【正文】 。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后評價，并根據(jù)評價結果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。第三十三條 商業(yè)銀行應認識到信息科技項目相關的風險，包括潛在的各種操作風險、財務損失風險和因無效項目規(guī)劃或不適當?shù)捻椖抗芾砜刂飘a(chǎn)生的第三十四條 商業(yè)銀行應采取適當?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設計、開發(fā)或外購、測試、試運行、部署、維護和退出。所采用的系統(tǒng)開發(fā)方法應符合信息科技項目的規(guī)模、性質和復雜第三十五條 商業(yè)銀行應制定相關控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測試系統(tǒng)的管理職能相分離。（三）除得到管理層批準執(zhí)行緊急修復任務外，禁止應用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)，且所有（四）將完成開發(fā)和測試環(huán)境的程序或系統(tǒng)配臵變更應用到生產(chǎn)系統(tǒng)時，應得到信息科技部門和業(yè)務部門的聯(lián)合批準，并對變更進行及時記錄和定期復查。第三十六條 商業(yè)銀行應制定并落實相關制度、標準和流程，確保信息系統(tǒng)開發(fā)、第三十七條 商業(yè)銀行應建立并完善有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和第三十八條 商業(yè)銀行應制定相關制度和流程，控制系統(tǒng)升級過程。當設備達到預期使用壽命或性能不能滿足業(yè)務需求，基礎軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應用軟件必須升級時，應及時進行系統(tǒng)升級，并將該類升級活第六章第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時，應充分考慮環(huán)境威脅（如是否接近自然災害多發(fā)區(qū)、危險或有害設施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設備運行構成威脅的環(huán)境狀況，并防止因意外斷電或供第四十條 商業(yè)銀行應嚴格控制第三方人員（如服務供應商）進入安全區(qū)域，如確需進入應得到適當?shù)呐鷾?，其活動也應受到監(jiān)控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查第四十一條 商業(yè)銀行應將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技第四十二條 商業(yè)銀行應按照有關法律法規(guī)要求保存交易記錄，采取必要的程序第四十三條 商業(yè)銀行應制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留第四十四條 商業(yè)銀行應建立事故管理及處臵機制，及時響應信息系統(tǒng)運行事故，逐級向相關的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調(diào)查和解決。第四十五條 商業(yè)銀行應建立服務水平管理相關的制度和流程，對信息科技運行第四十六條 商業(yè)銀行應建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統(tǒng)性能造成影響前對第四十七條 商業(yè)銀行應制定容量規(guī)劃，以適應由于外部環(huán)境變化產(chǎn)生的業(yè)務發(fā)第四十八條 商業(yè)銀行應及時進行維護和適當?shù)南到y(tǒng)升級，以確保與技術相關服務的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性第四十九條 商業(yè)銀行應制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應記入日志，由信息科技部門和業(yè)務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當?shù)牡谄哒碌谖迨畻l 商業(yè)銀行應根據(jù)自身業(yè)務的性質、規(guī)模和復雜程度制定適當?shù)臉I(yè)務連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務；第五十一條 商業(yè)銀行應評估因意外事件導致其業(yè)務運行中斷的可能性及其影（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。（二）（三）第五十二條 商業(yè)銀行應采取系統(tǒng)恢復和雙機熱備處理等措施降低業(yè)務中斷的第五十三條 商業(yè)銀行應建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：（一）規(guī)范的業(yè)務連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。23．與內(nèi)部各部門及外部相關各方（尤其是監(jiān)管機構、客戶和媒體等）的溝通安（四）當商業(yè)銀行的業(yè)務或風險狀況發(fā)生變化時，對本條（一）到（三）進行第五十四條 商業(yè)銀行的業(yè)務連續(xù)性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。第八章 外第五十五條 商業(yè)銀行不得將其信息科技管理責任外包，應合理謹慎監(jiān)督外包職第五十六條 商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監(jiān)會或其派出機構。第五十七條 商業(yè)銀行在簽署外包協(xié)議或對外包協(xié)議進行重大變更前，應做好相（一）分析外包是否適合商業(yè)銀行的組織結構和報告路線、業(yè)務戰(zhàn)略、總體風（二）（三）充分審查、評估外包服務商的財務穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務商進（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情（五）關注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務商帶來的第五十八條 商業(yè)銀行在與外包服務商合同談判過程中，應考慮的因素包括但不（一）（二）（三）通過界定信息所有權、簽署保密協(xié)議和采取技術防護措施保護客戶信息（四）（五）外包服務商遵守商業(yè)銀行有關信息科技風險制度和流程的意愿及相關措（六）外包服務商提供的業(yè)務連續(xù)性保障水平，以及提供相關專屬資源的承諾。（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務商選擇變更或終止外包 商業(yè)銀行在實施雙方關系管理，以及起草服務水平協(xié)議時，應考慮（一）提出定性和定量的績效指標，評估外包服務商為商業(yè)銀行及其相關客戶（二）通過服務水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。（三）針對績效不達標的情況調(diào)整流程，采取整改措施。第六十條 商業(yè)銀行應加強信息科技相關外包管理工作，確保商業(yè)銀行的客戶資（一）（二）（三）（四）（五）嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業(yè)銀行相關信息（六）第六十一條 商業(yè)銀行應建立恰當?shù)膽贝胧?，應對外包服務商在服務中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重第六十二條 商業(yè)銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應設立流程定期審閱和修訂服第九章第六十三條 商業(yè)銀行內(nèi)部審計部門應根據(jù)業(yè)務的性質、規(guī)模和復雜程度，對相關系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內(nèi)部審計部門應配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒樱哂羞m當?shù)牡诹臈l（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控（二）（三）（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或審計部門根據(jù)風險評估結果對認為必要的特殊事第六十五條 商業(yè)銀行應根據(jù)業(yè)務性質、規(guī)模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內(nèi)部審計范圍和頻率。但至少應每第六十六條 商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應要求信息科技風險管理部門第十章第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相第六十八條 在委托審計過程中，商業(yè)銀行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風險，國家法律、第六十九條 商業(yè)銀行在實施外部審計前應與外部審計機構進行充分溝通，詳細第七十條 銀監(jiān)會及其派出機構必要時可指定具備相應資質的外部審計機構對商業(yè)銀行執(zhí)行信息科技審計或相關檢查。外部審計機構根據(jù)銀監(jiān)會或其派出機構的委托或授權對商業(yè)銀行進行審計時，應出示委托授權書，并依照委托授權第七十一條 外部審計機構根據(jù)授權出具的審計報告，經(jīng)銀監(jiān)會及其派出機構審閱批準后具有與銀監(jiān)會及其派出機構出具的檢查報告同等的效力，被審計的商第七十二條 商業(yè)銀行在委托外部審計機構進行外部審計時，應與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風險信息，第十一章 附第七十三條 未設董事會的商業(yè)銀行，應當由其經(jīng)營決策機構履行本指引中董事第七十四條 第七十五條第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。第七十四條 第七十五條第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。第三篇：《商業(yè)銀行信息科技風險管理指引》銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風險管理指引》為進一步加強商業(yè)銀行信息科技風險管理，銀監(jiān)會近日發(fā)布《商業(yè)銀行信息科技風險管理指引》（以下簡稱《管理指引》），原《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)［2006］63號，以下簡稱原《指引》）同時廢止。隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務支持逐步走向與業(yè)務的融合，成為銀行穩(wěn)健運營和發(fā)展的支柱，原《指引》定位在信息系統(tǒng)風險管理的基本、原則性要求，已難以滿足商業(yè)銀行信息科技風險管理的需要。為此，銀監(jiān)會在原《指引》的基礎上，廣泛征求業(yè)內(nèi)機構意見，制定了本《管理指引》?！豆芾碇敢肪哂幸韵聨讉€特點：一是全面涵蓋商業(yè)銀行的信息科技活動，進一步明確信息科技與銀行業(yè)務的關系，對于認識和防范風險具有更加積極的作用；二是適用范圍由銀行業(yè)金融機構變?yōu)榉ㄈ松虡I(yè)銀行，其他銀行業(yè)金融機構參照執(zhí)行；三是信息科技治理作為首要內(nèi)容提出，充實并細化了對商業(yè)銀行在治理層面的具體要求；四是重點闡述了信息科技風險管理和內(nèi)外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內(nèi)的標準和成功實踐，對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務連續(xù)性管理和外包等方面提出高標準、高要求，使操作性更強；六是加強了對客戶信息保護的要求。新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風險管理，信息安全，信息系統(tǒng)開發(fā)、測試和維護，信息科技運行，業(yè)務連續(xù)性管理，外包，內(nèi)部審計，外部審計和附則等十一個部分。新《指引》的發(fā)布，將進一步推動我國銀行業(yè)信息科技風險管理向更高水平邁進。商業(yè)銀行信息科技風險管理指引第一章 總 則第一條 為加強商業(yè)銀行信息科技風險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》、《中華人民共和國外資銀行管理條例》，以及國家信息安全相關要求和有關法律法規(guī)，制定本指引。第二條 本指引適用于在中華人民共和國境內(nèi)依法設立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構參照執(zhí)行。第三條 本指引所稱信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術，在商業(yè)銀行業(yè)務交易處理、經(jīng)營管理和內(nèi)部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。第四條 本指引所稱信息科技風險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。第五條 信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第二章 信息科技治理第六條 商業(yè)銀行法定代表人是本機構信息科技風險管理的第一責任人，負責組織本指引的貫徹落實。第七條 商業(yè)銀行的董事會應履行以下信息科技管理職責：（一）遵守并貫徹執(zhí)行國家有關信息科技管理的法律、法規(guī)和技術標準，落實中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）相關監(jiān)管要求。（二）審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務戰(zhàn)略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監(jiān)測和控制。（四）規(guī)范職業(yè)道德行為和廉潔標準，增強內(nèi)部文化建設，提高全體人員對信息科技風險管理重要性的認識。（五）設立一個由來自高級管理層、信息科技部門和主要業(yè)務部門的代表組成的專門信息科技管理委員會，負責監(jiān)督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預算和實際支出、信息科技的整體狀況。（六）在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業(yè)隊伍的建設，建立人才激勵機制。（七）確保內(nèi)部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并落實整改。（八）每年審閱并向銀監(jiān)會及其派出機構報送信息科技風險管理的報告。（九）確保信息科技風險管理工作所需資金。（十）確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風險管理制度和流程，并安排相關培訓。（十一）確保本法人機構涉及客戶信息、賬務信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行，并保持最高的管理權限，符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求，防范跨境風險。（十二）及時向銀監(jiān)會及其派出機構報告本機構發(fā)生的重大信息科技事故或突發(fā)事件，按相關預案快速響應。（十三）配合銀監(jiān)會及其派出機構做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。（十四）履行信息科技風險管理其他相關工作。第八條 商業(yè)銀行應設立首席信息官，直