【正文】 不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮（一）提出定性和定量的績(jī)效指標(biāo)，評(píng)估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶（二）通過(guò)服務(wù)水平報(bào)告、定期自我評(píng)估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績(jī)效考核。第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資（一）（二）（三）（四）（五）嚴(yán)格控制外包服務(wù)商再次對(duì)外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信（六）第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服第九章 內(nèi)部審計(jì)第六十三條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)。信息科技專項(xiàng)審計(jì)，是指對(duì)信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對(duì)商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商第七十二條 商業(yè)銀行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，第十一章 附第七十三條 未設(shè)董事會(huì)的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營(yíng)決策機(jī)構(gòu)履行本指 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 第一章 總 則第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》、《中華人民共和國(guó)外資銀行管理?xiàng)l例》，第二條政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨第三條 本指引所稱信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。第五條 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。加強(qiáng)信息科技專（七）確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對(duì)審計(jì)報(bào)告（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的年度報(bào)告。首席信息（一）（二）確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。該部門應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評(píng)估，第十一條 商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技第十二條 商業(yè)銀行應(yīng)按照知識(shí)產(chǎn)權(quán)相關(guān)法律法規(guī)，制定本機(jī)構(gòu)信息科技知識(shí)產(chǎn)權(quán)保護(hù)策略和制度，并使所有員工充分理解并遵照?qǐng)?zhí)行。第十五條 商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)（一）（二）（三）（四）（五）（六）（七）第十六條 商業(yè)銀行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息科技中存在隱患的區(qū)域，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所第十七條 商業(yè)銀行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的（一）制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行（二）確定潛在風(fēng)險(xiǎn)區(qū)域，并對(duì)這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。（八）第十九條 中資商業(yè)銀行在境外設(shè)立的機(jī)構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當(dāng)遵守境內(nèi)外監(jiān)管機(jī)構(gòu)關(guān)于信息科技風(fēng)險(xiǎn)管理的要求，并防范因監(jiān)管差異所造成的風(fēng)險(xiǎn)。第二十一條 商業(yè)銀行信息科技部門應(yīng)落實(shí)信息安全管理職能。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維（一）（二）（三）（四）（五）（六）（七）（八）（九）（十）業(yè)務(wù)連續(xù)性管（十一）第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問(wèn)控制的流程。用戶調(diào)動(dòng)到新的第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放臵網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡(jiǎn)稱為域）。（六）（七）第二十五條 商業(yè)銀行應(yīng)通過(guò)以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的（一）制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要（二）明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測(cè)試人員、計(jì)算機(jī)操作人（三）制定最高權(quán)限系統(tǒng)賬戶的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶（四）（五）在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問(wèn)、對(duì)用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)第二十六條（一）明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職（二）（三）加強(qiáng)職責(zé)劃分，對(duì)關(guān)鍵或敏感崗位進(jìn)行雙重控制。日志可以在軟件的不同層次、（一）交易日志。交易日志應(yīng)按照國(guó)家會(huì)計(jì)準(zhǔn)則要求予以保（二）系統(tǒng)日志。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。（三）（四）第二十九條 商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對(duì)所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）和個(gè)人數(shù)字助理（PDA第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。第三十三條 商業(yè)銀行應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無(wú)效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的第三十四條 商業(yè)銀行應(yīng)采取適當(dāng)?shù)南到y(tǒng)開發(fā)方法，控制信息系統(tǒng)的生命周期。所采用的系統(tǒng)開發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的（一）（二）生產(chǎn)系統(tǒng)與開發(fā)系統(tǒng)、測(cè)試系統(tǒng)的管理職能相分離。第三十六條 商業(yè)銀行應(yīng)制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開發(fā)、第三十七條 商業(yè)銀行應(yīng)建立并完善有效的問(wèn)題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問(wèn)題，并對(duì)問(wèn)題進(jìn)行記錄、分類和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過(guò)程記錄在案；對(duì)完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和第三十八條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程，控制系統(tǒng)升級(jí)過(guò)程。如在信息科技運(yùn)行手冊(cè)中說(shuō)明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（即備份的頻率、范圍和保留第四十四條 商業(yè)銀行應(yīng)建立事故管理及處臵機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處臵和根本原因分析。第四十五條 商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程，對(duì)信息科技運(yùn)行第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對(duì)系統(tǒng)性能造成影響前對(duì)第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)第四十八條 商業(yè)銀行應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。緊急變更成功后,應(yīng)通過(guò)正常的驗(yàn)收測(cè)試和變更管理流程,采用恰當(dāng)?shù)牡谄哒碌谖迨畻l 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無(wú)法預(yù)見的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；第五十一條 商業(yè)銀行應(yīng)評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影（一）內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。其中包括：（一）規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長(zhǎng)期中斷所造成影響的措施，包括但不限于:1．資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。第八章 外第五十五條 商業(yè)銀行不得將其信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職第五十六條 商業(yè)銀行實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。（七）（八）變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務(wù)商選擇變更或終止外包 商業(yè)銀行在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮（一）提出定性和定量的績(jī)效指標(biāo)，評(píng)估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶（二）通過(guò)服務(wù)水平報(bào)告、定期自我評(píng)估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績(jī)效考核。第六十條 商業(yè)銀行應(yīng)加強(qiáng)信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資（一）（二）（三）（四）（五）嚴(yán)格控制外包服務(wù)商再次對(duì)外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息（六）第六十一條 商業(yè)銀行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。商業(yè)銀行應(yīng)設(shè)立流程定期審閱和修訂服第九章第六十三條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)。信息科技專項(xiàng)審計(jì)，是指對(duì)信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事第六十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對(duì)商業(yè)銀行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)第七十一條 外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的商第七十二條 商業(yè)銀行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，第十一章 附第七十三條 未設(shè)董事會(huì)的商業(yè)銀行，應(yīng)當(dāng)由其經(jīng)營(yíng)決策機(jī)構(gòu)履行本指引中董事第七十四條 第七十五條第七十六條 本指引自頒布之日起施行，《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)?2006?63號(hào)）同時(shí)廢止。第二篇：《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》為進(jìn)一步加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)近日發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱《管理指引》），原《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)［2006］63號(hào)，以下簡(jiǎn)稱原《指引》）同時(shí)廢止。為此，銀監(jiān)會(huì)在原《指引》的基礎(chǔ)上，廣泛征求業(yè)內(nèi)機(jī)構(gòu)意見，制定了本《管理指引》。新《指引》共十一章七十六條，分為總則，信息科技治理，信息科技風(fēng)險(xiǎn)管理，信息安全，信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)，信息科技運(yùn)行，業(yè)務(wù)連續(xù)性管理，外包，內(nèi)部審計(jì)，外部審計(jì)和附則等十一個(gè)部分。商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第一章 總 則第一條 為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》、《中華人民共和國(guó)外資銀行管理?xiàng)l例》，以及國(guó)家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本指引。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照?qǐng)?zhí)行。第四條 本指引所稱信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。第二章 信息科技治理第六條 商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。（二）審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。（三）掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測(cè)和控制。（五）設(shè)立一個(gè)由來(lái)自高級(jí)管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。（八）每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。（十）確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。（十二）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。（十四）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。首席信息官的職責(zé)包括：（一）直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。（三）負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。（四）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。（六）履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。對(duì)相關(guān)人員應(yīng)采取下列風(fēng)險(xiǎn)防范措施：（一）驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專業(yè)