銀行業(yè)金融機構信息系統(tǒng)風險管理指引

1、銀行業(yè)金融機構信息系統(tǒng)風險管理指引第一章總則第一條為有效防范銀行業(yè)金融機構運用信息系統(tǒng)進行業(yè)務處理、經(jīng)營管理和內部控制過程中產(chǎn)生的風險，促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、國家信息安全相關要求和信息系統(tǒng)管理的有關法律法規(guī)，制定本指引。第二條本指引適用于銀行業(yè)金融機構。本指引所稱銀行業(yè)金融機構，是指在中華人民共和國境內設立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機

2、構以及政策性銀行。在中華人民共和國境內設立的金融資產(chǎn)管理公司、信托投資公司、財務公司、金融租賃公司、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）及其派出機構批準設立的其他金融機構，適用本指引規(guī)定。第三條本指引所稱信息系統(tǒng)，是指銀行業(yè)金融機構運用現(xiàn)代信息、通信技術集成的處理業(yè)務、經(jīng)營管理和內部控制的系統(tǒng)。第四條本指引所稱信息系統(tǒng)風險，是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控及退出過程中由于技術和管理缺陷產(chǎn)生的操作、

3、法律和聲譽等風險。第五條信息系統(tǒng)風險管理的目標是通過建立有效的機制，實現(xiàn)對信息系統(tǒng)風險的識別、計量、評價、預警和控制，推動銀行業(yè)金融機構業(yè)務創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力。員會應制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項目建設，定期評估、報告本機構信息系統(tǒng)風險狀況，為決策層提供建議，采取相應的風險控制措施。第九條銀行業(yè)金融機構法定代表人或主要負責人是本機構信息系統(tǒng)風險管理責任人。第十條銀行業(yè)金融機構應設立信息科技部門，統(tǒng)

4、一負責本機構信息系統(tǒng)的規(guī)劃、研發(fā)、建設、運行、維護和監(jiān)控，提供日常科技服務和運行技術支持；建立或明確專門信息系統(tǒng)風險管理部門，建立、健全信息系統(tǒng)風險管理規(guī)章、制度，并協(xié)助業(yè)務部門及信息科技部門嚴格執(zhí)行，提供相關的監(jiān)管信息；設立審計部門或專門審計崗位，建立健全信息系統(tǒng)風險審計制度，配備適量的合格人員進行信息系統(tǒng)風險審計。第十一條銀行業(yè)金融機構從事與信息系統(tǒng)相關工作的人員應符合以下要求：（一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關崗位職責