银行业金融机构信息系统风险管理指引

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。

(二)审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

(三)掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

(四)规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引是由中国人民银行出台的金融机构信息系统风险管理的指导性文件，旨在为银行业和其他金融机构提供风险管理指导。

该指引概括了银行业金融机构信息系统风险管理的原则、方法和要求，以帮助金融机构更好地管理信息系统风险。

一、原则银行业金融机构信息系统风险管理要求，金融机构必须坚持“安全第一、合规第一”的原则，以安全、可靠、高效的信息系统实现信息安全管理，促进信息安全和服务质量的持续改进。

二、方法（1）金融机构要建立健全信息系统风险管理体系，明确信息系统风险管理职责，建立相应的管理机制，增强信息系统风险意识，完善风险监测和评估体系，加强风险处置能力。

（2）金融机构要建立完善的信息系统安全防护体系，实施和完善信息系统安全防护措施，加强应用系统的安全管理，健全应用系统安全防护策略，并定期进行安全测试和审计，确保信息系统能够正常运行。

（3）金融机构要建立完善的信息系统维护体系，健全信息系统运维政策和流程，完善信息系统管理制度，提高信息系统管理水平，加强信息系统运维监控，保障信息系统正常运行。

三、要求（1）金融机构要结合自身实际，制定信息系统风险管理规范和措施，健全信息系统风险管理框架，细化信息系统风险管理流程，实施信息系统风险管理政策，加强信息系统风险管理，保障信息系统安全运行。

（2）金融机构要定期开展信息系统风险管理考核，积极推进信息系统风险管理持续改进，不断提高信息系统风险管理水平，保障信息系统正常运行。

（3）金融机构要实施信息系统风险管理责任制，将信息系统风险管理纳入内部管理制度，严格执行信息系统风险控制要求，保障信息系统风险管理的有效实施。

以上就是银行业金融机构信息系统风险管理指引的详细说明，通过坚持“安全第一、合规第一”的原则，建立健全信息系统风险管理体系，实施和完善信息系统安全防护措施，建立完善的信息系统维护体系，实施信息系统风险管理责任制，金融机构可以更好的管理信息系统风险，进而保障信息安全和服务质量的持续改进。

中国银行业监督管理委员会关于印发银行业金融机构信息科技外包风险监管指引的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2013.02.16•【文号】银监发[2013]5号•【施行日期】2013.02.16•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发银行业金融机构信息科技外包风险监管指引的通知（银监发[2013]5号）各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

银行业金融机构信息系统风险管理指引LEKIBM standardization office【IBM5AB- LEKIBMK08- LEKIBM2C】银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

第五条信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条银行业金融机构应认真履行下列信息系统管理职责：（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；（六）做好本机构信息系统审计工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；（九）开展与信息系统风险管理相关的其他工作。

中国银监会关于印发银行业金融机构全面风险管理指引的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2016.09.27•【文号】银监发〔2016〕44号•【施行日期】2016.11.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会关于印发银行业金融机构全面风险管理指引的通知银监发〔2016〕44号各银监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构全面风险管理指引》印发给你们，请遵照执行。

2016年9月27日银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

中国银监会关于印发《银行业金融机构全面风险管理指引》的通知银监发〔2016〕44号各银监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构全面风险管理指引》印发给你们，请遵照执行。

2016年9月27日（此件发至银监分局与地方法人银行业金融机构）银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

第五条信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条银行业金融机构应认真履行下列信息系统管理职责：（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；（六）做好本机构信息系统审计工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；（九）开展与信息系统风险管理相关的其他工作。

银行业金融机构全面风险管理指引第一章 总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

第五条银行业金融机构全面风险管理体系应当包括但不限于以下要素：（一）风险治理架构；（二）风险管理策略、风险偏好和风险限额；（三）风险管理政策和程序；（四）管理信息系统和数据质量控制机制；（五）内部控制和审计体系。

--------------------------------------------------------------------------------商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

中国银监会上海监管局转发《银监会关于印发＜银行业金融机构信息系统风险管理指引＞的通知》的通知文章属性•【制定机关】中国银行业监督管理委员会上海监管局•【公布日期】2006.09.18•【字号】沪银监通[2006]78号•【施行日期】2006.09.18•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会上海监管局转发《银监会关于印发＜银行业金融机构信息系统风险管理指引＞的通知》的通知（沪银监通[2006]78号）各在沪中外资银行业金融机构：现将银监会《关于印发＜银行业金融机构信息系统风险管理指引＞的通知》(银监发[2006]63号)转发给你们，并就有关事项通知如下，请一并遵照执行：一、《指引》针对银行业金融机构运用信息系统存在的风险，从机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计等多个章节对银行业金融机构信息系统风险管理作了规定，请各银行业金融机构高度重视《指引》要求，组织相关人员学习《指引》精神并认真执行。

二、各银行业金融机构要对照《指引》的要求，对各自信息系统风险管理情况开展自查工作，并将自查报告和整改计划于2006年10月13日前通过金融机构信息交换专网中“监管信息”→“信息专报”→“信息系统风险管理自查报告和整改计划”一项报送我局统计信息处。

报送人员请使用你行“综合人员”权限报送。

三、为便于对口工作联系，请各银行业金融机构将科技部门分管领导、科技部门各负责人及具体工作联系人名单于2006年9月 25日前通过金融机构信息交换专网中“监管信息”→“信息专报”→“科技部门人员名单”一项报送我局统计信息处，具体表式见附表。

报送人员请使用你行“综合人员”权限报送。

附：关于印发《银行业金融机构信息系统风险管理指引》的通知（略）中国银行业监督管理委员会上海监管局二00六年九月十八日。

银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

第五条银行业金融机构全面风险管理体系应当包括但不限于以下要素：（一）风险治理架构；（二）风险管理策略、风险偏好和风险限额；（三）风险管理政策和程序；（四）管理信息系统和数据质量控制机制；（五）内部控制和审计体系。

银行业金融机构信息科技外包风险监管指引（银监发…2013‟5号 2013年2月16日）第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

第五条银行业金融机构全面风险管理体系应当包括但不限于以下要素：（一）风险治理架构；（二）风险管理策略、风险偏好和风险限额；（三）风险管理政策和程序；（四）管理信息系统和数据质量控制机制；（五）内部控制和审计体系。

银行信息安全管理体系参考标准和规范一、银行业信息科技风险管理指引2006年9月，为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，银监会印发了银监发[2006]第63号文，即《银行业金融机构信息系统风险管理指引》。

2009年6月，为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国外资银行管理条例》及国家信息安全相关要求和有关法律法规，银监会印发了银监发[2009]第19号文，即《商业银行信息科技风险管理指引》，以替代旧的《银行业金融机构信息系统风险管理指引》。

新《指引》针对银行业信息科技风险特点，提出了“三道防线”的思路。

“三道防线”是按照目前普遍的一种安全模式进行的设计：第一道防线——事先监控，即银行信息科技部门的自我管理；第二道防线——事中管理，即风险管理部门如何督促科技部门进行管理，风险管理部门会提供一些管理工具、思路和框架；第三道防线——事后审计，审计部门独立于上述两个部门之外，对两部门执行情况进行评价。

因此三道防线其实是将信息科技管理、信息科技风险管理、信息科技风险审计统一纳入风险管控。

通过这样的思想，可以很好地解决银行重建设、轻管理、重开发、轻运维的不足。

二、等级保护1.等级保护概述信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。

国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。

信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。

开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。

中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局，机关各部门，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构数据治理指引》印发给你们，请遵照执行。

2018年5月21日银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经营管理能力，根据《中华人民共和国银行业监督管理法》等法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条数据治理是指银行业金融机构通过建立组织架构，明确董事会、监事会、高级管理层及内设部门等职责要求，制定和实施系统化的制度、流程和方法，确保数据统一管理、高效运行，并在经营管理中充分发挥价值的动态过程。

第四条银行业金融机构应当将数据治理纳入公司治理范畴，建立自上而下、协调一致的数据治理体系。

第五条银行业金融机构数据治理应当遵循以下基本原则：（一）全覆盖原则。

数据治理应当覆盖数据的全生命周期，覆盖业务经营、风险管理和内部控制流程中的全部数据，覆盖内部数据和外部数据，覆盖监管数据，覆盖所有分支机构和附属机构。

（二）匹配性原则。

数据治理应当与管理模式、业务规模、风险状况等相适应，并根据情况变化进行调整。

中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2018.05.21•【文号】银保监发〔2018〕22号•【施行日期】2018.05.21•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局，机关各部门，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构数据治理指引》印发给你们，请遵照执行。

2018年5月21日银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经营管理能力，根据《中华人民共和国银行业监督管理法》等法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条数据治理是指银行业金融机构通过建立组织架构，明确董事会、监事会、高级管理层及内设部门等职责要求，制定和实施系统化的制度、流程和方法，确保数据统一管理、高效运行，并在经营管理中充分发挥价值的动态过程。

第四条银行业金融机构应当将数据治理纳入公司治理范畴，建立自上而下、协调一致的数据治理体系。

第五条银行业金融机构数据治理应当遵循以下基本原则：（一）全覆盖原则。

数据治理应当覆盖数据的全生命周期，覆盖业务经营、风险管理和内部控制流程中的全部数据，覆盖内部数据和外部数据，覆盖监管数据，覆盖所有分支机构和附属机构。

（二）匹配性原则。

数据治理应当与管理模式、业务规模、风险状况等相适应，并根据情况变化进行调整。

（三）持续性原则。

数据治理应当持续开展，建立长效机制。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。