【正文】 中心機(jī)房進(jìn)行改造，更換老舊的硬件設(shè)備，提高硬件設(shè)備防范風(fēng)險(xiǎn)的能力；三是提升運(yùn)行管理的水平，推進(jìn)運(yùn)行流程化和集中化管理，防范操作風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。二、完善信息科技治理，大力開展信息科技風(fēng)險(xiǎn)管理制度建設(shè)。信息科技專項(xiàng)審計(jì)，是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對認(rèn)為必要的特殊事第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。第八章 外第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。如在信息科技運(yùn)行手冊中說明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。日志可以在軟件的不同層次、（一）交易日志。第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。首席信息（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。信息科技專項(xiàng)審計(jì)，是指對信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對認(rèn)為必要的特殊事第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。第八章 外第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。如在信息科技運(yùn)行手冊中說明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。用戶調(diào)動(dòng)到新的第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）。（八）定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評(píng)價(jià)。（四）訪問控制。（四）評(píng)估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。（十四）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。第二條 本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。為提高農(nóng)村信用社的業(yè)務(wù)發(fā)展，增強(qiáng)業(yè)務(wù)處理能力，自治區(qū)農(nóng)村信用社使用了數(shù)據(jù)集中模式，數(shù)據(jù)集中到自治區(qū)聯(lián)社科技中心。第一篇：信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)交流額敏縣農(nóng)村信用合作聯(lián)社信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)交流塔城地區(qū)銀監(jiān)分局：根據(jù)塔城地區(qū)銀監(jiān)分局《關(guān)于召開2011年塔城地區(qū)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理聯(lián)席會(huì)議的通知》要求，現(xiàn)將和額敏縣農(nóng)村信用合作聯(lián)社信息科技風(fēng)險(xiǎn)管理情況匯報(bào)如下：一、信息科技風(fēng)險(xiǎn)管理基本情況為提高安全管理意識(shí)，充分認(rèn)識(shí)信息科技風(fēng)險(xiǎn)管理工作的重要性，建立了一把手負(fù)責(zé)制，明確信息科技風(fēng)險(xiǎn)管理的職責(zé)權(quán)限，逐級(jí)落實(shí)信息科技管理責(zé)任，嚴(yán)格事故追究責(zé)任制。（二）生產(chǎn)環(huán)境。額敏縣農(nóng)村信用合作聯(lián)社二〇一一年四月二十六日第二篇：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第一章 總 則第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理?xiàng)l例》，以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測和控制。（十三）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改。對相關(guān)人員應(yīng)采取下列風(fēng)險(xiǎn)防范措施：（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)資（二）（三）確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。（三）信息科技運(yùn)行和維護(hù)。建立適當(dāng)?shù)目刂瓶蚣?，以便于檢查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括：。（七）定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。交易日志應(yīng)按照國家會(huì)計(jì)準(zhǔn)則要求予以保（二）系統(tǒng)日志。第五章第三十二條 商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活第六章第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對長期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復(fù)要求第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說明。23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對本條（一）到（三）進(jìn)行第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日?；顒?dòng)，具有適當(dāng)?shù)牡诹臈l（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評(píng)估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控（二）（三）（四）執(zhí)行信息科技專項(xiàng)審計(jì)。（九）（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和（十一）確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場檢查的要求，防范跨境（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突（十三）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)（十四）第八條 商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報(bào)，并參與決策。第四章第二十條 商業(yè)銀行信息科技部門負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。（四）（五）采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、（六）確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶提（七）（八）第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。第三十一條 商業(yè)銀行應(yīng)對所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容第五章第三十二條 商業(yè)銀行應(yīng)有能力對信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購、開發(fā)、測試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活第六章第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對長期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)和維護(hù)分離，確保信息科技第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說明。23．與內(nèi)部各部門及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶和媒體等）的溝通安（四）當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對本條（一）到（三）進(jìn)行第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。內(nèi)部審計(jì)部門應(yīng)配備足夠的資源和具有專業(yè)能力的信息科技審計(jì)人員，獨(dú)立于本銀行的日?；顒?dòng)，具有適當(dāng)?shù)牡诹臈l（一）制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評(píng)估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控（二）（三）（四）執(zhí)行信息科技專項(xiàng)審計(jì)。為了提高信息科技風(fēng)險(xiǎn)管理能力，提升信息科技對業(yè)務(wù)戰(zhàn)略發(fā)展的可持續(xù)支持能力，科技規(guī)劃中明確了信息科技發(fā)展方向，強(qiáng)調(diào)了科技基礎(chǔ)建設(shè)，提高信息科技風(fēng)險(xiǎn)管理水平，有效防范信息科技風(fēng)險(xiǎn)。c)采取有效的信息科技風(fēng)險(xiǎn)管理的制度，防范和化解信息安全風(fēng)險(xiǎn)。為此，銀監(jiān)會(huì)在原《指引》的基礎(chǔ)上，廣泛征求業(yè)內(nèi)機(jī)構(gòu)意見，制定了本《管理指引》。第四條 本指引所稱信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。（五）設(shè)立一個(gè)由來自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。（二）信息系統(tǒng)開發(fā)、測試和維護(hù)。防范措施應(yīng)包括：（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新和公示。（二）建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。第四章 信息安全第二十條 商業(yè)銀行信息科技部門負(fù)責(zé)建立和實(shí)施信息分類和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。（五）物理與環(huán)境安全管理。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。（四）性能要求或標(biāo)準(zhǔn)。（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜度。當(dāng)設(shè)備達(dá)到預(yù)期使用壽命或性能不能滿足業(yè)務(wù)需求，基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應(yīng)用軟件必須升級(jí)時(shí)，應(yīng)及時(shí)進(jìn)行系統(tǒng)升級(jí)，并將該類升級(jí)活動(dòng)納入信息科技項(xiàng)目，接受相關(guān)的管理和控制，包括用戶驗(yàn)收測試。商業(yè)銀行應(yīng)建立服務(wù)臺(tái)，為用戶提供相關(guān)技術(shù)問題的在線支持，并將問題提交給相關(guān)信息科技部門進(jìn)行調(diào)查和解決。緊急變更成功后,應(yīng)通過正常的驗(yàn)收測試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。2．運(yùn)行恢復(fù)的優(yōu)先順序。第五十七條 商業(yè)銀行在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相關(guān)準(zhǔn)備，其中包括：（一）分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報(bào)告路線、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險(xiǎn)控制，是否滿足商業(yè)銀行履行對外包服務(wù)商的監(jiān)督義務(wù)。（四）擔(dān)保和損失賠償是否充足。（二）通過服務(wù)水平報(bào)告、定期自我評(píng)估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績效考核。第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。（三）檢查整改意見是否得到落實(shí)