• 【發(fā)布單位】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
• 【發(fā)布文號(hào)】--
• 【發(fā)布日期】2006-11-01
• 【生效日期】2006-11-01
• 【失效日期】--
• 【文件來(lái)源】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
• 【所屬類別】政策參考

銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引

銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引






第一章 總 則




第一條 為有效防范銀行業(yè)金融機(jī)構(gòu)運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理,、經(jīng)營(yíng)管理和內(nèi)部控制過(guò)程中產(chǎn)生的風(fēng)險(xiǎn),，促進(jìn)我國(guó)銀行業(yè)安全、持續(xù),、穩(wěn)健運(yùn)行,，根據(jù)《
中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、國(guó)家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī),，制定本指引,。




第二條 本指引適用于銀行業(yè)金融機(jī)構(gòu)。



 本指引所稱銀行業(yè)金融機(jī)構(gòu),，是指在中華人民共和國(guó)境內(nèi)設(shè)立的商業(yè)銀行,、城市信用合作社、農(nóng)村合作銀行,、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及政策性銀行,。



 在中華人民共和國(guó)境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司,、財(cái)務(wù)公司,、金融租賃公司、汽車金融公司以及經(jīng)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱銀監(jiān)會(huì)）及其派出機(jī)構(gòu)批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu),，適用本指引規(guī)定,。




第三條 本指引所稱信息系統(tǒng)，是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息,、通信技術(shù)集成的處理業(yè)務(wù),、經(jīng)營(yíng)管理和內(nèi)部控制的系統(tǒng)。




第四條 本指引所稱信息系統(tǒng)風(fēng)險(xiǎn),，是指信息系統(tǒng)在規(guī)劃,、研發(fā)、建設(shè),、運(yùn)行,、維護(hù)、監(jiān)控及退出過(guò)程中由于技術(shù)和管理缺陷產(chǎn)生的操作,、法律和聲譽(yù)等風(fēng)險(xiǎn),。




第五條 信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制,，實(shí)現(xiàn)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別,、計(jì)量、評(píng)價(jià),、預(yù)警和控制,，推動(dòng)銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新,，提高信息化水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力,。




第二章 機(jī)構(gòu)職責(zé)




第六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立有效的信息系統(tǒng)風(fēng)險(xiǎn)管理架構(gòu),，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息系統(tǒng)風(fēng)險(xiǎn),。




第七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)認(rèn)真履行下列信息系統(tǒng)管理職責(zé)：



 （一）貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)管理的法律,、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)銀監(jiān)會(huì)相關(guān)監(jiān)管要求,；



 （二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程,，明確信息系統(tǒng)風(fēng)險(xiǎn)管理崗位責(zé)任制度，并監(jiān)督落實(shí),；



 （三）負(fù)責(zé)組織對(duì)本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行檢查,、評(píng)估、分析,，及時(shí)向本機(jī)構(gòu)專門委員會(huì)和銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送相關(guān)的管理信息,；



 （四）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng),；



 （五）每年經(jīng)董事會(huì)或其他決策機(jī)構(gòu)審查后向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息系統(tǒng)風(fēng)險(xiǎn)管理的年度報(bào)告,；



 （六）做好本機(jī)構(gòu)信息系統(tǒng)審計(jì)工作；



 （七）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督檢查工作,，并按照監(jiān)管意見(jiàn)進(jìn)行整改,；



 （八）組織本機(jī)構(gòu)信息系統(tǒng)從業(yè)人員進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn),；



 （九）開(kāi)展與信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)的其他工作,。




第八條 銀行業(yè)金融機(jī)構(gòu)的董事會(huì)或其他決策機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項(xiàng)目和風(fēng)險(xiǎn)監(jiān)督管理,；信息科技管理委員會(huì),、風(fēng)險(xiǎn)管理委員會(huì)或其他負(fù)責(zé)風(fēng)險(xiǎn)監(jiān)督的專業(yè)委員會(huì)應(yīng)制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項(xiàng)目建設(shè),，定期評(píng)估,、報(bào)告本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)狀況，為決策層提供建議,，采取相應(yīng)的風(fēng)險(xiǎn)控制措施,。




第九條 銀行業(yè)金融機(jī)構(gòu)法定代表人或主要負(fù)責(zé)人是本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理責(zé)任人。




第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)設(shè)立信息科技部門,，統(tǒng)一負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)的規(guī)劃,、研發(fā)、建設(shè),、運(yùn)行,、維護(hù)和監(jiān)控,，提供日常科技服務(wù)和運(yùn)行技術(shù)支持,；建立或明確專門信息系統(tǒng)風(fēng)險(xiǎn)管理部門,，建立、健全信息系統(tǒng)風(fēng)險(xiǎn)管理規(guī)章,、制度,，并協(xié)助業(yè)務(wù)部門及信息科技部門嚴(yán)格執(zhí)行，提供相關(guān)的監(jiān)管信息,；設(shè)立審計(jì)部門或?qū)ｉT審計(jì)崗位,，建立健全信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)制度，配備適量的合格人員進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)審計(jì),。




第十一條 銀行業(yè)金融機(jī)構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求：



 （一）具備良好的職業(yè)道德,，掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識(shí)和技能；



 （二）未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗,；經(jīng)考核不適宜的工作人員,，應(yīng)及時(shí)進(jìn)行調(diào)整。




第十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理的專業(yè)隊(duì)伍建設(shè),，建立人才激勵(lì)機(jī)制,，適應(yīng)信息技術(shù)的發(fā)展。




第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況,。




第三章 總體風(fēng)險(xiǎn)控制




第十四條 總體風(fēng)險(xiǎn)是指信息系統(tǒng)在策略,、制度、機(jī)房,、軟件,、硬件、網(wǎng)絡(luò),、數(shù)據(jù),、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。




第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃,，制定明確,、持續(xù)的風(fēng)險(xiǎn)管理策略，按照信息系統(tǒng)的敏感程度對(duì)各個(gè)集成要素進(jìn)行分析和評(píng)估,，并實(shí)施有效控制,。




第十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)采取措施防范自然災(zāi)害、運(yùn)行環(huán)境變化等產(chǎn)生的安全威脅,，防止各類突發(fā)事故和惡意攻擊,。




第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等,；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限,，建立制約機(jī)制,，實(shí)行最小授權(quán),。




第十八條 在境外設(shè)立的我國(guó)銀行業(yè)金融機(jī)構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機(jī)構(gòu)，應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風(fēng)險(xiǎn),。




第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn),，參照有關(guān)國(guó)際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化,，實(shí)行信息安全等級(jí)保護(hù),。




第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)信息系統(tǒng)的評(píng)估和測(cè)試，及時(shí)進(jìn)行修補(bǔ)和更新,，以保證信息系統(tǒng)的安全性,、完整性。




第二十一條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)數(shù)據(jù)中心機(jī)房應(yīng)符合國(guó)家有關(guān)計(jì)算機(jī)場(chǎng)地,、環(huán)境,、供配電等技術(shù)標(biāo)準(zhǔn)。全國(guó)性數(shù)據(jù)中心至少應(yīng)達(dá)到國(guó)家A類機(jī)房標(biāo)準(zhǔn),，省域數(shù)據(jù)中心至少應(yīng)達(dá)到國(guó)家B類機(jī)房標(biāo)準(zhǔn),，省域以下數(shù)據(jù)中心至少應(yīng)達(dá)到C類機(jī)房標(biāo)準(zhǔn)。數(shù)據(jù)中心機(jī)房應(yīng)實(shí)行嚴(yán)格的門禁管理措施,，未經(jīng)授權(quán)不得進(jìn)入,。




第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)重視知識(shí)產(chǎn)權(quán)保護(hù)，使用正版軟件,，加強(qiáng)軟件版本管理,，優(yōu)先使用具有中國(guó)自主知識(shí)產(chǎn)權(quán)的軟、硬件產(chǎn)品,；積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品,，并采取有效措施保護(hù)本機(jī)構(gòu)信息化成果。




第二十三條 銀行業(yè)金融機(jī)構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型,、購(gòu)置,、登記、保養(yǎng),、維修,、報(bào)廢等應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過(guò)技術(shù)論證,，測(cè)試性能應(yīng)符合國(guó)家有關(guān)標(biāo)準(zhǔn),。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)?shù)膫淦穫浼?



第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì),、建設(shè),；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份,；嚴(yán)格線路租用合同管理,，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心,，監(jiān)測(cè)和管理通信線路及網(wǎng)絡(luò)設(shè)備,，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。




第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理,。生產(chǎn)網(wǎng)絡(luò)與開(kāi)發(fā)測(cè)試網(wǎng)絡(luò),、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離,；加強(qiáng)無(wú)線網(wǎng),、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過(guò)濾,、身份認(rèn)證,、防火墻、病毒防范,、入侵檢測(cè),、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,，有效降低外部攻擊,、信息泄漏等風(fēng)險(xiǎn)。




第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)加密機(jī),、密鑰,、密碼、加解密程序等安全要素的管理,，使用符合國(guó)家安全標(biāo)準(zhǔn)的密碼設(shè)備,，完善安全要素生成、領(lǐng)取,、使用,、修改、保管和銷毀等環(huán)節(jié)管理制度,。密鑰,、密碼應(yīng)定期更改。




第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)采集,、存貯,、傳輸、使用、備份,、恢復(fù),、抽檢、清理,、銷毀等環(huán)節(jié)的有效管理,，不得脫離系統(tǒng)采集加工、傳輸,、存取數(shù)據(jù),；優(yōu)化系統(tǒng)和數(shù)據(jù)庫(kù)安全設(shè)置,，嚴(yán)格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫(kù),，采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性,、保密性,。




第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成,、變更,、泄漏,、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限,、方式和授權(quán)使用范圍，嚴(yán)格審批和登記手續(xù),。




第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案,，并定期演練、評(píng)審和修訂,。省域以下數(shù)據(jù)中心至少實(shí)現(xiàn)數(shù)據(jù)備份異地保存,，省域數(shù)據(jù)中心至少實(shí)現(xiàn)異地?cái)?shù)據(jù)實(shí)時(shí)備份，全國(guó)性數(shù)據(jù)中心實(shí)現(xiàn)異地災(zāi)備,。




第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)技術(shù)文檔資料和重要數(shù)據(jù)的備份管理,；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存,，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán),。信息系統(tǒng)的技術(shù)文檔資料包括：系統(tǒng)環(huán)境說(shuō)明文件、源程序以及系統(tǒng)研發(fā),、運(yùn)行,、維護(hù)過(guò)程中形成的各類技術(shù)資料。重要數(shù)據(jù)包括：交易數(shù)據(jù),、賬務(wù)數(shù)據(jù),、客戶數(shù)據(jù)，以及產(chǎn)生的報(bào)表數(shù)據(jù)等。




第三十一條 銀行業(yè)金融機(jī)構(gòu)在信息系統(tǒng)可能影響客戶服務(wù)時(shí),，應(yīng)以適當(dāng)方式告知客戶,。




第四章 研發(fā)風(fēng)險(xiǎn)控制




第三十二條 研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃,、需求,、分析、設(shè)計(jì),、編程,、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。




第三十三條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)研發(fā)前應(yīng)成立項(xiàng)目工作小組,，重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組,，并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織,、協(xié)調(diào),、檢查、監(jiān)督工作,。項(xiàng)目工作小組由業(yè)務(wù)人員,、技術(shù)人員和管理人員組成，具體負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)工作,。




第三十四條 項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專業(yè)技術(shù)知識(shí),，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進(jìn)度。




第三十五條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門根據(jù)本機(jī)構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略,，在充分進(jìn)行市場(chǎng)調(diào)查,、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項(xiàng)目可行性報(bào)告。




第三十六條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門編寫項(xiàng)目需求說(shuō)明書,，提出風(fēng)險(xiǎn)控制要求,，信息科技部門根據(jù)項(xiàng)目需求編制項(xiàng)目功能說(shuō)明書。




第三十七條 銀行業(yè)金融機(jī)構(gòu)信息科技部門依據(jù)項(xiàng)目功能說(shuō)明書分別編寫項(xiàng)目總體技術(shù)框架,、項(xiàng)目設(shè)計(jì)說(shuō)明書,，設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說(shuō)明書的要求。




第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立獨(dú)立的測(cè)試環(huán)境,，以保證測(cè)試的完整性和準(zhǔn)確性,。測(cè)試至少應(yīng)包括功能測(cè)試、安全性測(cè)試,、壓力測(cè)試,、驗(yàn)收測(cè)試、適應(yīng)性測(cè)試,。測(cè)試不得直接使用生產(chǎn)數(shù)據(jù),。




第三十九條 銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)根據(jù)測(cè)試結(jié)果修補(bǔ)系統(tǒng)的功能和缺陷,，提高系統(tǒng)的整體質(zhì)量。




第四十條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)人員,、技術(shù)人員應(yīng)根據(jù)職責(zé)范圍分別編寫操作說(shuō)明書,、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃,、投產(chǎn)計(jì)劃,、應(yīng)急回退計(jì)劃，并進(jìn)行演練,。




第四十一條 開(kāi)發(fā)過(guò)程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門,、人員的簽字確認(rèn)并歸檔保存。




第四十二條 項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收?qǐng)?bào)告,，驗(yàn)收不合格不得投產(chǎn)使用,。




第五章 運(yùn)行維護(hù)風(fēng)險(xiǎn)控制




第四十三條 運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中操作管理、變更管理,、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn),。




第四十四條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離,，運(yùn)行人員應(yīng)實(shí)行專職,，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作,。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對(duì)生產(chǎn)狀態(tài)的軟硬件,、數(shù)據(jù)進(jìn)行維護(hù)，除應(yīng)急外,，其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行,。




第四十五條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的運(yùn)行應(yīng)符合以下要求：



 （一）制定詳細(xì)的運(yùn)行值班操作表，包括規(guī)定巡檢時(shí)間,，操作范圍,、內(nèi)容、辦法,、命令以及負(fù)責(zé)人員等信息,；



 （二）提供常見(jiàn)和簡(jiǎn)便的操作菜單或命令，如信息系統(tǒng)的啟動(dòng)或停止,、運(yùn)行日志的查詢等,；



 （三）提供機(jī)房環(huán)境、設(shè)備使用,、網(wǎng)絡(luò)運(yùn)行,、系統(tǒng)運(yùn)行等監(jiān)控信息；



 （四）記錄運(yùn)行值班過(guò)程中所有現(xiàn)象,、操作過(guò)程等信息,。




第四十六條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的維護(hù)應(yīng)符合以下要求：



 （一）除對(duì)信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護(hù)外,，對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過(guò)特定的應(yīng)用程序進(jìn)行，添加,、刪除和修改數(shù)據(jù)應(yīng)通過(guò)柜員終端,，不得對(duì)數(shù)據(jù)庫(kù)進(jìn)行直接操作；



 （二）具備各種詳細(xì)的日志信息,，包括交易日志和審計(jì)日志等,，以便維護(hù)和審計(jì)；



 （三）提供維護(hù)的統(tǒng)計(jì)和報(bào)表打印功能,。




第四十七條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求：



 （一）制訂嚴(yán)密的變更處理流程,，明確變更控制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理,；變更前應(yīng)明確應(yīng)急和回退方案,，無(wú)授權(quán)不得進(jìn)行變更操作；



 （二）根據(jù)變更需求,、變更方案,、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性,；



 （三）應(yīng)采用軟件工具精確判斷變更的真實(shí)位置和內(nèi)容,，形成變更內(nèi)容核實(shí)清單，實(shí)現(xiàn)真實(shí),、有效,、全面的檢驗(yàn)；



 （四）軟件版本變更后應(yīng)保留初始版本和所有歷史版本,，保留所有歷史的變更內(nèi)容核實(shí)清單,。




第四十八條 銀行業(yè)金融機(jī)構(gòu)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，應(yīng)組織對(duì)系統(tǒng)的后評(píng)價(jià),，并根據(jù)評(píng)價(jià)及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化,。




第四十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案,，有實(shí)時(shí)交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時(shí)值班,。




第五十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì),、聲譽(yù)損失和重大影響事件,，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案,。




第六章 外包風(fēng)險(xiǎn)控制




第五十一條 外包風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃,、研發(fā)、建設(shè),、運(yùn)行,、維護(hù),、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。




第五十二條 銀行業(yè)金融機(jī)構(gòu)在進(jìn)行信息系統(tǒng)外包時(shí),，應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要,，合理確定外包的原則和范圍，認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn),，建立健全有關(guān)規(guī)章制度,，制定相應(yīng)的風(fēng)險(xiǎn)防范措施。




第五十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全外包承包方評(píng)估機(jī)制,，充分審查,、評(píng)估承包方的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力,、誠(chéng)信歷史,、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平,，并進(jìn)行必要的盡職調(diào)查,。評(píng)估工作可委托經(jīng)國(guó)家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)，具有相關(guān)專業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成,。




第五十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)與承包方簽訂書面合同,，明確雙方的權(quán)利、義務(wù),，并規(guī)定承包方在安全,、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任,。




第五十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中,。




第五十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與監(jiān)測(cè)程序,，審慎管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)對(duì)外包管理的能力,。




第五十七條 銀行業(yè)金融機(jī)構(gòu)的信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)當(dāng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略,，并應(yīng)建立針對(duì)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃。




第五十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)與外包承包方建立有效的聯(lián)絡(luò),、溝通和信息交流機(jī)制,，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更，保證外包服務(wù)不間斷的應(yīng)急預(yù)案,。




第五十九條 銀行業(yè)金融機(jī)構(gòu)將敏感的信息系統(tǒng),，以及其他涉及國(guó)家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進(jìn)行外包時(shí),，應(yīng)遵守國(guó)家有關(guān)法律法規(guī),，符合銀監(jiān)會(huì)的有關(guān)規(guī)定,，經(jīng)過(guò)董事會(huì)或其他決策機(jī)構(gòu)批準(zhǔn)，并在實(shí)施外包前報(bào)銀監(jiān)會(huì)及其派出機(jī)構(gòu)和法律法規(guī)規(guī)定需要報(bào)告的機(jī)構(gòu)備案,。




第七章 審 計(jì)




第六十條 銀行業(yè)金融機(jī)構(gòu)內(nèi)設(shè)審計(jì)部門負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)審計(jì),，也可聘請(qǐng)經(jīng)國(guó)家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。




第六十一條 信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)應(yīng)包括：總體風(fēng)險(xiǎn)審計(jì),、系統(tǒng)審閱和專項(xiàng)風(fēng)險(xiǎn)審計(jì),。




第六十二條 總體風(fēng)險(xiǎn)審計(jì)是指對(duì)本機(jī)構(gòu)所有信息系統(tǒng)共有的公共部分進(jìn)行審計(jì)，實(shí)施總體風(fēng)險(xiǎn)控制,。根據(jù)信息系統(tǒng)的總體風(fēng)險(xiǎn)狀況確定審計(jì)頻率,，但至少每3年審計(jì)一次。




第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對(duì)研發(fā),、運(yùn)行及退出的全過(guò)程進(jìn)行審計(jì),，分投產(chǎn)前與投產(chǎn)后的審閱。




第六十四條 投產(chǎn)前的系統(tǒng)審閱是指審計(jì)人員采用非現(xiàn)場(chǎng)形式,，對(duì)信息項(xiàng)目開(kāi)發(fā)過(guò)程中所提交的有關(guān)文檔資料進(jìn)行審閱,，指出其中存在的風(fēng)險(xiǎn)，了解是否具有相應(yīng)的控制措施,，并提出評(píng)價(jià)和建議的過(guò)程,。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置,、正確性,、連貫性、完整性,、可審計(jì)性和及時(shí)性等內(nèi)容,。



 投產(chǎn)前的系統(tǒng)審閱重點(diǎn)：



 （一）被外界成功攻破的可能性；



 （二）在內(nèi)部安全控制方面的設(shè)計(jì)漏洞與缺陷,；



 （三）項(xiàng)目開(kāi)發(fā)管理方面的問(wèn)題,；



 （四）效率與效能；



 （五）功能,、設(shè)計(jì)和工作流程是否符合法律,、法規(guī)和內(nèi)部控制方面的規(guī)定并有連續(xù)兼容性；



 （六）其他需重點(diǎn)審閱的內(nèi)容,。




第六十五條 投產(chǎn)前的系統(tǒng)審閱文檔資料包括：



 （一）項(xiàng)目可行性報(bào)告,；



 （二）項(xiàng)目需求說(shuō)明書；



 （三）項(xiàng)目功能說(shuō)明書（包括業(yè)務(wù)與技術(shù)方面存在的風(fēng)險(xiǎn)及控制辦法）,；



 （四）項(xiàng)目總體技術(shù)框架,；



 （五）項(xiàng)目設(shè)計(jì)說(shuō)明書；



 （六）項(xiàng)目實(shí)施計(jì)劃,；



 （七）與第三方簽訂的外包協(xié)議,；



 （八）測(cè)試計(jì)劃及驗(yàn)收?qǐng)?bào)告,；



 （九）投產(chǎn)計(jì)劃；



 （十）項(xiàng)目開(kāi)發(fā)例會(huì)的會(huì)議記錄,；



 （十一）操作手冊(cè),；



 （十二）其他需審閱的文檔資料。



 對(duì)于所含內(nèi)容較多的文檔資料,，應(yīng)對(duì)關(guān)鍵交易的數(shù)據(jù)處理流程,、交易接口和其他重要的安全事項(xiàng)進(jìn)行審閱。




第六十六條 投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時(shí)間后進(jìn)行的審計(jì),，旨在評(píng)估對(duì)信息系統(tǒng)各項(xiàng)風(fēng)險(xiǎn)的控制是否恰當(dāng),，能否實(shí)現(xiàn)預(yù)定的設(shè)計(jì)目標(biāo)。投產(chǎn)后的系統(tǒng)審閱應(yīng)在信息系統(tǒng)投入生產(chǎn)半年后進(jìn)行,，審計(jì)報(bào)告應(yīng)對(duì)被審計(jì)的信息系統(tǒng)提出改進(jìn)或增加風(fēng)險(xiǎn)控制,、能否繼續(xù)生產(chǎn)等內(nèi)容的審計(jì)建議。




第六十七條 信息系統(tǒng)專項(xiàng)風(fēng)險(xiǎn)審計(jì)是指對(duì)被審計(jì)單位發(fā)生信息安全事故進(jìn)行的調(diào)查,、分析和評(píng)估,，或原有信息系統(tǒng)進(jìn)行重大結(jié)構(gòu)調(diào)整的審計(jì)，或?qū)徲?jì)部門認(rèn)為需要對(duì)信息系統(tǒng)某項(xiàng)專題進(jìn)行審計(jì),。




第六十八條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)也可以由銀監(jiān)會(huì)及其派出機(jī)構(gòu)依據(jù)法律,、法規(guī)和規(guī)章，委托并授權(quán)有法定資質(zhì)的中介評(píng)估機(jī)構(gòu)進(jìn)行,。




第六十九條 中介機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)委托或授權(quán)對(duì)銀行業(yè)金融機(jī)構(gòu)進(jìn)行審計(jì)時(shí),，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的委托和授權(quán)范圍進(jìn)行審計(jì),。




第七十條 中介機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱確定后具有法律效力,，被審計(jì)金融機(jī)構(gòu)應(yīng)對(duì)該審計(jì)報(bào)告在法定時(shí)間內(nèi)提出整改意見(jiàn)，并按審計(jì)報(bào)告中提出的建議進(jìn)行及時(shí)整改,。




第七十一條 中介機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行法律法規(guī),，保守被審計(jì)單位的商業(yè)秘密和風(fēng)險(xiǎn)信息。審計(jì)過(guò)程中所有涉及資料的調(diào)閱應(yīng)有交接手續(xù),，并不得帶離現(xiàn)場(chǎng)或進(jìn)行修改、復(fù)制,。




第八章 附 則




第七十二條 本指引由中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)負(fù)責(zé)解釋,、修訂。




第七十三條 本指引自頒布之日起施行,。