【正文】 信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。第三十九條銀行業(yè)金融機(jī)構(gòu)對(duì)關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查，不得以服務(wù)提供商的自評(píng)估替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。第五節(jié) 外包服務(wù)監(jiān)控與評(píng)價(jià)第四十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類(lèi)異常情況。常見(jiàn)指標(biāo)包括：（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率；（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；（三）服務(wù)的次數(shù)、客戶(hù)滿意度；（四）各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；（五）外包人員工作飽和率、外包人員的考核合格率。第四十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。第四十六條外包服務(wù)結(jié)束時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。同時(shí)，應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績(jī)效考核機(jī)制。第四十九條為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：（一）在外包服務(wù)實(shí)施過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；（二）與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；（三）要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；（四）對(duì)于涉及重要業(yè)務(wù)的外包服務(wù)，銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第五十一條對(duì)于無(wú)法滿足外包服務(wù)要求或發(fā)生重大事件的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提供商終止服務(wù)，情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理第五十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比，服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場(chǎng)占比情況，識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。第五十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度，減少對(duì)外包服務(wù)提供商的依賴(lài)。第五十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對(duì)獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場(chǎng)地、系統(tǒng)、設(shè)備等；并對(duì)資源進(jìn)行定期檢查，確保資源及時(shí)到位。第五十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況的持續(xù)監(jiān)控，建立信息收集機(jī)制，及時(shí)掌握風(fēng)險(xiǎn)事件情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。第五十九條對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理。第六十一條跨境外包除具有本指引前述風(fēng)險(xiǎn)外，還包括由于某一國(guó)家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國(guó)別風(fēng)險(xiǎn)，及由于外包實(shí)施場(chǎng)地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場(chǎng)風(fēng)險(xiǎn)。第六十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國(guó)外法律法規(guī)、監(jiān)管要求對(duì)其獲取服務(wù)提供商外包管理信息可能造成的影響。第六十四條銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，應(yīng)當(dāng)明確其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。涉及客戶(hù)信息的跨境外包，應(yīng)當(dāng)在符合監(jiān)管法規(guī)政策并獲得客戶(hù)授權(quán)的前提下開(kāi)展。第二節(jié) 非駐場(chǎng)外包風(fēng)險(xiǎn)管理第六十七條非駐場(chǎng)外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場(chǎng)提供服務(wù)的外包形式。第六十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。實(shí)地檢查原則上一年不少于一次，檢查結(jié)果作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。對(duì)于高風(fēng)險(xiǎn)的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)責(zé)令其進(jìn)行限期整改，對(duì)于逾期未改的服務(wù)提供商應(yīng)當(dāng)暫?；蛉∠浞?wù)資格。第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求第七十二條銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù)，同時(shí)滿足下述條件，如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，造成經(jīng)濟(jì)損失的機(jī)構(gòu)，具體條件如下：(一)承擔(dān)集中存貯客戶(hù)數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶(hù)資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)；且上述服務(wù)均為非駐場(chǎng)外包服務(wù)。第七十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示，按照如下要求進(jìn)行管理：(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體，注冊(cè)資本和實(shí)收資本不少于1000萬(wàn)，注冊(cè)成立時(shí)間不少于3年。(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場(chǎng)地應(yīng)當(dāng)設(shè)臵在中國(guó)境內(nèi)。(二)具有完善的質(zhì)量管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。(四)承擔(dān)集中存貯客戶(hù)數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶(hù)資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施。(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過(guò)往無(wú)不良記錄，且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。（一）信息科技工作整體外包；（二）數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包；（三）涉及將銀行業(yè)金融機(jī)構(gòu)客戶(hù)資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包；（四）以非駐場(chǎng)形式實(shí)施的、集中存貯客戶(hù)數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；（五）關(guān)聯(lián)外包；（六）涉及跨境的信息科技外包；（七）其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。（一）銀行業(yè)金融機(jī)構(gòu)客戶(hù)信息等敏感數(shù)據(jù)泄露；（二）數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷；（三）由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題，導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷。第七十八條銀行業(yè)金融機(jī)構(gòu)在開(kāi)展外包風(fēng)險(xiǎn)管理評(píng)估工作后，應(yīng)當(dāng)將風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。第八十條對(duì)于風(fēng)險(xiǎn)較高的信息科技外包服務(wù)，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類(lèi)外包服務(wù)，直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。因管理過(guò)失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶(hù)合法權(quán)益的，依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。第八十三條銀監(jiān)會(huì)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估，根據(jù)需要，可以要求銀行業(yè)金融機(jī)構(gòu)與重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談，就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說(shuō)明。第八十五條銀監(jiān)會(huì)可以根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評(píng)估和實(shí)地核查結(jié)果，對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)問(wèn)題實(shí)施整改。第八十七條銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對(duì)銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄，并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。外包服務(wù)提供商兩年內(nèi)仍未整改的，延長(zhǎng)其禁止期。第八十九條銀監(jiān)會(huì)負(fù)責(zé)監(jiān)督銀行業(yè)金融機(jī)構(gòu)對(duì)信息科技外包服務(wù)提供商實(shí)施準(zhǔn)入管理。第九章 附則第九十條本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第四篇：銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引【發(fā)布單位】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì) 【發(fā)布文號(hào)】【發(fā)布日期】20061101 【生效日期】20061101 【失效日期】 【所屬類(lèi)別】政策參考【文件來(lái)源】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引第一章 總 則第一條第一條 為有效防范銀行業(yè)金融機(jī)構(gòu)運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營(yíng)管理和內(nèi)部控制過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)我國(guó)銀行業(yè)安全、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)《 中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、國(guó)家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)，制定本指引。本指引所稱(chēng)銀行業(yè)金融機(jī)構(gòu)，是指在中華人民共和國(guó)境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及政策性銀行。第三條第三條 本指引所稱(chēng)信息系統(tǒng)，是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營(yíng)管理和內(nèi)部控制的系統(tǒng)。第五條第五條 信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制，推動(dòng)銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。第七條第七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)認(rèn)真履行下列信息系統(tǒng)管理職責(zé)：（一）貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)銀監(jiān)會(huì)相關(guān)監(jiān)管要求；（二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風(fēng)險(xiǎn)管理崗位責(zé)任制度，并監(jiān)督落實(shí)；（三）負(fù)責(zé)組織對(duì)本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行檢查、評(píng)估、分析，及時(shí)向本機(jī)構(gòu)專(zhuān)門(mén)委員會(huì)和銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送相關(guān)的管理信息；（四）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng)；（五）每年經(jīng)董事會(huì)或其他決策機(jī)構(gòu)審查后向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息系統(tǒng)風(fēng)險(xiǎn)管理的報(bào)告；（六）做好本機(jī)構(gòu)信息系統(tǒng)審計(jì)工作；（七）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見(jiàn)進(jìn)行整改；（八）組織本機(jī)構(gòu)信息系統(tǒng)從業(yè)人員進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn)；（九）開(kāi)展與信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)的其他工作。第九條第九條 銀行業(yè)金融機(jī)構(gòu)法定代表人或主要負(fù)責(zé)人是本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理責(zé)任人。第十一條第十一條 銀行業(yè)金融機(jī)構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求：（一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專(zhuān)業(yè)知識(shí)和技能；（二）未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗；經(jīng)考核不適宜的工作人員，應(yīng)及時(shí)進(jìn)行調(diào)整。第十三條第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況。第十五條第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險(xiǎn)管理策略，按照信息系統(tǒng)的敏感程度對(duì)各個(gè)集成要素進(jìn)行分析和評(píng)估，并實(shí)施有效控制。第十七條第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)。第十九條第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國(guó)際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，實(shí)行信息安全等級(jí)保護(hù)。第二十一條第二十一條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)數(shù)據(jù)中心機(jī)房應(yīng)符合國(guó)家有關(guān)計(jì)算機(jī)場(chǎng)地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)。數(shù)據(jù)中心機(jī)房應(yīng)實(shí)行嚴(yán)格的門(mén)禁管理措施，未經(jīng)授權(quán)不得進(jìn)入。第二十三條第二十三條 銀行業(yè)金融機(jī)構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購(gòu)置、登記、保養(yǎng)、維修、報(bào)廢等應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過(guò)技術(shù)論證，測(cè)試性能應(yīng)符合國(guó)家有關(guān)標(biāo)準(zhǔn)。第二十四條第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴(yán)格線路租用合同管理，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測(cè)和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。生產(chǎn)網(wǎng)絡(luò)與開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離；加強(qiáng)無(wú)線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過(guò)濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)。密鑰、密碼應(yīng)定期更改。第二十八條第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。第二十九條第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案，并定期演練、評(píng)審和修訂。第三十條第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)。重要數(shù)據(jù)包括：交易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)，以及產(chǎn)生的報(bào)表數(shù)據(jù)等。第四章 研發(fā)風(fēng)險(xiǎn)控制第三十二條第三十二條 研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。第三十四條第三十四條 項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專(zhuān)業(yè)技術(shù)知識(shí)，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進(jìn)度。第三十六條第三十六條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門(mén)編寫(xiě)項(xiàng)目需求說(shuō)明書(shū)，提出風(fēng)險(xiǎn)控制要求，信息科技部門(mén)根據(jù)項(xiàng)目需求編制項(xiàng)目功能說(shuō)明書(shū)。第三十八條第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立獨(dú)立的測(cè)試環(huán)境，以保證測(cè)試的完整性和準(zhǔn)確性。測(cè)試不得直接使用生產(chǎn)數(shù)據(jù)。第四十條第四十條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)人員、技術(shù)人員應(yīng)根據(jù)職責(zé)范圍分別編寫(xiě)操作說(shuō)明書(shū)、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃，并進(jìn)行演練。第四十二條第四十二條 項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收?qǐng)?bào)告，驗(yàn)收不合格不得投產(chǎn)使用。第四十四條第四十四條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離，運(yùn)行人員應(yīng)實(shí)行專(zhuān)職，不得由其他人員兼任。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)，除應(yīng)急外，其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行。第四十六條第四十六條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的維護(hù)應(yīng)符合以下要求：（一）除對(duì)信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護(hù)