【正文】 清理、銷毀等環(huán)節(jié)的有效管理，不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù)；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫，采用適當?shù)臄?shù)據(jù)加密技術(shù)以保護敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性、保密性。第三十一條第三十一條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)可能影響客戶服務(wù)時，應(yīng)以適當方式告知客戶。第三十七條第三十七條 銀行業(yè)金融機構(gòu)信息科技部門依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書，設(shè)計和編碼應(yīng)符合項目功能說明書的要求。第五章 運行維護風險控制第四十三條第四十三條 運行維護風險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險。第四十九條第四十九條 銀行業(yè)金融機構(gòu)應(yīng)對機房環(huán)境設(shè)施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預案，有實時交易服務(wù)的數(shù)據(jù)中心應(yīng)實行24小時值班。第五十六條第五十六條 銀行業(yè)金融機構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風險評估與監(jiān)測程序，審慎管理外包產(chǎn)生的風險，提高本機構(gòu)對外包管理的能力。第六十三條第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)、運行及退出的全過程進行審計，分投產(chǎn)前與投產(chǎn)后的審閱。第六十七條第六十七條 信息系統(tǒng)專項風險審計是指對被審計單位發(fā)生信息安全事故進行的調(diào)查、分析和評估，或原有信息系統(tǒng)進行重大結(jié)構(gòu)調(diào)整的審計，或?qū)徲嫴块T認為需要對信息系統(tǒng)某項專題進行審計。本內(nèi)容來源于政府官方網(wǎng)站，如需引用，請以正式文件為準。第四條 銀行業(yè)金融機構(gòu)全面風險管理應(yīng)當遵循以下基本原則：（一）匹配性原則。第五條 銀行業(yè)金融機構(gòu)全面風險管理體系應(yīng)當包括但不限于以下要素：（一）風險治理架構(gòu)；（二）風險管理策略、風險偏好和風險限額；（三）風險管理政策和程序；（四）管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機制；（五）內(nèi)部控制和審計體系。第十二條 銀行業(yè)金融機構(gòu)應(yīng)當建立風險管理委員會與董事會下設(shè)的戰(zhàn)略委員會、審計委員會、提名委員會等其他專門委員會的溝通機制，確保信息充分共享并能夠支持風險管理相關(guān)決策。銀行業(yè)金融機構(gòu)應(yīng)當向銀行業(yè)監(jiān)督管理機構(gòu)報告調(diào)整風險總監(jiān)（首席風險官）的原因。第二十一條 銀行業(yè)金融機構(gòu)應(yīng)當制定書面的風險偏好，做到定性指標和定量指標并重。第二十四條 銀行業(yè)金融機構(gòu)應(yīng)當建立風險偏好的調(diào)整制度。第二十七條 銀行業(yè)金融機構(gòu)應(yīng)當在集團和法人層面對各附屬機構(gòu)、分支機構(gòu)、業(yè)務(wù)條線，對表內(nèi)和表外、境內(nèi)和境外、本幣和外幣業(yè)務(wù)涉及的各類風險，進行識別、計量、評估、監(jiān)測、報告、控制或緩釋。董事會和高級管理層應(yīng)當理解模型結(jié)果的局限性、不確定性和模型使用的固有風險。銀行業(yè)金融機構(gòu)開展上述活動時，應(yīng)當經(jīng)風險管理部門審查同意，并經(jīng)董事會或董事會指定的專門委員會批準。銀行業(yè)金融機構(gòu)應(yīng)當要求并確保各附屬機構(gòu)在整體風險偏好和風險管理政策框架下，建立自身的風險管理組織架構(gòu)、政策流程，促進全面風險管理的一致性和有效性。第四十四條 銀行業(yè)金融機構(gòu)應(yīng)當建立健全數(shù)據(jù)質(zhì)量控制機制，積累真實、準確、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù)，用于風險識別、計量、評估、監(jiān)測、報告，以及資本和流動性充足情況的評估。第四十八條 銀行業(yè)監(jiān)督管理機構(gòu)應(yīng)當將銀行業(yè)金融機構(gòu)全面風險管理納入法人監(jiān)管體系中，并根據(jù)本指引全面評估銀行業(yè)金融機構(gòu)風險管理體系的健全性和有效性，提出監(jiān)管意見，督促銀行業(yè)金融機構(gòu)持續(xù)加以完善。第五篇：銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引中國銀行業(yè)監(jiān)督管理委員會銀監(jiān)發(fā)[2013]5號中國銀監(jiān)會關(guān)于印發(fā)銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引的通知各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司，郵儲銀行，各省級農(nóng)村信用聯(lián)社，銀監(jiān)會直接監(jiān)管的信托公司、企業(yè)集團財務(wù)公司、金融租賃公司：現(xiàn)將《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》印發(fā)給你們，請遵照執(zhí)行。第六條本指引所稱機構(gòu)集中度風險是指銀行業(yè)金融機構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風險，該風險可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。第十四條信息科技外包風險主管部門的主要職責包括：（一）對外包風險進行識別、評估與風險提示；（二）監(jiān)督、評價外包管理工作，并督促外包風險管理的持續(xù)改善；（三）向高級管理層定期匯報信息科技外包活動相關(guān)風險管理情況；（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。第十二條對于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機構(gòu)應(yīng)當充分評估其信息科技風險，按照本指引第五章要求進行管理。第四條本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機構(gòu)的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)提供信息科技外包。第五十四條 本指引自2016年11月1日起施行。內(nèi)部審計部門應(yīng)當跟蹤檢查整改措施的實施情況，并及時向董事會提交有關(guān)報告。第四十二條 銀行業(yè)金融機構(gòu)相關(guān)風險管理信息系統(tǒng)應(yīng)當具備以下主要功能，支持風險報告和管理決策的需要：（一）支持識別、計量、評估、監(jiān)測和報告所有類別的重要風險；（二）支持風險限額管理，對超出風險限額的情況進行實時監(jiān)測、預警和控制；（三）能夠計量、評估和報告所有風險類別、產(chǎn)品和交易對手的風險狀況，滿足全面風險管理需要；（四）支持按照業(yè)務(wù)條線、機構(gòu)、資產(chǎn)類型、行業(yè)、地區(qū)、集中度等多個維度展示和報告風險暴露情況；（五）支持不同頻率的定期報告和壓力情況下的數(shù)據(jù)加工和風險加總需求；（六）支持壓力測試工作，評估各種不利情景對銀行業(yè)金融機構(gòu)及主要業(yè)務(wù)條線的影響。第三十六條 銀行業(yè)金融機構(gòu)應(yīng)當按照相關(guān)監(jiān)管要求，根據(jù)風險狀況和系統(tǒng)重要性，制定并定期更新完善本機構(gòu)的恢復計劃，明確本機構(gòu)在壓力情況下能夠繼續(xù)提供持續(xù)穩(wěn)定運營的各項關(guān)鍵性金融服務(wù)并恢復正常運營的行動方案。壓力測試結(jié)果應(yīng)當運用于銀行業(yè)金融機構(gòu)的風險管理和各項經(jīng)營管理決策中。第二十九條 銀行業(yè)金融機構(gòu)應(yīng)當建立風險加總的政策、程序，選取合理可行的加總方法，充分考慮集中度風險及風險之間的相互影響和相互傳染，確保在不同層次上和總體上及時識別風險。風險限額臨近監(jiān)管指標限額時，銀行業(yè)金融機構(gòu)應(yīng)當啟動相應(yīng)的糾正措施和報告程序，采取必要的風險分散措施，并向銀行業(yè)監(jiān)督管理機構(gòu)報告。第二十三條 銀行業(yè)金融機構(gòu)應(yīng)當建立監(jiān)測分析各業(yè)務(wù)條線、分支機構(gòu)、附屬機構(gòu)執(zhí)行風險偏好的機制。第三章 風險管理策略、風險偏好和風險限額第二十條 銀行業(yè)金融機構(gòu)應(yīng)當制定清晰的風險管理策略，至少每年評估一次其有效性。風險總監(jiān)（首席風險官）或其他牽頭負責全面風險管理的高級管理人員應(yīng)當保持充分的獨立性，獨立于操作和經(jīng)營條線，可以直接向董事會報告全面風險管理情況。第十一條 銀行業(yè)金融機構(gòu)董事會承擔全面風險管理的最終責任，履行以下職責：（一）建立風險文化；（二）制定風險管理策略；（三）設(shè)定風險偏好和確保風險限額的設(shè)立；（四）審批重大風險管理政策和程序；（五）監(jiān)督高級管理層開展全面風險管理；（六）審議全面風險管理報告；（七）審批全面風險和各類重要風險的信息披露；（八）聘任風險總監(jiān)（首席風險官）或其他高級管理人員，牽頭負責全面風險管理；（九）其他與風險管理有關(guān)的職責。（四）有效性原則。各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰(zhàn)略風險、信息科技風險以及其他風險。第八章 附 則第七十二條第七十二條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋、修訂。第六十六條第六十六條 投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時間后進行的審計，旨在評估對信息系統(tǒng)各項風險的控制是否恰當，能否實現(xiàn)預定的設(shè)計目標。第六十二條第六十二條 總體風險審計是指對本機構(gòu)所有信息系統(tǒng)共有的公共部分進行審計，實施總體風險控制。第五十四條第五十四條 銀行業(yè)金融機構(gòu)應(yīng)當與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責任。第四十七條第四十七條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求：（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，并遵循流程實施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無授權(quán)不得進行變更操作；（二）根據(jù)變更需求、變更方案、變更內(nèi)容核實清單等相關(guān)文檔審核變更的正確性、安全性和合法性；（三）應(yīng)采用軟件工具精確判斷變更的真實位置和內(nèi)容，形成變更內(nèi)容核實清單，實現(xiàn)真實、有效、全面的檢驗；（四）軟件版本變更后應(yīng)保留初始版本和所有歷史版本，保留所有歷史的變更內(nèi)容核實清單。第四十一條第四十一條 開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認并歸檔保存。第三十五條第三十五條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門根據(jù)本機構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略，在充分進行市場調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項目可行性報告。信息系統(tǒng)的技術(shù)文檔資料包括：系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運行、維護過程中形成的各類技術(shù)資料。第二十六條第二十六條 銀行業(yè)金融機構(gòu)應(yīng)加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。全國性數(shù)據(jù)中心至少應(yīng)達到國家A類機房標準，省域數(shù)據(jù)中心至少應(yīng)達到國家B類機房標準，省域以下數(shù)據(jù)中心至少應(yīng)達到C類機房標準。第三章 總體風險控制第十四條第十四條 總體風險是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風險。第二章 機構(gòu)職責第六條第六條 銀行業(yè)金融機構(gòu)應(yīng)建立有效的信息系統(tǒng)風險管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機制，防范和控制信息系統(tǒng)風險。第二十八條 本指引自發(fā)布之日起實施。第二十一條 銀行業(yè)金融機構(gòu)應(yīng)當定期對外包活動進行全面審計與評價。對于具有專業(yè)技術(shù)性的外包活動，可簽訂服務(wù)標準協(xié)議。第二章組織結(jié)構(gòu)第八條 銀行業(yè)金融機構(gòu)外包管理的組織架構(gòu)應(yīng)當包括董事會、高級管理層及外包管理團隊。第二篇：銀行業(yè)金融機構(gòu)外包風險管理指引銀行業(yè)金融機構(gòu)外包風險管理指引第一章 總則第一條 為了規(guī)范銀行業(yè)金融機構(gòu)的外包活動，保障銀行業(yè)金融機構(gòu)業(yè)務(wù)持續(xù)經(jīng)營，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關(guān)法律法規(guī)，制定本指引。考慮到各類機構(gòu)特點的差異性，《指引》明確提出全面風險管理體系應(yīng)當與風險狀況和系統(tǒng)重要性等相匹配，并根據(jù)環(huán)境變化進行調(diào)整。銀行業(yè)金融機構(gòu)監(jiān)事會承擔全面風險管理的監(jiān)督責任，負責監(jiān)督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。四是有效性原則。五是充分考慮各類機構(gòu)的差異化情況。2008年國際金融危機后，國際組織和各國監(jiān)管機構(gòu)都在積極完善金融機構(gòu)全面風險管理相關(guān)制度。一、《指引》制定的背景是什么？答：《指引》制定的背景主要有三方面：一是我國銀行業(yè)風險管理缺乏統(tǒng)領(lǐng)性規(guī)制。第五十條（監(jiān)管溝通）銀行業(yè)監(jiān)督管理機構(gòu)應(yīng)當就全面風險管理情況與銀行業(yè)金融機構(gòu)董事會、監(jiān)事會、高級管理層等進行充分溝通，并視情況在銀行董事會、監(jiān)事會會議上通報。第四十六條（內(nèi)審要求）銀行業(yè)金融機構(gòu)應(yīng)當將全面風險管理納入內(nèi)部審計范疇，定期審查和評價全面風險管理的充分性和有效性。第三十九條（風險管理應(yīng)用）銀行業(yè)金融機構(gòu)應(yīng)當將風險偏好、風險管理策略、風險限額、風險管理政策和程序等要素與資本管理、業(yè)務(wù)管理相結(jié)合，在戰(zhàn)略和經(jīng)營計劃制定、新產(chǎn)品審批、內(nèi)部定價、績效考評和薪酬政策等日常經(jīng)營管理中充分應(yīng)用并得到有效實施。應(yīng)急計劃應(yīng)當說明可能出現(xiàn)的風險以及在壓力情況（包括會嚴重威脅銀行生存能力的壓力情景）下應(yīng)當采取的措施。第三十二條（壓力測試安排）銀行業(yè)金融機構(gòu)應(yīng)當建立壓力測試體系，明確壓力測試的治理結(jié)構(gòu)、政策文檔、方法流程、情景設(shè)計、保障支持、驗證評估以及壓力測試結(jié)果運用。銀行業(yè)金融機構(gòu)應(yīng)當有效評估和管理各類風險。第二十五條（風險限額管理）銀行業(yè)金融機構(gòu)應(yīng)當制定風險限額管理的政策和程序，建立風險限額設(shè)定、限額調(diào)整、超限額報告和處理制度。銀行業(yè)金融機構(gòu)應(yīng)當每年對風險偏好至少進行一次評估。（四）組織開展風險評估，及時發(fā)現(xiàn)風險隱患和管理漏洞，持續(xù)提高風險管理的有效性。第十四條（高級管理層職責）銀行業(yè)金融機構(gòu)高級管理層承擔全面風險管理的實施責任，執(zhí)行董事會的決議，應(yīng)當履行以下職責：（一）建立適應(yīng)全面風險管理的經(jīng)營管理架構(gòu)，明確全面風險管理職能部門、業(yè)務(wù)部門以及其他部門在風險管理中的職責分工，建立部門之間有效制衡、相互協(xié)調(diào)的運行機制；（二）制定清晰的執(zhí)行和問責機制，確保風險偏好、風險管理策略和風險限額得到充分傳達和有效實施；（三）對董事會設(shè)定的風險限額進行細化并執(zhí)行，包括但不限于行業(yè)、區(qū)域、客戶、產(chǎn)品等維度；（四）制定風險管理政策和程序，定期評估，必要時調(diào)整；（五）評估全面風險和各類重要風險管理狀況并向董事會報告；（六）建立完備的管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機制；（七）對突破風險偏好、風險限額以及違反風險管理政策和程序的情況進行監(jiān)督，根據(jù)董事會的授權(quán)進行處理；（八）風險管理的其他職責。第八條（監(jiān)督管理）銀行業(yè)監(jiān)督管理機構(gòu)依法對銀行業(yè)金融機構(gòu)全面風險管理實施監(jiān)管。全面風險管理應(yīng)當覆蓋各項業(yè)務(wù)條線，本外幣、表內(nèi)外、境內(nèi)外業(yè)務(wù)；覆蓋所有分支機構(gòu)、附屬機構(gòu)，部門、崗位和人員；覆蓋所有風險種類和不同風險之間的相互影響；貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。第二條（適用范圍）本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的銀行業(yè)金融機構(gòu)。公眾可以通過以下途徑反饋意見：一、通過電子郵件。各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰(zhàn)略風險、信息科技風險以及其他風險。（四）有效性原則。第十一條（董事會職責）銀行業(yè)金融機構(gòu)董事會承擔全面風險管理的最終責任，履行以下職責：（一）建立風險文化；（二）制定風險管理策略；（三）設(shè)定的風險偏好和風險限額；（四）審批風險管理政策和程序；（五）監(jiān)督高級管理層開展全面風險管理；（六）審議全面風險管理報告；（七）審批全面風險和各類重要風險的信息披露；（八）聘任風險總監(jiān)（首席風險官