【正文】 清單。第四十五條第四十五條 銀行業(yè)金融機構信息系統(tǒng)的運行應符合以下要求：（一）制定詳細的運行值班操作表，包括規(guī)定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；（二）提供常見和簡便的操作菜單或命令，如信息系統(tǒng)的啟動或停止、運行日志的查詢等；（三）提供機房環(huán)境、設備使用、網(wǎng)絡運行、系統(tǒng)運行等監(jiān)控信息；（四）記錄運行值班過程中所有現(xiàn)象、操作過程等信息。運行人員應按操作規(guī)程巡檢和操作。第五章 運行維護風險控制第四十三條第四十三條 運行維護風險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產生的風險。第四十一條第四十一條 開發(fā)過程中所涉及的各種文檔資料應經(jīng)相關部門、人員的簽字確認并歸檔保存。第三十九條第三十九條 銀行業(yè)金融機構信息科技部門應根據(jù)測試結果修補系統(tǒng)的功能和缺陷，提高系統(tǒng)的整體質量。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。第三十七條第三十七條 銀行業(yè)金融機構信息科技部門依據(jù)項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。第三十五條第三十五條 銀行業(yè)金融機構業(yè)務部門根據(jù)本機構業(yè)務發(fā)展戰(zhàn)略，在充分進行市場調查、產品效益分析的基礎上制定信息系統(tǒng)研發(fā)項目可行性報告。項目工作小組由業(yè)務人員、技術人員和管理人員組成，具體負責整個項目的開發(fā)工作。第三十三條第三十三條 銀行業(yè)金融機構信息系統(tǒng)研發(fā)前應成立項目工作小組，重大項目還應成立項目領導小組，并指定負責人。第三十一條第三十一條 銀行業(yè)金融機構在信息系統(tǒng)可能影響客戶服務時，應以適當方式告知客戶。信息系統(tǒng)的技術文檔資料包括：系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運行、維護過程中形成的各類技術資料。省域以下數(shù)據(jù)中心至少實現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實現(xiàn)異地數(shù)據(jù)實時備份，全國性數(shù)據(jù)中心實現(xiàn)異地災備。根據(jù)敏感程度和用途，確定存取權限、方式和授權使用范圍，嚴格審批和登記手續(xù)。第二十七條第二十七條 銀行業(yè)金融機構應加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環(huán)節(jié)的有效管理，不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù)；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設置，嚴格按授權使用系統(tǒng)和數(shù)據(jù)庫，采用適當?shù)臄?shù)據(jù)加密技術以保護敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性、保密性。第二十六條第二十六條 銀行業(yè)金融機構應加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。第二十五條第二十五條 銀行業(yè)金融機構應加強網(wǎng)絡安全管理。信息系統(tǒng)所用的服務器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當?shù)膫淦穫浼?。第二十二條第二十二條 銀行業(yè)金融機構應重視知識產權保護，使用正版軟件，加強軟件版本管理，優(yōu)先使用具有中國自主知識產權的軟、硬件產品；積極研發(fā)具有自主知識產權的信息系統(tǒng)和相關金融產品，并采取有效措施保護本機構信息化成果。全國性數(shù)據(jù)中心至少應達到國家A類機房標準，省域數(shù)據(jù)中心至少應達到國家B類機房標準，省域以下數(shù)據(jù)中心至少應達到C類機房標準。第二十條第二十條 銀行業(yè)金融機構應加強對信息系統(tǒng)的評估和測試，及時進行修補和更新，以保證信息系統(tǒng)的安全性、完整性。第十八條第十八條 在境外設立的我國銀行業(yè)金融機構或在境內設立的境外銀行業(yè)金融機構，應防范由于境內外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風險。第十六條第十六條 銀行業(yè)金融機構應采取措施防范自然災害、運行環(huán)境變化等產生的安全威脅，防止各類突發(fā)事故和惡意攻擊。第三章 總體風險控制第十四條第十四條 總體風險是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡、數(shù)據(jù)、文檔等方面影響全局或共有的風險。第十二條第十二條 銀行業(yè)金融機構應加強信息系統(tǒng)風險管理的專業(yè)隊伍建設，建立人才激勵機制，適應信息技術的發(fā)展。第十條第十條 銀行業(yè)金融機構應設立信息科技部門，統(tǒng)一負責本機構信息系統(tǒng)的規(guī)劃、研發(fā)、建設、運行、維護和監(jiān)控，提供日?？萍挤蘸瓦\行技術支持；建立或明確專門信息系統(tǒng)風險管理部門，建立、健全信息系統(tǒng)風險管理規(guī)章、制度，并協(xié)助業(yè)務部門及信息科技部門嚴格執(zhí)行，提供相關的監(jiān)管信息；設立審計部門或專門審計崗位，建立健全信息系統(tǒng)風險審計制度，配備適量的合格人員進行信息系統(tǒng)風險審計。第八條第八條 銀行業(yè)金融機構的董事會或其他決策機構負責信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風險監(jiān)督管理；信息科技管理委員會、風險管理委員會或其他負責風險監(jiān)督的專業(yè)委員會應制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項目建設，定期評估、報告本機構信息系統(tǒng)風險狀況，為決策層提供建議，采取相應的風險控制措施。第二章 機構職責第六條第六條 銀行業(yè)金融機構應建立有效的信息系統(tǒng)風險管理架構，完善內部組織結構和工作機制，防范和控制信息系統(tǒng)風險。第四條第四條 本指引所稱信息系統(tǒng)風險，是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控及退出過程中由于技術和管理缺陷產生的操作、法律和聲譽等風險。在中華人民共和國境內設立的金融資產管理公司、信托投資公司、財務公司、金融租賃公司、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）及其派出機構批準設立的其他金融機構，適用本指引規(guī)定。第二條第二條 本指引適用于銀行業(yè)金融機構。第二十八條 本指引自發(fā)布之日起實施。第五章附則第二十六條 經(jīng)銀行業(yè)監(jiān)督管理機構批準的其他金融機構開展外包活動時遵照本指引執(zhí)行。第二十五條 對外包活動存在以下情形的，銀行業(yè)監(jiān)督管理機構可以要求銀行業(yè)金融機構糾正或采取替代方案，并視情況予以問責。第二十三條 銀行業(yè)金融機構在開展外包活動時如遇到對本機構的業(yè)務經(jīng)營、客戶信息安全、聲譽等產生重大影響事件，應當及時向所在地銀行業(yè)監(jiān)督管理機構報告。第二十一條 銀行業(yè)金融機構應當定期對外包活動進行全面審計與評價。第二十條 銀行業(yè)金融機構應當事先制定和建立外包突發(fā)事件應急預案和機制。第十八條 銀行業(yè)金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。第十六條 銀行業(yè)金融機構在外包合同中應當要求外包服務提供商承諾以下事項：（一）定期通報外包活動的有關事項；（二）及時通報外包活動的突發(fā)性事件；（三）配合銀行業(yè)金融機構接受銀行業(yè)監(jiān)督管理機構的檢查；（四）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（五）不得以銀行業(yè)金融機構的名義開展活動；（六）銀行業(yè)金融機構認為應當承諾的其他事項。對于具有專業(yè)技術性的外包活動，可簽訂服務標準協(xié)議。第十四條 銀行業(yè)金融機構開展外包活動時應當簽訂書面合同或協(xié)議，明確雙方的權利義務。第十三條 銀行業(yè)金融機構在進行外包活動時應當對服務提供商進行盡職調查，盡職調查應當包括以下事項：（一）管理能力和行業(yè)地位；（二）財務穩(wěn)健性；（三）經(jīng)營聲譽和企業(yè)文化；（四）技術實力和服務質量；（五）突發(fā)事件應對能力；（六）對銀行業(yè)的熟悉程度；（七）對其他銀行業(yè)金融機構提供服務的情況；（八）銀行業(yè)金融機構認為重要的其他事項。第十條 高級管理層的職責主要包括以下方面：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）制定外包風險管理的政策、操作流程和內控制度；（三）確定外包業(yè)務的范圍及相關安排；（四）確定外包管理團隊職責，并對其行為進行有效監(jiān)督。第二章組織結構第八條 銀行業(yè)金融機構外包管理的組織架構應當包括董事會、高級管理層及外包管理團隊。第六條 銀行業(yè)金融機構應當根據(jù)審慎經(jīng)營原則制定其外包戰(zhàn)略發(fā)展規(guī)劃，確定與其風險管理水平相適宜的外包活動范圍。第四條 銀行業(yè)金融機構的董事會和高級管理層應當承擔外包活動的最終責任。第三條 本指引中的外包是指銀行業(yè)金融機構將原來由自身負責處理的某些業(yè)務活動委托給服務提供商進行持續(xù)處理的行為。第二篇：銀行業(yè)金融機構外包風險管理指引銀行業(yè)金融機構外包風險管理指引第一章 總則第一條 為了規(guī)范銀行業(yè)金融機構的外包活動，保障銀行業(yè)金融機構業(yè)務持續(xù)經(jīng)營，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關法律法規(guī)，制定本指引。在此基礎上，銀監(jiān)會從現(xiàn)有規(guī)則中梳理提煉出共性要素，同時參照巴塞爾銀行委員會《有效銀行監(jiān)管核心原則》的基本要求，借鑒國際經(jīng)驗，起草了《指引》，形成了我國銀行業(yè)全面風險管理的統(tǒng)領性、綜合性規(guī)則，引導銀行業(yè)樹立全面風險管理意識，建立穩(wěn)健的風險文化，健全風險管理治理架構和要素，完善全面風險管理體系，持續(xù)提高風險管理水平。銀監(jiān)會將根據(jù)各界反饋意見，進一步修改完善《指引》，適時發(fā)布。如對規(guī)模較大或業(yè)務復雜的銀行業(yè)金融機構提出設立風險總監(jiān)（首席風險官）的要求?？紤]到各類機構特點的差異性，《指引》明確提出全面風險管理體系應當與風險狀況和系統(tǒng)重要性等相匹配，并根據(jù)環(huán)境變化進行調整。適用范圍明確為我國境內設立的銀行業(yè)金融機構，經(jīng)銀行業(yè)監(jiān)督管理機構批準設立的其他金融機構參照本指引執(zhí)行。在此基礎上，《指引》充分考慮了各類銀行業(yè)金融機構的差異化情況。銀行業(yè)金融機構各業(yè)務經(jīng)營條線承擔風險管理的直接責任。銀行業(yè)金融機構監(jiān)事會承擔全面風險管理的監(jiān)督責任，負責監(jiān)督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。同時，在風險限額臨近監(jiān)管指標限額時，銀行業(yè)金融機構應當啟動相應的糾正措施和報告程序，采取必要的風險分散措施，并向銀行業(yè)監(jiān)督管理機構報告。其中，關于風險偏好，《指引》規(guī)定銀行業(yè)金融機構應當制定書面的風險偏好，做到定性指標和定量指標并重，并提出了風險偏好應包括的七項具體內容。四、《指引》對全面風險管理提出哪些主要要求？答：《指引》提出了銀行業(yè)金融機構全面風險管理體系的五個主要要素，包括風險治理架構，風險管理策略、風險偏好和風險限額，風險管理政策和程序，管理信息系統(tǒng)和數(shù)據(jù)質量控制，內部控制和審計體系等。四是有效性原則。三是獨立性原則。二是全覆蓋原則。三、《指引》對全面風險管理有哪些原則性規(guī)定？答：《指引》對銀行業(yè)金融機構全面風險管理提出四點管理原則：一是匹配性原則。五是充分考慮各類機構的差異化情況。三是提高可操作性，提供全面風險管理和監(jiān)管指南。二、《指引》制定的主要思路是什么？答：《指引》的起草主要基于以下思路：一是形成系統(tǒng)化的全面風險管理規(guī)制。之后，巴塞爾委員會和金融穩(wěn)定理事會針對公司治理、風險偏好、風險文化和風險報告等全面風險管理要素陸續(xù)發(fā)布了一系列政策文件，提出了更具體的要求。2008年國際金融危機后，國際組織和各國監(jiān)管機構都在積極完善金融機構全面風險管理相關制度。第三，銀行業(yè)金融機構全面風險管理成果的應用較多基于銀監(jiān)會的監(jiān)管要求，深度和廣度仍有很大的拓展空間。我國銀行業(yè)在全面風險管理體系建設上已取得一定的成果，但實踐中仍然存在以下問題有待完善：第一，全面風險管理的統(tǒng)籌性和有效性有待提升。因此，有必要制定關于全面風險管理的審慎規(guī)制，為銀行建立完善的全面風險管理體系提供政策依據(jù)和指導。一、《指引》制定的背景是什么？答：《指引》制定的背景主要有三方面：一是我國銀行業(yè)風險管理缺乏統(tǒng)領性規(guī)制。[1]解讀一為提升銀行業(yè)金融機構全面風險管理水平，引導銀行業(yè)金融機構更好服務實體經(jīng)濟，銀監(jiān)會近日發(fā)布了《銀行業(yè)金融機構全面風險管理指引》（以下簡稱《指引》）。第五十四條（施行時間）本指引自2016年 月 日起施行。第八章 附則第五十二條（與具體風險監(jiān)管要求的關系）各類具體風險的監(jiān)管要求按照銀行業(yè)監(jiān)督管理機構的有關規(guī)制執(zhí)行。第五十條（監(jiān)管溝通）銀行業(yè)監(jiān)督管理機構應當就全面風險管理情況與銀行業(yè)金融機構董事會、監(jiān)事會、高級管理層等進行充分溝通，并視情況在銀行董事會、監(jiān)事會會議上通報。第四十八條（監(jiān)管內容）銀行業(yè)監(jiān)督管理機構應當將銀行業(yè)金融機構全面風險管理納入法人監(jiān)管體系中，并根據(jù)本指引全面評估銀行業(yè)金融機構風險管理體系的健全性和有效性，提出監(jiān)管意見，督促銀行業(yè)金融機構持續(xù)加以完善。內部審計部門應當跟蹤檢查整改措施的實施情況，并及時向董事會提交有關報告。全面風險管理的內部審計報告應當直接提交董事會和監(jiān)事會。第四十六條（內審要求）銀行業(yè)金融機構應當將全面風險管理納入內部審計范疇，定期審查和評價全面風險管理的充分性和有效性。第四十四條（數(shù)據(jù)質量）銀行業(yè)金融機構應當建立健全數(shù)據(jù)質量控制機制，積累真實、準確、連續(xù)、完整的內部和外部數(shù)據(jù)，用于風險識別、計量、評估、監(jiān)測、報告，資本和流動性充足情況的評估。（一）支持識別、計量、評估、監(jiān)測和報告所有類別的重要風險；（二）支持風險限額管理，對超出風險限額的情況進行實時監(jiān)測、預警和控制；（三）能夠計量、評估和報告所有風險類別、產品和交易對手的風險狀況，滿足全面風險管理需要。第五章 管理信息系統(tǒng)和數(shù)據(jù)質量第四十一條（風險管理信息系統(tǒng)）銀行業(yè)金融機構應當具備完善的風險管理信息系統(tǒng)，能夠在集團和法人層面計量、評估、展示、報告、加總所有風險類別、產品和交易對手風險暴露的規(guī)模和構成。第三十九條（風險管理應用）銀行業(yè)金融機構應當將風險偏好、風險管理策略、風險限額、風險管理政策和程序等要素與資本管理、業(yè)務管理相結合，在戰(zhàn)略和經(jīng)營計劃制定、新產品審批、內部定價、績效考評和薪酬政策等日常經(jīng)營管理中充分應用并得到有效實施。銀行業(yè)金融機構應當建立健全防火墻制度，規(guī)范內部交易，防止風險傳染。第三十七條（附屬機構）銀行業(yè)金融機構應當制定覆蓋其附屬機構的風險管理政策和程序，保持機構風險管理的一致性、有效性。銀行業(yè)金融機構應當定期更新、演練或測試上述計劃，確保其充分性和可行性。應急計劃應當說明可能出現(xiàn)的風險以及在壓力情況（包括會嚴重威脅銀行生存能力的壓力情景）下應當采取的措施。第三十四條（資本和流動性充足情況評估）銀行業(yè)金融機構應當根據(jù)風險偏好和風險狀況及時評估資本和流動性的充足情況，確保資本、流動性能夠抵御風險。第三十三條（新產品、重大業(yè)務和機構變更的風險評估）銀行業(yè)金融機構應當建立專門的政策和流程，評估開發(fā)新產品或對現(xiàn)有產品進行重大改動、拓展新的業(yè)務領域、設立新機構、從事重大收購和投資等可能帶來的風險，并建立內部審批流程和退出安排。壓力測試的開展應當覆蓋各類風險和表內外主要