发布时间 : 星期一 文章银行业金融机构重要信息系统投产及变更管理办法更新完毕开始阅读f63674c1b42acfc789eb172ded630b1c58ee9be2
中国银监会办公厅关于印发
《银行业金融机构重要信息系统投产及变更管理办法》的通
知
银监办发[2009]437号
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强银行业金融机构重要信息系统投产及变更风险管理, 保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。
2009年12月29日
银行业金融机构重要信息系统投产及变
更管理办法
第一章 总 则
第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城巿商业银行、农村商业银行、农村合作银行、农村信用社、城巿信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条本办法所称的重要信息系统投产及变更主要指: (一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第十条银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险, 并形成风险评估报告。
第十一条银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十二条银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。
第十三条银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定年度投产及变更规划,编制实施计划和方案, 确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第十五条银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
第十六条银行业金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。
第十七条银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。
第十八条银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。