商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)

中国银行业信息技术应用和电子化发展现状与趋势王英俊在监管机构的监督、规划和指引下，中国银行业愈加认识到信息技术对银行经营管理的重要性，并纷纷加大了对银行信息化建设的投入，以谋求从银行信息化向信息化银行转变。

信息化建设的重点也逐步从业务生产向经营分析、风险控制、战略决策、客户信息深入挖掘等管理环节渗透。

2011年，中国银行业的信息化建设进一步发展，水平不断提升，电子银行业务已成为商业银行新的战略业务和利润增长点。

一、中国银行业信息技术应用和电子化发展概况（一）监管机构加大对银行业信息技术应用的监督、规划和指引的力度2011年7月，中国银行业监督管理委员会发布了《中国银行业“十二五”信息科技发展规划监管指导意见》（以下简称《规划》），描绘了“十二五”期间中国银行业金融机构信息科技建设发展的战略蓝图。

贯穿《规划》最根本的思路和精神是“两个转变”的要求：一是银行信息科技要从支撑业务发展向引领业务发展转变，要以科技进步和创新引领业务创新和发展，进而推进银行发展模式的战略性转变；二是信息科技的发展要从注重发展规模和速度向注重发展质量和效益转变，要提升信息化建设内在质量，兼顾发展效益，促进银行信息科技稳定、健康、有序、协调地发展。

“两个转变”从根本上解答了未来五年银行信息科技该如何定位、如何发展的问题，为中国银行业信息科技未来五年的发展提供了思路、方向和指导，并将引领银行业信息化建设朝着正确的方向快步前行。

在监管机构的监督和指导下，各银行对信息技术应用战略的重视程度不断提高，信息技术战略蓝图正逐步得到落实。

工商银行制定了信息科技发展规划，为打造国际一流的IT银行奠定了基础；中国银行的IT蓝图项目全面上线，实现从“以账户为中心”向“以客户为中心”的转变，建立“两地三中心”基础设施平台，实现了信息科技的跨越式发展，促进了业务和科技的紧密融合；招商银行启动了第三代系统的开发，健全架构管理体系，提升了总体技术架构规划和管理能力。

商业银行信息科技治理制度商业银行信息科技治理制度第一章总则为规范商业银行（以下简称本行）的信息科技治理，提升信息科技工作和风险管理水平，根据《商业银行信息科技风险管理指引》（XXX〔2009〕19号）及有关文件，制定本制度。

本制度所称信息科技治理是指本行在运用信息技术过程中，为实现信息科技工作既定目标所做出的制度安排，包括组织架构、技术架构、运行机制和激励约束等。

本行信息科技治理的目标是健全信息科技治理组织和技术架构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略与业务发展目标相适应，增强核心竞争力和可持续发展能力。

第二章组织架构信息科技治理组织架构：本行建立从董事会、高级管理层，到委员会、领导小组，直至相关部门的信息科技治理组织架构。

本行建立信息科技管理委员会，下设信息安全及其他信息科技具体工作领导小组。

本行建立业务连续性管理委员会，下设信息科技及其他条线的突发事件应急处置领导小组。

本行建立由信息科技部门、风险管理部门以及审计部门构成的信息科技风险三道防线结构。

第三章组织职责董事会是本单位信息科技治理的最高决策机构。

董事会审议批准信息科技工作年度报告，由信息科技管理委员会组织编制，内容包括但不限于治理架构建设、战略规划制定、科技预算和投资等。

董事会审议批准信息科技风险管理年度报告，由业务连续性管理委员会组织编制，内容包括但不限于信息科技风险总体情况、业务连续性管理和外包风险管理等。

董事会每年听取内部审计部门独立有效的信息科技工作及风险管理工作审计报告，要对报告给予确认并落实整改。

董事会授权业务连续性管理委员会及其下设的信息科技应急处置领导小组，根据行业管理机构要求，迅速处置并及时报告信息科技重大突发事件。

或指定人员。

2.成员：信息科技部门负责人、风险管理部门负责人、审计部门负责人等相关部门负责人。

3.外部顾问：可聘请信息安全领域专业人士担任顾问。

二）职责1.制定并正式发布信息安全管理制度，明确信息安全管理的组织架构、责任制、管理流程和控制措施等内容。

银监会就银行业信息科技“十三五”规划公开征求意见
作者：暂无
来源：《中国金融电脑》 2016年第8期
日前，银监会组织编制了《中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）》（以下简称《指导意见》），并向社会公开征求意见。

2014年，银监会着手研究考虑银行业信息科技“十三五”发展规划编制工作，2015年正式启动规划编制，组织行业力量通过深入研讨论证、调研走访，形成《指导意见》。

《指导意见》分为十四章，前三章回顾“十二五”时期银行业信息科技发展成绩，分析“十三五”时期银行业面临的机遇和挑战，提出“十三五”指导思想、总体目标和指导原则。

第四章至第十三章从提升信息科技治理水平，深化科技创新，推进互联网、大数据、云计算新技术应用，增强应用体系支撑能力，构建绿色高效数据中心，健全产品研发管理机制，加强信息安全管理，提升信息科技风险管理水平，推进科技开发协作等方面提出重点工作任务。

第十四章从加强组织领导、加强资源保障、加强评价考核和加强监管指导四个方面提出规划保障措施。

中国银行业监督管理委员会关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见颁布机关：中国银行业监督管理委员会文号：银监发[2014]39号颁布时间：09/03/2014实施时间：09/03/2014效力状态：有效各银监局、各省(自治区、直辖市及计划单列市)发展改革委、科技厅(委、局)、工业和信息化主管部门、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:为进一步贯彻落实创新驱动发展战略,提升银行业网络安全保障能力和信息化建设水平,推动银行业深化改革、发展转型,促进战略新兴产业发展,现就应用安全可控信息技术加强银行业网络安全和信息化建设提出以下指导意见。

一、总体目标建立银行业应用安全可控信息技术的长效机制,制定配套政策,建立推进平台,大力推广使用能够满足银行业信息安全需求,技术风险、外包风险和供应链风险可控的信息技术。

到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率,银行业网络安全保障能力不断加强;信息化建设水平稳步提升,更好地保护消费者权益,维护经济社会安全稳定。

二、指导原则(一)坚持开放合作。

兼容并蓄,凝聚各方智慧和力量,优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机构,避免对单一产品或技术的依赖。

(二)鼓励自主创新。

充分认识创新驱动发展战略的重要意义,鼓励原始创新、集成创新和引进消化吸收再创新,构建高效稳健的共性关键技术供给体系,掌握银行业信息化核心知识和关键技术。

(三)发挥市场作用。

加快建立高效的创新体系,激发各类创新主体的积极性,以银行业信息化需求培育和带动市场,以信息产业发展促进银行业发展转型,主动把握新兴技术发展机遇,推动银行业信息化创新发展,促进信息产业做大做强。

村镇银行信息科技建设与管理指引（征求意见稿）第一章总则第一条为提高村镇银行信息科技建设及管理水平，有效防范信息科技风险，促进村镇银行持续、稳健发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，参照《商业银行信息科技风险管理指引》要求，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的村镇银行，村镇银行主发起行（以下简称主发起行）及承担村镇银行信息科技工作的银行业金融机构。

第三条村镇银行信息科技工作目标是通过建立有效的管理机制，科学开展信息科技建设，加强信息科技风险管控，确保信息科技工作目标与业务发展目标一致，增强核心竞争力，促进村镇银行安全、持续、稳健发展。

第四条村镇银行信息科技工作的基本原则是：（一）发展为本：信息科技工作以支持村镇银行业务健康发展为根本要求；（二）风险可控：积极采取措施，防范系统中断、敏感信息泄露和资金损失等风险；（三）资源共享：信息科技工作应统筹规划、适度集中、节约高效，合理利用信息科技资源。

第五条根据信息科技工作的责任主体不同，村镇银行信息科技管理分为自主管理和主发起行管理两种模式。

自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式，主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。

第六条本指引所称同业机构是指中国银行业监督管理委员会（以下简称中国银监会）监管的银行业金融机构。

第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。

第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。

第九条村镇银行应根据本行市场定位和业务发展战略，结合本行管理水平和技术能力，自主确定本行信息科技管理模式，并履行本指引第二章关于不同模式下信息科技治理的要求，积极采用自建、同业合作或外包的方式开展信息科技工作。

银行有关信息科技的监管制度一、信息技术治理与合规管理1、银行应建立完善的信息技术治理体系，明确信息技术战略目标、组织架构、职责权限和工作流程。

2、银行应制定信息技术合规政策，确保业务活动符合相关法律法规和监管要求。

3、银行应定期对信息技术合规情况进行检查和评估，及时发现和整改违规行为。

二、信息技术风险管理1、银行应建立完善的信息技术风险管理体系，明确风险识别、评估、监控和控制流程。

2、银行应定期对信息系统进行安全漏洞扫描和风险评估，及时发现和修复潜在风险。

3、银行应制定应急预案，确保在发生信息技术风险事件时能够迅速响应和处置。

三、信息技术服务质量管理1、银行应建立完善的信息技术服务质量管理体系，确保为客户提供高效、稳定、安全的金融服务。

2、银行应制定信息技术服务标准和流程，对服务质量和效率进行持续改进。

3、银行应建立客户反馈机制，及时了解客户需求和意见，不断提升服务质量。

四、信息技术外包管理1、银行应明确信息技术外包的范围和策略，确保外包服务符合业务需求和监管要求。

2、银行应选择具有良好信誉和实力的外包服务商，签订明确的合同和协议，明确双方的权利和义务。

3、银行应对外包服务进行全程监控和管理，确保外包服务质量和安全。

五、信息技术安全管理1、银行应建立完善的信息技术安全管理体系，确保信息系统的机密性、完整性和可用性。

2、银行应采取多种安全措施，如访问控制、加密技术、防火墙等，防止未经授权的访问和数据泄露。

3、银行应定期进行安全漏洞扫描和风险评估，及时发现和修复潜在的安全隐患。

4、银行应制定安全应急预案，并定期进行演练，确保在发生安全事件时能够迅速响应和处置。

六、信息技术审计与监控1、银行应建立完善的信息技术审计与监控机制，确保信息系统的合规性和安全性。

2、银行应定期对信息系统进行审计和监控，及时发现和纠正违规行为。

3、银行应建立信息技术审计与监控报告制度，定期向监管部门报告相关信息。

七、信息技术培训与人员管理1、银行应建立完善的信息技术培训体系，提高员工的信息技术水平和安全意识。

中国银行业监督管理委员会关于印发《商业银行信息科技风险管理指引》的通知银监发[2009]19号各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮政储蓄银行，各省级农村信用联社，银监会直接监管的信托公司、财务公司、金融租赁公司，中央国债登记结算公司：现将《商业银行信息科技风险管理指引》印发给你们，请认真执行。

请各银监局将本通知转发至辖内各银行业金融机构（含外资银行）。

中国银行业监督管理委员会二○○九年三月三日商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

中国银行业监督管理委员会关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见各银监局、各省（自治区、直辖市及计划单列市）发展改革委、科技厅（委、局）、工业和信息化主管部门、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：为进一步贯彻落实创新驱动发展战略，提升银行业网络安全保障能力和信息化建设水平，推动银行业深化改革、发展转型，促进战略新兴产业发展，现就应用安全可控信息技术加强银行业网络安全和信息化建设提出以下指导意见。

一、总体目标建立银行业应用安全可控信息技术的长效机制，制定配套政策，建立推进平台，大力推广使用能够满足银行业信息安全需求，技术风险、外包风险和供应链风险可控的信息技术。

到2019年，掌握银行业信息化的核心知识和关键技术；实现银行业关键网络和信息基础设施的合理分布，关键设施和服务的集中度风险得到有效缓解；安全可控信息技术在银行业总体达到75％左右的使用率，银行业网络安全保障能力不断加强；信息化建设水平稳步提升，更好地保护消费者权益，维护经济社会安全稳定。

二、指导原则（一）坚持开放合作。

兼容并蓄，凝聚各方智慧和力量，优先应用开放性强、透明度高、适用面广的技术和解决方案，优先选择愿意在核心知识和关键技术领域进行合作的机构，避免对单一产品或技术的依赖。

（二）鼓励自主创新。

充分认识创新驱动发展战略的重要意义，鼓励原始创新、集成创新和引进消化吸收再创新，构建高效稳健的共性关键技术供给体系，掌握银行业信息化核心知识和关键技术。

（三）发挥市场作用。

加快建立高效的创新体系，激发各类创新主体的积极性，以银行业信息化需求培育和带动市场，以信息产业发展促进银行业发展转型，主动把握新兴技术发展机遇，推动银行业信息化创新发展，促进信息产业做大做强。

（四）加强协同合作。

统筹规划，加强政、产、学、研协同合作，营造安全可控信息技术研究、发展和应用的良性互动环境，形成“需求拉动、产业推动、科研驱动”的良性循环。

信息科技风险（Information Technology Risk）（一）信息科技治理（15分）1.信息科技治理组织架构（8分)(1)是否确立董事会、高管层信息科技管理职责。

（2）是否建立完善的信息科技管理制度体系.（3）是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。

(4）是否明确信息科技治理作为重要组成部分纳入公司治理。

评分原则：(1）考察董事会、高管层的信息科技治理职责是否完整，信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。

（2）考察是否建立信息科技管理制度的起草、发布、修订等工作流程，信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。

(3）考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线"职责,“三道防线"部门设置是否合规；是否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并定期向高管层汇报工作。

（4)考察商业银行是否以正式制度（文件）明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。

2。

信息科技对业务发展的专业支持和匹配度（7分)(1）信息科技战略与业务发展战略的匹配度。

（2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。

（3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力.评分原则：(1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。

（2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。

(3）考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验.(二)信息科技风险管理（12分）1.信息科技风险管理体系（6分）（1）是否将信息科技风险纳入全面风险管理体系，建立完善的信息科技风险管理组织架构。

银监会发布《商业银行信息科技风险管理指引》
佚名
【期刊名称】《中国信用卡》
【年(卷),期】2009(000)014
【摘要】近日，银监会发布《商业银行信息科技风险管理指引》（以下简称《指引》）。

该《指引》特别强调，商业银行应严防客户信息外泄，同时应对有可能造成客户信息外泄的ATM、POS等终端用户设备进行全面的安全检查。

本次《指引》将替代2006年银监会曾下发的《银行业金融机构信息系统风险管理指引》。

新《指引》的最大亮点是，银监会将监管目标直接锁定为商业银行。

《指引》强调，从保护广大储户利益出发，要求商业银行在信息系统开发、测试和维护，以及服务外包过程中加强对客户信息的保护，防止敏感信息泄露，
【总页数】2页(P74-75)
【正文语种】中文
【中图分类】F832.33
【相关文献】
1.银监会发布《商业银行信息科技风险管理指引》 [J],
2.商业银行:突围科技风险管理初级阶段——银监会《商业银行信息科技风险管理
指引》颁布1周年记 [J], 张妙
3.以中国式的监管促进中国式的风险管理——银监会陈文雄处长谈《商业银行信息科技风险管理指引》的落实和检查 [J], 李庆莉
4.中国银监会发布《商业银行表外业务风险管理指引（修订征求意见稿）》 [J],
5.银监会出台商业银行声誉风险管理指引——要求商业银行将声誉风险管理纳入公司治理及全面风险管理体系 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

加强科技监管,推进银行业信息科技风险管理能力建设骆絮飞【期刊名称】《中国金融电脑》【年(卷),期】2011(000)004【总页数】5页(P9-13)【作者】骆絮飞【作者单位】中国银行业监督管理委员会信息中心【正文语种】中文2011年是我国“十二五”规划的开局之年，未来五年，是我国银行业发展与改革的重要历史时期，也是银行业信息科技快速成长的有利时期。

后金融危机时代，我国银行业面临着持续提高资产质量，优化发展方式，练好“内功”、提升国际竞争力的巨大挑战。

围绕国际化、综合化经营战略布局和业务结构优化、流程银行改造，商业银行开始从粗放式规模扩张向集约化经营转型，信息科技作为银行的核心竞争力，在这一战略转型的关键时期，肩负着提高发展质量，增强创新能力，加强引领作用的重要使命。

在信息科技对银行业务经营管理的作用和价值加速放大的同时，信息科技风险的积聚及其可能造成的危害不容忽视。

目前，我国银行业科技创新能力还比较薄弱，对外技术依赖程度还非常高，核心竞争力不强；IT治理结构与科技规划不足，科技管理水平与国际先进银行相比还有较大的差距；同时，银行业信息科技风险集中度越来越高、影响越来越大，信息安全问题日益突出，信息科技风险已成为影响银行业稳健发展的关键因素。

为此，银监会在全面风险监管体系框架下，持续强化银行业信息科技风险监管，构建科技风险监管体系，稳步推进监管政策、规范和标准的建设，探索研究有中国特色的银行业科技风险管理快速成长之路，充分运用非现场监管、现场检查和准入等多种手段，不断强化风险责任意识和监管要求，全面推进银行业信息科技风险管理能力的提升。

一、建立、完善信息科技监管法规制度体系，充分发挥监管规范和指导作用遵循“管法人、管风险、管内控、提高透明度”的监管理念，银监会在充分借鉴国际科技监管最佳实践基础上，逐步建立结构完整、体系统一的银行业信息科技风险审慎监管规则体系，并将其纳入银行监管整体立法体系中。

近年来，按照宏观全局规划、中观分类指导和微观具体操作三个层级，银监会从银行审慎运营规则、监管行为规范两个方面，有计划地出台了一系列监管政策规范，在范围上覆盖了银行业信息科技治理、建设、运营、风险控制、信息安全等各领域。

商业银行信息科技治理建设指导意见（讨论稿）第一章总则第一条为规范商业银行信息科技治理，提高信息科技工作效率和风险管理水平，确保信息系统安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》，以及其他相关法律、法规，制定本指导意见（以下简称意见）。

第二条信息科技治理是商业银行公司治理的重要组成部分，是商业银行在运用信息技术过程中，为实现信息科技工作既定目标所做出的制度安排，包括组织结构、技术架构、运行机制和激励约束等。

第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略与业务发展目标相适应，增强商业银行核心竞争力和可持续发展能力。

第四条本意见适用于在中华人民共和国境内依法设立的商业银行，包括国有商业银行、股份制商业银行、城市商业银行和外资银行。

由中国银行业监督管理委员会（以下简称中国银监会）监督管理的其他金融机构参照执行。

第二章组织结构第五条董事会是商业银行最高决策组织，在信息科技治理中履行以下职责：（一）审查批准本行信息科技治理结构，定期听取高级管理层关于信息科技工作汇报并予以评价；（二）审查批准信息科技战略规划，确保与银行总体业务发展战略规划和重大策略相一致；（三）审查批准信息科技方面的重大项目和投资。

为确保有效履行上述职责，董事会主要成员应对本行信息科技主要活动有所了解。

第六条监事会是商业银行监督机构，在信息科技治理中应履行以下职责：（一）对董事会、高级管理层履行信息科技职责的行为进行监督；（二）对银行信息科技规划、决策、风险管理和内部控制等进行监督；（三）对没有正确履行信息科技职责的高级管理人员，提出处罚建议。

第七条董事长是商业银行法定代表，在信息科技治理中履行以下职责：（一）承担本机构信息科技风险管理的最终责任；（二）召集、主持有关信息科技管理、风险防范和审计的董事会会议；（三）督促、检查董事会制定的信息科技工作决议执行情况；（四）落实其他应由董事长承担的信息科技工作。

商业银行信息科技治理建设指导意见V征求意见稿文件管理序列号：[K8UY-K9IO69-O6M243-OL889-F88688]商业银行信息科技治理建设指导意见（讨论稿）第一章总则第一条为规范商业银行信息科技治理，提高信息科技工作效率和风险管理水平，确保信息系统安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》，以及其他相关法律、法规，制定本指导意见（以下简称意见）。

第二条信息科技治理是商业银行公司治理的重要组成部分，是商业银行在运用信息技术过程中，为实现信息科技工作既定目标所做出的制度安排，包括组织结构、技术架构、运行机制和激励约束等。

第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略与业务发展目标相适应，增强商业银行核心竞争力和可持续发展能力。

第四条本意见适用于在中华人民共和国境内依法设立的商业银行，包括国有商业银行、股份制商业银行、城市商业银行和外资银行。

由中国银行业监督管理委员会（以下简称中国银监会）监督管理的其他金融机构参照执行。

第二章组织结构第五条董事会是商业银行最高决策组织，在信息科技治理中履行以下职责：（一）审查批准本行信息科技治理结构，定期听取高级管理层关于信息科技工作汇报并予以评价；（二）审查批准信息科技战略规划，确保与银行总体业务发展战略规划和重大策略相一致；（三）审查批准信息科技方面的重大项目和投资。

为确保有效履行上述职责，董事会主要成员应对本行信息科技主要活动有所了解。

第六条监事会是商业银行监督机构，在信息科技治理中应履行以下职责：（一）对董事会、高级管理层履行信息科技职责的行为进行监督；（二）对银行信息科技规划、决策、风险管理和内部控制等进行监督；（三）对没有正确履行信息科技职责的高级管理人员，提出处罚建议。

第七条董事长是商业银行法定代表，在信息科技治理中履行以下职责：（一）承担本机构信息科技风险管理的最终责任；（二）召集、主持有关信息科技管理、风险防范和审计的董事会会议；（三）督促、检查董事会制定的信息科技工作决议执行情况；（四）落实其他应由董事长承担的信息科技工作。

中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见【法规类别】银监会监管的其他金融机构【发文字号】银监办发[2016]188号【发布部门】中国银行业监督管理委员会【发布日期】2016.12.26【实施日期】2016.12.26【时效性】现行有效【效力级别】部门规范性文件中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见（银监办发[2016]188号）各银监局，各金融资产管理公司，中国信托业保障基金公司、中国信托登记有限责任公司：为促进信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构（以下简称非银机构）信息科技建设，提升信息化管理水平，有效防范信息科技风险，保障非银机构稳健经营和持续发展，现就加强非银机构信息科技建设和管理工作提出以下意见。

一、指导原则（一）明确主体责任。

非银机构作为金融机构独立法人应承担相应的信息科技管理职责，建立符合业务特点的信息科技战略和风险管理策略，根据业务发展和经营管理需要，确定信息科技发展目标和功能定位，合理利用外部资源，自主开展信息科技管理工作。

（二）科技支撑发展。

科学配备信息科技资源，充分发挥信息科技对业务发展和转型的支撑和引领作用，顺应“互联网＋”发展趋势，积极稳妥地探索和应用新兴技术，为改善系统、渠道、产品的灵活性和可扩展性提供支持。

（三）倡导合作共享。

积极与其他银行业金融机构协同合作，加强资源开放共享，交流先进技术与成功管理经验，取长补短，提高非银机构信息科技建设和管理水平。

（四）严守风险底线。

建立健全信息科技风险管理架构，加强基础设施建设、开发测试、运行维护、信息安全、业务连续性、外包等重点领域的信息科技风险防控，避免和减少重大信息科技事件发生。

二、建立有效的信息科技治理架构（一）夯实信息科技治理基础。

非银机构应明确董事会、高级管理层应履行的信息科技管理职责，保证资金、人力和技术等资源投入，满足信息科技建设和管理需要。

商业银行监管的技术合规与信息治理近年来，随着科技的快速发展和社会经济的不断进步，商业银行作为金融行业的重要组成部分，面临着越来越多的挑战和机遇。

其中，技术合规与信息治理成为银行监管面临的重要议题。

本文将从技术合规和信息治理两个方面来探讨商业银行监管的相关问题。

一、技术合规商业银行作为金融机构，为了保障金融市场的稳定运行，提供稳健可靠的金融服务，必须遵循相应的技术合规要求。

技术合规主要包括以下几个方面：1. 数据隐私保护：商业银行处理客户敏感信息和个人隐私的能力必须符合相关法律法规的要求。

银行需要采取严密的信息保护措施，确保客户信息的安全性和机密性，防止信息泄露和不当使用。

2. 风险管理与安全控制：商业银行需要建立完善的风险管理体系，对系统安全和网络安全进行有效的控制。

银行需要利用先进的技术手段，对网络攻击、数据泄露等风险进行监测和应对，确保系统的稳定和安全性。

3. 交易合规性：商业银行需要确保其交易系统符合相关的法律法规和市场规范。

银行需要建立合规性审查制度，对交易进行全程监管，并及时发现和解决潜在的违规行为。

二、信息治理信息治理是商业银行监管中的另一个重要方面。

信息治理主要包括以下几个内容：1. 信息质量管理：商业银行需要确保其信息质量可靠、完整和准确，以支持业务决策和风险管理。

银行需要建立信息质量管理制度，包括数据采集、处理、存储和管理等环节，以提高信息的准确性和一致性。

2. 数据整合与共享：商业银行需要整合不同渠道和系统的数据，形成全面准确的信息视图。

同时，银行还应积极推动数据的内部共享和安全外部共享，促进信息资源的高效利用和价值最大化。

3. 决策支持与业务创新：商业银行需要借助信息技术，提供有效的决策支持和业务创新。

银行可以利用大数据分析、人工智能等技术手段，对客户需求和市场动态进行预测和分析，为业务决策和产品创新提供有力支持。

三、技术合规与信息治理的挑战与对策商业银行监管过程中，技术合规与信息治理也面临一些挑战。

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产一2 一生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

（五）设立一个由来自高级管理层、信息科技部门和主要业务- 3 一部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

银行业信息科技十二五规划指导意见中国银行业信息科技〝十二五〞开展规划监管指点意见之大型商业银行和股份制商业银行篇中国银行业监视管理委员会二○逐一年六月目录第一章信息科技开展状况 (4)第二章面临的机遇与应战 (10)第三章信息科技开展的目的、原那么、重点与实施战略 (13)第一节总体目的 (13)第二节指点原那么 (14)第三节战略重点 (15)第四节实施战略 (17)第四章推进信息科技管理才干树立，增强信息科技战略与企业战略协同 (18)第一节深化展开信息科技管理体系树立 (19)第二节优化信息科技组织架构 (21)第三节增强信息科技队伍树立，提升信息科技中心竞争力 (21)第四节构建信息科技制度框架，有效提高管理水平 (23)第五节树立健全架构管控体系，贯彻落实信息科技战略 (24)第五章打造智能绿色基础设备，提高支持业务开展才干 (24)第一节增强基础设备优化整合，提高基础设备支撑保证才干 (25)第二节提高基础设备管理水平，提升基础设备效劳才干 (28)第三节增强技术运用，提高基础设备可继续开展才干 (30)第六章增强信息科技风险管理，完善研发运维体系 (32)第一节树立片面的信息科技风险管理体系与长效管理机制 (33)第二节增强信息平安管理，片面提升信息平安保证才干 (34)第三节强化研发体系树立，掌握信息科技中心才干 (35)第四节强化运维体系树立，提升系统效劳水平 (37)第五节树立业务延续性管理体系，保证金融效劳继续动摇 (38)第六节树立健全信息科技外包管理机制，防范外包风险 (40)第七章加大运用体系树立力度，提升运营管理才干与客户效劳水平 (41)第一节推进中心运用系统树立，打造高效灵敏的业务运营平台 (42)第二节增强外部管理系统树立，提高精细化管理水平 (47)第八章增强风险管理基础设备树立，提升风险管理水平 (48)第一节完善信誉风险管理系统树立 (49)第二节推进市场风险管理系统树立 (50)第三节增强操作风险管理系统树立 (50)第四节推进资产负债管理信息化树立 (51)第五节增强资本管理信息化树立 (52)第六节树立信息披露和报告体系 (52)第七节构建风险数据环境 (52)第九章发扬科技创新优势，促进电子银行片面开展 (53)第一节推进电子银行技术与业务形式创新，拓展金融效劳渠道 (53)第二节推进电子渠道整合，促进电子银行效劳多元化开展 (56)第三节深化风险防控，健全电子银行平安保证体系 (57)第十章树立数据管理机制，推进数据规范化和质量树立 (60)第一节提高看法，树立数据管理体系 (60)第二节加快数据规范树立，一致数据规范 (61)第三节增强数据全生命周期管理，提高数据质量 (62)第四节优化数据架构，推进数据信息逻辑整合 (62)第一章信息科技开展状况〝十一五〞时期，大型商业银行和股份制商业银行〔以下简称大中型银行〕信息化树立取得了庞大提高，各银行机构围绕自身全体开展战略，推进信息科技规划与信息科技架构设计，展开运用系统与基础设备树立，逐渐树立平安高效的信息系统运转平台，开发种类多样、功用丰厚的产品体系，为加快业务开展、增强外部管理和推进片面风险管理提供了有力支持，信息科技已成为银行中心竞争力的重要组成。

新形势下银行业信息科技风险监管何禹【摘要】@@ 国际金融危机爆发以来,世界经济和国际金融形势跌宕起伏.面对金融危机的严重冲击,我国银行业保持了稳健运行的良好态势,信息科技有力地支持了银行业的快速发展.近年来,我国银行业信息化建设取得了令人瞩目的成绩,信息科技制度体系不断健全,信息系统、基础设施日趋完善,信息科技应急管理水平不断提高,信息科技创新有力地支持了业务的发展,也促进了风险管理水平的有效提升.【期刊名称】《中国金融电脑》【年(卷),期】2010(000)008【总页数】2页(P41-42)【作者】何禹【作者单位】中国银行业监督管理委员会信息中心【正文语种】中文国际金融危机爆发以来，世界经济和国际金融形势跌宕起伏。

面对金融危机的严重冲击，我国银行业保持了稳健运行的良好态势，信息科技有力地支持了银行业的快速发展。

近年来，我国银行业信息化建设取得了令人瞩目的成绩，信息科技制度体系不断健全，信息系统、基础设施日趋完善，信息科技应急管理水平不断提高，信息科技创新有力地支持了业务的发展，也促进了风险管理水平的有效提升。

银行业的快速发展对于信息科技的支持、保障能力也提出了更高的要求，主要表现在：银行业市场化、综合化及国际化步伐加快；零售与理财业务日益重要，对于客户细分以及满足客户多元化需求的要求日益提高；对风险管理、决策支持系统和挖掘数据价值的重视程度日益提高；对系统可用性、安全性以及灾难恢复能力要求日益提高。

信息科技在促进银行业务高速发展的同时，信息科技风险也逐渐成为银行面临的主要风险之一。

综合分析我国银行业状况，信息科技在发展过程中还存在以下问题：一是我国银行业金融机构的信息科技内功还不够扎实，风险管理体系不完善，管理、监督机制缺位，尚未建立起完善的信息科技管理、信息科技风险管理和信息科技风险审计三道防线；科技管理显得粗放，持续保障能力不足。

二是由于我国银行业金融机构区域分布广泛、分支机构与营业网点众多，银行客户、账户数量和业务交易量巨大，而且数据高度集中，IT运行环境越来越复杂，导致银行业科技风险高度集中，风险扩散更为迅速，系统性风险不断增大。