第六條銀行業金融機構應當建立有效的信息系統風險管理框架,完善內部組織架構和工作機制,防範和控制信息系統風險。
第七條銀行業金融機構應切實履行以下信息系統管理職責:
(壹)貫徹國家信息系統管理法律法規和技術標準,落實銀監會相關監管要求。
(二)建立有效的信息安全體系和內部控制程序,明確信息系統風險管理崗位責任制,並監督實施;
(三)負責組織本機構信息系統風險的檢查、評估和分析,並及時向本機構專門委員會、銀監會及其派出機構提交相關管理信息。
(四)及時向銀監會及其派出機構報告本機構重大信息系統事故或突發事件,並根據相關預案快速響應。
(五)每年經董事會或其他決策機構審議後,向銀監會及其派出機構提交信息系統風險管理年度報告。
(六)做好本機構信息系統的審計工作;
(七)配合銀監會及其派出機構做好信息系統風險監督檢查,並根據監管意見進行整改;
(八)組織本機構信息系統從業人員開展與信息系統相關的業務、技術和安全培訓;
(九)開展與信息系統風險管理相關的其他工作。
第八條銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理;信息科技管理委員會、風險管理委員會或其他負責風險監管的專業委員會應制定信息系統總體戰略,統籌信息系統項目建設,定期評估和報告本機構信息系統風險狀況,為決策者提供建議並采取相應的風險控制措施。
第九條銀行業金融機構的法定代表人或者主要負責人是本機構信息系統風險管理的負責人。
第十條銀行業金融機構應當設立信息科技部門,負責本機構信息系統的規劃、研發、建設、運行、維護和監控,並提供日常科技服務和運營技術支持;建立或明確專門的信息系統風險管理部門,建立健全信息系統風險管理規章制度,協助業務部門和信息科技部門嚴格執行,並提供相關監管信息;設立審計部門或專門的審計崗位,建立健全信息系統風險審計制度,配備相應的合格人員進行信息系統風險審計。
第十壹條銀行業金融機構從事信息系統相關工作的人員應當具備以下條件:
(壹)具有良好的職業道德,掌握履行信息系統相關職責所需的專業知識和技能;
(二)未經崗前培訓或培訓不合格的不得上崗;經考核不適合的工作人員要及時調整。
第十二條銀行業金融機構應加強信息系統風險管理專業隊伍建設,建立適應信息科技發展的人才激勵機制。
第十三條銀行業金融機構應根據相關法律法規,及時、規範地披露信息系統風險狀況。
整體風險控制
第十四條整體風險是指信息系統在戰略、系統、機房、軟件、硬件、網絡、數據、文檔等方面影響全局或* * *的風險。
第十五條銀行業金融機構應當根據信息系統的總體規劃,制定清晰、持續的風險管理策略,並根據信息系統的敏感度對各綜合要素進行分析和評估,實施有效控制。
第十六條銀行業金融機構應當采取措施防範自然災害和經營環境變化帶來的安全威脅,防範各類突發事故和惡意攻擊。
第十七條銀行業金融機構應當建立健全與信息系統相關的規章制度、技術規範和操作流程;明確信息系統相關人員的職責和權限,建立約束機制,實行最低授權。
第十八條在境外設立的中資銀行業金融機構或在境內設立的境外銀行業金融機構應防範境內外信息系統監管體系差異導致的跨境風險。
第十九條銀行業金融機構應當嚴格執行國家相關信息安全標準,積極推進信息安全標準化,參照相關國際標準實施信息安全等級保護。
第二十條銀行業金融機構應當加強信息系統的評估和測試,及時修復和更新,確保信息系統的安全和完整。
第二十壹條銀行業金融機構信息系統數據中心的機房應符合國家有關計算機場地、環境、供電和配電的技術標準。國家級數據中心至少應達到國家A類機房標準,省級數據中心至少應達到國家B類機房標準,省級以下數據中心至少應達到C類機房標準。數據中心機房應實施嚴格的門禁措施,不允許非授權訪問。
第二十二條銀行業金融機構應當重視知識產權保護,使用正版軟件,加強軟件版本管理,優先使用具有我國自主知識產權的軟硬件產品;積極研發具有自主知識產權的信息系統和相關金融產品,並采取有效措施保護本機構的信息化成果。
第二十三條銀行業金融機構信息系統相關電子設備的選擇、采購、登記、維護、維修和報廢應嚴格遵循相關規定,所選設備應經過技術論證,測試性能應符合國家相關標準。信息系統中使用的服務器等關鍵設備應具有高可靠性、足夠的容量和壹定的容錯特性,並配備適當的備件。
第二十四條信息系統網絡應當參照相關標準和規範進行設計和建設;網絡設備既要有技術先進性,也要有產品成熟度;網絡設備和線路應有冗余備份;嚴格管理線路租賃合同,根據業務和交易流程要求,保證傳輸帶寬;建立健全網絡管理中心,對通信線路和網絡設備進行監控和管理,確保網絡安全穩定運行。
第二十五條銀行業金融機構應當加強網絡安全管理。生產網絡應與開發和測試網絡、業務網絡和辦公網絡、內部網絡和外部網絡隔離;加強無線網絡和互聯網接入的邊界控制;使用內容過濾、身份認證、防火墻、病毒防範、入侵檢測、漏洞掃描和數據加密等技術手段,有效降低外部攻擊和信息泄露的風險。
第二十六條銀行業金融機構應當加強對信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標準的密碼設備,完善安全要素的生成、收集、使用、修改、存儲和銷毀等管理制度。應該定期更換密鑰和密碼。
第二十七條銀行業金融機構應當加強對數據采集、存儲、傳輸、使用、備份、恢復、抽查、清理和銷毀的有效管理,不得采集、處理、傳輸或訪問非系統數據;優化系統和數據庫的安全設置,嚴格按照授權使用系統和數據庫,采用適當的數據加密技術保護敏感數據的傳輸和訪問,確保數據的完整性和保密性。
第二十八條銀行業金融機構應當對信息系統配置參數實施嚴格的安全保密管理,防止非法生成、更改、泄露、丟失和破壞。根據敏感程度和用途,確定訪問權限、方式和授權使用範圍,嚴格審批和登記程序。
第二十九條銀行業金融機構應當制定信息系統應急預案,並定期進行演練、評審和修訂。省級以下數據中心至少實現數據備份和遠程存儲,省級數據中心至少實現遠程數據實時備份,國家級數據中心實現遠程容災。
第三十條銀行業金融機構應當加強技術文檔和重要數據的備份管理;技術文件和重要資料應壹式兩份,異地保存,並保存規定年限,調用時應嚴格授權。信息系統的技術文檔包括:系統環境描述文檔、源程序以及系統研究、開發、運行和維護過程中形成的各種技術文檔。重要數據包括:交易數據、會計數據、客戶數據、生成的報表數據。
第三十壹條銀行業金融機構應當在信息系統可能影響客戶服務時,以適當方式告知客戶。
R&D風險控制
第三十二條R&D風險是指R&D過程中信息系統的組織、規劃、需求、分析、設計、編程、測試和試運行所產生的風險。
第三十三條銀行業金融機構在信息系統研發前應成立項目工作組,重大項目還應成立項目領導小組,並指定負責人。項目領導小組負責項目的組織、協調、檢查和監督。項目工作組由業務人員、技術人員和管理人員組成,負責整個項目的開發。
第三十四條項目組成員應具備與項目要求相適應的業務經驗和專業技術知識,組長應具備保證信息系統研發質量和進度的組織領導能力。
第三十五條銀行業金融機構業務部門應根據業務發展戰略,在充分市場調研和產品效益分析的基礎上,編制信息系統R&D項目可行性報告。
第三十六條銀行業金融機構業務部門應編制項目需求說明書並提出風險控制要求,信息技術部應根據項目需求編制項目功能說明書。
第三十七條銀行業金融機構信息科技部門應根據項目功能規範,分別編制項目總體技術框架和設計規範,設計和編碼應符合項目功能規範的要求。
第三十八條銀行業金融機構應當建立獨立的測試環境,確保測試的完整性和準確性。測試至少應包括功能測試、安全測試、壓力測試、驗收測試和適應性測試。測試中不得直接使用生產數據。
第三十九條銀行業金融機構信息科技部門應根據測試結果對系統功能和缺陷進行修復,提高系統整體質量。
第四十條銀行業金融機構業務人員和技術人員應當根據職責範圍,分別編制操作規程、技術應急預案、業務連續性預案、生產計劃和應急撤退預案,並進行演練。
第四十壹條開發過程中涉及的所有文件和資料應由相關部門和人員簽字確認,並存檔。
第四十二條工程驗收應由相關負責人出具工程驗收報告,驗收不合格的不得投入使用。
第五章運維風險控制
第四十三條運維風險是指信息系統運維過程中的運行管理、變更管理、機房管理和事件管理等風險。
第四十四條銀行業金融機構信息系統的運行維護應當與其職責分離,操作人員應當專職,不得由其他人員兼任。操作人員應按操作規程進行檢查和操作。維護人員應根據授權和維護程序的要求維護生產狀態的軟件、硬件和數據,除緊急情況外,其他維護應在非工作時間進行。
第四十五條銀行業金融機構信息系統運行應符合以下要求:
(壹)制定詳細的值班操作表,包括規定的檢查時間、操作範圍、內容、方法、命令和負責人員等信息;
(2)提供常用、簡單的操作菜單或命令,如啟動或停止信息系統、查詢操作日誌等。;
(三)提供機房環境、設備使用、網絡運行、系統運行等監控信息;
(4)記錄當班運行中的所有現象、運行過程等信息。
第四十六條銀行業金融機構信息系統維護應符合以下要求:
(壹)除信息系統設備和系統環境維護外,軟件或數據的維護必須通過特定應用進行,數據的添加、刪除和修改應通過櫃員終端進行,不得直接操作數據庫;
(二)具備各種詳細的日誌信息,包括交易日記錄和審計日誌,以便維護和審計;
(3)提供維修統計和報表打印功能。
第四十七條銀行業金融機構信息系統變更應符合以下要求:
(1)制定嚴格的變更處理流程,明確變更控制中各崗位的職責,並按照流程實施控制和管理;變更前應明確應急和回退方案,不得擅自進行變更操作;
(二)根據變更要求、變更方案、變更內容核查清單等相關文件審查變更的正確性、安全性和合法性;
(3)應使用軟件工具準確確定變更的真實位置和內容,並形成變更檢查表,實現真實、有效、全面的檢查;
(4)軟件版本變更後,應保留初始版本和所有版本歷史,並保留所有歷史變更的驗證清單。
第四十八條銀行業金融機構應當在信息系統投產後壹定期限內組織進行後評估,並根據評估結果及時調整和優化系統功能。
第四十九條銀行業金融機構應當對機房環境設施進行日常檢查,明確信息系統和機房環境設施發生故障時的應急處理程序和預案。具有實時交易服務的數據中心應24小時值班。
第五十條銀行業金融機構應當實行事件報告制度。對信息系統造成重大經濟損失、聲譽損失和重大影響的事件,應立即報告和處理,必要時啟動應急預案。
外包風險控制
第五十壹條外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運營、維護和監控委托給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條銀行業金融機構外包信息系統時,應根據風險控制和實際需要,合理確定外包原則和範圍,認真分析和評估外包中存在的潛在風險,建立健全相關規章制度,制定相應的風險防範措施。
第五十三條銀行業金融機構應建立健全外包承包商評估機制,對承包商的經營狀況、資金實力、信用記錄、安全資質、技術服務能力、實際風險控制和責任承擔水平等進行充分審查和評估,並進行必要的盡職調查。評估可委托具有相關專業經驗的獨立機構進行,該機構應具備相應國家監管部門的資質。
第五十四條銀行業金融機構應當與承包商簽訂書面合同,明確雙方的權利和義務,約定承包商在安全、保密、知識產權等方面的義務和責任。
第五十五條銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響,並將其納入整體安全戰略和風險控制。
第五十六條銀行業金融機構應建立完整的信息系統外包風險評估和監控程序,審慎管理外包風險,提高外包管理能力。
第五十七條銀行業金融機構信息系統外包風險管理應符合風險管理標準和策略,並建立外包風險應急預案。
第五十八條銀行業金融機構應當與外包承包商建立有效的聯系、溝通和信息交流機制,制定能夠實現承包商平穩變更、確保在突發情況下外包服務不中斷的應急預案。
第五十九條銀行業金融機構外包敏感信息系統及其他涉及國家秘密、商業秘密、客戶隱私數據管理和傳輸的內容時,應遵守國家相關法律法規,符合銀監會相關規定,經董事會或其他決策機構批準,並在外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。