商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)
中国银行业信息技术应用和电子化发展现状与趋势
中国银行业信息技术应用和电子化发展现状与趋势王英俊在监管机构的监督、规划和指引下,中国银行业愈加认识到信息技术对银行经营管理的重要性,并纷纷加大了对银行信息化建设的投入,以谋求从银行信息化向信息化银行转变。
信息化建设的重点也逐步从业务生产向经营分析、风险控制、战略决策、客户信息深入挖掘等管理环节渗透。
2011年,中国银行业的信息化建设进一步发展,水平不断提升,电子银行业务已成为商业银行新的战略业务和利润增长点。
一、中国银行业信息技术应用和电子化发展概况(一)监管机构加大对银行业信息技术应用的监督、规划和指引的力度2011年7月,中国银行业监督管理委员会发布了《中国银行业“十二五”信息科技发展规划监管指导意见》(以下简称《规划》),描绘了“十二五”期间中国银行业金融机构信息科技建设发展的战略蓝图。
贯穿《规划》最根本的思路和精神是“两个转变”的要求:一是银行信息科技要从支撑业务发展向引领业务发展转变,要以科技进步和创新引领业务创新和发展,进而推进银行发展模式的战略性转变;二是信息科技的发展要从注重发展规模和速度向注重发展质量和效益转变,要提升信息化建设内在质量,兼顾发展效益,促进银行信息科技稳定、健康、有序、协调地发展。
“两个转变”从根本上解答了未来五年银行信息科技该如何定位、如何发展的问题,为中国银行业信息科技未来五年的发展提供了思路、方向和指导,并将引领银行业信息化建设朝着正确的方向快步前行。
在监管机构的监督和指导下,各银行对信息技术应用战略的重视程度不断提高,信息技术战略蓝图正逐步得到落实。
工商银行制定了信息科技发展规划,为打造国际一流的IT银行奠定了基础;中国银行的IT蓝图项目全面上线,实现从“以账户为中心”向“以客户为中心”的转变,建立“两地三中心”基础设施平台,实现了信息科技的跨越式发展,促进了业务和科技的紧密融合;招商银行启动了第三代系统的开发,健全架构管理体系,提升了总体技术架构规划和管理能力。
商业银行信息科技治理制度
商业银行信息科技治理制度商业银行信息科技治理制度第一章总则为规范商业银行(以下简称本行)的信息科技治理,提升信息科技工作和风险管理水平,根据《商业银行信息科技风险管理指引》(XXX〔2009〕19号)及有关文件,制定本制度。
本制度所称信息科技治理是指本行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织架构、技术架构、运行机制和激励约束等。
本行信息科技治理的目标是健全信息科技治理组织和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强核心竞争力和可持续发展能力。
第二章组织架构信息科技治理组织架构:本行建立从董事会、高级管理层,到委员会、领导小组,直至相关部门的信息科技治理组织架构。
本行建立信息科技管理委员会,下设信息安全及其他信息科技具体工作领导小组。
本行建立业务连续性管理委员会,下设信息科技及其他条线的突发事件应急处置领导小组。
本行建立由信息科技部门、风险管理部门以及审计部门构成的信息科技风险三道防线结构。
第三章组织职责董事会是本单位信息科技治理的最高决策机构。
董事会审议批准信息科技工作年度报告,由信息科技管理委员会组织编制,内容包括但不限于治理架构建设、战略规划制定、科技预算和投资等。
董事会审议批准信息科技风险管理年度报告,由业务连续性管理委员会组织编制,内容包括但不限于信息科技风险总体情况、业务连续性管理和外包风险管理等。
董事会每年听取内部审计部门独立有效的信息科技工作及风险管理工作审计报告,要对报告给予确认并落实整改。
董事会授权业务连续性管理委员会及其下设的信息科技应急处置领导小组,根据行业管理机构要求,迅速处置并及时报告信息科技重大突发事件。
或指定人员。
2.成员:信息科技部门负责人、风险管理部门负责人、审计部门负责人等相关部门负责人。
3.外部顾问:可聘请信息安全领域专业人士担任顾问。
二)职责1.制定并正式发布信息安全管理制度,明确信息安全管理的组织架构、责任制、管理流程和控制措施等内容。
银监会就银行业信息科技“十三五”规划公开征求意见
银监会就银行业信息科技“十三五”规划公开征求意见
作者:暂无
来源:《中国金融电脑》 2016年第8期
日前,银监会组织编制了《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》(以下简称《指导意见》),并向社会公开征求意见。
2014年,银监会着手研究考虑银行业信息科技“十三五”发展规划编制工作,2015年正式启动规划编制,组织行业力量通过深入研讨论证、调研走访,形成《指导意见》。
《指导意见》分为十四章,前三章回顾“十二五”时期银行业信息科技发展成绩,分析“十三五”时期银行业面临的机遇和挑战,提出“十三五”指导思想、总体目标和指导原则。
第四章至第十三章从提升信息科技治理水平,深化科技创新,推进互联网、大数据、云计算新技术应用,增强应用体系支撑能力,构建绿色高效数据中心,健全产品研发管理机制,加强信息安全管理,提升信息科技风险管理水平,推进科技开发协作等方面提出重点工作任务。
第十四章从加强组织领导、加强资源保障、加强评价考核和加强监管指导四个方面提出规划保障措施。
中国银行业监督管理委员会关于应用安全可控信息技术加强
中国银行业监督管理委员会关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见颁布机关:中国银行业监督管理委员会文号:银监发[2014]39号颁布时间:09/03/2014实施时间:09/03/2014效力状态:有效各银监局、各省(自治区、直辖市及计划单列市)发展改革委、科技厅(委、局)、工业和信息化主管部门、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:为进一步贯彻落实创新驱动发展战略,提升银行业网络安全保障能力和信息化建设水平,推动银行业深化改革、发展转型,促进战略新兴产业发展,现就应用安全可控信息技术加强银行业网络安全和信息化建设提出以下指导意见。
一、总体目标建立银行业应用安全可控信息技术的长效机制,制定配套政策,建立推进平台,大力推广使用能够满足银行业信息安全需求,技术风险、外包风险和供应链风险可控的信息技术。
到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率,银行业网络安全保障能力不断加强;信息化建设水平稳步提升,更好地保护消费者权益,维护经济社会安全稳定。
二、指导原则(一)坚持开放合作。
兼容并蓄,凝聚各方智慧和力量,优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机构,避免对单一产品或技术的依赖。
(二)鼓励自主创新。
充分认识创新驱动发展战略的重要意义,鼓励原始创新、集成创新和引进消化吸收再创新,构建高效稳健的共性关键技术供给体系,掌握银行业信息化核心知识和关键技术。
(三)发挥市场作用。
加快建立高效的创新体系,激发各类创新主体的积极性,以银行业信息化需求培育和带动市场,以信息产业发展促进银行业发展转型,主动把握新兴技术发展机遇,推动银行业信息化创新发展,促进信息产业做大做强。
村镇银行信息科技建设与管理指引
村镇银行信息科技建设与管理指引(征求意见稿)第一章总则第一条为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。
第三条村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。
第四条村镇银行信息科技工作的基本原则是:(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。
第五条根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。
自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。
第六条本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。
第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。
第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。
第九条村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。
银行有关信息科技的监管制度
银行有关信息科技的监管制度一、信息技术治理与合规管理1、银行应建立完善的信息技术治理体系,明确信息技术战略目标、组织架构、职责权限和工作流程。
2、银行应制定信息技术合规政策,确保业务活动符合相关法律法规和监管要求。
3、银行应定期对信息技术合规情况进行检查和评估,及时发现和整改违规行为。
二、信息技术风险管理1、银行应建立完善的信息技术风险管理体系,明确风险识别、评估、监控和控制流程。
2、银行应定期对信息系统进行安全漏洞扫描和风险评估,及时发现和修复潜在风险。
3、银行应制定应急预案,确保在发生信息技术风险事件时能够迅速响应和处置。
三、信息技术服务质量管理1、银行应建立完善的信息技术服务质量管理体系,确保为客户提供高效、稳定、安全的金融服务。
2、银行应制定信息技术服务标准和流程,对服务质量和效率进行持续改进。
3、银行应建立客户反馈机制,及时了解客户需求和意见,不断提升服务质量。
四、信息技术外包管理1、银行应明确信息技术外包的范围和策略,确保外包服务符合业务需求和监管要求。
2、银行应选择具有良好信誉和实力的外包服务商,签订明确的合同和协议,明确双方的权利和义务。
3、银行应对外包服务进行全程监控和管理,确保外包服务质量和安全。
五、信息技术安全管理1、银行应建立完善的信息技术安全管理体系,确保信息系统的机密性、完整性和可用性。
2、银行应采取多种安全措施,如访问控制、加密技术、防火墙等,防止未经授权的访问和数据泄露。
3、银行应定期进行安全漏洞扫描和风险评估,及时发现和修复潜在的安全隐患。
4、银行应制定安全应急预案,并定期进行演练,确保在发生安全事件时能够迅速响应和处置。
六、信息技术审计与监控1、银行应建立完善的信息技术审计与监控机制,确保信息系统的合规性和安全性。
2、银行应定期对信息系统进行审计和监控,及时发现和纠正违规行为。
3、银行应建立信息技术审计与监控报告制度,定期向监管部门报告相关信息。
七、信息技术培训与人员管理1、银行应建立完善的信息技术培训体系,提高员工的信息技术水平和安全意识。
B137-中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知
中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知银监发[2009]19号各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、财务公司、金融租赁公司,中央国债登记结算公司:现将《商业银行信息科技风险管理指引》印发给你们,请认真执行。
请各银监局将本通知转发至辖内各银行业金融机构(含外资银行)。
中国银行业监督管理委员会二○○九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
中国银行业监督管理委员会关于应用可控信息技术加强银行业网络安全和信息化建设的指导意见-国家规范性文件
中国银行业监督管理委员会关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见各银监局、各省(自治区、直辖市及计划单列市)发展改革委、科技厅(委、局)、工业和信息化主管部门、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:为进一步贯彻落实创新驱动发展战略,提升银行业网络安全保障能力和信息化建设水平,推动银行业深化改革、发展转型,促进战略新兴产业发展,现就应用安全可控信息技术加强银行业网络安全和信息化建设提出以下指导意见。
一、总体目标建立银行业应用安全可控信息技术的长效机制,制定配套政策,建立推进平台,大力推广使用能够满足银行业信息安全需求,技术风险、外包风险和供应链风险可控的信息技术。
到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率,银行业网络安全保障能力不断加强;信息化建设水平稳步提升,更好地保护消费者权益,维护经济社会安全稳定。
二、指导原则(一)坚持开放合作。
兼容并蓄,凝聚各方智慧和力量,优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机构,避免对单一产品或技术的依赖。
(二)鼓励自主创新。
充分认识创新驱动发展战略的重要意义,鼓励原始创新、集成创新和引进消化吸收再创新,构建高效稳健的共性关键技术供给体系,掌握银行业信息化核心知识和关键技术。
(三)发挥市场作用。
加快建立高效的创新体系,激发各类创新主体的积极性,以银行业信息化需求培育和带动市场,以信息产业发展促进银行业发展转型,主动把握新兴技术发展机遇,推动银行业信息化创新发展,促进信息产业做大做强。
(四)加强协同合作。
统筹规划,加强政、产、学、研协同合作,营造安全可控信息技术研究、发展和应用的良性互动环境,形成“需求拉动、产业推动、科研驱动”的良性循环。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技治理建设指导意见(讨论稿)第一章总则第一条为规范商业银行信息科技治理,提高信息科技工作效率和风险管理水平,确保信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》,以及其他相关法律、法规,制定本指导意见(以下简称意见)。
第二条信息科技治理是商业银行公司治理的重要组成部分,是商业银行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织结构、技术架构、运行机制和激励约束等。
第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强商业银行核心竞争力和可持续发展能力。
第四条本意见适用于在中华人民共和国境内依法设立的商业银行,包括国有商业银行、股份制商业银行、城市商业银行和外资银行。
由中国银行业监督管理委员会(以下简称中国银监会)监督管理的其他金融机构参照执行。
第二章组织结构第五条董事会是商业银行最高决策组织,在信息科技治理中履行以下职责:(一)审查批准本行信息科技治理结构,定期听取高级管理层关于信息科技工作汇报并予以评价;(二)审查批准信息科技战略规划,确保与银行总体业务发展战略规划和重大策略相一致;(三)审查批准信息科技方面的重大项目和投资。
为确保有效履行上述职责,董事会主要成员应对本行信息科技主要活动有所了解。
第六条监事会是商业银行监督机构,在信息科技治理中应履行以下职责:(一)对董事会、高级管理层履行信息科技职责的行为进行监督;(二)对银行信息科技规划、决策、风险管理和内部控制等进行监督;(三)对没有正确履行信息科技职责的高级管理人员,提出处罚建议。
第七条董事长是商业银行法定代表,在信息科技治理中履行以下职责:(一)承担本机构信息科技风险管理的最终责任;(二)召集、主持有关信息科技管理、风险防范和审计的董事会会议;(三)督促、检查董事会制定的信息科技工作决议执行情况;(四)落实其他应由董事长承担的信息科技工作。
第八条行长依照董事会授权,领导信息科技工作,在信息科技治理中履行以下职责:(一)确保信息科技所需资源投入,统筹信息科技重大项目建设;(二)提请董事会聘任或者解聘首席信息官。
授权首席信息官、相关职能部门从事信息科技管理活动,协调解决信息科技工作中的重大问题;(三)领导、组织、协调信息科技管理委员会工作;(四)在商业银行发生信息科技重大突发事件时,采取紧急措施,并向监管部门报告;(五)负责其他信息科技工作的领导职责。
第九条商业银行应设立由行长担任主任,首席信息官担任副主任的信息科技管理委员会,其成员应包括科技、风险、主要业务部门和相关综合部门负责人,必要时可聘请外部专业人士担任委员或顾问。
信息科技管理委员会下设办事机构,办事机挂靠信息科技部门或单独设立。
商业银行分支机构可参照总行设立相应组织。
第十条信息科技管理委员会组成人员由行长和首席信息官提出具体人选,由管理层集体研究决定成立,相关材料报监管部门备案。
第十一条信息科技管理委员会成员需掌握信息科技政策和流程基本知识,并能够在其负责的领域进行决策。
信息科技管理委员会职责包括但不限于:(一)审议信息科技发展战略规划并提交董事会审批,确保信息科技发展规划和业务发展规划保持一致;(二)审查批准信息科技建设指导原则、技术架构和主要信息科技工作制度;(三)审议信息科技年度工作计划及预算;(四)审议重大科技项目的立项、预算和实施,并确定重大项目的优先级;(五)审查批准重大信息科技运营、安全、业务连续性、应急管理相关事项;(六)审查批准信息科技职业道德行为规范和全体人员信息科技教育事项;(七)检查所拟订和审议事项的落实和执行情况,组织对信息科技重大事项结果进行评估;(八)审阅并向中国银监会及其派出机构报送信息科技风险管理的年度报告;(九)审查其他有关信息科技工作的重大事项。
第十二条商业银行要制定信息科技管理委员会的章程和工作制度,明确信息科技管理委员会的具体职责、议事规则和办事流程,规范管理。
信息科技管理委员会每半年至少召开一次工作会议,有重大事项时要及时召开会。
议审计部门负责人应列席信息科技管理委员会会议并发表独立意见。
第十三条商业银行设立首席信息官,在行长领导下开展工作,其职责包括:(一)组织制定信息科技发展战略规划,确保符合银行总体业务发展战略和风险管理策略;(二)组织制定科技建设指导原则、技术架构和信息科技运行管理机制,确保制定的科技建设指导原则清晰、准确,技术架构科学、合理,信息科技运行机制全面、高效;(三)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构;(四)组织制定信息安全目标、策略、方针及实施计划,并组织落实;(五)协助行长主持信息科技管理委员会日常工作,督促落实信息科技管理委员会通过的决议;(六)参与全行业务发展重大事项和需信息技术支撑的重要业务决策;(七)向信息科技管理委员会或受行长委托向董事会汇报信息科技工作,确保信息科技管理委员会、董事会拥有充分的信息做出信息科技领域的重大决策;(八)组织制定信息科技年度工作计划及预算;(九)履行信息科技管理其他管理工作。
第十四条首席信息官拟任人选应符合高管人员任职资格基本条件。
第十五条首席信息官由行长提名,董事会批准,按照中国银监会行政许可事项有关规定报监管部门任职资格许可后,由董事会任命。
第十六条商业银行应建立与业务相适应的信息科技部门,根据工作需要可设立软件开发、运行维护和数据中心等部门,由信息科技部门统一协调和指导。
商业银行分支机构按照职责分离的原则设置相应的信息科技管理部门或岗位。
第十七条信息科技部门的主要职责是:(一)根据全行的发展战略,在首席信息官领导下拟订信息科技发展战略规划、年度工作计划和年度预算;(二)负责建立科技管理制度,确定科技建设标准,规范科技工作流程,明确科技岗位职责;(三)负责科技项目的技术可行性审查和生命周期内的管理和实施,合理配置科技资源,提高项目质量和效率;(四)加强生产运行管理,提高信息系统运行的稳定性和连续性;(五)制定本行信息安全政策、安全制度和安全策略,通过严格内控、加强监督等有效措施,确保本行信息科技工作规范运行、信息资产安全可靠和信息系统持续稳定;(六)制定知识产权保护制度和策略,并组织落实;(七)负责科技队伍建设、管理和业务考核工作;(八)组织对外部技术和设备供应商的资质和服务品质评审,对外包科技人员进行管理;(九)组织对信息科技工作进行自我评估,并采取措施对评估发现的风险隐患和薄弱环节进行改进;(十)配合风险管理、审计和监管部门开展工作,根据风险管理、审计部门提出的风险控制建议和审计建议,制定信息科技风险防控技术方案和整改方案,采取相应的技术措施,将风险降至可接受范围;(十一)其他信息科技相关工作。
第十八条国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原则上不低于2.5%,城市商业银行和其他地方法人机构这一比例原则上不低于3%,至少不得少于3人。
科技人员中负责内控和风险防范人员原则上不低于5%。
商业银行分支机构应根据系统开发量、网点数量增配相适应的科技人员。
第十九条信息科技人员应当具备相应的专业从业资格:(一)具备大专以上学历,掌握信息科技相关专业知识,熟悉银行业信息科技工作,对金融知识有一定的了解;(二)主要管理人员和项目负责人要具备银行信息科技工作经验三年以上;(三)具有勤奋、钻研和廉洁的职业操守,且从业以来无不良记录。
第二十条商业银行及其分支机构应在信息科技部门之外指定一个部门负责信息科技风险管理工作,主要职责是:(一)将信息科技风险纳入全行风险管理范围内,负责组织制定信息科技风险管理总体规划;(二)审查各个部门和各个环节的信息科技风险管理制度和控制流程,评价制度的执行情况;(三)识别、评估和检查重要部门和重点环节的信息科技风险状况;(四)对重要科技项目的各个阶段进行科技风险评审;(五)负责本行业务连续性和应急管理组织工作,定期组织相关部门进行业务影响性分析和应急演练,并对应急预案进行完善;(六)对全行员工进行持续的信息科技风险教育;(七)依据有关法律法规的要求,及时披露信息科技风险状况。
第二十一条信息科技风险管理人员数量原则上按照科技人员数量的3%配备,至少不得少于2人。
第二十二条信息科技风险管理人员应当具备相应的专业从业资格:(一)信息科技风险管理人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融风险管理制度;(二)具备两年以上金融信息科技工作从业经验,风险管理项目负责人应同时具备从事风险管理工作两年以上;(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十三条商业银行及其分支机构应在内部审计部门设立负责信息科技风险审计的部门或岗位。
其主要职责是:(一)制定信息科技审计制度、标准、计划;(二)实施信息科技审计计划,检查信息科技内控机制和应用控制的有效性;(三)根据信息科技工作需要,对特殊事项进行专项审计;(四)负责信息科技外部审计相关事宜;(五)根据内外部审计结果,对信息科技工作中的问题提出整改意见,并督促落实。
第二十四条信息科技风险审计人员数量原则上按照科技人员数量的5%配备,至少不得少于2人。
第二十五条信息科技风险审计人员应当具备相应的专业从业资格:(一)信息科技风险审计人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融内部控制制度。
(二)具备两年以上金融信息科技工作从业经验,审计项目负责人应同时具备从事审计工作两年以上。
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十六条商业银行及其分支机构应对各业务部门的信息科技管理职责进行明确界定,包括但不限于以下内容:(一)根据业务发展计划,提出系统需求计划,并与信息科技部门进行沟通;(二)按标准的业务需求范式编制业务需求;(三)负责本部门申请的科技项目的测试和验收;(四)建立相关制度和流程,加强对信息系统使用管理,严格用户权限和密码管理,加强对应用系统的访问控制;(五)加强本部门员工教育,督促本部门员工遵守信息科技相关制度和操作规程。
第三章规划与架构第二十七条商业银行应根据业务发展战略规划,制定本行信息科技战略规划,明确本行信息科技发展方向,指导本行信息科技工作。
第二十八条信息科技发展战略规划应包含以下内容:(一)信息科技发展战略规划与业务发展战略规划的衔接关系;(二)信息科技发展战略规划的主要内容和具体措施;(三)确保信息科技发展战略规划得到落实的具体工作安排和责任落实;(四)信息科技发展战略规划实施的评估、评价机制与完善措施;(五)其他与信息科技发展规划相关内容。