第一篇:商业银行信息科技风险现场检查指南
商业银行信息科技风险
现场检查指南
目 录
第一部分 概述.............................................................................................................................12 1.指南说明...................................................................................................................................13 1.1 目的及适用范围.............................................................................................................13 1.2 编写原则.........................................................................................................................14 1.3 指南框架.........................................................................................................................15 第二部分 科技管理.....................................................................................................................17 2.信息科技治理...........................................................................................................................18 2.1 董事会及高级管理层.....................................................................................................18 检查项1 :董事会........................................................................................................18 检查项2 :信息科技管理委员会................................................................................19 检查项3 :首席信息官(CIO)..................................................................................20 2.2 信息科技部门.................................................................................................................21 检查项1 :信息科技部门............................................................................................21 检查项2 :信息科技战略规划....................................................................................23 2.3 信息科技风险管理部门.................................................................................................24 检查项1 :信息科技风险管理部门............................................................................24 2.4 信息科技风险审计部门.................................................................................................25 检查项1 :信息科技风险审计部门............................................................................25 2.5 知识产权保护和信息披露.............................................................................................26 检查项1 :知识产权保护............................................................................................26 检查项2 :信息披露....................................................................................................26 3.信息科技风险管理...................................................................................................................28 3.1 风险识别和评估.............................................................................................................28 检查项1 :风险管理策略............................................................................................28 检查项2 :风险识别与评估........................................................................................29 3.2 风险防范和检测.............................................................................................................29 检查项1 :风险防范措施............................................................................................29 检查项2 :风险计量与检测........................................................................................30 4.信息安全管理...........................................................................................................................32 4.1 安全管理机制与管理组织.............................................................................................32 检查项1:信息分类和保护体系..................................................................................32 检查项2:安全管理机制..............................................................................................33 检查项3:信息安全策略..............................................................................................34 检查项4:信息安全组织..............................................................................................34 4.2 安全管理制度.................................................................................................................35 检查项1:规章制度......................................................................................................35 检查项2:制度合规......................................................................................................36 2 检查项3:制度执行......................................................................................................37 4.3 人员管理.........................................................................................................................38 检查项1:人员管理......................................................................................................38 4.4 安全评估报告.................................................................................................................39 检查项1:安全评估报告..............................................................................................39 4.5 宣传、教育和培训.........................................................................................................39 检查项1:宣传、教育和培训......................................................................................39 5.系统开发、测试与维护.............................................................................................................41 5.1开发管理..........................................................................................................................41 检查项1:管理架构......................................................................................................41 检查项2:制度建设......................................................................................................43 检查项3:项目控制体系..............................................................................................44 检查项4:系统开发的操作风险..................................................................................45 检查项5:数据继承和迁移..........................................................................................46 5.2系统测试与上线..............................................................................................................47 检查项1:系统测试......................................................................................................47 检查项2:系统验收......................................................................................................49 检查项3:投产上线......................................................................................................49 5.3系统下线..........................................................................................................................50 检查项1:系统下线......................................................................................................50 6.系统运行管理...........................................................................................................................52 6.1 日常管理.........................................................................................................................52 检查项1:职责分离......................................................................................................52 检查项2:值班制度......................................................................................................53 检查项3:操作管理......................................................................................................53 检查项4:人员管理......................................................................................................54 6.2 访问控制策略.................................................................................................................55 检查项1:物理访问控制策略......................................................................................55 检查项2:逻辑访问控制策略......................................................................................56 检查项3:账号及权限管理..........................................................................................57 检查项4:用户责任及终端管理..................................................................................58 检查项5:远程接入的控制..........................................................................................59 6.3 日志管理.........................................................................................................................60 检查项1:审计日志检查..............................................................................................60 检查项2:日志信息的保护..........................................................................................60 检查项3:操作日志的检查..........................................................................................61 检查项4:错误日志的检查..........................................................................................61 6.4系统监控..........................................................................................................................62 检查项1:基础环境监控..............................................................................................62 检查项2:系统性能监控..............................................................................................62 检查项3:系统运行监控..............................................................................................63 检查项4:测评体系......................................................................................................64 6.5 事件管理.........................................................................................................................65 3 检查项1:事件报告流程..............................................................................................65 检查项2:事件管理和改进..........................................................................................66 检查项3:服务台管理..................................................................................................67 6.6问题管理..........................................................................................................................67 检查项1:事件分析和问题生成..................................................................................68 检查项2:台账管理......................................................................................................68 检查项3:问题处臵......................................................................................................68 6.7 容量管理.........................................................................................................................69 检查项1:容量规划......................................................................................................69 检查项2:容量监测......................................................................................................70 检查项3:容量变更......................................................................................................70 6.8 变更管理.........................................................................................................................71 检查项1:变更的流程..................................................................................................72 检查项2:变更的评估..................................................................................................72 检查项3:变更的授权..................................................................................................73 检查项4:变更的执行..................................................................................................73 检查项5:紧急变更......................................................................................................74 检查项6:重大变更......................................................................................................74 7.业务连续性管理.......................................................................................................................76 7.1 业务连续性管理组织.....................................................................................................77 检查项1:董事会及高管层的职责..............................................................................77 检查项2:业务连续性管理组织的建立......................................................................78 检查项3:业务连续性管理组织职责..........................................................................79 7.2 IT服务连续性管理........................................................................................................80 检查项1:IT服务连续性计划的组织保障.................................................................80 检查项2:风险评估及业务影响分析..........................................................................81 检查项3:IT服务连续性计划的制定.........................................................................81 检查项4:IT服务连续性计划的测试与维护.............................................................82 检查项5:IT服务连续性计划审计.............................................................................83 检查项6:IT服务连续性相关领域的控制.................................................................84 8.应急管理...................................................................................................................................85 8.1 应急组织.........................................................................................................................85 检查项1:应急管理团队..............................................................................................85 检查项2:应急管理职责..............................................................................................86 检查项3:应急管理制度..............................................................................................86 8.2 应急预案.........................................................................................................................87 检查项1:应急预案制订..............................................................................................87 检查项2:应急预案内容..............................................................................................87 检查项3:应急预案更新..............................................................................................89 检查项4:外包服务应急..............................................................................................89 检查项5:应急预案培训..............................................................................................90 8.3 应急保障.........................................................................................................................90 检查项1:人员保障......................................................................................................90 4 检查项2:物质保障......................................................................................................90 检查项3:技术保障......................................................................................................91 检查项4:沟通保障......................................................................................................91 8.4 应急演练.........................................................................................................................92 检查项1:应急演练的计划..........................................................................................92 检查项2:应急演练的实施..........................................................................................92 检查项3:应急演练的总结..........................................................................................93 8.5 应急响应.........................................................................................................................93 检查项1:应急响应流程..............................................................................................93 检查项2:全程记录处臵过程......................................................................................94 检查项3:应急事件报告..............................................................................................95 检查项4:与第三方沟通..............................................................................................95 检查项5:向新闻媒体通报制度..................................................................................96 检查项6:应急处臵总结..............................................................................................96 8.6 持续改进.........................................................................................................................97 检查项1:应急事件评估..............................................................................................97 检查项2:应急响应评估..............................................................................................97 检查项3:应急管理改进..............................................................................................97 9.灾难恢复管理...........................................................................................................................99 9.1 灾难恢复组织架构.........................................................................................................99 检查项1:灾难恢复相关组织架构..............................................................................99 9.2 灾难恢复策略...............................................................................................................101 检查项1:总体控制....................................................................................................101 检查项2:灾难恢复策略............................................................................................101 检查项3:灾难备份策略............................................................................................103 检查项4:外包风险....................................................................................................104 9.3 灾难恢复预案...............................................................................................................105 检查项1:灾难恢复预案............................................................................................105 检查项2:联络与通讯................................................................................................106 检查项3:教育、培训和演练....................................................................................107 9.4评估和维护更新............................................................................................................107 检查项1:灾备策略的评估和维护更新....................................................................107 检查项2:灾难恢复预案的评估和维护更新............................................................108 10.数据管理...............................................................................................................................109 10.1 数据管理制度和岗位.................................................................................................109 检查项1: 数据管理制度............................................................................................109 检查项2 :数据管理岗位..........................................................................................110 10.2 数据备份、恢复策略.................................................................................................110 检查项1:数据备份、转储策略................................................................................110 检查项2:数据恢复、抽检策略................................................................................111 10.3数据存储介质管理......................................................................................................112 检查项1:介质管理....................................................................................................112 检查项2:介质的清理和销毁....................................................................................113 5 11.外包管理...............................................................................................................................114 11.1外包管理制度..............................................................................................................114 检查项1:外包管理制度............................................................................................114 检查项2:外包审批流程............................................................................................114 检查项3:外包协议....................................................................................................115 检查项4:服务水平协议............................................................................................115 检查项5:外包安全保密措施....................................................................................116 检查项6:外包文档管理............................................................................................116 11.2外包评估和监督..........................................................................................................117 检查项1:外包服务商的评估....................................................................................117 检查项2:外包项目的监督管理................................................................................117 12.内部审计...............................................................................................................................119 12.1 内部审计管理.............................................................................................................119 检查项1:内部审计部门、岗位、人员和职责........................................................119 检查项2:内部审计制度和办法................................................................................119 12.2 内部审计要求.............................................................................................................120 检查项1:内部审计范围和频率................................................................................120 检查项2:内部审计结果的有效性............................................................................120 13.外部审计...............................................................................................................................122 13.1 外部审计资质.............................................................................................................122 检查项1:外部审计机构的资质................................................................................122 13.2 外部审计要求.............................................................................................................122 检查项1:商业银行配合外部审计情况....................................................................122 检查项2:外部审计有效性........................................................................................123 检查项3:外审过程中的保密要求............................................................................123 第三部分 基础设施...................................................................................................................125 14.计算机机房...........................................................................................................................126 14.1计算机机房建设..........................................................................................................126 检查项1:计算机机房选址........................................................................................126 检查项2:机房功能分区............................................................................................127 检查项3:计算机机房基础设施建设........................................................................127 检查项4:计算机机房的环境要求............................................................................130 检查项5:计算机机房日常维护................................................................................131 14.2计算机机房管理..........................................................................................................132 检查项1:计算机机房安全管理................................................................................132 检查项2:计算机机房集中监控系统........................................................................133 检查项3:计算机机房安全区域访问控制................................................................134 检查项4:计算机机房运行管理................................................................................135 14.3机房设备管理..............................................................................................................136 检查项1:机房设备的环境安全................................................................................136 15.网络通讯...............................................................................................................................137 15.1 内控管理.....................................................................................................................137 检查项1:内控制度....................................................................................................137 6 检查项2:人员管理....................................................................................................138 检查项3:访问控制....................................................................................................138 检查项4:日志管理....................................................................................................139 检查项5:第三方管理................................................................................................140 检查项6:服务外包....................................................................................................141 检查项7:文档管理....................................................................................................141 检查项8:风险评估....................................................................................................142 15.2 网络运行维护.............................................................................................................143 检查项1:运行监控....................................................................................................143 检查项2:性能监控....................................................................................................143 检查项3:流量监控....................................................................................................144 检查项4:监控预警....................................................................................................144 检查项5:性能调优....................................................................................................144 检查项6:事件管理....................................................................................................145 检查项7:运行检查....................................................................................................145 15.3 网络变更管理.............................................................................................................146 检查项1:变更发起....................................................................................................146 检查项2:变更计划....................................................................................................147 检查项3:变更测试....................................................................................................147 检查项4:变更审批....................................................................................................147 检查项5:变更实施....................................................................................................148 15.4 网络服务可用性.........................................................................................................149 检查项1:容量管理....................................................................................................149 检查项2:冗余管理....................................................................................................149 检查项3:带外管理....................................................................................................150 检查项4:压力测试....................................................................................................151 检查项5:应急管理....................................................................................................151 15.5 网络安全技术.............................................................................................................151 检查项1:结构安全....................................................................................................151 检查项2:物理安全....................................................................................................153 检查项3:传输安全....................................................................................................153 检查项4:访问控制....................................................................................................154 检查项5:接入安全....................................................................................................155 检查项6:网络边界安全............................................................................................156 检查项7:入侵检测防范............................................................................................157 检查项8:恶意代码防范............................................................................................158 检查项9:网络设备防护............................................................................................158 检查项10:网络安全测试..........................................................................................160 检查项11:安全审计日志..........................................................................................161 检查项12:安全检查..................................................................................................162 16.操作系统...............................................................................................................................163 16.1账号及密码管理..........................................................................................................163 检查项1:管理制度....................................................................................................163 7 检查项2:账号、密码管理........................................................................................163 检查项3:账号、密码管理检查................................................................................165 16.2系统访问控制..............................................................................................................165 检查项1:访问控制策略............................................................................................165 检查项2:用户登录行为管理....................................................................................166 检查项3:登录失败日志管理....................................................................................166 检查项4:最小化访问................................................................................................167 16.3远程接入管理..............................................................................................................168 检查项1:远程管理制度............................................................................................168 检查项2:远程维护管理............................................................................................169 检查项3:远程维护审查............................................................................................169 16.4日常维护.......................................................................................................................170 检查项1:系统性能监控............................................................................................170 检查项2:补丁及漏洞管理........................................................................................170 检查项3:日常维护管理............................................................................................171 检查项4:系统备份和故障恢复................................................................................172 检查项5:病毒及恶意代码管理................................................................................172 检查项6:定时进程设臵管理....................................................................................173 检查项7:系统审计功能............................................................................................173 17.数据库管理系统...................................................................................................................175 17.1访问控制.......................................................................................................................175 检查项1:身份认证....................................................................................................175 检查项2:授权控制....................................................................................................176 检查项3:远程访问....................................................................................................177 检查项4:安全参数设臵............................................................................................178 17.2日常管理.......................................................................................................................178 检查项1:数据安全....................................................................................................178 检查项2:审计功能....................................................................................................179 检查项3:性能管理....................................................................................................180 检查项4:补丁升级....................................................................................................181 17.3连续性管理...................................................................................................................181 检查项1:备份和恢复................................................................................................181 检查项2:连续性和应急管理....................................................................................182 18.第三方中间件.......................................................................................................................184 18.1 产品管理.....................................................................................................................184 检查项1:中间件测试................................................................................................184 检查项2:中间件管理................................................................................................184 检查项3:中间件与业务系统架构............................................................................185 18.2 运行管理.....................................................................................................................185 检查项1:维护流程和操作手册................................................................................185 检查项2:中间件配臵管理........................................................................................185 检查项3:中间件日志管理的程序............................................................................186 检查项4:中间件的性能监控....................................................................................186 8 检查项5:中间件产生的事件和问题管理................................................................187 检查项6:中间件的变更............................................................................................187 检查项7:单点故障问题和负载均衡........................................................................187 检查项8:压力测试....................................................................................................188 第四部分 应用系统...................................................................................................................189 19.应用系统...............................................................................................................................190 19.1 应用系统管理.............................................................................................................190 检查项1:业务管理办法与操作流程........................................................................190 检查项2:重要应用系统评估....................................................................................190 检查项3:应用系统版本管理....................................................................................191 检查项4:应用系统培训教育....................................................................................192 19.2 应用系统操作.............................................................................................................192 检查项1:终端用户管理............................................................................................192 检查项2:访问控制与授权管理................................................................................193 检查项3:数据保密处理............................................................................................194 检查项4:数据完整性处理........................................................................................195 检查项5:数据准确性处理........................................................................................195 检查项6:日志管理机制............................................................................................196 检查项7:备份、恢复机制........................................................................................197 检查项8:文档资料管理............................................................................................198 检查项9:内部审计的参与........................................................................................199 20.电子银行...............................................................................................................................200 20.1 电子银行业务合规性.................................................................................................200 检查项1:电子银行业务合规性................................................................................200 20.2 电子银行风险管理体系.............................................................................................201 检查项1:电子银行风险管理体系............................................................................201 20.3 电子银行安全管理.....................................................................................................202 检查项1:电子银行安全策略管理............................................................................202 检查项2:电子银行安全措施....................................................................................203 检查项3:电子银行安全监控....................................................................................204 检查项4:电子银行安全评估....................................................................................204 20.4 电子银行可用性管理.................................................................................................205 检查项1:电子银行基础设施....................................................................................205 检查项2:电子银行性能监测和评估........................................................................205 20.5 电子银行应急管理.....................................................................................................206 检查项1: 电子银行应急预案..................................................................................206 检查项2:电子银行应急演练....................................................................................207 21.银行卡系统...........................................................................................................................208 21.1 银行卡系统管理.........................................................................................................208 检查项1:银行卡系统容量的合理规划....................................................................208 检查项2:银行卡系统物理设备风险和故障处理....................................................209 检查项3:银行卡交易监控........................................................................................209 检查项4:账户密码和交易数据的存储和传输........................................................210 9 检查项5:银行卡系统应急预案................................................................................211 21.2 终端设备.....................................................................................................................212 检查项1:自助银行机具和安装环境的物理安全....................................................212 检查项2:自助银行机具的通信安全........................................................................212 检查项3:自助银行机具的安全装臵........................................................................213 检查项4:自助银行业务操作流程(机具软件)....................................................213 检查项5:自助银行机具的巡查维护........................................................................214 检查项6:POS机.........................................................................................................214 21.3 自助银行监控.............................................................................................................215 检查项1:自助银行设备日常运行的监控情况........................................................215 检查项2:监控中心和监控设备................................................................................215 检查项3:自助银行监控发现问题的处臵情况........................................................216 检查项4:自助银行设施安全评估(信息科技方面)............................................216 22.第三方存管系统...................................................................................................................217 22.1 管理架构和职责.........................................................................................................217 检查项1:管理架构与岗位职责分工........................................................................217 22.2 系统功能.....................................................................................................................217 检查项1:系统功能....................................................................................................217 22.3 系统一般安全与账户处理.........................................................................................218 检查项1:账户冲正处理............................................................................................218 检查项2:网络访问控制与病毒防范........................................................................218 22.4 数据交换.....................................................................................................................219 检查项1:数据交换安全性........................................................................................219 22.5 运行维护.....................................................................................................................220 检查项1:运行维护安全性........................................................................................220 22.6 系统备份.....................................................................................................................220 检查项1:系统备份安全性........................................................................................220 22.7 应急恢复与事故处理.................................................................................................221 检查项1:应急恢复与事故处理流程........................................................................221 22.8 系统测试.....................................................................................................................221 检查项1:系统测试....................................................................................................221 22.9 临时派出柜台.............................................................................................................222 检查项1:系统派出柜台安全性................................................................................222 附录...............................................................................................................................................223 23.常用检查方法.......................................................................................................................224 23.1 问卷与函证.................................................................................................................224 23.2 访谈.............................................................................................................................225 23.3 查阅.............................................................................................................................226 23.4 观察.............................................................................................................................227 23.5 测试.............................................................................................................................227 26.6 分析性复核.................................................................................................................230 26.7 评审.............................................................................................................................231 24.主要网络设备常用操作.......................................................................................................232 10 24.1 Cisco设备常用操作..................................................................................................232 交换机...........................................................................................................................232 路由器...........................................................................................................................233 防火墙...........................................................................................................................234 24.2 H3C设备常用操作......................................................................................................234 交换机...........................................................................................................................234 路由器...........................................................................................................................236 防火墙...........................................................................................................................237 25.主要操作系统常用操作.......................................................................................................238 25.1 AIX系统检查常用操作..............................................................................................238 25.2 HP/UX系统检查常用操作..........................................................................................246 25.3 Solaris系统检查常用操作......................................................................................250 25.4 Windows系统检查常用操作......................................................................................251 26.主要数据库管理系统常用操作...........................................................................................256 26.1 DB2 系统检查常用操作.............................................................................................256 26.2 Sybase 系统检查常用操作.......................................................................................257 26.3 Oracle 系统检查常用操作.......................................................................................257 26.4 Informix 系统检查常用操作...................................................................................259 26.5 SQL SERVER系统检查常用操作................................................................................261
第一部分 概述
1.指南说明
1.1 目的及适用范围
信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮 13 助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。
1.2 编写原则
一、突出风险为本的监管理念。《指南》坚持法人监管、风险为 本的监管理念,紧扣信息科技风险这一中心,详细说明了商业银行信息科技风险管理中的300多个关键风险点,明确提出了具体的控制要求和检查方法、步骤,涵盖了商业银行信息科技风险管控的各个方面和环节。
二、坚持分类监管的原则。《指南》参照相关行业标准和规范,指出了商业银行信息科技风险控制所应达到的标准,同时兼顾不同类型银行机构的特点体现分类监管原则,针对不同的被检查主体,在检查目标上有所区别和侧重,以便于监管人员正确把握检查标准和尺度,对商业银行的指导更具有针对性。
三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念,也充分吸收了国内先进银行的成功经验,商业银行可以对照《指南》分析差距,将《指南》要求作为持续提高信息科技风险管控水平的目标。
1.3 指南框架
《指南》强调:商业银行信息科技风险管理应以科技治理为核心,通过完善科技治理架构,形成有效内控机制,将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。
《指南》包含4个部分和附录,共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节,提出了对商业 银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节,提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节,提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。
附录包含4个章节,收录了常用检查方法和常用操作命令,常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。
第二部分 科技管理
2.信息科技治理
商业银行的董事会和高级管理层应根据本银行的发展战略,运用先进管理理念加强信息科技治理,提高信息技术使用效益,推动商业银行的业务创新,增强核心竞争力和可持续发展能力。
提示:在对商业银行的信息科技治理情况进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,有的银行机构还不具备建立专门信息科技管理委员会的条件时,可以指定其他委员会暂时代行其职责,也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担其职责。又如:在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时,可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。
2.1 董事会及高级管理层
检查项1 :董事会
基本要求:(1)董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。(3)信息科技重大事项的决策应经过董事会审议。
检查方法、步骤:(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
检查项2 :信息科技管理委员会
基本要求:(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2)信息科技管理委员会的职责应包括:(a)设定全行IT战略目标,指导IT方面的资金投入,对IT规划进行审批;(b)合理运用现有资源,指导信息科技部门提供高质量的IT服务,同时要监督IT成本管理情况;(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突;(d)确保IT战略的及时更新;(e)对主要的IT政策、标准、原则进行审批;(f)对重要的IT项目和活动进行监控;(g)监督和管理IT绩效,确保达到预期IT服务水平;(h)对重大IT项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。检查方法、步骤:(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。
检查项3 :首席信息官(CIO)
基本要求:(1)商业银行应建立首席信息官制度,明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作:信息科技预算和支出,信息科技政策、标准和流程制定及执行,信息科技内部控制、专业化研发,信息科技项目管理,信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难恢复计划,信息科技外包和信息系统退出等。(6)首席信息官应确保信息科技人才队伍具备充分的专业技能。
检查方法、步骤:(1)访谈首席信息官,关注以下内容:(a)银行 的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;(f)首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进行监控。(2)查阅相关文档资料,如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。
2.2 信息科技部门
检查项1 :信息科技部门
基本要求:(1)商业银行应建立与银行业务相适应的信息科技部门,负责信息科技产品的开发、外包、测试、上线和变更,负责相应信息系统的运行、维护和安全,为银行提供信息科技业务产品。(2)信息科技部门应该根据工作内容,制定完整的内部工作流程和内控制度,建立与相关职能部门之间的协调配合机制,保证信息科技工作的有序、高效。(3)信息科技部门应定期分析评估信息系统生命周期各阶段的风险,制定风险防控策略、措施和检查流程,切实做好信息科技风险管控。(4)信息科技部门所配臵的信息科技人员的数量应适应业务及IT发展水平,能保证各个信息系统和各项信息科技工作安全 21 持续地运转。信息科技部门应做好科技人员管理,注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录,具备相应的专业知识技能。(5)信息科技部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍,应做好信息科技开发管理,以及相关的外包服务管理、知识产权管理和开发环节的风险管理,为银行提供安全的信息科技业务产品。(6)信息科技部门应建设好银行信息科技系统安全连续运行的环境(包括场地、设备、网络、系统、数据安全、访问控制和管理制度等),做好各种环境的监测控制,做好事件、问题管理和变更管理,做好紧急事件应急预案。(7)信息科技部门应严格遵守国家各项安全管理制度,配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度,协助做好业务部门信息科技风险控制和安全教育。
检查方法、步骤:(1)调阅信息科技部门的各项工作流程和规章制度。(2)调阅信息科技风险管理政策和制度。(3)调阅信息科技部门的组织结构图,岗位职责说明。(4)访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员,关注以下内容:(a)信息科技部门内部设臵了哪些条线?各条线是否实现了必要的职责分离,如开发团队和运行团队分离, 信息科技人员不从事业务操作, 有专门的团队开展安全检查等;(b)信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能;(c)问题和风险的报告路线、流程和处臵效率;(d)信息科技人员的激励机制;(e)如何对信息科技人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和 内部控制的理念;(f)信息科技人员的任免和招聘,是否进行背景调查;(g)主要岗位是否轮岗;(h)信息科技人员的技能培训情况;(i)信息科技人员是否了解本行的信息科技政策/流程/规范/标准等。
检查项2 :信息科技战略规划
基本要求:(1)商业银行信息科技战略规划应在充分的市场调查和技术分析的基础上,由首席信息官, 银行高级管理层, 科技部门、风险管理和业务部门共同讨论制定,并经过信息科技管理委员会审查和批准,并报董事会审议。(2)信息科技战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息科技支持。(3)信息科技战略规划应包含但不限于:IT治理建设的规划(关注于管理组织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时,银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进行监督。
检查方法、步骤:(1)调阅信息科技发展战略规划或其他中长期发展规划,关注相关规划的配合和衔接。(2)访谈信息科技管理部门负责人和相关工作人员,重点关注:(a)信息科技发展战略规划的制定是否有各方面人员参与,是否经过高级管理层审批;(b)信息科技发展战略规划的内容是否包含了应用架构,基础设施,IT治理等方面;(c)信息科技发展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题;(d)信息科技战略规划是否依据环境变化,总体战略变更等进行调整。
2.3 信息科技风险管理部门
检查项1 :信息科技风险管理部门
基本要求:(1)商业银行应建立全行信息科技风险管理框架,设立或指定信息科技风险管理部门,明确相应的管理职责,设臵必要的岗位,配臵足够的信息科技风险管理人员。(2)信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。(3)信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度,定期检查制度的执行情况,防止出现失控的环节和管理制度老化的情况。(4)信息科技风险管理部门应对重要的信息科技工作环节进行风险识别和评估,定期检查和上报信息科技风险控制状况。(5)信息科技风险管理部门应对全行员工进行持续的信息科技风险教育。
检查方法、步骤:(1)调阅信息科技风险管理的相关政策, 流程,管理规范, 工作手册,以及开展信息科技风险管理的记录, 如日常工作记录、会议纪要和风险评估报告等。(2)调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配臵情况。(3)了解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标 24 准,是否定期开展风险评估, 风险评估的结果,主要风险和应对措施等。(4)了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的开展情况,并调阅培训资料和记录等。
2.4 信息科技风险审计部门
检查项1 :信息科技风险审计部门
基本要求:(1)商业银行应指定专门负责信息科技风险审计的部门,设臵必要的岗位,并配备适量信息科技风险专业审计人员。(2)制定信息科技风险审计制度和相应的审计手册。(3)应有计划、有侧重点地开展信息科技风险审计工作。(4)及时向董事会和监事会报告信息科技风险审计情况。(5)审计发现重大风险隐患应及时报告。
检查方法、步骤:(1)访谈信息科技审计部门负责人和工作人员, 了解以下信息:(a)信息科技审计职能的定位, 工作范围,组织结构和分工(包括信息科技内审团队内部的分工,以及与其他内审团队的分工),汇报路线, 人员配臵, 技能(如是否拥有专业资格)等情况;(b)信息科技审计计划, 关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划;(c)信息科技审计工作的标准和规范;(d)信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等;(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。(f)内审人员的持续培 25 训情况。(2)调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度;(b)信息科技审计部组织结构图,职责说明等;(c)信息科技风险审计手册或其他标准规范文档。(3)调阅商业银行审计工作计划、工作底稿和审计报告。(4)调阅审计发现落实整改情况的记录。(5)调阅培训记录。
2.5 知识产权保护和信息披露
检查项1 :知识产权保护
基本要求:(1)商业银行应按照国家有关知识产权法律、法规的要求,制定本单位知识产权保护制度。(2)应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。(3)规范合法软件的购买和使用,禁止使用盗版软件。(4)做好自主开发的信息科技产品的知识产权保护工作。
检查方法、步骤:(1)调阅商业银行遵守知识产权法律的相关制度并审查其内容。(2)查阅商业银行的软件清单,检查是否拥有产权或授权及到期状况。(3)查阅外包服务协议和相关文件中是否有知识产权的保护条款,并检查落实情况。
检查项2 :信息披露
基本要求:商业银行应依据国家有关法律、法规的要求,按照监管机构规定的格式和时间,及时规范地披露信息科技风险信息。
检查方法、步骤:(1)调阅商业银行有关信息科技风险披露的制 度。(2)查阅商业银行披露信息科技风险评估结果的记录。(3)重点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法规的要求,是否按照监管机构规定的格式和时间及时规范地发布。(4)访谈信息科技人员了解信息披露的流程, 以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。
3.信息科技风险管理
商业银行应制定信息科技风险管理策略,制定风险识别和评估、风险防范措施,对风险进行持续监测。
3.1 风险识别和评估
检查项1 :风险管理策略
基本要求:(1)商业银行应制定符合银行总体业务发展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划;(2)应配臵足够人力、财力资源,维持稳定、安全的信息科技环境;(3)应制定全面的信息科技风险管理策略,包括但不限于:信息分级与保护,信息系统开发、测试和维护,信息科技运行和维护,访问控制,物理安全,人员安全,业务连续性计划与应急处臵。
检查方法、步骤:(1)访谈信息科技部门及信息科技风险管理部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定;(b)银行的主要信息科技风险及其应对措施;(c)在开展信息科技风险管理过程中遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管理政策和流程, 风险评估规范或手册等。
检查项2 :风险识别与评估
基本要求:(1)商业银行应制定持续的风险识别和评估流程,确定信息科技风险隐患;(2)定期评估信息科技风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别。
检查方法、步骤:(1)调阅风险识别和评估流程文档,风险评估报告和相关工作底稿,了解具体工作开展情况。(2)与信息科技风险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员)访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。
3.2 风险防范和检测
检查项1 :风险防范措施
基本要求:(1)商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:制定明确的信息科技风险管理制度、技术标准和操作规程,并定期进行更新和公布;(2)确定潜在风险区域,并对这些区域进行有效的监控,实现风险及早发现、影响最小化;(3)建立适当的控制框架,以便于检查和平衡风险。定义每个业务级别的控制内容,包括:最高权限用户审查,控制数据和系统的物理及逻辑访问,访问授权以“必需知道”和“最小授权”为原则,审批和授权,验证和调节等。
检查方法、步骤:(1)调阅信息科技管理制度、技术标准、操作 29 规程等文档,并访谈信息科技人员和风险管理人员,了解信息科技风险控制的主要原则和措施.(注:这里应主要关注风险控制的原则, 如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等,具体控制的设计和执行情况将在各个领域中进行检查。)(2)调阅风险监控相关工作记录,如风险评估报告,信息科技各职能部门关于风险的汇报文档等.访谈风险管理人员,了解对高风险区域的监控情况;(3)了解信息科技职能和风险管理职能如何对主要风险进行监控,如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指标的持续监测, 内外审的发现和建议的落实,问题上报制度等。
检查项2 :风险计量与检测
基本要求:(1)商业银行应建立持续的信息科技风险计量和检测机制,其中包括:建立信息科技项目实施前及实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检查,定期进行信息科技外包项目的风险状况评价。(2)中资商业银行在境外设立的机构及境内的外资法人银行,应对境内外监管机构有关信息科技风险监管政策的差异性进行分析并防范由此可能产生的风险。检查方法、步骤:(1)调阅有关文档(如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等),了解商业银行是否建立信息科技风险计量和监测机制。(2)访谈相关工作人员,了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取有效风险防范措施。
4.信息安全管理
保证信息安全是商业银行的一项重要任务,商业银行应在信息科技部门内部设臵专门的信息安全管理部门或岗位,建立完善的信息安全管理制度,保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面,本章节主要包含人员安全和管理安全的检查内容,技术安全方面的检查内容参见第三部分“基础设施”部分。
提示:在对商业银行的信息安全管理进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,科技人员少、信息系统种类不多的银行机构,可以不设臵单独的安全管理部门,但应设臵专职的岗位;信息科技岗位设臵可以彼此兼职,但不相容岗位应分离,做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。
4.1 安全管理机制与管理组织
检查项1:信息分类和保护体系
基本要求:商业银行信息科技部门应对各类信息系统进行风险评估,根据信息系统的重要程度等因素,建立和实施信息系统分类和保护体系,并保证该体系在银行内部的贯彻落实。
检查方法、步骤:(1)调阅信息系统分类管理制度,查看相关制度是否建立健全,是否对信息类别和访问人员的范围、级别作出明确规定;(2)检查商业银行是否针对不同的信息系统,制订了不同的安全防范措施,采取了不同的技术防范手段;(3)检查商业银行是否对信息系统风险进行评估和防范。
检查项2:安全管理机制
基本要求:商业银行信息科技部门应落实信息安全管理职能。包括:建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,定期向信息科技管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
检查方法、步骤:(1)调阅商业银行信息安全计划或相关文档,检查商业银行是否制订信息安全计划。(2)分析信息安全计划,评估商业银行信息科技部门能否对信息安全进行持续、长期和有效的管理,确保信息安全和信息系统安全运行。(3)检查商业银行信息科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识,是否就安全问题向其他部门提供安全建议。(4)检查商业银行信息科技部门是否对各类信息和信息系统制订相应的信息安全标准,是否制订相关的管理策略,是否制订实施计划,是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。(5)调阅信息安全评估报告,检查信息科技部门是否定期对本行信息安全进行评
估。检查项3:信息安全策略
基本要求:商业银行应制订详细的信息安全策略,至少包括以下内容:信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。
检查方法、步骤:(1)调阅商业银行信息安全策略,检查是否制定信息安全策略及其内容是否完整、全面。(2)调阅信息安全管理规定,查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。
检查项4:信息安全组织
基本要求:商业银行应建立配套的安全管理职能部门,通过管理机构的岗位设臵、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;安全管理人员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
检查方法、步骤:(1)调阅相关岗位职责说明文件,检查是否设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗 34 位的职责;(2)检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等;(3)查询相关制度文件和审批记录,检查是否根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;(4)调阅信息安全检查记录,检查安全管理员是否定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况,检查结果是否及时报告和处理。
4.2 安全管理制度
检查项1:规章制度
基本要求:商业银行应对信息安全风险进行分析、评估;应对信息安全管理工作建立相应的管理制度;应要求管理人员或操作人员严格执行管理制度,各项操作符合制度要求;应注明安全管理制度密级程度,并进行密级管理;信息安全制度建设应全面涵盖信息系统的安全风险点,如:用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容。信息安全制度应包含违规处罚条款;重要工作和岗位应制订详尽的管理办法和工作职责;信息安全制度应包括对服务商的责任和义务要求;信息安全事件报告制度和处理流程应清晰明确;信息安全管理制度应注明发布范围,有发文编号和相关部门的收文记录;信息安全制度应及时发布和修订。
商业银行应建立完善的信息系统管理制度,管理制度应正式发文予以公布,或收集整理形成制度汇编以便于员工学习掌握。
检查方法、步骤:(1)调阅商业银行信息安全管理相关的会议记录。(2)调阅信息安全相关的制度,查看:(a)是否围绕着风险分析、评估报告开展制度建设,各项制度能否有效防范风险;(b)已有制度是否涵盖信息系统的各项风险点,包括用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务应用系统安全、客户端安全、病毒防护、敏感数据保护、文档管理等内容;(c)是否包含违规的处罚条款;(d)是否包括针对服务商的管理要求,如职责和义务;(e)是否建立信息安全事件报告制度和处理流程,制度和流程是否清晰和明确;(3)调阅信息安全管理部门职责和工作计划,查看是否对重要的信息系统安全管理岗位制定了明确的管理办法和工作职责。(4)信息安全管理负责人员座谈,了解近期信息安全方面的重大(管理、安全、人事等方面)事件,检查是否已经针对上述事件对信息安全制度进行了及时修订和颁布实施。
检查项2:制度合规
基本要求:信息安全制度应符合国家有关信息科技管理的法律法规;应符合国家有关信息科技管理的技术标准;应符合银监会有关要求;对于拥有境外机构的银行,其制度也应符合境外监管机构的要求。
检查方法、步骤:(1)调阅信息安全制度,检查:(a)制度是否遵循国家有关信息科技管理的法律法规要求;(b)技术性比较强的信
息系统安全制度是否低于国家相关标准规定;(c)审查其是否与银监会相关办法、要求相冲突。(2)与信息安全管理负责人座谈,了解该银行是否在境外设立分支机构,境外分支机构信息安全制度是否符合所在国、地区监管机构的要求。
检查项3:制度执行
基本要求:信息科技相关工作应严格遵守信息安全制度规定;对违规操作的应根据相应条款进行处罚;被处罚管理部门或个人应对违规操作进行整改;审计部门应对信息安全制度执行情况定期进行审计。
检查方法、步骤:(1)与负责信息安全的人员访谈,了解信息安全制度执行情况;(2)调阅银行或部门会议记录,查看银行或部门是否对日志、视频等记录中出现的违规操作行为进行过认定,并对违规人员或部门进行过处罚;(3)调阅银行或部门会议记录,查看是否对违规操作进行过整改,整改的后续情况如何。对于因制度漏洞造成的风险,是否及时对相关制度进行了修改:(4)调阅内、外部审计资料,查看是否有关于信息安全制度执行情况的审计报告;(5)调阅审计文件,查看对信息安全制度执行情况的审计频度和审计内容是否符合银行要求;(6)调阅银行或部门文件,查看是否对审计发现的问题进行过整改落实,后续的整改落实情况是否符合审计要求。
4.3 人员管理
检查项1:人员管理
基本要求:(1)信息科技的岗位设臵应合理,应做到分工明确、职责清晰,重要岗位需要相互制约、监督;(2)信息科技人员应无不良记录;信息科技人员的专业知识和业务水平应达到本行要求;应加强对临时聘用或合同制信息科技人员的安全管理措施;(3)应对信息科技人员权限进行分级管理,关键岗位应有AB角;应分离不相容岗位人员职责,不得兼任;(4)信息安全管理岗位应配备专职安全管理员。关键区域或部位的安全管理员应符合机要人员管理要求,对涉密人员应签订保密协议;(5)信息科技人员管理要全面,应包括背景调查、人员招聘、上岗培训、安全培训、人员离岗审查、强制休假等方面。
检查方法、步骤:(1)调阅银行人事制度,了解银行的信息科技岗位设臵情况,是否配备了专门的安全管理岗位;(2)与信息科技管理人员和普通员工进行座谈,听取其对信息科技岗位设臵的意见,分析岗位设臵是否合理;(3)调阅银行人事档案,查看是否建立了信息科技人员的绩效考核制度,查看信息科技人员是否有不良记录;(4)调阅银行人事档案和与信息科技从业人员进行座谈,了解信息科技人员的专业知识和业务水平;(5)调阅银行人事管理制度或部门人事管理制度,分析是否有针对正式信息科技人员、临时聘用或合同制信息科技人员及顾问制定不同的人事管理制度;(6)调阅信息安全管理的
相关制度,确认是否对不同信息科技岗位进行了权限划分和分级管理,并能贯彻落实上述制度和要求。
4.4 安全评估报告
检查项1:安全评估报告
基本要求:商业银行应定期对信息系统安全情况进行评估,并提交安全评估报告。当信息系统发生重大变化时,应及时进行信息安全评估。对安全评估中发现的问题,应及时整改。
检查方法、步骤:(1)调阅安全评估报告,检查商业银行是否定期对信息系统安全进行评估。如果信息系统发生重大变化或升级后,是否及时进行信息安全评估:(2)检查安全评估是否全面,是否覆盖所有信息系统,是否覆盖所有信息安全范围;(3)检查安全评估报告反映的问题是否及时得到处理或改进。4.5 宣传、教育和培训
检查项1:宣传、教育和培训
基本要求:高管层、信息安全管理部门负责人应知晓信息安全政策;银行应加强对客户的信息安全重要性的宣传教育工作;银行应定期组织员工进行信息系统安全重要性教育;银行应组织员工学习基本的信息系统安全管理制度;信息科技人员应掌握与其岗位相关的信息安全管理制度。
检查方法、步骤:(1)与高管层、信息安全管理部门负责人座谈,了解是否知晓本银行的信息安全政策;(2)与高管层座谈,了解银行是否对客户进行过信息安全方面的宣传教育,其内容、力度和频度如何;(3)与普通员工座谈,了解是否接受过有关信息安全方面教育;(4)抽查银行内部部门的学习记录,看是否组织过信息安全防范知识方面的学习培训;(5)与普通员工座谈,看是否知晓本银行基本的信息安全制度;(6)调阅信息科技部门的学习记录,看是否对信息科技人员进行过信息安全制度的传达,是否组织过信息安全制度的学习培训;(7)与信息科技人员座谈,看是否掌握与其从事岗位相关的信息安全管理制度。
5.系统开发、测试与维护
5.1开发管理
良好的系统开发管理是一个系统能否稳健运行的必要前提,因此应加强对商业银行系统开发管理工作的检查力度,从而准确评估各运行系统以及即将上线系统的稳定性和可靠性。通过对商业银行的相关制度、规定、流程以及文档、记录的检查和分析,了解其管理层是否统筹考虑系统开发与信息科技战略规划及业务发展目标的一致性,是否对系统开发的可行性、必要性、成本效益核算以及存在的风险等方面进行全面评估,是否建设了合理的开发管理组织框架,是否对开发过程进行了全面的风险管控,以确保系统开发过程的合理、高效和安全。
检查项1:管理架构
基本要求:应建立信息科技管理委员会对信息系统项目建设的审批、授权机制,重大信息系统项目开发应经过银行董事会的批准,并符合该机构的IT战略规划和业务发展目标。信息科技部门应设臵独立的岗位并配备足够的具备相关知识和技能的专业人员对信息系统项目开发进行集中管理,系统开发应成立专门的开发建设项目组,具体负责信息系统的开发建设。在系统开发立项审批前,应进行系统开发可行性研究,以控制与信息科技有关的风险。项目开发过程中应定 41 期向首席信息官或高级管理层汇报项目实施状况。信息系统开发过程应有业务需求部门人员参与,并定期与业务需求部门一起审核信息系统开发建设情况,查看是否能够满足生产业务的需要,是否与业务需求相符合,是否对关键业务风险点进行了有效控制。
检查方法、步骤:(1)检查商业银行是否有系统开发的可行性研究、成本效益分析、风险评估等报告,查看是否对项目的可行性、成本效益核算以及可能出现的各种操作风险、财务损失、无效系统规划等进行了深入的分析;(2)调阅相关会议纪要,查看相关分析结果是否得到信息科技管理委员会的认可,分析信息科技管理委员会是否对系统开发的可行性、必要性以及与IT战略规划和业务发展目标的一致有充分认识;(3)对于重大信息系统开发项目,查看是否有银行董事会批准实施系统开发的记录;(4)调阅重大项目相关开发建设文档,查看是否成立了专门的项目组,具体负责项目的开发建设。如成立有项目组,调阅项目组相关工作文件,检查项目组是否尽职完成其相关职责;(5)查看是否有项目实施部门定期向信息科技管理委员会报告系统开发进展的报告;(6)查看商业银行是否设臵独立的部门负责系统开发,调阅部门人员清单及简介(含资质),判断该部门人员的数量和专业背景对于其承担的系统开发职责是否充分和适当;(7)调阅项目开发相关文件,查看信息系统开发过程是否有业务部门人员参与,检查项目开发过程中开发部门是否与业务部门定期总结信息系统开发建设情况,以确认正在开发的系统是否与业务需求相符合,是否对关键业务风险点进行了有效控制;(8)检查信息系统投产后,实施
部门是否组织了对系统的后评价,并根据评估结果及时对系统功能进行调整和优化。
检查项2:制度建设
基本要求:商业银行应制定全面的信息系统开发管理制度和流程,包括但不限于系统的开发流程和组织管理、参与部门的职责划分、时间进度和财务预算管理、质量检测和风险评估等。商业银行制定的制度和流程,应涵盖信息系统开发的全周期,包括:分析、设计、开发或外购、测试、试运行、部署、维护和退出等,制度和流程应经过高级管理层和相关部门的认可,明确相关部门和人员的职责,并定期进行评估和更新。
检查方法、步骤:(1)调阅商业银行系统开发相关的制度和流程,检查其是否明确了管理组织及职责,是否对开发流程管理进行全面的管控。是否建立了质量检测和风险评估机制等;(2)询问相关人员,是否有高级管理层和所有有关部门认可这些制度和流程的说明,查看相关会议纪要、相关文件的传阅痕迹等;(3)检查系统开发过程中,相关制度和流程是否得到有效的实施,如是否界定了明确的部门和人员职责,职责划分是否合理,是否有完整的时间进度管理和财务预算管理,是否要求实施部门定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况等;(4)检查商业银行制定的制度和流程是否涵盖了信息系统开发的立项、可行性分
析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等各环节。
检查项3:项目控制体系
基本要求:(1)商业银行应制定合理的项目生命周期,加强项目生命周期管理,包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出;(2)应开展对系统需求和技术架构的管理,使系统需求与业务目标保持一致;(3)应当建立一套符合质量管理标准的质量控制体系,有效控制开发质量;(4)应根据项目风险评估,在系统开发过程中落实主要风险点的风险控制措施;(5)系统开发环境与运行环境应当分离,包括网络分离、设备分离、数据分离、人员分离等,防止开发活动对业务运行环境造成风险;(6)系统开发过程中应进行必要的安全控制,应对源代码进行有效管理,对程序源代码进行严格的审查,不应留有“后门”,即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。
检查方法、步骤:(1)检查银行是否有信息系统生命周期管理制度,是否有项目生命周期管理流程和记录;(2)检查系统需求和技术架构的评估文档,看系统需求与业务目标是否保持一致;(3)询问系统开发部门负责人,银行是否建立了系统开发质量控制体系,调阅其项目质量控制标准、代码编写规范(软件)以及质量控制检查和监督的记录;(4)检查是否有项目需求和计划的风险评估以及业务的风险
点分析,是否有对业务操作环境(如人员素质、操作场所等环境)的相关风险分析,是否有对项目延期的风险、项目进程中发现的风险、项目外包的风险等关键控制点制定风险控制措施,是否有风险控制措施的落实记录和监督记录;(5)检查系统开发环境和运行环境是否分离,网络是否有效隔离,设备是否独立于生产系统,开发人员是否接触生产系统,开发过程中是否使用了生产数据,使用的生产数据是否得到高级管理层的批准并经过脱敏或相关限制;(6)检查系统开发过程中,是否进行安全控制,是否对源代码进行有效管理和严格的审查,系统所有入口是否都经过安全规则的控制,并在系统开发文档中全部注明。
检查项4:系统开发的操作风险
基本要求:商业银行应当加强对开发队伍的管理,合理选择具备相当专业知识和技术水平的项目经理,并应对技术人员,尤其是外来技术人员的开发行为加强管理,对于外包开发与合作开发的开发方应进行充分调研分析,以保证系统的可靠性;应当加强信息科技项目文档管理和文档版本控制;银行信息科技开发部门应当加强对开发过程的检查,确保开发目标的实现。对以外包和合作开发为主进行信息系统开发建设的银行机构,应特别重视对外来技术人员的开发行为加强管理,对于外包开发与合作开发的开发方应进行充分调研分析,以保证系统的可靠性。
检查方法、步骤:(1)询问商业银行对项目开发经理的知识水平
要求,查看部分项目开发经理的资信历史、资格证书、从业经历的调查记录;(2)对于外包开发与合作开发的项目,询问项目管理成员,开发方是否在业内有过针对客户的不良纪录,商业银行是否有对开发方技术实力与人力资源充分性进行分析;(3)检查是否制定了文档管理规范制度,查看项目开发设计、源代码、技术使用和运行维护说明书、用户使用手册,风险评估报告等项目文档管理是否符合规范,是否进行了文档的版本控制;(4)检查银行是否有系统开发过程的检查记录,是否对系统完整性、恶意代码和后门程序进行了检查。
检查项5:数据继承和迁移
基本要求:信息系统升级变更,应特别重视对历史数据的继承和迁移。应合理规划数据结构,并进行数据兼容性分析,防止因兼容性不够而造成历史数据的无法使用和继承,进而影响业务生产和客户利益。信息系统升级变更前,应制订详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证。商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。
检查方法、步骤:(1)检查是否进行新旧系统业务数据兼容程度分析,并形成书面报告;(2)检查业务系统上线前,是否制订详细的数据迁移计划,数据迁移计划是否严密;(3)检查业务系统上线或升级前,是否进行过数据迁移测试和数据有效性、兼容程度验证;有数据移植时,检查是否针对新旧系统中被移植部分数据的一致性进行过
验证,对数据调整时,是否对调整过程进行了完整记录并由相关人员签字;(4)检查是否制定了相关制度、标准和流程,以保证信息系统开发、测试、维护过程中数据的完整性、安全性和可用性。
5.2系统测试与上线
充分的系统测试和周密的上线程序是保障系统正常稳定运行的重要环节,商业银行应该确保充分的系统测试和具备完善系统上线程序的管理,以确保系统的测试结果是可信的,上线流程是完善的。通过对相关制度、流程和程序的检查,分析商业银行在系统测试和上线过程是否存在缺陷,从而对各系统做出合理的评估,避免系统测试不充分上线,或上线程序不周密,导致系统风险,造成损失。
检查项1:系统测试
基本要求:商业银行应为所有的主要变更建立充分的测试体系(如:系统单元测试、系统集成测试、系统验收测试、用户测试、预演、数据转换的验证、平行测试等)以保证系统测试的完整和充分;商业银行应建立完善的测试团队,并确保测试工作的公正性和独立性;应当确保充分,完整的系统测试;测试环境应与生产环境相隔离;应当对信息系统功能进行充分测试,保障系统功能与业务目标一致;应当对信息系统进行非功能测试,保证系统的兼容性、可靠性、通用性、安装的可操作性,防范在信息系统性能峰值情况下发生的问题。系统变更应建立回滚变更的程序,以便于在发生问题的情况下可以恢 47 复到原始的程序、系统配臵和数据,在变更迁徙到生产环境前应进行回滚程序的试运行,以保证回滚程序是有效、可靠的。系统测试过程中应对测试的情况进行规范的记录,最终形成测试文档并进行分析。
检查方法、步骤::1)检查系统变更的测试报告,分析测试内容和测试步骤是否完整,测试用例是否充分涵盖所有业务场景;(2)调阅测试团队人员清单,分析测试团队人员角色、知识水平等是否充分,询问相关负责人通过哪些措施保证测试团队的公正性和独立性;(3)调阅测试方案、测试用例、测试记录等,分析银行的测试方案是否完善,测试计划是否完整,测试环境是否与生产环境相隔离,测试用例是否充分,测试用例是否有生产数据,当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理,测试执行情况记录是否完整,查看是否有对充分测试的审核报告;(4)调阅功能测试记录,查看系统功能测试结果是否与业务需求一致;(5)调阅非功能性测试报告或记录(非功能测试技术主要包括:配臵和安装测试、兼容性和互操作性测试、文档和帮助测试、错误恢复测试、性能测试、可靠性测试、保密性测试、压力测试、可用性测试、容量测试),分析测试用例是否充分,测试结果是否与业务需求一致;(6)检查是否建立系统变更的回退程序,是否有回退程序的测试或试运行成功的记录;(7)调阅系统测试报告,检查系统测试过程中是否对测试的情况进行规范的记录,是否形成测试文档;对测试过程是否进行分析,并提出相应修改意见。
检查项2:系统验收
基本要求:商业银行应当在系统发布前对测试过程进行充分审查,防止未经充分测试的系统上线运行;应当在系统发布前对系统交付物的完整性进行检查,以及对代码进行检验;对打包销售的系统,应要求其提供充分可靠的测试证明,并进行代码审查;应当对系统进行一段时间的试运行,及时发现试运行中存在的问题,改正后方可正式上线。
检查方法、步骤:(1)调阅系统验收记录和测试质量的评估报告,检查系统发布前商业银行是否对测试的过程和有关测试充分进行了审查并对测试质量进行了评估;(2)查看验收记录中是否对系统交付物的完整性进行了检查,检查的内容还应该包括软件发布计划、操作手册和应急预案等文档;(3)检查打包销售的软件是否有完整的、充分的和可靠的测试报告,是否有对软件代码的审查记录,特别是对秘密信道及特洛伊木马程序审查;(4)检查是否有完整的试运行报告、试运行记录、系统错误修正记录等,查看系统的试运行是否通过。
检查项3:投产上线
基本要求:商业银行应重视信息系统的投产上线工作,做到以下几点:(1)包括用户需求书、功能说明书、设计说明书、技术与业务操作手册等在内的所有文档资料在上线前应正式归档保管;(2)投产上线所用的系统生产环境已经建立并经验收测试证明有效;(3)清除 49 投产上线用的系统生产环境中的验收测试数据(另行安排生产环境除外);(4)完成投产上线计划书、上线操作手册、回退操作手册并经验证;(5)有数据移植时还需对新旧系统中被移植部分数据的一致性进行验证,对数据调整时应对调整过程完整记录并请相关人员签字;(6)已对运行人员、业务管理人员、业务操作人员进行了培训,开发人员与运行维护人员已经完成了职责移交。
检查方法、步骤:(1)检查文档资料管理系统,确认与该信息系统有关的各类文档资料已经正式归档保管,纳入生产系统文档资料管理范围;(2)与业务和技术人员访谈,了解投产上线的完整过程,判断投产上线用的环境是否在启用时已经验证有效、测试业务数据得到完全清理、被移植到生产环境的数据与在原环境中数据保持一致性;(3)与运行人员和开发维护人员访谈,了解在投产时,运行人员是否熟悉运行操作,维护人员是否接管维护职责,从而判断是否实行岗位分离和存在操作风险。
5.3系统下线
商业银行应对系统下线按规范流程妥善处理,确保下线系统敏感数据的安全性和完整性。
检查项1:系统下线
基本要求:商业银行应当关注系统下线工作,并做到以下几点:(1)下线前,应当做好充分的论证,证明该信息系统的功能已经失 50
第二篇:银行业信息科技风险监管现场检查手册
前 言
信息科技已经成为银行业金融机构实现经营战略和业务运营的基础平台以及金融创新的 重要手段。银行业对信息科技的高度依赖,决定了信息系统的安全性、可靠性和有效性对维 系整个银行业的安全和金融体系的稳定具有至关重要的作用。
银监会党委对信息科技风险监管工作高度重视,刘明康主席多次召开专项工作会议并做 出重要批示和指示,明确要求着力推进信息科技风险监管。银监会坚持贯彻“管法人、管风险、管内控、提高透明度”的监管理念,把信息科技风险纳入银行总体风险监管框架,切实加强制 度建设和风险监控,确保银行业信息系统安全稳定。
在目前信息技术革新日新月异、金融业务不断创新、银行对信息科技依赖性越来越大的 新形势下,银监会坚持“风险为本”的监管原则,提出了信息科技风险功能性监管的新思路,突出“制度先行”,完善监管框架,借鉴和吸收国际先进标准及业界最佳实践,不断丰富信息 科技风险监管方式方法,制定了一系列的监管规范,结合奥运保障开展现场检查,并针对性 地发出有关风险提示,建立非现场监管体系和监管评级体系,从而构建了信息科技风险监管 的基础框架,全面展开信息科技风险的监管工作。
按照郭利根副主席提出的“集成资源,形成信息科技风险监管合力”和“搞好规划,全面加 强信息科技风险监管制度建设”要求,银监会强化机制建设、优化资源配置,整合科技人力资 源,集中全国银监会系统科技骨干力量,在北京成立了信息科技监管“专项工作组”,又在上 海、深圳两地分别成立信息科技风险监管工作室,按照统一调度、统一指挥、统一培训的工 作原则,制度建设、奥运保障、现场检查、非现场监管及监管评级五线并举,形成了矩阵式 的监管工作模式,快速锻炼了一支能战会战、能够担当重任的信息科技风险专业化监管队伍。
《手册》的编写得到了各方的大力支持。上海、湖北、安徽、山东、山西、江苏、江西、河南、内蒙古、黑龙江、青岛、福建、河北、宁夏、辽宁、吉林、浙江、四川、深圳、广东、天津、重庆、大连、云南、贵州银监局派出精锐技术骨干,参加《手册》编写工作;银监会 各部门与各银监局提出了许多宝贵意见;上海银监局为编写工作提供了大量支持和保障工作。整个《手册》内容融合了银监系统内信息科技人员的经验和智慧,汇聚了银监会各部门与各 银监局的宝贵意见和建议,应属于银监会系统及科技人员共同努力的成果和结晶。在此,向 所有参与工作的单位和个人致以诚挚的谢意!
编写人员
林 丽 朱永扬 怿卫飞 李 丹 骆絮飞 邹 伟 房世晖
崔维琪 朱 斌 冯业伟 叶 照 乔昱瑞 纪奀 武 齐兴利
吴瑞麟 陈宏宇
谭 杨 李 鹏 张 伟 周嘉弘 史文明 李海波
张惠芳 郝海峰 何 禹 包 龙
李晓东 杨中华 靖雪晶 殷有超 陆 阳 崔 晨 怿美东
陆 翔 盛于南 怿殿南
陈云龙
游 琨
刘 楠
目 录
第一部分 概述.............................................2
1.银行信息科技风险及其监管...............................2
1.1 银行信息科技风险................................................................2 1.2 银行信息科技风险特点............................................................2
1.3 风险成因分析....................................................................3
1.4 信息科技风险监管意义............................................................4 2.现场检查一般流程.......................................5
2.1 现场检查准备阶段................................................................5 2.2 现场检查实施阶段................................................................7
2.3 现场检查后续阶段................................................................8 3.常用检查方法...........................................9 第二部分 科技管理.......................................11 4.科技治理..............................................11
4.1 董事会及高管层.................................................................11 检查项 1 :董事会和高级管理层............................................................................................11
4.2 信息科技工作的管理机构.........................................................12
检查项 1 :全行信息科技工作的管理机构.............................................................................12
4.3 信息科技部门...................................................................13
检查项 1 :信息科技部门.......................................................................................................13
4.4 信息科技战略规划...............................................................15
检查项 1 :信息科技战略规划................................................................................................15
4.5 信息科技风险管理部门...........................................................15
检查项 1 :信息科技风险管理部门........................................................................................15
4.6 信息科技风险审计...............................................................16
检查项 1 :信息科技风险审计机制........................................................................................16
4.7 知识产权保护...................................................................17
检查项 1 :敉识产权制度.......................................................................................................17
4.8 信息披露.......................................................................17
检查项 1 :信息披露..............................................................................................................17 5.连续性管理............................................18
5.1 信息系统连续性组织.............................................................18 检查项 1:系统连续性管理组织..............................................................................................18 检查项 2:系统连续性管理组织职责......................................................................................19 检查项 3:系统连续性计划编制、维护...................................................................................20 检查项 4:系统连续性计划编制、维护职责...........................................................................20 检查项 5:系统连续性计划执行组织......................................................................................20 检查项 6:系统连续性计划执行组织职责...............................................................................21 检查项 7:人员变动管理.........................................................................................................22 5.2 信息系统连续性计划.............................................................22 检查项 1:系统连续性计划.....................................................................................................22 检查项 2:测试及持续更新.....................................................................................................24 检查项 3:信息系统连续性计划管理......................................................................................25 检查项 4:系统连续性计划培训..............................................................................................25 检查项 5:系统连续性计划审计..............................................................................................25 6.应急管理..............................................26
6.1 应急组织.......................................................................26 检查项 1:应急管理团队.........................................................................................................26 检查项 2:应急管理职责.........................................................................................................27 检查项 3:应急管理制度.........................................................................................................27 6.2 应急预案.......................................................................27
检查项 1:应急预案制订.........................................................................................................27
检查项 2:应急预案内容.........................................................................................................28
检查项 3:应急预案更新.........................................................................................................29 检查项 4:外包服务应急.........................................................................................................29 检查项 5:应急培训................................................................................................................29 6.3 应急演练.......................................................................30 检查项 1:应急演练前............................................................................................................30 检查项 2:应急演练过程.........................................................................................................30 检查项 3:应急演练后............................................................................................................30 6.4 应急响应.......................................................................31 检查项 1:应急响应流程.........................................................................................................31 检查项 3:应急事件报告.........................................................................................................32 检查项 4:与第三方沟通.........................................................................................................32 检查项 5 :向新闻媒体通报制度............................................................................................32 检查项 6:应急处置总结.........................................................................................................33 6.5 应急保障.......................................................................33 检查项 1:人员保障................................................................................................................33 检查项 2:物质保障................................................................................................................33 检查项 3:技术保障................................................................................................................34 检查项 4:沟通保障................................................................................................................34 6.6 持续改进.......................................................................34 检查项 1:应急事件评估、改进..............................................................................................34 检查项 2:应急响应评估.........................................................................................................35 检查项 3:应急管理评估.........................................................................................................35 检查项 4:纳入全面风险管理机制..........................................................................................35 7.信息系统安全管理......................................35
7.1 安全管理组织...................................................................36 检查项 1:管理目标................................................................................................................36
检查项 2:人员风险................................................................................................................36
7.2 安全管理制度...................................................................37 检查项 1:规章制度................................................................................................................37 检查项 2:制度合规................................................................................................................38 查项 3:制度执行....................................................................................................................38 检查项 4:宣传和教育培训.....................................................................................................39 检查项 5:事件响应和处理.....................................................................................................39 8.外包管理..............................................40
8.1 服务外包管理制度...............................................................40 检查项 1:服务外包管理制度.................................................................................................40 检查项 2:对重要外包项目评估..............................................................................................41 检查项 3:外包安全保密措施.................................................................................................41 8.2 服务外包管理风险评估...........................................................41 检查项 1:对服务外包商评估.................................................................................................41 检查项 2:对服务外包商审查.................................................................................................42 8.3 服务外包审批...................................................................42
检查项 1:服务外包审批流程.................................................................................................42
8.4 服务外包应急响应...............................................................42 检查项 1:服务外包应急计划.................................................................................................42 检查项 2:服务外包商联络机制..............................................................................................43 检查项 3:服务外包应急演练.................................................................................................43 8.5 外包合同.......................................................................43 检查项 1:外包合同................................................................................................................43 检查项 2:服务外包商访问权限..............................................................................................44 检查项 3:外包服务法律风险.................................................................................................44 8.6 服务外包文档的完备性...........................................................45
检查项 1:服务外包文档.........................................................................................................45
第三篇:商业银行信息科技风险管理指引
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息
(一)(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技 预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资
(二)(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险
第三章
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。
第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。4.5.第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。
第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。第四章 信息安全
第二十条 商业银行信息科技部门负责 建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
(一)(二)
(三)(四)
(五)(六)
(七)(八)
(九)(十)
(十一)第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)(二)
(三)(四)
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)(七)
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户
(四)(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控
第二十六条
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职
(二)(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提
(七)以书面或电子格式
(八)第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密
(一)(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)(四)
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。第五章
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。
第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的(一)
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活
第六章
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的第七章
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)(三)
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
23.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。第八章 外
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风
(二)(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不
(一)(二)银行业
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息
(四)(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包
1.商业银行或外包服务商的所2.3.第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资
(一)(二)
(三)(四)
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信
(六)第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的第六十四条
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控
(二)(三)
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门
第十章
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,第十一章 附
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指 商业银行信息科技风险管理指引 第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,第二条
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。第二章
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监
(十四)第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息
(一)(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一
(五)(六)
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资
(二)(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险
第三章
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领
(一)(二)
(三)(四)
(五)(六)
(七)第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控
1.2.3.访问授权以“必需知道”和“4.5.第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)(二)
(三)(四)
(五)(六)
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。第四章
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维
(一)(二)
(三)(四)
(五)(六)
(七)(八)
(九)(十)业务连续性管
(十一)第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现
(一)(二)
(三)(四)
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)(七)
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户
(四)(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监
第二十六条
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职
(二)(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提
(七)(八)
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程
(一)(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)(四)
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容
第五章
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的(一)
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活
第六章
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的第七章
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)(三)
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
23.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。第八章 外
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风
(二)(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不
(一)(二)
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息
(四)(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包
1.2.3.第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资
(一)(二)
(三)(四)
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息
(六)第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服
第九章
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的第六十四条
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控
(二)(三)
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门
第十章
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,第十一章 附
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事
第七十四条 第七十五条
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
第七十四条 第七十五条
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
第四篇:《商业银行信息科技风险管理指引》
银监会发布《商业银行信息科技风险管理指引》
为进一步加强商业银行信息科技风险管理,银监会近日发布《商业银行信息科技风险管理指引》(以下简称《管理指引》),原《银行业金融机构信息系统风险管理指引》(银监发[2006]63号,以下简称原《指引》)同时废止。
随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,原《指引》定位在信息系统风险管理的基本、原则性要求,已难以满足商业银行信息科技风险管理的需要。为此,银监会在原《指引》的基础上,广泛征求业内机构意见,制定了本《管理指引》。
《管理指引》具有以下几个特点:一是全面涵盖商业银行的信息科技活动,进一步明确信息科技与银行业务的关系,对于认识和防范风险具有更加积极的作用;二是适用范围由银行业金融机构变为法人商业银行,其他银行业金融机构参照执行;三是信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;四是重点阐述了信息科技风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中;五是参照国际国内的标准和成功实践,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,使操作性更强;六是加强了对客户信息保护的要求。
新《指引》共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则等十一个部分。新《指引》的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进。
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章 信息科技治理
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。
第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息官的职责包括:
(一)直接参与本银行与信息科技运用有关的业务发展决策。
(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
(二)审核信息科技员工的道德品行,确保其具备相应的职业操守。
(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险状况。
第三章 信息科技风险管理
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。
第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。 4.审批和授权。 5.验证和调节。
十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。
第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
第四章 信息安全
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略应涉及以下领域:
(一)安全制度管理。
(二)信息安全组织管理。
(三)资产管理。
(四)人员安全管理。
(五)物理与环境安全管理。
(六)通信与运营管理。
(七)访问控制管理。
(八)系统开发与维护管理。
(九)信息安全事故管理。
(十)业务连续性管理。
(十一)合规性管理。
第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。
第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,4 如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)域内应用程序和用户组的重要程度。
(二)各种通讯渠道进入域的访问点。
(三)域内配臵的网络设备和应用程序使用的网络协议和端口。
(四)性能要求或标准。
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)不同域之间的连通性。
(七)域的可信程度。
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。
(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十六条 商业银行应通过以下措施,确保所有信息系统的安全:
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。
(二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。
(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)在关键的接合点进行输入验证或输出核对。
(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。
(七)以书面或电子格式保存审计痕迹。
(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:
(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
(一)使用符合国家要求的加密技术和加密设备。
(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)加密强度满足信息机密性的要求。
(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
第五章 信息系统开发、测试和维护
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。
第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
(一)生产系统与开发系统、测试系统有效隔离。
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活动纳入信息科技项目,接受相关的管理和控制,包括用户验收测试。
第六章 信息科技运行
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。
第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。
第七章 业务连续性管理
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)信息丢失或受损。
(三)外部事件(如战争、地震或台风等)。
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。2.运行恢复的优先顺序。
3.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。
(二)更新实施业务连续性计划的流程及相关联系信息。
(三)验证受中断影响的信息完整性的步骤。
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行审核并升级。
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。
第八章 外 包
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行。
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制,是否满足商业银行履行对外包服务商的监督义务。
(二)考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。
(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。
第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不限于:
(一)对外包服务商的报告要求和谈判必要条件。
(二)银行业监管机构和内部审计、外部审计能执行足够的监督。
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。
(四)担保和损失赔偿是否充足。
(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)第三方供应商出现问题时,保证软件持续可用的相关措施。
(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包协议的条件,例如:
1.商业银行或外包服务商的所有权或控制权发生变化。
2.商业银行或外包服务商的业务经营发生重大变化。
3.外包服务商提供的服务不充分,造成商业银行不能履行监督义务。
第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户提供服务的充分性。
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资料等敏感信息的安全,包括但不限于采取以下措施:
(一)实现本银行客户资料与外包服务商其他客户资料的有效隔离。
(二)按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。
(三)要求外包服务商保证其相关人员遵守保密规定。
(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息的安全。
(六)确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。
第六十四条 商业银行内部信息科技审计的责任包括:
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性。
(二)按照第(一)款规定完成审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。
第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。
第十章 外部审计
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商业银行应根据该审计报告提出整改计划,并在规定的时间内实施整改。
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。
第十一章 附 则
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。
第七十四条 银监会依法对商业银行的信息科技风险管理实施监督检查。
第七十五条 本指引由银监会负责解释、修订。
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
发文单位:中国银行业监督管理委员会
发布日期:2009-6-1 执行日期:2009-6-1
Chapter I General Provisions
Article 1.Pursuant to the Law of the People„s Republic of China on Banking Regulation and Supervision,the Law of the People's Republic of China on Commercial Banks,the Regulations of the People‟s Republic of China on Administration of Foreign-funded Banks,and other applicable laws and regulations,the Guidelines on the Risk Management of Commercial Banks„ Information Technology(hereinafter referred to as the Guidelines)is formulated.Article 2.The Guidelines apply to all the commercial banks legally incorporated within the territory of the People„s Republic of China.The Guidelines may apply to other banking institutions including policy banks,rural cooperative banks,urban credit cooperatives,rural credit cooperatives,village banks,loan companies,financial asset management companies,trust and investment companies,finance firms,financial leasing companies,automobile financial companies and money brokers.Article 3.The term “information technology” stated in the Guidelines shall refer to the system built with computer,communication and software technologies,and employed by commercial banks to handle business transactions,operation management,and internal communication,collaborative work and controls.The term also include IT governance,IT organization structure and IT policies and procedures.Article 4.The risk of information technology refers to the operational risk,legal risk and reputation risk that are caused by natural factor,human factor,technological loopholes or management deficiencies when using information technology.Article 5.The objective of information system risk management is to establish an effective mechanism that can identify,measure,monitor,and control the risks of commercial banks„ information system,ensure data integrity,availability,confidentiality and consistency,provide the relevant early warning,and thereby enable commercial banks‟ business innovations,uplift their capability in utilizing information technology,improve their core competitiveness and capacity for sustainable development.Chapter II IT governance
Article 6.The legal representative of commercial bank should be responsible to ensure compliance of this guideline.Article 7.The board of directors of commercial banks should have the following responsibilities with respect to the management of information systems:
(1)Implementing and complying with the national laws,regulations and technical standards pertaining to the management of information systems,as well as the regulatory requirements set by the China Banking Regulatory Commission(hereinafter referred to as the “CBRC”);
(2)Periodically reviewing the alignment of IT strategy with the overall business strategies and significant policies of the bank,assessing the overall effectiveness and efficiency of the IT organization.(3)Approving IT risk management strategies and policies,understanding the major IT risks involved,setting acceptable levels for these risks,and ensuring the implementation of the measures necessary to identify,measure,monitor and control these risks.(4)Setting high ethical and integrity standards,and establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of IT risk management.(5)Establishing an IT steering committee which consists of representatives from senior management,the IT organization,and major business units,to oversee these responsibilities and report the effectiveness of strategic IT planning,the IT budget and actual expenditure,and the overall IT performance to the board of directors and senior management periodically.(6)Establishing IT governance structure,proper segregation of duty,clear role and responsibility,maintaining check and balances and clear reporting relationship.Strengthening IT professional staff by developing incentive program.(7)Ensuring that there is an effective internal audit of the IT risk management carried out by operationally independent,well-trained and qualified staff.The internal audit report should be submitted directly to the IT audit committee;
(8)Submitting an annual report to the CBRC and its local offices on information system risk management that has been reviewed and approved by the board of directors ;
(9)Ensuring the appropriating funding necessary for IT risk management works;
(10)Ensuring that all employees of the bank fully understand and adhere to the IT risk management policies and procedures approved by the board of directors and the senior management,and are provided with pertinent training.(11)Ensuring customer information,financial information,product information and core banking system of the legal entity are held independently within the territory,and complying with the regulatory on-site examination requirements of CBRC and guarding against cross-border risk.(12)Reporting in a timely manner to the CBRC and its local offices any serious incident of information systems or unexpected event,and quickly respond to it in accordance with the contingency plan;
(13)Cooperating with the CBRC and its local offices in the supervisory inspection of the risk management of information systems,and ensure that supervisory opinions are followed up; and
(14)Performing other related IT risk management tasks.Article 8.The head of the IT organization,commonly known as the Chief Information Officer(CIO)should report directly to the president.Roles and responsibilities of the CIO should include the following:
(1)Playing a direct role in key decisions for the business development involving the use of IT in the bank;
(2)The CIO should ensure that information systems meet the needs of the bank,and IT strategies,in particular information system development strategies,comply with the overall business strategies and IT risk management policies of the bank;
(3)The CIO should also be responsible for the establishment of an effective and efficient IT organization to carry out the IT functions of the bank.These include the IT budget and expenditure,IT risk management,IT policies,standards and procedures,IT internal controls,professional development,IT project initiatives,IT project management,information system maintenance and upgrade,IT operations,IT infrastructure,Information security,disaster recovery plan(DRP),IT outsourcing,and information system retirement;
(4)Ensuring the effectiveness of IT risk management throughout the organization including all branches.(5)Organizing professional trainings to improve technical proficiency of staff.(6)Performing other related IT risk management tasks.Article 9.Commercial banks should ensure that a clear definition of the IT organization structure and documentation of all job descriptions of important positions are always in place and updated in a timely manner.Staff in each position should meet relevant requirements on professional skills and knowledge.The following risk mitigation measures should be incorporated in the management program of related staff:
(1)Verification of personal information including confirmation of personal identification issued by government,academic credentials,prior work experience,professional qualifications;
(2)Ensuring that IT staff can meet the required professional ethics by checking character reference;
(3)Signing of agreements with employees about understanding of IT policies and guidelines,non-disclosure of confidential information,authorized use of information systems,and adherence to IT policies and procedures; and
(4)Evaluation of the risk of losing key IT personnel,especially during major IT development stage or in a period of unstable IT operations,and the relevant risk mitigation measures such as staff backup arrangement and staff succession plan.13
Article 10.Commercial banks should establish or designate a particular department for IT risk management.It should report directly to the CIO and the Chief Risk Officer(or risk management committee),serve as a member of the IT incident response team,and be responsible for coordinating the establishment of policies regarding IT risk management,especially the areas of information security,BCP,and compliance with the CBRC regulations,advising the business departments and IT department in implementing these policies,providing relevant compliance information,conducting on-going assessment of IT risks,and ensuring the follow-up of remediation advice,monitoring and escalating management of IT threats and non-compliance events.Article 11.Commercial banks should establish a special IT audit role and responsibility within internal audit function,which should put in place IT audit policies and procedures,develop and execute IT audit plan.Article 12.Commercial banks should put in place policies and procedures to protect intellectual property rights according to laws regarding intellectual properties,ensure purchase of legitimate software and hardware,prevention of the use of pirated software,and the protection of the proprietary rights of IT products developed by the bank,and ensure that these are fully understood and complied by all employees.Article 13.Commercial banks should,in accordance with relevant laws and regulations,disclose the risk profile of their IT normatively and timely.Chapter III IT Risk Management
Article 14.Commercial banks should formulate an IT strategy that aligns with the overall business plan of the bank,IT risk assessment plan and an IT operational plan that can ensure adequate financial resources and human resources to maintain a stable and secure IT environment.Article 15.Commercial banks should put in place a comprehensive set of IT risk management policies that include the following areas:
(1)Information security classification policy
(2)System development,testing and maintenance policy
(3)IT operation and maintenance policy
(4)Access control policy
(5)Physical security policy
(6)Personnel security policy
(7)Business Continuity Planning and Crisis and Emergency Management procedure
Article 16.Commercial banks should maintain an ongoing risk identification and assessment process that allows the bank to pinpoint the areas of concern in its information systems,assess the 14 potential impact of the risks on its business,rank the risks,and prioritize mitigation actions and the necessary resources(including outsourcing vendors,product vendors and service vendors)。
Article 17.Commercial banks should implement a comprehensive set of risk mitigation measures complying with the IT risk management policies and commensurate with the risk assessment of the bank.These mitigation measures should include:
(1)A set of clearly documented IT risk policies,technical standards,and operational procedures,which should be communicated to the staff frequently and kept up to date in a timely manner;
(2)Areas of potential conflicts of interest should be identified,minimized,and subject to careful,independent monitoring.Also it requires that an appropriate control structure is set up to facilitate checks and balances,with control activities defined at every business level,which should include:
-Top level reviews;
-Controls over physical and logical access to data and system;
-Access granted on “need to know” and “minimum authorization” basis;
-A system of approvals and authorizations; and
-A system of verification and reconciliation.Article 18.Commercial banks should put in place a set of ongoing risk measurement and monitoring mechanisms,which should include
(1)Pre and post-implementation review of IT projects;
(2)Benchmarks for periodic review of system performance;
(3)Reports of incidents and complaints about IT services;
(4)Reports of internal audit,external audit,and issues identified by CBRC; and
(5)Arrangement with vendors and business units for periodic review of service level agreements(SLAs)。
(6)The possible impact of new development of technology and new threats to software deployed.(7)Timely review of operational risk and management controls in operation area.(8)Assess the risk profile on IT outsourcing projects periodically.Article 19.Chinese commercial banks operating offshore and the foreign commercial banks in China should comply with the relevant regulatory requirements on information systems in and outside the People„s Republic of China.Chapter IV Information Security
Article 20.Information technology department of commercial banks should oversee the establishment of an information classification and protection scheme.All employees of the bank should be made aware of the importance of ensuring information confidentiality and provided with the necessary training to fully understand the information protection procedures within their responsibilities.Article 21.Commercial banks should put in place an information security management function to develop and maintain an ongoing information security management program,promote information security awareness,advise other IT functions on security issues,serve as the leader of IT incident response team,and report the evaluation of the information security of the bank to the IT steering committee periodically.The Information security management program should include Information security standards,strategy,an implementation plan,and an ongoing maintenance plan.Information security policy should include the following areas:
(1)IT security policy management
(2)Organization information security
(3)Asset management
(4)Personnel security
(5)Physical and environment security
(6)Communication and operation security
(7)Access control and authentication
(8)Acquirement,development and maintenance of information system
(9)Information security event management
(10)Business continuity management
(11)Compliance
Article 22.Commercial banks should have an effective process to manage user authentication and access control.Access to data and system should be strictly limited to authorized individuals whose identity is clearly established,and their activities in the information systems should be limited to the minimum required for their legitimate business use.Appropriate user authentication mechanism commensurate with the classification of information to be accessed should be selected.Timely review and removal of user identity from the system should be implemented when user transfers to a new job or leave the commercial bank.Article 23.Commercial banks should ensure all physical security zones,such as computer centers or data centers,network closets,areas containing confidential information or critical IT equipment,and respective accountabilities are clearly defined,and appropriate preventive,detective,and recuperative controls are put in place.Article 24.Commercial banks should divide their networks into logical security domains(hereinafter referred to as the “domain”)with different levels of security.The following security factors have to be assessed in order to define and implement effective security controls,such as physical or logical segregation of network,network filtering,logical access control,traffic encryption,network monitoring,activity log,etc.,for each domain and the whole network.(1)criticality of the applications and user groups within the domain;
(2)Access points to the domain through various communication channels;
(3)Network protocols and ports used by the applications and network equipment deployed within the domain;
(4)Performance requirement or benchmark;
(5)Nature of the domain,i.e.production or testing,internal or external;
(6)Connectivity between various domains; and
(7)Trustworthiness of the domain.Article 25.Commercial banks should secure the operating system and system software of all computer systems by
(1)Developing baseline security requirement for each operating system and ensuring all systems meet the baseline security requirement;
(2)Clearly defining a set of access privileges for different groups of users,namely,end-users,system development staff,computer operators,and system administrators and user administrators;
(3)Setting up a system of approval,verification,and monitoring procedures for using the highest privileged system accounts;
(4)Requiring technical staff to review available security patches,and report the patch status periodically; and
(5)Requiring technical staff to include important items such as unsuccessful logins,access to critical system files,changes made to user accounts,etc.in system logs,monitors the systems for any abnormal event manually or automatically,and report the monitoring periodically.Article 26.Commercial banks should ensure the security of all the application systems by
(1)Clearly defining the roles and responsibilities of end-users and IT staff regarding the application security;
(2)Implementing a robust authentication method commensurate with the criticality and sensibility of the application system;
(3)Enforcing segregation of duties and dual control over critical or sensitive functions;
(4)Requiring verification of input or reconciliation of output at critical junctures;
(5)Requiring the input and output of confidential information are handled in a secure manner to prevent theft,tampering,intentional leakage,or inadvertent leakage;
(6)Ensuring system can handle exceptions in a predefined way and provide meaningful message to users when the system is forced to terminate; and
(7)Maintaining audit trail in either paper or electronic format.(8)Requiring user administrator to monitor and review unsuccessful logins and changes to users accounts.Article 27.Commercial banks should have a set of policies and procedures controlling the logging of activities in all production systems to support effective auditing,security forensic analysis,and fraud prevention.Logging can be implemented in different layers of software and on different computer and networking equipment,which falls into two broad categories:
(1)Transaction journals.They are generated by application software and database management system,and contain authentication attempts,modification to data,error messages,etc.Transaction journals should be kept according to the national accounting policy.(2)System logs.They are generated by operating systems,database management system,firewalls,intrusion detection systems,and routers,etc.,and contain authentication attempts,system events,network events,error messages,etc.System logs should be kept for a period scaled to the risk classification,but no less than one year.Banks should ensure that sufficient items be included in the logs to facilitate effective internal controls,system troubleshooting,and auditing while taking appropriate measures to ensure time synchronization on all logs.Sufficient disk space should be allocated to prevent logs from being overwritten.System logs should be reviewed for any exception.The review frequency and retention period for transaction logs or database logs should be determined jointly by IT organization and pertinent business lines,and approved by the IT steering committee.Article 28.Commercial banks should have the capacity to employ encryption technologies to mitigate the risk of losing confidential information in the information systems or during its transmission.Appropriate management processes of the encryption facilities should be put in place to ensure that
(1)Encryption facilities in use should meet national security standards or requirements;
(2)Staff in charge of encryption facilities are well trained and screened;
(3)Encryption strength is adequate to protect the confidentiality of the information; and 18
(4)Effective and efficient key management procedures,especially key lifecycle management and certificate lifecycle management,are in place.Article 29.Commercial banks should put in place an effective and efficient system of securing all end-user computing equipment which include desktop personal computers(PCs),portable PCs,teller terminals,automatic teller machines(ATMs),passbook printers,debit or credit card readers,point of sale(POS)terminals,personal digital assistant(PDAs),etc and conduct periodic security checks on all equipments.Article 30.Commercial banks should put in place a set of policies and procedures to govern the collection,processing,storage,transmission,dissemination,and disposal of customer information.Article 31.All employees,including contract staff,should be provided with the necessary trainings to fully understand these policies procedures and the consequences of their violation.Commercial banks should adopt a zero tolerance policy against security violation.Chapter V Application System Development,Testing and Maintenance
Article 32.Commercial banks should have the capability to identify,plan,acquire,develop,test,deploy,maintain,upgrade,and retire information systems.Policies and procedures should be in place to govern the initiation,prioritization,approval,and control of IT projects.Progress reports of major IT projects should be submitted to and reviewed by the IT steering committee periodically.Decisions involving significant change of schedule,change of key personnel,change of vendors,and major expenditures should be included in the progress report.Article 33.Commercial banks should recognize the risks associated with IT projects,which include the possibilities of incurring various kinds of operational risk,financial losses,and opportunity costs stemming from ineffective project planning or inadequate project management controls of the bank.Therefore,appropriate project management methodologies should be adopted and implemented to control the risks associated with IT projects.Article 34.Commercial banks should adopt and implement a system development methodology to control the life cycle of Information systems.The typical phases of system life cycle include system analysis,design,development or acquisition,testing,trial run,deployment,maintenance,and retirement.The system development methodology to be used should be commensurate with the size,nature,and complexity of the IT project,and,generally speaking,should facilitate the management of the following risks.Article 35.Commercial banks should ensure system reliability,integrity,and maintainability by controlling system changes with a set of policies and procedures,which should include the following elements.(1)Ensure that production systems are separated from development or testing systems;
(2)Separating the duties of managing production systems and managing development or testing systems;
(3)Prohibiting application development and maintenance staff from accessing production system under normal circumstances unless management approval is granted to perform emergency repair,and all emergency repair activities should be recorded and reviewed promptly;
(4)Promoting changes of program or system configuration from development and testing systems to production systems should be jointly approved by IT organization and business departments,properly documented,and reviewed periodically.Article 36.Commercial banks should have in place a set of policies,standards,and procedures to ensure data integrity,confidentiality,and availability.These policies should be in accordance with data integrity amid IT development procedure.Article 37.Commercial banks should ensure that Information system problems could be tracked,analyzed,and resolved systematically through an effective problem management process.Problems should be documented,categorized,and indexed.Support services or technical assistance from vendors,if necessary,should also be documented.Contacts and relevant contract information should be made readily available to the employees concerned.Accountability and line of command should be delineated clearly and communicated to all employees concerned,which is of utmost importance to performing emergency repair.Article 38.Commercial banks should have a set of policies and procedures controlling the process of system upgrade.System upgrade is needed when the hardware reaches its lifespan or runs out of capacity,the underpinning software,namely,operating system,database management system,middleware,has to be upgraded,or the application software has to be upgraded.The system upgrade should be treated as a project and managed by all pertinent project management controls including user acceptance testing.Chapter VI IT Operations
Article 39.Commercial banks should consider fully the environmental threats(e.g.proximity to natural disaster zones,dangerous or hazardous facilities or busy/major roads)when selecting the locations of their data centers.Physical and environmental controls should be implemented to monitor environmental conditions could affect adversely the operation of information processing facilities.Equipment facilities should be protected from power failures and electrical supply interference.Article 40.In controlling access by third-party personnel(e.g.service providers)to secured areas,proper approval of access should be enforced and their activities should be closely monitored.It is important that proper screening procedures including verification and background checks,especially for sensitive technology-related jobs,are developed for permanent and temporary technical staff and contractors.20
Article 41.Commercial banks should separate IT operations or computer center operations from system development and maintenance to ensure segregation of duties within the IT organization.The commercial banks should document the roles and responsibilities of data center functions.Article 42.Commercial banks are required to retain transactional records in compliance with the national accounting policy.Procedures and technology are needed to be put in place to ensure the integrity,safekeeping and retrieval requirements of the archived data.Article 43.Commercial banks should detail operational instructions such as computer operator tasks,job scheduling and execution in the IT operations manual.The IT operations manual should also cover the procedures and requirements for on-site and off-site backup of data and software in both the production and development environments(i.e.frequency,scope and retention periods of back-up)。
Article 44.Commercial banks should have in place a problem management and processing system to respond promptly to IT operations incidents,to escalate reported incidents to relevant IT management staff and to record,analyze and keep tracks of all these incidents until rectification of the incidents with root cause analysis completed.A helpdesk function should be set up to provide front-line support to users on all technology-related problems and to direct the problems to relevant IT functions for investigation and resolution.Article 45.Commercial banks should establish service level agreement and assess the IT service level standard attained.Article 46.Commercial banks should implement a process to ensure that the performance of application systems is continuously monitored and exceptions are reported in a timely and comprehensive manner.The performance monitoring process should include forecasting capability to enable exceptions to be identified and corrected before they affect system performance.Article 47.Commercial banks should carry out capacity plan to cater for business growth and transaction increases due to changes of economic conditions.Capacity plan should be extended to cover back-up systems and related facilities in addition to the production environment.Article 48.Commercial banks should ensure the continued availability of technology related services with timely maintenance and appropriate system upgrades.Proper record keeping(including suspected and actual faults and preventive and corrective maintenance records)is necessary for effective facility and equipment maintenance.Article 49.Commercial banks should have an effective change management process in place to ensure integrity and reliability of the production environment.Commercial banks should develop a formal change management process.Chapter VII Business Continuity Management
Article 50.Commercial banks should have in place appropriate arrangements,having regard to the nature,scale and complexity of its business,to ensure that it can continue to function and meet its regulatory obligations in the event of an unforeseen interruption.These arrangements should be regularly updated and tested to ensure their effectiveness.Article 51.Commercial banks should consider the likelihood and impact of a disruption to the continuity of its operation from unexpected events.This should include assessing the disruptions to which it is particularly susceptible including but not limited to:
(1)Loss of failure of internal and external resources(such as people,systems and other assets);
(2)The loss or corruption of its information; and
(3)External events(such as war,earthquake,typhoon,etc)。
Article 52.Commercial bank should act to reduce both the likelihood of disruptions(including system resilience and dual processing); and the impact of disruptions(including by contingency arrangements and insurance)。
Article 53.Commercial bank should document its strategy for maintaining continuity of its operations,and its plans for communicating and regularly testing the adequacy and effectiveness of this strategy.Commercial bank should establish:
(1)Formal business continuity plans that outline arrangements to reduce the impact of a short,medium and long-term disruption,including:
a)Resource requirements such as people,systems and other assets,and arrangements for obtaining these resources;
b)The recovery priorities for the commercial bank„s operations; and
c)Communication arrangements for internal and external concerned parties(including CBRC,clients and the press);
(2)Escalation and invocation plans that outline the processes for implementing the business continuity plans,together with relevant contact information;
(3)Processes to validate the integrity of information affected by the disruption;
(4)Processes to review and update(1)to(3)following changes to the commercial bank„s operations or risk profile.Article 54.A final BCP plan and an annual drill result must be signed off by the IT Risk management,or internal auditor and IT Steering Committee.Chapter VIII Outsourcing
Article 55.Commercial banks cannot contract out its regulatory obligations and should take reasonable care to supervise the discharge of outsourcing functions.22
Article 56.Commercial banks should take particular care to manage material outsourcing arrangement(such as outsourcing of data center,IT infrastructure,etc.),and should notify CBRC when it intends to enter into material outsourcing arrangement.Article 57.Before entering into,or significantly changing,an outsourcing arrangement,the commercial bank should:
(1)Analyze how the arrangement will fit with its organization and reporting structure; business strategy; overall risk profile; and ability to meet its regulatory obligations;
(2)Consider whether the arrangements will allow it to monitor and control its operational risk exposure relating to the outsourcing;
(3)Conduct appropriate due diligence of the service provider„s financial stability,expertise and risk assessment of the service provider,facilities and ability to cover the potential liabilities;
(4)Consider how it will ensure a smooth transition of its operations from its current arrangements to a new or changed outsourcing arrangement(including what will happen on the termination of the contract); and
(5)Consider any concentration risk implications such as the business continuity implications that may arise if a single service provider is used by several firms.Article 58.In negotiating its contract with a service provider,the commercial bank should have regard to(but not limited to):
(1)Reporting and negotiation requirements it may wish to impose on the service provider;
(2)Whether sufficient access will be available to its internal auditors,external auditors and banking regulators;
(3)Information ownership rights,confidentiality agreements and Firewalls to protect client and other information(including arrangements at the termination of contract);
(4)The adequacy of any guarantees and indemnities;
(5)The extent to which the service provider must comply with the commercial bank„s polices and procedures covering IT Risk;
(6)The extent to which the service provider will provide business continuity for outsourced operations,and whether exclusive access to its resources is agreed;
(7)The need for continued availability of software following difficulty at a third party supplier;
(8)The processes for making changes to the outsourcing arrangement and the conditions under which the commercial bank or service provider can choose to change or terminate the outsourcing arrangement,such as where there is:
a)A change of ownership or control of the service provider or commercial bank; or
b)Significant change in the business operations of the service provider or commercial bank; or
c)Inadequate provision of services that may lead to the commercial bank being unable to meet its regulatory obligations.Article 59.In implementing a relationship management framework,and drafting the service level agreement with the service provider,the commercial bank should have regarded to(but not limited to):
(1)The identification of qualitative and quantitative performance targets to assess the adequacy of service provision,to both the commercial bank and its clients,where appropriate;
(2)The evaluation of performance through service delivery reports and periodic self assessment and independent review by internal or external auditors; and
(3)Remediation action and escalation process for dealing with inadequate performance.Article 60.The commercial bank should enhance IT related outsourcing management,in place following(not limited to)measures to ensure data security of sensitive information such as customer information:
(1)Effectively separated from other customer information of the service provider;
(2)The related staff of service provider should be authorized on “need to know” and “minimum authorization” basis;
(3)Ensure service provider guarantee its staff for meeting the confidential requests;
(4)All outsourcing arrangements related to customer information should be identified as material outsourcing arrangements and the customers should be notified;
(5)Strictly monitor re-outsourcing actions of the service provider,and implement adequate control measures to ensure information security of the bank;
(6)Ensure all related sensitive information be refunded or deleted from the service provider„s storage when terminating the outsourcing arrangement.Article 61.The commercial bank should ensure that it has appropriate contingency in the event of a significant loss of services from the service provider.Particular issues to consider include a significant loss of resources,turnover of key staff,or financial failure of,the service provider,and unexpected termination of the outsourcing agreement.Article 62.All outsourcing contracts must be reviewed or signed off by IT Risk management,internal IT auditors,legal department and IT Steering Committee.There should be a process to periodically review and refine the service level agreements.Chapter IX Internal Audit
Article 63.Depending on the nature,scale and complexity of its business,it may be appropriate for the commercial banks to delegate much of the task of monitoring the appropriateness and effectiveness of its systems and controls to an internal audit function.An internal audit function should be adequately resourced and staffed by competent individuals,be independent of the day-to-day activities of the commercial bank and have appropriate access to the bank„s records.Article 64.The responsibilities of the internal IT audit function are:
(1)To establish,implement and maintain an audit plan to examine and evaluate the adequacy and effectiveness of the bank„s systems and internal control mechanisms and arrangements;
(2)To issue recommendations based on the result of work carried out in accordance with 1;
(3)To verify compliance with those recommendations;
(4)To carry out special audit on information technology.The term “special audit” of information technology refers to the investigation,analysis and assessment on the security incidents of the information system,or the audit performed on a special subject based on IT risk assessment result as deemed necessary by the audit department.Article 65.Based on the nature,scale and complexity of its business,deployment of information technology and IT risk assessment,commercial banks could determine the scope and frequency of IT internal audit.However,a comprehensive IT internal audit shall be performed at a minimum once every 3 years.Article 66.Commercial banks should engage its internal audit department and IT Risk management department when implementing system development of significant size and scale to ensure it meets the IT Risk standards of the Commercial banks.Chapter X External Audit
Article 67.The external information technology audit of commercial banks can be carried out by certified service providers in accordance with laws,rules and regulations.Article 68.The commercial bank should ensure IT audit service provider to review and examine bank„s hardware,software,documentation and data to identify IT risk when they are commissioned to perform the audit.Vital commercial and technical information which is protected by national laws and regulations should not be reviewed.Article 69.Commercial bank should communicate with the service provider in depth before the audit to determine audit scope,and should not withhold the truth or do not corporate with the service provider intentionally.Article 70.CBRC and its local offices could designate certified service providers to carry out IT audit or related review on commercial banks when needed.When carrying out audit on commercial banks,as commissioned or authorized by CBRC or its local offices,the service providers shall 25 present the letter of authority,and carry out the audit in accordance to the scope prescribed in the letter of authority.Article 71.Once the IT audit report produced by the service providers is reviewed and approved by CBRC or its local offices,the report will have the same legal status as if it is produced by the CBRC itself.Commercial banks should come up with a correction action plan prescribed in the report and implement the corrective actions according to the timeframe.Article 72.Commercial banks should ensure the service providers to strictly comply with laws and regulations to keep confidential and data security of any commercial secrets and private information learnt and IT risk information when conducting the audit.The service provider should not modify copy or take away any documents provided by the commercial banks.Chapter XI Supplementary Provisions
Article 73.Commercial banks with no board of directors should have their operating decision-making bodies perform the responsibilities of the board with regard to IT risk management specified herein.Article 74.The China Banking Regulatory Commission supervises and regulates the IT risk management of commercial banks under its authority by law.Article 75.The power of interpretation and modification of the Guidelines shall rest with the China Banking Regulatory Commission.Article 76.The Guidelines shall become effective as of the date of its issuance and the former Guidelines on the Risk Management of Banking Institutions„ Information Systems shall be revoked at the same time.中国银行业监督管理委员会
第五篇:商业银行信息科技风险管理指引
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章 信息科技治理
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。 第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息官的职责包括:
(一)直接参与本银行与信息科技运用有关的业务发展决策。
(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
(二)审核信息科技员工的道德品行,确保其具备相应的职业操守。
(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。 第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险状况。
第三章 信息科技风险管理
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。 第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。 4.审批和授权。 5.验证和调节。 第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。 第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
第四章 信息安全
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略应涉及以下领域:
(一)安全制度管理。
(二)信息安全组织管理。
(三)资产管理。
(四)人员安全管理。
(五)物理与环境安全管理。
(六)通信与运营管理。
(七)访问控制管理。
(八)系统开发与维护管理。
(九)信息安全事故管理。
(十)业务连续性管理。
(十一)合规性管理。
第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。
第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)域内应用程序和用户组的重要程度。
(二)各种通讯渠道进入域的访问点。
(三)域内配臵的网络设备和应用程序使用的网络协议和端口。
(四)性能要求或标准。
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)不同域之间的连通性。
(七)域的可信程度。
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。
(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十六条 商业银行应通过以下措施,确保所有信息系统的安全:
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。
(二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。
(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)在关键的接合点进行输入验证或输出核对。
(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。
(七)以书面或电子格式保存审计痕迹。
(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:
(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
(一)使用符合国家要求的加密技术和加密设备。
(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)加密强度满足信息机密性的要求。
(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。 第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
第五章 信息系统开发、测试和维护
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。 第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
(一)生产系统与开发系统、测试系统有效隔离。
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活动纳入信息科技项目,接受相关的管理和控制,包括用户验收测试。
第六章 信息科技运行
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。 第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。 第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。
第七章 业务连续性管理
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)信息丢失或受损。
(三)外部事件(如战争、地震或台风等)。
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
2.运行恢复的优先顺序。
3.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。
(二)更新实施业务连续性计划的流程及相关联系信息。
(三)验证受中断影响的信息完整性的步骤。
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行审核并升级。
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。
第八章 外 包
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行。
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制,是否满足商业银行履行对外包服务商的监督义务。
(二)考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。
(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。
第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不限于:
(一)对外包服务商的报告要求和谈判必要条件。
(二)银行业监管机构和内部审计、外部审计能执行足够的监督。
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。
(四)担保和损失赔偿是否充足。
(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)第三方供应商出现问题时,保证软件持续可用的相关措施。
(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包协议的条件,例如:
1.商业银行或外包服务商的所有权或控制权发生变化。 2.商业银行或外包服务商的业务经营发生重大变化。 3.外包服务商提供的服务不充分,造成商业银行不能履行监督义务。
第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户提供服务的充分性。
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。 第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资料等敏感信息的安全,包括但不限于采取以下措施:
(一)实现本银行客户资料与外包服务商其他客户资料的有效隔离。
(二)按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。
(三)要求外包服务商保证其相关人员遵守保密规定。
(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息的安全。
(六)确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。
第六十四条 商业银行内部信息科技审计的责任包括:
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性。
(二)按照第(一)款规定完成审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。
第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。
第十章 外部审计
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商业银行应根据该审计报告提出整改计划,并在规定的时间内实施整改。
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。
第十一章 附 则
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。
第七十四条 银监会依法对商业银行的信息科技风险管理实施监督检查。
第七十五条 本指引由银监会负责解释、修订。
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
点击咨询 