1、商業(yè)銀行信息科技風險管理指導(dǎo)依據(jù)：中華人民共和國銀行業(yè)監(jiān)督管理法中華人工共和國商業(yè)銀行法中華人民共和國外資銀行管理條例適用范圍政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行。信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進行信息科技治理，建立完整的管理組織架信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程構(gòu)，制訂完善的管理制度和流程信息科技風險是指信息

2、科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。 第一責任人（六）法定代表人董事會科技風險責任（七）遵從相關(guān)法律法范審查與批準信息科技戰(zhàn)略落實銀監(jiān)會相關(guān)管理要求評估科技風險及信息風險總體效果與效率掌握相關(guān)主要科技風險確定可接受的風險級別，確保相關(guān)風險能被識別、計量、監(jiān)測與控制提高全體對信息科技風險認識信息科技風險管理委員會科技治理組織分工合理、職責明

3、確、相互制衡、報告關(guān)系清晰確保對內(nèi)部審計每年向銀監(jiān)會報送科技風險管理年度報告確保資源員工理解、遵守相關(guān)制度，并進行培訓(xùn)核心系統(tǒng)在中國境內(nèi)獨立運行，防范跨境風險報告重大事故或事件配合銀監(jiān)會監(jiān)督檢查，落實整改意見直接向行長匯報，并參與決策（八）1、直接參與本銀行與信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策2、確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風險管理策略3、負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責4、 確保信息科技風險管理的有效性，并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)5、組織專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能管理職責明確界定適時更新對

4、相應(yīng)崗位人員采用風險防范措施驗證人個信息審核信息科技員工的道德品行確保遵守科技策略、流程-保密協(xié)議評估關(guān)鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。重要崗位制定完整手冊各崗位具備專業(yè)技術(shù)與知識設(shè)立或指派一個特定部門負責信息科技風險管理工作（十）向首席信息官或首席風險官報告為應(yīng)急小組成員之后協(xié)調(diào)制定有關(guān)信息科技風險管理策略實施持續(xù)信息科技風險評估跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生內(nèi)部審計部門設(shè)立信息科技風險審計崗位（十一）負責信息科技審計制度和流程的實施制訂和執(zhí)行信息科技審計計劃對信息科技整個生命周期和重大

5、事件等進行審計依據(jù)法律法規(guī)，及時披露信息科技風險現(xiàn)狀（十三）知識產(chǎn)權(quán)（十二）制定信息科技戰(zhàn)略（十四）信息科技風險評估計劃信息科技運行計劃信息科技風險管理策略（十五）（一） 信息分級與保護。（二） 信息系統(tǒng)開發(fā)、測試和維護。（三） 信息科技運行和維護。（四） 訪問控制。（五） 物理安全。（六） 人員安全。（七） 業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置。信息科技風險管理（十六）商業(yè)銀行應(yīng)依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。防范措施應(yīng)包括（十七）制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程等，定期進行更新和公示。確定潛在風險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風險最小化建

6、立適當?shù)目刂瓶蚣埽员阌跈z查和平衡風險；定義每個業(yè)務(wù)級別的控制內(nèi)容1. 最高權(quán)限用戶的審查。2. 控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。3. 訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。4. 審批和授權(quán)。5. 驗證和調(diào)節(jié)。 應(yīng)建立持續(xù)的信息科技風險計量和監(jiān)測機制（十八）（一） 建立信息科技項目實施前及實施后的評價機制。（二） 建立定期檢查系統(tǒng)性能的程序和標準。（三） 建立信息科技服務(wù)投訴和事故處理的報告機制。（四） 建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。（五） 安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進行定期審查。（六） 定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

7、（七） 定期進行運行環(huán)境下操作風險和管理控制的檢查。（八） 定期進行信息科技外包項目的風險狀況評價。 信息科技部門負責建立和實施信息分類和保護體系（二十）商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域）（二十四）信息科技部門應(yīng)落實信息安全管理職能（二十一）商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程（二十二）應(yīng)確保設(shè)立物理安全保護區(qū)域（二十三）ISO27001計算機操作系統(tǒng)和系統(tǒng)軟件的安全（二十五）（一） 制定每種類型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿足基本安全要求。（二） 明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計算機操作人員、系統(tǒng)管理員和用戶管理員等

8、不同用戶組的訪問權(quán)限。（三） 制定最高權(quán)限系統(tǒng)賬戶的審批、驗證和監(jiān)控流程，并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察。（四） 要求技術(shù)人員定期檢查可用的安全補丁，并報告補丁管理狀態(tài)。（五） 在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。 確保所有信息系統(tǒng)的安全（二十六）（一） 明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責。（二） 針對信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗證方法。（三） 加強職責劃分，對關(guān)鍵或敏感崗位進行雙重控制。（四） 在關(guān)鍵的接合點進行輸入驗證或輸出核對。（五）

9、 采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。（六） 確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當系統(tǒng)被迫終止時向用戶提供必要信息。（七） 以書面或電子格式保存審計痕跡。（八） 要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。 管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐（二十七）交易日志-會計準則保護系統(tǒng)日志- 至少一年應(yīng)采用加密機制保護信息，并對密碼進行管理（二十八）確保所有終端用戶設(shè)備的安全，并定期對所有設(shè)備進行安全檢查（二十九）商業(yè)銀行應(yīng)對所有員工進行必要的培訓(xùn)，使其充分掌握信息科技風險管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)

10、定的行為采取零容忍政策。（三十一）商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。（三十）制定開發(fā)方面管理制度，有能力管理開發(fā)項目（三十二）能識別和控制項目風險制訂項目開發(fā)方法，控制信息系統(tǒng)生命周期控制信息系統(tǒng)變更的制度和流程問題管理流程升級管理流程（三十八）選擇機房建立連續(xù)監(jiān)控制訂容量規(guī)劃制定有效的變更管理流程嚴控第三方人員運行與開發(fā)分開按要求保存交易記錄制定日常操作說明建立事故處理機制建立服務(wù)水平處理機制行維護和適當?shù)南到y(tǒng)升級銀行要根據(jù)自身情況、業(yè)務(wù)復(fù)雜度制訂業(yè)務(wù)連續(xù)性計劃（一） 內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。（二）

11、 信息丟失或受損。（三） 外部事件（如戰(zhàn)爭、地震或臺風等）。 建立維持其運營連續(xù)性策略的文檔商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和年度應(yīng)急演練結(jié)果應(yīng)由信息科技風險管理部門或信息科技管理委員會確認評估因意外事件導(dǎo)致其業(yè)務(wù)運行中斷的可能性及其影響通過應(yīng)急安排或保險降低風險BCP相關(guān)資料商業(yè)銀行不得將其信息科技管理責任外包，應(yīng)合理謹慎監(jiān)督外包職能的履行（一） 分析外包是否適合商業(yè)銀行的組織結(jié)構(gòu)和報告路線、業(yè)務(wù)戰(zhàn)略、總體風險控制，是否滿足商業(yè)銀行履行對外包服務(wù)商的監(jiān)督義務(wù)。（二） 考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關(guān)的操作風險。（三） 充分審查、評估外包服務(wù)商的財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗，對外包服務(wù)商進行風

12、險評估，考查其設(shè)施和能力是否足以承擔相應(yīng)的責任。（四） 考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。（五） 關(guān)注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務(wù)商帶來的潛在業(yè)務(wù)連續(xù)性風險。商業(yè)銀行在與外包服務(wù)商合同談判過程中關(guān)注的問題實施重要外包應(yīng)格外謹慎簽署或變更外包協(xié)議前進行相應(yīng)準備商業(yè)銀行在實施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時，應(yīng)考慮的因素包括（一） 提出定性和定量的績效指標，評估外包服務(wù)商為商業(yè)銀行及其相關(guān)客戶提供服務(wù)的充分性。（二） 通過服務(wù)水平報告、定期自我評估、內(nèi)部或外部獨立審計進行績效考核。（三） 針對績效不達標的情況調(diào)整流程，采取整改措施。 （一）

13、 實現(xiàn)本銀行客戶資料與外包服務(wù)商其他客戶資料的有效隔離。（二） 按照“必需知道”和“最小授權(quán)”原則對外包服務(wù)商相關(guān)人員授權(quán)。（三） 要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。（四） 應(yīng)將涉及本銀行客戶資料的外包作為重要外包，并告知相關(guān)客戶。（五） 嚴格控制外包服務(wù)商再次對外轉(zhuǎn)包，采取足夠措施確保商業(yè)銀行相關(guān)信息的安全。（六） 確保在中止外包協(xié)議時收回或銷毀外包服務(wù)商保存的所有客戶資料。 合同應(yīng)由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過業(yè)銀行應(yīng)加強信息科技相關(guān)外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施商業(yè)銀行應(yīng)建立恰當?shù)膽?yīng)急措施，應(yīng)對外包服務(wù)

14、商在服務(wù)中可能出現(xiàn)的重大缺失內(nèi)部審計部門應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。（一） 制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性。（二） 按照第（一）款規(guī)定完成審計工作，在此基礎(chǔ)上提出整改意見。（三） 檢查整改意見是否得到落實。（四） 執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風險評估結(jié)果對認為必要的特殊事項進行的審計。商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全

15、面審計。（六十五）商業(yè)銀行內(nèi)部信息科技審計的責任包括。商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風險管理部門和內(nèi)部審計部門參與（六十五）商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息科技外部審計銀監(jiān)會及其派出機構(gòu)必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對商業(yè)銀行執(zhí)行信息科技審計或相關(guān)檢查。外部審計機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)的委托或授權(quán)對商業(yè)銀行進行審計時，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的范圍進行審計。外部審計機構(gòu)根據(jù)授權(quán)出具的審計報告，經(jīng)銀監(jiān)會及其派出機構(gòu)審閱批準后具有與銀監(jiān)會及其派出機構(gòu)出具的檢查報告同等的效力，被審計的商業(yè)銀行應(yīng)根據(jù)該審計報告提出整改計劃，并在規(guī)定的時間內(nèi)實施整改。商業(yè)銀行在委托外