(最新)信息科技风险管理办法ll.docx

制度体系文件信息科技风险管理办法 版次号： A/0 信息科技风风险管理理办法编制部门：信息科技技部版 次 号号：A/0生效日期：目录修改记录3第一章总总则4第二章机机构职责责5第三章信信息科技技风险管管理11第四章信信息安全全13第五章信信息系统统开发、测测试和维维护19第六章信信息科技技运行21第七章业业务连续续性管理理23第八章外外包与审审计25第一节外外包25第二节审审计28第九章附附则30附件：331修改记录 版次号生效日期修改原因A/0流程体系文文件A版版 首次次发布第一章 总则第一条 为有效防范范银行运用用信息系系统进行行业务处处理、经经营管理理和内部部控制过过程中产产生的风风险，促促进我行行各项业业务安全全、持续续、稳健健运行，根根据中中华人民民共和国国银行业业监督管管理法、中中华人民民共和国国商业银银行法、商业银行信息科技风险管理指引、营口沿海银操作风险管理指引，以及国家信息安全相关要求和有关法律法规，制定本管理办法。第二条 本管理办法法所称信信息科技技是指计计算机、通通信、微微电子和和软件工工程等现现代信息息技术，在在我行业业务交易易处理、经经营管理理和内部部控制等等方面的的应用，并并包括进进行信息息科技治治理，建建立完整整的管理理组织架架构，制制订完善善的管理理制度和和流程。第三条 本管理办法法所称信信息科技技风险，是是指信息息科技在在我行运运用过程程中，由由于自然然因素、人人为因素素、技术术漏洞和和管理缺缺陷产生生的操作作、法律律和声誉誉等风险险。第四条 信息科技风风险管理理的目标标是通过过建立有有效的机机制，实实现对我我行信息息科技风风险的识识别、计计量、监监测和控控制，促促进我行行安全、持持续、稳稳健运行行，推动动业务创创新，提提高信息息技术使使用水平平，增强强核心竞竞争力和和可持续续发展能能力。第二章 机构职责第五条 根据我行信信息科技技治理的的要求，法法定代表表人是本本机构信信息科技技风险管管理的第第一责任任人，负负责组织织本管理理办法的的贯彻落落实, 董事会会应履行行以下信信息科技技管理职职责：（一） 遵守并贯彻彻执行国国家有关关信息科科技管理理的法律律、法规规和技术术标准，落落实中国国银行业业监督管管理委员员会（以以下简称称银监会会）相关关监管要要求。（二） 审查批准信信息科技技战略，确确保其与与银行的的总体业业务战略略和重大大策略相相一致。评评估信息息科技及及其风险险管理工工作的总总体效果果和效率率。（三） 掌握主要的的信息科科技风险险，确定定可接受受的风险险级别，确确保相关关风险能能够被识识别、计计量、监监测和控控制。（四） 规范职业道道德行为为和廉洁洁标准，增增强内部部文化建建设，提提高全体体人员对对信息科科技风险险管理重重要性的的认识。（五） 设立一个由由来自高高级管理理层、信信息科技技部门和和主要业业务部门门的代表表组成的的专门信信息科技技管理委委员会，负负责监督督各项职职责的落落实，定定期向董董事会和和高级管管理层汇汇报信息息科技战战略规划划的执行行、信息息科技预预算和实实际支出出、信息息科技的的整体状状况。（六） 在建立良好好的公司司治理的的基础上上进行信信息科技技治理，形形成分工工合理、职职责明确确、相互互制衡、报报告关系系清晰的的信息科科技治理理组织结结构。加加强信息息科技专专业队伍伍的建设设，建立立人才激激励机制制。（七） 确保内部审审计部门门进行独独立有效效的信息息科技风风险管理理审计，对对审计报报告进行行确认并并落实整整改。（八） 每年审阅并并向银监监会及其其派出机机构报送送信息科科技风险险管理的的年度报报告。（九） 确保信息科科技风险险管理工工作所需需资金。（十） 确保银行所所有员工工充分理理解和遵遵守经其其批准的的信息科科技风险险管理制制度和流流程，并并安排相相关培训训。（十一） 确保本法人人机构涉涉及客户户信息、账账务信息息以及产产品信息息等的核核心系统统在中国国境内独独立运行行，并保保持最高高的管理理权限，符符合银监监会监管管和实施施现场检检查的要要求，防防范跨境境风险。（十二） 及时向银监监会及其其派出机机构报告告本机构构发生的的重大信信息科技技事故或或突发事事件，按按相关预预案快速速响应。（十三） 配合银监会会及其派派出机构构做好信信息科技技风险监监督检查查工作，并并按照监监管意见见进行整整改。（十四） 履行信息科科技风险险管理其其他相关关工作。第六条 我行应设立立分管信信息科技技的副行行级领导导，直接接向行长长汇报，并并参与决决策。副副行级领领导的职职责包括括：(一) 直接参与本本银行与与信息科科技运用用有关的的业务发发展决策策。(二) 确保信息科科技战略略，尤其其是信息息系统开开发战略略，符合合本银行行的总体体业务战战略和信信息科技技风险管管理策略略。(三) 负责建立一一个切实实有效的的信息科科技部门门，承担担本银行行的信息息科技职职责。确确保其履履行：信信息科技技预算和和支出、信信息科技技策略、标标准和流流程、信信息科技技内部控控制、专专业化研研发、信信息科技技项目发发起和管管理、信信息系统统和信息息科技基基础设施施的运行行、维护护和升级级、信息息安全管管理、灾灾难恢复复计划、信信息科技技外包和和信息系系统退出出等职责责。(四) 确保信息科科技风险险管理的的有效性性，并使使有关管管理措施施落实到到相关的的每一个个内设机机构和分分支机构构。(五) 组织专业培培训，提提高人才才队伍的的专业技技能。(六) 履行信息科科技风险险管理其其他相关关工作。第七条 科技部负责责我行信信息安全全、信息息系统开开发、测测试和维维护、信信息科技技运行、业业务连续续性管理理；应对对内部管管理职责责进行明明确的界界定，各各岗位的的人员应应具有相相应的专专业知识识和技能能，重要要岗位应应制定详详细完整整的工作作手册并并适时更更新，并并对相关关人员采采取相关关的风险险防范措措施：(一) 验证个人信信息，包包括核验验有效身身份证件件、学历历证明、工工作经历历和专业业资格证证书等信信息。(二) 审核信息科科技员工工的道德德品行，确确保其具具备相应应的职业业操守。(三) 确保员工了了解、遵遵守信息息科技策策略、指指导原则则、信息息保密、授授权使用用信息系系统、信信息科技技管理制制度和流流程等要要求，并并同员工工签订相相关协议议。(四) 评估关键岗岗位信息息科技员员工流失失带来的的风险，做做好安排排候补员员工和岗岗位接替替计划等等防范措措施；在在员工岗岗位发生生变化后后及时变变更相关关信息。第八条 运营管理部部职能交交叉，要要部门协协调是信信息系统统中涉及及账务交交易的操操作、系系统参数数变更、事事件管理理的主要要部门。运运营管理理部的职职责包括括：(一) 运行与维护护应实行行职责分分离，运运行人员员应实行行专职，不不得由其其他人员员兼任。运运行人员员应按操操作规程程巡检和和操作。维维护人员员应按授授权和维维护规程程要求对对生产状状态的软软硬件、数数据进行行维护，除除应急外外，其他他维护应应在非工工作时间间进行。(二) 制定详细的的运行值值班操作作表，包包括规定定巡检时时间，操操作范围围、内容容、办法法、命令令以及负负责人员员等信息息。(三) 提供机房环环境、设设备使用用、网络络运行、系系统运行行职能交交叉，要要部门协协调等监监控信息息。(四) 记录运行值值班过程程中所有有现象、操操作过程程等信息息日志。(五) 对软件或数数据的维维护必须须通过特特定的应应用程序序进行，添添加、删删除和修修改数据据应通过过柜员终终端，不不得对数数据库进进行直接接操作；(六) 具备各种详详细的日日志信息息，包括括交易日日志和审审计日志志等，以以便维护护和审计计。(七) 提供维护的的统计和和报表打打印功能能。(八) 对系统参数数等设置置变更、维维护的要要求：1、 应对信息系系统配置置参数实实施严格格的安全全与保密密管理，防防止非法法生成、变变更、泄泄漏、丢丢失与破破坏。根根据敏感感程度和和用途，确确定存取取权限、方方式和授授权使用用范围，严严格审批批和登记记手续。2、 制订严密的的变更处处理流程程，明确确变更控控制中各各岗位的的职责，并并遵循流流程实施施控制和和管理；变更前前应明确确应急和和回退方方案，无无授权不不得进行行变更操操作；3、 根据变更需需求、变变更方案案、变更更内容核核实清单单等相关关文档审审核变更更的正确确性、安安全性和和合法性性。职能能交叉，要要部门协协调(九) 应对机房环环境设施施实行日日常巡检检，明确确信息系系统及机机房环境境设施出出现故障障时的应应急处理理流程和和预案，有有实时交交易服务务的数据据中心应应实行224小时时值班。(十) 实行事件报报告制度度，发生生信息系系统造成成重大经经济、声声誉损失失和重大大影响事事件，应应即时上上报并处处理，必必要时启启动应急急处理预预案。第九条 风险管理部部负责信信息科技技风险管管理工作作，并直直接向分分管行领领导（风风险管理理委员会会）报告告工作。该该部门应应为信息息科技突突发事件件应急响响应小组组的成员员之一，负负责协调调制定有有关信息息科技风风险管理理策略，尤尤其是在在涉及信信息安全全、业务务连续性性计划和和合规性性风险等等方面，为为业务部部门和信信息科技技部门提提供建议议及相关关合规性性信息，实实施持续续信息科科技风险险评估，跟跟踪整改改意见的的落实，监监控信息息安全威威胁和不不合规事事件的发发生。风风险管理理部的职职责包括括：(一) 拟定信息系系统风险险管理总总体政策策，并提提交高级级管理层层审查、审审批。(二) 会同相关业业务部门门对信息息系统风风险进行行识别、监监测；(三) 审核信息系系统风险险状况。对对总行相相关业务务部门和和分支机机构信息息系统风风险状况况及维护护、运行行情况进进行监测测，并进进行实时时报告。(四) 组织新投产产后信息息系统的的后评价价，并识识别、评评估新信信息系统统中所包包含的风风险，审审核相应应的操作作和风险险管理程程序。 第十条 稽核审计部部应在部部门设立立专门的的信息科科技风险险审计岗岗位，负负责信息息科技审审计制度度和流程程的实施施，制订订和执行行信息科科技审计计计划，对对信息科科技整个个生命周周期和重重大事件件等进行行审计。稽稽核审计计部负责责我行信信息系统统审计任任务，也也可聘请请经国家家相应监监管部门门认定资资质的中中介机构构进行信信息系统统外部审审计。第三章 信息科技风风险管理理第十一条 我行应制定定全面的的信息科科技风险险管理策策略，包包括但不不限于下下述领域域：(一) 信息分级与与保护。(二) 信息系统开开发、测测试和维维护。(三) 信息科技运运行和维维护。(四) 访问控制。(五) 物理安全。(六) 人员安全。(七) 业务连续性性计划与与应急处处置。第十二条 我行应制定定持续的的风险识识别和评评估流程程，确定定信息科科技中存存在隐患患的区域域，评价价风险对对其业务务的潜在在影响，对对风险进进行排序序，并确确定风险险防范措措施及所所需资源源的优先先级别（包包括外包包供应商商、产品品供应商商和服务务商）。第十三条 我行应依据据信息科科技风险险管理策策略和风风险评估估结果，实实施全面面的风险险防范措措施。防防范措施施应包括括：(一) 制定明确的的信息科科技风险险管理制制度、技技术标准准和操作作规程等等，定期期进行更更新和公公示。(二) 确定潜在风风险区域域，并对对这些区区域进行行详细和和独立的的监控，实实现风险险最小化化。建立立适当的的控制框框架，以以便于检检查和平平衡风险险；定义义每个业业务级别别的控制制内容，包包括：1、 最高权限用用户的审审查。2、 控制对数据据和系统统的物理理和逻辑辑访问。3、 访问授权以以“必需知知道”和“最小授授权”为原则则。4、 审批和授权权。5、 验证和调节节。第十四条 我行应建立立持续的的信息科科技风险险计量和和监测机机制，其其中应包包括：(一) 建立信息科科技项目目实施前前及实施施后的评评价机制制。(二) 建立定期检检查系统统性能的的程序和和标准。(三) 建立信息科科技服务务投诉和和事故处处理的报报告机制制。(四) 建立内部审审计、外外部审计计和监管管发现问问题的整整改处理理机制。(五) 安排供应商商和业务务部门对对服务水水平协议议的完成成情况进进行定期期审查。(六) 定期评估新新技术发发展可能能造成的的影响和和已使用用软件面面临的新新威胁。(七) 定期进行运运行环境境下操作作风险和和管理控控制的检检查。(八) 定期进行信信息科技技外包项项目的风风险状况况评价。第四章 信息安全第十五条 科技部负责责建立和和实施信信息分类类和保护护体系，应应使所有有员工都都了解信信息安全全的重要要性，并并组织提提供必要要的培训训，让员员工充分分了解其其职责范范围内的的信息保保护流程程。第十六条 科技部应落落实信息息安全管管理职能能。该职职能应包包括建立立信息安安全计划划和保持持长效的的管理机机制，提提高全体体员工信信息安全全意识，就就安全问问题向其其他部门门提供建建议，并并定期向向信息科科技管理理委员会会提交本本银行信信息安全全评估报报告。信信息安全全管理机机制应包包括信息息安全标标准、策策略、实实施计划划和持续续维护计计划。信信息安全全策略应应涉及以以下领域域：(一) 安全制度管管理。(二) 信息安全组组织管理理。(三) 资产管理。(四) 人员安全管管理。(五) 物理与环境境安全管管理。(六) 通信与运营营管理。(七) 访问控制管管理。(八) 系统开发与与维护管管理。(九) 信息安全事事故管理理。(十) 业务连续性性管理。(十一) 合规性管理理。第十七条 应建立有效效管理用用户认证证和访问问控制的的流程。用用户对数数据和系系统的访访问必须须选择与与信息访访问级别别相匹配配的认证证机制，并并且确保保其在信信息系统统内的活活动只限限于相关关业务能能合法开开展所要要求的最最低限度度。用户户调动到到新的工工作岗位位或离开开我行时时，应在在系统中中及时检检查、更更新或注注销用户户身份。第十八条 应确保设立立物理安安全保护护区域，包包括计算算机中心心或数据据中心、存存储机密密信息或或放置网网络设备备等重要要信息科科技设备备的区域域，明确确相应的的职责，采采取必要要的预防防、检测测和恢复复控制措措施。第十九条 应根据信息息安全级级别，将将网络划划分为不不同的逻逻辑安全全域（以以下简称称为域）。应应该对下下列安全全因素进进行评估估，并根根据安全全级别定定义和评评估结果果实施有有效的安安全控制制，如对对每个域域和整个个网络进进行物理理或逻辑辑分区、实实现网络络内容过过滤、逻逻辑访问问控制、传传输加密密、网络络监控、记记录活动动日志等等。(一) 域内应用程程序和用用户组的的重要程程度。(二) 各种通讯渠渠道进入入域的访访问点。(三) 域内配置的的网络设设备和应应用程序序使用的的网络协协议和端端口。(四) 性能要求或或标准。(五) 域的性质，如如生产域域或测试试域、内内部域或或外部域域。(六) 不同域之间间的连通通性。(七) 域的可信程程度。第二十条 应通过以下下措施，确确保所有有计算机机操作系系统和系系统软件件的安全全：(一) 制定每种类类型操作作系统的的基本安安全要求求，确保保所有系系统满足足基本安安全要求求。(二) 明确定义包包括终端端用户、系系统开发发人员、系系统测试试人员、计计算机操操作人员员、系统统管理员员和用户户管理员员等不同同用户组组的访问问权限。(三) 制定最高权权限系统统账户的的审批、验验证和监监控流程程，并确确保最高高权限用用户的操操作日志志被记录录和监察察。(四) 要求技术人人员定期期检查可可用的安安全补丁丁，并报报告补丁丁管理状状态。(五) 在系统日志志中记录录不成功功的登录录、重要要系统文文件的访访问、对对用户账账户的修修改等有有关重要要事项，手手动或自自动监控控系统出出现的任任何异常常事件，定定期汇报报监控情情况。第二十一条 应通过以下下措施，确确保所有有信息系系统安全全：(一) 明确定义终终端用户户和信息息科技技技术人员员在信息息系统安安全中的的角色和和职责。(二) 针对信息系系统的重重要性和和敏感程程度，采采取有效效的身份份验证方方法。(三) 加强职责划划分，对对关键或或敏感岗岗位进行行双重控控制。(四) 在关键的接接合点进进行输入入验证或或输出核核对。(五) 采取安全的的方式处处理保密密信息的的输入和和输出，防防止信息息泄露或或被盗取取、篡改改。(六) 确保系统按按预先定定义的方方式处理理例外情情况，当当系统被被迫终止止时向用用户提供供必要信信息。(七) 以书面或电电子格式式保存审审计痕迹迹。(八) 要求用户管管理员监监控和审审查未成成功的登登录和用用户账户户的修改改。第二十二条 应制定相关关策略和和流程，管管理所有有生产系系统的活活动日志志，以支支持有效效的审核核、安全全取证分分析和预预防欺诈诈。日志志可以在在软件的的不同层层次、不不同的计计算机和和网络设设备上完完成，日日志划分分为两大大类：(一) 交易日志。交交易日志志由应用用软件和和数据库库管理系系统产生生，内容容包括用用户登录录尝试、数数据修改改、错误误信息等等。交易易日志应应按照国国家会计计准则要要求予以以保存。(二) 系统日志。系系统日志志由操作作系统、数数据库管管理系统统、防火火墙、入入侵检测测系统和和路由器器等生成成，内容容包括管管理登录录尝试、系系统事件件、网络络事件、错错误信息息等。系系统日志志保存期期限按系系统的风风险等级级确定，但但不能少少于一年年。第二十三条 应保证交易易日志和和系统日日志中包包含足够够的内容容，以便便完成有有效的内内部控制制、解决决系统故故障和满满足审计计需要；应采取取适当措措施保证证所有日日志同步步计时，并并确保其其完整性性。在例例外情况况发生后后应及时时复查系系统日志志。交易易日志或或系统日日志的复复查频率率和保存存周期应应由信息息科技部部门和有有关业务务部门共共同决定定，并报报信息科科技管理理委员会会批准。第二十四条 应采取加密密技术，防防范涉密密信息在在传输、处处理、存存储过程程中出现现泄露或或被篡改改的风险险，并建建立密码码设备管管理制度度，以确确保： (一) 使用符合国国家要求求的加密密技术和和加密设设备。(二) 管理、使用用密码设设备的员员工经过过专业培培训和严严格审查查。(三) 加密强度满满足信息息机密性性的要求求。(四) 制定并落实实有效的的管理流流程，尤尤其是密密钥和证证书生命命周期管管理。第二十五条 配备切实有有效的系系统，确确保所有有终端用用户设备备的安全全，并定定期对所所有设备备进行安安全检查查，包括括台式个个人计算算机（PPC）、便便携式计计算机、柜柜员终端端、自动动柜员机机（ATTM）、存存折打印印机、读读卡器、销销售终端端（POOS）和和个人数数字助理理（PDDA）等等。第二十六条 制定相关制制度和流流程，严严格管理理客户信信息的采采集、处处理、存存贮、传传输、分分发、备备份、恢恢复、清清理和销销毁。第二十七条 对所有员工工进行必必要的培培训，使使其充分分掌握信信息科技技风险管管理制度度和流程程，了解解违反规规定的后后果，并并对违反反安全规规定的行行为采取取零容忍忍政策。第五章 信息系统开开发、测测试和维维护第二十八条 应有能力对对信息系系统进行行需求分分析、规规划、采采购、开开发、测测试、部部署、维维护、升升级和报报废，制制定制度度和流程程，管理理信息科科技项目目的优先先排序、立立项、审审批和控控制。项项目实施施部门应应定期向向信息科科技管理理委员会会提交重重大信息息科技项项目的进进度报告告，由其其进行审审核，进进度报告告应当包包括计划划的重大大变更、关关键人员员或供应应商的变变更以及及主要费费用支出出情况。应应在信息息系统投投产后一一定时期期内，组组织对系系统的后后评价，并并根据评评价结果果及时对对系统功功能进行行调整和和优化。第二十九条 应认识到信信息科技技项目相相关的风风险，包包括潜在在的各种种操作风风险、财财务损失失风险和和因无效效项目规规划或不不适当的的项目管管理控制制产生的的机会成成本，并并采取适适当的项项目管理理方法，控控制信息息科技项项目相关关的风险险。第三十条 采取适当的的系统开开发方法法，控制制信息系系统的生生命周期期。典型型的系统统生命周周期包括括系统分分析、设设计、开开发或外外购、测测试、试试运行、部部署、维维护和退退出。所所采用的的系统开开发方法法应符合合信息科科技项目目的规模模、性质质和复杂杂度。第三十一条 制定相关控控制信息息系统变变更的制制度和流流程，确确保系统统的可靠靠性、完完整性和和可维护护性，其其中应包包括以下下要求：(一) 生产系统与与开发系系统、测测试系统统有效隔隔离。(二) 生产系统与与开发系系统、测测试系统统的管理理职能相相分离。(三) 除得到管理理层批准准执行紧紧急修复复任务外外，禁止止应用程程序开发发和维护护人员进进入生产产系统，且且所有的的紧急修修复活动动都应立立即进行行记录和和审核。(四) 将完成开发发和测试试环境的的程序或或系统配配置变更更应用到到生产系系统时，应应得到信信息科技技部门和和业务部部门的联联合批准准，并对对变更进进行及时时记录和和定期复复查。(五) 制定并落实实相关制制度、标标准和流流程，确确保信息息系统开开发、测测试、维维护过程程中数据据的完整整性、保保密性和和可用性性。第三十二条 建立并完善善有效的的问题管管理流程程，以确确保全面面地追踪踪、分析析和解决决信息系系统问题题，并对对问题进进行记录录、分类类和索引引；如需需供应商商提供支支持服务务或技术术援助，应应向相关关人员提提供所需需的合同同和相关关信息，并并将过程程记录在在案；对对完成紧紧急恢复复起至关关重要作作用的任任务和指指令集，应应有清晰晰的描述述和说明明，并通通知相关关人员。第六章 信息科技运运行第三十三条 在选择数据据中心的的地理位位置时，应应充分考考虑环境境威胁（如如是否接接近自然然灾害多多发区、危危险或有有害设施施、繁忙忙或主要要公路），采采取物理理控制措措施，监监控对信信息处理理设备运运行构成成威胁的的环境状状况，并并防止因因意外断断电或供供电干扰扰影响数数据中心心的正常常运行。第三十四条 严格控制第第三方人人员（如如服务供供应商）进进入安全全区域，如如确需进进入应得得到适当当的批准准，其活活动也应应受到监监控；针针对长期期或临时时聘用的的技术人人员和承承包商，尤尤其是从从事敏感感性技术术相关工工作的人人员，应应制定严严格的审审查程序序，包括括身份验验证和背背景调查查。第三十五条 应将信息科科技运行行与系统统开发和和维护分分离，确确保信息息科技部部门内部部的岗位位制约；对数据据中心的的岗位和和职责做做出明确确规定。第三十六条 按照有关法法律法规规要求保保存交易易记录，采采取必要要的程序序和技术术，确保保存档数数据的完完整性，满满足安全全保存和和可恢复复要求。第三十七条 制定详尽的的信息科科技运行行操作说说明。如如在信息息科技运运行手册册中说明明计算机机操作人人员的任任务、工工作日程程、执行行步骤，以以及生产产与开发发环境中中数据、软软件的现现场及非非现场备备份流程程和要求求（即备备份的频频率、范范围和保保留周期期）。第三十八条 建立事故管管理及处处置机制制，及时时响应信信息系统统运行事事故，逐逐级向相相关的信信息科技技管理人人员报告告事故的的发生，并并进行记记录、分分析和跟跟踪，直直到完成成彻底的的处置和和根本原原因分析析。我行行应建立立服务台台，为用用户提供供相关技技术问题题的在线线支持，并并将问题题提交给给相关信信息科技技部门进进行调查查和解决决。第三十九条 建立服务水水平管理理相关的的制度和和流程，对对信息科科技运行行服务水水平进行行考核。第四十条 建立连续监监控信息息系统性性能的相相关程序序，及时时、完整整地报告告例外情情况；该该程序应应提供预预警功能能，在例例外情况况对系统统性能造造成影响响前对其其进行识识别和修修正。第四十一条 制定容量规规划，以以适应由由于外部部环境变变化产生生的业务务发展和和交易量量增长。容容量规划划应涵盖盖生产系系统、备备份系统统及相关关设备。第四十二条 及时进行维维护和适适当的系系统升级级，以确确保与技技术相关关服务的的连续可可用性，并并完整保保存记录录（包括括疑似和和实际的的故障、预预防性和和补救性性维护记记录），以以确保有有效维护护设备和和设施。第四十三条 制定有效的的变更管管理流程程，以确确保生产产环境的的完整性性和可靠靠性。包包括紧急急变更在在内的所所有变更更都应记记入日志志，由信信息科技技部门和和业务部部门共同同审核签签字，并并事先进进行备份份,以便便必要时时可以恢恢复原来来的系统统版本和和数据文文件。紧紧急变更更成功后后,应通通过正常常的验收收测试和和变更管管理流程程,采用用恰当的的修正以以取代紧紧急变更更。第七章 业务连续性性管理第四十四条 根据自身业业务的性性质、规规模和复复杂程度度制定适适当的业业务连续续性规划划，以确确保在出出现无法法预见的的中断时时，系统统仍能持持续运行行并提供供服务；定期对对规划进进行更新新和演练练，以保保证其有有效性。第四十五条 评估因意外外事件导导致其业业务运行行中断的的可能性性及其影影响，包包括评估估可能由由下述原原因导致致的破坏坏：(一) 内外部资源源的故障障或缺失失（如人人员、系系统或其其他资产产）。(二) 信息丢失或或受损。(三) 外部事件（如如战争、地地震或台台风等）。第四十六条 应采取系统统恢复和和双机热热备处理理等措施施降低业业务中断断的可能能性，并并通过应应急安排排和保险险等方式式降低影影响。第四十七条 建立维持其其运营连连续性策策略的文文档，并并制定对对策略的的充分性性和有效效性进行行检查和和沟通的的计划。其其中包括括：(一) 规范的业务务连续性性计划,明确降降低短期期、中期期和长期期中断所所造成影影响的措措施，包包括但不不限于:1、 资源需求（如如人员、系系统和其其他资产产）以及及获取资资源的方方式。2、 运行恢复的的优先顺顺序。3、 与内部各部部门及外外部相关关各方（尤尤其是监监管机构构、客户户和媒体体等）的的沟通安安排。(二) 更新实施业业务连续续性计划划的流程程及相关关联系信信息。(三) 验证受中断断影响的的信息完完整性的的步骤。(四) 当我行的业业务或风风险状况况发生变变化时，对对本条一一到三进进行审核核并升级级。第四十八条 我行的业务务连续性性计划和和年度应应急演练练结果应应由信息息科技风风险管理理部门或或信息科科技管理理委员会会确认。第八章 外包与审计计第一节 外包第四十九条 不得将我行行信息科科技管理理责任外外包，应应合理谨谨慎监督督外包职职能的履履行。第五十条 实施重要外外包（如如数据中中心和信信息科技技基础设设施等)应格外外谨慎，在在准备实实施重要要外包时时应以书书面材料料正式报报告银监监会或其其派出机机构。第五十一条 在签署外包包协议或或对外包包协议进进行重大大变更前前，应做做好相关关准备，其其中包括括：(一) 分析外包是是否适合合我行的的组织结结构和报报告路线线、业务务战略、总总体风险险控制，是是否满足足我行履履行对外外包服务务商的监监督义务务。(二) 考虑外包协协议是否否允许我我行监测测和控制制与外包包相关的的操作风风险。(三) 充分审查、评评估外包包服务商商的财务务稳定性性和专业业经验，对对外包服服务商进进行风险险评估，考考查其设设施和能能力是否否足以承承担相应应的责任任。(四) 考虑外包协协议变更更前后实实施的平平稳过渡渡（包括括终止合合同可能能发生的的情况）。(五) 关注可能存存在的集集中风险险，如多多家我行行共用同同一外包包服务商商带来的的潜在业业务连续续性风险险。第五十二条 在与外包服服务商合合同谈判判过程中中，应考考虑的因因素包括括但不限限于：(一) 对外包服务务商的报报告要求求和谈判判必要条条件。(二) 银行业监管管机构和和内部审审计、外外部审计计能执行行足够的的监督。(三) 通过界定信信息所有有权、签签署保密密协议和和采取技技术防护护措施保保护客户户信息和和其他信信息。(四) 担保和损失失赔偿是是否充足足。(五) 外包服务商商遵守我我行有关关信息科科技风险险制度和和流程的的意愿及及相关措措施。(六) 外包服务商商提供的的业务连连续性保保障水平平，以及及提供相相关专属属资源的的承诺。(七) 第三方供应应商出现现问题时时，保证证软件持持续可用用的相关关措施。(八) 变更外包协协议的流流程，以以及我行行或外包包服务商商选择变变更或终终止外包包协议的的条件，例例如：1、 我行或外包包服务商商的所有有权或控控制权发发生变化化。2、 我行或外包包服务商商的业务务经营发发生重大大变化。3、 外包服务商商提供的的服务不不充分，造造成我行行不能履履行监督督义务。第五十三条 在实施双方方关系管管理，以以及起草草服务水水平协议议时，应应考虑的的因素包包括但不不限于：(一) 提出定性和和定量的的绩效指指标，评评估外包包服务商商为我行行及其相相关客户户提供服服务的充充分性。(二) 通过服务水水平报告告、定期期自我评评估、内内部或外外部独立立审计进进行绩效效考核。(三) 针对绩效不不达标的的情况调调整流程程，采取取整改措措施。第五十四条 加强信息科科技相关关外包管管理工作作，确保保我行的的客户资资料等敏敏感信息息的安全全，包括括但不限限于采取取以下措措施：(一) 实现本银行行客户资资料与外外包服务务商其他他客户资资料的有有效隔离离。(二) 按照“必需需知道”和“最小授授权”原则对对外包服服务商相相关人员员授权。(三) 要求外包服服务商保保证其相相关人员员遵守保保密规定定。(四) 应将涉及本本银行客客户资料料的外包包作为重重要外包包，并告告知相关关客户。(五) 严格控制外外包服务务商再次次对外转转包，采采取足够够措施确确保我行行相关信信息的安安全。(六) 确保在中止止外包协协议时收收回或销销毁外包包服务商商保存的的所有客客户资料料。第五十五条 我行应建立立恰当的的应急措措施，应应对外包包服务商商在服务务中可能能出现的的重大缺缺失。尤尤其需要要考虑外外包服务务商的重重大资源源损失，重重大财务务损失和和重要人人员的变变动，以以及外包包协议的的意外终终止。第五十六条 我行所有信信息科技技外包合合同应由由科技部部、风险险管理部部、法律律合规部部和信息息科技管管理委员员会审核核通过。我我行应设设立流程程定期审审阅和修修订服务务水平协协议。第二节 审计第五十七条 我行内部审审计部门门应根据据业务的的性质、规规模和复复杂程度度，对相相关系统统及其控控制的适适当性和和有效性性进行监监测。稽稽核审计计部门应应配备足足够的资资源和具具有专业业能力的的信息科科技审计计人员，独独立于我我行的日日常活动动，具有有适当的的授权访访问我行行的记录录。第五十八条 我行内部信信息科技技审计的的责任包包括：(一) 制定、实施施和调整整审计计计划，检检查和评评估我行行信息科科技系统统和内控控机制的的充分性性和有效效性。(二) 按照第一款款规定完完成审计计工作，在在此基础础上提出出整改意意见。(三) 检查整改意意见是否否得到落落实。(四) 执行信息科科技专项项审计。信信息科技技专项审审计，是是指对信信息科技技安全事事故进行行的调查查、分析析和评估估，或审审计部门门根据风风险评估估结果对对认为必必要的特特殊事项项进行的的审计。第五十九条 我行应根据据业务性性质、规规模和复复杂程度度，信息息科技应应用情况况，以及及信息科科技风险险评估结结果，决决定信息息科技内内部审计计范围和和频率。但但至少应应每三年年进行一一次全面面审计。第六十条 我行在进行行大规模模系统开开发时，应应要求信信息科技技风险管管理部门门和内部部审计部部门参与与，保证证系统开开发符合合本银行行信息科科技风险险管理标标准。第六十一条 我行可以在在符合法法律、法法规和监监管要求求的情况况下，委委托具备备相应资资质的外外部审计计机构进进行信息息科技外外部审计计。第六十二条 在委托审计计过程中中，我行行应确保保外部审审计机构构能够对对本银行行的硬件件、软件件、文档档和数据据进行检检查，以以发现信信息科技技存在的的风险，国国家法律律、法规规及监管管部门规规章、规规范性文文件规定定的重要要商业、技技术保密密信息除除外。第六十三条 我行在实施施外部审审计前应应与外部部审计机机构进行行充分沟沟通，详详细确定定审计范范围，不不应故意意隐瞒事事实或阻阻挠审计计检查。第六十四条 银监会及其其派出机机构必要要时可指指定具备备相应资资质的外外部审计计机构对对我行执执行信息息科技审审计或相相关检查查。外部部审计机机构根据据银监会会或其派派出机构构的委托托或授权权对我行行进行审审计时，应应出示委委托授权权书，并并依照委委托授权权书上规规定的范范围进行行审计。第六十五条 外部审计机机构根据据授权出出具的审审计报告告，经银银监会及及其派出出机构审审阅批准准后具有有与银监监会及其其派出机机构出具具的检查查报告同同等的效效力，被被审计的的我行应应根据该该审计报报告提出出整改计计划，并并在规定定的时间间内实施施整改。第六十六条 我行在委托托外部审审计机构构进行外外部审计计时，应应与其签签订保密密协议，并并督促其其严格遵遵守法律律法规，保保守本银银行的商商业秘密密和信息息科技风风险信息息，防止止其擅自自对本银银行提供供的任何何文件进进行修改改、复制制或带离离现场。第九章 附则第六十七条 本办办法由营营口沿海海银风险险管理部部负责解解释和修修订。第六十八条 本办法自下下发之日日起实施施。附件：无