第七條商業銀行董事會應履行以下信息科技管理職責:
(壹)遵守並執行國家有關信息科技管理的法律法規和技術標準,落實中國銀行業監督管理委員會(以下簡稱銀監會)的相關監管要求。
(二)審批信息科技戰略,確保其與銀行整體經營戰略和重大戰略相壹致。評估信息技術及其風險管理的總體效果和效率。
(三)掌握主要信息科技風險,確定可接受的風險水平,確保相關風險能夠被識別、計量、監測和控制。
(四)規範職業道德和誠信標準,加強內部文化建設,提高全體人員對信息科技風險管理重要性的認識。
(五)成立由高級管理層、信息科技部門和主要業務部門代表組成的專門的信息科技管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層報告信息科技戰略規劃的執行情況、信息科技預算和實際支出情況、信息科技總體情況。
(6)在建立良好公司治理的基礎上進行信息科技治理,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織架構。加強信息技術專業隊伍建設,建立人才激勵機制。
(七)確保內部審計部門開展獨立有效的信息科技風險管理審計,確認審計報告並落實整改。
(八)每年審核並向銀監會及其派出機構提交信息科技風險管理年度報告。
(九)保證信息科技風險管理所需資金。
(10)確保本行所有員工充分理解並遵守經其批準的信息科技風險管理制度和流程,並安排相關培訓。
(11)確保法人機構涉及客戶信息、會計信息和產品信息的核心系統在境內獨立運行,並保持最高管理權限,滿足銀監會監管和現場檢查的要求,防範跨境風險。
(十二)及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件,並按照相關預案快速響應。
(十三)配合銀監會及其派出機構做好信息科技風險的監督檢查工作,並根據監管意見進行整改。
(十四)履行信息科技風險管理的其他相關工作。
第八條商業銀行應設立首席信息官,首席信息官直接向行長報告,並參與決策。首席信息官的職責包括:
(壹)直接參與本行與信息科技應用相關的業務發展決策。
(二)確保信息科技戰略,特別是信息系統發展戰略符合銀行整體經營戰略和信息科技風險管理戰略。
(三)負責建立有效的信息科技部門,承擔本行的信息科技職責。確保其履行it預算和支出、IT戰略、標準和流程、IT內部控制、專門研究和開發、IT項目啟動和管理、信息系統和IT基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、IT外包和IT系統退出等職責。
(四)確保信息科技風險管理的有效性,並將相關管理措施落實到每個相關內部機構和分支機構。
(五)組織專業培訓,提高人才隊伍的專業技能。
(六)履行信息科技風險管理的其他相關工作。
第九條商業銀行應明確信息科技部門的內部管理職責。各崗位人員應具備相應的專業知識和技能,重要崗位應制定詳細完整的工作手冊並及時更新。相關人員應采取以下風險防範措施:
(壹)核實個人信息,包括核實有效身份證件、學歷證書、工作經歷和職業資格證書。
(2)審核信息科技從業人員的道德行為,確保其具備相應的職業道德。
(三)確保員工理解並遵守信息科技戰略、指導原則、信息保密、信息系統授權使用、信息科技管理制度和流程的要求,並與員工簽訂相關協議。
(四)評估關鍵崗位信息科技人員流失帶來的風險,采取安排備用人員、崗位更替計劃等防範措施。員工崗位變動後及時更改相關信息。
第十條商業銀行應設立或指定專門部門負責信息科技風險管理,並直接向首席信息官或首席風險官(風險管理委員會)報告。該部門應作為信息科技突發事件應急小組的成員,負責協調和制定相關信息科技風險管理策略,特別是在信息安全、業務連續性計劃和合規風險方面,向業務部門和信息科技部門提供建議和相關合規信息,實施持續的信息科技風險評估,跟蹤整改意見的落實情況,監控信息安全威脅和不合規事件的發生。
第十壹條商業銀行應在內部審計部門設立專門的信息科技風險審計崗位,負責信息科技審計制度和流程的實施,制定並實施信息科技審計計劃,對信息科技全生命周期和重大事項進行審計。
第十二條商業銀行應根據知識產權相關法律法規,制定本行信息科技知識產權保護策略和制度,並使全體員工充分理解和遵守。確保購買和使用合法的軟硬件產品,禁止侵權盜版;采取有效措施保護本機構的自主知識產權。
第十三條商業銀行應按照相關法律法規的要求,規範並及時披露信息科技風險。