银行业金融机构信息系统风险管理指引

银行业金融安排信息体系危险办理指引 第一章 总　则 第一条 为有用防备银行业金融安排运用信息体系进行事务处理、运营办理和内部操控进程中发作的危险，促进我国银行业安全、持续、稳健运转，依据《中华人民共和国银行业监督办理法》、国家信息安全相关要求和信息体系办理的有关法令法规，拟定本指引。 第二条 本指引适用于银行业金融安排。 本指引所称银行业金融安排，是指在中华人民共和国境内树立的商业银行、城市信用协作社、乡村协作银行、乡村信用协作社等吸收大众存款的金融安排以及政策性银行。 在中华人民共和国境内树立的金融资产办理公司、信托投资公司、财政公司、金融租借公司、轿车金融公司以及经我国银行业监督办理委员会(以下简称银监会)及其派出安排同意树立的其他金融安排，适用本指引规则。 第三条 本指引所称信息体系，是指银行业金融安排运用现代信息、通讯技能集成的处理事务、运营办理和内部操控的体系。 第四条 本指引所称信息体系危险，是指信息体系在规划、研制、建造、运转、保护、监控及退出进程中因为技能和办理缺点发作的操作、法令和名誉等危险。 第五条 信息体系危险办理的方针是通过树立有用的机制，完结对信息体系危险的辨认、计量、点评、预警和操控，推动银行业金融安排事务立异，进步信息化水平，增强中心竞争力和可持续开展才能。 第二章 安排职责 第六条 银行业金融安排应树立有用的信息体系危险办理架构，完善内部安排结构和作业机制，防备和操控信息体系危险。 第七条 银行业金融安排应仔细实施下列信息体系办理职责： (一) 贯彻执行国家有关信息体系办理的法令、法规和技能规范，执行银监会相关监管要求; (二) 树立有用的信息安全确保体系和内部操控规程，清晰信息体系危险办理岗位职责准则，并监督执行; (三) 担任安排对本安排信息体系危险进行查看、点评、剖析，及时向本安排专门委员会和银监会及其派出安排报送相关的办理信息; (四) 及时向银监会及其派出安排陈述本安排发作的严重信息体系事端或突发事情，并按有关预案快速呼应; (五) 每年经董事会或其他决策安排查看后向银监会及其派出安排报送信息体系危险办理的年度陈述; (六) 做好本安排信息体系审计作业; (七) 合作银监会及其派出安排做好信息体系危险监督查看作业，并按照监管定见进行整改; (八) 安排本安排信息体系从业人员进行信息体系有关的事务、技能和安全训练; (九) 展开与信息体系危险办理相关的其他作业。 第八条 银行业金融安排的董事会或其他决策安排担任信息体系的战略规划、严重项目和危险监督办理;信息科技办理委员会、危险办理委员会或其他担任危险监督的专业委员会应拟定信息体系全体战略，统筹信息体系项目建造，守时点评、陈述本安排信息体系危险情况，为决策层供给主张，采纳相应的危险操控方法。 第九条 银行业金融安排法定代表人或首要担任人是本安排信息体系危险办理职责人。 第十条 银行业金融安排应树立信息科技部分，一致担任本安排信息体系的规划、研制、建造、运转、保护和监控，供给日常科技服务和运转技能支持;树立或清晰专门信息体系危险办理部分，树立、健全信息体系危险办理规章、准则，并帮忙事务部分及信息科技部分严厉执行，供给相关的监管信息;树立审计部分或专门审计岗位，树立健全信息体系危险审计准则，装备适量的合格人员进行信息体系危险审计。 第十一条 银行业金融安排从事与信息体系相关作业的人员应契合以下要求： (一) 具有杰出的职业道德，把握实施信息体系相关岗位职责所需的专业知识和技能; (二) 未经岗前训练或训练不合格者不得上岗;经查核不适宜的作业人员，应及时进行调整。 第十二条 银行业金融安排应加强信息体系危险办理的专业队伍建造，树立人才激励机制，习惯信息技能的开展。 第十三条 银行业金融安排应依据有关法令法规及时和规范地发表信息体系危险情况。 第三章 全体危险操控 第十四条 全体危险是指信息体系在战略、准则、机房、软件、硬件、网络、数据、文档等方面影响大局或共有的危险。 第十五条 银行业金融安排应依据信息体系全体规划，拟定清晰、持续的危险办理战略，按照信息体系的灵敏程度对各个集成要素进行剖析和点评，并实施有用操控。 第十六条 银行业金融安排应采纳方法防备自然灾害、运转环境改变等发作的安全要挟，避免各类突发事端和歹意进犯。 第十七条 银行业金融安排应树立健全信息体系相关的规章准则、技能规范、操作规程等;清晰与信息体系相关人员的职责权限，树立限制机制，实施最小授权。 第十八条 在境外树立的我国银行业金融安排或在境内树立的境外银行业金融安排，应防备因为境内外信息体系监管准则差异等构成的跨境危险。 第十九条 银行业金融安排应严厉执行国家信息安全相关规范，参照有关世界准则，活跃推动信息安全规范化，实施信息安全等级保护。 第二十条 银行业金融安排应加强对信息体系的点评和测验，及时进行修补和更新，以确保信息体系的安全性、完好性。 第二十一条 银行业金融安排信息体系数据中心机房应契合国家有关计算机场所、环境、供配电等技能规范。全国性数据中心至少应到达国家A类机房规范，省域数据中心至少应到达国家B类机房规范，省域以下数据中心至少应到达C类机房规范。数据中心机房应实施严厉的门禁办理方法，未经授权不得进入。 第二十二条 银行业金融安排应注重知识产权保护，运用正版软件，加强软件版别办理，优先运用具有我国自主知识产权的软、硬件产品;活跃研制具有自主知识产权的信息体系和相关金融产品，并采纳有用方法保护本安排信息化效果。 第二十三条 银行业金融安排与信息体系相关的电子设备的选型、置办、挂号、保养、修理、作废等应严厉执行相关规程，选用的设备应通过技能论证，测验功用应契合国家有关规范。信息体系所用的服务器等要害设备应具有较高的可靠性、足够的容量和必定的容错特性，并装备恰当的备品备件。 第二十四条 信息体系的网络应参照相关的规范和规范规划、建造;网络设备应兼备技能先进性和产品老练性;网络设备和线路应有冗余备份;严厉线路租借合同办理，按照事务和买卖流量要求确保传输带宽;树立完善的网管中心，监测和办理通讯线路及网络设备，确保网络安全安稳运转。 第二十五条 银行业金融安排应加强网络安全办理。出产网络与开发测验网络、事务网络与作业网络、内部网络与外部网络应实施阻隔;加强无线网、互联网接入鸿沟操控;运用内容过滤、身份认证、防火墙、病毒防备、侵略检测、缝隙扫描、数据加密等技能手段，有用下降外部进犯、信息走漏等危险。 第二十六条 银行业金融安排应加强信息体系加密机、密钥、暗码、加解密程序等安全要素的办理，运用契合国家安全规范的暗码设备，完善安全要素生成、收取、运用、修正、保管和毁掉等环节办理准则。密钥、暗码应守时更改。 第二十七条 银行业金融安排应加强数据收集、存贮、传输、运用、备份、康复、抽检、整理、毁掉等环节的有用办理，不得脱离体系收集加工、传输、存取数据;优化体系和数据库安全设置，严厉按授权运用体系和数据库，选用恰当的数据加密技能以保护灵敏数据的传输和存取，确保数据的完好性、保密性。 第二十八条 银行业金融安排应对信息体系装备参数实施严厉的安全与保密办理，避免不合法生成、改变、走漏、丢掉与损坏。依据灵敏程度和用处，承认存取权限、方法和授权运用规模，严厉批阅和挂号手续。 第二十九条 银行业金融安排应拟定信息体系应急预案，并守时演练、评定和修订。省域以下数据中心至少完结数据备份异地保存，省域数据中心至少完结异地数据实时备份，全国性数据中心完结异地灾备。 第三十条 银行业金融安排应加强对技能文档材料和重要数据的备份办理;技能文档材料和重要数据应保存副本并异地寄存，按规则年限保存，调用时应严厉授权。信息体系的技能文档材料包含：体系环境阐明文件、源程序以及体系研制、运转、保护进程中构成的各类技能材料。重要数据包含：买卖数据、账务数据、客户数据，以及发作的报表数据等。 第三十一条 银行业金融安排在信息体系或许影响客户服务时，应以恰当方法奉告客户。 第四章 研制危险操控 第三十二条 研制危险是指信息体系在研制进程中安排、规划、需求、剖析、规划、编程、测验和投产等环节发作的危险。 第三十三条 银行业金融安排信息体系研制前应树立项目作业小组，严重项目还应树立项目领导小组，并指定担任人。项目领导小组担任项目的安排、和谐、查看、监督作业。项目作业小组由事务人员、技能人员和办理人员组成，具体担任整个项目的开发作业。 第三十四条 项目作业小组人员应具有与项目要求相习惯的事务经历与专业技能知识，小组担任人需具有安排领导才能，确保信息体系研制质量和进展。 第三十五条 银行业金融安排事务部分依据本安排事务开展战略，在充沛进行市场查询、产品效益剖析的基础上拟定信息体系研制项目可行性陈述。 第三十六条 银行业金融安排事务部分编写项目需求阐明书，提出危险操控要求，信息科技部分依据项目需求编制项目功用阐明书。 第三十七条 银行业金融安排信息科技部分依据项目功用阐明书别离编写项目全体技能结构、项目规划阐明书，规划和编码应契合项目功用阐明书的要求。 第三十八条 银行业金融安排应树立独立的测验环境，以确保测验的完好性和准确性。测验至少应包含功用测验、安全性测验、压力测验、查验测验、习惯性测验。测验不得直接运用出产数据。 第三十九条 银行业金融安排信息科技部分应依据测验成果修补体系的功用和缺点，进步体系的全体质量。 第四十条 银行业金融安排事务人员、技能人员应依据职责规模别离编写操作阐明书、技能应急方案、事务接连性方案、投产方案、应急回退方案，并进行演练。 第四十一条 开发进程中所触及的各种文档材料应经相关部分、人员的签字承认并归档保存。 第四十二条 项目查验应出具由相关担任人签字的项目查验陈述，查验不合格不得投产运用。 第五章 运转保护危险操控 第四十三条 运转保护危险是指信息体系在运转与保护进程中操作办理、改变办理、机房办理和事情办理等环节发作的危险。 第四十四条 银行业金融安排信息体系运转与保护应实施职责别离，运转人员应实施专职，不得由其他人员兼任。运转人员应按操作规程巡检和操作。保护人员应按授权和保护规程要求对出产情况的软硬件、数据进行保护，除应急外，其他保护应在非作业时刻进行。 第四十五条 银行业金融安排信息体系的运转应契合以下要求： (一) 拟定具体的运转值勤操作表，包含规则巡检时刻，操作规模、内容、方法、指令以及担任人员等信息; (二) 供给常见和简洁的操作菜单或指令，如信息体系的发动或中止、运转日志的查询等; (三) 供给机房环境、设备运用、网络运转、体系运转等监控信息; (四) 记载运转值勤进程中一切现象、操作进程等信息。 第四十六条 银行业金融安排信息体系的保护应契合以下要求： (一) 除对信息体系设备和体系环境的保护外，对软件或数据的保护有必要通过特定的应用程序进行，添加、删去和修正数据应通过柜员终端，不得对数据库进行直接操作; (二) 具有各种具体的日志信息，包含买卖日志和审计日志等，以便保护和审计; (三) 供给保护的计算和报表打印功用。 第四十七条 银行业金融安排信息体系的改变应契合以下要求： (一) 拟定紧密的改变处理流程，清晰改变操控中各岗位的职责，并遵从流程实施操控和办理;改变前应清晰应急和回退方案，无授权不得进行改变操作; (二) 依据改变需求、改变方案、改变内容核实清单等相关文档审理改变的正确性、安全性和合法性; (三) 应选用软件东西准确判别改变的实在方位和内容，构成改变内容核实清单，完结实在、有用、全面的查验; (四) 软件版别改变后应保存初始版别和一切前史版别，保存一切前史的改变内容核实清单。 第四十八条 银行业金融安排在信息体系投产后必守时期内，应安排对体系的后点评，并依据点评及时对体系功用进行调整和优化。 第四十九条 银行业金融安排应对机房环境设备实施日常巡检，清晰信息体系及机房环境设备呈现毛病时的应急处理流程和预案，有实时买卖服务的数据中心应实施24小时值勤。 第五十条 银行业金融安排应实施事情陈述准则，发作信息体系构成严重经济、名誉损失和严重影响事情，应即时上报并处理，必要时发动应急处理预案。 第六章 外包危险操控 第五十一条 外包危险是指银行业金融安排将信息体系的规划、研制、建造、运转、保护、监控等托付给事务协作伙伴或外部技能供货商时构成的危险。 第五十二条 银行业金融安排在进行信息体系外包时，应依据危险操控和实践需求，合理承认外包的准则和规模，仔细剖析和点评外包存在的潜在危险，树立健全有关规章准则，拟定相应的危险防备方法。 第五十三条 银行业金融安排应树立健全外包承包方点评机制，充沛查看、点评承包方的运营情况、财政实力、诚信前史、安全资质、技能服务才能和实践危险操控与职责承当水平，并进行必要的尽职查询。点评作业可托付经国家相应监管部分确认资质，具有相关专业经历的独立安排完结。 第五十四条 银行业金融安排应当与承包方签定书面合同，清晰两边的权力、职责，并规则承包方在安全、保密、知识产权方面的职责和职责。 第五十五条 银行业金融安排应充沛认识外包服务对信息体系危险操控的直接和直接影响，并将其归入全体安全战略和危险操控之中。 第五十六条 银行业金融安排应树立完好的信息体系外包危险点评与监测程序，审慎办理外包发作的危险，进步本安排对外包办理的才能。 第五十七条 银行业金融安排的信息体系外包危险办理应当契合危险办理规范和战略，并应树立针对外包危险的应急方案。 第五十八条 银行业金融安排应与外包承包方树立有用的联络、沟通和信息沟通机制，并拟定在意外情况下能够完结承包方的顺畅改变，确保外包服务不间断的应急预案。 第五十九条 银行业金融安排将灵敏的信息体系，以及其他触及国家秘密、商业秘密和客户隐私数据的办理与传递等内容进行外包时，应恪守国家有关法令法规，契合银监会的有关规则，通过董事会或其他决策安排同意，并在实施外包前报银监会及其派出安排和法令法规规则需求陈述的安排存案。 第七章 审　计 第六十条 银行业金融安排内设审计部分担任本安排信息体系审计，也可延聘经国家相应监管部分确认资质的中介安排进行信息体系外部审计。 第六十一条 信息体系危险审计应包含：全体危险审计、体系审理和专项危险审计。 第六十二条 全体危险审计是指对本安排一切信息体系共有的公共部分进行审计，实施全体危险操控。依据信息体系的全体危险情况承认审计频率，但至少每3年审计一次。 第六十三条 信息体系的体系审理是指对研制、运转及退出的全进程进行审计，分投产前与投产后的审理。 第六十四条 投产前的体系审理是指审计人员选用非现场方式，对信息项目开发进程中所提交的有关文档材料进行审理，指出其间存在的危险，了解是否具有相应的操控方法，并提出点评和主张的进程。信息体系投产前的体系审理应重视信息体系的安全操控、权限设置、正确性、连贯性、完好性、可审计性和及时性等内容。 投产前的体系审理要点： (一) 被外界成功攻破的或许性; (二) 在内部安全操控方面的规划缝隙与缺点; (三) 项目开发办理方面的问题; (四) 功率与效能; (五) 功用、规划和作业流程是否契合法令、法规和内部操控方面的规则并有接连兼容性; (六) 其他需要点审理的内容。 第六十五条 投产前的体系审理文档材料包含： (一) 项目可行性陈述; (二) 项目需求阐明书; (三) 项目功用阐明书(包含事务与技能方面存在的危险及操控方法); (四) 项目全体技能结构; (五) 项目规划阐明书; (六) 项目实施方案; (七) 与第三方签定的外包协议; (八) 测验方案及查验陈述; (九) 投产方案; (十) 项目开发例会的会议记载; (十一) 操作手册; (十二) 其他需审理的文档材料。 关于所含内容较多的文档材料，应对要害买卖的数据处理流程、买卖接口和其他重要的安全事项进行审理。 第六十六条 投产后的体系审理是指在信息体系投入出产一段时刻后进行的审计，旨在点评对信息体系各项危险的操控是否恰当，能否完结预订的规划方针。投产后的体系审理应在信息体系投入出产半年后进行，审计陈述应对被审计的信息体系提出改善或添加危险操控、能否持续出产等内容的审计主张。 第六十七条 信息体系专项危险审计是指对被审计单位发作信息安全事端进行的查询、剖析和点评，或原有信息体系进行严重结构调整的审计，或审计部分以为需求对信息体系某项专题进行审计。 第六十八条 银行业金融安排信息体系危险审计也能够由银监会及其派出安排依据法令、法规和规章，托付并授权有法定资质的中介点评安排进行。 第六十九条 中介安排依据银监会或其派出安排托付或授权对银行业金融安排进行审计时，应出示托付授权书，并按照托付授权书上规则的托付和授权规模进行审计。 第七十条 中介安排依据授权出具的审计陈述经银监会及其派出安排审理承认后具有法令效力，被审计金融安排应对该审计陈述在法守时刻内提出整改定见，并按审计陈述中提出的主张进行及时整改。 第七十一条 中介安排应严厉执行法令法规，保存被审计单位的商业秘密和危险信息。审计进程中一切触及材料的调阅应有交代手续，并不得带离现场或进行修正、仿制。 第八章 附　则 第七十二条 本指引由我国银行业监督办理委员会担任解说、修订。 第七十三条 本指引自公布之日起实施。