【正文】 評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。第五條 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。首席信息（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)（一）（二）（三）（四）（五）（六）（七）第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息科技中存在隱患的區(qū)域，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行（二）確定潛在風(fēng)險(xiǎn)區(qū)域，并對(duì)這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。用戶調(diào)動(dòng)到新的第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡(jiǎn)稱為域）。日志可以在軟件的不同層次、（一）交易日志。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)的管理職能相分離。如在信息科技運(yùn)行手冊(cè)中說(shuō)明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（即備份的頻率、范圍和保留第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。緊急變更成功后,應(yīng)通過正常的驗(yàn)收測(cè)試和變更管理流程,采用恰當(dāng)?shù)牡谄哒碌谖迨畻l 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無(wú)法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；第五十一條 商業(yè)銀行應(yīng)評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。第八章 外第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資（一）（二）（三）（四）（五）嚴(yán)格控制外包服務(wù)商再次對(duì)外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息（六）第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。信息科技專項(xiàng)審計(jì)，是指對(duì)信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。第二篇：《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》為進(jìn)一步加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)近日發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱《管理指引》），原《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)［2006］63號(hào)，以下簡(jiǎn)稱原《指引》）同時(shí)廢止。新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風(fēng)險(xiǎn)管理，信息安全，信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)，信息科技運(yùn)行，業(yè)務(wù)連續(xù)性管理，外包，內(nèi)部審計(jì)，外部審計(jì)和附則等十一個(gè)部分。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照?qǐng)?zhí)行。第二章 信息科技治理第六條 商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測(cè)和控制。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。（十四）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。（六）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。第十一條 商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)。第三章 信息科技風(fēng)險(xiǎn)管理第十四條 商業(yè)銀行應(yīng)制定符合銀行總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃，確保配臵足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境。（四）訪問控制。第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息科技中存在隱患的區(qū)域，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：。 。（四）建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問題的整改處理機(jī)制。（八）定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評(píng)價(jià)。該職能應(yīng)包括建立信息安全計(jì)劃和保持長(zhǎng)效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問題向其他部門提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評(píng)估報(bào)告。（三）資產(chǎn)管理。（七）訪問控制管理。（十一）合規(guī)性管理。第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測(cè)和恢復(fù)控制措施。（二）各種通訊渠道進(jìn)入域的訪問點(diǎn)。（六）不同域之間的連通性。（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。（二）針對(duì)信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗(yàn)證方法。（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶提供必要信息。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類：（一）交易日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。（四）制定并落實(shí)有效的管理流程，尤其是密鑰和證書生命周期管理。第五章 信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)第三十二條 商業(yè)銀行應(yīng)有能力對(duì)信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購(gòu)、開發(fā)、測(cè)試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。第三十四條 商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)的管理職能相分離。第三十七條 商業(yè)銀行應(yīng)建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對(duì)問題進(jìn)行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過程記錄在案；對(duì)完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說(shuō)明，并通知相關(guān)人員。第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對(duì)長(zhǎng)期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查。如在信息科技運(yùn)行手冊(cè)中說(shuō)明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（即備份的頻率、范圍和保留周期）。第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)行識(shí)別和修正。第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。第五十一條 商業(yè)銀行應(yīng)評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響，包括評(píng)估可能由下述原因?qū)е碌钠茐模邯ィㄒ唬﹥?nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。第五十三條 商業(yè)銀行應(yīng)建立維持其運(yùn)營(yíng)連續(xù)性策略的文檔，并制定對(duì)策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。（二）更新實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃的流程及相關(guān)聯(lián)系信息。第八章 外 包第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。（三）充分審查、評(píng)估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，對(duì)外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。（二）銀行業(yè)監(jiān)管機(jī)構(gòu)和內(nèi)部審計(jì)、外部審計(jì)能執(zhí)行足夠的監(jiān)督。（六）外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾。，造成商業(yè)銀行不能履行監(jiān)督義務(wù)。第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：（一）實(shí)現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。（五）嚴(yán)格控制外包服務(wù)商再次對(duì)外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。第六十二條 商業(yè)銀行所有信息科技外包合同應(yīng)由信息科技風(fēng)險(xiǎn)管理部門、法律部門和信息科技管理委員會(huì)審核通過。第六十四條 商業(yè)銀行內(nèi)部信息科技審計(jì)的責(zé)任包括：（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評(píng)估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性。信息科技專項(xiàng)審計(jì)，是指對(duì)信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事項(xiàng)進(jìn)行的審計(jì)。第十章 外部審計(jì)第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對(duì)商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進(jìn)行審計(jì)。第七十四條 銀監(jiān)會(huì)依法對(duì)商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理實(shí)施監(jiān)督檢查。s Republic of China on Commercial Banks，the Regulations of the People?s Republic of China on Administration of Foreignfunded Banks，and other applicable laws and regulations，the Guidelines on the Risk Management of Commercial Banks? Information Technology（hereinafter referred to as the Guidelines）is Guidelines apply to all the mercial banks legally incorporated within the territory of the People?s Republic of Guidelines may apply to other banking institutions including policy banks，rural cooperative banks，urban credit cooperatives，rural credit cooperatives，village banks，loan panies，financial asset management panies，trust and investment panies，finance firms，financial leasing panies，automobile financial panies and money term “information technology” stated in the Guidelines shall refer to the system built with puter，munication and software technologies，and employed by mercial banks to handle business transactions，operation management，and internal munication，collaborative work and term also include IT governance，IT organization structure and IT policies and risk of information technology refers to the operational risk，legal risk and reputation risk that are caused by natural factor，human factor，technological loopholes or management defi