第六條 商業銀行法定代表人是本機構信息科技風險管理的第壹責任人,負責組織本指引的貫徹落實。
第七條 商業銀行的董事會應履行以下信息科技管理職責:
(壹) 遵守並貫徹執行國家有關信息科技管理的法律、法規和技術標準,落實中國銀行業監督管理委員會(以下簡稱銀監會)相關監管要求。
(二) 審查批準信息科技戰略,確保其與銀行的總體業務戰略和重大策略相壹致。評估信息科技及其風險管理工作的總體效果和效率。
(三) 掌握主要的信息科技風險,確定可接受的風險級別,確保相關風險能夠被識別、計量、監測和控制。
(四) 規範職業道德行為和廉潔標準,增強內部文化建設,提高全體人員對信息科技風險管理重要性的認識。
(五) 設立壹個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。
(六) 在建立良好的公司治理的基礎上進行信息科技治理,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設,建立人才激勵機制。
(七) 確保內部審計部門進行獨立有效的信息科技風險管理審計,對審計報告進行確認並落實整改。
(八) 每年審閱並向銀監會及其派出機構報送信息科技風險管理的年度報告。
(九) 確保信息科技風險管理工作所需資金。
(十) 確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程,並安排相關培訓。
(十壹) 確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行,並保持最 高的管理權限,符合銀監會監管和實施現場檢查的要求,防範跨境風險。
(十二) 及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件,按相關預案快速響應。
(十三) 配合銀監會及其派出機構做好信息科技風險監督檢查工作,並按照監管意見進行整改。
(十四) 履行信息科技風險管理其他相關工作。
第八條 商業銀行應設立首席信息官,直接向行長匯報,並參與決策。首席信息官的職責包括:
(壹) 直接參與本銀行與信息科技運用有關的業務發展決策。
(二) 確保信息科技戰略,尤其是信息系統開發戰略,符合本銀行的總體業務戰略和信息科技風險管理策略。
(三) 負責建立壹個切實有效的信息科技部門,承擔本銀行的信息科技職責。確保其履行:信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。
(四) 確保信息科技風險管理的有效性,並使有關管理措施落實到相關的每壹個內設機構和分支機構。
(五) 組織專業培訓,提高人才隊伍的專業技能。
(六) 履行信息科技風險管理其他相關工作。
第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定;各崗位的人員應具有相應的專業知識和技能,重要崗位應制定詳細完整的工作手冊並適時更新。對相關人員應采取下列風險防範措施:
(壹) 驗證個人信息,包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。
(二) 審核信息科技員工的道德品行,確保其具備相應的職業操守。
(三) 確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求,並同員工簽訂相關協議。
(四) 評估關鍵崗位信息科技員工流失帶來的風險,做好安排候補員工和崗位接替計劃等防範措施;在員工崗位發生變化後及時變更相關信息。
第十條 商業銀行應設立或指派壹個特定部門負責信息科技風險管理工作,並直接向首席信息官或首席風險官(風險管理委員會)報告工作。該部門應為信息科技突發事件應急響應小組的成員之壹,負責協調制定有關信息科技風險管理策略,尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面,為業務部門和信息科技部門提供建議及相關合規性信息,實施持續信息科技風險評估,跟蹤整改意見的落實,監控信息安全威脅和不合規事件的發生。
第十壹條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位,負責信息科技審計制度和流程的實施,制訂和執行信息科技審計計劃,對信息科技整個生命周期和重大事件等進行審計。
第十二條 商業銀行應按照知識產權相關法律法規,制定本機構信息科技知識產權保護策略和制度,並使所有員工充分理解並遵照執行。確保購買和使用合法的軟硬件產品,禁止侵權盜版;采取有效措施保護本機構自主知識產權。
第十三條 商業銀行應依據有關法律法規的要求,規範和及時披露信息科技風險狀況。