商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,依照《中华人民共和国银行业监察管理法》、《中华人民共和国商业银行法》、《中华人民共和外国资银行管理条例》,以及国家信息安全相关要求和相关法律法规,拟定本指引第二条本指引适用于在中华人民共和国境内依法成立的法人商业银行政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融财富管理公司、信托公司、财务公司、金融租借公司、汽车金融公司、钱币经纪公司等其他银行业金融机构参照履行第三条本指引所称信息科技是指计算机、通讯、微电子和软件工程等现代信息技术,在商业银行业务交易办理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,成立完满的管理组织架第1页共27页构,拟定完满的管理制度和流程第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理弊端产生的操作、法律和声誉等风险第五条信息科技风险管理的目标是经过成立有效的体系,实现对商业银行信息科技风险的鉴别、计量、监测和控制,促进商业银行安全、连续、庄重运行,推动业务创新,提高信息技术使用水平,加强核心竞争力和可连续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻履行国家相关信息科技管理的法律、法规和技术标准,落实中国银行业监察管理委员会(以下简称银监会)相关看守要求二)审查赞同信息科技战略,保证其与银行的整体业务战略第2页共27页和重要策略相一致评估信息科技及其风险管理工作的整体收效和效率三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被鉴别、计量、监测和控制四)规范职业道道德为和廉洁标准,加强内部文化建设,提高全体人员对信息科技风险管理重要性的认识五)成立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的特地信息科技管理委员会,负责监察各项职责的落实,如期向董事会和高级管理层报告信息科技战略规划的履行、信息科技估量和实质支出、信息科技的整体情况六)在成立优异的公司治理的基础进步行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清楚的信息科技治理组织结构加强信息科技专业队伍的建设,成立人才激励体系七)保证内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
八)每年批阅并向银监会及其派出机构报送信息科技风险管理的年度报告九)保证信息科技风险管理工作所需资本十)保证银行所有员工充分理解和遵守经其赞同的信息科技第3页共27页风险管理制度和流程,并安排相关培训十一)保证本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,吻合银监会看守和推行现场检查的要求,防范跨境风险十二)及时向银监会及其派出机构报告本机构发生的重要信息科技事故或突发事件,按相关方案快速响应十三)配合银监会及其派出机构做好信息科技风险监察检查工作,并依照看守建议进行整改十四)履行信息科技风险管理其他相关工作第八条商业银行应成立首席信息官,直接向行长报告,并参加决策首席信息官的职责包括:(一)直接参加本银行与信息科技运用相关的业务发展决策二)保证信息科技战略,特别是信息系统开发战略,吻合本银行的整体业务战略和信息科技风险管理策略三)负责成立一个的确有效的信息科技部门,担当本银行的信息科技职责保证其履行:信息科技估量和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目倡导和管理、信息系统和信息科技基础设施的运行、保护和升级、信息安全管理、灾害恢复计划、信息科技外包和信息系统退出等职责。
第4页共27页(四)保证信息科技风险管理的有效性,并使相关管理措施落实到相关的每一个内设机构和分支机构五)组织专业培训,提高人才队伍的专业技术六)履行信息科技风险管理其他相关工作第九条商业银行对付信息科技部门内部管理职责进行明确的界定;各岗位的人员应拥有相应的专业知识和技术,重要岗位应拟定详尽完满的工作手册并合时更新对相关人员应采用以下风险防范措施:(一)考据个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息二)审查信息科技员工的道德道德,保证其具备相应的职业操守三)保证员工认识、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签署相关协议四)评估要点岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时改正相关信息第十条商业银行应成立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)第5页共27页报告工作该部门应为信息科技突发事件应急响应小组的成员之一,负责协调拟定相关信息科技风险管理策略,特别是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门供应建议及相关合规性信息,推行连续信息科技风险评估,追踪整改建议的落实,监控信息安全威胁和不合规事件的发生。
第十一条商业银行应在内部审计部门成立特地的信息科技风险审计岗位,负责信息科技审计制度和流程的推行,拟定和履行信息科技审计计划,对信息科技整个生命周期和重要事件等进行审计第十二条商业银行应依照知识产权相关法律法规,拟定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并依照履行保证购买和使用合法的软硬件产品,禁止侵权盗版;采用有效措施保护本机构自主知识产权第十三条商业银行应依照相关法律法规的要求,规范和及时显露信息科技风险情况第三章信息科技风险管理第十四条商业银行应拟定吻合银行整体业务规划的信息科技第6页共27页战略、信息科技运行计划和信息科技风险评估计划,保证配置足够人力、财力资源,保持牢固、安全的信息科技环境第十五条商业银行应拟定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护二)信息系统开发、测试和保护三)信息科技运行和保护四)接见控制五)物理安全六)人员安全七)业务连续性计划与应急办理第十六条商业银行应拟定连续的风险鉴别和评估流程,确定信息科技中存在隐患的地域,议论风险对其业务的潜藏影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十七条商业银行应依照信息科技风险管理策略细风险评估结果,推行全面的风险防范措施防范措施应包括:(一)拟定明确的信息科技风险管理制度、技术标准和操作规程等,如期进行更新和公示二)确定潜藏风险地域,并对这些地域进行详尽和独立的监第7页共27页控,实现风险最小化成立适合的控制框架,以便于检查和平衡风险;定义每个业务级其他控制内容,包括:1. 最高权限用户的审查2. 控制对数据和系统的物理和逻辑接见3. 接见授权以“必要知道”和“最小授权”为原则4. 审批和授权5. 考据和调治第十八条商业银行应成立连续的信息科技风险计量和监测机制,其中应包括:(一)成立信息科技项目推行前及推行后的议论体系二)成立如期检查系统性能的程序和标准三)成立信息科技服务投诉和事故办理的报告体系四)成立内部审计、外面审计和看守发现问题的整改办理机制五)安排供应商和业务部门对服务水平协议的完成情况进行如期审查六)如期评估新技术发展可能造成的影响和已使用软件面临的新威胁七)如期进行运行环境下操作风险和管理控制的检查八)如期进行信息科技外包项目的风险情况议论第8页共27页第十九条中资商业银行在境外成立的机构及境内的外资商业银行,应该遵守境内外看守机构关于信息科技风险管理的要求,并防范因看守差异所造成的风险。
第四章信息安全第二十条商业银行信息科技部门负责成立和推行信息分类和保护系统,商业银行应使所有员工都认识信息安全的重要性,并组织供应必要的培训,让员工充分认识其职责范围内的信息保护流程第二十一条商业银行信息科技部门应落实信息安全管理职能该职能应包括成立信息安全计划和保持长效的管理体系,提高全体员工信息安全意识,就安全问题向其他部门供应建议,并如期向信息科技管理委员会提交本银行信息安全评估报告信息安全管理体系应包括信息安全标准、策略、推行计划和连续保护计划信息安全策略应涉及以下领域:(一)安全制度管理二)信息安全组织管理三)财富管理四)人员安全管理五)物理与环境安全管理第9页共27页(六)通讯与运营管理七)接见控制管理八)系统开发与保护管理九)信息安全事故管理十)业务连续性管理十一)合规性管理第二十二条商。