商業(yè)銀行信息科技治理建設(shè)指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)

1、商業(yè)銀行信息科技治理建設(shè)指導(dǎo)意見(jiàn)（討論稿）第一章總則第一條 為規(guī)范商業(yè)銀行信息科技治理，提高信息科技工作效率和風(fēng)險(xiǎn)管 理水平，確保信息系統(tǒng)安全、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)中華人民共和國(guó)銀行業(yè) 監(jiān)督管理法、中華人民共和國(guó)商業(yè)銀行法，以及其他相關(guān)法律、法規(guī)， 制定本指導(dǎo)意見(jiàn)（以下簡(jiǎn)稱(chēng)意見(jiàn)）。第二條 信息科技治理是商業(yè)銀行公司治理的重要組成部分，是商業(yè)銀行 在運(yùn)用信息技術(shù)過(guò)程中，為實(shí)現(xiàn)信息科技工作既定目標(biāo)所做出的制度安排，包 括組織結(jié)構(gòu)、技術(shù)架構(gòu)、運(yùn)行機(jī)制和激勵(lì)約束等。第三條商業(yè)銀行信息科技治理的目標(biāo)是健全信息科技治理組織結(jié)構(gòu)和技 術(shù)架構(gòu)，明確決策和管理職責(zé)，優(yōu)化資源配置，有效控制信息科技風(fēng)險(xiǎn)，確保 信息

2、科技戰(zhàn)略與業(yè)務(wù)發(fā)展目標(biāo)相適應(yīng)，增強(qiáng)商業(yè)銀行核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展 能力。第四條 本意見(jiàn)適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的商業(yè)銀行，包括 國(guó)有商業(yè)銀行、股份制商業(yè)銀行、城市商業(yè)銀行和外資銀行。由中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)中國(guó)銀監(jiān)會(huì)）監(jiān)督管理的其他金 融機(jī)構(gòu)參照?qǐng)?zhí)行。第二章組織結(jié)構(gòu)第五條 董事會(huì)是商業(yè)銀行最高決策組織，在信息科技治理中履行以下職 責(zé)：（一）審查批準(zhǔn)本行信息科技治理結(jié)構(gòu)，定期聽(tīng)取高級(jí)管理層關(guān)于信息科 技工作匯報(bào)并予以評(píng)價(jià)；（二）審查批準(zhǔn)信息科技戰(zhàn)略規(guī)劃，確保與銀行總體業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃和 重大策略相一致;（三）審查批準(zhǔn)信息科技方面的重大項(xiàng)目和投資。為確保有效履行上述職責(zé)，董事

3、會(huì)主要成員應(yīng)對(duì)本行信息科技主要活動(dòng)有 所了解。第六條 監(jiān)事會(huì)是商業(yè)銀行監(jiān)督機(jī)構(gòu)，在信息科技治理中應(yīng)履行以下職責(zé)：（一）對(duì)董事會(huì)、高級(jí)管理層履行信息科技職責(zé)的行為進(jìn)行監(jiān)督；（二）對(duì)銀行信息科技規(guī)劃、決策、風(fēng)險(xiǎn)管理和內(nèi)部控制等進(jìn)行監(jiān)督；（三）對(duì)沒(méi)有正確履行信息科技職責(zé)的高級(jí)管理人員，提出處罰建議。第七條 董事長(zhǎng)是商業(yè)銀行法定代表，在信息科技治理中履行以下職責(zé)：（一）承擔(dān)本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的最終責(zé)任；（二）召集、主持有關(guān)信息科技管理、風(fēng)險(xiǎn)防范和審計(jì)的董事會(huì)會(huì)議；（三）督促、檢查董事會(huì)制定的信息科技工作決議執(zhí)行情況；（四）落實(shí)其他應(yīng)由董事長(zhǎng)承擔(dān)的信息科技工作。第八條 行長(zhǎng)依照董事會(huì)授權(quán)，領(lǐng)導(dǎo)信息科

4、技工作，在信息科技治理中履 行以下職責(zé)：（一）確保信息科技所需資源投入，統(tǒng)籌信息科技重大項(xiàng)目建設(shè)；（二）提請(qǐng)董事會(huì)聘任或者解聘首席信息官。授權(quán)首席信息官、相關(guān)職能 部門(mén)從事信息科技管理活動(dòng)，協(xié)調(diào)解決信息科技工作中的重大問(wèn)題；（三）領(lǐng)導(dǎo)、組織、協(xié)調(diào)信息科技管理委員會(huì)工作；（四）在商業(yè)銀行發(fā)生信息科技重大突發(fā)事件時(shí)，采取緊急措施，并向監(jiān) 管部門(mén)報(bào)告；（五）負(fù)責(zé)其他信息科技工作的領(lǐng)導(dǎo)職責(zé)。第九條 商業(yè)銀行應(yīng)設(shè)立由行長(zhǎng)擔(dān)任主任，首席信息官擔(dān)任副主任的信息 科技管理委員會(huì)，其成員應(yīng)包括科技、風(fēng)險(xiǎn)、主要業(yè)務(wù)部門(mén)和相關(guān)綜合部門(mén)負(fù)責(zé)人，必要時(shí)可聘請(qǐng)外部專(zhuān)業(yè)人士擔(dān)任委員或顧問(wèn)。信息科技管理委員會(huì)下設(shè) 辦事機(jī)構(gòu)，

5、辦事機(jī)掛靠信息科技部門(mén)或單獨(dú)設(shè)立。商業(yè)銀行分支機(jī)構(gòu)可參照總行設(shè)立相應(yīng)組織。第十條 信息科技管理委員會(huì)組成人員由行長(zhǎng)和首席信息官提出具體人選，由管理層集體研究決定成立，相關(guān)材料報(bào)監(jiān)管部門(mén)備案。第十一條信息科技管理委員會(huì)成員需掌握信息科技政策和流程基本知識(shí)， 并能夠在其負(fù)責(zé)的領(lǐng)域進(jìn)行決策。信息科技管理委員會(huì)職責(zé)包括但不限于：（一）審議信息科技發(fā)展戰(zhàn)略規(guī)劃并提交董事會(huì)審批，確保信息科技發(fā)展 規(guī)劃和業(yè)務(wù)發(fā)展規(guī)劃保持一致；（二）審查批準(zhǔn)信息科技建設(shè)指導(dǎo)原則、技術(shù)架構(gòu)和主要信息科技工作制 度；（三）審議信息科技年度工作計(jì)劃及預(yù)算；（四）審議重大科技項(xiàng)目的立項(xiàng)、預(yù)算和實(shí)施，并確定重大項(xiàng)目的優(yōu)先級(jí)；（五）審查

6、批準(zhǔn)重大信息科技運(yùn)營(yíng)、安全、業(yè)務(wù)連續(xù)性、應(yīng)急管理相關(guān)事 項(xiàng)；（六）審查批準(zhǔn)信息科技職業(yè)道德行為規(guī)范和全體人員信息科技教育事項(xiàng)；（七）檢查所擬訂和審議事項(xiàng)的落實(shí)和執(zhí)行情況，組織對(duì)信息科技重大事 項(xiàng)結(jié)果進(jìn)行評(píng)估；（八）審閱并向中國(guó)銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的年度報(bào) 告；（九）審查其他有關(guān)信息科技工作的重大事項(xiàng)。第十二條商業(yè)銀行要制定信息科技管理委員會(huì)的章程和工作制度，明確信 息科技管理委員會(huì)的具體職責(zé)、議事規(guī)則和辦事流程，規(guī)范管理。信息科技管 理委員會(huì)每半年至少召開(kāi)一次工作會(huì)議，有重大事項(xiàng)時(shí)要及時(shí)召開(kāi)會(huì)。議審計(jì) 部門(mén)負(fù)責(zé)人應(yīng)列席信息科技管理委員會(huì)會(huì)議并發(fā)表獨(dú)立意見(jiàn)。第十三條商業(yè)銀行設(shè)立

7、首席信息官，在行長(zhǎng)領(lǐng)導(dǎo)下開(kāi)展工作，其職責(zé)包括：（一）組織制定信息科技發(fā)展戰(zhàn)略規(guī)劃，確保符合銀行總體業(yè)務(wù)發(fā)展戰(zhàn)略 和風(fēng)險(xiǎn)管理策略；（二）組織制定科技建設(shè)指導(dǎo)原則、技術(shù)架構(gòu)和信息科技運(yùn)行管理機(jī)制， 確保制定的科技建設(shè)指導(dǎo)原則清晰、準(zhǔn)確，技術(shù)架構(gòu)科學(xué)、合理，信息科技運(yùn) 行機(jī)制全面、高效；（三）確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的 每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)；（四）組織制定信息安全目標(biāo)、策略、方針及實(shí)施計(jì)劃，并組織落實(shí)；（五）協(xié)助行長(zhǎng)主持信息科技管理委員會(huì)日常工作，督促落實(shí)信息科技管 理委員會(huì)通過(guò)的決議；（六）參與全行業(yè)務(wù)發(fā)展重大事項(xiàng)和需信息技術(shù)支撐的重要業(yè)務(wù)決策；（七）向信息科技

8、管理委員會(huì)或受行長(zhǎng)委托向董事會(huì)匯報(bào)信息科技工作， 確保信息科技管理委員會(huì)、董事會(huì)擁有充分的信息做出信息科技領(lǐng)域的重大決 策；（八）組織制定信息科技年度工作計(jì)劃及預(yù)算；（九）履行信息科技管理其他管理工作。第十四條首席信息官擬任人選應(yīng)符合高管人員任職資格基本條件。第十五條首席信息官由行長(zhǎng)提名，董事會(huì)批準(zhǔn)，按照中國(guó)銀監(jiān)會(huì)行政許可 事項(xiàng)有關(guān)規(guī)定報(bào)監(jiān)管部門(mén)任職資格許可后，由董事會(huì)任命。第十六條商業(yè)銀行應(yīng)建立與業(yè)務(wù)相適應(yīng)的信息科技部門(mén)，根據(jù)工作需要可 設(shè)立軟件開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)中心等部門(mén)，由信息科技部門(mén)統(tǒng)一協(xié)調(diào)和指導(dǎo)。商業(yè)銀行分支機(jī)構(gòu)按照職責(zé)分離的原則設(shè)置相應(yīng)的信息科技管理部門(mén)或崗位。第十七條信息科技部

9、門(mén)的主要職責(zé)是：（一）根據(jù)全行的發(fā)展戰(zhàn)略，在首席信息官領(lǐng)導(dǎo)下擬訂信息科技發(fā)展戰(zhàn)略 規(guī)劃、年度工作計(jì)劃和年度預(yù)算；（二）負(fù)責(zé)建立科技管理制度，確定科技建設(shè)標(biāo)準(zhǔn)，規(guī)范科技工作流程， 明確科技崗位職責(zé)；（三）負(fù)責(zé)科技項(xiàng)目的技術(shù)可行性審查和生命周期內(nèi)的管理和實(shí)施，合理 配置科技資源，提高項(xiàng)目質(zhì)量和效率；（四）加強(qiáng)生產(chǎn)運(yùn)行管理，提高信息系統(tǒng)運(yùn)行的穩(wěn)定性和連續(xù)性；（五）制定本行信息安全政策、安全制度和安全策略，通過(guò)嚴(yán)格內(nèi)控、加 強(qiáng)監(jiān)督等有效措施，確保本行信息科技工作規(guī)范運(yùn)行、信息資產(chǎn)安全可靠和信 息系統(tǒng)持續(xù)穩(wěn)定；（六）制定知識(shí)產(chǎn)權(quán)保護(hù)制度和策略，并組織落實(shí)；（七）負(fù)責(zé)科技隊(duì)伍建設(shè)、管理和業(yè)務(wù)考核工作；（八

10、）組織對(duì)外部技術(shù)和設(shè)備供應(yīng)商的資質(zhì)和服務(wù)品質(zhì)評(píng)審，對(duì)外包科技 人員進(jìn)行管理；（九）組織對(duì)信息科技工作進(jìn)行自我評(píng)估，并采取措施對(duì)評(píng)估發(fā)現(xiàn)的風(fēng)險(xiǎn) 隱患和薄弱環(huán)節(jié)進(jìn)行改進(jìn)；（十）配合風(fēng)險(xiǎn)管理、審計(jì)和監(jiān)管部門(mén)開(kāi)展工作，根據(jù)風(fēng)險(xiǎn)管理、審計(jì)部 門(mén)提出的風(fēng)險(xiǎn)控制建議和審計(jì)建議，制定信息科技風(fēng)險(xiǎn)防控技術(shù)方案和整改方 案，采取相應(yīng)的技術(shù)措施，將風(fēng)險(xiǎn)降至可接受范圍；（十一）其他信息科技相關(guān)工作。第十八條國(guó)有商業(yè)銀行和股份制商業(yè)銀行信息科技人員總數(shù)與員工總?cè)藬?shù) 的比例原則上不低于2.5%，城市商業(yè)銀行和其他地方法人機(jī)構(gòu)這一比例原則上 不低于3%，至少不得少于3人?？萍既藛T中負(fù)責(zé)內(nèi)控和風(fēng)險(xiǎn)防范人員原則上不 低于5%。

11、商業(yè)銀行分支機(jī)構(gòu)應(yīng)根據(jù)系統(tǒng)開(kāi)發(fā)量、網(wǎng)點(diǎn)數(shù)量增配相適應(yīng)的科技人員。第十九條信息科技人員應(yīng)當(dāng)具備相應(yīng)的專(zhuān)業(yè)從業(yè)資格：（一）具備大專(zhuān)以上學(xué)歷，掌握信息科技相關(guān)專(zhuān)業(yè)知識(shí)，熟悉銀行業(yè)信息科技 工作，對(duì)金融知識(shí)有一定的了解；（二）主要管理人員和項(xiàng)目負(fù)責(zé)人要具備銀行信息科技工作經(jīng)驗(yàn)三年以上；（三）具有勤奮、鉆研和廉潔的職業(yè)操守，且從業(yè)以來(lái)無(wú)不良記錄。第二十條商業(yè)銀行及其分支機(jī)構(gòu)應(yīng)在信息科技部門(mén)之外指定一個(gè)部門(mén)負(fù)責(zé) 信息科技風(fēng)險(xiǎn)管理工作，主要職責(zé)是：（一）將信息科技風(fēng)險(xiǎn)納入全行風(fēng)險(xiǎn)管理范圍內(nèi)，負(fù)責(zé)組織制定信息科技風(fēng)險(xiǎn)管理總體規(guī)劃；（二）審查各個(gè)部門(mén)和各個(gè)環(huán)節(jié)的信息科技風(fēng)險(xiǎn)管理制度和控制流程，評(píng)價(jià)制度的執(zhí)行情況

12、；（三）識(shí)別、評(píng)估和檢查重要部門(mén)和重點(diǎn)環(huán)節(jié)的信息科技風(fēng)險(xiǎn)狀況；（四）對(duì)重要科技項(xiàng)目的各個(gè)階段進(jìn)行科技風(fēng)險(xiǎn)評(píng)審；（五）負(fù)責(zé)本行業(yè)務(wù)連續(xù)性和應(yīng)急管理組織工作，定期組織相關(guān)部門(mén)進(jìn)行業(yè)務(wù)影響性分析和應(yīng)急演練，并對(duì)應(yīng)急預(yù)案進(jìn)行完善；（六）對(duì)全行員工進(jìn)行持續(xù)的信息科技風(fēng)險(xiǎn)教育；（七）依據(jù)有關(guān)法律法規(guī)的要求，及時(shí)披露信息科技風(fēng)險(xiǎn)狀況。第二十一條信息科技風(fēng)險(xiǎn)管理人員數(shù)量原則上按照科技人員數(shù)量的3%配 備，至少不得少于2人。第二十二條 信息科技風(fēng)險(xiǎn)管理人員應(yīng)當(dāng)具備相應(yīng)的專(zhuān)業(yè)從業(yè)資格：（一）信息科技風(fēng)險(xiǎn)管理人員應(yīng)具備大專(zhuān)以上學(xué)歷，掌握信息科技相關(guān)專(zhuān)業(yè)知 識(shí)，熟悉金融相關(guān)法律、法規(guī)和金融風(fēng)險(xiǎn)管理制度；（二）具備兩年

13、以上金融信息科技工作從業(yè)經(jīng)驗(yàn)，風(fēng)險(xiǎn)管理項(xiàng)目負(fù)責(zé)人應(yīng) 同時(shí)具備從事風(fēng)險(xiǎn)管理工作兩年以上；（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來(lái)無(wú)不良記錄。第二十三條 商業(yè)銀行及其分支機(jī)構(gòu)應(yīng)在內(nèi)部審計(jì)部門(mén)設(shè)立負(fù)責(zé)信息科技風(fēng) 險(xiǎn)審計(jì)的部門(mén)或崗位。其主要職責(zé)是：（一）制定信息科技審計(jì)制度、標(biāo)準(zhǔn)、計(jì)劃；（二）實(shí)施信息科技審計(jì)計(jì)劃，檢查信息科技內(nèi)控機(jī)制和應(yīng)用控制的有效 性；（三）根據(jù)信息科技工作需要，對(duì)特殊事項(xiàng)進(jìn)行專(zhuān)項(xiàng)審計(jì)；（四）負(fù)責(zé)信息科技外部審計(jì)相關(guān)事宜；（五）根據(jù)內(nèi)外部審計(jì)結(jié)果，對(duì)信息科技工作中的問(wèn)題提出整改意見(jiàn)，并 督促落實(shí)。第二十四條信息科技風(fēng)險(xiǎn)審計(jì)人員數(shù)量原則上按照科技人員數(shù)量的5%配 備，至少不得

14、少于2人。第二十五條 信息科技風(fēng)險(xiǎn)審計(jì)人員應(yīng)當(dāng)具備相應(yīng)的專(zhuān)業(yè)從業(yè)資格：（一）信息科技風(fēng)險(xiǎn)審計(jì)人員應(yīng)具備大專(zhuān)以上學(xué)歷，掌握信息科技相關(guān)專(zhuān)業(yè)知 識(shí)，熟悉金融相關(guān)法律、法規(guī)和金融內(nèi)部控制制度。（二）具備兩年以上金融信息科技工作從業(yè)經(jīng)驗(yàn)，審計(jì)項(xiàng)目負(fù)責(zé)人應(yīng)同時(shí) 具備從事審計(jì)工作兩年以上。（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來(lái)無(wú)不良記錄。第二十六條商業(yè)銀行及其分支機(jī)構(gòu)應(yīng)對(duì)各業(yè)務(wù)部門(mén)的信息科技管理職責(zé)進(jìn) 行明確界定，包括但不限于以下內(nèi)容：（一）根據(jù)業(yè)務(wù)發(fā)展計(jì)劃，提出系統(tǒng)需求計(jì)劃，并與信息科技部門(mén)進(jìn)行溝通；（二）按標(biāo)準(zhǔn)的業(yè)務(wù)需求范式編制業(yè)務(wù)需求；（三）負(fù)責(zé)本部門(mén)申請(qǐng)的科技項(xiàng)目的測(cè)試和驗(yàn)收；（四）建立

15、相關(guān)制度和流程，加強(qiáng)對(duì)信息系統(tǒng)使用管理，嚴(yán)格用戶(hù)權(quán)限和 密碼管理，加強(qiáng)對(duì)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)控制；（五）加強(qiáng)本部門(mén)員工教育，督促本部門(mén)員工遵守信息科技相關(guān)制度和操 作規(guī)程。第三章規(guī)劃與架構(gòu)第二十七條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃，制定本行信息科技戰(zhàn)略規(guī) 劃，明確本行信息科技發(fā)展方向，指導(dǎo)本行信息科技工作。第二十八條信息科技發(fā)展戰(zhàn)略規(guī)劃應(yīng)包含以下內(nèi)容：（一）信息科技發(fā)展戰(zhàn)略規(guī)劃與業(yè)務(wù)發(fā)展戰(zhàn)略規(guī)劃的銜接關(guān)系；（二）信息科技發(fā)展戰(zhàn)略規(guī)劃的主要內(nèi)容和具體措施；（三）確保信息科技發(fā)展戰(zhàn)略規(guī)劃得到落實(shí)的具體工作安排和責(zé)任落實(shí)；（四）信息科技發(fā)展戰(zhàn)略規(guī)劃實(shí)施的評(píng)估、評(píng)價(jià)機(jī)制與完善措施；（五）其他與信息科技發(fā)展規(guī)

16、劃相關(guān)內(nèi)容。第二十九條商業(yè)銀行應(yīng)根據(jù)信息科技戰(zhàn)略規(guī)劃制定完整、清晰的技術(shù)架構(gòu)， 明確信息技術(shù)建設(shè)和運(yùn)用的基本思路，要通過(guò)數(shù)據(jù)、流程、技術(shù)的標(biāo)準(zhǔn)化和一 體化工作，規(guī)范數(shù)據(jù)格式、系統(tǒng)平臺(tái)、基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用，科學(xué)規(guī)劃數(shù)據(jù)架 構(gòu)、應(yīng)用架構(gòu)、基礎(chǔ)架構(gòu)和安全框架。第三十條商業(yè)銀行應(yīng)建立技術(shù)架構(gòu)管理制度，落實(shí)技術(shù)架構(gòu)管理職責(zé)，明 確技術(shù)架構(gòu)制訂、完善和實(shí)施流程，加強(qiáng)對(duì)技術(shù)架構(gòu)的管理。第三十一條 數(shù)據(jù)是商業(yè)銀行信息系統(tǒng)管理的重要資源，應(yīng)建立統(tǒng)一、規(guī)范 的數(shù)據(jù)架構(gòu)，通過(guò)有效的數(shù)據(jù)架構(gòu)管理，準(zhǔn)確、及時(shí)反映業(yè)務(wù)架構(gòu)的本質(zhì)。第三十二條 數(shù)據(jù)架構(gòu)的設(shè)計(jì)，至少應(yīng)達(dá)到以下要求：（一）數(shù)據(jù)架構(gòu)設(shè)計(jì)應(yīng)科學(xué)合理，匹配和適應(yīng)銀行

17、自身業(yè)務(wù)發(fā)展規(guī)劃的要 求；（二）建立數(shù)據(jù)標(biāo)準(zhǔn)化制度，為每一個(gè)數(shù)據(jù)元素提供唯一的定義和特征集;（三）業(yè)務(wù)運(yùn)作狀況要通過(guò)銀行信息系統(tǒng)中的數(shù)據(jù)真實(shí)、準(zhǔn)確、及時(shí)地反 映出來(lái)的；（四）業(yè)務(wù)數(shù)據(jù)要體現(xiàn)安全、可用、有效共享和唯一加工點(diǎn)的要求，關(guān)鍵 業(yè)務(wù)數(shù)據(jù)要集中處理；（五）保障數(shù)據(jù)信息的安全、保密，防止內(nèi)外部攻擊；（六）避免和減少不必要的數(shù)據(jù)冗余；（七）綜合考慮數(shù)據(jù)存儲(chǔ)量、數(shù)據(jù)增長(zhǎng)速度和存儲(chǔ)技術(shù)，做好數(shù)據(jù)存儲(chǔ)和 備份工作；（八）對(duì)信息的使用特別是與銀行以外的第三方機(jī)構(gòu)的數(shù)據(jù)交流和共享要 有嚴(yán)格的授權(quán)管理；（九）境內(nèi)客戶(hù)信息及所有交易記錄存放在中國(guó)境內(nèi)，未經(jīng)授權(quán)不得向境 外機(jī)構(gòu)提供。第三十三條 商業(yè)銀行應(yīng)制定

18、明確的應(yīng)用架構(gòu)，以適應(yīng)業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)管理 的要求，清晰地反映各類(lèi)業(yè)務(wù)的處理流程，滿(mǎn)足業(yè)務(wù)風(fēng)險(xiǎn)控制和安全經(jīng)營(yíng)的需 要。第三十四條 應(yīng)用架構(gòu)設(shè)計(jì)，至少應(yīng)達(dá)到以下要求：（一）商業(yè)銀行應(yīng)建立統(tǒng)一的應(yīng)用架構(gòu)，規(guī)范本行應(yīng)用系統(tǒng)開(kāi)發(fā)、推廣和 使用等系統(tǒng)生命周期管理；（二）信息系統(tǒng)建設(shè)應(yīng)適應(yīng)業(yè)務(wù)和管理發(fā)展的要求，具備良好的可擴(kuò)展性 和靈活性；（三）采取措施保證應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行，滿(mǎn)足業(yè)務(wù)控制的需要；（四）關(guān)鍵信息系統(tǒng)應(yīng)采用集中管理模式，不斷提升信息系統(tǒng)的集約化管 理水平；（五）信息系統(tǒng)必須滿(mǎn)足統(tǒng)一身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)、數(shù)據(jù)安全、 交易安全、軟件容錯(cuò)、資源控制、性能容量控制等方面的安全規(guī)范要求；（六）

19、商業(yè)銀行要擁有對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)開(kāi)發(fā)、管理和運(yùn)行維護(hù)的主導(dǎo)權(quán)， 擁有主要業(yè)務(wù)系統(tǒng)、系統(tǒng)數(shù)據(jù)和系統(tǒng)關(guān)鍵設(shè)備的所有權(quán)；（七）處理客戶(hù)信息和交易記錄的系統(tǒng)在中國(guó)境內(nèi)獨(dú)立運(yùn)行，由國(guó)內(nèi)機(jī)構(gòu) 全權(quán)管理和維護(hù)。第三十五條 基礎(chǔ)架構(gòu)是保證數(shù)據(jù)架構(gòu)和應(yīng)用架構(gòu)得以實(shí)施的重要手段，商 業(yè)銀行應(yīng)明確建立包括基礎(chǔ)設(shè)施、支持平臺(tái)和系統(tǒng)開(kāi)發(fā)在內(nèi)的基礎(chǔ)架構(gòu)。第三十六條 基礎(chǔ)架構(gòu)設(shè)計(jì)，至少應(yīng)達(dá)到以下要求：（一）基礎(chǔ)架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)，必須做到統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)和科學(xué)布局， 具備安全、可靠、靈活和經(jīng)濟(jì)的特點(diǎn)，滿(mǎn)足業(yè)務(wù)增長(zhǎng)和創(chuàng)新的需要；（二）基礎(chǔ)設(shè)施和與之相整合的服務(wù)不僅要保證現(xiàn)有應(yīng)用系統(tǒng)安全、持續(xù)、 穩(wěn)健運(yùn)行，也能為本行迅速采用新的業(yè)

20、務(wù)應(yīng)用系統(tǒng)提供具有成本效益的服務(wù)；（三）定期或有重大變化時(shí)對(duì)基礎(chǔ)架構(gòu)進(jìn)行評(píng)估，保證基礎(chǔ)架構(gòu)的適應(yīng)性 和合理性；（四）應(yīng)按照有關(guān)規(guī)定，依據(jù)資產(chǎn)規(guī)模和經(jīng)營(yíng)范圍決定建立全國(guó)性、區(qū)域性 或地方性數(shù)據(jù)處理中心和災(zāi)難備份中心，實(shí)施主要系統(tǒng)和數(shù)據(jù)分等級(jí)災(zāi)備，提 高業(yè)務(wù)連續(xù)運(yùn)作和抵御風(fēng)險(xiǎn)能力；（五）要根據(jù)系統(tǒng)等級(jí)和業(yè)務(wù)經(jīng)營(yíng)范圍，明確計(jì)算機(jī)機(jī)房建設(shè)標(biāo)準(zhǔn)，所建計(jì) 算機(jī)機(jī)房要符合國(guó)家和行業(yè)有關(guān)標(biāo)準(zhǔn)；（六）網(wǎng)絡(luò)建設(shè)要采用成熟技術(shù)，具有安全、靈活、經(jīng)濟(jì)和易管理等特征，主要網(wǎng)絡(luò)接入要有必要的備份和帶寬冗余；（七）主要硬件設(shè)備，應(yīng)與本行業(yè)務(wù)發(fā)展規(guī)劃相適應(yīng)，滿(mǎn)足未來(lái)一定時(shí)期 內(nèi)業(yè)務(wù)量增長(zhǎng)的需求，符合高可用性和高擴(kuò)展性原則；（

21、八）在基礎(chǔ)架構(gòu)中要充分考慮在銀行機(jī)構(gòu)與客戶(hù)的接觸點(diǎn)和渠道方面對(duì) 客戶(hù)信息的保護(hù)，確保相關(guān)信息系統(tǒng)安全、可靠運(yùn)行；（九）存放客戶(hù)信息、交易記錄和相關(guān)信息系統(tǒng)的設(shè)備存放中國(guó)境內(nèi)，由 境內(nèi)機(jī)構(gòu)和人員全權(quán)管理和維護(hù)。第三十七條 商業(yè)銀行要從安全角度審查本行技術(shù)架構(gòu)，建立統(tǒng)一、高效、 符合本行信息系統(tǒng)發(fā)展水平的信息安全架構(gòu)，為系統(tǒng)架構(gòu)提供所需要的安全服 務(wù)，為安全設(shè)施部署提供依據(jù)。第三十八條 安全架構(gòu)設(shè)計(jì)應(yīng)該以風(fēng)險(xiǎn)為導(dǎo)向，與本行的安全策略相吻合， 通過(guò)建立安全組織、安全方針、安全制度和安全策略降低整個(gè)企業(yè)的信息技術(shù) 風(fēng)險(xiǎn)。第三十九條安全架構(gòu)的設(shè)計(jì)和建立使得信息科技安全工作至少達(dá)到以下要 求：（一）客戶(hù)信

22、息和銀行業(yè)務(wù)數(shù)據(jù)在處理、保存、傳輸和使用整個(gè)過(guò)程中安 全、可靠和完整；（二）信息系統(tǒng)所涉及物理環(huán)境、核心設(shè)備和關(guān)鍵基礎(chǔ)平臺(tái)安全有效；（三）關(guān)鍵網(wǎng)絡(luò)系統(tǒng)安全、高效、可靠；（四）采用多種技術(shù)措施，使本行信息和系統(tǒng)具備抵御外部威脅和干擾能 力；（五）確保內(nèi)部信息不被泄露；（六）確保安全因素在系統(tǒng)設(shè)計(jì)和建設(shè)的每個(gè)階段都被詳細(xì)考慮；（七）消除整體安全架構(gòu)中的單個(gè)故障點(diǎn)。第四章工作機(jī)制第四十條商業(yè)銀行應(yīng)建立科學(xué)、高效的信息科技運(yùn)行管理制度，規(guī)范信息科技管理、風(fēng)險(xiǎn)防范和審計(jì)工作運(yùn)行機(jī)制，提高信息科技工作效率和風(fēng)險(xiǎn)防范 水平。第四十一條 商業(yè)銀行信息科技運(yùn)行管理制度應(yīng)理順以下單位和部門(mén)之間運(yùn) 行機(jī)制和辦事流程

23、：（一）科技部門(mén)、風(fēng)險(xiǎn)管理部門(mén)、審計(jì)部門(mén)和主要業(yè)務(wù)部門(mén)之間的管理運(yùn)行機(jī) 制和辦事流程；（二）信息科技內(nèi)部管理、開(kāi)發(fā)、運(yùn)維等內(nèi)設(shè)部門(mén)和崗位運(yùn)行機(jī)制和辦事 流程；（三）總行及其分支機(jī)構(gòu)在信息科技管理、風(fēng)險(xiǎn)防范和審計(jì)工作中的運(yùn)行 機(jī)制和辦事流程。第四十二條 商業(yè)銀行應(yīng)加強(qiáng)上級(jí)行對(duì)下級(jí)行信息科技管理、風(fēng)險(xiǎn)防范和審 計(jì)工作的管理、協(xié)調(diào)和指導(dǎo)工作。第四十三條 商業(yè)銀行應(yīng)建立清晰、有效的信息科技決策管理制度，明確信 息科技決策內(nèi)容和相關(guān)領(lǐng)導(dǎo)、部門(mén)在信息科技決策中的角色和職責(zé)。第四十四條 商業(yè)銀行信息科技決策管理制度應(yīng)至少涵蓋以下內(nèi)容：（一）信息科技發(fā)展戰(zhàn)略規(guī)劃、技術(shù)架構(gòu)和信息科技年度工作計(jì)劃制定、審閱和審批

24、決策流程；（二）信息科技項(xiàng)目管理流程及業(yè)務(wù)、科技、風(fēng)險(xiǎn)管理和審計(jì)等部門(mén)在項(xiàng) 目決策中的職責(zé)、分工和路徑；（三）科技建設(shè)經(jīng)費(fèi)審批流程；（四）信息安全管理流程及相關(guān)部門(mén)職責(zé)；（五）重大事項(xiàng)和突發(fā)事件管理和處置決策流程；（六）信息科技資源配置決策流程。第四十五條 商業(yè)銀行應(yīng)建立規(guī)范、高效的信息科技服務(wù)運(yùn)行機(jī)制，明確服 務(wù)內(nèi)容、方式，確?？萍疾块T(mén)與業(yè)務(wù)部門(mén)之間、上級(jí)行與下級(jí)行之間有明晰的 科技服務(wù)流程，不斷提高信息科技服務(wù)水平。第四十六條 商業(yè)銀行應(yīng)建立信息科技服務(wù)外包機(jī)制，明確信息科技外包范 圍、內(nèi)容、方式，加強(qiáng)外包過(guò)程中外包單位評(píng)估和引進(jìn)工作，規(guī)范對(duì)外包單位 的管理。第四十七條 商業(yè)銀行應(yīng)建立全面

25、、有效的信息科技風(fēng)險(xiǎn)管理制度，確保信 息科技平穩(wěn)、安全、高效運(yùn)行。第四十八條 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理制度應(yīng)至少涵蓋以下內(nèi)容：（一）建立信息技術(shù)業(yè)務(wù)連續(xù)性保障機(jī)制。風(fēng)險(xiǎn)管理部門(mén)組織信息科技部 門(mén)和相關(guān)業(yè)務(wù)部門(mén)開(kāi)展業(yè)務(wù)影響性分析，制定業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急預(yù)案，定 期組織演練，并對(duì)演練效果進(jìn)行后評(píng)價(jià)，及時(shí)修改和完善業(yè)務(wù)連續(xù)計(jì)劃和應(yīng)急 預(yù)案；（二）建立信息科技安全運(yùn)行保障機(jī)制。風(fēng)險(xiǎn)管理部門(mén)應(yīng)督促科技部門(mén)和 業(yè)務(wù)部門(mén)制定重要信息系統(tǒng)操作管理規(guī)范，并督促執(zhí)行；（三）建立信息科技風(fēng)險(xiǎn)評(píng)估預(yù)警機(jī)制。制定合理的預(yù)警指標(biāo)體系，建立 監(jiān)控系統(tǒng)，完善預(yù)警程序和措施；（四）建立信息科技重大事項(xiàng)處理機(jī)制。重大事項(xiàng)經(jīng)首席信息官批準(zhǔn)后， 信息科技部門(mén)按有關(guān)規(guī)定報(bào)監(jiān)管部門(mén)，并組織實(shí)施；（五）建立明晰的信息科技突發(fā)事件應(yīng)急處置機(jī)制。按銀監(jiān)會(huì)銀行業(yè)重 要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范的規(guī)定，做好突發(fā)事件處置工作。第四十九條 商業(yè)銀行應(yīng)建立信息科技審計(jì)制度明確審計(jì)范圍和審計(jì)內(nèi)容, 定期對(duì)信息科技工作開(kāi)展內(nèi)部審計(jì)，每個(gè)機(jī)構(gòu)的審計(jì)間隔期不得超過(guò)三年。上市銀行應(yīng)按有關(guān)規(guī)定組織開(kāi)展信息科技外