银行业金融机构信息系统风险管理指引

1、银行业金融机构信息系统风险管理指引 第一章 总则第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据中华人民共和国银行业监督管理法、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。 第二条 本指引引适用于于银行业业金融机机构。 本指引所称称银行业业金融机机构，是是指在中中华人民民共和国国境内设设立的商商业银行行、城市市信用合合作社、农农村合作作银行、农农村信用用合作社社等吸收收公众存存款的金金融机构构以及政政策性银银行。 在中华人民民共和国国境内设设立的金金融资产产管理公公司、信信托投资资公司、财财

2、务公司司、金融融租赁公公司、汽汽车金融融公司以以及经中中国银行行业监督督管理委委员会（以以下简称称银监会会）及其其派出机机构批准准设立的的其他金金融机构构，适用用本指引引规定。 第三条 本指引引所称信信息系统统，是指指银行业业金融机机构运用用现代信信息、通通信技术术集成的的处理业业务、经经营管理理和内部部控制的的系统。 第四条 本指引引所称信信息系统统风险，是是指信息息系统在在规划、研研发、建建设、运运行、维维护、监监控及退退出过程程中由于于技术和和管理缺缺陷产生生的操作作、法律律和声誉誉等风险险。 第五条 信息息系统风风险管理理的目标标是通过过建立有有效的机机制，实实现对信信息系统统风险的的

3、识别、计计量、评评价、预预警和控控制，推推动银行行业金融融机构业业务创新新，提高高信息化化水平，增增强核心心竞争力力和可持持续发展展能力。 第二章 机构职职责 第六条 银行业业金融机机构应建建立有效效的信息息系统风风险管理理架构，完完善内部部组织结结构和工工作机制制，防范范和控制制信息系系统风险险。 第七条 银行业业金融机机构应认认真履行行下列信信息系统统管理职职责：（一）贯彻彻执行国国家有关关信息系系统管理理的法律律、法规规和技术术标准，落落实银监监会相关关监管要要求； （二）建立立有效的的信息安安全保障障体系和和内部控控制规程程，明确确信息系系统风险险管理岗岗位责任任制度，并并监督落落实；

4、 （三）负责责组织对对本机构构信息系系统风险险进行检检查、评评估、分分析，及及时向本本机构专专门委员员会和银银监会及及其派出出机构报报送相关关的管理理信息； （四）及时时向银监监会及其其派出机机构报告告本机构构发生的的重大信信息系统统事故或或突发事事件，并并按有关关预案快快速响应应； （五）每年年经董事事会或其其他决策策机构审审查后向向银监会会及其派派出机构构报送信信息系统统风险管管理的年年度报告告； （六）做好好本机构构信息系系统审计计工作； （七）配合合银监会会及其派派出机构构做好信信息系统统风险监监督检查查工作，并并按照监监管意见见进行整整改； （八）组织织本机构构信息系系统从业业人员进

5、进行信息息系统有有关的业业务、技技术和安安全培训训； （九）开展展与信息息系统风风险管理理相关的的其他工工作。 第八条 银行业业金融机机构的董董事会或或其他决决策机构构负责信信息系统统的战略略规划、重重大项目目和风险险监督管管理；信信息科技技管理委委员会、风风险管理理委员会会或其他他负责风风险监督督的专业业委员会会应制定定信息系系统总体体策略，统统筹信息息系统项项目建设设，定期期评估、报报告本机机构信息息系统风风险状况况，为决决策层提提供建议议，采取取相应的的风险控控制措施施。 第九条 银行业业金融机机构法定定代表人人或主要要负责人人是本机机构信息息系统风风险管理理责任人人。 第十条 银行业业

6、金融机机构应设设立信息息科技部部门，统统一负责责本机构构信息系系统的规规划、研研发、建建设、运运行、维维护和监监控，提提供日常常科技服服务和运运行技术术支持；建立或或明确专专门信息息系统风风险管理理部门，建建立、健健全信息息系统风风险管理理规章、制制度，并并协助业业务部门门及信息息科技部部门严格格执行，提提供相关关的监管管信息；设立审审计部门门或专门门审计岗岗位，建建立健全全信息系系统风险险审计制制度，配配备适量量的合格格人员进进行信息息系统风风险审计计。 第十一条 银行行业金融融机构从从事与信信息系统统相关工工作的人人员应符符合以下下要求： （一）具备备良好的的职业道道德，掌掌握履行行信息系

7、系统相关关岗位职职责所需需的专业业知识和和技能； （二）未经经岗前培培训或培培训不合合格者不不得上岗岗；经考考核不适适宜的工工作人员员，应及及时进行行调整。 第十二条 银行行业金融融机构应应加强信信息系统统风险管管理的专专业队伍伍建设，建建立人才才激励机机制，适适应信息息技术的的发展。 第十三条 银行行业金融融机构应应依据有有关法律律法规及及时和规规范地披披露信息息系统风风险状况况。 第三章总总体风险险控制 第十四条 总体体风险是是指信息息系统在在策略、制制度、机机房、软软件、硬硬件、网网络、数数据、文文档等方方面影响响全局或或共有的的风险。 第十五条 银行行业金融融机构应应根据信信息系统统总

8、体规规划，制制定明确确、持续续的风险险管理策策略，按按照信息息系统的的敏感程程度对各各个集成成要素进进行分析析和评估估，并实实施有效效控制。 第十六条 银行行业金融融机构应应采取措措施防范范自然灾灾害、运运行环境境变化等等产生的的安全威威胁，防防止各类类突发事事故和恶恶意攻击击。 第十七条 银行行业金融融机构应应建立健健全信息息系统相相关的规规章制度度、技术术规范、操操作规程程等；明明确与信信息系统统相关人人员的职职责权限限，建立立制约机机制，实实行最小小授权。 第十八条 在境境外设立立的我国国银行业业金融机机构或在在境内设设立的境境外银行行业金融融机构，应应防范由由于境内内外信息息系统监监管

9、制度度差异等等造成的的跨境风风险。 第十九条 银行行业金融融机构应应严格执执行国家家信息安安全相关关标准，参参照有关关国际准准则，积积极推进进信息安安全标准准化，实实行信息息安全等等级保护护。 第二十条 银行行业金融融机构应应加强对对信息系系统的评评估和测测试，及及时进行行修补和和更新，以以保证信信息系统统的安全全性、完完整性。 第二十一条条 银银行业金金融机构构信息系系统数据据中心机机房应符符合国家家有关计计算机场场地、环环境、供供配电等等技术标标准。全全国性数数据中心心至少应应达到国国家A类类机房标标准，省省域数据据中心至至少应达达到国家家B类机机房标准准，省域域以下数数据中心心至少应应达

10、到CC类机房房标准。数数据中心心机房应应实行严严格的门门禁管理理措施，未未经授权权不得进进入。 第二十二条条 银银行业金金融机构构应重视视知识产产权保护护，使用用正版软软件，加加强软件件版本管管理，优优先使用用具有中中国自主主知识产产权的软软、硬件件产品；积极研研发具有有自主知知识产权权的信息息系统和和相关金金融产品品，并采采取有效效措施保保护本机机构信息息化成果果。 第二十三条条 银银行业金金融机构构与信息息系统相相关的电电子设备备的选型型、购置置、登记记、保养养、维修修、报废废等应严严格执行行相关规规程，选选用的设设备应经经过技术术论证，测测试性能能应符合合国家有有关标准准。信息息系统所所

11、用的服服务器等等关键设设备应具具有较高高的可靠靠性、充充足的容容量和一一定的容容错特性性，并配配置适当当的备品品备件。 第二十四条条 信信息系统统的网络络应参照照相关的的标准和和规范设设计、建建设；网网络设备备应兼备备技术先先进性和和产品成成熟性；网络设设备和线线路应有有冗余备备份；严严格线路路租用合合同管理理，按照照业务和和交易流流量要求求保证传传输带宽宽；建立立完善的的网管中中心，监监测和管管理通信信线路及及网络设设备，保保障网络络安全稳稳定运行行。 第二十五条条 银银行业金金融机构构应加强强网络安安全管理理。生产产网络与与开发测测试网络络、业务务网络与与办公网网络、内内部网络络与外部部网

12、络应应实施隔隔离；加加强无线线网、互互联网接接入边界界控制；使用内内容过滤滤、身份份认证、防防火墙、病病毒防范范、入侵侵检测、漏漏洞扫描描、数据据加密等等技术手手段，有有效降低低外部攻攻击、信信息泄漏漏等风险险。 第二十六条条 银银行业金金融机构构应加强强信息系系统加密密机、密密钥、密密码、加加解密程程序等安安全要素素的管理理，使用用符合国国家安全全标准的的密码设设备，完完善安全全要素生生成、领领取、使使用、修修改、保保管和销销毁等环环节管理理制度。密密钥、密密码应定定期更改改。 第二十七条条 银银行业金金融机构构应加强强数据采采集、存存贮、传传输、使使用、备备份、恢恢复、抽抽检、清清理、销销

13、毁等环环节的有有效管理理，不得得脱离系系统采集集加工、传传输、存存取数据据；优化化系统和和数据库库安全设设置，严严格按授授权使用用系统和和数据库库，采用用适当的的数据加加密技术术以保护护敏感数数据的传传输和存存取，保保证数据据的完整整性、保保密性。 第二十八条条 银银行业金金融机构构应对信信息系统统配置参参数实施施严格的的安全与与保密管管理，防防止非法法生成、变变更、泄泄漏、丢丢失与破破坏。根根据敏感感程度和和用途，确确定存取取权限、方方式和授授权使用用范围，严严格审批批和登记记手续。 第二十九条条 银银行业金金融机构构应制定定信息系系统应急急预案，并并定期演演练、评评审和修修订。省省域以下下

14、数据中中心至少少实现数数据备份份异地保保存，省省域数据据中心至至少实现现异地数数据实时时备份，全全国性数数据中心心实现异异地灾备备。 第三十条 银行行业金融融机构应应加强对对技术文文档资料料和重要要数据的的备份管管理；技技术文档档资料和和重要数数据应保保留副本本并异地地存放，按按规定年年限保存存，调用用时应严严格授权权。信息息系统的的技术文文档资料料包括：系统环环境说明明文件、源源程序以以及系统统研发、运运行、维维护过程程中形成成的各类类技术资资料。重重要数据据包括：交易数数据、账账务数据据、客户户数据，以以及产生生的报表表数据等等。 第三十一条条 银银行业金金融机构构在信息息系统可可能影响响

15、客户服服务时，应应以适当当方式告告知客户户。 第四章研研发风险险控制 第三十二条条 研研发风险险是指信信息系统统在研发发过程中中组织、规规划、需需求、分分析、设设计、编编程、测测试和投投产等环环节产生生的风险险。 第三十三条条 银银行业金金融机构构信息系系统研发发前应成成立项目目工作小小组，重重大项目目还应成成立项目目领导小小组，并并指定负负责人。项项目领导导小组负负责项目目的组织织、协调调、检查查、监督督工作。项项目工作作小组由由业务人人员、技技术人员员和管理理人员组组成，具具体负责责整个项项目的开开发工作作。第三十四条条 项项目工作作小组人人员应具具备与项项目要求求相适应应的业务务经验与与

16、专业技技术知识识，小组组负责人人需具备备组织领领导能力力,保证证信息系系统研发发质量和和进度。 第三十五条条 银银行业金金融机构构业务部部门根据据本机构构业务发发展战略略，在充充分进行行市场调调查、产产品效益益分析的的基础上上制定信信息系统统研发项项目可行行性报告告。 第三十六条条 银银行业金金融机构构业务部部门编写写项目需需求说明明书，提提出风险险控制要要求，信信息科技技部门根根据项目目需求编编制项目目功能说说明书。 第三十七条条 银银行业金金融机构构信息科科技部门门依据项项目功能能说明书书分别编编写项目目总体技技术框架架、项目目设计说说明书，设设计和编编码应符符合项目目功能说说明书的的要求

17、。 第三十八条条 银银行业金金融机构构应建立立独立的的测试环环境，以以保证测测试的完完整性和和准确性性。测试试至少应应包括功功能测试试、安全全性测试试、压力力测试、验验收测试试、适应应性测试试。测试试不得直直接使用用生产数数据。 第三十九条条 银银行业金金融机构构信息科科技部门门应根据据测试结结果修补补系统的的功能和和缺陷，提提高系统统的整体体质量。 第四十条 银行行业金融融机构业业务人员员、技术术人员应应根据职职责范围围分别编编写操作作说明书书、技术术应急方方案、业业务连续续性计划划、投产产计划、应应急回退退计划，并并进行演演练。 第四十一条条 开开发过程程中所涉涉及的各各种文档档资料应应经

18、相关关部门、人人员的签签字确认认并归档档保存。 第四十二条条 项项目验收收应出具具由相关关负责人人签字的的项目验验收报告告，验收收不合格格不得投投产使用用。 第五章运运行维护护风险控控制 第四十三条条 运运行维护护风险是是指信息息系统在在运行与与维护过过程中操操作管理理、变更更管理、机机房管理理和事件件管理等等环节产产生的风风险。 第四十四条条 银银行业金金融机构构信息系系统运行行与维护护应实行行职责分分离，运运行人员员应实行行专职，不不得由其其他人员员兼任。运运行人员员应按操操作规程程巡检和和操作。维维护人员员应按授授权和维维护规程程要求对对生产状状态的软软硬件、数数据进行行维护，除除应急外

19、外，其他他维护应应在非工工作时间间进行。 第四十五条条 银银行业金金融机构构信息系系统的运运行应符符合以下下要求： （一）制定定详细的的运行值值班操作作表，包包括规定定巡检时时间，操操作范围围、内容容、办法法、命令令以及负负责人员员等信息息； （二）提供供常见和和简便的的操作菜菜单或命命令，如如信息系系统的启启动或停停止、运运行日志志的查询询等； （三）提供供机房环环境、设设备使用用、网络络运行、系系统运行行等监控控信息； （四）记录录运行值值班过程程中所有有现象、操操作过程程等信息息。 第四十六条条 银银行业金金融机构构信息系系统的维维护应符符合以下下要求： （一）除对对信息系系统设备备和系

20、统统环境的的维护外外，对软软件或数数据的维维护必须须通过特特定的应应用程序序进行，添添加、删删除和修修改数据据应通过过柜员终终端，不不得对数数据库进进行直接接操作； （二）具备备各种详详细的日日志信息息，包括括交易日日志和审审计日志志等，以以便维护护和审计计； （三）提供供维护的的统计和和报表打打印功能能。 第四十七条条 银银行业金金融机构构信息系系统的变变更应符符合以下下要求： （一）制订订严密的的变更处处理流程程，明确确变更控控制中各各岗位的的职责，并并遵循流流程实施施控制和和管理；变更前前应明确确应急和和回退方方案，无无授权不不得进行行变更操操作； （二）根据据变更需需求、变变更方案案、

21、变更更内容核核实清单单等相关关文档审审核变更更的正确确性、安安全性和和合法性性； （三）应采采用软件件工具精精确判断断变更的的真实位位置和内内容，形形成变更更内容核核实清单单，实现现真实、有有效、全全面的检检验； （四）软件件版本变变更后应应保留初初始版本本和所有有历史版版本，保保留所有有历史的的变更内内容核实实清单。 第四十八条条 银银行业金金融机构构在信息息系统投投产后一一定时期期内，应应组织对对系统的的后评价价，并根根据评价价及时对对系统功功能进行行调整和和优化。 第四十九条条 银银行业金金融机构构应对机机房环境境设施实实行日常常巡检，明明确信息息系统及及机房环环境设施施出现故故障时的的

22、应急处处理流程程和预案案，有实实时交易易服务的的数据中中心应实实行244小时值值班。 第五十条 银行行业金融融机构应应实行事事件报告告制度，发发生信息息系统造造成重大大经济、声声誉损失失和重大大影响事事件，应应即时上上报并处处理，必必要时启启动应急急处理预预案。 第六章外外包风险险控制 第五十一条条 外外包风险险是指银银行业金金融机构构将信息息系统的的规划、研研发、建建设、运运行、维维护、监监控等委委托给业业务合作作伙伴或或外部技技术供应应商时形形成的风风险。 第五十二条条 银银行业金金融机构构在进行行信息系系统外包包时，应应根据风风险控制制和实际际需要，合合理确定定外包的的原则和和范围，认认

23、真分析析和评估估外包存存在的潜潜在风险险，建立立健全有有关规章章制度，制制定相应应的风险险防范措措施。 第五十三条条 银银行业金金融机构构应建立立健全外外包承包包方评估估机制，充充分审查查、评估估承包方方的经营营状况、财财务实力力、诚信信历史、安安全资质质、技术术服务能能力和实实际风险险控制与与责任承承担水平平，并进进行必要要的尽职职调查。评评估工作作可委托托经国家家相应监监管部门门认定资资质，具具有相关关专业经经验的独独立机构构完成。 第五十四条条 银银行业金金融机构构应当与与承包方方签订书书面合同同，明确确双方的的权利、义义务，并并规定承承包方在在安全、保保密、知知识产权权方面的的义务和和

24、责任。 第五十五条条 银银行业金金融机构构应充分分认识外外包服务务对信息息系统风风险控制制的直接接和间接接影响，并并将其纳纳入总体体安全策策略和风风险控制制之中。 第五十六条条 银银行业金金融机构构应建立立完整的的信息系系统外包包风险评评估与监监测程序序，审慎慎管理外外包产生生的风险险，提高高本机构构对外包包管理的的能力。 第五十七条条 银银行业金金融机构构的信息息系统外外包风险险管理应应当符合合风险管管理标准准和策略略，并应应建立针针对外包包风险的的应急计计划。 第五十八条条 银银行业金金融机构构应与外外包承包包方建立立有效的的联络、沟沟通和信信息交流流机制，并并制定在在意外情情况下能能够实

25、现现承包方方的顺利利变更，保保证外包包服务不不间断的的应急预预案。 第五十九条条 银银行业金金融机构构将敏感感的信息息系统，以以及其他他涉及国国家秘密密、商业业秘密和和客户隐隐私数据据的管理理与传递递等内容容进行外外包时，应应遵守国国家有关关法律法法规，符符合银监监会的有有关规定定，经过过董事会会或其他他决策机机构批准准，并在在实施外外包前报报银监会会及其派派出机构构和法律律法规规规定需要要报告的的机构备备案。 第七章审审计 第六十条 银行行业金融融机构内内设审计计部门负负责本机机构信息息系统审审计，也也可聘请请经国家家相应监监管部门门认定资资质的中中介机构构进行信信息系统统外部审审计。 第六

26、十一条条 信信息系统统风险审审计应包包括：总总体风险险审计、系系统审阅阅和专项项风险审审计。 第六十二条条 总总体风险险审计是是指对本本机构所所有信息息系统共共有的公公共部分分进行审审计，实实施总体体风险控控制。根根据信息息系统的的总体风风险状况况确定审审计频率率，但至至少每33年审计计一次。 第六十三条条 信信息系统统的系统统审阅是是指对研研发、运运行及退退出的全全过程进进行审计计，分投投产前与与投产后后的审阅阅。 第六十四条条 投投产前的的系统审审阅是指指审计人人员采用用非现场场形式，对对信息项项目开发发过程中中所提交交的有关关文档资资料进行行审阅，指指出其中中存在的的风险，了了解是否否具

27、有相相应的控控制措施施，并提提出评价价和建议议的过程程。信息息系统投投产前的的系统审审阅应关关注信息息系统的的安全控控制、权权限设置置、正确确性、连连贯性、完完整性、可可审计性性和及时时性等内内容。 投产前的系系统审阅阅重点： （一）被外外界成功功攻破的的可能性性； （二）在内内部安全全控制方方面的设设计漏洞洞与缺陷陷； （三）项目目开发管管理方面面的问题题； （四）效率率与效能能； （五）功能能、设计计和工作作流程是是否符合合法律、法法规和内内部控制制方面的的规定并并有连续续兼容性性；（六）其他他需重点点审阅的的内容。 第六十五条条 投投产前的的系统审审阅文档档资料包包括： （一）项目目可行性性报告； （二）项目目需求说说明书； （三）项目目功能说说明书（包包括业务务与技术术方面存存在的风风险及控控制办法法）； （四）项目目总体技技术框架架；（五）项目目设计说说明书； （六）项目目实施计计划； （七）与第第三方签签订的外