【正文】 部門等行為管理相關(guān)部門應(yīng)根據(jù)從業(yè)人員行為管理的職責分工，積極配合牽頭部門對從業(yè)人員的行為進行監(jiān)測、識別、記錄、處理和報告。第十一條銀行業(yè)金融機構(gòu)應(yīng)建立與本機構(gòu)業(yè)務(wù)復(fù)雜程度相匹配的從業(yè)人員管理信息系統(tǒng)，持續(xù)收集從業(yè)人員的基本情況、行為評價、處罰等相關(guān)信息，支持對從業(yè)人員行為開展動態(tài)監(jiān)測。第十三條銀行業(yè)金融機構(gòu)應(yīng)制定與自身業(yè)務(wù)復(fù)雜程度相匹配的行為守則供全體從業(yè)人員遵循。行為守則應(yīng)包括但不限于從業(yè)人員的行為規(guī)范、禁止性行為及其問責處罰機制等。第十四條銀行業(yè)金融機構(gòu)應(yīng)制定覆蓋各業(yè)務(wù)條線的行為細則，各業(yè)務(wù)條線的行為細則應(yīng)符合不同業(yè)務(wù)條線的特點，突出各業(yè)務(wù)條線中關(guān)鍵崗位的行為要求，并重點關(guān)注該業(yè)務(wù)條線中的不當行為可能帶來的潛在風險。第十五條銀行業(yè)金融機構(gòu)制定的行為守則及其細則應(yīng)要求全體從業(yè)人員遵守法律法規(guī)、恪守工作紀律，包括但不限于：自覺抵制并嚴禁參與非法集資、地下錢莊、洗錢、商業(yè)賄賂、內(nèi)幕交易、操縱市場等違法行為，不得在任何場所開展未經(jīng)批準的金融業(yè)務(wù)，不得銷售或推介未經(jīng)審批的產(chǎn)品，不得代銷未持有金融牌照機構(gòu)發(fā)行的產(chǎn)品，不得利用職務(wù)和工作之便謀取非法利益，未經(jīng)監(jiān)管部門允許不得向社會或其他單位和個人泄露監(jiān)管工作秘密信息等。第十七條銀行業(yè)金融機構(gòu)的行為管理牽頭部門應(yīng)每年制定從業(yè)人員行為的評估規(guī)劃，定期評估全體從業(yè)人員行為，并將評估結(jié)果向高級管理層報告。針對評估中發(fā)現(xiàn)的共性問題，應(yīng)提出有效的整改計劃，并持續(xù)對行為守則及其細則進行完善。針對監(jiān)測和排查中發(fā)現(xiàn)的問題，應(yīng)予以記錄并及時提出處理建議。對銀行業(yè)金融機構(gòu)從業(yè)人員的利益相關(guān)人員，不得降低招聘錄用標準。銀行業(yè)金融機構(gòu)在招錄董事（理事）和高級管理人員時，應(yīng)向銀行業(yè)監(jiān)督管理機構(gòu)申請在銀行業(yè)金融機構(gòu)從業(yè)人員處罰信息系統(tǒng)中查詢有關(guān)行政處罰信息。銀行業(yè)金融機構(gòu)應(yīng)針對高級管理人員及關(guān)鍵崗位人員制定與其行為掛鉤的績效薪酬延期追索、扣回制度。第二十一條銀行業(yè)金融機構(gòu)應(yīng)建立舉報制度，鼓勵從業(yè)人員積極抵制、堵截和檢舉各類違法違規(guī)違紀和危害所在機構(gòu)聲譽的行為。第二十二條銀行業(yè)金融機構(gòu)應(yīng)及時對違反行為守則及其細則的從業(yè)人員進行處理和責任追究，并視情況追究負有管理職責的相關(guān)責任人的責任。與本行解除或終止勞動合同的離職或退休人員，如被發(fā)現(xiàn)在銀行業(yè)金融機構(gòu)工作期間存在嚴重違規(guī)行為的，仍應(yīng)追究其責任。第二十四條銀行業(yè)監(jiān)督管理機構(gòu)通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查等對銀行業(yè)金融機構(gòu)從業(yè)人員行為管理進行評估和監(jiān)督管理，并在監(jiān)管評級中考慮上述評估結(jié)果。第二十五條銀行業(yè)金融機構(gòu)應(yīng)當根據(jù)《銀行業(yè)金融機構(gòu)從業(yè)人員處罰信息管理辦法》的相關(guān)要求，將本機構(gòu)從業(yè)人員受刑事處罰、行政處罰、紀律處分、職位處分和經(jīng)濟處理等懲戒措施情況，根據(jù)屬地監(jiān)管原則分別向銀行業(yè)監(jiān)督管理機構(gòu)及其派出機構(gòu)報送相關(guān)信息。銀行業(yè)監(jiān)督管理機構(gòu)及銀行業(yè)金融機構(gòu)不得違反規(guī)定泄露從業(yè)人員處罰信息。第二十八條本指引自印發(fā)之日起施行。第二條 在中華人民共和國境內(nèi)設(shè)立的銀行業(yè)金融機構(gòu)適用本指引。服務(wù)提供商包括獨立第三方，銀行業(yè)金融機構(gòu)母公司或其所屬集團設(shè)立在中國境內(nèi)、外的子公司、關(guān)聯(lián)公司或附屬機構(gòu)。第五條 銀行業(yè)金融機構(gòu)開展外包活動應(yīng)當制定外包的風險管理框架以及相關(guān)制度，并將其納入全面風險管理體系。第七條 銀行業(yè)金融機構(gòu)的戰(zhàn)略管理、核心管理以及內(nèi)部審計等職能不宜外包。第九條 董事會的職責主要包括以下方面：（一）審議批準外包的戰(zhàn)略發(fā)展規(guī)劃；（二）審議批準外包的風險管理制度；（三）審議批準本機構(gòu)的外包范圍及相關(guān)安排；（四）定期審閱本機構(gòu)外包活動相關(guān)報告；（五）定期安排內(nèi)部審計，確保審計范圍涵蓋所有的外包安排。第十一條 外包管理團隊的職責主要包括以下方面：（一）執(zhí)行外包風險管理的政策、操作流程和內(nèi)控制度；（二）負責外包活動的日常管理，包括盡職調(diào)查、合同執(zhí)行情況的監(jiān)督及風險狀況的監(jiān)督；（三）向高級管理層提出有關(guān)外包活動發(fā)展和風險管控的意見和建議；（四）在發(fā)現(xiàn)外包服務(wù)提供商業(yè)的業(yè)務(wù)活動存在缺陷時，采取及時有效的措施；（五）高級管理層確定的其他職責第三章風險管理第十二條 銀行業(yè)金融機構(gòu)在制定外包活動政策時，應(yīng)當評估以下風險因素：（一）銀行業(yè)金融機構(gòu)應(yīng)當關(guān)注外包活動的戰(zhàn)略風險、法律風險、聲譽風險、合規(guī)風險、操作風險、國別風險等風險；（二）影響外包活動的外部因素；（三）本機構(gòu)對外包活動的風險管控能力；（四）服務(wù)提供商的技術(shù)能力及專業(yè)能力，業(yè)務(wù)策略和業(yè)務(wù)規(guī)模，業(yè)務(wù)連續(xù)性及破產(chǎn)風險，風險控制能力及外包服務(wù)的集中度；（五）其他關(guān)注的事項。銀行業(yè)金融機構(gòu)的外包活動涉及多個服務(wù)提供商時，應(yīng)當對這些服務(wù)提供商進行關(guān)聯(lián)關(guān)系的調(diào)查。合同或協(xié)議應(yīng)當包括但不限于以下內(nèi)容：（一）外包服務(wù)的范圍和標準；（二）外包服務(wù)的保密性和安全性的安排；（三）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（四）外包服務(wù)的審計和檢查；（五）外包爭端的解決機制；（六）合同或協(xié)議變更或終止的過渡安排；（七）違約責任。第十五條 銀行業(yè)金融機構(gòu)在外包活動中應(yīng)當建立嚴格的客戶信息保密制度，并依法履行告知義務(wù)。第十七條 銀行業(yè)金融機構(gòu)應(yīng)當關(guān)注外包服務(wù)提供商分包的風險，并在合同中明確以下事項：（一）服務(wù)提供商分包的規(guī)則；（二）分包服務(wù)提供商應(yīng)當嚴格遵守主服務(wù)提供商與銀行業(yè)金融機構(gòu)確定的外包合同或協(xié)議中的相關(guān)條款；（三）主服務(wù)商應(yīng)當確認在業(yè)務(wù)分包后繼續(xù)保證對服務(wù)水平和系統(tǒng)控制負總責；（四）不得將外包活動的主要業(yè)務(wù)分包。第十九條 銀行業(yè)金融機構(gòu)在開展跨境外包活動時，應(yīng)當遵守以下原則：（一）審慎評估法律和管制風險；（二）確?？蛻粜畔⒌陌踩?；（三）選擇境外服務(wù)提供商時，應(yīng)當明確其所在國家或地區(qū)監(jiān)管當局已與我國銀行業(yè)監(jiān)督管理機構(gòu)簽訂諒解備忘錄或雙方認可的其他約定。通過采取替代方案、尋求合同項下的保險安排等措施，確保業(yè)務(wù)活動的正常經(jīng)營。第四章監(jiān)督管理第二十二條 銀行業(yè)金融機構(gòu)在開展外包活動時，應(yīng)當定期向所在地銀行業(yè)監(jiān)督管理機構(gòu)遞交本機構(gòu)外包活動的評估報告。第二十四條 銀行業(yè)監(jiān)督管理機構(gòu)及其派出機構(gòu)根據(jù)需要對外包活動進行現(xiàn)場檢查，采集外包活動過程中數(shù)據(jù)信息和相關(guān)資料，并將檢查結(jié)果納入對該機構(gòu)的監(jiān)管評級。（一）違反相關(guān)法律、行政法規(guī)及規(guī)章；（二）違反本機構(gòu)風險管理政策、內(nèi)控制度及操作流程等；（三）存在重大風險隱患；（四）其他認定的情形。第二十七條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋。第五篇：銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引【發(fā)布單位】中國銀行業(yè)監(jiān)督管理委員會 【發(fā)布文號】【發(fā)布日期】20061101 【生效日期】20061101 【失效日期】 【所屬類別】政策參考【文件來源】中國銀行業(yè)監(jiān)督管理委員會銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引第一章 總 則第一條第一條 為有效防范銀行業(yè)金融機構(gòu)運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風險，促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行，根據(jù)《 中華人民共和國銀行業(yè)監(jiān)督管理法》、國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)，制定本指引。本指引所稱銀行業(yè)金融機構(gòu)，是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構(gòu)以及政策性銀行。第三條第三條 本指引所稱信息系統(tǒng)，是指銀行業(yè)金融機構(gòu)運用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。第五條第五條 信息系統(tǒng)風險管理的目標是通過建立有效的機制，實現(xiàn)對信息系統(tǒng)風險的識別、計量、評價、預(yù)警和控制，推動銀行業(yè)金融機構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力。第七條第七條 銀行業(yè)金融機構(gòu)應(yīng)認真履行下列信息系統(tǒng)管理職責：（一）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標準，落實銀監(jiān)會相關(guān)監(jiān)管要求；（二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風險管理崗位責任制度，并監(jiān)督落實；（三）負責組織對本機構(gòu)信息系統(tǒng)風險進行檢查、評估、分析，及時向本機構(gòu)專門委員會和銀監(jiān)會及其派出機構(gòu)報送相關(guān)的管理信息；（四）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng)；（五）每年經(jīng)董事會或其他決策機構(gòu)審查后向銀監(jiān)會及其派出機構(gòu)報送信息系統(tǒng)風險管理的報告；（六）做好本機構(gòu)信息系統(tǒng)審計工作；（七）配合銀監(jiān)會及其派出機構(gòu)做好信息系統(tǒng)風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改；（八）組織本機構(gòu)信息系統(tǒng)從業(yè)人員進行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn)；（九）開展與信息系統(tǒng)風險管理相關(guān)的其他工作。第九條第九條 銀行業(yè)金融機構(gòu)法定代表人或主要負責人是本機構(gòu)信息系統(tǒng)風險管理責任人。第十一條第十一條 銀行業(yè)金融機構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求：（一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關(guān)崗位職責所需的專業(yè)知識和技能；（二）未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗；經(jīng)考核不適宜的工作人員，應(yīng)及時進行調(diào)整。第十三條第十三條 銀行業(yè)金融機構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風險狀況。第十五條第十五條 銀行業(yè)金融機構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風險管理策略，按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估，并實施有效控制。第十七條第十七條 銀行業(yè)金融機構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責權(quán)限，建立制約機制，實行最小授權(quán)。第十九條第十九條 銀行業(yè)金融機構(gòu)應(yīng)嚴格執(zhí)行國家信息安全相關(guān)標準，參照有關(guān)國際準則，積極推進信息安全標準化，實行信息安全等級保護。第二十一條第二十一條 銀行業(yè)金融機構(gòu)信息系統(tǒng)數(shù)據(jù)中心機房應(yīng)符合國家有關(guān)計算機場地、環(huán)境、供配電等技術(shù)標準。數(shù)據(jù)中心機房應(yīng)實行嚴格的門禁管理措施，未經(jīng)授權(quán)不得進入。第二十三條第二十三條 銀行業(yè)金融機構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等應(yīng)嚴格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標準。第二十四條第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標準和規(guī)范設(shè)計、建設(shè)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴格線路租用合同管理，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運行。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實施隔離；加強無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風險。密鑰、密碼應(yīng)定期更改。第二十八條第二十八條 銀行業(yè)金融機構(gòu)應(yīng)對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。第二十九條第二十九條 銀行業(yè)金融機構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案，并定期演練、評審和修訂。第三十條第三十條 銀行業(yè)金融機構(gòu)應(yīng)加強對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時應(yīng)嚴格授權(quán)。重要數(shù)據(jù)包括：交易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶數(shù)據(jù)，以及產(chǎn)生的報表數(shù)據(jù)等。第四章 研發(fā)風險控制第三十二條第三十二條 研發(fā)風險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風險。項目領(lǐng)導(dǎo)小組負責項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。第三十四條第三十四條 項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識，小組負責人需具備組織領(lǐng)導(dǎo)能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進度。第三十六條第三十六條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據(jù)項目需求編制項目功能說明書。第三十八條第三十八條 銀行業(yè)金融機構(gòu)應(yīng)建立獨立的測試環(huán)境，以保證測試的完整性和準確性。測試不得直接使用生產(chǎn)數(shù)據(jù)。第四十條第四十條 銀行業(yè)金融機構(gòu)業(yè)務(wù)人員、技術(shù)人員應(yīng)根據(jù)職責范圍分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃，并進行演練。第四十二條第四十二條 項目驗收應(yīng)出具由相關(guān)負責人簽字的項目驗收報告，驗收不合格不得投產(chǎn)使用。第四十四條第四十四條 銀行業(yè)金融機構(gòu)信息系統(tǒng)運行與維護應(yīng)實行職責分離，運行人員應(yīng)實行專職，不得由其他人員兼任。維護人員應(yīng)按授權(quán)和維護規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護，除應(yīng)急外，其他維護應(yīng)在非工作時間進行。第四十六條第四十六條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的維護應(yīng)符合以下要求：（一）除對信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護外，對軟件或數(shù)據(jù)的維護必須通過特定的應(yīng)用程序進行，添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端，不得對數(shù)據(jù)庫進行直接操作；（二）具備各種詳細的日志信息，包括交易日志和審計日志等，以便維護和審計；（三）提供維護的統(tǒng)計和報表打印功能。第四十八條第四十八條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，應(yīng)組織對系統(tǒng)的后評價，并根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。第五十條第五十條 銀行業(yè)金融機構(gòu)應(yīng)實行事件報告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件，應(yīng)即時上報并處理，必要時啟動應(yīng)急處理預(yù)案。第五十二條第五十二條 銀行業(yè)金融機構(gòu)在進行信息系統(tǒng)外包時，應(yīng)根據(jù)風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關(guān)規(guī)章制度，制定相應(yīng)的風險防范措施。評估工作可委托經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì)，具有相關(guān)專業(yè)經(jīng)驗的獨立機構(gòu)完成。第五十五條第五十五條 銀行業(yè)金融機構(gòu)應(yīng)充分認識外包服務(wù)對信息系統(tǒng)風險控制的直接和間接影響，并將其納入總體安全策略和風險控制之中。第五十七條第五十七條 銀行業(yè)金融機構(gòu)的信息系統(tǒng)外包風險管理應(yīng)當符合風險管理標準和策略，并應(yīng)建立針對外包風險的應(yīng)急計劃。第五十九條第五十九條 銀行業(yè)金融機構(gòu)將敏感的信息系統(tǒng)，以及其他涉及國家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進行外包時，應(yīng)遵守國家有關(guān)法律法規(guī)，符合銀監(jiān)會的有關(guān)規(guī)定，經(jīng)過董事會或其他決策機構(gòu)批準，并在實施外包前報銀監(jiān)會及其派出機構(gòu)和法律法規(guī)規(guī)定需要報告的機構(gòu)備案。第六十一條第六十一條 信息系統(tǒng)風險審計應(yīng)包括：總體風險審計、系統(tǒng)審閱和專項風險審計。根據(jù)信息系統(tǒng)的總體風險狀況確定審