【正文】 Article banks should implement a prehensive set of risk mitigation measures plying with the IT risk management policies and mensurate with the risk assessment of the mitigation measures should include：（1）A set of clearly documented IT risk policies，technical standards，and operational procedures，which should be municated to the staff frequently and kept up to date in a timely manner；（2）Areas of potential conflicts of interest should be identified，minimized，and subject to careful，independent it requires that an appropriate control structure is set up to facilitate checks and balances，with control activities defined at every business level，which should include：Top level reviews；Controls over physical and logical access to data and system；Access granted on “need to know” and “minimum authorization” basis；A system of approvals and authorizations； andA system of verification and banks should put in place a set of ongoing risk measurement and monitoring mechanisms，which should include（1）Pre and postimplementation review of IT projects；（2）Benchmarks for periodic review of system performance；（3）Reports of incidents and plaints about IT services；（4）Reports of internal audit，external audit，and issues identified by CBRC； and（5）Arrangement with vendors and business units for periodic review of service level agreements（SLAs）。第七十五條 本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商業(yè)銀行應(yīng)根據(jù)該審計(jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。第六十八條 在委托審計(jì)過(guò)程中，商業(yè)銀行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國(guó)家法律、法規(guī)及監(jiān)管部門(mén)規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。（二）按照第（一）款規(guī)定完成審計(jì)工作，在此基礎(chǔ)上提出整改意見(jiàn)。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。（六）確保在中止外包協(xié)議時(shí)收回或銷(xiāo)毀外包服務(wù)商保存的所有客戶資料。（二）按照“必需知道”和“最小授權(quán)”原則對(duì)外包服務(wù)商相關(guān)人員授權(quán)。第五十九條 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮的因素包括但不限于：（一）提出定性和定量的績(jī)效指標(biāo)，評(píng)估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。（七）第三方供應(yīng)商出現(xiàn)問(wèn)題時(shí)，保證軟件持續(xù)可用的相關(guān)措施。（三）通過(guò)界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶信息和其他信息。（四）考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過(guò)渡（包括終止合同可能發(fā)生的情況）。第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書(shū)面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。（三）驗(yàn)證受中斷影響的信息完整性的步驟。其中包括：（一）規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長(zhǎng)期中斷所造成影響的措施，包括但不限于:1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。（二）信息丟失或受損。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門(mén)和業(yè)務(wù)部門(mén)共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來(lái)的系統(tǒng)版本和數(shù)據(jù)文件。第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長(zhǎng)。第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù)分離，確保信息科技部門(mén)內(nèi)部的崗位制約；對(duì)數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。第三十八條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級(jí)過(guò)程。（三）除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開(kāi)發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開(kāi)發(fā)或外購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)和退出。項(xiàng)目實(shí)施部門(mén)應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。第二十九條 商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對(duì)所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷(xiāo)售終端（POS）和個(gè)人數(shù)字助理（PDA）等。第二十八條 商業(yè)銀行應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過(guò)程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度，以確保：（一）使用符合國(guó)家要求的加密技術(shù)和加密設(shè)備。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。交易日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。（七）以書(shū)面或電子格式保存審計(jì)痕跡。（三）加強(qiáng)職責(zé)劃分，對(duì)關(guān)鍵或敏感崗位進(jìn)行雙重控制。（四）要求技術(shù)人員定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)。（七）域的可信程度。（三）域內(nèi)配臵的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡(jiǎn)稱(chēng)為域）。第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問(wèn)控制的流程。（八）系統(tǒng)開(kāi)發(fā)與維護(hù)管理。（四）人員安全管理。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。第十九條 中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機(jī)構(gòu)關(guān)于信息科技風(fēng)險(xiǎn)管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險(xiǎn)。（五）安排供應(yīng)商和業(yè)務(wù)部門(mén)對(duì)服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查。十八條 商業(yè)銀行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制，其中應(yīng)包括：（一）建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評(píng)價(jià)機(jī)制。。第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。（五）物理安全。第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域：（一）信息分級(jí)與保護(hù)。第十二條 商業(yè)銀行應(yīng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機(jī)構(gòu)信息科技知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，并使所有員工充分理解并遵照?qǐng)?zhí)行。（四）評(píng)估關(guān)鍵崗位信息科技員工流失帶來(lái)的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位接替計(jì)劃等防范措施；在員工崗位發(fā)生變化后及時(shí)變更相關(guān)信息。第九條 商業(yè)銀行應(yīng)對(duì)信息科技部門(mén)內(nèi)部管理職責(zé)進(jìn)行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專(zhuān)業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊(cè)并適時(shí)更新。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專(zhuān)業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。第八條 商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長(zhǎng)匯報(bào)，并參與決策。（十一）確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國(guó)境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場(chǎng)檢查的要求，防范跨境風(fēng)險(xiǎn)。（七）確保內(nèi)部審計(jì)部門(mén)進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對(duì)審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。（四）規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對(duì)信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。第七條 商業(yè)銀行的董事會(huì)應(yīng)履行以下信息科技管理職責(zé)：（一）遵守并貫徹執(zhí)行國(guó)家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)銀監(jiān)會(huì)）相關(guān)監(jiān)管要求。第三條 本指引所稱(chēng)信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。新《指引》的發(fā)布，將進(jìn)一步推動(dòng)我國(guó)銀行業(yè)信息科技風(fēng)險(xiǎn)管理向更高水平邁進(jìn)。隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為銀行穩(wěn)健運(yùn)營(yíng)和發(fā)展的支柱，原《指引》定位在信息系統(tǒng)風(fēng)險(xiǎn)管理的基本、原則性要求，已難以滿足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的需要。為此，銀監(jiān)會(huì)在原《指引》的基礎(chǔ)上，廣泛征求業(yè)內(nèi)機(jī)構(gòu)意見(jiàn)，制定了本《管理指引》。商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第一章 總 則第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》、《中華人民共和國(guó)外資銀行管理?xiàng)l例》，以及國(guó)家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。第四條 本指引所稱(chēng)信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。（五）設(shè)立一個(gè)由來(lái)自高級(jí)管理層、信息科技部門(mén)和主要業(yè)務(wù)部門(mén)的代表組成的專(zhuān)門(mén)信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的年度報(bào)告。（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。首席信息官的職責(zé)包括：（一）直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。對(duì)相關(guān)人員應(yīng)采取下列風(fēng)險(xiǎn)防范措施：（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專(zhuān)業(yè)資格證書(shū)等信息。第十條 商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門(mén)負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向首席信息官或首席風(fēng)險(xiǎn)官（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。確保購(gòu)買(mǎi)和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版；采取有效措施保護(hù)本機(jī)構(gòu)自主知識(shí)產(chǎn)權(quán)。（二）信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)。（六）人員安全。防范措施應(yīng)包括：（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新和公示。“必需知道”和“最小授權(quán)”為原則。（二）建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。（六）定期評(píng)估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。第四章 信息安全第二十條 商業(yè)銀行信息科技部門(mén)負(fù)責(zé)建立和實(shí)施信息分類(lèi)和保護(hù)體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。信息安全策略應(yīng)涉及以下領(lǐng)域：（一）安全制度管理。（五）物理與環(huán)境安全管理。（九）信息安全事故管理。用戶對(duì)數(shù)據(jù)和系統(tǒng)的訪問(wèn)必須選擇與信息訪問(wèn)級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開(kāi)展所要求的最低限度。應(yīng)該對(duì)下列安全因素進(jìn)行評(píng)估，并根據(jù)安全級(jí)別定義和評(píng)估結(jié)果實(shí)施有效的安全控制，4 如對(duì)每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過(guò)濾、邏輯訪問(wèn)控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等。（四）性能要求或標(biāo)準(zhǔn)。第二十五條 商業(yè)銀行應(yīng)通過(guò)以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全：（一）制定每種類(lèi)型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問(wèn)、對(duì)用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。（四）在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對(duì)。（八）要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。交易日志應(yīng)按照國(guó)家會(huì)計(jì)準(zhǔn)則要求予以保存。商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。（二）管理、使用密碼設(shè)備的員工經(jīng)過(guò)專(zhuān)業(yè)培訓(xùn)和嚴(yán)格審查。第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、