(最新)信息科技风险管理办法

1、制度体系文件信息科技风险管理办法 版次号： A/0 信息科技技风险管管理办法法编制部门门：信息息科技部部版 次 号：AA/0生效日期期：目录TOC o 1-3 h z u HYPERLINK l _Toc272527507 修改记录录 PAGEREF _Toc272527507 h 3 HYPERLINK l _Toc272527508 第一章总总则 PAGEREF _Toc272527508 h 4 HYPERLINK l _Toc272527509 第二章机机构职责责 PAGEREF _Toc272527509 h 5 HYPERLINK l _Toc272527510 第三章信信息科技技

2、风险管管理 PAGEREF _Toc272527510 h 111 HYPERLINK l _Toc272527511 第四章信信息安全全 PAGEREF _Toc272527511 h13 HYPERLINK l _Toc272527512 第五章信信息系统统开发、测试和和维护 PAGEREF _Toc272527512 h 119 HYPERLINK l _Toc272527513 第六章信信息科技技运行 PAGEREF _Toc272527513 h 221 HYPERLINK l _Toc272527514 第七章业业务连续续性管理理 PAGEREF _Toc272527514 h 2

3、3 HYPERLINK l _Toc272527515 第八章外外包与审审计 PAGEREF _Toc272527515 h 255 HYPERLINK l _Toc272527516 第一节外外包 PAGEREF _Toc272527516 h 255 HYPERLINK l _Toc272527517 第二节审审计 PAGEREF _Toc272527517 h 288 HYPERLINK l _Toc272527518 第九章附附则 PAGEREF _Toc272527518 h 300 HYPERLINK l _Toc272527519 附件： PAGEREF _Toc27252751

4、9 h 331修改记录录版次号生效日期期修改原因因A/0流程体系系文件AA版 首首次发布布总则为有效防防范银行行运用信信息系统统进行业业务处理理、经营营管理和和内部控控制过程程中产生生的风险险，促进进我行各各项业务务安全、持续、稳健运运行，根根据中中华人民民共和国国银行业业监督管管理法、中中华人民民共和国国商业银银行法、商业银银行信息息科技风风险管理理指引、营口口沿海银银操作风风险管理理指引，以及及国家信信息安全全相关要要求和有有关法律律法规，制定本本管理办办法。本管理办办法所称称信息科科技是指指计算机机、通信信、微电电子和软软件工程程等现代代信息技技术，在在我行业业务交易易处理、经营管管理和

5、内内部控制制等方面面的应用用，并包包括进行行信息科科技治理理，建立立完整的的管理组组织架构构，制订订完善的的管理制制度和流流程。本管理办办法所称称信息科科技风险险，是指指信息科科技在我我行运用用过程中中，由于于自然因因素、人人为因素素、技术术漏洞和和管理缺缺陷产生生的操作作、法律律和声誉誉等风险险。信息科技技风险管管理的目目标是通通过建立立有效的的机制，实现对对我行信信息科技技风险的的识别、计量、监测和和控制，促进我我行安全全、持续续、稳健健运行，推动业业务创新新，提高高信息技技术使用用水平，增强核核心竞争争力和可可持续发发展能力力。机构职责责根据我行行信息科科技治理理的要求求，法定定代表人人

6、是本机机构信息息科技风风险管理理的第一一责任人人，负责责组织本本管理办办法的贯贯彻落实实, 董董事会应应履行以以下信息息科技管管理职责责：遵守并贯贯彻执行行国家有有关信息息科技管管理的法法律、法法规和技技术标准准，落实实中国银银行业监监督管理理委员会会（以下下简称银银监会）相关监监管要求求。审查批准准信息科科技战略略，确保保其与银银行的总总体业务务战略和和重大策策略相一一致。评评估信息息科技及及其风险险管理工工作的总总体效果果和效率率。掌握主要要的信息息科技风风险，确确定可接接受的风风险级别别，确保保相关风风险能够够被识别别、计量量、监测测和控制制。规范职业业道德行行为和廉廉洁标准准，增强强内

7、部文文化建设设，提高高全体人人员对信信息科技技风险管管理重要要性的认认识。设立一个个由来自自高级管管理层、信息科科技部门门和主要要业务部部门的代代表组成成的专门门信息科科技管理理委员会会，负责责监督各各项职责责的落实实，定期期向董事事会和高高级管理理层汇报报信息科科技战略略规划的的执行、信息科科技预算算和实际际支出、信息科科技的整整体状况况。在建立良良好的公公司治理理的基础础上进行行信息科科技治理理，形成成分工合合理、职职责明确确、相互互制衡、报告关关系清晰晰的信息息科技治治理组织织结构。加强信信息科技技专业队队伍的建建设，建建立人才才激励机机制。确保内部部审计部部门进行行独立有有效的信信息科

8、技技风险管管理审计计，对审审计报告告进行确确认并落落实整改改。每年审阅阅并向银银监会及及其派出出机构报报送信息息科技风风险管理理的年度度报告。确保信息息科技风风险管理理工作所所需资金金。确保银行行所有员员工充分分理解和和遵守经经其批准准的信息息科技风风险管理理制度和和流程，并安排排相关培培训。确保本法法人机构构涉及客客户信息息、账务务信息以以及产品品信息等等的核心心系统在在中国境境内独立立运行，并保持持最高的的管理权权限，符符合银监监会监管管和实施施现场检检查的要要求，防防范跨境境风险。及时向银银监会及及其派出出机构报报告本机机构发生生的重大大信息科科技事故故或突发发事件，按相关关预案快快速响

9、应应。配合银监监会及其其派出机机构做好好信息科科技风险险监督检检查工作作，并按按照监管管意见进进行整改改。履行信息息科技风风险管理理其他相相关工作作。我行应设设立分管管信息科科技的副副行级领领导，直直接向行行长汇报报，并参参与决策策。副行行级领导导的职责责包括：直接参与与本银行行与信息息科技运运用有关关的业务务发展决决策。确保信息息科技战战略，尤尤其是信信息系统统开发战战略，符符合本银银行的总总体业务务战略和和信息科科技风险险管理策策略。负责建立立一个切切实有效效的信息息科技部部门，承承担本银银行的信信息科技技职责。确保其其履行：信息科科技预算算和支出出、信息息科技策策略、标标准和流流程、信信

10、息科技技内部控控制、专专业化研研发、信信息科技技项目发发起和管管理、信信息系统统和信息息科技基基础设施施的运行行、维护护和升级级、信息息安全管管理、灾灾难恢复复计划、信息科科技外包包和信息息系统退退出等职职责。确保信息息科技风风险管理理的有效效性，并并使有关关管理措措施落实实到相关关的每一一个内设设机构和和分支机机构。组织专业业培训，提高人人才队伍伍的专业业技能。履行信息息科技风风险管理理其他相相关工作作。科技部负负责我行行信息安安全、信信息系统统开发、测试和和维护、信息科科技运行行、业务务连续性性管理；应对内内部管理理职责进进行明确确的界定定，各岗岗位的人人员应具具有相应应的专业业知识和和技

11、能，重要岗岗位应制制定详细细完整的的工作手手册并适适时更新新，并对对相关人人员采取取相关的的风险防防范措施施：验证个人人信息，包括核核验有效效身份证证件、学学历证明明、工作作经历和和专业资资格证书书等信息息。审核信息息科技员员工的道道德品行行，确保保其具备备相应的的职业操操守。确保员工工了解、遵守信信息科技技策略、指导原原则、信信息保密密、授权权使用信信息系统统、信息息科技管管理制度度和流程程等要求求，并同同员工签签订相关关协议。评估关键键岗位信信息科技技员工流流失带来来的风险险，做好好安排候候补员工工和岗位位接替计计划等防防范措施施；在员员工岗位位发生变变化后及及时变更更相关信信息。运营管理

12、理部职能能交叉，要部门门协调是是信息系系统中涉涉及账务务交易的的操作、系统参参数变更更、事件件管理的的主要部部门。运运营管理理部的职职责包括括：运行与维维护应实实行职责责分离，运行人人员应实实行专职职，不得得由其他他人员兼兼任。运运行人员员应按操操作规程程巡检和和操作。维护人人员应按按授权和和维护规规程要求求对生产产状态的的软硬件件、数据据进行维维护，除除应急外外，其他他维护应应在非工工作时间间进行。制定详细细的运行行值班操操作表，包括规规定巡检检时间，操作范范围、内内容、办办法、命命令以及及负责人人员等信信息。提供机房房环境、设备使使用、网网络运行行、系统统运行职职能交叉叉，要部部门协调调等

13、监控控信息。记录运行行值班过过程中所所有现象象、操作作过程等等信息日日志。对软件或或数据的的维护必必须通过过特定的的应用程程序进行行，添加加、删除除和修改改数据应应通过柜柜员终端端，不得得对数据据库进行行直接操操作；具备各种种详细的的日志信信息，包包括交易易日志和和审计日日志等，以便维维护和审审计。提供维护护的统计计和报表表打印功功能。对系统参参数等设设置变更更、维护护的要求求：应对信息息系统配配置参数数实施严严格的安安全与保保密管理理，防止止非法生生成、变变更、泄泄漏、丢丢失与破破坏。根根据敏感感程度和和用途，确定存存取权限限、方式式和授权权使用范范围，严严格审批批和登记记手续。制订严密密的

14、变更更处理流流程，明明确变更更控制中中各岗位位的职责责，并遵遵循流程程实施控控制和管管理；变变更前应应明确应应急和回回退方案案，无授授权不得得进行变变更操作作；根据变更更需求、变更方方案、变变更内容容核实清清单等相相关文档档审核变变更的正正确性、安全性性和合法法性。职职能交叉叉，要部部门协调调应对机房房环境设设施实行行日常巡巡检，明明确信息息系统及及机房环环境设施施出现故故障时的的应急处处理流程程和预案案，有实实时交易易服务的的数据中中心应实实行244小时值值班。实行事件件报告制制度，发发生信息息系统造造成重大大经济、声誉损损失和重重大影响响事件，应即时时上报并并处理，必要时时启动应应急处理理

15、预案。风险管理理部负责责信息科科技风险险管理工工作，并并直接向向分管行行领导（风险管管理委员员会）报报告工作作。该部部门应为为信息科科技突发发事件应应急响应应小组的的成员之之一，负负责协调调制定有有关信息息科技风风险管理理策略，尤其是是在涉及及信息安安全、业业务连续续性计划划和合规规性风险险等方面面，为业业务部门门和信息息科技部部门提供供建议及及相关合合规性信信息，实实施持续续信息科科技风险险评估，跟踪整整改意见见的落实实，监控控信息安安全威胁胁和不合合规事件件的发生生。风险险管理部部的职责责包括：拟定信息息系统风风险管理理总体政政策，并并提交高高级管理理层审查查、审批批。会同相关关业务部部门

16、对信信息系统统风险进进行识别别、监测测；审核信息息系统风风险状况况。对总总行相关关业务部部门和分分支机构构信息系系统风险险状况及及维护、运行情情况进行行监测，并进行行实时报告告。组织新投投产后信信息系统统的后评评价，并并识别、评估新新信息系系统中所所包含的的风险，审核相相应的操操作和风风险管理理程序。 稽核审计计部应在在部门设设立专门门的信息息科技风风险审计计岗位，负责信信息科技技审计制制度和流流程的实实施，制制订和执执行信息息科技审审计计划划，对信信息科技技整个生生命周期期和重大大事件等等进行审审计。稽稽核审计计部负责责我行信信息系统统审计任任务，也也可聘请请经国家家相应监监管部门门认定资资

17、质的中中介机构构进行信信息系统统外部审审计。信息科技技风险管管理我行应制制定全面面的信息息科技风风险管理理策略，包括但但不限于于下述领领域：信息分级级与保护护。信息系统统开发、测试和和维护。信息科技技运行和和维护。访问控制制。物理安全全。人员安全全。业务连续续性计划划与应急急处置。我行应制制定持续续的风险险识别和和评估流流程，确确定信息息科技中中存在隐隐患的区区域，评评价风险险对其业业务的潜潜在影响响，对风风险进行行排序，并确定定风险防防范措施施及所需需资源的的优先级级别（包包括外包包供应商商、产品品供应商商和服务务商）。我行应依依据信息息科技风风险管理理策略和和风险评评估结果果，实施施全面的

18、的风险防防范措施施。防范范措施应应包括：制定明确确的信息息科技风风险管理理制度、技术标标准和操操作规程程等，定定期进行行更新和和公示。确定潜在在风险区区域，并并对这些些区域进进行详细细和独立立的监控控，实现现风险最最小化。建立适适当的控控制框架架，以便便于检查查和平衡衡风险；定义每每个业务务级别的的控制内内容，包包括：最高权限限用户的的审查。控制对数数据和系系统的物物理和逻逻辑访问问。访问授权权以“必需知知道”和“最小授授权”为原则则。审批和授授权。验证和调调节。我行应建建立持续续的信息息科技风风险计量量和监测测机制，其中应应包括：建立信息息科技项项目实施施前及实实施后的的评价机机制。建立定期

19、期检查系系统性能能的程序序和标准准。建立信息息科技服服务投诉诉和事故故处理的的报告机机制。建立内部部审计、外部审审计和监监管发现现问题的的整改处处理机制制。安排供应应商和业业务部门门对服务务水平协协议的完完成情况况进行定定期审查查。定期评估估新技术术发展可可能造成成的影响响和已使使用软件件面临的的新威胁胁。定期进行行运行环环境下操操作风险险和管理理控制的的检查。定期进行行信息科科技外包包项目的的风险状状况评价价。信息安全全科技部负负责建立立和实施施信息分分类和保保护体系系，应使使所有员员工都了了解信息息安全的的重要性性，并组组织提供供必要的的培训，让员工工充分了了解其职职责范围围内的信信息保护

20、护流程。科技部应应落实信信息安全全管理职职能。该该职能应应包括建建立信息息安全计计划和保保持长效效的管理理机制，提高全全体员工工信息安安全意识识，就安安全问题题向其他他部门提提供建议议，并定定期向信信息科技技管理委委员会提提交本银银行信息息安全评评估报告告。信息息安全管管理机制制应包括括信息安安全标准准、策略略、实施施计划和和持续维维护计划划。信息息安全策策略应涉涉及以下下领域：安全制度度管理。信息安全全组织管管理。资产管理理。人员安全全管理。物理与环环境安全全管理。通信与运运营管理理。访问控制制管理。系统开发发与维护护管理。信息安全全事故管管理。业务连续续性管理理。合规性管管理。应建立有有效

21、管理理用户认认证和访访问控制制的流程程。用户户对数据据和系统统的访问问必须选选择与信信息访问问级别相相匹配的的认证机机制，并并且确保保其在信信息系统统内的活活动只限限于相关关业务能能合法开开展所要要求的最最低限度度。用户户调动到到新的工工作岗位位或离开开我行时时，应在在系统中中及时检检查、更更新或注注销用户户身份。应确保设设立物理理安全保保护区域域，包括括计算机机中心或或数据中中心、存存储机密密信息或或放置网网络设备备等重要要信息科科技设备备的区域域，明确确相应的的职责，采取必必要的预预防、检检测和恢恢复控制制措施。应根据信信息安全全级别，将网络络划分为为不同的的逻辑安安全域（以下简简称为域域

22、）。应应该对下下列安全全因素进进行评估估，并根根据安全全级别定定义和评评估结果果实施有有效的安安全控制制，如对对每个域域和整个个网络进进行物理理或逻辑辑分区、实现网网络内容容过滤、逻辑访访问控制制、传输输加密、网络监监控、记记录活动动日志等等。域内应用用程序和和用户组组的重要要程度。各种通讯讯渠道进进入域的的访问点点。域内配置置的网络络设备和和应用程程序使用用的网络络协议和和端口。性能要求求或标准准。域的性质质，如生生产域或或测试域域、内部部域或外外部域。不同域之之间的连连通性。域的可信信程度。应通过以以下措施施，确保保所有计计算机操操作系统统和系统统软件的的安全：制定每种种类型操操作系统统的

23、基本本安全要要求，确确保所有有系统满满足基本本安全要要求。明确定义义包括终终端用户户、系统统开发人人员、系系统测试试人员、计算机机操作人人员、系系统管理理员和用用户管理理员等不不同用户户组的访访问权限限。制定最高高权限系系统账户户的审批批、验证证和监控控流程，并确保保最高权权限用户户的操作作日志被被记录和和监察。要求技术术人员定定期检查查可用的的安全补补丁，并并报告补补丁管理理状态。在系统日日志中记记录不成成功的登登录、重重要系统统文件的的访问、对用户户账户的的修改等等有关重重要事项项，手动动或自动动监控系系统出现现的任何何异常事事件，定定期汇报报监控情情况。应通过以以下措施施，确保保所有信信

24、息系统统安全：明确定义义终端用用户和信信息科技技技术人人员在信信息系统统安全中中的角色色和职责责。针对信息息系统的的重要性性和敏感感程度，采取有有效的身身份验证证方法。加强职责责划分，对关键键或敏感感岗位进进行双重重控制。在关键的的接合点点进行输输入验证证或输出出核对。采取安全全的方式式处理保保密信息息的输入入和输出出，防止止信息泄泄露或被被盗取、篡改。确保系统统按预先先定义的的方式处处理例外外情况，当系统统被迫终终止时向向用户提提供必要要信息。以书面或或电子格格式保存存审计痕痕迹。要求用户户管理员员监控和和审查未未成功的的登录和和用户账账户的修修改。应制定相相关策略略和流程程，管理理所有生生

25、产系统统的活动动日志，以支持持有效的的审核、安全取取证分析析和预防防欺诈。日志可可以在软软件的不不同层次次、不同同的计算算机和网网络设备备上完成成，日志志划分为为两大类类：交易日志志。交易易日志由由应用软软件和数数据库管管理系统统产生，内容包包括用户户登录尝尝试、数数据修改改、错误误信息等等。交易易日志应应按照国国家会计计准则要要求予以以保存。系统日志志。系统统日志由由操作系系统、数数据库管管理系统统、防火火墙、入入侵检测测系统和和路由器器等生成成，内容容包括管管理登录录尝试、系统事事件、网网络事件件、错误误信息等等。系统统日志保保存期限限按系统统的风险险等级确确定，但但不能少少于一年年。应保

26、证交交易日志志和系统统日志中中包含足足够的内内容，以以便完成成有效的的内部控控制、解解决系统统故障和和满足审审计需要要；应采采取适当当措施保保证所有有日志同同步计时时，并确确保其完完整性。在例外外情况发发生后应应及时复复查系统统日志。交易日日志或系系统日志志的复查查频率和和保存周周期应由由信息科科技部门门和有关关业务部部门共同同决定，并报信信息科技技管理委委员会批批准。应采取加加密技术术，防范范涉密信信息在传传输、处处理、存存储过程程中出现现泄露或或被篡改改的风险险，并建建立密码码设备管管理制度度，以确确保：使用符合合国家要要求的加加密技术术和加密密设备。管理、使使用密码码设备的的员工经经过专

27、业业培训和和严格审审查。加密强度度满足信信息机密密性的要要求。制定并落落实有效效的管理理流程，尤其是是密钥和和证书生生命周期期管理。配备切实实有效的的系统，确保所所有终端端用户设设备的安安全，并并定期对对所有设设备进行行安全检检查，包包括台式式个人计计算机（PC）、便携携式计算算机、柜柜员终端端、自动动柜员机机（ATTM）、存折打打印机、读卡器器、销售售终端（POSS）和个个人数字字助理（PDAA）等。制定相关关制度和和流程，严格管管理客户户信息的的采集、处理、存贮、传输、分发、备份、恢复、清理和和销毁。对所有员员工进行行必要的的培训，使其充充分掌握握信息科科技风险险管理制制度和流流程，了了解

28、违反反规定的的后果，并对违违反安全全规定的的行为采采取零容容忍政策策。信息系统统开发、测试和和维护应有能力力对信息息系统进进行需求求分析、规划、采购、开发、测试、部署、维护、升级和和报废，制定制制度和流流程，管管理信息息科技项项目的优优先排序序、立项项、审批批和控制制。项目目实施部部门应定定期向信信息科技技管理委委员会提提交重大大信息科科技项目目的进度度报告，由其进进行审核核，进度度报告应应当包括括计划的的重大变变更、关关键人员员或供应应商的变变更以及及主要费费用支出出情况。应在信信息系统统投产后后一定时时期内，组织对对系统的的后评价价，并根根据评价价结果及及时对系系统功能能进行调调整和优优化

29、。应认识到到信息科科技项目目相关的的风险，包括潜潜在的各各种操作作风险、财务损损失风险险和因无无效项目目规划或或不适当当的项目目管理控控制产生生的机会会成本，并采取取适当的的项目管管理方法法，控制制信息科科技项目目相关的的风险。采取适当当的系统统开发方方法，控控制信息息系统的的生命周周期。典典型的系系统生命命周期包包括系统统分析、设计、开发或或外购、测试、试运行行、部署署、维护护和退出出。所采采用的系系统开发发方法应应符合信信息科技技项目的的规模、性质和和复杂度度。制定相关关控制信信息系统统变更的的制度和和流程，确保系系统的可可靠性、完整性性和可维维护性，其中应应包括以以下要求求：生产系统统与

30、开发发系统、测试系系统有效效隔离。生产系统统与开发发系统、测试系系统的管管理职能能相分离离。除得到管管理层批批准执行行紧急修修复任务务外，禁禁止应用用程序开开发和维维护人员员进入生生产系统统，且所所有的紧紧急修复复活动都都应立即即进行记记录和审审核。将完成开开发和测测试环境境的程序序或系统统配置变变更应用用到生产产系统时时，应得得到信息息科技部部门和业业务部门门的联合合批准，并对变变更进行行及时记记录和定定期复查查。制定并落落实相关关制度、标准和和流程，确保信信息系统统开发、测试、维护过过程中数数据的完完整性、保密性性和可用用性。建立并完完善有效效的问题题管理流流程，以以确保全全面地追追踪、分

31、分析和解解决信息息系统问问题，并并对问题题进行记记录、分分类和索索引；如如需供应应商提供供支持服服务或技技术援助助，应向向相关人人员提供供所需的的合同和和相关信信息，并并将过程程记录在在案；对对完成紧紧急恢复复起至关关重要作作用的任任务和指指令集，应有清清晰的描描述和说说明，并并通知相相关人员员。信息科技技运行在选择数数据中心心的地理理位置时时，应充充分考虑虑环境威威胁（如如是否接接近自然然灾害多多发区、危险或或有害设设施、繁繁忙或主主要公路路），采采取物理理控制措措施，监监控对信信息处理理设备运运行构成成威胁的的环境状状况，并并防止因因意外断断电或供供电干扰扰影响数数据中心心的正常常运行。严

32、格控制制第三方方人员（如服务务供应商商）进入入安全区区域，如如确需进进入应得得到适当当的批准准，其活活动也应应受到监监控；针针对长期期或临时时聘用的的技术人人员和承承包商，尤其是是从事敏敏感性技技术相关关工作的的人员，应制定定严格的的审查程程序，包包括身份份验证和和背景调调查。应将信息息科技运运行与系系统开发发和维护护分离，确保信信息科技技部门内内部的岗岗位制约约；对数数据中心心的岗位位和职责责做出明明确规定定。按照有关关法律法法规要求求保存交交易记录录，采取取必要的的程序和和技术，确保存存档数据据的完整整性，满满足安全全保存和和可恢复复要求。制定详尽尽的信息息科技运运行操作作说明。如在信信息

33、科技技运行手手册中说说明计算算机操作作人员的的任务、工作日日程、执执行步骤骤，以及及生产与与开发环环境中数数据、软软件的现现场及非非现场备备份流程程和要求求（即备备份的频频率、范范围和保保留周期期）。建立事故故管理及及处置机机制，及及时响应应信息系系统运行行事故，逐级向向相关的的信息科科技管理理人员报报告事故故的发生生，并进进行记录录、分析析和跟踪踪，直到到完成彻彻底的处处置和根根本原因因分析。我行应应建立服服务台，为用户户提供相相关技术术问题的的在线支支持，并并将问题题提交给给相关信信息科技技部门进进行调查查和解决决。建立服务务水平管管理相关关的制度度和流程程，对信信息科技技运行服服务水平平

34、进行考考核。建立连续续监控信信息系统统性能的的相关程程序，及及时、完完整地报报告例外外情况；该程序序应提供供预警功功能，在在例外情情况对系系统性能能造成影影响前对对其进行行识别和和修正。制定容量量规划，以适应应由于外外部环境境变化产产生的业业务发展展和交易易量增长长。容量量规划应应涵盖生生产系统统、备份份系统及及相关设设备。及时进行行维护和和适当的的系统升升级，以以确保与与技术相相关服务务的连续续可用性性，并完完整保存存记录（包括疑疑似和实实际的故故障、预预防性和和补救性性维护记记录），以确保保有效维维护设备备和设施施。制定有效效的变更更管理流流程，以以确保生生产环境境的完整整性和可可靠性。包

35、括紧紧急变更更在内的的所有变变更都应应记入日日志，由由信息科科技部门门和业务务部门共共同审核核签字，并事先先进行备备份,以以便必要要时可以以恢复原原来的系系统版本本和数据据文件。紧急变变更成功功后,应应通过正正常的验验收测试试和变更更管理流流程,采采用恰当当的修正正以取代代紧急变变更。业务连续续性管理理根据自身身业务的的性质、规模和和复杂程程度制定定适当的的业务连连续性规规划，以以确保在在出现无无法预见见的中断断时，系系统仍能能持续运运行并提提供服务务；定期期对规划划进行更更新和演演练，以以保证其其有效性性。评估因意意外事件件导致其其业务运运行中断断的可能能性及其其影响，包括评评估可能能由下述

36、述原因导导致的破破坏：内外部资资源的故故障或缺缺失（如如人员、系统或或其他资资产）。信息丢失失或受损损。外部事件件（如战战争、地地震或台台风等）。应采取系系统恢复复和双机机热备处处理等措措施降低低业务中中断的可可能性，并通过过应急安安排和保保险等方方式降低低影响。建立维持持其运营营连续性性策略的的文档，并制定定对策略略的充分分性和有有效性进进行检查查和沟通通的计划划。其中中包括：规范的业业务连续续性计划划,明确确降低短短期、中中期和长长期中断断所造成成影响的的措施，包括但但不限于于:资源需求求（如人人员、系系统和其其他资产产）以及及获取资资源的方方式。运行恢复复的优先先顺序。与内部各各部门及及

37、外部相相关各方方（尤其其是监管管机构、客户和和媒体等等）的沟沟通安排排。更新实施施业务连连续性计计划的流流程及相相关联系系信息。验证受中中断影响响的信息息完整性性的步骤骤。当我行的的业务或或风险状状况发生生变化时时，对本本条一到到三进行行审核并并升级。我行的业业务连续续性计划划和年度度应急演演练结果果应由信信息科技技风险管管理部门门或信息息科技管管理委员员会确认认。外包与审审计外包不得将我我行信息息科技管管理责任任外包，应合理理谨慎监监督外包包职能的的履行。实施重要要外包（如数据据中心和和信息科科技基础础设施等等)应格格外谨慎慎，在准准备实施施重要外外包时应应以书面面材料正正式报告告银监会会或

38、其派派出机构构。在签署外外包协议议或对外外包协议议进行重重大变更更前，应应做好相相关准备备，其中中包括：分析外包包是否适适合我行行的组织织结构和和报告路路线、业业务战略略、总体体风险控控制，是是否满足足我行履履行对外外包服务务商的监监督义务务。考虑外包包协议是是否允许许我行监监测和控控制与外外包相关关的操作作风险。充分审查查、评估估外包服服务商的的财务稳稳定性和和专业经经验，对对外包服服务商进进行风险险评估，考查其其设施和和能力是是否足以以承担相相应的责责任。考虑外包包协议变变更前后后实施的的平稳过过渡（包包括终止止合同可可能发生生的情况况）。关注可能能存在的的集中风风险，如如多家我我行共用用

39、同一外外包服务务商带来来的潜在在业务连连续性风风险。在与外包包服务商商合同谈谈判过程程中，应应考虑的的因素包包括但不不限于：对外包服服务商的的报告要要求和谈谈判必要要条件。银行业监监管机构构和内部部审计、外部审审计能执执行足够够的监督督。通过界定定信息所所有权、签署保保密协议议和采取取技术防防护措施施保护客客户信息息和其他他信息。担保和损损失赔偿偿是否充充足。外包服务务商遵守守我行有有关信息息科技风风险制度度和流程程的意愿愿及相关关措施。外包服务务商提供供的业务务连续性性保障水水平，以以及提供供相关专专属资源源的承诺诺。第三方供供应商出出现问题题时，保保证软件件持续可可用的相相关措施施。变更外

40、包包协议的的流程，以及我我行或外外包服务务商选择择变更或或终止外外包协议议的条件件，例如如：我行或外外包服务务商的所所有权或或控制权权发生变变化。我行或外外包服务务商的业业务经营营发生重重大变化化。外包服务务商提供供的服务务不充分分，造成成我行不不能履行行监督义义务。在实施双双方关系系管理，以及起起草服务务水平协协议时，应考虑虑的因素素包括但但不限于于：提出定性性和定量量的绩效效指标，评估外外包服务务商为我我行及其其相关客客户提供供服务的的充分性性。通过服务务水平报报告、定定期自我我评估、内部或或外部独独立审计计进行绩绩效考核核。针对绩效效不达标标的情况况调整流流程，采采取整改改措施。加强信息息科技相相关外包包管理工工作，确确保我行行的客户户资料等等敏感信信息的安安全，包包括但不不限于采采取以下下措施：实现本银银行客户户资料与与外包服服务商其其他客户户资料的的有效隔隔离。按照“必必需知道道”和“最小授授权”原则对对外包服服务商相相关人员员授权。要求外包包服务商商保证其其相关人人员遵守守保密规规定。应将涉及及本银行行客户资资料的外外包作为为重要外外包，并并告知相相关客户户。严格控制制外包服服务商再再次对外外转包，采取足足够措施施确保我我行相关关信息的的安全。确保在中中止外包包协议时时收回或或销毁外外包服务务商保存存的所有有客户资资料。我行应建建立恰当当的应急急措施，应对外外