【正文】 第六十二條 在委托審計過程中，我行應確保外部審計機構能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進行檢查 ，以發(fā)現(xiàn)信息科技存在的風險，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術保密信息除外。 (六 ) 確保在中止外包協(xié)議時收回或銷毀外包服務商保存的所有客戶資料。 (三 ) 通過界定信息所有權、簽署保密協(xié)議和采取技術防護措施保護客戶信息和其他信息。其中包括： (一 ) 規(guī)范的業(yè)務連續(xù)性計劃 ,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于 : 資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。 第三十八條 建立事故管理及處置機制，及時響應信息系統(tǒng)運行事故，逐級向相關的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。 第二十九條 應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規(guī)劃或不適當?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成本，并采取適當?shù)捻椖抗芾矸椒?，控制信息科技項目相關的風險。 (二 ) 系統(tǒng)日志。 (二 ) 明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人員、系統(tǒng)管理員和用戶管理員等不同 用戶組的訪問權限。 (十 ) 業(yè)務連續(xù)性管理。 (六 ) 定期評估新技術發(fā)展可能造成的影響和已使用軟件面臨的新威脅。 (六 ) 人員安全。 制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，并遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作； 根據(jù)變更需求、變更方案、變更內(nèi)容核實清單等相關文檔審核變更的正確性、安全性和合法性。 (六 ) 履行信息科技風險管理其他相關工作。加強信息科技專業(yè)隊伍的建設，建立人才激勵機制。 第二章 機構職責 第五條 根據(jù)我行信息科技治理的要求，法定代表人是本機構信息科技風險管理的第一責任人，負 責組織本管理辦法的貫徹落實 , 董事會應履行以下信息科技管理職責： （一） 遵守并貫徹執(zhí)行國家有關信息科技管理的法律、法規(guī)和技術標準，落實中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）相關監(jiān)管要求。 第六條 我行應設立分管信息科技的副行級領導，直接向行長匯報， 并參與決策。 (二 ) 制定詳細的運行值班操作表，包括規(guī)定巡檢時間，操作范圍、內(nèi)容、辦法、命令以及負責人員等信息 。 第十條 稽核審計部應在部門設立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。 審批和授權。 (三 ) 資產(chǎn)管理。 (二 ) 各種通訊渠道進入域的訪問點。 (六 ) 確保系統(tǒng)按預先定義的方式處理例外情況，當系統(tǒng)被迫終止時向用戶提供必要信息。 (四 ) 制定并落實有效的管理流程，尤其是密鑰和證書生命周期管理。 第三十二條 建立并完善有效的問題管理流程，以確保全面 地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和說明，并通知相關人員。緊急變更成功后 ,應通過正常的驗收測試和變更管理流程 ,采用恰當?shù)男拚匀〈o急變更。 第五十一條 在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進行重大變更前，應做好相關準備，其中包括： (一 ) 分析外包是否適合我行的組織結(jié) 構和報告路線、業(yè)務戰(zhàn)略、總體風險控制，是否滿足我行履行對外包服務商的監(jiān)督義務。 (二 ) 通過服務水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。 (三 ) 檢查整改意見是否得到落實。 第六十八條 本辦法自下發(fā)之日起實施。 第五十八條 我行內(nèi)部信息科技審計的責任包括： (一 ) 制定、實施和調(diào)整審計計劃，檢查和評估我行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。 外包服務商提供的服務 不充分，造成我行不能履行監(jiān)督義務。 第八章 外包與審計 第一節(jié) 外包 第四十九條 不得將我行信息科技管理責任外包，應合理謹慎監(jiān)督外包職能的履行。 第四十三條 制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。 (四 ) 將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配置變更應用到生產(chǎn)系統(tǒng)時，應得到信息科技部門和業(yè)務部門的聯(lián)合批準，并對變更進行 及時記錄和定期復查。 (二 ) 管理、使用密碼設備的員工經(jīng)過專業(yè)培訓和嚴格審查。 (四 ) 在關鍵的接合點進行輸入驗證或輸出核對。應該對下列安全因素進行評估，并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制，如對每個域和整個網(wǎng)絡進行物理或邏輯分 區(qū)、實現(xiàn)網(wǎng)絡內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡監(jiān)控、記錄活動日志等。信息安全策略應涉及以下領域： (一 ) 安全制度管理。 控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。對總行相關業(yè)務部門和分支機構信息系統(tǒng)風險狀況及維護、運行情況進行監(jiān)測，并進行 實時 報告。運行人員應按操作規(guī)程巡檢和操作。 （十三） 配合銀監(jiān)會及其派出機構做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。 第三條 本管理辦法所稱信息科技風險，是指信息科技在我 行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。 （八） 每年審閱并向銀監(jiān)會及其派出機構報送信息科技風險管理的年度報告。 (二 ) 審核信息科技員工的道德品行，確保其具備相應的職業(yè)操守。 (十 )