商业银行信息科技治理建设指导意见
(讨论稿)
第一章 总则
第一条 为规范商业银行信息科技治理,提高信息科技工作
效率和风险管理水平,确保信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》,以及其他相关法律、法规,制定本指导意见(以下简称意见)。
第二条 信息科技治理是商业银行公司治理的重要组成部
分,是商业银行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织结构、技术架构、运行机制和激励约束等。
第三条 商业银行信息科技治理的目标是健全信息科技治理
组织结构和技术架构,明确决策和管理职责,优化资源配臵,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强商业银行核心竞争力和可持续发展能力。
第四条 本意见适用于在中华人民共和国境内依法设立的商
业银行,包括国有商业银行、股份制商业银行、城市商业银行和外资银行。
1
由中国银行业监督管理委员会(以下简称中国银监会)监督管理的其他金融机构参照执行。
第二章 组织结构
第五条 董事会是商业银行最高决策组织,在信息科技治理
中履行以下职责:
(一)审查批准本行信息科技治理结构,定期听取高级管理层关于信息科技工作汇报并予以评价;
(二)审查批准信息科技战略规划,确保与银行总体业务发展战略规划和重大策略相一致;
(三)审查批准信息科技方面的重大项目和投资。 为确保有效履行上述职责,董事会主要成员应对本行信息科技主要活动有所了解。
第六条 监事会是商业银行监督机构,在信息科技治理中应
履行以下职责:
(一)对董事会、高级管理层履行信息科技职责的行为进行监督;
(二)对银行信息科技规划、决策、风险管理和内部控制等进行监督;
(三)对没有正确履行信息科技职责的高级管理人员,提出处罚建议。
2
第七条 董事长是商业银行法定代表,在信息科技治理中履
行以下职责:
(一)承担本机构信息科技风险管理的最终责任; (二)召集、主持有关信息科技管理、风险防范和审计的董事会会议;
(三)督促、检查董事会制定的信息科技工作决议执行情况; (四)落实其他应由董事长承担的信息科技工作。
第八条 行长依照董事会授权,领导信息科技工作,在信息
科技治理中履行以下职责:
(一)确保信息科技所需资源投入,统筹信息科技重大项目建设;
(二)提请董事会聘任或者解聘首席信息官。授权首席信息官、相关职能部门从事信息科技管理活动,协调解决信息科技工作中的重大问题;
(三)领导、组织、协调信息科技管理委员会工作; (四)在商业银行发生信息科技重大突发事件时,采取紧急措施,并向监管部门报告;
(五)负责其他信息科技工作的领导职责。
第九条 商业银行应设立由行长担任主任,首席信息官担任
副主任的信息科技管理委员会,其成员应包括科技、风险、主要业务部门和相关综合部门负责人,必要时可聘请外部专业人士担任委员或顾问。信息科技管理委员会下设办事机构,办事机挂靠
3
信息科技部门或单独设立。
商业银行分支机构可参照总行设立相应组织。
第十条 信息科技管理委员会组成人员由行长和首席信息官
提出具体人选,由管理层集体研究决定成立,相关材料报监管部门备案。
第十一条 信息科技管理委员会成员需掌握信息科技政策和
流程基本知识,并能够在其负责的领域进行决策。信息科技管理委员会职责包括但不限于:
(一)审议信息科技发展战略规划并提交董事会审批,确保信息科技发展规划和业务发展规划保持一致;
(二)审查批准信息科技建设指导原则、技术架构和主要信息科技工作制度;
(三)审议信息科技年度工作计划及预算;
(四)审议重大科技项目的立项、预算和实施,并确定重大项目的优先级;
(五)审查批准重大信息科技运营、安全、业务连续性、应急管理相关事项;
(六)审查批准信息科技职业道德行为规范和全体人员信息科技教育事项;
(七)检查所拟订和审议事项的落实和执行情况,组织对信息科技重大事项结果进行评估;
(八)审阅并向中国银监会及其派出机构报送信息科技风险
4
管理的年度报告;
(九)审查其他有关信息科技工作的重大事项。
第十二条 商业银行要制定信息科技管理委员会的章程和工
作制度,明确信息科技管理委员会的具体职责、议事规则和办事流程,规范管理。信息科技管理委员会每半年至少召开一次工作会议,有重大事项时要及时召开会。议审计部门负责人应列席信息科技管理委员会会议并发表独立意见。
第十三条 商业银行设立首席信息官,在行长领导下开展工作,
其职责包括:
(一)组织制定信息科技发展战略规划,确保符合银行总体业务发展战略和风险管理策略;
(二)组织制定科技建设指导原则、技术架构和信息科技运行管理机制,确保制定的科技建设指导原则清晰、准确,技术架构科学、合理,信息科技运行机制全面、高效;
(三)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构;
(四)组织制定信息安全目标、策略、方针及实施计划,并组织落实;
(五)协助行长主持信息科技管理委员会日常工作,督促落实信息科技管理委员会通过的决议;
(六)参与全行业务发展重大事项和需信息技术支撑的重要业务决策;
5
(七)向信息科技管理委员会或受行长委托向董事会汇报信息科技工作,确保信息科技管理委员会、董事会拥有充分的信息做出信息科技领域的重大决策;
(八)组织制定信息科技年度工作计划及预算; (九)履行信息科技管理其他管理工作。
第十四条 首席信息官拟任人选应符合高管人员任职资格基
本条件。
第十五条 首席信息官由行长提名,董事会批准,按照中国银
监会行政许可事项有关规定报监管部门任职资格许可后,由董事会任命。
第十六条 商业银行应建立与业务相适应的信息科技部门,根
据工作需要可设立软件开发、运行维护和数据中心等部门,由信息科技部门统一协调和指导。
商业银行分支机构按照职责分离的原则设臵相应的信息科技管理部门或岗位。
第十七条 信息科技部门的主要职责是:
(一)根据全行的发展战略,在首席信息官领导下拟订信息科技发展战略规划、年度工作计划和年度预算;
(二)负责建立科技管理制度,确定科技建设标准,规范科技工作流程,明确科技岗位职责;
(三)负责科技项目的技术可行性审查和生命周期内的管理和实施,合理配臵科技资源,提高项目质量和效率;
6
(四)加强生产运行管理,提高信息系统运行的稳定性和连续性;
(五)制定本行信息安全政策、安全制度和安全策略,通过严格内控、加强监督等有效措施,确保本行信息科技工作规范运行、信息资产安全可靠和信息系统持续稳定;
(六)制定知识产权保护制度和策略,并组织落实; (七)负责科技队伍建设、管理和业务考核工作; (八)组织对外部技术和设备供应商的资质和服务品质评审,对外包科技人员进行管理;
(九)组织对信息科技工作进行自我评估,并采取措施对评估发现的风险隐患和薄弱环节进行改进;
(十)配合风险管理、审计和监管部门开展工作,根据风险管理、审计部门提出的风险控制建议和审计建议,制定信息科技风险防控技术方案和整改方案,采取相应的技术措施,将风险降至可接受范围;
(十一)其他信息科技相关工作。
第十八条 国有商业银行和股份制商业银行信息科技人员总
数与员工总人数的比例原则上不低于2.5%,城市商业银行和其他地方法人机构这一比例原则上不低于3%,至少不得少于3人。科技人员中负责内控和风险防范人员原则上不低于5%。
商业银行分支机构应根据系统开发量、网点数量增配相适应的科技人员。
7
第十九条 信息科技人员应当具备相应的专业从业资格:
(一)具备大专以上学历,掌握信息科技相关专业知识,熟悉银行业信息科技工作,对金融知识有一定的了解;
(二)主要管理人员和项目负责人要具备银行信息科技工作经验三年以上;
(三)具有勤奋、钻研和廉洁的职业操守,且从业以来无不良记录。
第二十条 商业银行及其分支机构应在信息科技部门之外指
定一个部门负责信息科技风险管理工作,主要职责是:
(一)将信息科技风险纳入全行风险管理范围内,负责组织制定信息科技风险管理总体规划;
(二)审查各个部门和各个环节的信息科技风险管理制度和控制流程,评价制度的执行情况;
(三)识别、评估和检查重要部门和重点环节的信息科技风险状况;
(四)对重要科技项目的各个阶段进行科技风险评审; (五)负责本行业务连续性和应急管理组织工作,定期组织相关部门进行业务影响性分析和应急演练,并对应急预案进行完善;
(六)对全行员工进行持续的信息科技风险教育; (七)依据有关法律法规的要求,及时披露信息科技风险状况。
8
第二十一条 信息科技风险管理人员数量原则上按照科技人
员数量的3%配备,至少不得少于2人。
第二十二条 信息科技风险管理人员应当具备相应的专业从
业资格:
(一)信息科技风险管理人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融风险管理制度;
(二)具备两年以上金融信息科技工作从业经验,风险管理项目负责人应同时具备从事风险管理工作两年以上;
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十三条 商业银行及其分支机构应在内部审计部门设立
负责信息科技风险审计的部门或岗位。其主要职责是:
(一)制定信息科技审计制度、标准、计划;
(二)实施信息科技审计计划,检查信息科技内控机制和应用控制的有效性;
(三)根据信息科技工作需要,对特殊事项进行专项审计; (四)负责信息科技外部审计相关事宜;
(五)根据内外部审计结果,对信息科技工作中的问题提出整改意见,并督促落实。
第二十四条 信息科技风险审计人员数量原则上按照科技人
员数量的5%配备,至少不得少于2人。
9
第二十五条 信息科技风险审计人员应当具备相应的专业从
业资格:
(一)信息科技风险审计人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融内部控制制度。
(二)具备两年以上金融信息科技工作从业经验,审计项目负责人应同时具备从事审计工作两年以上。
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十六条 商业银行及其分支机构应对各业务部门的信息
科技管理职责进行明确界定,包括但不限于以下内容:
(一)根据业务发展计划,提出系统需求计划,并与信息科技部门进行沟通;
(二)按标准的业务需求范式编制业务需求; (三)负责本部门申请的科技项目的测试和验收; (四)建立相关制度和流程,加强对信息系统使用管理,严格用户权限和密码管理,加强对应用系统的访问控制;
(五)加强本部门员工教育,督促本部门员工遵守信息科技相关制度和操作规程。
第三章 规划与架构
10
第二十七条 商业银行应根据业务发展战略规划,制定本行信
息科技战略规划,明确本行信息科技发展方向,指导本行信息科技工作。
第二十八条 信息科技发展战略规划应包含以下内容:
(一)信息科技发展战略规划与业务发展战略规划的衔接关系;
(二)信息科技发展战略规划的主要内容和具体措施; (三)确保信息科技发展战略规划得到落实的具体工作安排和责任落实;
(四)信息科技发展战略规划实施的评估、评价机制与完善措施;
(五)其他与信息科技发展规划相关内容。
第二十九条 商业银行应根据信息科技战略规划制定完整、清
晰的技术架构,明确信息技术建设和运用的基本思路,要通过数据、流程、技术的标准化和一体化工作,规范数据格式、系统平台、基础设施和业务应用,科学规划数据架构、应用架构、基础架构和安全框架。
第三十条 商业银行应建立技术架构管理制度,落实技术架构
管理职责,明确技术架构制订、完善和实施流程,加强对技术架构的管理。
第三十一条 数据是商业银行信息系统管理的重要资源,应建
立统一、规范的数据架构,通过有效的数据架构管理,准确、及
11
时反映业务架构的本质。
第三十二条 数据架构的设计,至少应达到以下要求:
(一)数据架构设计应科学合理,匹配和适应银行自身业务发展规划的要求;
(二)建立数据标准化制度,为每一个数据元素提供唯一的定义和特征集;
(三)业务运作状况要通过银行信息系统中的数据真实、准确、及时地反映出来的;
(四)业务数据要体现安全、可用、有效共享和唯一加工点的要求,关键业务数据要集中处理;
(五)保障数据信息的安全、保密,防止内外部攻击; (六)避免和减少不必要的数据冗余;
(七)综合考虑数据存储量、数据增长速度和存储技术,做好数据存储和备份工作;
(八)对信息的使用特别是与银行以外的第三方机构的数据交流和共享要有严格的授权管理;
(九)境内客户信息及所有交易记录存放在中国境内,未经授权不得向境外机构提供。
第三十三条 商业银行应制定明确的应用架构,以适应业务发
展和风险管理的要求,清晰地反映各类业务的处理流程,满足业务风险控制和安全经营的需要。
第三十四条 应用架构设计,至少应达到以下要求:
12
(一)商业银行应建立统一的应用架构,规范本行应用系统开发、推广和使用等系统生命周期管理;
(二)信息系统建设应适应业务和管理发展的要求,具备良好的可扩展性和灵活性;
(三)采取措施保证应用系统安全稳定运行,满足业务控制的需要;
(四)关键信息系统应采用集中管理模式,不断提升信息系统的集约化管理水平;
(五)信息系统必须满足统一身份鉴别、访问控制、安全审计、数据安全、交易安全、软件容错、资源控制、性能容量控制等方面的安全规范要求;
(六)商业银行要拥有对关键业务系统开发、管理和运行维护的主导权,拥有主要业务系统、系统数据和系统关键设备的所有权;
(七)处理客户信息和交易记录的系统在中国境内独立运行,由国内机构全权管理和维护。
第三十五条 基础架构是保证数据架构和应用架构得以实施
的重要手段,商业银行应明确建立包括基础设施、支持平台和系统开发在内的基础架构。
第三十六条 基础架构设计,至少应达到以下要求:
(一)基础架构的设计和实现,必须做到统一规划、统一标准和科学布局,具备安全、可靠、灵活和经济的特点,满足业务
13
增长和创新的需要;
(二)基础设施和与之相整合的服务不仅要保证现有应用系统安全、持续、稳健运行,也能为本行迅速采用新的业务应用系统提供具有成本效益的服务;
(三)定期或有重大变化时对基础架构进行评估,保证基础架构的适应性和合理性;
(四)应按照有关规定,依据资产规模和经营范围决定建立全国性、区域性或地方性数据处理中心和灾难备份中心,实施主要系统和数据分等级灾备,提高业务连续运作和抵御风险能力;
(五)要根据系统等级和业务经营范围,明确计算机机房建设标准,所建计算机机房要符合国家和行业有关标准;
(六)网络建设要采用成熟技术,具有安全、灵活、经济和易管理等特征,主要网络接入要有必要的备份和带宽冗余;
(七)主要硬件设备,应与本行业务发展规划相适应,满足未来一定时期内业务量增长的需求,符合高可用性和高扩展性原则;
(八)在基础架构中要充分考虑在银行机构与客户的接触点和渠道方面对客户信息的保护,确保相关信息系统安全、可靠运行;
(九)存放客户信息、交易记录和相关信息系统的设备存放中国境内,由境内机构和人员全权管理和维护。
第三十七条 商业银行要从安全角度审查本行技术架构,建立
14
统一、高效、符合本行信息系统发展水平的信息安全架构,为系统架构提供所需要的安全服务,为安全设施部署提供依据。
第三十八条 安全架构设计应该以风险为导向,与本行的安全
策略相吻合,通过建立安全组织、安全方针、安全制度和安全策略降低整个企业的信息技术风险。
第三十九条 安全架构的设计和建立使得信息科技安全工作
至少达到以下要求:
(一)客户信息和银行业务数据在处理、保存、传输和使用整个过程中安全、可靠和完整;
(二)信息系统所涉及物理环境、核心设备和关键基础平台安全有效;
(三)关键网络系统安全、高效、可靠;
(四)采用多种技术措施,使本行信息和系统具备抵御外部威胁和干扰能力;
(五)确保内部信息不被泄露;
(六)确保安全因素在系统设计和建设的每个阶段都被详细考虑;
(七)消除整体安全架构中的单个故障点。
第四章 工作机制
第四十条 商业银行应建立科学、高效的信息科技运行管理制
15
度,规范信息科技管理、风险防范和审计工作运行机制,提高信息科技工作效率和风险防范水平。
第四十一条 商业银行信息科技运行管理制度应理顺以下单
位和部门之间运行机制和办事流程:
(一)科技部门、风险管理部门、审计部门和主要业务部门之间的管理运行机制和办事流程;
(二)信息科技内部管理、开发、运维等内设部门和岗位运行机制和办事流程;
(三)总行及其分支机构在信息科技管理、风险防范和审计工作中的运行机制和办事流程。
第四十二条 商业银行应加强上级行对下级行信息科技管理、
风险防范和审计工作的管理、协调和指导工作。
第四十三条 商业银行应建立清晰、有效的信息科技决策管理
制度,明确信息科技决策内容和相关领导、部门在信息科技决策中的角色和职责。
第四十四条 商业银行信息科技决策管理制度应至少涵盖以
下内容:
(一)信息科技发展战略规划、技术架构和信息科技年度工作计划制定、审阅和审批决策流程;
(二)信息科技项目管理流程及业务、科技、风险管理和审计等部门在项目决策中的职责、分工和路径;
(三)科技建设经费审批流程;
16
(四)信息安全管理流程及相关部门职责; (五)重大事项和突发事件管理和处臵决策流程; (六)信息科技资源配臵决策流程。
第四十五条 商业银行应建立规范、高效的信息科技服务运
行机制,明确服务内容、方式,确保科技部门与业务部门之间、上级行与下级行之间有明晰的科技服务流程,不断提高信息科技服务水平。
第四十六条 商业银行应建立信息科技服务外包机制,明确信
息科技外包范围、内容、方式,加强外包过程中外包单位评估和引进工作,规范对外包单位的管理。
第四十七条 商业银行应建立全面、有效的信息科技风险管理
制度,确保信息科技平稳、安全、高效运行。
第四十八条 商业银行信息科技风险管理制度应至少涵盖以
下内容:
(一)建立信息技术业务连续性保障机制。风险管理部门组织信息科技部门和相关业务部门开展业务影响性分析,制定业务连续性计划和应急预案,定期组织演练,并对演练效果进行后评价,及时修改和完善业务连续计划和应急预案;
(二)建立信息科技安全运行保障机制。风险管理部门应督促科技部门和业务部门制定重要信息系统操作管理规范,并督促执行;
(三)建立信息科技风险评估预警机制。制定合理的预警指
17
标体系,建立监控系统,完善预警程序和措施;
(四)建立信息科技重大事项处理机制。重大事项经首席信息官批准后,信息科技部门按有关规定报监管部门,并组织实施;
(五)建立明晰的信息科技突发事件应急处臵机制。按银监会《银行业重要信息系统突发事件应急管理规范》的规定,做好突发事件处臵工作。
第四十九条 商业银行应建立信息科技审计制度,明确审计范
围和审计内容,定期对信息科技工作开展内部审计,每个机构的审计间隔期不得超过三年。
上市银行应按有关规定组织开展信息科技外部审计。
第五十条 商业银行应加强对信息科技绩效管理,确保信息科
技推动业务发展,为商业银行增加价值。
第五十一条 商业银行应按照知识产权相关法律法规,制定信
息科技知识产权保护策略和制度,禁止侵权盗版,采取有效措施保护本机构自主知识产权。
第五章 激励约束
第五十二条 商业银行应建立一套包括职位晋升、薪酬晋级在
内的信息科技激励机制,激励机制应与信息科技运行效率、风险控制目标等相联系,保证科技队伍的稳定。
第五十三条 商业银行信息科技管理委员会应制定科学的价
18
值评估办法和考核指标,每年组织对信息科技工作进行评估,并建立以科技工作评估结果为依据的奖励制度。
第五十四条 商业银行应建立信息科技问责制,对不履行信
息科技职责或违反信息科技管理法律、法规的人员进行问责和惩处,确保信息科技管理和风险防范目标的实现。
第六章 监管措施
第五十五条 中国银监会及其派出机构负责对商业银行信息
科技治理进行监管。
第五十六条 新设立的银行机构,向监管部门报送开业申请
时,应同时报送信息科技治理建设方案、信息科技发展规划、信息技术架构、信息科技管理制度等资料,经审查后,才能批准开业。本意见公布前已经设立的商业银行,按本意见的要求完善信息科技治理结构和机制,向监管部门报备相关资料。
第五十七条 商业银行首席信息官纳入高级管理人员任职资
格管理范围,由中国银监会及其派出机构依法核准或取消任职资格。
第五十八条 中国银监会及其派出机构依法对商业银行信息
科技治理实施非现场监管和现场检查。商业银行按要求向监管部门报送非现场监管资料、配合开展现场检查。
第五十九条 商业银行向监管部门报送的信息科技管理年度
19
报告中应包括信息科技治理工作情况,当信息科技治理结构、技术架构和制度发生重大变化或发生与信息科技治理相关的重大事项时,要及时向监管部门报告。
第六十条 商业银行信息科技出现重大风险,监管部门依据相
关法律、法规对相关机构和人员做出行政处罚。
第七章 附则
第六十一条 本意见由中国银监会负责解释。 第六十二条 本意见自公告之日起实施。
20