【文章內容簡介】 件；（三）配合銀行業(yè)金融機構接受銀行業(yè)監(jiān)督管理機構的檢查；（四）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（五）不得以銀行業(yè)金融機構的名義開展活動；（六）銀行業(yè)金融機構認為應當承諾的其他事項。第十七條 銀行業(yè)金融機構應當關注外包服務提供商分包的風險，并在合同中明確以下事項：（一）服務提供商分包的規(guī)則；（二）分包服務提供商應當嚴格遵守主服務提供商與銀行業(yè)金融機構確定的外包合同或協(xié)議中的相關條款；（三）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；（四）不得將外包活動的主要業(yè)務分包。第十八條 銀行業(yè)金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。第十九條 銀行業(yè)金融機構在開展跨境外包活動時，應當遵守以下原則：（一）審慎評估法律和管制風險；（二）確?？蛻粜畔⒌陌踩唬ㄈ┻x擇境外服務提供商時，應當明確其所在國家或地區(qū)監(jiān)管當局已與我國銀行業(yè)監(jiān)督管理機構簽訂諒解備忘錄或雙方認可的其他約定。第二十條 銀行業(yè)金融機構應當事先制定和建立外包突發(fā)事件應急預案和機制。通過采取替代方案、尋求合同項下的保險安排等措施，確保業(yè)務活動的正常經(jīng)營。第二十一條 銀行業(yè)金融機構應當定期對外包活動進行全面審計與評價。第四章監(jiān)督管理第二十二條 銀行業(yè)金融機構在開展外包活動時，應當定期向所在地銀行業(yè)監(jiān)督管理機構遞交本機構外包活動的評估報告。第二十三條 銀行業(yè)金融機構在開展外包活動時如遇到對本機構的業(yè)務經(jīng)營、客戶信息安全、聲譽等產(chǎn)生重大影響事件，應當及時向所在地銀行業(yè)監(jiān)督管理機構報告。第二十四條 銀行業(yè)監(jiān)督管理機構及其派出機構根據(jù)需要對外包活動進行現(xiàn)場檢查，采集外包活動過程中數(shù)據(jù)信息和相關資料，并將檢查結果納入對該機構的監(jiān)管評級。第二十五條 對外包活動存在以下情形的，銀行業(yè)監(jiān)督管理機構可以要求銀行業(yè)金融機構糾正或采取替代方案，并視情況予以問責。（一）違反相關法律、行政法規(guī)及規(guī)章；（二）違反本機構風險管理政策、內控制度及操作流程等；（三）存在重大風險隱患；（四）其他認定的情形。第五章附則第二十六條 經(jīng)銀行業(yè)監(jiān)督管理機構批準的其他金融機構開展外包活動時遵照本指引執(zhí)行。第二十七條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋。第二十八條 本指引自發(fā)布之日起實施。第三篇：銀行業(yè)金融機構信息系統(tǒng)風險管理指引【發(fā)布單位】中國銀行業(yè)監(jiān)督管理委員會 【發(fā)布文號】【發(fā)布日期】20061101 【生效日期】20061101 【失效日期】 【所屬類別】政策參考【文件來源】中國銀行業(yè)監(jiān)督管理委員會銀行業(yè)金融機構信息系統(tǒng)風險管理指引第一章 總 則第一條第一條 為有效防范銀行業(yè)金融機構運用信息系統(tǒng)進行業(yè)務處理、經(jīng)營管理和內部控制過程中產(chǎn)生的風險，促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行，根據(jù)《 中華人民共和國銀行業(yè)監(jiān)督管理法》、國家信息安全相關要求和信息系統(tǒng)管理的有關法律法規(guī)，制定本指引。第二條第二條 本指引適用于銀行業(yè)金融機構。本指引所稱銀行業(yè)金融機構，是指在中華人民共和國境內設立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構以及政策性銀行。在中華人民共和國境內設立的金融資產(chǎn)管理公司、信托投資公司、財務公司、金融租賃公司、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）及其派出機構批準設立的其他金融機構，適用本指引規(guī)定。第三條第三條 本指引所稱信息系統(tǒng)，是指銀行業(yè)金融機構運用現(xiàn)代信息、通信技術集成的處理業(yè)務、經(jīng)營管理和內部控制的系統(tǒng)。第四條第四條 本指引所稱信息系統(tǒng)風險，是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控及退出過程中由于技術和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。第五條第五條 信息系統(tǒng)風險管理的目標是通過建立有效的機制，實現(xiàn)對信息系統(tǒng)風險的識別、計量、評價、預警和控制，推動銀行業(yè)金融機構業(yè)務創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力。第二章 機構職責第六條第六條 銀行業(yè)金融機構應建立有效的信息系統(tǒng)風險管理架構，完善內部組織結構和工作機制，防范和控制信息系統(tǒng)風險。第七條第七條 銀行業(yè)金融機構應認真履行下列信息系統(tǒng)管理職責：（一）貫徹執(zhí)行國家有關信息系統(tǒng)管理的法律、法規(guī)和技術標準，落實銀監(jiān)會相關監(jiān)管要求；（二）建立有效的信息安全保障體系和內部控制規(guī)程，明確信息系統(tǒng)風險管理崗位責任制度，并監(jiān)督落實；（三）負責組織對本機構信息系統(tǒng)風險進行檢查、評估、分析，及時向本機構專門委員會和銀監(jiān)會及其派出機構報送相關的管理信息；（四）及時向銀監(jiān)會及其派出機構報告本機構發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關預案快速響應；（五）每年經(jīng)董事會或其他決策機構審查后向銀監(jiān)會及其派出機構報送信息系統(tǒng)風險管理的報告；（六）做好本機構信息系統(tǒng)審計工作；（七）配合銀監(jiān)會及其派出機構做好信息系統(tǒng)風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改；（八）組織本機構信息系統(tǒng)從業(yè)人員進行信息系統(tǒng)有關的業(yè)務、技術和安全培訓；（九）開展與信息系統(tǒng)風險管理相關的其他工作。第八條第八條 銀行業(yè)金融機構的董事會或其他決策機構負責信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風險監(jiān)督管理；信息科技管理委員會、風險管理委員會或其他負責風險監(jiān)督的專業(yè)委員會應制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項目建設，定期評估、報告本機構信息系統(tǒng)風險狀況，為決策層提供建議，采取相應的風險控制措施。第九條第九條 銀行業(yè)金融機構法定代表人或主要負責人是本機構信息系統(tǒng)風險管理責任人。第十條第十條 銀行業(yè)金融機構應設立信息科技部門，統(tǒng)一負責本機構信息系統(tǒng)的規(guī)劃、研發(fā)、建設、運行、維護和監(jiān)控，提供日常科技服務和運行技術支持；建立或明確專門信息系統(tǒng)風險管理部門，建立、健全信息系統(tǒng)風險管理規(guī)章、制度，并協(xié)助業(yè)務部門及信息科技部門嚴格執(zhí)行，提供相關的監(jiān)管信息；設立審計部門或專門審計崗位，建立健全信息系統(tǒng)風險審計制度，配備適量的合格人員進行信息系統(tǒng)風險審計。第十一條第十一條 銀行業(yè)金融機構從事與信息系統(tǒng)相關工作的人員應符合以下要求：（一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關崗位職責所需的專業(yè)知識和技能；（二）未經(jīng)崗前培訓或培訓不合格者不得上崗；經(jīng)考核不適宜的工作人員，應及時進行調整。第十二條第十二條 銀行業(yè)金融機構應加強信息系統(tǒng)風險管理的專業(yè)隊伍建設，建立人才激勵機制，適應信息技術的發(fā)展。第十三條第十三條 銀行業(yè)金融機構應依據(jù)有關法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風險狀況。第三章 總體風險控制第十四條第十四條 總體風險是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡、數(shù)據(jù)、文檔等方面影響全局或共有的風險。第十五條第十五條 銀行業(yè)金融機構應根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風險管理策略，按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估，并實施有效控制。第十六條第十六條 銀行業(yè)金融機構應采取措施防范自然災害、運行環(huán)境變化等產(chǎn)生的安全威脅，防止各類突發(fā)事故和惡意攻擊。第十七條第十七條 銀行業(yè)金融機構應建立健全信息系統(tǒng)相關的規(guī)章制度、技術規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關人員的職責權限，建立制約機制，實行最小授權。第十八條第十八條 在境外設立的我國銀行業(yè)金融機構或在境內設立的境外銀行業(yè)金融機構，應防范由于境內外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風險。第十九條第十九條 銀行業(yè)金融機構應嚴格執(zhí)行國家信息安全相關標準，參照有關國際準則，積極推進信息安全標準化，實行信息安全等級保護。第二十條第二十條 銀行業(yè)金融機構應加強對信息系統(tǒng)的評估和測試，及時進行修補和更新，以保證信息系統(tǒng)的安全性、完整性。第二十一條第二十一條 銀行業(yè)金融機構信息系統(tǒng)數(shù)據(jù)中心機房應符合國家有關計算機場地、環(huán)境、供配電等技術標準。全國性數(shù)據(jù)中心至少應達到國家A類機房標準，省域數(shù)據(jù)中心至少應達到國家B類機房標準，省域以下數(shù)據(jù)中心至少應達到C類機房標準。數(shù)據(jù)中心機房應實行嚴格的門禁管理措施，未經(jīng)授權不得進入。第二十二條第二十二條 銀行業(yè)金融機構應重視知識產(chǎn)權保護，使用正版軟件，加強軟件版本管理，優(yōu)先使用具有中國自主知識產(chǎn)權的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權的信息系統(tǒng)和相關金融產(chǎn)品，并采取有效措施保護本機構信息化成果。第二十三條第二十三條 銀行業(yè)金融機構與信息系統(tǒng)相關的電子設備的選型、購置、登記、保養(yǎng)、維修、報廢等應嚴格執(zhí)行相關規(guī)程，選用的設備應經(jīng)過技術論證，測試性能應符合國家有關標準。信息系統(tǒng)所用的服務器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當?shù)膫淦穫浼５诙臈l第二十四條 信息系統(tǒng)的網(wǎng)絡應參照相關的標準和規(guī)范設計、建設；網(wǎng)絡設備應兼?zhèn)浼夹g先進性和產(chǎn)品成熟性；網(wǎng)絡設備和線路應有冗余備份；嚴格線路租用合同管理，按照業(yè)務和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測和管理通信線路及網(wǎng)絡設備，保障網(wǎng)絡安全穩(wěn)定運行。第二十五條第二十五條 銀行業(yè)金融機構應加強網(wǎng)絡安全管理。生產(chǎn)網(wǎng)絡與開發(fā)測試網(wǎng)絡、業(yè)務網(wǎng)絡與辦公網(wǎng)絡、內部網(wǎng)絡與外部網(wǎng)絡應實施隔離；加強無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術手段，有效降低外部攻擊、信息泄漏等風險。第二十六條第二十六條 銀行業(yè)金融機構應加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。密鑰、密碼應定期更改。第二十七條第二十七條 銀行業(yè)金融機構應加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環(huán)節(jié)的有效管理，不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù)；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設置，嚴格按授權使用系統(tǒng)和數(shù)據(jù)庫，采用適當?shù)臄?shù)據(jù)加密技術以保護敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性、保密性。第二十八條第二十八條 銀行業(yè)金融機構應對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權限、方式和授權使用范圍，嚴格審批和登記手續(xù)。第二十九條第二十九條 銀行業(yè)金融機構應制定信息系統(tǒng)應急預案，并定期演練、評審和修訂。省域以下數(shù)據(jù)中心至少實現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實現(xiàn)異地數(shù)據(jù)實時備份，全國性數(shù)據(jù)中心實現(xiàn)異地災備。第三十條第三十條 銀行業(yè)金融機構應加強對技術文檔資料和重要數(shù)據(jù)的備份管理；技術文檔資料和重要數(shù)據(jù)應保留副本并異地存放，按規(guī)定年限保存，調用時應嚴格授權。信息系統(tǒng)的技術文檔資料包括：系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運行、維護過程中形成的各類技術資料。重要數(shù)據(jù)包括：交易數(shù)據(jù)、賬務數(shù)據(jù)、客戶數(shù)據(jù)，以及產(chǎn)生的報表數(shù)據(jù)等。第三十一條第三十一條 銀行業(yè)金融機構在信息系統(tǒng)可能影響客戶服務時，應以適當方式告知客戶。第四章 研發(fā)風險控制第三十二條第三十二條 研發(fā)風險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險。第三十三條第三十三條 銀行業(yè)金融機構信息系統(tǒng)研發(fā)前應成立項目工作小組，重大項目還應成立項目領導小組，并指定負責人。項目領導小組負責項目的組織、協(xié)調、檢查、監(jiān)督工作。項目工作小組由業(yè)務人員、技術人員和管理人員組成，具體負責整個項目的開發(fā)工作。第三十四條第三十四條 項目工作小組人員應具備與項目要求相適應的業(yè)務經(jīng)驗與專業(yè)技術知識，小組負責人需具備組織領導能力,保證信息系統(tǒng)研發(fā)質量和進度。第三十五條第三十五條 銀行業(yè)金融機構業(yè)務部門根據(jù)本機構業(yè)務發(fā)展戰(zhàn)略，在充分進行市場調查、產(chǎn)品效益分析的基礎上制定信息系統(tǒng)研發(fā)項目可行性報告。第三十六條第三十六條 銀行業(yè)金融機構業(yè)務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據(jù)項目需求編制項目功能說明書。第三十七條第三十七條 銀行業(yè)金融機構信息科技部門依據(jù)項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。第三十八條第三十八條 銀行業(yè)金融機構應建立獨立的測試環(huán)境，以保證測試的完整性和準確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產(chǎn)數(shù)據(jù)。第三十九條第三十九條 銀行業(yè)金融機構信息科技部門應根據(jù)測試結果修補系統(tǒng)的功能和缺陷，提高系統(tǒng)的整體質量。第四十條第四十條 銀行業(yè)金融機構業(yè)務人員、技術人員應根據(jù)職責范圍分別編寫操作說明書、技術應急方案、業(yè)務連續(xù)性計劃、投產(chǎn)計劃、應急回退計劃，并進行演練。第四十一條第四十一條 開發(fā)過程中所涉及的各種文檔資料應經(jīng)相關部門、人員的簽字確認并歸檔保存。第四十二條第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產(chǎn)使用。第五章 運行維護風險控制第四十三條第四十三條 運行維護風險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風險。第四十四條第四十四條 銀行業(yè)金融機構信息系統(tǒng)運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規(guī)程巡檢和操作。維護人員應按授權和維護規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護，除應急外，其他維護應在非工作時間進行。第四十五條第四十五條 銀行業(yè)金融機構信息系統(tǒng)的運行應符合以下要求：（一）制定詳細的運行值班操作表，包括規(guī)定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；（二）提供常見和簡便的操作菜單或命令，如信息系統(tǒng)的啟動或停止、運行日志的查詢等；（三）提供機房環(huán)境、設備使用、網(wǎng)絡運行、系統(tǒng)運行等監(jiān)控信息；（四）記錄運行值班過程中所有現(xiàn)象、操作過程等信息。第四十六條第四十六條 銀行業(yè)金融機構信息系統(tǒng)的維護應符合以下要求：（一）除對信息系統(tǒng)設備和系統(tǒng)環(huán)境的維護外，對軟件或數(shù)據(jù)的維護必須通過特定的應用程序進行，添加、刪除和修改數(shù)據(jù)應通過柜員終端，不得對數(shù)據(jù)庫進行直接操作；（二）具備各種詳細的日志信息，包括交易日志和審計日志等，以便維護和審計；（三）提供維護的統(tǒng)計和報表打印功能。第四十七條第四十七條 銀行業(yè)金融機構信息系統(tǒng)的變更應符合以下要求：（一）制訂