构发生数据交换的外联系统数量

请统计所有与本机构发生数据交换的外联系统总数，以运行部门的记录或外部接口文件（EIF）记录为准个 Q0013 生产环境中具有高耦合度的信息系统数

若系统的耦合度高，单一系统出现故障时会导致其他多个系统无法正常运行，请分析和统计能导致此类情况的系统总数。以系统结构图或内部逻辑接口文件（ILF）为准个 Q0014 仍在使__________用供应商已正式宣布停止支持的系统平台的重要信息系统数

系统平台包括：操作系统、数据库、中间件、服务器等个 Q0015 核心业务系统中相互逻辑分离的数据库数

例如，对公业务使用的数据库和对私业务使用的数据库是逻辑分离的，其中一个数据库失效不会影响另一个数据库的正常运行，就记作 2 个相互逻辑分离的数据库个 Q0016 重要信息系统当前容量规划可满足业务发展需求的最少年数

以容量规划文档为准年 4.系统开发与测试 Q0017 项目实施部门定期向信息科技管理委员会提交重大项目进度报告

以提交的进度报告为准□是□否 N/A Q0018 在重大项目各阶段均进行风险评估，并向项目管理组织沟通风险点，确定处臵方案

以各阶段风险评估报告记录为准□是□否 N/A Q0019 业务和系统需求等经业务部门和科技部门共同确认

以需求、设计相关文档为准□是□否 N/A Q0020 将信息安全要求纳入系统设计

以需求、设计相关文档为准。信息安全要求主要包括数据安全、身份验证、权限管理等内容 □是□否 N/A Q0021 系统投产前，准生产验证环境的软件与生产环境相同

准生产验证环境的软件包括操作系统、数据库、中间件、应用程序。以生产验证环境和生产环境的配臵项清单为准 □是□否 N/A Q0022 总行科技部门现行项目中，有独立质量保证人员参与的项目总数

请统计目前分配有质量保证人员的项目总数个 Q0023 完成用户验收测试的项目数

请统计最近12个月完成用户验收测试的项目数个 Q0024 用户验收测试（UAT）前已完成代码安全检查的项目数

请统计最近12个月上线的信息系统在UAT前已完成代码安全检查工作的项目数个

5.信息系统变更

Q0025 建立变更的授权审批机制对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序。以相关变更授权审批制度为准 □是□否 N/A 3 Q0026 所有涉及生产环境的变更，变更前有回退和应急方案

在系统变更前，变_______更申请部门制订回退和应急方案。以相关方案文档为准

□是□否 N/A Q0027 涉及生产环境的变更由业务部门与科技部门共同审批

以审批流程文档和审批人员清单为准

□是□否 N/A Q0028 所有涉及生产环境的变更由独立人员进行复核

以相关规定以及复核人员清单为准

□是□否 N/A Q0029 所有变更都留有记录，并由内部审计人员或信息安全人员定期核查

以变更记录和审查记录为准□是□否 N/A Q0030 重要信息系统紧急变更数请统计最近12个月内重要信息系统紧急变更的次数。以系统运行部门的记录为准次

Q0031 涉及生产环境的变更数请统计最近12个月内涉及生产环境的变更总数（包括各信息科技生产部门的重要信息系统和非重要信息系统的变更）。以系统运行部门的记录为准次 Q0032 未在测试环境中进行验证的变更数

请统计最近12个月内未在测试环境中进行验证的变更数，以验证记录为准次

6.信息系统运行 Q0033 系统运行、维护、开发人员的岗位相互完全分离且不存在兼岗

以岗位清单和岗位职责定义为准□是□否 N/A Q0034 为所有关键岗位配备规范、准确的操作手册以指导运行人员操作

以操作手册为准□是□否 N/A Q0035 运行人员对生产系统的操作由独立人员复核

若运行人员对生产系统的操作有独立人员复合，请回答是 □是□否 N/A Q0036 运行人员对生产系统的任何操作保留操作记录

以操作记录文档和记录方法说明为准

□是□否 N/A Q0037 对数据库均通过菜单、数据流操作

若所有对数据库的操作均通过菜单、数据流，而非直接操作数据库，请回答是 □是□否 N/A Q0038 批处理过程有专人监控，记录操作及执行情况，并处理异常事件

若批处理过程有专人监控，记录操作及执行情况，并处理异常事件，请回答是 □是□否 N/A Q0039 利用实时监控工具对系统运行环境、重要信息系统运行状况等进行监控

以监控系统相关文档为准□是□否 N/A Q0040 实时监控工具具有自动4 納预警功

第四篇：银行业金融机构信息科技外包风险监管指引

中国银行业监督管理委员会

银监发[2013]5号

中国银监会关于印发银行业金融机构信息科技外

包风险监管指引的通知

各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：

现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日

银行业金融机构信息科技外包风险监管指引

第一章总则

第一条

为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条

在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条

本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：

（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条

本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条

信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：

（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条

本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条

本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条

银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第九条

银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条

银行业金融机构在实施信息科技外包时应当坚持以下原则：

（一）以不妨碍核心能力建设、积极掌握关键技术为导向；

（二）保持外包风险、成本和效益的平衡；

（三）强调外包风险的事前控制，保持管控力度；

（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十一条

银行业金融机构在实施信息科技外包时，不得将信息科技管理责任外包。

第十二条

对于不涉及银行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，按照本指引第五章要求进行管理。

第二章外包管理组织架构

第十三条

银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门，制定并审批信息科技外包战略，审议信息科技外包管理流程及制度，督促并监控信息科技外包风险管理效果。

第十四条

信息科技外包风险主管部门的主要职责包括：

（一）对外包风险进行识别、评估与风险提示；

（二）监督、评价外包管理工作，并督促外包风险管理的持续改善；

（三）向高级管理层定期汇报信息科技外包活动相关风险管理情况；

（四）董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条

银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责：

（一）实施信息科技外包战略；

（二）制定并执行信息科技外包管理制度与流程；

（三）执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；

（四）制定保障外包服务持续性的应急管理方案，并组织实施定期演练；

（五）对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章信息科技外包战略及风险管理

第一节信息科技外包战略

第十六条

银行业金融机构应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十七条

银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条

银行业金融机构应当根据外包战略制定资源、能力建设方案，通过补充人员、提升技能、知识转移等方式，有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

第十九条

银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理管控服务提供商的数量从而降低风险及管理成本等。

第二十条

银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本。

第二十一条

银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作，但应当保持关联外包有关决策的独立性，避免因关联关系而降低外包活动的风险控制水平。

第二节信息科技外包风险管理

第二十二条

银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条

银行业金融机构应当对重要的外包服务提供商进行定期的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。

第二十四条

银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。

第四章信息科技外包管理

第一节外包风险评估及准入

第二十五条

外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处臵措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。

第二十六条

银行业金融机构应当根据供应商关系管理策略，结合风险评估结果及服务提供商的准入标准，对备选服务提供商进行初步筛选，防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。

第二十七条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第二节服务提供商尽职调查

第二十八条

对重要的服务提供商，银行业金融机构在与其签订合同前应当深入开展尽职调查，必要时可聘请第三方机构协助调查。

第二十九条

银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。

第三十条

银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等。

第三十一条

银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。

第三十二条

对于关联外包，银行业金融机构不得因关联关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包

服务、处理突发事件等。

第三十三条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第三节外包服务合同及要求

第三十四条

银行业金融机构在实施外包服务项目前，应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

第三十五条

银行业金融机构在合同或协议中应当明确以下内容，包括但不限于：

（一）服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；

（二）合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施；

（三）服务连续性要求，服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求；

（四）银行业金融机构监控和检查的权利、频率，服务提供商配合其内、外部审计机构检查，及配合银行业监管机构检查的责任；

（五）政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处臵等过渡期间相关服务的安排；

（六）外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；

（七）服务要求或服务水平条款，至少应当包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等；

（八）争端解决机制、违约及赔偿条款，至少包括如下内容：服务质量违约、安全违约、知识产权违约等，及在各种违约情况下的赔偿以及外包争端的解决机制；

（九）报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施。包括但不限于：

（一）禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息，以防止信息被非授权使用；

（二）在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款；

（三）在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动；

（四）服务提供商接触银行业金融机构信息时，需满足安全和保密相关条款的要求；

（五）在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行业信息科技风险类突发事件时，服务提供商应及时向银行业金融机构报告，包括事件的影响以及处臵

和纠正措施。

第三十七条

银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：

（一）不得将外包服务的主要业务分包；

（二）主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议；

（三）主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。

第四节外包服务安全管理

第三十八条

银行业金融机构应当制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括：

（一）对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实；

（二）明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；

（三）对重要或核心的信息系统开发交付物进行源代码检查和安全扫描；

（四）定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。

第三十九条

银行业金融机构对关联外包服务提供商定期进行的安全检查，不得以服务提供商的自评估替代，不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条

银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。

第五节外包服务监控与评价

第四十一条

银行业金融机构应当对外包服务过程进行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。

第四十二条

银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标，并进行相应监控。常见指标包括：

（一）信息系统和设备及基础设施的可用率、设备的开机率；

（二）故障次数、故障解决率、故障的响应时间；

（三）服务的次数、客户满意度；

（四）各阶段业务需求的及时完成率、程序的缺陷数、需求变更率；

（五）外包人员工作饱和率、外包人员的考核合格率。

第四十三条

银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。

第四十四条

银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。

第四十五条

银行业金融机构监控到异常情况时，应当及时督促服务提供商采取纠正措施，情节严重的或未及时纠正的，应当约谈服务提供商高管人员并限期整改。

第四十六条

外包服务结束时，银行业金融机构应当对服务提供商进行评价，评价结果应当作为服务提供商准入的重要参考依据。

第四十七条

对于关联外包，银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围，建立外包服务重大事件问责机制。同时，应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。

第六节外包服务中断与终止

第四十八条

银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性地完善业务连续性管理计划，包括但不限于：

（一）识别出重要业务所涉及的服务提供商和资源；

（二）通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源；

（三）对服务提供商业务连续性管理进行监控，并评价其管理水平；

（四）在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第四十九条

为降低外包突发事件的可能性及影响，银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施，包括但不限于以下内容：

（一）在外包服务实施过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况；

（二）与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权；

（三）要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员；

（四）对于涉及重要业务的外包服务，银行业金融机构需考虑预先在其内部配臵相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。

第五十条

银行业金融机构应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，考虑因素包括但不限于以下内容：

（一）事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等；

（二）事件持续时间和恢复可能性；

（三）事件影响范围和可能的应急措施；

（四）服务提供商自行恢复服务的可能性和时间；

（五）备选的服务提供商以及外包服务迁移方案；

（六）外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。

第五十一条

对于无法满足外包服务要求或发生重大事件的情况，银行业金融机构应当在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。对于关联外包，银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。

第五章机构集中度风险管理

第五十二条

银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比，服务提供商所承接外包服务在银行业服务市场占比情况，识别具有机构集中度特点的外包服务提供商。同时，还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。

第五十三条

银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式，降低机构集中度，减少对外包服务提供商的依赖。

第五十四条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据，证明其内部控制和管理能力、持续运营能力等。

第五十五条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源，包括服务团队、场地、系统、设备等；并对资源进行定期检查，确保资源及时到位。

第五十六条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中，明确外包服务的优先级，并进行服务中断应急演练，服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。

第五十七条

银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控，建立信息收集机制，及时掌握风险事件情况，防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。

第五十八条

银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度，必要时可指派专人进行现场监督。

第五十九条

对于具有机构集中度特点的外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行外包管理。

第六章跨境及非驻场外包管理

第一节跨境外包风险管理

第六十条

跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。

第六十一条

跨境外包除具有本指引前述风险外，还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险，及由于外包实施场地远离银行业金融机构而产生的非驻场风险。

第六十二条

银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况，通过建立业务连续性计划防范跨境外包所带来的国别风险。

第六十三条

银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。

第六十四条

银行业金融机构在选择跨境外包时，应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。

第六十五条

银行业金融机构在选择跨境外包时，还应当充分审查评估服务提供商保护客户信息的能力，并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包，应当在符合监管法规政策并获得客户授权的前提下开展。

第六十六条

银行业金融机构在实施跨境外包时，其合同应当包括法律选择和司法管辖权的约定，明确争议解决时所适用的法律及司法管辖权，原则上应当要求服务提供商依照中国的法律解决纠纷。

第二节非驻场外包风险管理

第六十七条

非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控，应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

第六十八条

银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准，该标准应当作为选择服务提供商的最低要求。

第六十九条

银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次，检查结果作为外包服务提供商项目考核及准入的重要指标。

第七十条

银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估，评估结果作为供应商准入的重要依据。对于高风险的服务提供商，银行业金融机构应当责令其进行限期整改，对于逾期未改的服务提供商应当暂停或取消其服务资格。

第七十一条

对于非驻场外包服务提供商为同业托管机构的情况，银行业金融机构可以参照本节内容对其进行外包管理，但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分，不得区别对待，降低对自身提供外包服务的风险管控水平。

第七章银行业重点外包服务机构风险管理要求

第七十二条

银行业重点外包服务机构是指集中为银行业金融机构提供外包服务，同时满足下述条件，如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构，具体条件如下：

(一)承担集中存贮客户数据的业务交易系统外包服务；或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务；或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务；且上述服务均为非驻场外包服务。

(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上；或服务的跨区域经营法人银行业金融机构数量达到3家或以上；或服务的其他类型法人银行业金融机构数量达到10家或以上。

第七十三条银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示，按照如下要求进行管理：

(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年。

(二)银行业重点外包服务机构应当拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证。

(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系，建立完善的信息安全、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行。

(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条

银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二)具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。

(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应当达到国家电子计算机机房最高标准。

(四)承担集中存贮客户数据的业务交易系统外包服务，或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。

第七十五条

银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求：

(一)银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取控制或缓释措施。

(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构，并抄送银监会或其派出机构。

(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应当与项目成员签订保密协议，并保留至少10年的法律追诉期。

第八章监督管理

第七十六条

银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告，针对银行业金融机构信息科技外包风险，银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。

（一）信息科技工作整体外包；

（二）数据中心或灾备中心整体外包；

（三）涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包；

（四）以非驻场形式实施的、集中存贮客户数据的业务交易系统外包；

（五）关联外包；

（六）涉及跨境的信息科技外包；

（七）其他银监会认为重要的信息科技外包。

第七十七条

银行业金融机构信息科技外包活动中发生如下重大事件时，应当在两个工作日内向银监会或其派出机构报告。

（一）银行业金融机构客户信息等敏感数据泄露；

（二）数据损毁或者重要业务运营中断；

（三）由于不可抗力或服务提供商重大经营、财务问题，导致或可能导致多家银行业金融机构外包服务中断;

（四）其他重大的服务提供商违法违规事件；

（五）银监会规定需要报告的其他重大事件。

第七十八条

银行业金融机构在开展外包风险管理评估工作后，应当将风险评估报告报送银监会或其派出机构。

第七十九条

银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，监督检查结果纳入对银行业金融机构的监管评级。

第八十条

对于风险较高的信息科技外包服务，银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务，直至银行业金融机构、外包服务提供商有效改正。

第八十一条

银行业金融机构违反本指引规定的，银监会或其派出机构可要求其纠正或采取替代方案，并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的，依法追究银行业金融机构管理责任。

第八十二条

银监会实行银行业信息科技外包服务活动风险监测机制，定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示，防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条

银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估，根据需要，可以要求银行业金融机构与重点外包服务机构会谈，就其外包服务活动和风险的重大事项作出说明。

第八十四条

银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动，原则上每两年进行一次，也可以委托其他第三方机构审计的形式实施。

第八十五条

银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果，对银行业金融机构发出监管提示，要求其督促银行业重点外包服务机构对风险问题实施整改。

第八十六条

银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。

第八十七条

银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录，并对其进行风险评估和评级。

第八十八条

服务提供商在外包服务中存在以下情形的，银监会定期向银行业发布服务提供商风险预警，公布机构名单、服务信息等，要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务，禁止期至少为两年。外包服务提供商两年内仍未整改的，延长其禁止期。

（一）违反国家法律、法规和监管政策，情节严重的；

（二）窃取、泄露银行业金融机构敏感信息，情节严重的；

（三）因管理过失，多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的；

（四）服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改的；

（五）对风险监测和实地检查发现的问题，逾期仍未整改的；

（六）存在其他违法违规行为，或发生其他重大信息科技风险事件的。

第八十九条

银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动，银行业金融机构应当立即评估外包的适当性，对信息科技外包服务提供商进行风险预警提示，要求其进行整改并设定期限；逾期未整改的，禁止其承担信息科技外包服务。

第九章附则

第九十条

本指引由银监会负责解释、修订。第九十一条

本指引自公布之日起施行。

第五篇：商业银行信息科技风险现场检查指南

商业银行信息科技风险

现场检查指南

第一部分概述.............................................................................................................................12 1.指南说明...................................................................................................................................13 1.1 目的及适用范围.............................................................................................................13 1.2 编写原则.........................................................................................................................14 1.3 指南框架.........................................................................................................................15 第二部分科技管理.....................................................................................................................17 2.信息科技治理...........................................................................................................................18 2.1 董事会及高级管理层.....................................................................................................18 检查项1 ：董事会........................................................................................................18 检查项2 ：信息科技管理委员会................................................................................19 检查项3 ：首席信息官（CIO）..................................................................................20 2.2 信息科技部门.................................................................................................................21 检查项1 ：信息科技部门............................................................................................21 检查项2 ：信息科技战略规划....................................................................................23 2.3 信息科技风险管理部门.................................................................................................24 检查项1 ：信息科技风险管理部门............................................................................24 2.4 信息科技风险审计部门.................................................................................................25 检查项1 ：信息科技风险审计部门............................................................................25 2.5 知识产权保护和信息披露.............................................................................................26 检查项1 ：知识产权保护............................................................................................26 检查项2 ：信息披露....................................................................................................26 3.信息科技风险管理...................................................................................................................28 3.1 风险识别和评估.............................................................................................................28 检查项1 ：风险管理策略............................................................................................28 检查项2 ：风险识别与评估........................................................................................29 3.2 风险防范和检测.............................................................................................................29 检查项1 ：风险防范措施............................................................................................29 检查项2 ：风险计量与检测........................................................................................30 4.信息安全管理...........................................................................................................................32 4.1 安全管理机制与管理组织.............................................................................................32 检查项1：信息分类和保护体系..................................................................................32 检查项2：安全管理机制..............................................................................................33 检查项3：信息安全策略..............................................................................................34 检查项4：信息安全组织..............................................................................................34 4.2 安全管理制度.................................................................................................................35 检查项1：规章制度......................................................................................................35 检查项2：制度合规......................................................................................................36 2 检查项3：制度执行......................................................................................................37 4.3 人员管理.........................................................................................................................38 检查项1：人员管理......................................................................................................38 4.4 安全评估报告.................................................................................................................39 检查项1：安全评估报告..............................................................................................39 4.5 宣传、教育和培训.........................................................................................................39 检查项1：宣传、教育和培训......................................................................................39 5.系统开发、测试与维护.............................................................................................................41 5.1开发管理..........................................................................................................................41 检查项1：管理架构......................................................................................................41 检查项2：制度建设......................................................................................................43 检查项3：项目控制体系..............................................................................................44 检查项4：系统开发的操作风险..................................................................................45 检查项5：数据继承和迁移..........................................................................................46 5.2系统测试与上线..............................................................................................................47 检查项1：系统测试......................................................................................................47 检查项2：系统验收......................................................................................................49 检查项3：投产上线......................................................................................................49 5.3系统下线..........................................................................................................................50 检查项1：系统下线......................................................................................................50 6.系统运行管理...........................................................................................................................52 6.1 日常管理.........................................................................................................................52 检查项1：职责分离......................................................................................................52 检查项2：值班制度......................................................................................................53 检查项3：操作管理......................................................................................................53 检查项4：人员管理......................................................................................................54 6.2 访问控制策略.................................................................................................................55 检查项1：物理访问控制策略......................................................................................55 检查项2：逻辑访问控制策略......................................................................................56 检查项3：账号及权限管理..........................................................................................57 检查项4：用户责任及终端管理..................................................................................58 检查项5：远程接入的控制..........................................................................................59 6.3 日志管理.........................................................................................................................60 检查项1：审计日志检查..............................................................................................60 检查项2：日志信息的保护..........................................................................................60 检查项3：操作日志的检查..........................................................................................61 检查项4：错误日志的检查..........................................................................................61 6.4系统监控..........................................................................................................................62 检查项1：基础环境监控..............................................................................................62 检查项2：系统性能监控..............................................................................................62 检查项3：系统运行监控..............................................................................................63 检查项4：测评体系......................................................................................................64 6.5 事件管理.........................................................................................................................65 3 检查项1：事件报告流程..............................................................................................65 检查项2：事件管理和改进..........................................................................................66 检查项3：服务台管理..................................................................................................67 6.6问题管理..........................................................................................................................67 检查项1：事件分析和问题生成..................................................................................68 检查项2：台账管理......................................................................................................68 检查项3：问题处臵......................................................................................................68 6.7 容量管理.........................................................................................................................69 检查项1：容量规划......................................................................................................69 检查项2：容量监测......................................................................................................70 检查项3：容量变更......................................................................................................70 6.8 变更管理.........................................................................................................................71 检查项1：变更的流程..................................................................................................72 检查项2：变更的评估..................................................................................................72 检查项3：变更的授权..................................................................................................73 检查项4：变更的执行..................................................................................................73 检查项5：紧急变更......................................................................................................74 检查项6：重大变更......................................................................................................74 7.业务连续性管理.......................................................................................................................76 7.1 业务连续性管理组织.....................................................................................................77 检查项1：董事会及高管层的职责..............................................................................77 检查项2：业务连续性管理组织的建立......................................................................78 检查项3：业务连续性管理组织职责..........................................................................79 7.2 IT服务连续性管理........................................................................................................80 检查项1：IT服务连续性计划的组织保障.................................................................80 检查项2：风险评估及业务影响分析..........................................................................81 检查项3：IT服务连续性计划的制定.........................................................................81 检查项4：IT服务连续性计划的测试与维护.............................................................82 检查项5：IT服务连续性计划审计.............................................................................83 检查项6：IT服务连续性相关领域的控制.................................................................84 8.应急管理...................................................................................................................................85 8.1 应急组织.........................................................................................................................85 检查项1：应急管理团队..............................................................................................85 检查项2：应急管理职责..............................................................................................86 检查项3：应急管理制度..............................................................................................86 8.2 应急预案.........................................................................................................................87 检查项1：应急预案制订..............................................................................................87 检查项2：应急预案内容..............................................................................................87 检查项3：应急预案更新..............................................................................................89 检查项4：外包服务应急..............................................................................................89 检查项5：应急预案培训..............................................................................................90 8.3 应急保障.........................................................................................................................90 检查项1：人员保障......................................................................................................90 4 检查项2：物质保障......................................................................................................90 检查项3：技术保障......................................................................................................91 检查项4：沟通保障......................................................................................................91 8.4 应急演练.........................................................................................................................92 检查项1：应急演练的计划..........................................................................................92 检查项2：应急演练的实施..........................................................................................92 检查项3：应急演练的总结..........................................................................................93 8.5 应急响应.........................................................................................................................93 检查项1：应急响应流程..............................................................................................93 检查项2：全程记录处臵过程......................................................................................94 检查项3：应急事件报告..............................................................................................95 检查项4：与第三方沟通..............................................................................................95 检查项5：向新闻媒体通报制度..................................................................................96 检查项6：应急处臵总结..............................................................................................96 8.6 持续改进.........................................................................................................................97 检查项1：应急事件评估..............................................................................................97 检查项2：应急响应评估..............................................................................................97 检查项3：应急管理改进..............................................................................................97 9.灾难恢复管理...........................................................................................................................99 9.1 灾难恢复组织架构.........................................................................................................99 检查项1：灾难恢复相关组织架构..............................................................................99 9.2 灾难恢复策略...............................................................................................................101 检查项1：总体控制....................................................................................................101 检查项2：灾难恢复策略............................................................................................101 检查项3：灾难备份策略............................................................................................103 检查项4：外包风险....................................................................................................104 9.3 灾难恢复预案...............................................................................................................105 检查项1：灾难恢复预案............................................................................................105 检查项2：联络与通讯................................................................................................106 检查项3：教育、培训和演练....................................................................................107 9.4评估和维护更新............................................................................................................107 检查项1：灾备策略的评估和维护更新....................................................................107 检查项2：灾难恢复预案的评估和维护更新............................................................108 10.数据管理...............................................................................................................................109 10.1 数据管理制度和岗位.................................................................................................109 检查项1: 数据管理制度............................................................................................109 检查项2 ：数据管理岗位..........................................................................................110 10.2 数据备份、恢复策略.................................................................................................110 检查项1：数据备份、转储策略................................................................................110 检查项2：数据恢复、抽检策略................................................................................111 10.3数据存储介质管理......................................................................................................112 检查项1：介质管理....................................................................................................112 检查项2：介质的清理和销毁....................................................................................113 5 11.外包管理...............................................................................................................................114 11.1外包管理制度..............................................................................................................114 检查项1：外包管理制度............................................................................................114 检查项2：外包审批流程............................................................................................114 检查项3：外包协议....................................................................................................115 检查项4：服务水平协议............................................................................................115 检查项5：外包安全保密措施....................................................................................116 检查项6：外包文档管理............................................................................................116 11.2外包评估和监督..........................................................................................................117 检查项1：外包服务商的评估....................................................................................117 检查项2：外包项目的监督管理................................................................................117 12.内部审计...............................................................................................................................119 12.1 内部审计管理.............................................................................................................119 检查项1：内部审计部门、岗位、人员和职责........................................................119 检查项2：内部审计制度和办法................................................................................119 12.2 内部审计要求.............................................................................................................120 检查项1：内部审计范围和频率................................................................................120 检查项2：内部审计结果的有效性............................................................................120 13.外部审计...............................................................................................................................122 13.1 外部审计资质.............................................................................................................122 检查项1：外部审计机构的资质................................................................................122 13.2 外部审计要求.............................................................................................................122 检查项1：商业银行配合外部审计情况....................................................................122 检查项2：外部审计有效性........................................................................................123 检查项3：外审过程中的保密要求............................................................................123 第三部分基础设施...................................................................................................................125 14.计算机机房...........................................................................................................................126 14.1计算机机房建设..........................................................................................................126 检查项1：计算机机房选址........................................................................................126 检查项2：机房功能分区............................................................................................127 检查项3：计算机机房基础设施建设........................................................................127 检查项4：计算机机房的环境要求............................................................................130 检查项5：计算机机房日常维护................................................................................131 14.2计算机机房管理..........................................................................................................132 检查项1：计算机机房安全管理................................................................................132 检查项2：计算机机房集中监控系统........................................................................133 检查项3：计算机机房安全区域访问控制................................................................134 检查项4：计算机机房运行管理................................................................................135 14.3机房设备管理..............................................................................................................136 检查项1：机房设备的环境安全................................................................................136 15.网络通讯...............................................................................................................................137 15.1 内控管理.....................................................................................................................137 检查项1：内控制度....................................................................................................137 6 检查项2：人员管理....................................................................................................138 检查项3：访问控制....................................................................................................138 检查项4：日志管理....................................................................................................139 检查项5：第三方管理................................................................................................140 检查项6：服务外包....................................................................................................141 检查项7：文档管理....................................................................................................141 检查项8：风险评估....................................................................................................142 15.2 网络运行维护.............................................................................................................143 检查项1：运行监控....................................................................................................143 检查项2：性能监控....................................................................................................143 检查项3：流量监控....................................................................................................144 检查项4：监控预警....................................................................................................144 检查项5：性能调优....................................................................................................144 检查项6：事件管理....................................................................................................145 检查项7：运行检查....................................................................................................145 15.3 网络变更管理.............................................................................................................146 检查项1：变更发起....................................................................................................146 检查项2：变更计划....................................................................................................147 检查项3：变更测试....................................................................................................147 检查项4：变更审批....................................................................................................147 检查项5：变更实施....................................................................................................148 15.4 网络服务可用性.........................................................................................................149 检查项1：容量管理....................................................................................................149 检查项2：冗余管理....................................................................................................149 检查项3：带外管理....................................................................................................150 检查项4：压力测试....................................................................................................151 检查项5：应急管理....................................................................................................151 15.5 网络安全技术.............................................................................................................151 检查项1：结构安全....................................................................................................151 检查项2：物理安全....................................................................................................153 检查项3：传输安全....................................................................................................153 检查项4：访问控制....................................................................................................154 检查项5：接入安全....................................................................................................155 检查项6：网络边界安全............................................................................................156 检查项7：入侵检测防范............................................................................................157 检查项8：恶意代码防范............................................................................................158 检查项9：网络设备防护............................................................................................158 检查项10：网络安全测试..........................................................................................160 检查项11：安全审计日志..........................................................................................161 检查项12：安全检查..................................................................................................162 16.操作系统...............................................................................................................................163 16.1账号及密码管理..........................................................................................................163 检查项1：管理制度....................................................................................................163 7 检查项2：账号、密码管理........................................................................................163 检查项3：账号、密码管理检查................................................................................165 16.2系统访问控制..............................................................................................................165 检查项1：访问控制策略............................................................................................165 检查项2：用户登录行为管理....................................................................................166 检查项3：登录失败日志管理....................................................................................166 检查项4：最小化访问................................................................................................167 16.3远程接入管理..............................................................................................................168 检查项1：远程管理制度............................................................................................168 检查项2：远程维护管理............................................................................................169 检查项3：远程维护审查............................................................................................169 16.4日常维护.......................................................................................................................170 检查项1：系统性能监控............................................................................................170 检查项2：补丁及漏洞管理........................................................................................170 检查项3：日常维护管理............................................................................................171 检查项4：系统备份和故障恢复................................................................................172 检查项5：病毒及恶意代码管理................................................................................172 检查项6：定时进程设臵管理....................................................................................173 检查项7：系统审计功能............................................................................................173 17.数据库管理系统...................................................................................................................175 17.1访问控制.......................................................................................................................175 检查项1：身份认证....................................................................................................175 检查项2：授权控制....................................................................................................176 检查项3：远程访问....................................................................................................177 检查项4：安全参数设臵............................................................................................178 17.2日常管理.......................................................................................................................178 检查项1：数据安全....................................................................................................178 检查项2：审计功能....................................................................................................179 检查项3：性能管理....................................................................................................180 检查项4：补丁升级....................................................................................................181 17.3连续性管理...................................................................................................................181 检查项1：备份和恢复................................................................................................181 检查项2：连续性和应急管理....................................................................................182 18.第三方中间件.......................................................................................................................184 18.1 产品管理.....................................................................................................................184 检查项1：中间件测试................................................................................................184 检查项2：中间件管理................................................................................................184 检查项3：中间件与业务系统架构............................................................................185 18.2 运行管理.....................................................................................................................185 检查项1：维护流程和操作手册................................................................................185 检查项2：中间件配臵管理........................................................................................185 检查项3：中间件日志管理的程序............................................................................186 检查项4：中间件的性能监控....................................................................................186 8 检查项5：中间件产生的事件和问题管理................................................................187 检查项6：中间件的变更............................................................................................187 检查项7：单点故障问题和负载均衡........................................................................187 检查项8：压力测试....................................................................................................188 第四部分应用系统...................................................................................................................189 19.应用系统...............................................................................................................................190 19.1 应用系统管理.............................................................................................................190 检查项1：业务管理办法与操作流程........................................................................190 检查项2：重要应用系统评估....................................................................................190 检查项3：应用系统版本管理....................................................................................191 检查项4：应用系统培训教育....................................................................................192 19.2 应用系统操作.............................................................................................................192 检查项1：终端用户管理............................................................................................192 检查项2：访问控制与授权管理................................................................................193 检查项3：数据保密处理............................................................................................194 检查项4：数据完整性处理........................................................................................195 检查项5：数据准确性处理........................................................................................195 检查项6：日志管理机制............................................................................................196 检查项7：备份、恢复机制........................................................................................197 检查项8：文档资料管理............................................................................................198 检查项9：内部审计的参与........................................................................................199 20.电子银行...............................................................................................................................200 20.1 电子银行业务合规性.................................................................................................200 检查项1：电子银行业务合规性................................................................................200 20.2 电子银行风险管理体系.............................................................................................201 检查项1：电子银行风险管理体系............................................................................201 20.3 电子银行安全管理.....................................................................................................202 检查项1：电子银行安全策略管理............................................................................202 检查项2：电子银行安全措施....................................................................................203 检查项3：电子银行安全监控....................................................................................204 检查项4：电子银行安全评估....................................................................................204 20.4 电子银行可用性管理.................................................................................................205 检查项1：电子银行基础设施....................................................................................205 检查项2：电子银行性能监测和评估........................................................................205 20.5 电子银行应急管理.....................................................................................................206 检查项1：电子银行应急预案..................................................................................206 检查项2：电子银行应急演练....................................................................................207 21.银行卡系统...........................................................................................................................208 21.1 银行卡系统管理.........................................................................................................208 检查项1：银行卡系统容量的合理规划....................................................................208 检查项2：银行卡系统物理设备风险和故障处理....................................................209 检查项3：银行卡交易监控........................................................................................209 检查项4：账户密码和交易数据的存储和传输........................................................210 9 检查项5：银行卡系统应急预案................................................................................211 21.2 终端设备.....................................................................................................................212 检查项1：自助银行机具和安装环境的物理安全....................................................212 检查项2：自助银行机具的通信安全........................................................................212 检查项3：自助银行机具的安全装臵........................................................................213 检查项4：自助银行业务操作流程（机具软件）....................................................213 检查项5：自助银行机具的巡查维护........................................................................214 检查项6：POS机.........................................................................................................214 21.3 自助银行监控.............................................................................................................215 检查项1：自助银行设备日常运行的监控情况........................................................215 检查项2：监控中心和监控设备................................................................................215 检查项3：自助银行监控发现问题的处臵情况........................................................216 检查项4：自助银行设施安全评估（信息科技方面）............................................216 22.第三方存管系统...................................................................................................................217 22.1 管理架构和职责.........................................................................................................217 检查项1：管理架构与岗位职责分工........................................................................217 22.2 系统功能.....................................................................................................................217 检查项1：系统功能....................................................................................................217 22.3 系统一般安全与账户处理.........................................................................................218 检查项1：账户冲正处理............................................................................................218 检查项2：网络访问控制与病毒防范........................................................................218 22.4 数据交换.....................................................................................................................219 检查项1：数据交换安全性........................................................................................219 22.5 运行维护.....................................................................................................................220 检查项1：运行维护安全性........................................................................................220 22.6 系统备份.....................................................................................................................220 检查项1：系统备份安全性........................................................................................220 22.7 应急恢复与事故处理.................................................................................................221 检查项1：应急恢复与事故处理流程........................................................................221 22.8 系统测试.....................................................................................................................221 检查项1：系统测试....................................................................................................221 22.9 临时派出柜台.............................................................................................................222 检查项1：系统派出柜台安全性................................................................................222 附录...............................................................................................................................................223 23.常用检查方法.......................................................................................................................224 23.1 问卷与函证.................................................................................................................224 23.2 访谈.............................................................................................................................225 23.3 查阅.............................................................................................................................226 23.4 观察.............................................................................................................................227 23.5 测试.............................................................................................................................227 26.6 分析性复核.................................................................................................................230 26.7 评审.............................................................................................................................231 24.主要网络设备常用操作.......................................................................................................232 10 24.1 Cisco设备常用操作..................................................................................................232 交换机...........................................................................................................................232 路由器...........................................................................................................................233 防火墙...........................................................................................................................234 24.2 H3C设备常用操作......................................................................................................234 交换机...........................................................................................................................234 路由器...........................................................................................................................236 防火墙...........................................................................................................................237 25.主要操作系统常用操作.......................................................................................................238 25.1 AIX系统检查常用操作..............................................................................................238 25.2 HP/UX系统检查常用操作..........................................................................................246 25.3 Solaris系统检查常用操作......................................................................................250 25.4 Windows系统检查常用操作......................................................................................251 26.主要数据库管理系统常用操作...........................................................................................256 26.1 DB2 系统检查常用操作.............................................................................................256 26.2 Sybase 系统检查常用操作.......................................................................................257 26.3 Oracle 系统检查常用操作.......................................................................................257 26.4 Informix 系统检查常用操作...................................................................................259 26.5 SQL SERVER系统检查常用操作................................................................................261

第一部分概述

1.指南说明

1.1 目的及适用范围

信息科技与银行业务高度融合，已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时，银行业对信息科技的高度依赖，使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求，与时俱进，大力加强信息科技风险监管，充分利用现场检查这一监管手段，深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况，发现问题、排查隐患，督促银行及时整改。商业银行信息科技风险现场检查工作，既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法，也是对银行机构信息科技风险状况进行准确分析和评价的重要手段，对及时预警风险，提高银行机构信息科技风险管控能力和水平，保护存款人和公众利益，维护金融体系安全和稳定有着重要的意义。

为提高信息科技风险现场检查质量，规范检查行为，银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下，全面总结信息科技现场检查经验，充分借鉴国外监管机构的检查规范和最佳实践，编写了《商业银行信息科技风险现场检查指南》（以下简称《指南》）。《指南》编制的主要目的在于：一是明确了商业银行目前主要的信息科技风险领域、主要风险点，阐明了检查思路和主要方法，帮 13 助检查人员明确检查目标，从而提高信息科技风险现场检查的有效性和针对性，提升现场检查质量，为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准，并提出了具体的检查要求和步骤，进一步规范了信息科技风险现场检查的程序、手段和行为，是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点，提出了风险识别、预警和控制的具体手段，商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想，应用到银行信息科技建设和管理实践中，成为指导银行全面开展科技风险防控、提升管理能力的有力武器。

《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查，应考虑区域经济水平、机构规模与公司治理结构差异，按照本指南的风险防控原则，结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。

1.2 编写原则

一、突出风险为本的监管理念。《指南》坚持法人监管、风险为本的监管理念，紧扣信息科技风险这一中心，详细说明了商业银行信息科技风险管理中的300多个关键风险点，明确提出了具体的控制要求和检查方法、步骤，涵盖了商业银行信息科技风险管控的各个方面和环节。

二、坚持分类监管的原则。《指南》参照相关行业标准和规范，指出了商业银行信息科技风险控制所应达到的标准，同时兼顾不同类型银行机构的特点体现分类监管原则，针对不同的被检查主体，在检查目标上有所区别和侧重，以便于监管人员正确把握检查标准和尺度，对商业银行的指导更具有针对性。

三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念，也充分吸收了国内先进银行的成功经验，商业银行可以对照《指南》分析差距，将《指南》要求作为持续提高信息科技风险管控水平的目标。

1.3 指南框架

《指南》强调：商业银行信息科技风险管理应以科技治理为核心，通过完善科技治理架构，形成有效内控机制，将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。

《指南》包含4个部分和附录，共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节，提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节，提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节，提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。

附录包含4个章节，收录了常用检查方法和常用操作命令，常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。

第二部分科技管理

2.信息科技治理

商业银行的董事会和高级管理层应根据本银行的发展战略，运用先进管理理念加强信息科技治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续发展能力。

提示：在对商业银行的信息科技治理情况进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，有的银行机构还不具备建立专门信息科技管理委员会的条件时，可以指定其他委员会暂时代行其职责，也可以由一个专门的管理协调小组或由一个已存在的机构（例如董事会）承担其职责。又如：在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时，可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。

2.1 董事会及高级管理层

检查项1 ：董事会

基本要求：（1）董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。

检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。

检查项2 ：信息科技管理委员会

基本要求：（1）银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2)信息科技管理委员会的职责应包括:(a)设定全行IT战略目标，指导IT方面的资金投入，对IT规划进行审批；(b)合理运用现有资源，指导信息科技部门提供高质量的IT服务，同时要监督IT成本管理情况；(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突；(d)确保IT战略的及时更新；(e)对主要的IT政策、标准、原则进行审批；(f)对重要的IT项目和活动进行监控；(g)监督和管理IT绩效，确保达到预期IT服务水平；(h)对重大IT项目进行审批。（3）定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。检查方法、步骤：（1）访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3）查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。

检查项3 ：首席信息官（CIO）

基本要求：（1）商业银行应建立首席信息官制度，明确其工作职责及报告路线。（2）首席信息官应了解并参与本行业务发展决策。（3）首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。（4）首席信息官应确保信息科技职能的规范和有效运作。（5）首席信息官应领导和协调信息科技部门做好以下工作：信息科技预算和支出，信息科技政策、标准和流程制定及执行，信息科技内部控制、专业化研发，信息科技项目管理，信息系统和科技基础设施的建设、维护和运行管理，信息安全管理，应急管理和灾难恢复计划，信息科技外包和信息系统退出等。（6）首席信息官应确保信息科技人才队伍具备充分的专业技能。

检查方法、步骤：（1）访谈首席信息官，关注以下内容:(a)银行的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;(f)首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进行监控。（2）查阅相关文档资料，如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。

2.2 信息科技部门

检查项1 ：信息科技部门

基本要求：（1）商业银行应建立与银行业务相适应的信息科技部门，负责信息科技产品的开发、外包、测试、上线和变更，负责相应信息系统的运行、维护和安全，为银行提供信息科技业务产品。（2）信息科技部门应该根据工作内容，制定完整的内部工作流程和内控制度，建立与相关职能部门之间的协调配合机制，保证信息科技工作的有序、高效。（3）信息科技部门应定期分析评估信息系统生命周期各阶段的风险，制定风险防控策略、措施和检查流程，切实做好信息科技风险管控。（4）信息科技部门所配臵的信息科技人员的数量应适应业务及IT发展水平，能保证各个信息系统和各项信息科技工作安全 21 持续地运转。信息科技部门应做好科技人员管理，注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录，具备相应的专业知识技能。（5）信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍，应做好信息科技开发管理，以及相关的外包服务管理、知识产权管理和开发环节的风险管理，为银行提供安全的信息科技业务产品。（6）信息科技部门应建设好银行信息科技系统安全连续运行的环境（包括场地、设备、网络、系统、数据安全、访问控制和管理制度等），做好各种环境的监测控制，做好事件、问题管理和变更管理，做好紧急事件应急预案。（7）信息科技部门应严格遵守国家各项安全管理制度，配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度，协助做好业务部门信息科技风险控制和安全教育。

检查方法、步骤:（1）调阅信息科技部门的各项工作流程和规章制度。（2）调阅信息科技风险管理政策和制度。（3）调阅信息科技部门的组织结构图,岗位职责说明。(4)访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员，关注以下内容：（a）信息科技部门内部设臵了哪些条线？各条线是否实现了必要的职责分离,如开发团队和运行团队分离, 信息科技人员不从事业务操作, 有专门的团队开展安全检查等；(b)信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能；(c)问题和风险的报告路线、流程和处臵效率；(d)信息科技人员的激励机制；(e)如何对信息科技人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内部控制的理念；(f)信息科技人员的任免和招聘,是否进行背景调查;(g)主要岗位是否轮岗;(h)信息科技人员的技能培训情况;(i)信息科技人员是否了解本行的信息科技政策/流程/规范/标准等。

检查项2 ：信息科技战略规划

基本要求：（1）商业银行信息科技战略规划应在充分的市场调查和技术分析的基础上，由首席信息官, 银行高级管理层, 科技部门、风险管理和业务部门共同讨论制定，并经过信息科技管理委员会审查和批准，并报董事会审议。（2）信息科技战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息科技支持。（3）信息科技战略规划应包含但不限于：IT治理建设的规划(关注于管理组织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时,银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进行监督。

检查方法、步骤:（1）调阅信息科技发展战略规划或其他中长期发展规划，关注相关规划的配合和衔接。（2）访谈信息科技管理部门负责人和相关工作人员，重点关注：（a）信息科技发展战略规划的制定是否有各方面人员参与，是否经过高级管理层审批；（b）信息科技发展战略规划的内容是否包含了应用架构,基础设施,IT治理等方面；（c）信息科技发展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题；(d)信息科技战略规划是否依据环境变化,总体战略变更等进行调整。

2.3 信息科技风险管理部门

检查项1 ：信息科技风险管理部门

基本要求：（1）商业银行应建立全行信息科技风险管理框架，设立或指定信息科技风险管理部门，明确相应的管理职责，设臵必要的岗位，配臵足够的信息科技风险管理人员。（2）信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。（3）信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度，定期检查制度的执行情况，防止出现失控的环节和管理制度老化的情况。（4）信息科技风险管理部门应对重要的信息科技工作环节进行风险识别和评估，定期检查和上报信息科技风险控制状况。（5）信息科技风险管理部门应对全行员工进行持续的信息科技风险教育。

检查方法、步骤:（1）调阅信息科技风险管理的相关政策, 流程,管理规范, 工作手册,以及开展信息科技风险管理的记录, 如日常工作记录、会议纪要和风险评估报告等。（2）调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配臵情况。（3）了解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标 24 准,是否定期开展风险评估, 风险评估的结果,主要风险和应对措施等。（4）了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的开展情况,并调阅培训资料和记录等。

2.4 信息科技风险审计部门

检查项1 ：信息科技风险审计部门

基本要求：（1）商业银行应指定专门负责信息科技风险审计的部门，设臵必要的岗位，并配备适量信息科技风险专业审计人员。（2）制定信息科技风险审计制度和相应的审计手册。（3）应有计划、有侧重点地开展信息科技风险审计工作。（4）及时向董事会和监事会报告信息科技风险审计情况。（5）审计发现重大风险隐患应及时报告。

检查方法、步骤：（1）访谈信息科技审计部门负责人和工作人员, 了解以下信息:(a)信息科技审计职能的定位, 工作范围,组织结构和分工(包括信息科技内审团队内部的分工,以及与其他内审团队的分工),汇报路线, 人员配臵, 技能(如是否拥有专业资格)等情况；(b)信息科技审计计划, 关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划；(c)信息科技审计工作的标准和规范；(d)信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等；(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。(f)内审人员的持续培 25 训情况。(2)调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度；(b)信息科技审计部组织结构图,职责说明等；(c)信息科技风险审计手册或其他标准规范文档。（3）调阅商业银行审计工作计划、工作底稿和审计报告。（4）调阅审计发现落实整改情况的记录。(5)调阅培训记录。

2.5 知识产权保护和信息披露

检查项1 ：知识产权保护

基本要求：（1）商业银行应按照国家有关知识产权法律、法规的要求，制定本单位知识产权保护制度。（2）应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。（3）规范合法软件的购买和使用，禁止使用盗版软件。（4）做好自主开发的信息科技产品的知识产权保护工作。

检查方法、步骤：（1）调阅商业银行遵守知识产权法律的相关制度并审查其内容。（2）查阅商业银行的软件清单，检查是否拥有产权或授权及到期状况。（3）查阅外包服务协议和相关文件中是否有知识产权的保护条款，并检查落实情况。

检查项2 ：信息披露

基本要求：商业银行应依据国家有关法律、法规的要求，按照监管机构规定的格式和时间，及时规范地披露信息科技风险信息。

检查方法、步骤：（1）调阅商业银行有关信息科技风险披露的制度。（2）查阅商业银行披露信息科技风险评估结果的记录。（3）重点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法规的要求，是否按照监管机构规定的格式和时间及时规范地发布。(4)访谈信息科技人员了解信息披露的流程, 以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。

3.信息科技风险管理

商业银行应制定信息科技风险管理策略，制定风险识别和评估、风险防范措施，对风险进行持续监测。

3.1 风险识别和评估

检查项1 ：风险管理策略

基本要求：（1）商业银行应制定符合银行总体业务发展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划；（2）应配臵足够人力、财力资源，维持稳定、安全的信息科技环境；（3）应制定全面的信息科技风险管理策略，包括但不限于：信息分级与保护，信息系统开发、测试和维护，信息科技运行和维护，访问控制，物理安全，人员安全，业务连续性计划与应急处臵。

检查方法、步骤：（1）访谈信息科技部门及信息科技风险管理部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定；(b)银行的主要信息科技风险及其应对措施；(c)在开展信息科技风险管理过程中遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管理政策和流程, 风险评估规范或手册等。

检查项2 ：风险识别与评估

基本要求：（1）商业银行应制定持续的风险识别和评估流程，确定信息科技风险隐患；（2）定期评估信息科技风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别。

检查方法、步骤：（1）调阅风险识别和评估流程文档，风险评估报告和相关工作底稿，了解具体工作开展情况。（2）与信息科技风险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员)访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。

3.2 风险防范和检测

检查项1 ：风险防范措施

基本要求：（1）商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：制定明确的信息科技风险管理制度、技术标准和操作规程，并定期进行更新和公布；（2）确定潜在风险区域，并对这些区域进行有效的监控，实现风险及早发现、影响最小化；（3）建立适当的控制框架，以便于检查和平衡风险。定义每个业务级别的控制内容，包括：最高权限用户审查，控制数据和系统的物理及逻辑访问，访问授权以“必需知道”和“最小授权”为原则，审批和授权，验证和调节等。

检查方法、步骤：（1）调阅信息科技管理制度、技术标准、操作 29 规程等文档,并访谈信息科技人员和风险管理人员,了解信息科技风险控制的主要原则和措施.(注:这里应主要关注风险控制的原则, 如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等，具体控制的设计和执行情况将在各个领域中进行检查。)（2）调阅风险监控相关工作记录,如风险评估报告,信息科技各职能部门关于风险的汇报文档等.访谈风险管理人员，了解对高风险区域的监控情况；(3)了解信息科技职能和风险管理职能如何对主要风险进行监控,如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指标的持续监测, 内外审的发现和建议的落实,问题上报制度等。

检查项2 ：风险计量与检测

基本要求：（1）商业银行应建立持续的信息科技风险计量和检测机制，其中包括：建立信息科技项目实施前及实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检查,定期进行信息科技外包项目的风险状况评价。（2）中资商业银行在境外设立的机构及境内的外资法人银行，应对境内外监管机构有关信息科技风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步骤：（1）调阅有关文档(如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等)，了解商业银行是否建立信息科技风险计量和监测机制。（2）访谈相关工作人员，了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取有效风险防范措施。

4.信息安全管理

保证信息安全是商业银行的一项重要任务，商业银行应在信息科技部门内部设臵专门的信息安全管理部门或岗位，建立完善的信息安全管理制度，保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面，本章节主要包含人员安全和管理安全的检查内容，技术安全方面的检查内容参见第三部分“基础设施”部分。

提示：在对商业银行的信息安全管理进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，科技人员少、信息系统种类不多的银行机构，可以不设臵单独的安全管理部门，但应设臵专职的岗位；信息科技岗位设臵可以彼此兼职，但不相容岗位应分离，做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。

4.1 安全管理机制与管理组织

检查项1：信息分类和保护体系

基本要求：商业银行信息科技部门应对各类信息系统进行风险评估，根据信息系统的重要程度等因素，建立和实施信息系统分类和保护体系，并保证该体系在银行内部的贯彻落实。

检查方法、步骤：（1）调阅信息系统分类管理制度，查看相关制度是否建立健全，是否对信息类别和访问人员的范围、级别作出明确规定；（2）检查商业银行是否针对不同的信息系统，制订了不同的安全防范措施，采取了不同的技术防范手段；（3）检查商业银行是否对信息系统风险进行评估和防范。

检查项2：安全管理机制

基本要求：商业银行信息科技部门应落实信息安全管理职能。包括：建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，定期向信息科技管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。

检查方法、步骤：（1）调阅商业银行信息安全计划或相关文档，检查商业银行是否制订信息安全计划。（2）分析信息安全计划，评估商业银行信息科技部门能否对信息安全进行持续、长期和有效的管理，确保信息安全和信息系统安全运行。（3）检查商业银行信息科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识，是否就安全问题向其他部门提供安全建议。（4）检查商业银行信息科技部门是否对各类信息和信息系统制订相应的信息安全标准，是否制订相关的管理策略，是否制订实施计划，是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。（5）调阅信息安全评估报告，检查信息科技部门是否定期对本行信息安全进行评

估。检查项3：信息安全策略

基本要求：商业银行应制订详细的信息安全策略，至少包括以下内容：信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。

检查方法、步骤：（1）调阅商业银行信息安全策略，检查是否制定信息安全策略及其内容是否完整、全面。（2）调阅信息安全管理规定，查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。

检查项4：信息安全组织

基本要求：商业银行应建立配套的安全管理职能部门，通过管理机构的岗位设臵、人员的分工以及各种资源的配备，为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；安全管理人员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

检查方法、步骤：（1）调阅相关岗位职责说明文件，检查是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗 34 位的职责；（2）检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等；（3）查询相关制度文件和审批记录，检查是否根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；（4）调阅信息安全检查记录，检查安全管理员是否定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，检查结果是否及时报告和处理。

4.2 安全管理制度

检查项1：规章制度

基本要求：商业银行应对信息安全风险进行分析、评估；应对信息安全管理工作建立相应的管理制度；应要求管理人员或操作人员严格执行管理制度，各项操作符合制度要求；应注明安全管理制度密级程度，并进行密级管理；信息安全制度建设应全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款；重要工作和岗位应制订详尽的管理办法和工作职责；信息安全制度应包括对服务商的责任和义务要求；信息安全事件报告制度和处理流程应清晰明确；信息安全管理制度应注明发布范围，有发文编号和相关部门的收文记录；信息安全制度应及时发布和修订。

商业银行应建立完善的信息系统管理制度，管理制度应正式发文予以公布，或收集整理形成制度汇编以便于员工学习掌握。

检查方法、步骤：（1）调阅商业银行信息安全管理相关的会议记录。（2）调阅信息安全相关的制度，查看：(a)是否围绕着风险分析、评估报告开展制度建设，各项制度能否有效防范风险；（b）已有制度是否涵盖信息系统的各项风险点，包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容；（c）是否包含违规的处罚条款；（d）是否包括针对服务商的管理要求，如职责和义务；（e）是否建立信息安全事件报告制度和处理流程，制度和流程是否清晰和明确；(3)调阅信息安全管理部门职责和工作计划，查看是否对重要的信息系统安全管理岗位制定了明确的管理办法和工作职责。（4）信息安全管理负责人员座谈，了解近期信息安全方面的重大（管理、安全、人事等方面）事件，检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。

检查项2：制度合规

基本要求：信息安全制度应符合国家有关信息科技管理的法律法规；应符合国家有关信息科技管理的技术标准；应符合银监会有关要求；对于拥有境外机构的银行，其制度也应符合境外监管机构的要求。

检查方法、步骤：（1）调阅信息安全制度，检查：（a）制度是否遵循国家有关信息科技管理的法律法规要求；（b）技术性比较强的信

息系统安全制度是否低于国家相关标准规定；（c）审查其是否与银监会相关办法、要求相冲突。（2）与信息安全管理负责人座谈，了解该银行是否在境外设立分支机构，境外分支机构信息安全制度是否符合所在国、地区监管机构的要求。

检查项3：制度执行

基本要求：信息科技相关工作应严格遵守信息安全制度规定；对违规操作的应根据相应条款进行处罚；被处罚管理部门或个人应对违规操作进行整改；审计部门应对信息安全制度执行情况定期进行审计。

检查方法、步骤：（1）与负责信息安全的人员访谈，了解信息安全制度执行情况；（2）调阅银行或部门会议记录，查看银行或部门是否对日志、视频等记录中出现的违规操作行为进行过认定，并对违规人员或部门进行过处罚；（3）调阅银行或部门会议记录，查看是否对违规操作进行过整改，整改的后续情况如何。对于因制度漏洞造成的风险，是否及时对相关制度进行了修改：（4）调阅内、外部审计资料，查看是否有关于信息安全制度执行情况的审计报告；（5）调阅审计文件，查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求；（6）调阅银行或部门文件，查看是否对审计发现的问题进行过整改落实，后续的整改落实情况是否符合审计要求。

4.3 人员管理

检查项1：人员管理

基本要求：（1）信息科技的岗位设臵应合理，应做到分工明确、职责清晰，重要岗位需要相互制约、监督；（2）信息科技人员应无不良记录；信息科技人员的专业知识和业务水平应达到本行要求；应加强对临时聘用或合同制信息科技人员的安全管理措施；（3）应对信息科技人员权限进行分级管理，关键岗位应有AB角；应分离不相容岗位人员职责，不得兼任；（4）信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机要人员管理要求，对涉密人员应签订保密协议；（5）信息科技人员管理要全面，应包括背景调查、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。

检查方法、步骤：（1）调阅银行人事制度，了解银行的信息科技岗位设臵情况，是否配备了专门的安全管理岗位；（2）与信息科技管理人员和普通员工进行座谈，听取其对信息科技岗位设臵的意见，分析岗位设臵是否合理；（3）调阅银行人事档案，查看是否建立了信息科技人员的绩效考核制度，查看信息科技人员是否有不良记录；（4）调阅银行人事档案和与信息科技从业人员进行座谈，了解信息科技人员的专业知识和业务水平；（5）调阅银行人事管理制度或部门人事管理制度，分析是否有针对正式信息科技人员、临时聘用或合同制信息科技人员及顾问制定不同的人事管理制度；（6）调阅信息安全管理的

相关制度，确认是否对不同信息科技岗位进行了权限划分和分级管理，并能贯彻落实上述制度和要求。

4.4 安全评估报告

检查项1：安全评估报告

基本要求：商业银行应定期对信息系统安全情况进行评估，并提交安全评估报告。当信息系统发生重大变化时，应及时进行信息安全评估。对安全评估中发现的问题，应及时整改。

检查方法、步骤：（1）调阅安全评估报告，检查商业银行是否定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后，是否及时进行信息安全评估：（2）检查安全评估是否全面，是否覆盖所有信息系统，是否覆盖所有信息安全范围；（3）检查安全评估报告反映的问题是否及时得到处理或改进。4.5 宣传、教育和培训

检查项1：宣传、教育和培训

基本要求：高管层、信息安全管理部门负责人应知晓信息安全政策；银行应加强对客户的信息安全重要性的宣传教育工作；银行应定期组织员工进行信息系统安全重要性教育；银行应组织员工学习基本的信息系统安全管理制度；信息科技人员应掌握与其岗位相关的信息安全管理制度。

检查方法、步骤：（1）与高管层、信息安全管理部门负责人座谈，了解是否知晓本银行的信息安全政策；（2）与高管层座谈，了解银行是否对客户进行过信息安全方面的宣传教育，其内容、力度和频度如何；（3）与普通员工座谈，了解是否接受过有关信息安全方面教育；（4）抽查银行内部部门的学习记录，看是否组织过信息安全防范知识方面的学习培训；（5）与普通员工座谈，看是否知晓本银行基本的信息安全制度；（6）调阅信息科技部门的学习记录，看是否对信息科技人员进行过信息安全制度的传达，是否组织过信息安全制度的学习培训；（7）与信息科技人员座谈，看是否掌握与其从事岗位相关的信息安全管理制度。

5.系统开发、测试与维护

5.1开发管理

良好的系统开发管理是一个系统能否稳健运行的必要前提，因此应加强对商业银行系统开发管理工作的检查力度，从而准确评估各运行系统以及即将上线系统的稳定性和可靠性。通过对商业银行的相关制度、规定、流程以及文档、记录的检查和分析，了解其管理层是否统筹考虑系统开发与信息科技战略规划及业务发展目标的一致性，是否对系统开发的可行性、必要性、成本效益核算以及存在的风险等方面进行全面评估，是否建设了合理的开发管理组织框架，是否对开发过程进行了全面的风险管控，以确保系统开发过程的合理、高效和安全。

检查项1：管理架构

基本要求：应建立信息科技管理委员会对信息系统项目建设的审批、授权机制，重大信息系统项目开发应经过银行董事会的批准，并符合该机构的IT战略规划和业务发展目标。信息科技部门应设臵独立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统项目开发进行集中管理，系统开发应成立专门的开发建设项目组，具体负责信息系统的开发建设。在系统开发立项审批前，应进行系统开发可行性研究，以控制与信息科技有关的风险。项目开发过程中应定 41 期向首席信息官或高级管理层汇报项目实施状况。信息系统开发过程应有业务需求部门人员参与，并定期与业务需求部门一起审核信息系统开发建设情况，查看是否能够满足生产业务的需要，是否与业务需求相符合，是否对关键业务风险点进行了有效控制。

检查方法、步骤：（1）检查商业银行是否有系统开发的可行性研究、成本效益分析、风险评估等报告，查看是否对项目的可行性、成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规划等进行了深入的分析；（2）调阅相关会议纪要，查看相关分析结果是否得到信息科技管理委员会的认可，分析信息科技管理委员会是否对系统开发的可行性、必要性以及与IT战略规划和业务发展目标的一致有充分认识；（3）对于重大信息系统开发项目，查看是否有银行董事会批准实施系统开发的记录；（4）调阅重大项目相关开发建设文档，查看是否成立了专门的项目组，具体负责项目的开发建设。如成立有项目组，调阅项目组相关工作文件，检查项目组是否尽职完成其相关职责；（5）查看是否有项目实施部门定期向信息科技管理委员会报告系统开发进展的报告；（6）查看商业银行是否设臵独立的部门负责系统开发，调阅部门人员清单及简介（含资质），判断该部门人员的数量和专业背景对于其承担的系统开发职责是否充分和适当；（7）调阅项目开发相关文件，查看信息系统开发过程是否有业务部门人员参与，检查项目开发过程中开发部门是否与业务部门定期总结信息系统开发建设情况，以确认正在开发的系统是否与业务需求相符合，是否对关键业务风险点进行了有效控制；（8）检查信息系统投产后，实施

部门是否组织了对系统的后评价，并根据评估结果及时对系统功能进行调整和优化。

检查项2：制度建设

基本要求：商业银行应制定全面的信息系统开发管理制度和流程，包括但不限于系统的开发流程和组织管理、参与部门的职责划分、时间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制度和流程，应涵盖信息系统开发的全周期，包括：分析、设计、开发或外购、测试、试运行、部署、维护和退出等，制度和流程应经过高级管理层和相关部门的认可，明确相关部门和人员的职责，并定期进行评估和更新。

检查方法、步骤：（1）调阅商业银行系统开发相关的制度和流程，检查其是否明确了管理组织及职责，是否对开发流程管理进行全面的管控。是否建立了质量检测和风险评估机制等；（2）询问相关人员，是否有高级管理层和所有有关部门认可这些制度和流程的说明，查看相关会议纪要、相关文件的传阅痕迹等；（3）检查系统开发过程中，相关制度和流程是否得到有效的实施，如是否界定了明确的部门和人员职责，职责划分是否合理，是否有完整的时间进度管理和财务预算管理，是否要求实施部门定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况等；（4）检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可行性分

析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等各环节。

检查项3：项目控制体系

基本要求：（1）商业银行应制定合理的项目生命周期，加强项目生命周期管理，包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出；（2）应开展对系统需求和技术架构的管理，使系统需求与业务目标保持一致；（3）应当建立一套符合质量管理标准的质量控制体系，有效控制开发质量；（4）应根据项目风险评估，在系统开发过程中落实主要风险点的风险控制措施；（5）系统开发环境与运行环境应当分离，包括网络分离、设备分离、数据分离、人员分离等，防止开发活动对业务运行环境造成风险；（6）系统开发过程中应进行必要的安全控制，应对源代码进行有效管理，对程序源代码进行严格的审查，不应留有“后门”，即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。

检查方法、步骤：（1）检查银行是否有信息系统生命周期管理制度，是否有项目生命周期管理流程和记录；（2）检查系统需求和技术架构的评估文档，看系统需求与业务目标是否保持一致；（3）询问系统开发部门负责人，银行是否建立了系统开发质量控制体系，调阅其项目质量控制标准、代码编写规范（软件）以及质量控制检查和监督的记录；（4）检查是否有项目需求和计划的风险评估以及业务的风险

点分析,是否有对业务操作环境（如人员素质、操作场所等环境）的相关风险分析，是否有对项目延期的风险、项目进程中发现的风险、项目外包的风险等关键控制点制定风险控制措施，是否有风险控制措施的落实记录和监督记录；（5）检查系统开发环境和运行环境是否分离，网络是否有效隔离，设备是否独立于生产系统，开发人员是否接触生产系统，开发过程中是否使用了生产数据,使用的生产数据是否得到高级管理层的批准并经过脱敏或相关限制；（6）检查系统开发过程中，是否进行安全控制，是否对源代码进行有效管理和严格的审查，系统所有入口是否都经过安全规则的控制，并在系统开发文档中全部注明。

检查项4：系统开发的操作风险

基本要求：商业银行应当加强对开发队伍的管理，合理选择具备相当专业知识和技术水平的项目经理，并应对技术人员，尤其是外来技术人员的开发行为加强管理，对于外包开发与合作开发的开发方应进行充分调研分析，以保证系统的可靠性；应当加强信息科技项目文档管理和文档版本控制；银行信息科技开发部门应当加强对开发过程的检查，确保开发目标的实现。对以外包和合作开发为主进行信息系统开发建设的银行机构，应特别重视对外来技术人员的开发行为加强管理，对于外包开发与合作开发的开发方应进行充分调研分析，以保证系统的可靠性。

检查方法、步骤：（1）询问商业银行对项目开发经理的知识水平

要求，查看部分项目开发经理的资信历史、资格证书、从业经历的调查记录；（2）对于外包开发与合作开发的项目，询问项目管理成员，开发方是否在业内有过针对客户的不良纪录,商业银行是否有对开发方技术实力与人力资源充分性进行分析；（3）检查是否制定了文档管理规范制度，查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册，风险评估报告等项目文档管理是否符合规范，是否进行了文档的版本控制；（4）检查银行是否有系统开发过程的检查记录，是否对系统完整性、恶意代码和后门程序进行了检查。

检查项5：数据继承和迁移

基本要求：信息系统升级变更，应特别重视对历史数据的继承和迁移。应合理规划数据结构，并进行数据兼容性分析，防止因兼容性不够而造成历史数据的无法使用和继承，进而影响业务生产和客户利益。信息系统升级变更前，应制订详细的数据迁移计划，并提前进行数据迁移测试和数据有效性、兼容性验证。商业银行应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。

检查方法、步骤：（1）检查是否进行新旧系统业务数据兼容程度分析，并形成书面报告；（2）检查业务系统上线前，是否制订详细的数据迁移计划，数据迁移计划是否严密；（3）检查业务系统上线或升级前，是否进行过数据迁移测试和数据有效性、兼容程度验证；有数据移植时，检查是否针对新旧系统中被移植部分数据的一致性进行过

验证，对数据调整时，是否对调整过程进行了完整记录并由相关人员签字；（4）检查是否制定了相关制度、标准和流程，以保证信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。

5.2系统测试与上线

充分的系统测试和周密的上线程序是保障系统正常稳定运行的重要环节，商业银行应该确保充分的系统测试和具备完善系统上线程序的管理，以确保系统的测试结果是可信的，上线流程是完善的。通过对相关制度、流程和程序的检查，分析商业银行在系统测试和上线过程是否存在缺陷，从而对各系统做出合理的评估，避免系统测试不充分上线，或上线程序不周密，导致系统风险，造成损失。

检查项1：系统测试

基本要求：商业银行应为所有的主要变更建立充分的测试体系（如：系统单元测试、系统集成测试、系统验收测试、用户测试、预演、数据转换的验证、平行测试等）以保证系统测试的完整和充分；商业银行应建立完善的测试团队，并确保测试工作的公正性和独立性；应当确保充分，完整的系统测试；测试环境应与生产环境相隔离；应当对信息系统功能进行充分测试，保障系统功能与业务目标一致；应当对信息系统进行非功能测试，保证系统的兼容性、可靠性、通用性、安装的可操作性，防范在信息系统性能峰值情况下发生的问题。系统变更应建立回滚变更的程序，以便于在发生问题的情况下可以恢 47 复到原始的程序、系统配臵和数据，在变更迁徙到生产环境前应进行回滚程序的试运行，以保证回滚程序是有效、可靠的。系统测试过程中应对测试的情况进行规范的记录，最终形成测试文档并进行分析。

检查方法、步骤：：1）检查系统变更的测试报告，分析测试内容和测试步骤是否完整，测试用例是否充分涵盖所有业务场景；（2）调阅测试团队人员清单，分析测试团队人员角色、知识水平等是否充分，询问相关负责人通过哪些措施保证测试团队的公正性和独立性；（3）调阅测试方案、测试用例、测试记录等，分析银行的测试方案是否完善，测试计划是否完整，测试环境是否与生产环境相隔离，测试用例是否充分，测试用例是否有生产数据，当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理，测试执行情况记录是否完整，查看是否有对充分测试的审核报告；（4）调阅功能测试记录，查看系统功能测试结果是否与业务需求一致；（5）调阅非功能性测试报告或记录（非功能测试技术主要包括：配臵和安装测试、兼容性和互操作性测试、文档和帮助测试、错误恢复测试、性能测试、可靠性测试、保密性测试、压力测试、可用性测试、容量测试），分析测试用例是否充分，测试结果是否与业务需求一致；（6）检查是否建立系统变更的回退程序，是否有回退程序的测试或试运行成功的记录；（7）调阅系统测试报告，检查系统测试过程中是否对测试的情况进行规范的记录，是否形成测试文档；对测试过程是否进行分析，并提出相应修改意见。

检查项2：系统验收

基本要求：商业银行应当在系统发布前对测试过程进行充分审查，防止未经充分测试的系统上线运行；应当在系统发布前对系统交付物的完整性进行检查，以及对代码进行检验；对打包销售的系统，应要求其提供充分可靠的测试证明，并进行代码审查；应当对系统进行一段时间的试运行，及时发现试运行中存在的问题，改正后方可正式上线。

检查方法、步骤：（1）调阅系统验收记录和测试质量的评估报告，检查系统发布前商业银行是否对测试的过程和有关测试充分进行了审查并对测试质量进行了评估；（2）查看验收记录中是否对系统交付物的完整性进行了检查，检查的内容还应该包括软件发布计划、操作手册和应急预案等文档；（3）检查打包销售的软件是否有完整的、充分的和可靠的测试报告，是否有对软件代码的审查记录，特别是对秘密信道及特洛伊木马程序审查；（4）检查是否有完整的试运行报告、试运行记录、系统错误修正记录等，查看系统的试运行是否通过。

检查项3：投产上线

基本要求：商业银行应重视信息系统的投产上线工作，做到以下几点：（1）包括用户需求书、功能说明书、设计说明书、技术与业务操作手册等在内的所有文档资料在上线前应正式归档保管；（2）投产上线所用的系统生产环境已经建立并经验收测试证明有效；（3）清除 49 投产上线用的系统生产环境中的验收测试数据（另行安排生产环境除外）；（4）完成投产上线计划书、上线操作手册、回退操作手册并经验证；（5）有数据移植时还需对新旧系统中被移植部分数据的一致性进行验证，对数据调整时应对调整过程完整记录并请相关人员签字；（6）已对运行人员、业务管理人员、业务操作人员进行了培训，开发人员与运行维护人员已经完成了职责移交。

检查方法、步骤:（1）检查文档资料管理系统，确认与该信息系统有关的各类文档资料已经正式归档保管，纳入生产系统文档资料管理范围；（2）与业务和技术人员访谈，了解投产上线的完整过程，判断投产上线用的环境是否在启用时已经验证有效、测试业务数据得到完全清理、被移植到生产环境的数据与在原环境中数据保持一致性；（3）与运行人员和开发维护人员访谈，了解在投产时，运行人员是否熟悉运行操作，维护人员是否接管维护职责，从而判断是否实行岗位分离和存在操作风险。

5.3系统下线

商业银行应对系统下线按规范流程妥善处理，确保下线系统敏感数据的安全性和完整性。

检查项1：系统下线

基本要求：商业银行应当关注系统下线工作，并做到以下几点：（1）下线前，应当做好充分的论证，证明该信息系统的功能已经失 50

银行业信息科技风险监管现场检查手册

第一篇：银行业信息科技风险监管现场检查手册

第二篇：银行业信息科技风险监管报告

第三篇：银行业金融机构信息科技风险非现场监管报表

第四篇：银行业金融机构信息科技外包风险监管指引

第五篇：商业银行信息科技风险现场检查指南

相关范文推荐

银行业金融机构信息科技外包风险监管指引-正式发文版

基层银行业信息科技风险表现及防范对策

2015年度银行业信息科技风险管理课题成果公布

2006年度银行业金融机构信息科技风险评价审计要点（五篇）

信息科技风险报告 - 副本

信息科技风险自查报告

浅谈监管员现场检查技巧

银监会：商业银行现场检查手册