法人银行业金融机构信息科技监管达标路线图(试行)71页

1、法人银行业金融机构信息科技监管达标路线图(试行)浙江银监局二一年十一月目 录一、信息科技治理1二、信息科技风险管理13三、信息科技审计18四、系统开发及测试24五、信息科技运行29六、灾难恢复与应急管理39七、外包47八、信息安全52前 言伴随着我国银行业的迅猛发展，信息科技已成为商业银行进行业务创新和实现经营战略的重要手段，信息系统的安全性、可靠性和连续性已经直接影响到银行业的安全和金融体系的稳定。为了统一思想认识，明确目标和监管要求，2010年4月下旬，局领导在浙江银监局辖内法人机构信息科技监管联席会议总结上提出制定我局辖内法人机构监管达标路线图的要求。监管达标路线图详细指明商业银行达到银

2、监会信息科技风险监管目标和要求需要完成的路径和步骤，是今后一定时期内指导辖内法人银行开展信息科技风险管理工作的标准和行动指南。监管达标路线图以银监会发布的各项信息科技监管制度和管理办法为基础准绳，以银监会信息科技风险评估体系的控制有效性指标为立足点，为机构建立了明确的标杆和要求，指明了努力的方向，对于提高辖内中小法人银行信息科技风险管理建设的组织性、计划性和有效性将起到重要的作用。为制定科学合理、可操作性强、符合机构自身发展需求的路线图，路线图的设计由商业银行为主，充分发挥银行的主观能动性，由监管部门把关，保证路线图设计不偏离监管部门的要求，结合商业银行的实际情况，设计一条科学合理的路线图。路

3、线图的设计思路：路线图分为文字和表格两大部分，文字部分概括性的描述各自领域内满足初级、中级和高级分别需要达到的要求和目标；表格部分以银监会信息科技风险评级指标为基础，分别提出每个指标对应初级、中级、高级的具体要求和结果文档。路线图的实现不是一朝一夕之功。辖内每家机构要根据路线图的要求，自评估后明确自身所处的位置，结合自身的实际情况，确定年度的和长期的达标的工作内容，加强监管达标路线图的执行和落实。在辖内法人商业银行有了明确的达标计划和步骤以后，每年监管部门要同机构一起分析路线图的完成情况、分析存在的差距与不足，共同制定年度的工作计划，稳步推进辖内法人银行机构提高信息科技风险管理水平。68一、信

4、息科技治理初级要求：1 制度中明确董（理）事会信息科技风险管理的职责。2 设立信息科技管理委员会，成员由高级管理层、信息科技部门和主要业务部门的代表组成。3 内审部门应当设立专门的岗位，负责信息科技内部审计。4 由独立于信息科技的部门承担信息科技风险管理责任。5 根据业务发展状况制定全行层面的信息科技战略规划及相应的IT预算投入，规划内容全面，由董（理）事会审批通过。6 做好科技人才队伍建设和培养计划，识别定义关键的信息科技岗位。7 建立信息科技管理制度，规范信息科技管理。中级要求：1 制度中明确董（理）事会信息科技风险管理的职责，并建立相关履职措施。2 应采取适当措施，履行信息科技管理委员会

5、职责。3 设立首席信息官，可以由高管层兼任。4 应采取适当措施，确保内部审计部门履行信息科技审计职责。5 应采取适当措施，确保由独立于信息科技的部门履行信息科技风险管理职责。6 根据业务发展状况制定全行层面的信息科技战略规划，规划内容全面，应采取适当措施确保信息科技战略符合全行业务发展战略，并由信息科技管理委员会审批通过。7 做好科技人才队伍建设和培养计划，建立信息科技人才激励制度，识别定义关键的信息科技岗位，并采取适当措施防范关键岗位风险。8 建立较为完善的信息科技管理制度，规范信息科技管理。高级要求：1 建立恰当的履职机制，确保董（理）事会能充分履行信息科技风险管理职责。2 应建立完善的机

6、制，确保信息科技管理委员会能够充分履职。3 应当建立相关制度，确保首席信息官能够充分履职。4 应建立常态化的信息科技审计机制，确保内部审计部门能够充分履行信息科技审计职责。5 应建立常态化的信息科技风险管理机制，确保独立于信息科技的风险管理部门能够充分履行信息科技风险管理职责。6 应建立完善的机制，确保信息科技战略规划内容全面，并符合全行业务发展战略。7 应建立完善的科技人才队伍建设和培养机制，建立完善的信息科技人才激励制度，识别定义关键的信息科技岗位，并采取恰当措施防范关键岗位风险。8 建立完善的信息科技管理制度，规范信息科技管理。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目

7、标与要求结果文档信息科技治理(GO)信息科技治理职责GO.01董（理）事会信息科技风险管理职责明确银行的董（理）事会是治理结构中的重要部分，其职责应当包括以下内容：1.批准重大业务战略和信息科技战略规划；2.确定风险管理策略、容忍度，包括信息科技风险管理容忍度（例如，可容忍的最大停机时间、可接受的最大损失金额等）；3.及时向监管机构报告本机构重大信息科技事件；4.审阅信息科技审计报告及信息科技风险评估报告；5.监督信息科技内外审计整改的落实。6. 在良好的公司治理基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激

8、励机制。初级董（理）事会职责中应包含以下内容：1.贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银监会监管要求；2.审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致；3.了解主要的信息科技风险，包括信息科技建设风险、运行风险、信息安全风险等；4.建立职责明确、报告关系清晰的信息科技治理组织结构；5.督促内部审计部门进行信息科技风险管理审计；6.确保信息科技风险管理工作所需资金；7.确保及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，并按相关预案快速响应；8.确保相关职能部门配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整

9、改。董（理）事会职责说明中级董（理）事会职责中应包含以下内容：1.审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。授权相关部门评估信息科技及其风险管理工作的总体效果和效率；2.掌握主要的信息科技风险，确定可接受的风险级别，确保主要风险能够被识别、监测和控制；3.规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识；4.建立分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制；5.确保内部审计部门进行独立有效的信息科技风险管理审计；6.确保银行所有员工充分理解和遵守经其批准的信息科技风

10、险管理制度和流程，并安排相关培训；7.确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。董（理）事会职责说明高级董（理）事会职责中应包含以下内容：1.确保内部审计部门进行独立有效的信息科技风险管理审计，并审阅信息科技审计报告；2.每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。3.督促制定预算执行考核办法；4.董（理）事会设置中要求至少配备有一名有信息科技背景的人员；5.审批信息科技业务连续性规划，明确全行信息科技风险管理策略和风险容忍度指标。董（理）事会职责说明GO.02董（理

11、）事会信息科技风险管理职责落实银行董（理）事会应当明确其承担的信息科技风险管理职责，并履行其职责。1根据指引董（理）事会设立信息科技管理委员会，由来自高级管理层、信息科技部门和主要业务部门的代表组成，负责信息科技战略规划制定、重大项目的审批、制定基本的IT风险管理政策，听取风险评估报告和监督风险政策执行情况, 负责监督各项职责的落实，定期向董（理）事会和高级管理层汇报有关情况等。初级1.落实GO.01初级要求；2.成立由来自高层、信息科技部门和主要业务部门组成的信息科技管理委员会，负责每年向董（理）事会或高级管理层汇报信息科技战略规划执行、信息科技预算和实际支出、信息科技的整体状况等，委员会会

12、议每年不得少于一次；董（理）事会批准的战略规划了解信息科技风险管理情况的记录听取审计情况报告的记录信息科技管理委员会工作职责信息科技管理委员会开展工作情况记录治理架构图及说明信息科技预算及审批记录信息科技制度流程学习、考试相关记录科技岗位交接培训记录科技风险评估记录；科技风险评估问题跟踪记录；信息安全监控记录中级1.落实GO.01中级要求；2.信息科技管理委员会会议每年不得少于两次；信息科技总体风险评估报告审计报告经董（理）事会审批的信息科技业务连续性规划方案信息科技风险意识教育的资料和记录信息科技相关部门和岗位职责说明高级1.落实GO.01高级要求；2.信息科技管理委员会根据需要定期召开会议

13、，每年不得少于四次；3.建立相互独立的信息科技管理、信息科技风险管理和信息科技审计等部门； 重要信息科技应急预案信息科技风险意识教育制度信息科技人才激励制度信息科技审计制度信息科技审计报告及董（理）事会审阅记录信息科技风险管理年报及董（理）事会审阅记录董（理）事会对监管及整改意见的审阅记录数据中心设立董（理）事会审议记录董（理）事会对数据中心基本管理制度的审阅记录GO.03设立首席信息官（CIO），直接向行长汇报，参与重大决策银行应当设立首席信息官（CIO），直接向行长汇报，参与重大决策。首席信息官是商业银行负责信息科技管理的高级管理人员,对本行信息科技总体管理负责。1根据商业银行首席信息官管

14、理办法（征求意见稿）的要求，建立规范的信息官制度和流程，明确信息官的职责。初级参照首席信息官，明确信息科技分管行长职责。信息科技分管行长职责中级设立首席信息官岗位（可以兼任），明确首席信息官职责。首席信息官提名与任命管理办法首席信息官岗位职责说明高级产生符合银监会任职条件的首席信息官；严格按照银监会有关规定，规范并完善首席信息官有关制度，为首席信息官有效履职提供必要条件。首席信息官岗位职责说明首席信息官绩效考核办法首席信息官年度工作计划首席信息官述职报告首席信息官绩效考核情况报告首席信息官参与的重大会议纪要GO.04内部审计部门设立专门岗位负责信息科技内部审计应当由内审部门设立专门的岗位负责信

15、息科技内部审计，信息科技审计应当包括：落实信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。初级应当在内审部门设立岗位负责信息科技内部审计，信息科技审计人员至少不得少于2人。审计部门组织架构图审计部门及岗位职责说明审计部门人员岗位分工说明中级同初级同初级高级1.应建立完善的信息科技审计组织架构，确保审计部门能充分履行信息科技审计职责；2.专职信息科技风险审计人员数量原则上按照科技人员数量的5%配备；3.信息科技风险审计人员应当具备相应的专业从业资格。信息科技审计人员背景资料信息科技审计制度GO.05设立信息科技风险管理部门应当由独立于信息科技

16、的部门承担信息科技风险管理责任，该部门负责协调制定有关信息科技风险管理策略，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。初级应在信息科技部门外设立信息科技风险管理部门，负责信息科技风险的监督和报告；信息科技风险管理部门组织架构信息科技风险管理部门及岗位职责说明信息科技风险管理部门人员岗位分工说明中级应在信息科技部门外设立信息科技风险管理部门，负责开展信息科技风险的识别、评估、监督和报告。同上高级1.应在信息科技部门外建立信息科技风险管理部门，负责信息科技风险的识别、评估、计量、监测、控制和报告。应建立完善的信息科技风险管理组织架构，确保能充分履行信息科技风

17、险管理工作。同上信息科技战略及规划GO.06建立与总体业务规划一致的信息科技战略规划信息科技战略由信息科技管理委员会负责制定，信息科技战略规划应当符合机构总体业务规划，并维持稳定、安全的信息科技环境。信息科技战略规划由信息科技管理委员会负责制定。初级1.信息科技战略规划及预算应经信息科技管理委员会审议；2.信息科技战略规划及预算应报董（理）事会审批。经董（理）事会审批的信息科技战略规划经董（理）事会审批的信息科技预算信息科技管理委员会审议的记录中级1.信息科技管理委员会应督促职能部门执行信息科技战略规划；2.信息科技管理委员会应督促职能部门根据战略规划制定信息科技年度建设计划，并审议批准。3.

18、信息科技预算结构上得到优化，重视对人员培训的投入信息科技年度建设计划信息科技管理委员会审议信息科技年度建设计划的记录信息科技预算明细高级1.信息科技管理委员会应适时对战略规划的执行情况进行评估，确保符合银行总体业务发展战略和风险管理策略；2.信息科技管理委员会应根据评估情况，督促修订信息科技战略规划；3.信息科技预算适应业务需要，适当超前。信息科技战略规划执行情况评估报告GO.07信息科技战略规划内容全面，有效支撑业务规划作为信息科技治理的一部分工作，银行应当制定全面的信息科技战略规划，以支撑业务的发展。1信息科技战略规划内容全面，包括信息科技战略目标、信息科技风险管理规划、信息科技治理规划、

19、信息科技架构规划、信息科技项目（或信息系统）规划。初级信息科技战略规划内容应包括以下内容：（1）信息科技战略目标；（2）信息科技治理规划；（3）信息科技架构规划；（4）信息科技项目（或信息系统）规划等内容。战略目标治理规划架构规划信息系统规划中级信息科技战略规划内容应包括信息科技风险管理规划。风险管理规划高级同中级同中级信息科技治理运作GO.08董（理）事会和管理层对信息科技风险管理的关注和支持董（理）事会和管理层应当保持对信息科技风险管理的支持和关注。1建立科学合理的信息科技风险管理的考核指标初级相关部门每年应将信息科技风险管理情况报告董（理）事会或高级管理层。报董（理）事会或高级管理层信息

20、科技风险管理情况报告中级应建立信息科技风险管理考核指标，指标应包括信息科技开发、运行、和内控管理等信息科技风险管理相关内容。信息科技风险管理考核指标高级应建立信息科技风险管理考核指标，指标从科技、风险、审计三道防线出发，建立全面的信息科技风险管理考核体系和指标。信息科技风险管理考核制度GO.09信息科技治理组织结构合理有效银行应当设置合理的信息科技治理组织结构，使科技决策、科技管理、风险、审计等定位明确。初级1.应设立信息科技管理委员会；2.应设立部门负责信息科技管理工作；3.应设立信息科技风险管理岗位负责信息科技风险管理工作；4.应设立信息科技审计岗位负责信息科技审计工作。组织架构图及说明信

21、息科技管理委员会工作职责说明信息科技管理部门或岗位职责说明信息科技风险管理岗位职责说明信息科技审计岗位职责说明中级1.应设立首席信息官；2.应设立独立的信息科技部门；3.应在风险管理部门内设立信息科技风险管理岗位负责信息科技风险管理工作；4.应在审计部门内设立信息科技审计岗位负责信息科技审计工作。5.实行总、分行两级安全管理，成立总行计算机安全管理领导小组，明确了各级分支机构的安全责任。首席信息官职责说明信息科技管理部门和岗位职责说明高级1.应设立信息科技管理委员会，并确保充分履职。2.应设立首席信息官，并确保充分履职；3.应设立信息科技风险管理部门负责信息科技风险管理工作，并建立健全信息科技

22、风险管理机制，确保信息科技风险部门能充分履职；4.应设立信息科技审计部门负责信息科技审计工作，并建立健全信息科技审计机制，确保信息科技审计部门能充分履职；5.建立完善计算机安全组织架构，在科技部门成立专门的信息安全管理部门。首席信息官参与的重大会议纪要信息科技风险管理部门年度工作计划信息科技风险管理部门和岗位职责说明信息科技审计部门和岗位职责说明信息科技审计部门年度工作计划GO.10软件正版化银行应按照知识产权相关法律法规，制定软件正版化策略和制度，使所有员工充分理解并遵照执行；确保购买和使用合法的软硬件产品，禁止侵权盗版。初级1.指定专人或部门，对银行内采购、安装、使用商业软件进行管理；2.

23、搜集安装软件的信息并统计；3.制定软件正版化计划和相应管理办法。软件正版化情况概要软件正版化管理办法中级1.制定软件正版化策略和制度；2.对员工进行软件正版化教育；3.确保行内的所有商业软件的合法和有效性，加强对软件授权的管理，采取一定措施防止非法软件的安装。软件正版化策略软件正版化培训计划/记录高级1.建立软件授权和使用清单，对购买软件的生命周期进行有效管理；2.建立对免费和开源软件的管理，所有软件授权经过法律部门审核；3.采取强制性措施禁止非法软件或非授权软件的安装。软件授权和使用控制表法律部门对软件授权的审核记录科技队伍建设GO.11配置足够信息科技人员银行应当配备足够的信息科技人员，以

24、支持银行业务的发展和信息系统运行。1根据治理指导意见（征求意见稿）第十八条，国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原则上不低于2.5%，城市商业银行和其他地方法人机构这一比例原则上不低于3%，至少不得少于3人。初级1.银行应当配备足够的信息科技人员，以支持银行业务的发展和信息系统运行，信息科技人员至少不得少于3人；2.应建立与业务相适应的信息科技管理部门。人员统计表；信息科技管理部门职责说明；信息科技岗位职责说明；信息科技人员和岗位说明。中级1.应当配备足够的信息科技人员，以支持银行业务的发展和信息系统运行。股份制商业银行、城市商业银行和省联社信息科技人员总数与员工总人

25、数的比例原则上不低于3%；2.应建立独立的信息科技部门，应至少设立软件开发、运行维护等内设部门。人员统计表信息科技管理部门职责说明信息科技岗位职责说明信息科技人员和岗位说明。高级应建立独立的信息科技部门，应将信息科技运行与系统开发、维护分离，确保信息科技部门内部的岗位制约，并确保信息科技部门能充分履职。人员统计表信息科技管理部门职责说明信息科技岗位职责说明信息科技人员和岗位说明信息科技业务操作流程及岗位相互牵制、分离情况说明GO.12明确信息科技关键岗位1.银行应当识别并明确信息科技关键岗位。初级应梳理本行的信息科技岗位，界定具体的关键岗位。信息科技关键岗位列表中级制定对关键岗位的相关管理制度

26、，包括对关键岗位设置AB角，并实施强制休假或岗位轮换制度。关键岗位管理制度信息科技关键岗位说明信息科技关键岗位人员与岗位对照表强制休假或岗位轮换实施记录高级1.建立关键岗位上岗和离职的管理流程，并严格执行，不相容岗位不得兼岗。2.应评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替计划等防范措施；在员工岗位发生变化后及时变更相关信息。3.制定信息科技关键岗位任职资格标准关键岗位人员评估说明信息科技关键岗位任职资格标准GO.13组织在岗人员定期参加信息安全培训1.银行应当组织在岗人员定期参加信息安全培训，提升在岗人员的信息安全意识。初级应当组织相关人员参加信息安全培训，提升专业人

27、员的信息安全技能和意识，每年至少一次组织在岗人员参加信息安全培训信息安全培训记录（培训通知及签到单）中级1. 每年根据各在岗人员岗位性质制定信息安全培训计划，确保覆盖所有在岗员工，形式可采用会议、通知、风险提示、考试、专题培训等，留存培训记录。2.每年应制定培训计划对专业人员进行信息安全培训，提升专业人员的信息安全技能和意识。信息安全教育和培训的年度计划高级1.应建立对员工进行信息安全培训的制度，形成信息安全教育和培训的常态化机制。2.建立信息安全培训考试制度，将信息安全知识考试与相关员工上岗、竞聘、考核等挂钩，提升在岗人员的信息安全意识。信息安全培训及考试制度考核通知和结果通报GO.14信息

28、科技人员稳定情况银行应当保证信息科技人员的稳定。1根据治理指导意见（征求意见稿）第五十二条，商业银行应建立一套包括职位晋升、薪酬晋级在内的信息科技激励机制，激励机制应与信息科技运行效率、风险控制目标等相联系，保证科技队伍的稳定。初级对信息科技岗位进行标准化，运用岗位分析、岗位评价，设计合理的级别体系。岗位职务说明书中级1.应建立一套信息科技激励机制，充分调动信息科技人员的积极性和创造性，激励机制应与信息科技系统建设、运行效率、风险控制目标等相联系，引导员工重视个人技能的增长，保证科技队伍的稳定；2.应建立信息科技问责机制，对不履行职责或违反信息科技管理制度人员进行问责和惩处。薪酬考核制度信息科

29、技激励制度信息科技问责制度高级1.应建立一套完善的包括职位晋升、薪酬晋级在内的信息科技激励机制，充分调动信息科技人员的积极性和创造性，激励机制应与信息科技系统建设、运行效率、风险控制目标等相联系，保证科技队伍的稳定。2.每年对信息科技人员补充、岗位调整情况进行分析，评估现有激励机制对科技队伍稳定的实际效果。人员新增需求计划表二、信息科技风险管理初级要求： 1、 在信息科技部门之外，设立或指派一个特定部门负责信息科技风险管理，并配备专职的信息科技风险管理人员。在信息科技部门内至少指定一名专职人员负责内控和风险防范。并要求具有与岗位相当的专业知识能力、一定的从业经验和良好的职业操守。2、 信息科技

30、风险管理部门根据指引第十五条要求基本建立风险管理策略。3、 信息科技风险管理部门建立信息资产的分类分级标准，识别建立和维护信息资产清单，确定各类信息资产中的关键资产，锁定评估对象。4、 应当建立信息科技风险监测机制，确定监测范围、监测内容和频率。5、 信息科技队伍建设：银行应当配备足够的信息科技人员，以支持银行业务的发展和信息系统运行。并梳理本行的信息科技岗位，界定具体的关键岗位。同时运用岗位分析、岗位评价等，设计合理的级别体系。 中级要求： 1、 信息科技风险管理部门应建立完善的信息科技风险管理策略, 并对其适用性进行评估、进行必要修订。初步明确本行信息科技风险管理对象、内容、过程和方法，组

31、织架构中各部门的职责及相互关系。2、 对重要信息资产建立风险评估制度。对重要信息资产建立风险评估制度，在重要信息系统投产或变更时履行风险评估手续。制定关键风险指标体系，运用关键指标建立对信息科技风险的定量计量和监测。3、 信息科技队伍建设：应当配备足够的信息科技人员，以支持银行业务的发展和信息系统运行。股份制商业银行、城市商业银行和省联社和这一比例原则上不低于3%；制定对关键岗位的相关管理制度。根据信息科技人员特点，建立合理的职位晋升和薪酬考核机制，引导员工重视个人技能的增长。高级要求： 1、 信息科技风险管理人员应具备相应的从业资格，通过IT风险管理、信息安全等专业资格考试并获得相应证书。2

32、、 信息科技风险管理部门应对现有信息科技风险管理制度进行后评价，每年进行修订和补充。3、 对信息科技进行定期、规范、持续的评估，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，确定风险防范措施及所需资源的优先级别。4、 对信息科技进行持续的风险监测，定期分析指标并产生信息科技风险监测报告，监测信息科技风险发展趋势。5、 信息科技队伍建设：根据本行的信息化建设情况，提升信息科技人员与员工总人数的比例。加强复合型人才的培养。每年对信息科技人员补充、岗位调整情况进行分析，评估现有激励机制对科技队伍稳定的实际效果。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标

33、与要求结果文档信息科技风险管理信息科技风险管理人才RM.01配置足够信息科技风险管理人员银行应当有足够的信息科技风险管理人员开展信息科技风险管理工作。初级在信息科技部门之外，设立或指派一个特定部门负责信息科技风险管理，对信息科技风险管理的人员数量至少一人。在信息科技部门内至少指定一名专职负责内控和风险防范的人员。部门职责部门岗位设置说明中级信息科技风险管理人员数量原则上按照科技人员数量的5%配备，至少不得少于2人。科技人员中负责内控和风险防范人员原则上不低于5%。管理人员名单部门岗位设置说明高级专职信息科技风险管理人员数量原则上按照科技人员数量的8%配备；管理人员名单部门岗位设置说明RM.02

34、信息科技风险管理的人员具有相关专业背景知识和技能信息科技风险管理人员应当具备专业知识和技能。初级信息科技风险管理人员应当具备相应的专业从业资格： （一）信息科技风险管理人员应具备大专以上学历，掌握信息科技相关专业知识，熟悉金融相关法律、法规和金融风险管理制度；（二）具备一年以上金融信息科技或风险管理从业经验；（三）具有客观、公正和廉洁的职业操守，且从业以来无不良记录。个人简历学历证书中级风险管理人员应同时具备从事风险管理工作两年以上。个人简历学历证书高级信息科技风险管理人员中至少一人通过IT风险管理、信息安全等专业资格考试并获得相应证书。个人简历学历证书专业资质证书信息科技风险管理策略RM.0

35、3制定全面的信息科技风险策略信息科技风险管理应当纳入全面风险管理体系。信息科技风险管理策略应覆盖组织及职能、制度规范、风险评估与监督等方面，包括但不限于银监会发布的管理指引中的内容。初级基本建立信息科技风险管理策略风险管理策略中级建立完善的信息科技风险管理策略，管理策略覆盖组织及职能、制度规范、风险评估与监督等方面，内容包括指引规定的七个领域。风险管理策略高级继续改进完善风险管理策略，内容全部覆盖指引规定的七个领域。风险管理策略RM.04建立完善的信息科技风险管理制度信息科技风险管理类制度应当考虑信息科技风险管理策略、信息科技风险评估、信息科技风险报告、信息科技风险内部控制等方面初级应制定相关

36、制度，包括信息科技风险内部控制和风险报告等方面的内容。信息科技相关内控管理办法信息科技事件报告管理办法中级1.应建立息科技风险管理策略；2.信息科技风险评估制度，明确风险评估的范围、内容、方法等；信息科技风险管理办法信息科技风险评估办法高级1.应建立完善的信息科技风险管理制度体系，在纵向上包括信息科技风险管理策略、标准、规范、流程，以及实施细则等；在横向上应全面包含信息科技风险管理所涉及的主要范围。2.信息科技风险量化评估制度，对信息科技的风险指标有量化标准，信息安全规范与标准信息科技风险管理流程说明信息科技风险管理操作规程信息科技风险量化评估制度RM.05定期评估及修订信息科技风险管理制度应

37、当定期评估信息科技风险管理制度的适用性、完整性并进行必要修订。初级对现有信息科技风险管理制度的适用性进行评估、进行必要修订修订的制度目录中级同初级同初级高级每年对现有信息科技风险管理制度进行后评价，根据实际情况进行修订和补充。修订、补充的风险管理制度信息科技风险评估RM.06制定持续的风险识别和评估流程持续的风险识别和评估流程应包括建立信息资产分类分级标准、识别建立和维护信息资产清单、确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，确定风险防范措施及所需资源的优先级别。初级建立信息资产的分类分级标准，识别建立和维护信息资产清单，确定各类信息资产中的关键资产，锁定评估对

38、象。信息资产分类分级标准中级对重要信息资产建立风险评估制度，在重要信息系统投产或变更时履行风险评估手续。风险评估制度项目投产或变更风险评估报告高级对信息科技进行定期、规范、持续的评估，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，确定风险防范措施及所需资源的优先级别。定期风险评估报告RM.07建立持续的信息科技风险计量和监测机制，进行信息科技风险监测信息科技风险管理部门应当建立信息科技风险计量和监测机制，确定监测范围、监测内容和频率；制定关键风险指标，并分配相关责任，持续进行风险监测，定期分析指标并产生信息科技风险监测报告，监测信息科技风险发展趋势。初级信息科技风险

39、管理部门应当建立信息科技风险计量和监测机制，确定监测范围、监测内容和频率。风险计量和监测制度中级制定关键风险指标体系，运用关键指标建立对信息科技风险的监测。关键风险指标体系高级1.对信息科技进行持续的风险监测，定期以上分析指标并产生信息科技风险监测报告，监测信息科技风险发展趋势。2.制定内部，外部升级和监管发现问题整改处理机制；3.制定新技术发展和已使用软件面临威胁定期评估机制。信息科技风险监测报告内部、外部升级和监管发现问题整改处理机制新技术发展和已使用软件面临威胁定期评估机制三、信息科技审计初级要求：1.初步建立信息科技风险审计的各项相关制度；2.在内部审计部门设置信息科技风险审计岗，并配

40、备一定数量的信息科技风险审计人员；3.可以在一定程度上开展信息科技风险的内部审计工作；4.制定审计的年度计划，并按计划组织实施。中级要求：1.建立较为完整的信息科技审计的相关制度体系；2.在内部审计部门设置信息科技风险审计岗位，配备一定数量的专职信息科技审计人员，专门从事信息科技审计工作； 3.制定较为完善的年度审计计划，并按计划开展有序的审计工作； 4.有能力独立开展信息科技风险的专项审计工作，并按照银监会的有关要求对本行的信息科技风险进行一定频率的专项审计，必要时也可组织外部审计工作；5.对内、外部审计中发现的问题督促被审计部门进行落实，保证审计的有效性。高级要求：1.建立了较为完善的信息

41、科技风险审计制度体系，并定期检查制度的执行情况，不断提高制度的执行力；2.在内审部门设立专门的信息科技风险审计岗（小组），配备足够数量（达到本行科技人员数量的2-5%）的具有较高专业水平的审计人员（最好能取得专业技术资格），并充分履职；3.具有独立开展信息科技风险全面审计的能力，持续（不小于3年）开展合理频度（一年不少于一次）的信息科技风险专项审计，且收到较好的效果；3.连续三年以上，制定了完善的年度审计计划，并能按计划开展有序的审计工作；4.至少三年一周期，一级分支机构的审计覆盖率能达到100%。5.对审计中发现的问题均有明确的整改意见和整改结果，审计部门履行跟踪、监督职能，保证审计的有效性

42、。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档审计(AD)AD.01信息科技审计制度制定情况制定完善的信息科技审计制度和政策，包括信息科技内审政策、信息科技外审政策、信息科技内审的内容、范围、职责、审计方法、审计报告、处理和整改落实等情况，信息科技外审的范围、外审公司选择标准、外审报告处理和整改措施等方面。初级根据银行现有的的信息科技审计情况，参照商业银行商业银行信息科技风险管理指引及治理指导意见（征求意见稿）等，修订和完善本行的相关制度，明确审计报告路径和审计人员资职，保证审计的独立性和较高的审计质量。同时审计制度包括信息科技的审计政策、内外部审计的规定，内部

43、审计的职责、范围、方法、内容、报告、整改及后续审计等，做到对审计工作具有明确的指导作用。信息科技审计制度中级制度内容比较全面，能反映本行信息科技审计的管理要求。信息科技审计制度高级信息科技审计制度与银监会的相关制度及其他外部制度具有较好的衔接，保证制度的可操作性。信息科技审计制度信息科技内部审计独立性与合理授权AD.02内部审计部门进行信息科技风险管理审计的独立性内部审计部门应当具备合理的汇报路线和审计技能，以保证内审的独立性。初级明确审计部门报告路径，审计报告直接汇报董（理）事会、监事会或审计委员会，赋予内部审计部门具有独立开展信息科技审计工作的相关职能。信息科技审计制度中级加强对银行信息科

44、技风险审计人员的培训，使内部审计人员具有一定的信息科技审计技能信息科技审计报告高级审计部门的信息科技风险审计人员能独立地开展信息科技审计，并直接向内审部门或审计委员会负责信息科技审计报告AD.03依据既定的审计计划、方案开展信息科技审计内审部门应当按照计划开展信息科技审计工作。初级内审部门制定年度信息科技审计计划。信息科技审计计划中级内审部门制定年度信息科技审计计划，并且制定相应的审计方案，经主管领导批准执行。审计工作基本按照计划执行。信息科技审计计划和方案信息科技审计报告高级信息科技审计按照既定的计划执行信息科技审计计划和方案信息科技审计报告信息科技专业内审人员AD.04配置足够的信息科技内

45、部审计人员内部审计部门应配备一定数量的人员，执行信息科技内部审计（包括控制自评估、信息科技内审等）。初级在内审部门配备1至2名信息科技审计人员，具备相应能力。无中级配备2名信息科技审计人员，其中至少1名专职信息科技审计人员。无高级信息科技风险审计人员按照本行科技人员数量的5%配备，至少不得少于2人。信息科技风险审计组织与人员名单AD.06信息科技内部审计人员具备专业能力及资质信息科技审计部门应通过任用一定比例的具有信息科技审计专业资质的人才，实现信息科技审计专业化。初级信息科技审计人员熟悉信息科技相关知识，熟悉金融相关法律、法规和内部控制制度。无中级信息科技审计人员具有信息科技从业背景，具有较

46、强的专业知识和风险识别能力。无高级信息科技审计人员具有丰富的审计经验和较为深厚的计算机背景，取得信息系统审计师（CISA）等专业资格。获得专业资格证书的人数和比例信息科技审计执行与问题整改情况AD.07信息科技内部审计覆盖情况内部审计部门应定期开展信息科技内部审计工作，审计应适当覆盖机构的各个分支或直属机构，3年内一级分支机构覆盖率要达到100%。初级根据银行实际每年开展信息科技风险的审计，对一级分支机构或直属机构的覆盖率每年在15%以上。信息科技审计报告中级经过信息科技风险审计，对一级分支机构或直属机构的覆盖率每年在20%以上。信息科技审计报告高级经过三年的信息科技风险内部审计，一级分支机构

47、覆盖率要达到100%。信息科技审计报告AD.08信息科技内部审计整改情况银行应对内部审计发现的问题进行整改并跟踪落实，确保中度风险以上问题的及时整改。内部审计整改率达到90%以上。初级针对银行的内部审计，相关被审计部门除客观条件所限，对检查出的问题均要进行整改，整改率总体在50%以上。信息科技整改报告中级检查出的问题均要进行整改，整改率力争达到70%以上。信息科技整改报告高级检查出的问题均要进行整改，整改率力争达到90%以上。信息科技整改报告AD.09信息科技审计的有效性针对信息科技审计活动，机构应对内、外部审计发现的问题进行跟踪，并确保问题在规定的时间内落实整改。发现的问题切中要害，对风险管

48、理有明显促进作用。中风险度的问题达到一定数量。初级1.内部审计报告需一定程度上反映存在问题信息科技内审报告；中级内、外部审计发现的问题具有一定的深度，中度风险的问题具有一定的数量，能积极整改。信息科技整改报告高级对信息科技风险的管理具有明显的促进作用。被检查部门对内、外部审计发现的问题在规定的时间内积极进行整改。信息科技整改报告AD.10开展全面信息科技内部审计应当定期开展全面的信息科技内部审计。初级不定期开展信息科技内部审计。 信息科技审计报告中级开展过全面的信息科技内部审计。信息科技审计报告高级每三年开展一次全面的信息科技内部审计；根据需要不定期开展信息科技专项审计。信息科技审计报告AD.

49、11信息科技外部审计根据指引，商业银行可以在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。初级无无中级可聘请第三方具备相应资质的外部审计机构或专业公司进行信息科技审计。信息科技审计报告高级1.建立规范的外部审计管理制度，明确外部审计的内容和方式。2.进行第三方全面审计。信息科技外部审计制度AD.12外部审计保密措施关注机构开展外部审计时是否对自身信息加以保护，签署保密协议，保密协议可能是合同的一部分，也可能是与能够接触敏感信息的个人单独签署的协议。初级与外部审计机构或能够接触敏感信息的个人签署保密协议。保密协议中级建立基本的保密协议和外审保密措施外部审计

50、保密管理办法高级建立完善的保密协议和外审保密措施外部审计保密管理办法AD.13信息科技外部审计整改情况银行应对外部审计发现的问题进行整改并跟踪落实，确保中度风险以上问题的及时整改。外部审计整改率达到90%以上。初级对外部审计发现的问题进行整改并跟踪落实，确保中度风险以上问题积极整改，整改率力争达到50%以上。整改报告中级整改率力争达到70%以上。整改报告高级1.整改率力争达到90%以上;2.建立信息科技外审结果整改制度整改报告信息科技外审结果整改制度四、系统开发及测试初级要求：1.建立系统开发的项目治理结构：（1）信息技术管理委员会拥有重大项目审批权和项目争议的最终裁量权，确保IT战略最大程度

51、地支持本行的业务战略，并加强安全管理；（2）明确业务需求管理的责任部门，建立业务分析流程，对业务需求的开发进行有序管理。2.采用项目管理方法论来开展系统开发，包括定义项目生命周期、制订项目管理制度和流程。3.开发与生产环境的独立。设置独立的信息系统生产、开发和测试环境。4.严格上线管理。系统投产前准备详细的上线方案和回退方案。中级要求：1.完善业务需求管理体系。设置信息技术项目管理机构职能，负责项目管理、业务需求管理和UAT测试。2.开展风险评估。开展在项目的各阶段进行风险评估与处置的项目管理活动；3.加强质量管理。设置专职的质量测试岗对代码的安全进行抽样走查或评审；4.项目后评估。要求在项目

52、立项申请时，明确要求说明实现项目目标的可衡量指标。项目在投产6个月后对照立项时的可衡量指标进行后评估。高级要求：1.项目进度管理。按季度向信息科技管理委员会报告各类重大项目建设进度；2.严格需求管理。确保需求在进入开发实施前得到业务和科技部门的共同签署，需求变更严格按流程执行；3.落实全面质量控制。建立质量保证团队，对项目过程质量进行独立控制，借助外部资源，使用专业工具对代码进行安全检查。在生产验证环境进行测试或验证后，由专门的配置人员部署到生产环境上。4.完善后评估工作。建立项目后评价资料库，有序管理项目后评价资料，为后续的项目组合管理提供数据。5.建立项目管理、测试管理等系统,提高项目开发

53、、变更管理、测试管理水平。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档系统开发及测试(SD)建立完善的项目管理SD.01项目实施部门定期向信息科技管理委员会提交重大项目进度报告项目实施部门应当定期向信息科技管理委员会提交的重大项目进度报告。初级按年度进行重大项目进度报告，内容包括重大项目名录、分项项目进度报告、问题总结和应对措施等信息科技管理委员会议事规则年度重大项目进度报告中级按季度进行重大项目进度报告，内容包括重大项目名录、分项项目进度报告、问题总结和应对措施等。年度重大项目进度报告高级计划重大变更、关键人员或供应商变更即提交报告制度；重大项目进度报告SD.

54、02设立业务需求管理组织，整合业务需求银行应当有业务需求管理组织负责对业务需求进行整合和规范。初级明确业务需求管理的责任部门，加入到信息科技治理组织架构中，建立业务分析流程，对业务需求的开发进行有序管理。 业务分析流程图中级建立IT项目管理独立机构，主要职能是从项目管理、需求管理和UAT测试管理三个方面来协调业务部门与科技开发部门之间的关系。IT项目管理机构职责和岗位设置高级业务需求的基线必须签署，并严格实现业务需求变更管理。被签署的业务需求说明书需求变更申请书SD.03建立规范的项目管理制度和流程在信息系统生命周期各阶段，应制定相关制度、标准和流程，规范项目管理，确保信息系统开发、测试、维护过程得到有效管理。初级建立项目立项、开发、测试、部署、维护等过程相关的管理制度、标准和流程；设立项目经理岗位， 并对其进行项目管理培训。建立项目管委会，成员应包括需求管理、项目开发、质量控制与测试、上线发布各个负责人。项目立项管理办法项目开发管理办法项目测试管理办法项目维护