第三十三條商業銀行應識別與信息科技項目相關的風險,包括因無效的項目規劃或不當的項目管理控制而導致的潛在操作風險、財務損失風險和機會成本,並采用適當的項目管理方法控制與信息科技項目相關的風險。?
第三十四條商業銀行應當采用適當的系統開發方法控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外包、測試、調試、部署、維護和退出。所采用的系統開發方法應符合信息技術項目的規模、性質和復雜程度。
第三十五條商業銀行應制定控制信息系統變更的相關制度和程序,以確保系統的可靠性、完整性和可維護性,包括以下要求:
(1)生產系統與開發系統和測試系統有效隔離。
(2)生產系統與開發系統和測試系統的管理功能分離。
(3)除經管理層批準的緊急修復任務外,禁止應用開發和維護人員進入生產系統,所有緊急修復活動應立即記錄和審核。
(四)將已完成開發和測試環境的程序或系統配置變更應用於生產系統,應由信息技術部門和業務部門共同批準,變更應及時記錄並定期評審。
第三十六條商業銀行應制定並實施相關制度、標準和流程,確保信息系統開發、測試和維護過程中數據的完整性、保密性和可用性。
第三十七條商業銀行應建立和完善有效的問題管理流程,確保全面跟蹤、分析和解決信息系統問題,並對問題進行記錄、分類和索引。供方需要提供支持服務或技術協助時,應向相關人員提供所需的合同和相關資料,並記錄過程;應對在完成緊急恢復中起重要作用的任務和指令集進行清楚的描述和說明,並通知相關人員。
第三十八條商業銀行應制定相關制度和流程,對系統升級過程進行控制。當設備達到預期使用壽命或性能不能滿足業務需求,必須對基礎軟件(操作系統、數據庫管理系統、中間件)或應用軟件進行升級時,應及時對系統進行升級,此類升級活動應納入信息技術項目並接受相關管理和控制,包括用戶驗收測試。