第一章 總 則
第一條 為有效防范銀行業(yè)金融機構運用信息系統(tǒng)進行業(yè)務處理�、經營管理和內部控制過程中產生的風險,促進我國銀行業(yè)安全�、持續(xù)���、穩(wěn)健運行�,根據《中華人民共和國銀行業(yè)監(jiān)督管理法》�、國家信息安全相關要求和信息系統(tǒng)管理的有關法律法規(guī),制定本指引���。
第二條 本指引適用于銀行業(yè)金融機構�。
本指引所稱銀行業(yè)金融機構��,是指在中華人民共和國境內設立的商業(yè)銀行��、城市信用合作社����、農村合作銀行�、農村信用合作社等吸收公眾存款的金融機構以及政策性銀行��。
在中華人民共和國境內設立的金融資產管理公司�����、信托投資公司���、財務公司�、金融租賃公司��、汽車金融公司以及經中國銀行業(yè)監(jiān)督管理委員會(以下簡稱銀監(jiān)會)及其派出機構批準設立的其他金融機構����,適用本指引規(guī)定。
第三條 本指引所稱信息系統(tǒng)�����,是指銀行業(yè)金融機構運用現代信息���、通信技術集成的處理業(yè)務��、經營管理和內部控制的系統(tǒng)��。
第四條 本指引所稱信息系統(tǒng)風險�����,是指信息系統(tǒng)在規(guī)劃�、研發(fā)、建設�、運行、維護�、監(jiān)控及退出過程中由于技術和管理缺陷產生的操作���、法律和聲譽等風險�。
第五條 信息系統(tǒng)風險管理的目標是通過建立有效的機制���,實現對信息系統(tǒng)風險的識別��、計量���、評價、預警和控制�����,推動銀行業(yè)金融機構業(yè)務創(chuàng)新,提高信息化水平�,增強核心競爭力和可持續(xù)發(fā)展能力。
第二章 機構職責
第六條 銀行業(yè)金融機構應建立有效的信息系統(tǒng)風險管理架構����,完善內部組織結構和工作機制,防范和控制信息系統(tǒng)風險�。
第七條 銀行業(yè)金融機構應認真履行下列信息系統(tǒng)管理職責:
(一)貫徹執(zhí)行國家有關信息系統(tǒng)管理的法律���、法規(guī)和技術標準�����,落實銀監(jiān)會相關監(jiān)管要求���;
(二)建立有效的信息安全保障體系和內部控制規(guī)程���,明確信息系統(tǒng)風險管理崗位責任制度�����,并監(jiān)督落實����;
(三)負責組織對本機構信息系統(tǒng)風險進行檢查�、評估、分析����,及時向本機構專門委員會和銀監(jiān)會及其派出機構報送相關的管理信息;
?���。ㄋ模┘皶r向銀監(jiān)會及其派出機構報告本機構發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件,并按有關預案快速響應��;
?��。ㄎ澹┟磕杲浂聲蚱渌麤Q策機構審查后向銀監(jiān)會及其派出機構報送信息系統(tǒng)風險管理的年度報告;
?��。┳龊帽緳C構信息系統(tǒng)審計工作��;
?��。ㄆ撸┡浜香y監(jiān)會及其派出機構做好信息系統(tǒng)風險監(jiān)督檢查工作��,并按照監(jiān)管意見進行整改����;
?��。ò耍┙M織本機構信息系統(tǒng)從業(yè)人員進行信息系統(tǒng)有關的業(yè)務��、技術和安全培訓�����;
?�。ň牛╅_展與信息系統(tǒng)風險管理相關的其他工作��。
第八條 銀行業(yè)金融機構的董事會或其他決策機構負責信息系統(tǒng)的戰(zhàn)略規(guī)劃�、重大項目和風險監(jiān)督管理���;信息科技管理委員會�����、風險管理委員會或其他負責風險監(jiān)督的專業(yè)委員會應制定信息系統(tǒng)總體策略���,統(tǒng)籌信息系統(tǒng)項目建設�����,定期評估��、報告本機構信息系統(tǒng)風險狀況�����,為決策層提供建議���,采取相應的風險控制措施。
第九條 銀行業(yè)金融機構法定代表人或主要負責人是本機構信息系統(tǒng)風險管理責任人��。
第十條 銀行業(yè)金融機構應設立信息科技部門�����,統(tǒng)一負責本機構信息系統(tǒng)的規(guī)劃���、研發(fā)����、建設���、運行�、維護和監(jiān)控���,提供日?�?萍挤蘸瓦\行技術支持��;建立或明確專門信息系統(tǒng)風險管理部門���,建立、健全信息系統(tǒng)風險管理規(guī)章���、制度�����,并協(xié)助業(yè)務部門及信息科技部門嚴格執(zhí)行�����,提供相關的監(jiān)管信息�����;設立審計部門或專門審計崗位���,建立健全信息系統(tǒng)風險審計制度��,配備適量的合格人員進行信息系統(tǒng)風險審計��。
第十一條 銀行業(yè)金融機構從事與信息系統(tǒng)相關工作的人員應符合以下要求:
?。ㄒ唬┚邆淞己玫穆殬I(yè)道德�,掌握履行信息系統(tǒng)相關崗位職責所需的專業(yè)知識和技能;
?����。ǘ┪唇泹徢芭嘤柣蚺嘤柌缓细裾卟坏蒙蠉?�;經考核不適宜的工作人員���,應及時進行調整���。
第十二條 銀行業(yè)金融機構應加強信息系統(tǒng)風險管理的專業(yè)隊伍建設,建立人才激勵機制���,適應信息技術的發(fā)展�����。
第十三條 銀行業(yè)金融機構應依據有關法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風險狀況�����。
第三章 總體風險控制
第十四條 總體風險是指信息系統(tǒng)在策略��、制度�、機房�、軟件、硬件�、網絡、數據����、文檔等方面影響全局或共有的風險。
第十五條 銀行業(yè)金融機構應根據信息系統(tǒng)總體規(guī)劃��,制定明確、持續(xù)的風險管理策略���,按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估�,并實施有效控制�。
第十六條 銀行業(yè)金融機構應采取措施防范自然災害、運行環(huán)境變化等產生的安全威脅����,防止各類突發(fā)事故和惡意攻擊。
第十七條 銀行業(yè)金融機構應建立健全信息系統(tǒng)相關的規(guī)章制度����、技術規(guī)范、操作規(guī)程等�����;明確與信息系統(tǒng)相關人員的職責權限��,建立制約機制�,實行最小授權。
第十八條 在境外設立的我國銀行業(yè)金融機構或在境內設立的境外銀行業(yè)金融機構��,應防范由于境內外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風險。
第十九條 銀行業(yè)金融機構應嚴格執(zhí)行國家信息安全相關標準��,參照有關國際準則���,積極推進信息安全標準化,實行信息安全等級保護���。
第二十條 銀行業(yè)金融機構應加強對信息系統(tǒng)的評估和測試���,及時進行修補和更新,以保證信息系統(tǒng)的安全性���、完整性�。
第二十一條 銀行業(yè)金融機構信息系統(tǒng)數據中心機房應符合國家有關計算機場地�����、環(huán)境��、供配電等技術標準���。全國性數據中心至少應達到國家A類機房標準��,省域數據中心至少應達到國家B類機房標準���,省域以下數據中心至少應達到C類機房標準����。數據中心機房應實行嚴格的門禁管理措施�����,未經授權不得進入�����。
第二十二條 銀行業(yè)金融機構應重視知識產權保護�,使用正版軟件,加強軟件版本管理��,優(yōu)先使用具有中國自主知識產權的軟��、硬件產品����;積極研發(fā)具有自主知識產權的信息系統(tǒng)和相關金融產品,并采取有效措施保護本機構信息化成果�����。
第二十三條 銀行業(yè)金融機構與信息系統(tǒng)相關的電子設備的選型、購置�、登記、保養(yǎng)�����、維修��、報廢等應嚴格執(zhí)行相關規(guī)程��,選用的設備應經過技術論證�����,測試性能應符合國家有關標準�����。信息系統(tǒng)所用的服務器等關鍵設備應具有較高的可靠性����、充足的容量和一定的容錯特性�,并配置適當的備品備件。
第二十四條 信息系統(tǒng)的網絡應參照相關的標準和規(guī)范設計、建設����;網絡設備應兼?zhèn)浼夹g先進性和產品成熟性;網絡設備和線路應有冗余備份���;嚴格線路租用合同管理�,按照業(yè)務和交易流量要求保證傳輸帶寬�;建立完善的網管中心,監(jiān)測和管理通信線路及網絡設備��,保障網絡安全穩(wěn)定運行��。
第二十五條 銀行業(yè)金融機構應加強網絡安全管理���。生產網絡與開發(fā)測試網絡�����、業(yè)務網絡與辦公網絡���、內部網絡與外部網絡應實施隔離;加強無線網�����、互聯(lián)網接入邊界控制;使用內容過濾��、身份認證�����、防火墻�、病毒防范、入侵檢測�����、漏洞掃描����、數據加密等技術手段�,有效降低外部攻擊、信息泄漏等風險���。
第二十六條 銀行業(yè)金融機構應加強信息系統(tǒng)加密機�、密鑰�����、密碼、加解密程序等安全要素的管理�����,使用符合國家安全標準的密碼設備����,完善安全要素生成、領取���、使用�、修改���、保管和銷毀等環(huán)節(jié)管理制度���。密鑰、密碼應定期更改��。
第二十七條 銀行業(yè)金融機構應加強數據采集��、存貯�����、傳輸、使用��、備份����、恢復、抽檢���、清理���、銷毀等環(huán)節(jié)的有效管理,不得脫離系統(tǒng)采集加工��、傳輸���、存取數據;優(yōu)化系統(tǒng)和數據庫安全設置��,嚴格按授權使用系統(tǒng)和數據庫���,采用適當的數據加密技術以保護敏感數據的傳輸和存取���,保證數據的完整性�、保密性��。
第二十八條 銀行業(yè)金融機構應對信息系統(tǒng)配置參數實施嚴格的安全與保密管理����,防止非法生成、變更����、泄漏、丟失與破壞�。根據敏感程度和用途,確定存取權限�����、方式和授權使用范圍����,嚴格審批和登記手續(xù)。
第二十九條 銀行業(yè)金融機構應制定信息系統(tǒng)應急預案�,并定期演練、評審和修訂�。省域以下數據中心至少實現數據備份異地保存����,省域數據中心至少實現異地數據實時備份�,全國性數據中心實現異地災備。
第三十條 銀行業(yè)金融機構應加強對技術文檔資料和重要數據的備份管理���;技術文檔資料和重要數據應保留副本并異地存放��,按規(guī)定年限保存�,調用時應嚴格授權����。信息系統(tǒng)的技術文檔資料包括:系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)����、運行、維護過程中形成的各類技術資料���。重要數據包括:交易數據��、賬務數據、客戶數據���,以及產生的報表數據等���。
第三十一條 銀行業(yè)金融機構在信息系統(tǒng)可能影響客戶服務時����,應以適當方式告知客戶���。
第四章 研發(fā)風險控制
第三十二條 研發(fā)風險是指信息系統(tǒng)在研發(fā)過程中組織�����、規(guī)劃�、需求�、分析、設計��、編程����、測試和投產等環(huán)節(jié)產生的風險。
第三十三條 銀行業(yè)金融機構信息系統(tǒng)研發(fā)前應成立項目工作小組���,重大項目還應成立項目領導小組�����,并指定負責人�。項目領導小組負責項目的組織、協(xié)調�����、檢查�、監(jiān)督工作。項目工作小組由業(yè)務人員�����、技術人員和管理人員組成�����,具體負責整個項目的開發(fā)工作�����。
第三十四條 項目工作小組人員應具備與項目要求相適應的業(yè)務經驗與專業(yè)技術知識��,小組負責人需具備組織領導能力,保證信息系統(tǒng)研發(fā)質量和進度���。
第三十五條 銀行業(yè)金融機構業(yè)務部門根據本機構業(yè)務發(fā)展戰(zhàn)略,在充分進行市場調查��、產品效益分析的基礎上制定信息系統(tǒng)研發(fā)項目可行性報告�����。
第三十六條 銀行業(yè)金融機構業(yè)務部門編寫項目需求說明書�,提出風險控制要求,信息科技部門根據項目需求編制項目功能說明書�。
第三十七條 銀行業(yè)金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書���,設計和編碼應符合項目功能說明書的要求���。
第三十八條 銀行業(yè)金融機構應建立獨立的測試環(huán)境,以保證測試的完整性和準確性���。測試至少應包括功能測試�����、安全性測試�����、壓力測試�、驗收測試、適應性測試��。測試不得直接使用生產數據�。
第三十九條 銀行業(yè)金融機構信息科技部門應根據測試結果修補系統(tǒng)的功能和缺陷,提高系統(tǒng)的整體質量��。
第四十條 銀行業(yè)金融機構業(yè)務人員�����、技術人員應根據職責范圍分別編寫操作說明書����、技術應急方案、業(yè)務連續(xù)性計劃�����、投產計劃��、應急回退計劃,并進行演練���。
第四十一條 開發(fā)過程中所涉及的各種文檔資料應經相關部門�、人員的簽字確認并歸檔保存�。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告��,驗收不合格不得投產使用�。
第五章 運行維護風險控制
第四十三條 運行維護風險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理�、機房管理和事件管理等環(huán)節(jié)產生的風險。
第四十四條 銀行業(yè)金融機構信息系統(tǒng)運行與維護應實行職責分離�,運行人員應實行專職,不得由其他人員兼任��。運行人員應按操作規(guī)程巡檢和操作�����。維護人員應按授權和維護規(guī)程要求對生產狀態(tài)的軟硬件�、數據進行維護,除應急外����,其他維護應在非工作時間進行�����。
第四十五條 銀行業(yè)金融機構信息系統(tǒng)的運行應符合以下要求:
?����。ㄒ唬┲贫ㄔ敿毜倪\行值班操作表�����,包括規(guī)定巡檢時間�,操作范圍����、內容、辦法���、命令以及負責人員等信息���;
(二)提供常見和簡便的操作菜單或命令�����,如信息系統(tǒng)的啟動或停止、運行日志的查詢等��;
?�。ㄈ┨峁C房環(huán)境�����、設備使用��、網絡運行���、系統(tǒng)運行等監(jiān)控信息;
?��。ㄋ模┯涗涍\行值班過程中所有現象���、操作過程等信息。
第四十六條 銀行業(yè)金融機構信息系統(tǒng)的維護應符合以下要求:
?��。ㄒ唬┏龑π畔⑾到y(tǒng)設備和系統(tǒng)環(huán)境的維護外���,對軟件或數據的維護必須通過特定的應用程序進行����,添加�����、刪除和修改數據應通過柜員終端����,不得對數據庫進行直接操作;
?��。ǘ┚邆涓鞣N詳細的日志信息��,包括交易日志和審計日志等�,以便維護和審計�;
(三)提供維護的統(tǒng)計和報表打印功能�。
第四十七條 銀行業(yè)金融機構信息系統(tǒng)的變更應符合以下要求:
(一)制訂嚴密的變更處理流程�,明確變更控制中各崗位的職責,并遵循流程實施控制和管理���;變更前應明確應急和回退方案����,無授權不得進行變更操作;
?�。ǘ└鶕兏枨?��、變更方案�����、變更內容核實清單等相關文檔審核變更的正確性�、安全性和合法性�;
?����。ㄈ捎密浖ぞ呔_判斷變更的真實位置和內容��,形成變更內容核實清單�����,實現真實�、有效���、全面的檢驗;
?。ㄋ模┸浖姹咀兏髴A舫跏及姹竞退袣v史版本,保留所有歷史的變更內容核實清單����。
第四十八條 銀行業(yè)金融機構在信息系統(tǒng)投產后一定時期內,應組織對系統(tǒng)的后評價��,并根據評價及時對系統(tǒng)功能進行調整和優(yōu)化�。
第四十九條 銀行業(yè)金融機構應對機房環(huán)境設施實行日常巡檢,明確信息系統(tǒng)及機房環(huán)境設施出現故障時的應急處理流程和預案��,有實時交易服務的數據中心應實行24小時值班�����。
第五十條 銀行業(yè)金融機構應實行事件報告制度��,發(fā)生信息系統(tǒng)造成重大經濟���、聲譽損失和重大影響事件���,應即時上報并處理�����,必要時啟動應急處理預案�����。
第六章 外包風險控制
第五十一條 外包風險是指銀行業(yè)金融機構將信息系統(tǒng)的規(guī)劃�、研發(fā)��、建設��、運行�、維護、監(jiān)控等委托給業(yè)務合作伙伴或外部技術供應商時形成的風險��。
第五十二條 銀行業(yè)金融機構在進行信息系統(tǒng)外包時�����,應根據風險控制和實際需要��,合理確定外包的原則和范圍�,認真分析和評估外包存在的潛在風險,建立健全有關規(guī)章制度��,制定相應的風險防范措施�。
第五十三條 銀行業(yè)金融機構應建立健全外包承包方評估機制,充分審查�、評估承包方的經營狀況、財務實力�����、誠信歷史�����、安全資質�����、技術服務能力和實際風險控制與責任承擔水平���,并進行必要的盡職調查���。評估工作可委托經國家相應監(jiān)管部門認定資質,具有相關專業(yè)經驗的獨立機構完成��。
第五十四條 銀行業(yè)金融機構應當與承包方簽訂書面合同,明確雙方的權利��、義務�����,并規(guī)定承包方在安全�、保密、知識產權方面的義務和責任�。
第五十五條 銀行業(yè)金融機構應充分認識外包服務對信息系統(tǒng)風險控制的直接和間接影響,并將其納入總體安全策略和風險控制之中����。
第五十六條 銀行業(yè)金融機構應建立完整的信息系統(tǒng)外包風險評估與監(jiān)測程序,審慎管理外包產生的風險�����,提高本機構對外包管理的能力��。
第五十七條 銀行業(yè)金融機構的信息系統(tǒng)外包風險管理應當符合風險管理標準和策略��,并應建立針對外包風險的應急計劃����。
第五十八條 銀行業(yè)金融機構應與外包承包方建立有效的聯(lián)絡、溝通和信息交流機制���,并制定在意外情況下能夠實現承包方的順利變更���,保證外包服務不間斷的應急預案。
第五十九條 銀行業(yè)金融機構將敏感的信息系統(tǒng)��,以及其他涉及國家秘密���、商業(yè)秘密和客戶隱私數據的管理與傳遞等內容進行外包時�,應遵守國家有關法律法規(guī)���,符合銀監(jiān)會的有關規(guī)定��,經過董事會或其他決策機構批準���,并在實施外包前報銀監(jiān)會及其派出機構和法律法規(guī)規(guī)定需要報告的機構備案。
第七章 審 計
第六十條 銀行業(yè)金融機構內設審計部門負責本機構信息系統(tǒng)審計�,也可聘請經國家相應監(jiān)管部門認定資質的中介機構進行信息系統(tǒng)外部審計。
第六十一條 信息系統(tǒng)風險審計應包括:總體風險審計�����、系統(tǒng)審閱和專項風險審計。
第六十二條 總體風險審計是指對本機構所有信息系統(tǒng)共有的公共部分進行審計�,實施總體風險控制。根據信息系統(tǒng)的總體風險狀況確定審計頻率���,但至少每3年審計一次�����。
第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)��、運行及退出的全過程進行審計��,分投產前與投產后的審閱����。
第六十四條 投產前的系統(tǒng)審閱是指審計人員采用非現場形式���,對信息項目開發(fā)過程中所提交的有關文檔資料進行審閱�,指出其中存在的風險��,了解是否具有相應的控制措施�����,并提出評價和建議的過程。信息系統(tǒng)投產前的系統(tǒng)審閱應關注信息系統(tǒng)的安全控制����、權限設置�����、正確性�、連貫性、完整性�����、可審計性和及時性等內容�����。
投產前的系統(tǒng)審閱重點:
?�。ㄒ唬┍煌饨绯晒テ频目赡苄?���;
(二)在內部安全控制方面的設計漏洞與缺陷���;
?��。ㄈ╉椖块_發(fā)管理方面的問題�;
?。ㄋ模┬逝c效能;
?��。ㄎ澹┕δ?��、設計和工作流程是否符合法律、法規(guī)和內部控制方面的規(guī)定并有連續(xù)兼容性��;
?�。┢渌柚攸c審閱的內容�����。
第六十五條 投產前的系統(tǒng)審閱文檔資料包括:
?����。ㄒ唬╉椖靠尚行詧蟾妫?/p>
?。ǘ╉椖啃枨笳f明書;
?����。ㄈ╉椖抗δ苷f明書(包括業(yè)務與技術方面存在的風險及控制辦法)�����;
?�。ㄋ模╉椖靠傮w技術框架���;
(五)項目設計說明書�����;
?�。╉椖繉嵤┯媱?;
(七)與第三方簽訂的外包協(xié)議���;
?����。ò耍y試計劃及驗收報告�����;
?����。ň牛┩懂a計劃��;
?���。ㄊ╉椖块_發(fā)例會的會議記錄;
?�。ㄊ唬┎僮魇謨?�;
?。ㄊ┢渌鑼忛喌奈臋n資料。
對于所含內容較多的文檔資料��,應對關鍵交易的數據處理流程、交易接口和其他重要的安全事項進行審閱�����。
第六十六條 投產后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產一段時間后進行的審計�����,旨在評估對信息系統(tǒng)各項風險的控制是否恰當�,能否實現預定的設計目標。投產后的系統(tǒng)審閱應在信息系統(tǒng)投入生產半年后進行�����,審計報告應對被審計的信息系統(tǒng)提出改進或增加風險控制��、能否繼續(xù)生產等內容的審計建議�。
第六十七條 信息系統(tǒng)專項風險審計是指對被審計單位發(fā)生信息安全事故進行的調查����、分析和評估,或原有信息系統(tǒng)進行重大結構調整的審計���,或審計部門認為需要對信息系統(tǒng)某項專題進行審計����。
第六十八條 銀行業(yè)金融機構信息系統(tǒng)風險審計也可以由銀監(jiān)會及其派出機構依據法律、法規(guī)和規(guī)章��,委托并授權有法定資質的中介評估機構進行�����。
第六十九條 中介機構根據銀監(jiān)會或其派出機構委托或授權對銀行業(yè)金融機構進行審計時���,應出示委托授權書���,并依照委托授權書上規(guī)定的委托和授權范圍進行審計。
第七十條 中介機構根據授權出具的審計報告經銀監(jiān)會及其派出機構審閱確定后具有法律效力�����,被審計金融機構應對該審計報告在法定時間內提出整改意見����,并按審計報告中提出的建議進行及時整改。
第七十一條 中介機構應嚴格執(zhí)行法律法規(guī)�,保守被審計單位的商業(yè)秘密和風險信息。審計過程中所有涉及資料的調閱應有交接手續(xù)����,并不得帶離現場或進行修改���、復制。
第八章 附 則
第七十二條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋�����、修訂��。
第七十三條 本指引自頒布之日起施行�����。
京公網安備 11010802044457號
新用戶掃碼下載
