資源描述:
《銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、商業(yè)銀行信息科技風險管理指引第一章總則第一條為加強商業(yè)銀行信息科技風險管理���,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》�、《中華人民共和國商業(yè)銀行法》����、《中華人民共和國外資銀行管理條例》,以及國家信息安全相關(guān)要求和有關(guān)法律法規(guī)���,制定本指引�����。第二條本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行��、政策性銀行��、農(nóng)村合作銀行、城市信用社�����、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司�����、金融資產(chǎn)管理公司���、信托公司、財務(wù)公司���、金融租賃公司、汽車金融公司���、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)參照執(zhí)行�。第三條本指引所稱信息科技是指計算機��、通信����、微電子和軟件工程等現(xiàn)代信息技術(shù)��,在商業(yè)銀行業(yè)務(wù)交易處理�����、經(jīng)營管理和內(nèi)部控制
2����、等方面的應(yīng)用����,并包括進行信息科技治理,建立完整的管理組織架構(gòu)��,制訂完善的管理制度和流程�����。第四條本指引所稱信息科技風險,是指信息科技在商業(yè)銀行運用過程中���,由于自然因素���、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作�����、法律和聲譽等風險����。第五條信息科技風險管理的目標是通過建立有效的機制,實現(xiàn)對商業(yè)銀行信息科技風險的識別��、計量���、監(jiān)測和控制�����,促進商業(yè)銀行安全�����、持續(xù)��、穩(wěn)健運行�,推動業(yè)務(wù)創(chuàng)新��,提高信息技術(shù)使用水平,增強核心競爭力和可持續(xù)發(fā)展能力��。第二章信息科技治理第六條商業(yè)銀行法定代表人是本機構(gòu)信息科技風險管理的第一責任人����,負責組織本指引貫徹落實����。第七條商業(yè)銀行的董事會應(yīng)履行以下信息科技管理職責:(一)遵
3��、守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律�����、法規(guī)和技術(shù)標準�,落實中國銀行業(yè)監(jiān)督管理委員會(以下簡稱銀監(jiān)會)相關(guān)監(jiān)管要求���。(二)審查批準信息科技戰(zhàn)略,確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致�。評估信息科技及其風險管理工作的總體效果和效率。(三)掌握主要的信息科技風險���,確定可接受的風險級別����,確保相關(guān)風險能夠被識別�、計量����、監(jiān)測和控制��。(四)規(guī)范職業(yè)道德行為和廉潔標準�,增強內(nèi)部文化建設(shè),提高全體人員對信息科技風險管理重要性的認識�。(五)設(shè)立一個由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會�,負責監(jiān)督各項職責的落實,定期向董事會和高級管理層匯報信息科技戰(zhàn)略規(guī)劃的執(zhí)
4�、行、信息科技預(yù)算和實際支出�、信息科技的整體狀況。(六)在建立良好的公司治理的基礎(chǔ)上進行信息科技治理���,形成分工合理��、職責明確、相互制衡����、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強信息科技專業(yè)隊伍的建設(shè)�,建立人才激勵機制�����。(七)確保內(nèi)部審計部門進行獨立有效的信息科技風險管理審計��,對審計報告進行確認并落實整改���。(八)每年審閱并向銀監(jiān)會及其派出機構(gòu)報送信息科技風險管理的年度報告。(九)確保信息科技風險管理工作所需資金���。(十)確保銀行所有員工充分理解和遵守經(jīng)其批準的信息科技風險管理制度和流程�,并安排相關(guān)培訓(xùn)���。(十一)確保本法人機構(gòu)涉及客戶信息��、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨立運行����,
5�、并保持最高的管理權(quán)限�����,符合銀監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求���,防范跨境風險��。(十二)及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件����,按相關(guān)預(yù)案快速響應(yīng)����。(十三)配合銀監(jiān)會及其派出機構(gòu)做好信息科技風險監(jiān)督檢查工作,并按照監(jiān)管意見進行整改���。(十四)履行信息科技風險管理其他相關(guān)工作���。第八條商業(yè)銀行應(yīng)設(shè)立首席信息官,直接向行長匯報�,并參與決策。首席信息官的職責包括:(一)直接參與本銀行與信息科技運用有關(guān)的業(yè)務(wù)發(fā)展決策�。(二)確保信息科技戰(zhàn)略,尤其是信息系統(tǒng)開發(fā)戰(zhàn)略��,符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風險管理策略���。(三)負責建立一個切實有效的信息科技部門��,承擔本銀行的信息科技職
6���、責。確保其履行:信息科技預(yù)算和支出�、信息科技策略、標準和流程����、信息科技內(nèi)部控制、專業(yè)化研發(fā)�����、信息科技項目發(fā)起和管理����、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級�、信息安全管理、災(zāi)難恢復(fù)計劃��、信息科技外包和信息系統(tǒng)退出等職責��。(四)確保信息科技風險管理的有效性���,并使有關(guān)管理措施落實到相關(guān)的每一個內(nèi)設(shè)機構(gòu)和分支機構(gòu)�。(五)組織專業(yè)培訓(xùn),提高人才隊伍的專業(yè)技能��。(六)履行信息科技風險管理其他相關(guān)工作�。第九條商業(yè)銀行應(yīng)對信息科技部門內(nèi)部管理職責進行明確的界定;各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能����,重要崗位應(yīng)制定詳細完整的工作手冊并適時更新。對相關(guān)人員應(yīng)采取下列風險防范措施:(一)驗證個人信
7���、息����,包括核驗有效身份證件����、學(xué)歷證明、工作經(jīng)歷和專業(yè)資格證書等信息�����。(二)審核信息科技員工的道德品行,確保其具備相應(yīng)的職業(yè)操守�����。(三)確保員工了解����、遵守信息科技策略��、指導(dǎo)原則���、信息保密����、授權(quán)使用信息系統(tǒng)��、信息科技管理制度和流程等要求����,并同員工簽訂相關(guān)協(xié)議。(四)評估關(guān)鍵崗位信息科技員工流失帶來的風險�,做好安排候補員工和崗位接替計劃等防范措施;在員工崗位發(fā)生變化后及時變更相關(guān)信息��。第十條商業(yè)銀行應(yīng)設(shè)立或指派一個特定部門負責信息科技風險管理工作,并直接向首席信息
