商业银行信息科技风险管理指引_英文版bjew.docx

《商业银行信息科技风险管理指引_英文版bjew.docx》由会员分享，可在线阅读，更多相关《商业银行信息科技风险管理指引_英文版bjew.docx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Guidelines on the Risk Management ofCommercial Banks Information TechnologyChaptter IGenneraal PProvvisiionssArticle 1. Pursuuantt too thhe LLaw of thee Peeoplless Reepubblicc off Chhinaa onn Baankiing Reggulaatioon aand Suppervvisiion, thhe LLaw of thee Peeoplless Reepubblicc off Chhinaa onn Coomme

2、erciial Bannks, thhe RReguulattionns oof tthe Peooplees Reppubllic of Chiina on Admminiistrratiion of Forreiggn-ffundded Bannks, annd ootheer aappllicaablee laaws andd reegullatiionss, tthe Guiidellinees oon tthe Rissk MManaagemmentt off Coommeerciial Bankks Infformmatiion Tecchnoologgy (herreinnaft

3、ter refferrred to as thee Guuideelinnes) iss foormuulatted.Article 2. The GGuiddeliiness appplyy too alll tthe commmerrciaal bbankks llegaallyy inncorrporrateed wwithhin thee teerriitorry oof tthe Peooplees Reppubllic of Chiina.The GGuiddeliiness maay aapplly tto ootheer bbankkingg innstiituttionns

4、iinclludiing pollicyy baankss, rruraal ccoopperaativve bbankks, urbban creeditt cooopeerattivees, rurral creeditt cooopeerattivees, villlagge bbankks, loaan ccomppaniies, fiinannciaal aasseet mmanaagemmentt coompaaniees, truust andd innvesstmeent commpanniess, ffinaancee fiirmss, ffinaanciial leaasi

5、nng ccomppaniies, auutommobiile finnancciall coompaaniees aand monney brookerrs.Article 3. The ttermm “iinfoormaatioon ttechhnollogyy” sstatted in thee Guuideelinnes shaall reffer to thee syysteem bbuillt wwithh coompuuterr, coommuuniccatiion andd sooftwwaree teechnnoloogiees, andd emmplooyedd byy c

6、oommeerciial bannks to hanndlee buusinnesss trranssacttionns, opeerattionn maanaggemeent, annd iinteernaal ccommmuniicattionn, ccolllaboorattivee woork andd coontrrolss. TThe terrm aalsoo inncluude IT govvernnancce, IT orgganiizattionn sttruccturre aand IT polliciies andd prroceedurres.Article 4. Th

7、e rriskk off innforrmattionn teechnnoloogy refferss too thhe ooperratiionaal rriskk, llegaal rriskk annd rrepuutattionn riisk thaat aare cauusedd byy naaturral facctorr, hhumaan ffacttor, teechnnoloogiccal looophooless orr maanaggemeent defficiiencciess whhen usiing infformmatiion tecchnoologgy.Arti

8、cle 5. The oobjeectiive of infformmatiion sysstemm riisk mannageemennt iis tto eestaabliish an efffecttivee meechaanissm tthatt caan iidenntiffy, meaasurre, monnitoor, andd coontrrol thee riiskss off coommeerciial bannks innforrmattionn syysteem, enssuree daata inttegrrityy, aavaiilabbiliity, coonfi

9、idenntiaalitty aand connsisstenncy, prroviide thee reelevvantt eaarlyy waarniing, annd ttherrebyy ennablle ccommmercciall baankss bbusiinesss iinnoovattionns, uplliftt thheirr caapabbiliity in utiilizzingg innforrmattionn teechnnoloogy, immproove theeir corre ccomppetiitivveneess andd caapaccityy fo

10、or ssusttainnablle ddeveeloppmennt.Chaptter IIIT govvernnancceArticle 6. The llegaal rreprreseentaativve oof ccommmercciall baank shoouldd bee reespoonsiiblee too ennsurre ccomppliaancee off thhis guiidellinee. Article 7. The bboarrd oof ddireectoors of commmerrciaal bbankks sshouuld havve tthe foll

11、lowwingg reespoonsiibillitiies witth rresppectt too thhe mmanaagemmentt off innforrmattionn syysteems:(1) Impleemenntinng aand commplyyingg wiith thee naatioonall laaws, reegullatiionss annd ttechhniccal staandaardss peertaainiing to thee maanaggemeent of infformmatiion sysstemms, as welll aas tthe

12、reggulaatorry rrequuireemennts sett byy thhe CChinna BBankkingg Reegullatoory Commmisssioon (herreinnaftter refferrred to as thee “CCBRCC”);(2) Perioodiccallly rreviiewiing thee allignnmennt oof IIT sstraateggy wwithh thhe ooverralll buusinnesss sttrattegiies andd siigniificcantt poolicciess off thh

13、e bbankk, aasseessiing thee ovveraall efffecttiveenesss aand effficiienccy oof tthe IT orgganiizattionn.(3) Approovinng IIT rriskk maanaggemeent strrateegiees aand polliciies, unnderrstaandiing thee maajorr ITT riiskss innvollvedd, ssetttingg acccepptabble levvelss foor tthesse rriskks, andd ennsurr

14、ingg thhe iimpllemeentaatioon oof tthe meaasurres neccesssaryy too iddenttifyy, mmeassuree, mmoniitorr annd cconttroll thhesee riiskss. (4) Settiing higgh eethiicall annd iinteegriity staandaardss, aand esttabllishhingg a cullturre wwithhin thee baank thaat eemphhasiizess annd ddemoonsttrattes to al

15、ll leevells oof pperssonnnel thee immporrtannce of IT rissk mmanaagemmentt. (5) Estabblisshinng aan IIT ssteeerinng ccommmitttee whiich connsissts of reppressenttatiivess frrom senniorr maanaggemeent, thhe IIT oorgaanizzatiion, annd mmajoor bbusiinesss uunitts, to oveerseee tthesse rrespponssibiilit

16、tiess annd rrepoort thee efffecctivveneess of strrateegicc ITT pllannningg, tthe IT buddgett annd aactuual exppenddituure, annd tthe oveeralll IIT pperfformmancce tto tthe bboarrd oof ddireectoors andd seenioor mmanaagemmentt peerioodiccallly. (6) Estabblisshinng IIT ggoveernaancee sttruccturre, pro

17、operr seegreegattionn off duuty, cllearr roole andd reespoonsiibillityy, mmainntaiininng cchecck aand ballancces andd cllearr reeporrtinng rrelaatioonshhip. Sttrenngthheniing IT proofesssioonall sttafff byy deevellopiing inccenttivee prrogrram.(7) Ensurringg thhat theere is an efffecttivee innterrna

18、ll auuditt off thhe IIT rriskk maanaggemeent carrrieed oout by opeerattionnallly iindeepenndennt, welll-ttraiinedd annd qquallifiied staaff. TThe intternnal auddit repportt shhoulld bbe ssubmmittted dirrecttly to thee ITT auuditt coommiitteee;(8) Submiittiing an annnuall reeporrt tto tthe CBRRC aand

19、 itss loocall offficces on infformmatiion sysstemm riisk mannageemennt tthatt haas bbeenn reevieewedd annd aapprroveed bby tthe boaard of dirrecttorss ;(9) Ensurringg thhe aapprroprriattingg fuundiing neccesssaryy foor IIT rriskk maanaggemeent worrks;(10) Ensurringg thhat alll emmplooyeees oof tthe

20、bannk ffullly uundeersttandd annd aadheere to thee ITT riisk mannageemennt ppoliiciees aand prooceddurees aapprroveed bby tthe boaard of dirrecttorss annd tthe senniorr maanaggemeent, annd aare proovidded witth pperttineent traainiing.(11) Ensurringg cuustoomerr innforrmattionn, ffinaanciial infform

21、matiion, prroduuct infformmatiion andd coore bannkinng ssysttem of thee leegall enntitty aare helld iindeepenndenntlyy wiithiin tthe terrrittoryy, aand commplyyingg wiith thee reegullatoory on-sitte eexamminaatioon rrequuireemennts of CBRRC aand guaardiing agaainsst ccrosss-bbordder rissk.(12) Repor

22、rtinng iin aa tiimelly mmannner to thee CBBRC andd itts llocaal ooffiicess anny sseriiouss innciddentt off innforrmattionn syysteems or uneexpeecteed eevennt, andd quuickkly ressponnd tto iit iin aaccoordaancee wiith thee coontiingeencyy pllan;(13) Coopeerattingg wiith thee CBBRC andd itts llocaal o

23、offiicess inn thhe ssupeerviisorry iinsppecttionn off thhe rriskk maanaggemeent of infformmatiion sysstemms, andd ennsurre tthatt suuperrvissoryy oppiniionss arre ffollloweed uup; andd(14) Perfoormiing othher rellateed IIT rriskk maanaggemeent tassks.Article 8. The hheadd off thhe IIT oorgaanizzatii

24、on, coommoonlyy knnownn ass thhe CChieef IInfoormaatioon OOffiicerr (CCIO) shhoulld rrepoort dirrecttly to thee prresiidennt. Rolles andd reespoonsiibillitiies of thee CIIO sshouuld inccludde tthe folllowwingg:(1) Playiing a ddireect rolle iin kkey deccisiionss foor tthe bussineess devveloopmeent in

25、vvolvvingg thhe uuse of IT in thee baank;(2) The CCIO shoouldd ennsurre tthatt innforrmattionn syysteems meeet tthe neeeds of thee baank, annd IIT sstraateggiess, iin ppartticuularr innforrmattionn syysteem ddeveeloppmennt sstraateggiess, ccompply witth tthe oveeralll bbusiinesss sstraateggiess annd

26、 IIT rriskk maanaggemeent polliciies of thee baank;(3) The CCIO shoouldd allso be ressponnsibble forr thhe eestaabliishmmentt off ann efffecctivve aand effficiientt ITT orrgannizaatioon tto ccarrry oout thee ITT fuuncttionns oof tthe bannk. Thhesee inncluude thee ITT buudgeet aand exppenddituure, IT

27、T riisk mannageemennt, IT polliciies, sttanddardds aand prooceddurees, IT intternnal conntrools, prrofeessiionaal ddeveeloppmennt, IT proojecct iinittiattivees, IT proojecct mmanaagemmentt, iinfoormaatioon ssysttem maiinteenannce andd uppgraade, ITT opperaatioons, ITT innfraastrructturee, IInfoormaa

28、tioon ssecuuritty, dissastter reccoveery plaan (DRPP), IT outtsouurciing, annd iinfoormaatioon ssysttem rettireemennt;(4) Ensurringg thhe eeffeectiivennesss off ITT riisk mannageemennt tthrooughhoutt thhe oorgaanizzatiion inccluddingg alll bbrannchees.(5) Organniziing proofesssioonall trrainninggs t

29、to iimprrovee teechnnicaal pprofficiienccy oof sstafff.(6) Perfoormiing othher rellateed IIT rriskk maanaggemeent tassks.Article 9. Commeerciial bannks shoouldd ennsurre tthatt a cleear deffiniitioon oof tthe IT orgganiizattionn sttruccturre aand doccumeentaatioon oof aall jobb deescrripttionns oof

30、iimpoortaant possitiionss arre aalwaays in plaace andd uppdatted in a ttimeely mannnerr. SStafff iin eacch pposiitioon sshouuld meeet rreleevannt rrequuireemennts on proofesssioonall skkillls aand knoowleedgee. TThe folllowwingg riisk mittigaatioon mmeassurees sshouuld be inccorpporaatedd inn thhe m

31、manaagemmentt prrogrram of rellateed sstafff:(1) Verifficaatioon oof pperssonaal iinfoormaatioon iinclludiing connfirrmattionn off peersoonall iddenttifiicattionn isssueed bby ggoveernmmentt, aacaddemiic ccreddenttialls, priior worrk eexpeerieencee, pproffesssionnal quaalifficaatioons;(2) Ensurringg

32、 thhat IT staaff cann meeet thee reequiiredd prrofeessiionaal eethiics by cheeckiing chaaraccterr reeferrencce; (3) Signiing of agrreemmentts wwithh emmplooyeees aabouut uundeersttanddingg off ITT poolicciess annd gguiddeliiness, nnon-disscloosurre oof cconffideentiial infformmatiion, auuthoorizzed

33、usee off innforrmattionn syysteems, annd aadheerennce to IT polliciies andd prroceedurres; annd(4) Evaluuatiion of thee riisk of lossingg keey IIT pperssonnnel, esspecciallly durringg maajorr ITT deevellopmmentt sttagee orr inn a perriodd off unnstaablee ITT opperaatioons, annd tthe rellevaant rissk

34、 mmitiigattionn meeasuuress suuch as staaff bacckupp arrranngemmentt annd sstafff ssucccesssionn pllan.Article 10. Commeerciial bannks shoouldd esstabblissh oor ddesiignaate a ppartticuularr deeparrtmeent forr ITT riisk mannageemennt. Itt shhoulld rrepoort dirrecttly to thee CIIO aand thee Chhieff R

35、iisk Offficeer (or rissk mmanaagemmentt coommiitteee), seervee ass a memmberr off thhe IIT iinciidennt rrespponsse tteamm, aand be ressponnsibble forr cooorddinaatinng tthe esttabllishhmennt oof ppoliiciees rregaardiing IT rissk mmanaagemmentt, eespeeciaallyy thhe aareaas oof iinfoormaatioon ssecuur

36、itty, BCPP, aand commpliiancce wwithh thhe CCBRCC reegullatiionss, aadviisinng tthe bussineess depparttmennts andd ITT deeparrtmeent in impplemmenttingg thhesee poolicciess, pprovvidiing rellevaant commpliiancce iinfoormaatioon, connducctinng oon-ggoinng aasseessmmentt off ITT riiskss, aand enssurii

37、ng thee foolloow-uup oof rremeediaatioon aadviice, moonittoriing andd esscallatiing mannageemennt oof IIT tthreeatss annd nnon-commpliiancce eevennts. Article 11. Commeerciial bannks shoouldd esstabblissh aa sppeciial IT auddit rolle aand ressponnsibbiliity witthinn innterrnall auuditt fuuncttionn,

38、wwhicch sshouuld putt inn pllacee ITT auuditt poolicciess annd pprocceduuress, ddeveelopp annd eexeccutee ITT auuditt pllan.Article 12. Commeerciial bannks shoouldd puut iin pplacce ppoliiciees aand prooceddurees tto pprottectt inntelllecctuaal pproppertty rrighhts acccorddingg too laaws reggardding

39、g inntelllecctuaal ppropperttiess, eensuure purrchaase of leggitiimatte ssofttwarre aand harrdwaare, prreveentiion of thee usse oof ppiraatedd sooftwwaree, aand thee prroteectiion of thee prroprriettaryy riightts oof IIT pprodductts ddeveelopped by thee baank, annd eensuure thaat tthesse aare fullly

40、 unddersstoood aand commpliied by alll emmplooyeees. Article 13. Commeerciial bannks shoouldd, iin aaccoordaancee wiith rellevaant lawws aand reggulaatioons, diiscllosee thhe rriskk prrofiile of theeir IT norrmattiveely andd tiimelly.Chaptter IIIIIT Rissk MManaagemmenttArticle 14. Commeerciial bannk

41、s shoouldd foormuulatte aan IIT sstraateggy thhat aliignss wiith thee ovveraall bussineess plaan oof tthe bannk, IT rissk aasseessmmentt pllan andd ann ITT opperaatioonall pllan thaat ccan enssuree addequuatee fiinannciaal rresoourcces andd huumann reesouurcees tto mmainntaiin aa sttablle aand seccu

42、ree ITT ennvirronmmentt.Article 15. Commeerciial bannks shoouldd puut iin pplacce aa coomprreheensiive sett off ITT riisk mannageemennt ppoliiciees tthatt inncluude thee foolloowinng aareaas:(1) Inforrmattionn secuuritty cclasssifficaatioon ppoliicy(2) Systeem ddeveeloppmennt, tesstinng aand maiinte

43、enannce pollicyy(3) IT opperaatioon aand mainntennancce ppoliicy(4) Accesss cconttroll poliicy(5) Physiicall secuuritty ppoliicy (6) Persoonneel ssecuuritty ppoliicy(7) Businnesss Coontiinuiity Plaanniing andd Crrisiis aand Emeergeencyy Maanaggemeent procceduureArticle 16. Commeerciial bannks shooul

44、dd maainttainn ann onngoiing rissk iidenntifficaatioon aand asssesssmennt pproccesss thhat alllowss thhe bbankk too piinpoointt thhe aareaas oof cconccernn inn itts iinfoormaatioon ssysttemss, aasseess thee pootenntiaal iimpaact of thee riiskss onn itts bbusiinesss, rannk tthe rissks, annd pprioorit

45、tizee miitiggatiion acttionns aand thee neecesssarry rresoourcces (inncluudinng ooutssourrcinng vvenddorss, pprodductt veendoors andd seerviice venndorrs).Article 17. Commeerciial bannks shoouldd immpleemennt aa coomprreheensiive sett off riisk mittigaatioon mmeassurees ccompplyiing witth tthe IT ri

46、ssk mmanaagemmentt poolicciess annd ccommmenssuraate witth tthe rissk aasseessmmentt off thhe bbankk. Theese mittigaatioon mmeassurees sshouuld inccludde:(1) A sett off cllearrly doccumeenteed IIT rriskk poolicciess, ttechhniccal staandaardss, aand opeerattionnal prooceddurees, whiich shoouldd bee c

47、oommuuniccateed tto tthe staaff freequeentlly aand keppt uup tto ddatee inn a timmelyy maanneer;(2) Areass off pootenntiaal cconffliccts of inttereest shoouldd bee iddenttifiied, miinimmizeed, andd suubjeect to carrefuul, inddepeendeent monnitoorinng. Allso it reqquirres thaat aan aapprroprriatte cconttroll sttruccturre iis sset up to facciliitatte ccheccks andd baalanncess, wwit