银行业金融机构信息系统风险管理指引

《银行业金融机构信息系统风险管理指引》由会员分享，可在线阅读，更多相关《银行业金融机构信息系统风险管理指引（13页珍藏版）》请在金锄头文库上搜索。

1、银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处 理、经营治理和内部操纵过程中产生的风险，促进我国银行业安全、 连续、稳健运行，依照中华人民共和国银行业监督治理法、国家 信息安全相关要求和信息系统治理的有关法律法规，制定本指 引。第二条本指引适用于银行业金融机构。本指引所称银行业金融机构，是指在中华人民共和国境内设立的 商业银行、都市信用合作社、农村合作银行、农村信用合作社等吸取 公众存款的金融机构以及政策性银行。在中华人民共和国境内设立的金融资产治理公司、信托投资公 司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督 治理委员会（以下

2、简称银监会）及其派出机构批准设立的其他金融机 构，适用本指引规定。第三条本指引所称信息系统，是指银行业金融机构运用现代信 息、通信技术集成的处理业务、经营治理和内部操纵的系统。第四条 本指引所称信息系统风险，是指信息系统在规划、研发、 建设、运行、爱护、监控及退出过程中由于技术和治理缺陷产生的操 作、法律和声誉等风险。第五条 信息系统风险治理的目标是通过建立有效的机制，实 现对信息系统风险的识别、计量、评判、预警和操纵，推动银行业金 融机构业务创新，提高信息化水平，增强核心竞争力和可连续进展能 力。第二章机构职责第六条银行业金融机构应建立有效的信息系统风险治理架构， 完善内部组织结构和工作机制

3、，防范和操纵信息系统风险。第七条银行业金融机构应认真履行下列信息系统治理职 责：（一）贯彻执行国家有关信息系统治理的法律、法规和技术标准， 落实银监会相关监管要求；（二）建立有效的信息安全保证体系和内部操纵规程，明确信息 系统风险治理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析， 及时向本机构专门委员会和银监会及其派出机构报送相关的治理信 息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系 统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机 构报送信息系统风险治理的年度报告；（六）做好本机构信息系统审计

4、工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工 作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、 技术和安全培训；（九）开展与信息系统风险治理相关的其他工作。第八条银行业金融机构的董事会或其他决策机构负责信息系 统的战略规划、重大项目和风险监督治理；信息科技治理委员会、风 险治理委员会或其他负责风险监督的专业委员会应制定信息系统总 体策略，统筹信息系统项目建设，定期评估、报告本机构信息系统风 险状况，为决策层提供建议，采取相应的风险操纵措施。第九条银行业金融机构法定代表人或要紧负责人是本机构信 息系统风险治理责任人。第十条银行业金融机构应设立信

5、息科技部门，统一负责本机构 信息系统的规划、研发、建设、运行、爱护和监控，提供日常科技服 务和运行技术支持；建立或明确专门信息系统风险治理部门，建立、 健全信息系统风险治理规章、制度，并协助业务部门及信息科技部门 严格执行，提供相关的监管信息；设立审计部门或专门审计岗位，建 立健全信息系统风险审计制度，配备适量的合格人员进行信息系统风 险审计。第十一条银行业金融机构从事与信息系统相关工作的人员应 符合以下要求：（一）具备良好的职业道德，把握履行信息系统相关岗位职责所 需的专业知识和技能；（二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的 工作人员，应及时进行调整。第十二条 银行业金融机构

6、应加强信息系统风险治理的专业队 伍建设，建立人才鼓舞机制，适应信息技术的进展。第十三条银行业金融机构应依据有关法律法规及时和规范地 披露信息系统风险状况。第三章总体风险操纵第十四条 总体风险是指信息系统在策略、制度、机房、软件、 硬件、网络、数据、文档等方面阻碍全局或共有的风险。第十五条 银行业金融机构应依照信息系统总体规划，制定明 确、连续的风险治理策略，按照信息系统的敏锐程度对各个集成要素 进行分析和评估，并实施有效操纵。第十六条银行业金融机构应采取措施防范自然灾难、运行环境 变化等产生的安全威逼，防止各类突发事故和恶意攻击。第十七条银行业金融机构应建立健全信息系统相关的规章制 度、技术规

7、范、操作规程等；明确与信息系统相关人员的职责权限， 建立制约机制，实行最小授权。第十八条 在境外设立的我国银行业金融机构或在境内设立的 境外银行业金融机构，应防范由于境内外信息系统监管制度差异等造 成的跨境风险。第十九条 银行业金融机构应严格执行国家信息安全相关标准, 参照有关国际准则，积极推进信息安全标准化，实行信息安全等级爱 护。第二十条银行业金融机构应加强对信息系统的评估和测试，及 时进行修补和更新，以保证信息系统的安全性、完整性。第二十一条 银行业金融机构信息系统数据中心机房应符合国 家有关运算机场地、环境、供配电等技术标准。全国性数据中心至少 应达到国家A类机房标准，省域数据中心至少

8、应达到国家B类机房 标准，省域以下数据中心至少应达到C类机房标准。数据中心机房 应实行严格的门禁治理措施，未经授权不得进入。第二十二条银行业金融机构应重视知识产权爱护，使用正版软 件，加强软件版本治理，优先使用具有中国自主知识产权的软、硬件 产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采 取有效措施爱护本机构信息化成果。第二十三条银行业金融机构与信息系统相关的电子设备的选 型、购置、登记、保养、修理、报废等应严格执行相关规程，选用的 设备应通过技术论证，测试性能应符合国家有关标准。信息系统所用 的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错 特性，并配置适当的备品备

9、件。第二十四条 信息系统的网络应参照相关的标准和规范设计、建 设；网络设备应兼备技术先进性和产品成熟性；网络设备和线路应有 冗余备份；严格线路租用合同治理，按照业务和交易流量要求保证传 输带宽；建立完善的网管中心，监测和治理通信线路及网络设备，保 证网络安全稳固运行。第二十五条 银行业金融机构应加强网络安全治理。生产网络与 开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔 离；加强无线网、互联网接入边界操纵；使用内容过滤、身份认证、 防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有 效降低外部攻击、信息泄漏等风险。第二十六条银行业金融机构应加强信息系统加密机、密钥、密

10、码、加解密程序等安全要素的治理，使用符合国家安全标准的密码设 备，完善安全要素生成、领取、使用、修改、保管和销毁等环节治理 制度。密钥、密码应定期更换。第二十七条 银行业金融机构应加强数据采集、存贮、传输、使 用、备份、复原、抽检、清理、销毁等环节的有效治理，不得脱离系 统采集加工、传输、存取数据；优化系统和数据库安全设置，严格按 授权使用系统和数据库，采纳适当的数据加密技术以爱护敏锐数据的 传输和存取，保证数据的完整性、保密性。第二十八条银行业金融机构应对信息系统配置参数实施严格 的安全与保密治理，防止非法生成、变更、泄漏、丢失与破坏。依照 敏锐程度和用途，确定存取权限、方式和授权使用范畴，

11、严格审批和 登记手续。第二十九条银行业金融机构应制定信息系统应急预案，并定期 演练、评审和修订。省域以下数据中心至少实现数据备份异地储存， 省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地 灾备。第三十条银行业金融机构应加强对技术文档资料和重要数据 的备份治理；技术文档资料和重要数据应保留副本并异地存放，按规 定年限储存，调用时应严格授权。信息系统的技术文档资料包括：系 统环境说明文件、源程序以及系统研发、运行、爱护过程中形成的各 类技术资料。重要数据包括：交易数据、账务数据、客户数据，以及 产生的报表数据等。第三十一条银行业金融机构在信息系统可能阻碍客户服务时， 应以适当方式告知

12、客户。第四章研发风险操纵第三十二条 研发风险是指信息系统在研发过程中组织、规划、 需求、分析、设计、编程、测试和投产等环节产生的风险。第三十三条 银行业金融机构信息系统研发前应成立项目工作 小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小 组负责项目的组织、和谐、检查、监督工作。项目工作小组由业务人 员、技术人员和治理人员组成，具体负责整个项目的开发工作。第三十四条 项目工作小组人员应具备与项目要求相适应的业 务体会与专业技术知识，小组负责人需具备组织领导能力，保证信息 系统研发质量和进度。第三十五条银行业金融机构业务部门依照本机构业务进展战 略，在充分进行市场调查、产品效益分析的

13、基础上制定信息系统研发 项目可行性报告。第三十六条 银行业金融机构业务部门编写项目需求说明书才是 出风险操纵要求，信息科技部门依照项目需求编制项目功能说明 书。第三十七条 银行业金融机构信息科技部门依据项目功能说明 书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合 项目功能说明书的要求。第三十八条银行业金融机构应建立独立的测试环境，以保证测 试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力 测试、验收测试、适应性测试。测试不得直截了当使用生产数 据第三十九条银行业金融机构信息科技部门应依照测试结果修 补系统的功能和缺陷，提高系统的整体质量。第四十条 银行业金融机构业务人

14、员、技术人员应依照职责范畴 分别编写操作说明书、技术应急方案、业务连续性打算、投产打算、 应急回退打算，并进行演练。第四十一条 开发过程中所涉及的各种文档资料应经相关部门、 人员的签字确认并归档储存。第四十二条 项目验收应出具由相关负责人签字的项目验收报 告，验收不合格不得投产使用。第五章 运行爱护风险操纵第四十三条运行爱护风险是指信息系统在运行与爱护过程中 操作治理、变更治理、机房治理和事件治理等环节产生的风险。第四十四条 银行业金融机构信息系统运行与爱护应实行职责 分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操 作规程巡检和操作。爱护人员应按授权和爱护规程要求对生产状态的 软

15、硬件、数据进行爱护，除应急外，其他爱护应在非工作时刻进 彳亍。第四十五条银行业金融机构信息系统的运行应符合以下要 求：（一）制定详细的运行值班操作表，包括规定巡检时刻，操作范 畴、内容、方法、命令以及负责人员等信息；（二）提供常见和简便的操作菜单或命令，如信息系统的启动或 停止、运行日志的查询等；（三）提供机房环境、设备使用、网络运行、系统运行等监控信 息；（四）记录运行值班过程中所有现象、操作过程等信息。第四十六条 银行业金融机构信息系统的爱护应符合以下要 求：（一）除对信息系统设备和系统环境的爱护外，对软件或数据的 爱护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜 员终端，不得

16、对数据库进行直截了当操作；（二）具备各种详细的日志信息，包括交易日志和审计日志等， 以便爱护和审计；（三）提供爱护的统计和报表打印功能。第四十七条 银行业金融机构信息系统的变更应符合以下要 求：（一制订严密的变更处理流程明确变更操纵中各岗位的职责， 并遵循流程实施操纵和治理；变更前应明确应急和回退方案，无授权 不得进行变更操作；（二）依照变更需求、变更方案、变更内容核实清单等相关文档 审核变更的正确性、安全性和合法性；（三）应采纳软件工具精确判定变更的真实位置和内容，形成变 更内容核实清单，实现真实、有效、全面的检验；（四）软件版本变更后应保留初始版本和所有历史版本，保留所 有历史的变更内容核实清单。第四十八条 银行业金融机构在信息系统投产后一定