银行业金融机构重要信息系统投产及变更管理办法
第一章 总则
第一条
为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行
第二条
在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄
业监督管理法》、《中华人民共和国商业银行法》制定本办法。
银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、
中外合资银行适用本办法.中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机
构参照本办法执行。
第三条
本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人
和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及
账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,
以及支撑系统运行的机房和网络等基础设施.
第四条
本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间 3 小时(含)以上的重要信
息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、
核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影
响的投产及变更。
第二章 组织管理
第五条
银行业金融机构应健全 IT 治理结构,落实重要信息系统投产及变更管理责任.
第六条
银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的
第七条
银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,
风险评估汇报,对风险控制过程进行监督.
承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源
投入。
第八条
银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影
第九条
银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现
响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
提出整改意见.
第三章 风险评估
第十条
银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能
缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风
险,并形成风险评估报告。
第十一条
银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应
第十二条
银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。
第十三条
银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不
资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条
银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定年度投产及变更
规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离.
评论16
最新资源