发布时间 : 星期三 文章商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)更新完毕开始阅读7e90ce3887c24028915fc312
第二十一条 信息科技风险管理人员数量原则上按照科技人
员数量的3%配备,至少不得少于2人。
第二十二条 信息科技风险管理人员应当具备相应的专业从
业资格:
(一)信息科技风险管理人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融风险管理制度;
(二)具备两年以上金融信息科技工作从业经验,风险管理项目负责人应同时具备从事风险管理工作两年以上;
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十三条 商业银行及其分支机构应在内部审计部门设立
负责信息科技风险审计的部门或岗位。其主要职责是:
(一)制定信息科技审计制度、标准、计划;
(二)实施信息科技审计计划,检查信息科技内控机制和应用控制的有效性;
(三)根据信息科技工作需要,对特殊事项进行专项审计; (四)负责信息科技外部审计相关事宜;
(五)根据内外部审计结果,对信息科技工作中的问题提出整改意见,并督促落实。
第二十四条 信息科技风险审计人员数量原则上按照科技人
员数量的5%配备,至少不得少于2人。
9
第二十五条 信息科技风险审计人员应当具备相应的专业从
业资格:
(一)信息科技风险审计人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融内部控制制度。
(二)具备两年以上金融信息科技工作从业经验,审计项目负责人应同时具备从事审计工作两年以上。
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十六条 商业银行及其分支机构应对各业务部门的信息
科技管理职责进行明确界定,包括但不限于以下内容:
(一)根据业务发展计划,提出系统需求计划,并与信息科技部门进行沟通;
(二)按标准的业务需求范式编制业务需求; (三)负责本部门申请的科技项目的测试和验收; (四)建立相关制度和流程,加强对信息系统使用管理,严格用户权限和密码管理,加强对应用系统的访问控制;
(五)加强本部门员工教育,督促本部门员工遵守信息科技相关制度和操作规程。
第三章 规划与架构
10
第二十七条 商业银行应根据业务发展战略规划,制定本行信
息科技战略规划,明确本行信息科技发展方向,指导本行信息科技工作。
第二十八条 信息科技发展战略规划应包含以下内容:
(一)信息科技发展战略规划与业务发展战略规划的衔接关系;
(二)信息科技发展战略规划的主要内容和具体措施; (三)确保信息科技发展战略规划得到落实的具体工作安排和责任落实;
(四)信息科技发展战略规划实施的评估、评价机制与完善措施;
(五)其他与信息科技发展规划相关内容。
第二十九条 商业银行应根据信息科技战略规划制定完整、清
晰的技术架构,明确信息技术建设和运用的基本思路,要通过数据、流程、技术的标准化和一体化工作,规范数据格式、系统平台、基础设施和业务应用,科学规划数据架构、应用架构、基础架构和安全框架。
第三十条 商业银行应建立技术架构管理制度,落实技术架构
管理职责,明确技术架构制订、完善和实施流程,加强对技术架构的管理。
第三十一条 数据是商业银行信息系统管理的重要资源,应建
立统一、规范的数据架构,通过有效的数据架构管理,准确、及
11
时反映业务架构的本质。
第三十二条 数据架构的设计,至少应达到以下要求:
(一)数据架构设计应科学合理,匹配和适应银行自身业务发展规划的要求;
(二)建立数据标准化制度,为每一个数据元素提供唯一的定义和特征集;
(三)业务运作状况要通过银行信息系统中的数据真实、准确、及时地反映出来的;
(四)业务数据要体现安全、可用、有效共享和唯一加工点的要求,关键业务数据要集中处理;
(五)保障数据信息的安全、保密,防止内外部攻击; (六)避免和减少不必要的数据冗余;
(七)综合考虑数据存储量、数据增长速度和存储技术,做好数据存储和备份工作;
(八)对信息的使用特别是与银行以外的第三方机构的数据交流和共享要有严格的授权管理;
(九)境内客户信息及所有交易记录存放在中国境内,未经授权不得向境外机构提供。
第三十三条 商业银行应制定明确的应用架构,以适应业务发
展和风险管理的要求,清晰地反映各类业务的处理流程,满足业务风险控制和安全经营的需要。
第三十四条 应用架构设计,至少应达到以下要求:
12