1、商業(yè)銀行信息科技治理建設(shè)指導(dǎo)意見（討論稿）第一章總則第一條 為規(guī)范商業(yè)銀行信息科技治理，提高信息科技工作 效率和風險管理水平，確保信息系統(tǒng)安全、持續(xù)、穩(wěn)健運行，根 據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商 業(yè)銀行法，以及其他相關(guān)法律、法規(guī)，制定本指導(dǎo)意見（以下 簡稱意見）。第二條信息科技治理是商業(yè)銀行公司治理的重要組成部 分，是商業(yè)銀行在運用信息技術(shù)過程中，為實現(xiàn)信息科技工作既 定目標所做出的制度安排，包括組織結(jié)構(gòu)、技術(shù)架構(gòu)、運行機制 和激勵約束等。第三條商業(yè)銀行信息科技治理的目標是健全信息科技治理 組織結(jié)構(gòu)和技術(shù)架構(gòu)，明確決策和管理職責，優(yōu)化資源配置，有 效控制信息科技風險，確保信

2、息科技戰(zhàn)略與業(yè)務(wù)發(fā)展目標相適 應(yīng)，增強商業(yè)銀行核心競爭力和可持續(xù)發(fā)展能力。第四條本意見適用于在中華人民共和國境內(nèi)依法設(shè)立的商 業(yè)銀行，包括國有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行和 外資銀行。由中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)督管理的其他金融機構(gòu)參照執(zhí)行。第二章組織結(jié)構(gòu)第五條 董事會是商業(yè)銀行最高決策組織，在信息科技治理 中履行以下職責：（一）審查批準本行信息科技治理結(jié)構(gòu)，定期聽取高級管理 層關(guān)于信息科技工作匯報并予以評價；（二）審查批準信息科技戰(zhàn)略規(guī)劃，確保與銀行總體業(yè)務(wù)發(fā) 展戰(zhàn)略規(guī)劃和重大策略相一致；（三）審查批準信息科技方面的重大項目和投資。為確保有效履行上述職責，董事

3、會主要成員應(yīng)對本行信息科 技主要活動有所了解。第六條 監(jiān)事會是商業(yè)銀行監(jiān)督機構(gòu)，在信息科技治理中應(yīng)行以下職責:（一）對董事會、高級管理層履行信息科技職責的行為進行 監(jiān)督；（二）對銀行信息科技規(guī)劃、決策、風險管理和內(nèi)部控制等 進行監(jiān)督；（三）對沒有正確履行信息科技職責的高級管理人員，提出處罰建議。行以下職責：（一）承擔本機構(gòu)信息科技風險管理的最終責任；（二）召集、主持有關(guān)信息科技管理、風險防范和審計的董 事會會議；（三）督促、檢查董事會制定的信息科技工作決議執(zhí)行情況;（四）落實其他應(yīng)由董事長承擔的信息科技工作。第八條 行長依照董事會授權(quán)，領(lǐng)導(dǎo)信息科技工作，在信息 科技治理中履行以下職責：（一）確

4、保信息科技所需資源投入，統(tǒng)籌信息科技重大項目建設(shè)；（二）提請董事會聘任或者解聘首席信息官。授權(quán)首席信息 官、相關(guān)職能部門從事信息科技管理活動，協(xié)調(diào)解決信息科技工 作中的重大問題；（三）領(lǐng)導(dǎo)、組織、協(xié)調(diào)信息科技管理委員會工作；（四）在商業(yè)銀行發(fā)生信息科技重大突發(fā)事件時，采取緊急 措施，并向監(jiān)管部門報告；（五）負責其他信息科技工作的領(lǐng)導(dǎo)職責。第九條商業(yè)銀行應(yīng)設(shè)立由行長擔任主任，首席信息官擔任 副主任的信息科技管理委員會，其成員應(yīng)包括科技、風險、主要 業(yè)務(wù)部門和相關(guān)綜合部門負責人，必要時可聘請外部專業(yè)人士擔 任委員或顧問。信息科技管理委員會下設(shè)辦事機構(gòu)，辦事機掛靠信息科技部門或單獨設(shè)立。商業(yè)銀行分支

5、機構(gòu)可參照總行設(shè)立相應(yīng)組織。第十條信息科技管理委員會組成人員由行長和首席信息官 提出具體人選，由管理層集體研究決定成立，相關(guān)材料報監(jiān)管部 門備案。第十一條 信息科技管理委員會成員需掌握信息科技政策和 流程基本知識，并能夠在其負責的領(lǐng)域進行決策。信息科技管理 委員會職責包括但不限于：（一）審議信息科技發(fā)展戰(zhàn)略規(guī)劃并提交董事會審批，確保 信息科技發(fā)展規(guī)劃和業(yè)務(wù)發(fā)展規(guī)劃保持一致；（二）審查批準信息科技建設(shè)指導(dǎo)原則、技術(shù)架構(gòu)和主要信 息科技工作制度；（三）審議信息科技年度工作計劃及預(yù)算；（四）審議重大科技項目的立項、預(yù)算和實施，并確定重大 項目的優(yōu)先級；（五）審查批準重大信息科技運營、安全、業(yè)務(wù)連續(xù)性

6、、應(yīng) 急管理相關(guān)事項；（六）審查批準信息科技職業(yè)道德行為規(guī)范和全體人員信息 科技教育事項；（七）檢查所擬訂和審議事項的落實和執(zhí)行情況，組織對信 息科技重大事項結(jié)果進行評估；（八）審閱并向中國銀監(jiān)會及其派出機構(gòu)報送信息科技風險 管理的年度報告；（九）審查其他有關(guān)信息科技工作的重大事項。第十二條商業(yè)銀行要制定信息科技管理委員會的章程和工 作制度，明確信息科技管理委員會的具體職責、議事規(guī)則和辦事 流程，規(guī)范管理。信息科技管理委員會每半年至少召開一次工作 會議，有重大事項時要及時召開會。議審計部門負責人應(yīng)列席信 息科技管理委員會會議并發(fā)表獨立意見。第十三條商業(yè)銀行設(shè)立首席信息官，在行長領(lǐng)導(dǎo)下開展工作,

7、 其職責包括：（一）組織制定信息科技發(fā)展戰(zhàn)略規(guī)劃，確保符合銀行總體 業(yè)務(wù)發(fā)展戰(zhàn)略和風險管理策略；（二）組織制定科技建設(shè)指導(dǎo)原則、技術(shù)架構(gòu)和信息科技運 行管理機制，確保制定的科技建設(shè)指導(dǎo)原則清晰、準確，技術(shù)架 構(gòu)科學(xué)、合理，信息科技運行機制全面、高效；（三）確保信息科技風險管理的有效性，并使有關(guān)管理措施 落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)；（四）組織制定信息安全目標、策略、方針及實施計劃，并 組織落實；（五）協(xié)助行長主持信息科技管理委員會日常工作，督促落 實信息科技管理委員會通過的決議；（六）參與全行業(yè)務(wù)發(fā)展重大事項和需信息技術(shù)支撐的重要業(yè)務(wù)決策;（七）向信息科技管理委員會或受行長委托向董事會

8、匯報信 息科技工作，確保信息科技管理委員會、董事會擁有充分的信息 做出信息科技領(lǐng)域的重大決策；（八）組織制定信息科技年度工作計劃及預(yù)算；（九）履行信息科技管理其他管理工作。第十四條首席信息官擬任人選應(yīng)符合高管人員任職資格基 本條件。第十五條 首席信息官由行長提名，董事會批準，按照中國銀 監(jiān)會行政許可事項有關(guān)規(guī)定報監(jiān)管部門任職資格許可后，由董事 會任命。第十六條商業(yè)銀行應(yīng)建立與業(yè)務(wù)相適應(yīng)的信息科技部門，根 據(jù)工作需要可設(shè)立軟件開發(fā)、運行維護和數(shù)據(jù)中心等部門，由信 息科技部門統(tǒng)一協(xié)調(diào)和指導(dǎo)。商業(yè)銀行分支機構(gòu)按照職責分離的原則設(shè)置相應(yīng)的信息科技管理部門或崗位。第十七條信息科技部門的主要職責是：（一）

9、根據(jù)全行的發(fā)展戰(zhàn)略，在首席信息官領(lǐng)導(dǎo)下擬訂信息 科技發(fā)展戰(zhàn)略規(guī)劃、年度工作計劃和年度預(yù)算；（二）負責建立科技管理制度，確定科技建設(shè)標準，規(guī)范科 技工作流程，明確科技崗位職責；（三）負責科技項目的技術(shù)可行性審查和生命周期內(nèi)的管理和實施，合理配置科技資源，提高項目質(zhì)量和效率;（四）加強生產(chǎn)運行管理，提高信息系統(tǒng)運行的穩(wěn)定性和連續(xù)性；（五）制定本行信息安全政策、安全制度和安全策略，通過 嚴格內(nèi)控、加強監(jiān)督等有效措施，確保本行信息科技工作規(guī)范運 行、信息資產(chǎn)安全可靠和信息系統(tǒng)持續(xù)穩(wěn)定；（六）制定知識產(chǎn)權(quán)保護制度和策略，并組織落實；（七）負責科技隊伍建設(shè)、管理和業(yè)務(wù)考核工作；（八）組織對外部技術(shù)和設(shè)備供

10、應(yīng)商的資質(zhì)和服務(wù)品質(zhì)評 審，對外包科技人員進行管理；（九）組織對信息科技工作進行自我評估，并采取措施對評 估發(fā)現(xiàn)的風險隱患和薄弱環(huán)節(jié)進行改進；（十）配合風險管理、審計和監(jiān)管部門開展工作，根據(jù)風險 管理、審計部門提出的風險控制建議和審計建議，制定信息科技 風險防控技術(shù)方案和整改方案，采取相應(yīng)的技術(shù)措施，將風險降 至可接受范圍；（十一）其他信息科技相關(guān)工作。第十八條國有商業(yè)銀行和股份制商業(yè)銀行信息科技人員總 數(shù)與員工總?cè)藬?shù)的比例原則上不低于2. 5%,城市商業(yè)銀行和其他 地方法人機構(gòu)這一比例原則上不低于3%,至少不得少于3人。科 技人員中負責內(nèi)控和風險防范人員原則上不低于5%。商業(yè)銀行分支機構(gòu)應(yīng)根

11、據(jù)系統(tǒng)開發(fā)量、網(wǎng)點數(shù)量增配相適應(yīng)的科技人員。第十九條信息科技人員應(yīng)當具備相應(yīng)的專業(yè)從業(yè)資格：（一）具備大專以上學(xué)歷，掌握信息科技相關(guān)專業(yè)知識，熟 悉銀行業(yè)信息科技工作，對金融知識有一定的了解；（二）主要管理人員和項目負責人要具備銀行信息科技工作 經(jīng)驗三年以上；（三）具有勤奮、鉆研和廉潔的職業(yè)操守，且從業(yè)以來無不 良記錄。第二十條商業(yè)銀行及其分支機構(gòu)應(yīng)在信息科技部門之外指 定一個部門負責信息科技風險管理工作，主要職責是：（一）將信息科技風險納入全行風險管理范圍內(nèi)，負責組織 制定信息科技風險管理總體規(guī)劃；（二）審查各個部門和各個環(huán)節(jié)的信息科技風險管理制度和 控制流程，評價制度的執(zhí)行情況；（三）識別

12、、評估和檢查重要部門和重點環(huán)節(jié)的信息科技風 險狀況；（四）對重要科技項目的各個階段進行科技風險評審；（五）負責本行業(yè)務(wù)連續(xù)性和應(yīng)急管理組織工作，定期組織 相關(guān)部門進行業(yè)務(wù)影響性分析和應(yīng)急演練，并對應(yīng)急預(yù)案進行完 善；（六）對全行員工進行持續(xù)的信息科技風險教育；（七）依據(jù)有關(guān)法律法規(guī)的要求，及時披露信息科技風險狀況。第二十一條 信息科技風險管理人員數(shù)量原則上按照科技人 員數(shù)量的3%配備，至少不得少于2人。第二十二條信息科技風險管理人員應(yīng)當具備相應(yīng)的專業(yè)從 業(yè)資格：（一）信息科技風險管理人員應(yīng)具備大專以上學(xué)歷，掌握信 息科技相關(guān)專業(yè)知識，熟悉金融相關(guān)法律、法規(guī)和金融風險管理 制度；（二）具備兩年以

13、上金融信息科技工作從業(yè)經(jīng)驗，風險管理 項目負責人應(yīng)同時具備從事風險管理工作兩年以上；（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不 良記錄。第二十三條 商業(yè)銀行及其分支機構(gòu)應(yīng)在內(nèi)部審計部門設(shè)立 負責信息科技風險審計的部門或崗位。其主要職責是：（一）制定信息科技審計制度、標準、計劃；（二）實施信息科技審計計劃，檢查信息科技內(nèi)控機制和應(yīng) 用控制的有效性；（三）根據(jù)信息科技工作需要，對特殊事項進行專項審計；（四）負責信息科技外部審計相關(guān)事宜；（五）根據(jù)內(nèi)外部審計結(jié)果，對信息科技工作中的問題提出 整改意見，并督促落實。第二十四條信息科技風險審計人員數(shù)量原則上按照科技人員數(shù)量的5%配備，至少不得少

14、于2人。第二十五條信息科技風險審計人員應(yīng)當具備相應(yīng)的專業(yè)從業(yè)資格：（一）信息科技風險審計人員應(yīng)具備大專以上學(xué)歷，掌握信 息科技相關(guān)專業(yè)知識，熟悉金融相關(guān)法律、法規(guī)和金融內(nèi)部控制 制度。（二）具備兩年以上金融信息科技工作從業(yè)經(jīng)驗，審計項目負責人應(yīng)同時具備從事審計工作兩年以上。（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。第二十六條商業(yè)銀行及其分支機構(gòu)應(yīng)對各業(yè)務(wù)部門的信息 科技管理職責進行明確界定，包括但不限于以下內(nèi)容：（一）根據(jù)業(yè)務(wù)發(fā)展計劃，提出系統(tǒng)需求計劃，并與信息科 技部門進行溝通；（二）按標準的業(yè)務(wù)需求范式編制業(yè)務(wù)需求；（三）負責本部門申請的科技項目的測試和驗收；（四）建立相

15、關(guān)制度和流程，加強對信息系統(tǒng)使用管理，嚴 格用戶權(quán)限和密碼管理，加強對應(yīng)用系統(tǒng)的訪問控制；（五）加強本部門員工教育，督促本部門員工遵守信息科技 相關(guān)制度和操作規(guī)程。第三章規(guī)劃與架構(gòu)第二十七條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃，制定本行信 息科技戰(zhàn)略規(guī)劃，明確本行信息科技發(fā)展方向，指導(dǎo)本行信息科 技工作。第二十八條 信息科技發(fā)展戰(zhàn)略規(guī)劃應(yīng)包含以下內(nèi)容：（一）信息科技發(fā)展戰(zhàn)略規(guī)劃與業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃的銜接關(guān) 系；（二）信息科技發(fā)展戰(zhàn)略規(guī)劃的主要內(nèi)容和具體措施；（三）確保信息科技發(fā)展戰(zhàn)略規(guī)劃得到落實的具體工作安排 和責任落實；（四）信息科技發(fā)展戰(zhàn)略規(guī)劃實施的評估、評價機制與完善 措施；（五）其他與信息科技

16、發(fā)展規(guī)劃相關(guān)內(nèi)容。第二十九條商業(yè)銀行應(yīng)根據(jù)信息科技戰(zhàn)略規(guī)劃制定完整、清 晰的技術(shù)架構(gòu)，明確信息技術(shù)建設(shè)和運用的基本思路，要通過數(shù) 據(jù)、流程、技術(shù)的標準化和一體化工作，規(guī)范數(shù)據(jù)格式、系統(tǒng)平 臺、基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用，科學(xué)規(guī)劃數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)、基礎(chǔ) 架構(gòu)和安全框架。第三十條商業(yè)銀行應(yīng)建立技術(shù)架構(gòu)管理制度，落實技術(shù)架構(gòu) 管理職責，明確技術(shù)架構(gòu)制訂、完善和實施流程，加強對技術(shù)架 構(gòu)的管理。第三十一條數(shù)據(jù)是商業(yè)銀行信息系統(tǒng)管理的重要資源，應(yīng)建 立統(tǒng)一、規(guī)范的數(shù)據(jù)架構(gòu)，通過有效的數(shù)據(jù)架構(gòu)管理，準確、及 時反映業(yè)務(wù)架構(gòu)的本質(zhì)。第三十二條 數(shù)據(jù)架構(gòu)的設(shè)計，至少應(yīng)達到以下要求：（一）數(shù)據(jù)架構(gòu)設(shè)計應(yīng)科學(xué)合理，匹配

17、和適應(yīng)銀行自身業(yè)務(wù) 發(fā)展規(guī)劃的要求；（二）建立數(shù)據(jù)標準化制度，為每一個數(shù)據(jù)元素提供唯一的 定義和特征集；（三）業(yè)務(wù)運作狀況要通過銀行信息系統(tǒng)中的數(shù)據(jù)真實、準 確、及時地反映出來的；（四）業(yè)務(wù)數(shù)據(jù)要體現(xiàn)安全、可用、有效共享和唯一加工點 的要求，關(guān)鍵業(yè)務(wù)數(shù)據(jù)要集中處理；（五）保障數(shù)據(jù)信息的安全、保密，防止內(nèi)外部攻擊；（六）避免和減少不必要的數(shù)據(jù)冗余；（七）綜合考慮數(shù)據(jù)存儲量、數(shù)據(jù)增長速度和存儲技術(shù)，做 好數(shù)據(jù)存儲和備份工作；（八）對信息的使用特別是與銀行以外的第三方機構(gòu)的數(shù)據(jù) 交流和共享要有嚴格的授權(quán)管理；（九）境內(nèi)客戶信息及所有交易記錄存放在中國境內(nèi)，未經(jīng) 授權(quán)不得向境外機構(gòu)提供。第三十三條商業(yè)

18、銀行應(yīng)制定明確的應(yīng)用架構(gòu)，以適應(yīng)業(yè)務(wù)發(fā) 展和風險管理的要求，清晰地反映各類業(yè)務(wù)的處理流程，滿足業(yè) 務(wù)風險控制和安全經(jīng)營的需要。第三十四條 應(yīng)用架構(gòu)設(shè)計，至少應(yīng)達到以下要求:（一）商業(yè)銀行應(yīng)建立統(tǒng)一的應(yīng)用架構(gòu)，規(guī)范本行應(yīng)用系統(tǒng) 開發(fā)、推廣和使用等系統(tǒng)生命周期管理；（二）信息系統(tǒng)建設(shè)應(yīng)適應(yīng)業(yè)務(wù)和管理發(fā)展的要求，具備良 好的可擴展性和靈活性；（三）采取措施保證應(yīng)用系統(tǒng)安全穩(wěn)定運行，滿足業(yè)務(wù)控制 的需要；（四）關(guān)鍵信息系統(tǒng)應(yīng)采用集中管理模式，不斷提升信息系 統(tǒng)的集約化管理水平；（五）信息系統(tǒng)必須滿足統(tǒng)一身份鑒別、訪問控制、安全審 計、數(shù)據(jù)安全、交易安全、軟件容錯、資源控制、性能容量控制 等方面的安全規(guī)

19、范要求；（六）商業(yè)銀行要擁有對關(guān)鍵業(yè)務(wù)系統(tǒng)開發(fā)、管理和運行維 護的主導(dǎo)權(quán)，擁有主要業(yè)務(wù)系統(tǒng)、系統(tǒng)數(shù)據(jù)和系統(tǒng)關(guān)鍵設(shè)備的所 有權(quán)；（七）處理客戶信息和交易記錄的系統(tǒng)在中國境內(nèi)獨立運 行，由國內(nèi)機構(gòu)全權(quán)管理和維護。第三十五條基礎(chǔ)架構(gòu)是保證數(shù)據(jù)架構(gòu)和應(yīng)用架構(gòu)得以實施 的重要手段，商業(yè)銀行應(yīng)明確建立包括基礎(chǔ)設(shè)施、支持平臺和系 統(tǒng)開發(fā)在內(nèi)的基礎(chǔ)架構(gòu)。第三十六條基礎(chǔ)架構(gòu)設(shè)計，至少應(yīng)達到以下要求：（一）基礎(chǔ)架構(gòu)的設(shè)計和實現(xiàn)，必須做到統(tǒng)一規(guī)劃、統(tǒng)一標 準和科學(xué)布局，具備安全、可靠、靈活和經(jīng)濟的特點，滿足業(yè)務(wù) 增長和創(chuàng)新的需要；（二）基礎(chǔ)設(shè)施和與之相整合的服務(wù)不僅要保證現(xiàn)有應(yīng)用系 統(tǒng)安全、持續(xù)、穩(wěn)健運行，也能為本

20、行迅速采用新的業(yè)務(wù)應(yīng)用系 統(tǒng)提供具有成本效益的服務(wù)；（三）定期或有重大變化時對基礎(chǔ)架構(gòu)進行評估，保證基礎(chǔ) 架構(gòu)的適應(yīng)性和合理性；（四）應(yīng)按照有關(guān)規(guī)定，依據(jù)資產(chǎn)規(guī)模和經(jīng)營范圍決定建立 全國性、區(qū)域性或地方性數(shù)據(jù)處理中心和災(zāi)難備份中心，實施主 要系統(tǒng)和數(shù)據(jù)分等級災(zāi)備，提高業(yè)務(wù)連續(xù)運作和抵御風險能力；（五）要根據(jù)系統(tǒng)等級和業(yè)務(wù)經(jīng)營范圍，明確計算機機房建 設(shè)標準，所建計算機機房要符合國家和行業(yè)有關(guān)標準；（六）網(wǎng)絡(luò)建設(shè)要采用成熟技術(shù)，具有安全、靈活、經(jīng)濟和 易管理等特征，主要網(wǎng)絡(luò)接入要有必要的備份和帶寬冗余；（七）主要硬件設(shè)備，應(yīng)與本行業(yè)務(wù)發(fā)展規(guī)劃相適應(yīng)，滿足 未來一定時期內(nèi)業(yè)務(wù)量增長的需求，符合高可用

21、性和高擴展性原 則；（a）在基礎(chǔ)架構(gòu)中要充分考慮在銀行機構(gòu)與客戶的接觸點 和渠道方面對客戶信息的保護，確保相關(guān)信息系統(tǒng)安全、可靠運 行；（九）存放客戶信息、交易記錄和相關(guān)信息系統(tǒng)的設(shè)備存放 中國境內(nèi)，由境內(nèi)機構(gòu)和人員全權(quán)管理和維護。第三十七條商業(yè)銀行要從安全角度審查本行技術(shù)架構(gòu)，建立 統(tǒng)一、咼效、符合本行信息系統(tǒng)發(fā)展水平的信息安全架構(gòu)，為系 統(tǒng)架構(gòu)提供所需要的安全服務(wù)，為安全設(shè)施部署提供依據(jù)。第三十八條安全架構(gòu)設(shè)計應(yīng)該以風險為導(dǎo)向，與本行的安全 策略相吻合，通過建立安全組織、安全方針、安全制度和安全策 略降低整個企業(yè)的信息技術(shù)風險。第三十九條安全架構(gòu)的設(shè)計和建立使得信息科技安全工作 至少達到以

22、下要求：（一）客戶信息和銀行業(yè)務(wù)數(shù)據(jù)在處理、保存、傳輸和使用 整個過程中安全、可靠和完整；（二）信息系統(tǒng)所涉及物理環(huán)境、核心設(shè)備和關(guān)鍵基礎(chǔ)平臺 安全有效；（三）關(guān)鍵網(wǎng)絡(luò)系統(tǒng)安全、高效、可靠；（四）采用多種技術(shù)措施，使本行信息和系統(tǒng)具備抵御外部 威脅和干擾能力；（五）確保內(nèi)部信息不被泄露；（六）確保安全因素在系統(tǒng)設(shè)計和建設(shè)的每個階段都被詳細 考慮；（七）消除整體安全架構(gòu)中的單個故障點。第四章工作機制第四十條商業(yè)銀行應(yīng)建立科學(xué)、高效的信息科技運行管理制 度，規(guī)范信息科技管理、風險防范和審計工作運行機制，提高信 息科技工作效率和風險防范水平。第四十一條商業(yè)銀行信息科技運行管理制度應(yīng)理順以下單 位和部

23、門之間運行機制和辦事流程：（一）科技部門、風險管理部門、審計部門和主要業(yè)務(wù)部門 之間的管理運行機制和辦事流程；（二）信息科技內(nèi)部管理、開發(fā)、運維等內(nèi)設(shè)部門和崗位運 行機制和辦事流程；（三）總行及其分支機構(gòu)在信息科技管理、風險防范和審計 工作中的運行機制和辦事流程。第四十二條商業(yè)銀行應(yīng)加強上級行對下級行信息科技管理、 風險防范和審計工作的管理、協(xié)調(diào)和指導(dǎo)工作。第四十三條 商業(yè)銀行應(yīng)建立清晰、有效的信息科技決策管理 制度，明確信息科技決策內(nèi)容和相關(guān)領(lǐng)導(dǎo)、部門在信息科技決策 中的角色和職責。第四十四條商業(yè)銀行信息科技決策管理制度應(yīng)至少涵蓋以 下內(nèi)容：（一）信息科技發(fā)展戰(zhàn)略規(guī)劃、技術(shù)架構(gòu)和信息科技年度

24、工 作計劃制定、審閱和審批決策流程；（二）信息科技項目管理流程及業(yè)務(wù)、科技、風險管理和審 計等部門在項目決策中的職責、分工和路徑；（三）科技建設(shè)經(jīng)費審批流程；（四）信息安全管理流程及相關(guān)部門職責；（五）重大事項和突發(fā)事件管理和處置決策流程；（六）信息科技資源配置決策流程。第四十五條商業(yè)銀行應(yīng)建立規(guī)范、高效的信息科技服務(wù)運 行機制，明確服務(wù)內(nèi)容、方式，確保科技部門與業(yè)務(wù)部門之間、 上級行與下級行之間有明晰的科技服務(wù)流程，不斷提高信息科技 服務(wù)水平。第四十六條商業(yè)銀行應(yīng)建立信息科技服務(wù)外包機制，明確信 息科技外包范圍、內(nèi)容、方式，加強外包過程中外包單位評估和 引進工作，規(guī)范對外包單位的管理。第四十

25、七條商業(yè)銀行應(yīng)建立全面、有效的信息科技風險管理 制度，確保信息科技平穩(wěn)、安全、高效運行。第四十八條 商業(yè)銀行信息科技風險管理制度應(yīng)至少涵蓋以 下內(nèi)容：（-）建立信息技術(shù)業(yè)務(wù)連續(xù)性保障機制。風險管理部門組 織信息科技部門和相關(guān)業(yè)務(wù)部門開展業(yè)務(wù)影響性分析，制定業(yè)務(wù) 連續(xù)性計劃和應(yīng)急預(yù)案，定期組織演練，并對演練效果進行后評 價，及時修改和完善業(yè)務(wù)連續(xù)計劃和應(yīng)急預(yù)案；（二）建立信息科技安全運行保障機制。風險管理部門應(yīng)督 促科技部門和業(yè)務(wù)部門制定重要信息系統(tǒng)操作管理規(guī)范，并督促 執(zhí)行；（三）建立信息科技風險評估預(yù)警機制。制定合理的預(yù)警指標體系，建立監(jiān)控系統(tǒng)，完善預(yù)警程序和措施；（四）建立信息科技重大事項處理機制。重大事項經(jīng)首席信 息官批準后，信息科技部門按有關(guān)規(guī)定報監(jiān)管部門，并組織實施;（五）建立明晰的信息科技突發(fā)事件應(yīng)急處置機制。按銀監(jiān)會銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范的規(guī)定，做好突發(fā)事件處置工作。第四十九條 商業(yè)銀行應(yīng)建立信息科技審計制度，明確審計范圍和審計內(nèi)容，定期對信息科技工作開展內(nèi)部審計，每個機構(gòu)的審計間隔期不得超過三年。上市銀行應(yīng)按有關(guān)規(guī)定組織開展信