银行业金融机构信息系统风险管理指引 .pdf

欢迎阅读本文档，希望本文档能对您有所帮助!

银行业金融机构信息系统风险管理指引

第一章总则

第一条为有效防范银行业金融机构运用信息系统进行业务处

理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、

持续、稳健运行，根据《中华人民共和国银行业监督管理法》、国家

信息安全相关要求和信息系统管理的有关法律法规，制定本指

引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的

商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收

公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公

司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督

管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机

构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信

息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、

建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操

作、法律和声誉等风险。

感谢阅读本文档，希望本文档能对您有所帮助!

欢迎阅读本文档，希望本文档能对您有所帮助!

第五条信息系统风险管理的目标是通过建立有效的机制，实

现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金

融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能

力。

第二章机构职责

第六条银行业金融机构应建立有效的信息系统风险管理架构，

完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条银行业金融机构应认真履行下列信息系统管理职

责：

（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，

落实银监会相关监管要求；

（二）建立有效的信息安全保障体系和内部控制规程，明确信息

系统风险管理岗位责任制度，并监督落实；

（三）负责组织对本机构信息系统风险进行检查、评估、分析，

及时向本机构专门委员会和银监会及其派出机构报送相关的管理信

息；

（四）及时向银监会及其派出机构报告本机构发生的重大信息系

统事故或突发事件，并按有关预案快速响应；

（五）每年经董事会或其他决策机构审查后向银监会及其派出机

构报送信息系统风险管理的年度报告；

（六）做好本机构信息系统审计工作；

感谢阅读本文档，希望本文档能对您有所帮助!

欢迎阅读本文档，希望本文档能对您有所帮助!

（七）配合银监会及其派出机构做好信息系统风险监督检查工

作，并按照监管意见进行整改；

（八）组织本机构信息系统从业人员进行信息系统有关的业务、

技术和安全培训；

（九）开展与信息系统风险管理相关的其他工作。

第八条银行业金融机构的董事会或其他决策机构负责信息系

统的战略规划、重大项目和风险监督管理；信息科技管理委员会、风

险管理委员会或其他负责风险监督的专业委员会应制定信息系统总

体策略，统筹信息系统项目建设，定期评估、报告本机构信息系统风

险状况，为决策层提供建议，采取相应的风险控制措施。

第九条银行业金融机构法定代表人或主要负责人是本机构信

息系统风险管理责任人。

第十条银行业金融机构应设立信息科技部门，统一负责本机构

信息系统的规划、研发、建设、运行、维护和监控，提供日常科技服

务和运行技术支持；建立或明确专门信息系统风险管理部门，建立、

健全信息系统风险管理规章、制度，并协助业务部门及信息科技部门

严格执行，提供相关的监管信息；设立审计部门或专门审计岗位，建

立健全信息系统风险审计制度，配备适量的合格人员进行信息系统风

险审计。

第十一条银行业金融机构从事与信息系统相关工作的人员应

符合以下要求：

感谢阅读本文档，希望本文档能对您有所帮助!

欢