【正文】 息系統(tǒng)問題，并對問題進行記錄、分類和索引；如需供應商提供支持服務或技術援助，應向相關人員提供所需的合同和相關信息，并將過程記錄在案；對完成緊急恢復起至關重要作用的任務和指令集，應有清晰的描述和說明，并通知相關人員。第三十八條 商業(yè)銀行應制定相關制度和流程，控制系統(tǒng)升級過程。當設備達到預期使用壽命或性能不能滿足業(yè)務需求，基礎軟件（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件）或應用軟件必須升級時，應及時進行系統(tǒng)升級，并將該類升級活動納入信息科技項目，接受相關的管理和控制，包括用戶驗收測試。第六章 信息科技運行第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位臵時，應充分考慮環(huán)境威脅（如是否接近自然災害多發(fā)區(qū)、危險或有害設施、繁忙或主要公路），采取物理控制措施，監(jiān)控對信息處理設備運行構成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運行。第四十條 商業(yè)銀行應嚴格控制第三方人員（如服務供應商）進入安全區(qū)域，如確需進入應得到適當?shù)呐鷾?，其活動也應受到監(jiān)控；針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調(diào)查。第四十一條 商業(yè)銀行應將信息科技運行與系統(tǒng)開發(fā)和維護分離，確保信息科技部門內(nèi)部的崗位制約；對數(shù)據(jù)中心的崗位和職責做出明確規(guī)定。第四十二條 商業(yè)銀行應按照有關法律法規(guī)要求保存交易記錄，采取必要的程序和技術，確保存檔數(shù)據(jù)的完整性，滿足安全保存和可恢復要求。第四十三條 商業(yè)銀行應制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場及非現(xiàn)場備份流程和要求（即備份的頻率、范圍和保留周期）。第四十四條 商業(yè)銀行應建立事故管理及處臵機制，及時響應信息系統(tǒng)運行事故，逐級向相關的信息科技管理人員報告事故的發(fā)生，并進行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。商業(yè)銀行應建立服務臺，為用戶提供相關技術問題的在線支持，并將問題提交給相關信息科技部門進行調(diào)查和解決。第四十五條 商業(yè)銀行應建立服務水平管理相關的制度和流程，對信息科技運行服務水平進行考核。第四十六條 商業(yè)銀行應建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關程序，及時、完整地報告例外情況；該程序應提供預警功能，在例外情況對系統(tǒng)性能造成影響前對其進行識別和修正。第四十七條 商業(yè)銀行應制定容量規(guī)劃，以適應由于外部環(huán)境變化產(chǎn)生的業(yè)務發(fā)展和交易量增長。容量規(guī)劃應涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關設備。第四十八條 商業(yè)銀行應及時進行維護和適當?shù)南到y(tǒng)升級，以確保與技術相關服務的連續(xù)可用性，并完整保存記錄（包括疑似和實際的故障、預防性和補救性維護記錄），以確保有效維護設備和設施。第四十九條 商業(yè)銀行應制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應記入日志，由信息科技部門和業(yè)務部門共同審核簽字，并事先進行備份,以便必要時可以恢復原來的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當?shù)男拚匀〈o急變更。第七章 業(yè)務連續(xù)性管理第五十條 商業(yè)銀行應根據(jù)自身業(yè)務的性質、規(guī)模和復雜程度制定適當?shù)臉I(yè)務連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務；定期對規(guī)劃進行更新和演練，以保證其有效性。第五十一條 商業(yè)銀行應評估因意外事件導致其業(yè)務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。（二）信息丟失或受損。（三）外部事件（如戰(zhàn)爭、地震或臺風等）。第五十二條 商業(yè)銀行應采取系統(tǒng)恢復和雙機熱備處理等措施降低業(yè)務中斷的可能性，并通過應急安排和保險等方式降低影響。第五十三條 商業(yè)銀行應建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括：（一）規(guī)范的業(yè)務連續(xù)性計劃,明確降低短期、中期和長期中斷所造成影響的措施，包括但不限于:1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。2．運行恢復的優(yōu)先順序。3．與內(nèi)部各部門及外部相關各方（尤其是監(jiān)管機構、客戶和媒體等）的溝通安排。（二）更新實施業(yè)務連續(xù)性計劃的流程及相關聯(lián)系信息。（三）驗證受中斷影響的信息完整性的步驟。（四）當商業(yè)銀行的業(yè)務或風險狀況發(fā)生變化時，對本條（一）到（三）進行審核并升級。第五十四條 商業(yè)銀行的業(yè)務連續(xù)性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。第八章 外 包第五十五條 商業(yè)銀行不得將其信息科技管理責任外包，應合理謹慎監(jiān)督外包職能的履行。第五十六條 商業(yè)銀行實施重要外包（如數(shù)據(jù)中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監(jiān)會或其派出機構。第五十七條 商業(yè)銀行在簽署外包協(xié)議或對外包協(xié)議進行重大變更前，應做好相關準備，其中包括：（一）分析外包是否適合商業(yè)銀行的組織結構和報告路線、業(yè)務戰(zhàn)略、總體風險控制，是否滿足商業(yè)銀行履行對外包服務商的監(jiān)督義務。（二）考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關的操作風險。（三）充分審查、評估外包服務商的財務穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務商進行風險評估，考查其設施和能力是否足以承擔相應的責任。（四）考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。（五）關注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務商帶來的潛在業(yè)務連續(xù)性風險。第五十八條 商業(yè)銀行在與外包服務商合同談判過程中，應考慮的因素包括但不限于： （一）對外包服務商的報告要求和談判必要條件。（二）銀行業(yè)監(jiān)管機構和內(nèi)部審計、外部審計能執(zhí)行足夠的監(jiān)督。（三）通過界定信息所有權、簽署保密協(xié)議和采取技術防護措施保護客戶信息和其他信息。（四）擔保和損失賠償是否充足。（五）外包服務商遵守商業(yè)銀行有關信息科技風險制度和流程的意愿及相關措施。（六）外包服務商提供的業(yè)務連續(xù)性保障水平，以及提供相關專屬資源的承諾。（七）第三方供應商出現(xiàn)問題時，保證軟件持續(xù)可用的相關措施。（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務商選擇變更或終止外包協(xié)議的條件，例如：。。，造成商業(yè)銀行不能履行監(jiān)督義務。第五十九條 商業(yè)銀行在實施雙方關系管理，以及起草服務水平協(xié)議時，應考慮的因素包括但不限于：（一）提出定性和定量的績效指標，評估外包服務商為商業(yè)銀行及其相關客戶提供服務的充分性。（二）通過服務水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。（三）針對績效不達標的情況調(diào)整流程，采取整改措施。第六十條 商業(yè)銀行應加強信息科技相關外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：（一）實現(xiàn)本銀行客戶資料與外包服務商其他客戶資料的有效隔離。（二）按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。（三）要求外包服務商保證其相關人員遵守保密規(guī)定。（四）應將涉及本銀行客戶資料的外包作為重要外包，并告知相關客戶。（五）嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業(yè)銀行相關信息的安全。（六）確保在中止外包協(xié)議時收回或銷毀外包服務商保存的所有客戶資料。第六十一條 商業(yè)銀行應建立恰當?shù)膽贝胧?，應對外包服務商在服務中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協(xié)議的意外終止。第六十二條 商業(yè)銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應設立流程定期審閱和修訂服務水平協(xié)議。第九章 內(nèi)部審計第六十三條 商業(yè)銀行內(nèi)部審計部門應根據(jù)業(yè)務的性質、規(guī)模和復雜程度，對相關系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內(nèi)部審計部門應配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當?shù)氖跈嘣L問本銀行的記錄。第六十四條 商業(yè)銀行內(nèi)部信息科技審計的責任包括：（一）制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。（二）按照第（一）款規(guī)定完成審計工作，在此基礎上提出整改意見。（三）檢查整改意見是否得到落實。（四）執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或審計部門根據(jù)風險評估結果對認為必要的特殊事項進行的審計。第六十五條 商業(yè)銀行應根據(jù)業(yè)務性質、規(guī)模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內(nèi)部審計范圍和頻率。但至少應每三年進行一次全面審計。第六十六條 商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應要求信息科技風險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風險管理標準。第十章 外部審計第六十七條 商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。第六十八條 在委托審計過程中，商業(yè)銀行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息科技存在的風險，國家法律、法規(guī)及監(jiān)管部門規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術保密信息除外。第六十九條 商業(yè)銀行在實施外部審計前應與外部審計機構進行充分溝通，詳細確定審計范圍，不應故意隱瞞事實或阻撓審計檢查。第七十條 銀監(jiān)會及其派出機構必要時可指定具備相應資質的外部審計機構對商業(yè)銀行執(zhí)行信息科技審計或相關檢查。外部審計機構根據(jù)銀監(jiān)會或其派出機構的委托或授權對商業(yè)銀行進行審計時，應出示委托授權書，并依照委托授權書上規(guī)定的范圍進行審計。第七十一條 外部審計機構根據(jù)授權出具的審計報告，經(jīng)銀監(jiān)會及其派出機構審閱批準后具有與銀監(jiān)會及其派出機構出具的檢查報告同等的效力，被審計的商業(yè)銀行應根據(jù)該審計報告提出整改計劃，并在規(guī)定的時間內(nèi)實施整改。第七十二條 商業(yè)銀行在委托外部審計機構進行外部審計時，應與其簽訂保密協(xié)議，并督促其嚴格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風險信息，防止其擅自對本銀行提供的任何文件進行修改、復制或帶離現(xiàn)場。第十一章 附 則第七十三條 未設董事會的商業(yè)銀行，應當由其經(jīng)營決策機構履行本指引中董事會的有關信息科技風險管理職責。第七十四條 銀監(jiān)會依法對商業(yè)銀行的信息科技風險管理實施監(jiān)督檢查。第七十五條 本指引由銀監(jiān)會負責解釋、修訂。第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)?2006?63號）同時廢止。發(fā)文單位：中國銀行業(yè)監(jiān)督管理委員會發(fā)布日期：200961 執(zhí)行日期：200961Chapter I General ProvisionsArticle to the Law of the People?s Republic of China on Banking Regulation and Supervision，the Law of the People39。s Republic of China on Commercial Banks，the Regulations of the People?s Republic of China on Administration of Foreignfunded Banks，and other applicable laws and regulations，the Guidelines on the Risk Management of Commercial Banks? Information Technology（hereinafter referred to as the Guidelines）is Guidelines apply to all the mercial banks legally incorporated within the territory of the People?s Republic of Guidelines may apply to other banking institutions including policy banks，rural cooperative banks，urban credit cooperatives，rural credit cooperatives，village banks，loan panies，financial asset management panies，trust and investment panies，finance firms，financial leasing panies，automobile financial panies and money term “information technology” stated in the Guidelines shall refer to the system built with puter，munication and software technologies，and employed by mercial banks to handle business transactions，operation management，and internal munication，collaborative work and term also include IT governance，IT organization structure and IT policies and risk of information technology refers to the operational risk，legal risk and reputation risk that are caused by natural factor，human factor，technological loopholes or management defi