第一章 總 則
第一條 為有效防范銀行業(yè)金融機(jī)構(gòu)運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理�、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險���,促進(jìn)我國銀行業(yè)安全�����、持續(xù)����、穩(wěn)健運(yùn)行����,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》����、國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)����,制定本指引。
第二條 本指引適用于銀行業(yè)金融機(jī)構(gòu)���。
本指引所稱銀行業(yè)金融機(jī)構(gòu)��,是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行�����、城市信用合作社、農(nóng)村合作銀行�����、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及政策性銀行�。
在中華人民共和國境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司��、財務(wù)公司、金融租賃公司�����、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會(以下簡稱銀監(jiān)會)及其派出機(jī)構(gòu)批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu)��,適用本指引規(guī)定�����。
第三條 本指引所稱信息系統(tǒng)�,是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)�、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。
第四條 本指引所稱信息系統(tǒng)風(fēng)險���,是指信息系統(tǒng)在規(guī)劃�、研發(fā)�����、建設(shè)����、運(yùn)行�、維護(hù)��、監(jiān)控及退出過程中由于技術(shù)和管理缺陷產(chǎn)生的操作���、法律和聲譽(yù)等風(fēng)險�����。
第五條 信息系統(tǒng)風(fēng)險管理的目標(biāo)是通過建立有效的機(jī)制�,實(shí)現(xiàn)對信息系統(tǒng)風(fēng)險的識別�����、計量�、評價、預(yù)警和控制���,推動銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新,提高信息化水平�����,增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力�。
第二章 機(jī)構(gòu)職責(zé)
第六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立有效的信息系統(tǒng)風(fēng)險管理架構(gòu)���,完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制,防范和控制信息系統(tǒng)風(fēng)險����。
第七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)認(rèn)真履行下列信息系統(tǒng)管理職責(zé):
(一)貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律�����、法規(guī)和技術(shù)標(biāo)準(zhǔn)����,落實(shí)銀監(jiān)會相關(guān)監(jiān)管要求;
?��。ǘ┙⒂行У男畔踩U象w系和內(nèi)部控制規(guī)程��,明確信息系統(tǒng)風(fēng)險管理崗位責(zé)任制度�����,并監(jiān)督落實(shí)��;
?���。ㄈ┴?fù)責(zé)組織對本機(jī)構(gòu)信息系統(tǒng)風(fēng)險進(jìn)行檢查、評估�、分析,及時向本機(jī)構(gòu)專門委員會和銀監(jiān)會及其派出機(jī)構(gòu)報送相關(guān)的管理信息����;
(四)及時向銀監(jiān)會及其派出機(jī)構(gòu)報告本機(jī)構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件�,并按有關(guān)預(yù)案快速響應(yīng);
?����。ㄎ澹┟磕杲?jīng)董事會或其他決策機(jī)構(gòu)審查后向銀監(jiān)會及其派出機(jī)構(gòu)報送信息系統(tǒng)風(fēng)險管理的年度報告�����;
?。┳龊帽緳C(jī)構(gòu)信息系統(tǒng)審計工作;
?�。ㄆ撸┡浜香y監(jiān)會及其派出機(jī)構(gòu)做好信息系統(tǒng)風(fēng)險監(jiān)督檢查工作��,并按照監(jiān)管意見進(jìn)行整改�;
(八)組織本機(jī)構(gòu)信息系統(tǒng)從業(yè)人員進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)�、技術(shù)和安全培訓(xùn);
?�。ň牛╅_展與信息系統(tǒng)風(fēng)險管理相關(guān)的其他工作�。
第八條 銀行業(yè)金融機(jī)構(gòu)的董事會或其他決策機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風(fēng)險監(jiān)督管理�����;信息科技管理委員會�、風(fēng)險管理委員會或其他負(fù)責(zé)風(fēng)險監(jiān)督的專業(yè)委員會應(yīng)制定信息系統(tǒng)總體策略,統(tǒng)籌信息系統(tǒng)項目建設(shè)�,定期評估、報告本機(jī)構(gòu)信息系統(tǒng)風(fēng)險狀況��,為決策層提供建議���,采取相應(yīng)的風(fēng)險控制措施��。
第九條 銀行業(yè)金融機(jī)構(gòu)法定代表人或主要負(fù)責(zé)人是本機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理責(zé)任人�����。
第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)設(shè)立信息科技部門���,統(tǒng)一負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)的規(guī)劃����、研發(fā)����、建設(shè)、運(yùn)行���、維護(hù)和監(jiān)控�����,提供日??萍挤?wù)和運(yùn)行技術(shù)支持�����;建立或明確專門信息系統(tǒng)風(fēng)險管理部門����,建立�����、健全信息系統(tǒng)風(fēng)險管理規(guī)章、制度����,并協(xié)助業(yè)務(wù)部門及信息科技部門嚴(yán)格執(zhí)行,提供相關(guān)的監(jiān)管信息����;設(shè)立審計部門或?qū)iT審計崗位,建立健全信息系統(tǒng)風(fēng)險審計制度��,配備適量的合格人員進(jìn)行信息系統(tǒng)風(fēng)險審計�。
第十一條 銀行業(yè)金融機(jī)構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求:
(一)具備良好的職業(yè)道德��,掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識和技能�����;
?�。ǘ┪唇?jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗���;經(jīng)考核不適宜的工作人員���,應(yīng)及時進(jìn)行調(diào)整�。
第十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)風(fēng)險管理的專業(yè)隊伍建設(shè)�����,建立人才激勵機(jī)制���,適應(yīng)信息技術(shù)的發(fā)展���。
第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風(fēng)險狀況。
第三章 總體風(fēng)險控制
第十四條 總體風(fēng)險是指信息系統(tǒng)在策略��、制度����、機(jī)房、軟件����、硬件、網(wǎng)絡(luò)���、數(shù)據(jù)��、文檔等方面影響全局或共有的風(fēng)險�����。
第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃���,制定明確、持續(xù)的風(fēng)險管理策略�,按照信息系統(tǒng)的敏感程度對各個集成要素進(jìn)行分析和評估,并實(shí)施有效控制�����。
第十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)采取措施防范自然災(zāi)害��、運(yùn)行環(huán)境變化等產(chǎn)生的安全威脅�,防止各類突發(fā)事故和惡意攻擊。
第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度����、技術(shù)規(guī)范、操作規(guī)程等����;明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限���,建立制約機(jī)制,實(shí)行最小授權(quán)����。
第十八條 在境外設(shè)立的我國銀行業(yè)金融機(jī)構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機(jī)構(gòu),應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風(fēng)險�����。
第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn)�����,參照有關(guān)國際準(zhǔn)則��,積極推進(jìn)信息安全標(biāo)準(zhǔn)化���,實(shí)行信息安全等級保護(hù)��。
第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對信息系統(tǒng)的評估和測試����,及時進(jìn)行修補(bǔ)和更新,以保證信息系統(tǒng)的安全性�、完整性。
第二十一條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)數(shù)據(jù)中心機(jī)房應(yīng)符合國家有關(guān)計算機(jī)場地�、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)�����。全國性數(shù)據(jù)中心至少應(yīng)達(dá)到國家A類機(jī)房標(biāo)準(zhǔn)�����,省域數(shù)據(jù)中心至少應(yīng)達(dá)到國家B類機(jī)房標(biāo)準(zhǔn)��,省域以下數(shù)據(jù)中心至少應(yīng)達(dá)到C類機(jī)房標(biāo)準(zhǔn)���。數(shù)據(jù)中心機(jī)房應(yīng)實(shí)行嚴(yán)格的門禁管理措施,未經(jīng)授權(quán)不得進(jìn)入�。
第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護(hù),使用正版軟件�,加強(qiáng)軟件版本管理,優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟���、硬件產(chǎn)品���;積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品���,并采取有效措施保護(hù)本機(jī)構(gòu)信息化成果。
第二十三條 銀行業(yè)金融機(jī)構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型���、購置���、登記、保養(yǎng)����、維修、報廢等應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)程�����,選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證�����,測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)��。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性���,并配置適當(dāng)?shù)膫淦穫浼?/p>
第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計���、建設(shè);網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性��;網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份��;嚴(yán)格線路租用合同管理���,按照業(yè)務(wù)和交易流量要求保證傳輸帶寬���;建立完善的網(wǎng)管中心,監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備����,保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行��。
第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理���。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測試網(wǎng)絡(luò)����、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離�����;加強(qiáng)無線網(wǎng)�、互聯(lián)網(wǎng)接入邊界控制;使用內(nèi)容過濾�����、身份認(rèn)證���、防火墻��、病毒防范���、入侵檢測、漏洞掃描����、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊���、信息泄漏等風(fēng)險�����。
第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)加密機(jī)�、密鑰、密碼�、加解密程序等安全要素的管理,使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備�����,完善安全要素生成����、領(lǐng)取、使用���、修改�����、保管和銷毀等環(huán)節(jié)管理制度。密鑰���、密碼應(yīng)定期更改��。
第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)采集���、存貯���、傳輸、使用�、備份、恢復(fù)��、抽檢���、清理�����、銷毀等環(huán)節(jié)的有效管理���,不得脫離系統(tǒng)采集加工、傳輸���、存取數(shù)據(jù)���;優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置��,嚴(yán)格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫�,采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取����,保證數(shù)據(jù)的完整性、保密性��。
第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理��,防止非法生成�、變更、泄漏�����、丟失與破壞��。根據(jù)敏感程度和用途�����,確定存取權(quán)限��、方式和授權(quán)使用范圍����,嚴(yán)格審批和登記手續(xù)。
第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案�����,并定期演練��、評審和修訂�����。省域以下數(shù)據(jù)中心至少實(shí)現(xiàn)數(shù)據(jù)備份異地保存�,省域數(shù)據(jù)中心至少實(shí)現(xiàn)異地數(shù)據(jù)實(shí)時備份,全國性數(shù)據(jù)中心實(shí)現(xiàn)異地災(zāi)備�。
第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理;技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放����,按規(guī)定年限保存,調(diào)用時應(yīng)嚴(yán)格授權(quán)���。信息系統(tǒng)的技術(shù)文檔資料包括:系統(tǒng)環(huán)境說明文件���、源程序以及系統(tǒng)研發(fā)��、運(yùn)行����、維護(hù)過程中形成的各類技術(shù)資料��。重要數(shù)據(jù)包括:交易數(shù)據(jù)���、賬務(wù)數(shù)據(jù)���、客戶數(shù)據(jù),以及產(chǎn)生的報表數(shù)據(jù)等�。
第三十一條 銀行業(yè)金融機(jī)構(gòu)在信息系統(tǒng)可能影響客戶服務(wù)時,應(yīng)以適當(dāng)方式告知客戶�。
第四章 研發(fā)風(fēng)險控制
第三十二條 研發(fā)風(fēng)險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃����、需求、分析�����、設(shè)計、編程����、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險��。
第三十三條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)研發(fā)前應(yīng)成立項目工作小組�,重大項目還應(yīng)成立項目領(lǐng)導(dǎo)小組,并指定負(fù)責(zé)人��。項目領(lǐng)導(dǎo)小組負(fù)責(zé)項目的組織�、協(xié)調(diào)、檢查�����、監(jiān)督工作�����。項目工作小組由業(yè)務(wù)人員�����、技術(shù)人員和管理人員組成�����,具體負(fù)責(zé)整個項目的開發(fā)工作。
第三十四條 項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識��,小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力�,保證信息系統(tǒng)研發(fā)質(zhì)量和進(jìn)度。
第三十五條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門根據(jù)本機(jī)構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略�����,在充分進(jìn)行市場調(diào)查���、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項目可行性報告�����。
第三十六條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門編寫項目需求說明書�����,提出風(fēng)險控制要求�,信息科技部門根據(jù)項目需求編制項目功能說明書��。
第三十七條 銀行業(yè)金融機(jī)構(gòu)信息科技部門依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書����,設(shè)計和編碼應(yīng)符合項目功能說明書的要求。
第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立獨(dú)立的測試環(huán)境��,以保證測試的完整性和準(zhǔn)確性�����。測試至少應(yīng)包括功能測試���、安全性測試、壓力測試��、驗收測試��、適應(yīng)性測試�����。測試不得直接使用生產(chǎn)數(shù)據(jù)�。
第三十九條 銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)根據(jù)測試結(jié)果修補(bǔ)系統(tǒng)的功能和缺陷,提高系統(tǒng)的整體質(zhì)量����。
第四十條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)人員��、技術(shù)人員應(yīng)根據(jù)職責(zé)范圍分別編寫操作說明書�����、技術(shù)應(yīng)急方案���、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃�����、應(yīng)急回退計劃����,并進(jìn)行演練。
第四十一條 開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門���、人員的簽字確認(rèn)并歸檔保存���。
第四十二條 項目驗收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項目驗收報告,驗收不合格不得投產(chǎn)使用�。
第五章 運(yùn)行維護(hù)風(fēng)險控制
第四十三條 運(yùn)行維護(hù)風(fēng)險是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險�。
第四十四條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離,運(yùn)行人員應(yīng)實(shí)行專職����,不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作�。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)�,除應(yīng)急外,其他維護(hù)應(yīng)在非工作時間進(jìn)行����。
第四十五條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的運(yùn)行應(yīng)符合以下要求:
?����。ㄒ唬┲贫ㄔ敿?xì)的運(yùn)行值班操作表��,包括規(guī)定巡檢時間�����,操作范圍��、內(nèi)容、辦法��、命令以及負(fù)責(zé)人員等信息�;
(二)提供常見和簡便的操作菜單或命令�,如信息系統(tǒng)的啟動或停止、運(yùn)行日志的查詢等����;
(三)提供機(jī)房環(huán)境���、設(shè)備使用���、網(wǎng)絡(luò)運(yùn)行、系統(tǒng)運(yùn)行等監(jiān)控信息�����;
?���。ㄋ模┯涗涍\(yùn)行值班過程中所有現(xiàn)象、操作過程等信息��。
第四十六條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的維護(hù)應(yīng)符合以下要求:
(一)除對信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護(hù)外����,對軟件或數(shù)據(jù)的維護(hù)必須通過特定的應(yīng)用程序進(jìn)行,添加����、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端,不得對數(shù)據(jù)庫進(jìn)行直接操作�;
(二)具備各種詳細(xì)的日志信息�,包括交易日志和審計日志等,以便維護(hù)和審計�;
(三)提供維護(hù)的統(tǒng)計和報表打印功能��。
第四十七條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求:
?���。ㄒ唬┲朴唶?yán)密的變更處理流程���,明確變更控制中各崗位的職責(zé)��,并遵循流程實(shí)施控制和管理����;變更前應(yīng)明確應(yīng)急和回退方案,無授權(quán)不得進(jìn)行變更操作���;
?�。ǘ└鶕?jù)變更需求�、變更方案�����、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性���、安全性和合法性�����;
?�。ㄈ?yīng)采用軟件工具精確判斷變更的真實(shí)位置和內(nèi)容����,形成變更內(nèi)容核實(shí)清單��,實(shí)現(xiàn)真實(shí)、有效�����、全面的檢驗��;
?���。ㄋ模┸浖姹咀兏髴?yīng)保留初始版本和所有歷史版本,保留所有歷史的變更內(nèi)容核實(shí)清單��。
第四十八條 銀行業(yè)金融機(jī)構(gòu)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)���,應(yīng)組織對系統(tǒng)的后評價��,并根據(jù)評價及時對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化�����。
第四十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢�,明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案�,有實(shí)時交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時值班���。
第五十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)實(shí)行事件報告制度���,發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)�、聲譽(yù)損失和重大影響事件�����,應(yīng)即時上報并處理��,必要時啟動應(yīng)急處理預(yù)案�����。
第六章 外包風(fēng)險控制
第五十一條 外包風(fēng)險是指銀行業(yè)金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃����、研發(fā)、建設(shè)��、運(yùn)行���、維護(hù)����、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。
第五十二條 銀行業(yè)金融機(jī)構(gòu)在進(jìn)行信息系統(tǒng)外包時����,應(yīng)根據(jù)風(fēng)險控制和實(shí)際需要,合理確定外包的原則和范圍�,認(rèn)真分析和評估外包存在的潛在風(fēng)險,建立健全有關(guān)規(guī)章制度�,制定相應(yīng)的風(fēng)險防范措施。
第五十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全外包承包方評估機(jī)制�,充分審查、評估承包方的經(jīng)營狀況���、財務(wù)實(shí)力���、誠信歷史�����、安全資質(zhì)���、技術(shù)服務(wù)能力和實(shí)際風(fēng)險控制與責(zé)任承擔(dān)水平��,并進(jìn)行必要的盡職調(diào)查�。評估工作可委托經(jīng)國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)�����,具有相關(guān)專業(yè)經(jīng)驗的獨(dú)立機(jī)構(gòu)完成。
第五十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)與承包方簽訂書面合同,明確雙方的權(quán)利���、義務(wù)���,并規(guī)定承包方在安全���、保密、知識產(chǎn)權(quán)方面的義務(wù)和責(zé)任�����。
第五十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)充分認(rèn)識外包服務(wù)對信息系統(tǒng)風(fēng)險控制的直接和間接影響�����,并將其納入總體安全策略和風(fēng)險控制之中����。
第五十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險評估與監(jiān)測程序,審慎管理外包產(chǎn)生的風(fēng)險���,提高本機(jī)構(gòu)對外包管理的能力�����。
第五十七條 銀行業(yè)金融機(jī)構(gòu)的信息系統(tǒng)外包風(fēng)險管理應(yīng)當(dāng)符合風(fēng)險管理標(biāo)準(zhǔn)和策略��,并應(yīng)建立針對外包風(fēng)險的應(yīng)急計劃���。
第五十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)與外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制�����,并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更�����,保證外包服務(wù)不間斷的應(yīng)急預(yù)案。
第五十九條 銀行業(yè)金融機(jī)構(gòu)將敏感的信息系統(tǒng)��,以及其他涉及國家秘密�����、商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進(jìn)行外包時�,應(yīng)遵守國家有關(guān)法律法規(guī)�����,符合銀監(jiān)會的有關(guān)規(guī)定���,經(jīng)過董事會或其他決策機(jī)構(gòu)批準(zhǔn)���,并在實(shí)施外包前報銀監(jiān)會及其派出機(jī)構(gòu)和法律法規(guī)規(guī)定需要報告的機(jī)構(gòu)備案。
第七章 審 計
第六十條 銀行業(yè)金融機(jī)構(gòu)內(nèi)設(shè)審計部門負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)審計�����,也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計�。
第六十一條 信息系統(tǒng)風(fēng)險審計應(yīng)包括:總體風(fēng)險審計、系統(tǒng)審閱和專項風(fēng)險審計��。
第六十二條 總體風(fēng)險審計是指對本機(jī)構(gòu)所有信息系統(tǒng)共有的公共部分進(jìn)行審計,實(shí)施總體風(fēng)險控制�。根據(jù)信息系統(tǒng)的總體風(fēng)險狀況確定審計頻率,但至少每3年審計一次�����。
第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)����、運(yùn)行及退出的全過程進(jìn)行審計,分投產(chǎn)前與投產(chǎn)后的審閱�。
第六十四條 投產(chǎn)前的系統(tǒng)審閱是指審計人員采用非現(xiàn)場形式,對信息項目開發(fā)過程中所提交的有關(guān)文檔資料進(jìn)行審閱�,指出其中存在的風(fēng)險,了解是否具有相應(yīng)的控制措施�����,并提出評價和建議的過程����。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置�����、正確性、連貫性�、完整性、可審計性和及時性等內(nèi)容���。
投產(chǎn)前的系統(tǒng)審閱重點(diǎn):
?����。ㄒ唬┍煌饨绯晒テ频目赡苄?����;
(二)在內(nèi)部安全控制方面的設(shè)計漏洞與缺陷����;
(三)項目開發(fā)管理方面的問題��;
?����。ㄋ模┬逝c效能�;
?��。ㄎ澹┕δ堋⒃O(shè)計和工作流程是否符合法律���、法規(guī)和內(nèi)部控制方面的規(guī)定并有連續(xù)兼容性�;
(六)其他需重點(diǎn)審閱的內(nèi)容。
第六十五條 投產(chǎn)前的系統(tǒng)審閱文檔資料包括:
?�。ㄒ唬╉椖靠尚行詧蟾?;
(二)項目需求說明書����;
?。ㄈ╉椖抗δ苷f明書(包括業(yè)務(wù)與技術(shù)方面存在的風(fēng)險及控制辦法);
?。ㄋ模╉椖靠傮w技術(shù)框架;
?��。ㄎ澹╉椖吭O(shè)計說明書��;
?。╉椖繉?shí)施計劃��;
(七)與第三方簽訂的外包協(xié)議����;
(八)測試計劃及驗收報告���;
?。ň牛┩懂a(chǎn)計劃��;
?���。ㄊ╉椖块_發(fā)例會的會議記錄���;
?���。ㄊ唬┎僮魇謨?����;
?���。ㄊ┢渌鑼忛喌奈臋n資料�����。
對于所含內(nèi)容較多的文檔資料�����,應(yīng)對關(guān)鍵交易的數(shù)據(jù)處理流程��、交易接口和其他重要的安全事項進(jìn)行審閱���。
第六十六條 投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時間后進(jìn)行的審計,旨在評估對信息系統(tǒng)各項風(fēng)險的控制是否恰當(dāng)���,能否實(shí)現(xiàn)預(yù)定的設(shè)計目標(biāo)��。投產(chǎn)后的系統(tǒng)審閱應(yīng)在信息系統(tǒng)投入生產(chǎn)半年后進(jìn)行�,審計報告應(yīng)對被審計的信息系統(tǒng)提出改進(jìn)或增加風(fēng)險控制�、能否繼續(xù)生產(chǎn)等內(nèi)容的審計建議。
第六十七條 信息系統(tǒng)專項風(fēng)險審計是指對被審計單位發(fā)生信息安全事故進(jìn)行的調(diào)查���、分析和評估�����,或原有信息系統(tǒng)進(jìn)行重大結(jié)構(gòu)調(diào)整的審計���,或?qū)徲嫴块T認(rèn)為需要對信息系統(tǒng)某項專題進(jìn)行審計�。
第六十八條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險審計也可以由銀監(jiān)會及其派出機(jī)構(gòu)依據(jù)法律���、法規(guī)和規(guī)章����,委托并授權(quán)有法定資質(zhì)的中介評估機(jī)構(gòu)進(jìn)行�����。
第六十九條 中介機(jī)構(gòu)根據(jù)銀監(jiān)會或其派出機(jī)構(gòu)委托或授權(quán)對銀行業(yè)金融機(jī)構(gòu)進(jìn)行審計時���,應(yīng)出示委托授權(quán)書,并依照委托授權(quán)書上規(guī)定的委托和授權(quán)范圍進(jìn)行審計���。
第七十條 中介機(jī)構(gòu)根據(jù)授權(quán)出具的審計報告經(jīng)銀監(jiān)會及其派出機(jī)構(gòu)審閱確定后具有法律效力���,被審計金融機(jī)構(gòu)應(yīng)對該審計報告在法定時間內(nèi)提出整改意見�����,并按審計報告中提出的建議進(jìn)行及時整改���。
第七十一條 中介機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行法律法規(guī),保守被審計單位的商業(yè)秘密和風(fēng)險信息���。審計過程中所有涉及資料的調(diào)閱應(yīng)有交接手續(xù)�����,并不得帶離現(xiàn)場或進(jìn)行修改��、復(fù)制���。
第八章 附 則
第七十二條 本指引由中國銀行業(yè)監(jiān)督管理委員會負(fù)責(zé)解釋、修訂���。
第七十三條 本指引自頒布之日起施行�。
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
