银行业金融机构重要信息系统投产及变更管理规定银监办发
中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知
中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2008.04.23•【文号】银监办发[2008]53号•【施行日期】2008.04.23•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知(银监办发[2008]53号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:现将《银行业重要信息系统突发事件应急管理规范(试行)》印发给你们,请遵照执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会办公厅二00八年四月二十三日银行业重要信息系统突发事件应急管理规范(试行)第一章总则第一条为规范银行业重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范银行业信息系统风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关法律法规,制定本规范。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社,外商独资银行、中外合资银行和外国银行分行适用本规范。
第三条银行业重要信息系统突发事件应对工作原则包括:(一)健全机制。
银行业金融机构应建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
(二)明确职责。
银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
信息系统投产发布管理方案计划办法
信息系统投产发布管理⽅案计划办法⽂件编号:⽆锡农村商业银⾏股份有限公司信息系统投产发布管理办法第⼀章总则第⼀条⽬的为规范⽆锡农村商业银⾏股份有限公司(以下简称“本⾏”)投产发布管理⼯作,定义信息系统的上线(⼤规模实施)过程,控制信息系统的投产发布风险,根据银监会《银⾏业⾦融机构重要信息系统投产及变更管理办法》、《商业银⾏信息科技风险管理指引》等法律、法规、规章及其他规范性⽂件的规定,特制定本办法。
第⼆条范围本办法对信息系统由开发阶段向交付阶段过渡的过程进⾏管理,通过对信息系统的基础环境平台搭建、投产发布管控、投产上线实施、试运⾏管理等⼀系列⼯作的把控,保证信息系统投产过程的有效性以及上线后的可靠性。
投产发布管理的具体范围包括:(⼀)新建信息系统投产上线。
(⼆)现有信息系统的重⼤升级改造,包括:1.应⽤系统的重⼤架构改造或重要模块变更。
2.系统的重⼤版本变化或硬件平台更换。
第⼆章术语定义第三条信息系统本⾏信息系统指营业和管理所⽤的各类计算机系统及⽹络,包括:主机、服务器、⽹络设备、信息安全设备、存储设备、通信线路、机房场地环境和其他外围设备,以及系统软件、应⽤系统、⼯具软件、数据及其载体等。
第四条投产发布管理为保证信息系统顺利上线及相关作业的有效执⾏,提⾼投产的标准性、可靠性以及试运⾏期间可控性的管理。
第五条基础环境准备会指为搭建信息系统开发、测试、准⽣产、⽣产所需的基础环境⽽召开的筹备⼯作会议。
第六条投产准备会指为准备信息系统上线投产过程中的各项⼯作⽽召开的⼯作会议。
第七条投产发布会指为确认与分派信息系统上线投产过程中的各项⼯作⽽召开的⼯作会议。
第⼋条试运⾏协调会指为回顾信息系统上线投产过程、准备信息系统试运⾏期间的各项⼯作⽽召开的⼯作会议。
第三章职责与权限第九条⾓⾊与职责业务部门投产需求评审流程涉及⾓⾊包括:业务部门⼈员、业务部门负责⼈、业务部门分管⾏长、信息系统项⽬建设⼩组组长。
投产发布评审流程涉及⾓⾊包括:信息系统项⽬建设⼩组组长、信息系统项⽬建设⼩组组员、技术评审⼩组、安全技术岗、运维经理、运维中⼼负责⼈、科技信息部负责⼈、科技信息部分管⾏长。
中国银监会办公厅关于进一步明确金融资产管理公司信息报送内容和要求的通知
中国银监会办公厅关于进一步明确金融资产管理公司信息报送内容和要求的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2010.02.01•【文号】银监办发[2010]31号•【施行日期】2010.01.01•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银监会办公厅关于进一步明确金融资产管理公司信息报送内容和要求的通知(银监办发〔2010〕31号)各银监局(西藏、青海、宁夏、宁波、厦门银监局除外),中国华融资产管理公司、中国长城资产管理公司、中国东方资产管理公司、中国信达资产管理公司:为适应金融资产管理公司(以下简称资产公司)业务发展的需要,加强对资产公司商业化业务运作的监管,进一步规范、明确资产公司和属地银监局非现场监管信息的报送工作,现就资产公司非现场监管信息报送内容和要求通知如下:一、报送内容(一)资产公司总公司向银监会报送内容及频率。
1.基本情况。
按季度报送公司发生的重大变动事项,包括内部组织机构调整、公司、部门、办事处、全资及控股公司负责人变动等事项。
按年度报送公司在岗总人数以及总公司和办事处各自的在岗人数。
2.业务情况。
按季度分别报送政策性处置和商业化业务中再贷款、债券及其他融资的还本付息情况。
按季度报送公司《政策性债转股情况统计表》(含军工及有色金属债转股情况)。
除按《中国银行业监督管理委员会办公厅关于建立金融资产管理公司三项业务统计报告制度的通知》(银监办通〔2005〕66号)要求报送统计报表外,按季度报送商业化收购、委托资产处置、追加投资、托管清算、资本金和持有金融机构股权情况分析报告。
按季度报送资产公司重大业务事项信息,内容包括项目原值在人民币等值1亿元以上的重大资产项目的收购、处置情况,委托资产原值在人民币等值1亿元以上的委托代理及单笔业务收入在人民币等值1000万元以上的其他中间业务明细情况,以及出资金额在人民币等值5000万元以上的重大投资活动明细情况等。
银行业金融机构重要信息系统投产及变更管理办法
银行业金融机构重要信息系统投产及变更管理办法第一章总则第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。
包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条本办法所称的重要信息系统投产及变更主要指:(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章组织管理第五条银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
金融业机构信息管理规定
中国人民银行关于印发《金融业机构信息管理规定》的通知(银发[2010]175号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,国家开发银行,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行,各金融资产管理公司:为贯彻实施《金融机构编码规范》(银发[2009]363号文印发),加强金融业机构信息管理,中国人民银行制定了《金融业机构信息管理规定》,现予以印发。
请中国人民银行上海总部,各分行、营业管理部,省会(首府)城市中心支行将本通知转发至辖区内有关金融机构。
附件金融业机构信息管理规定第一章总则第一条为规范和加强金融业机构信息管理工作,确保金融业机构信息的真实、准确和完整,促进金融业机构信息系统互联互通,提升共享效率,制定本规定。
第二条本规定所称金融业机构信息,是指在金融业机构信息管理系统中登记的金融业机构相关信息。
本规定所称金融业机构信息管理系统,是指中国人民银行依据《金融机构编码规范》开发,提供注册、维护、查询金融业机构相关信息的应用系统。
第三条本规定适用于以下金融业机构信息的新增、变更和撤销:(一)中华人民共和国的货币当局、监管当局及其境内外派出机构。
(二)境内银行、证券、保险类金融机构的法人机构及其境内外具有经营许可的分支机构。
(三)交易结算类金融机构及其境内分支机构。
(四)境内设立的金融控股公司。
(五)国外金融机构在我国境内设立的具有经营许可的非法人分支机构。
(六)中国人民银行认定的其他有关金融机构。
以上所称“境内”不含港、澳、台地区。
第二章金融业机构信息的管理与使用第四条中国人民银行遵循“统一管理,分级维护,实时公布”的原则对金融业机构信息进行管理、维护和公布。
中国人民银行总行、上海总部、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行和地市级分支机构负责金融业机构信息的编制、备案、维护和发布。
中国人民银行总行统一管理金融业机构信息,负责金融业机构信息管理系统的建设、运行和维护,负责中国人民银行总行、国家外汇管理局、监管当局信息的编制、备案、维护和发布,负责全国性金融机构法人机构和代报机构分类名录的编制、备案、维护和发布,负责中国金融机构境外分支机构信息的编制、备案、维护和发布。
信息系统变更和发布管理办法
信息系统变更和发布管理办法总则目的:本管理办法规定了XX银行(以下简称“我行”)信息系统的变更和发布管理,变更和发布管理作业操作流程和控制要点,确保变更需求的受理符合业务的优先需要,并使变更和发布过程规范化,控制变更对银行业务和已投产系统安全运行的不利影响。
达到降低信息系统变更和发布风险的目的。
保障信息系统的安全稳定运行,特制定本管理办法。
依据:本管理办法根据《XX银行信息安全管理策略》制订。
范围:本管理办法适用于我行信息系统变更和发布管理。
定义软件产品:泛指信息技术开发的生产业务系统和管理信息系统等应用软件项目。
生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务系统、国际业务系统、支付系统等银行对外营业的各种核心业务系统。
管理信息系统:指我行信息管理的计算机网络系统,具体指OA办公系统、信贷管理、报表系统等用来进行内部管理的应用软件系统。
业务部门:指我行总部相关业务部门。
遵循原则监督制约原则:针对信息系统变更和发布管理工作中各个环节,建立相应的监督检查机制。
计划性原则:信息系统发布应纳入每年计算机应用计划,确保全行计算机系统资源、应用环境、维护力量、操作技能能满足系统安全、可靠运行的要求。
可行性原则:具有普遍适用性和可操作性。
风险控制原则:若为新项目或新业务功能变更和发布,需进行以下风险分析:备份机建设情况;应用系统投产后的集中监控方案;生产数据备份方案;程序及系统备份方案;数据库建库/建表/建索引方式等;对其他系统的影响。
组织与管理职责划分需求部门:提出需求,并确认《用户需求说明书》;用户测试阶段确认用户测试计划、记录用户测试问题、确认用户测试报告;接受用户培训并提出反馈。
科技信息部安全科:在需求阶段审阅和提出IT风险控制、IT合规和IT稽核方面的要求,在项目开发阶段对有关IT风险控制、IT合规和IT稽核方面的测试结果进行审阅;在项目实施后审阅阶段对有关IT风险控制、IT合规和IT稽核要求的实施效果进行审阅。
XX银行重要信息系统投产(变更)风险评估实施细则
XX银行重要信息系统投产(变更)风险评估实施细则第一章总则第一条为规范重要信息系统投产(变更)风险评估工作,提高风险评估能力,实现对重要信息系统投产(变更)风险的有效防控,按照监管要求,参照《银行业金融机构重要信息系统投产及变更管理办法》及《XX银行信息系统投产管理办法(试行)》等规定,制定本细则。
第二条本细则所称重要信息系统系指支撑本行关键业务和客户服务的系统,包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑上述系统运行的前置机、客户端、机房、网络等基础设施等。
第三条本细则所称重要信息系统投产(变更)范围包括重要信息系统投产变更;支撑重要信息系统运行的机房和网络基础设施投产;影响全行或1家(含)以上分行系统服务、重要业务中断3小时(含)以上的重要信息系统,以及支持其运行的基础设施变更;其他对本行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第四条本细则所称风险评估是通过对重要信息系统投产(变更)的影响、原始风险、剩余风险以及采取的相应控制措施分析,判断风险的可控程度,从而作为重要信息系统投产(变更)实施的决策参考。
原始风险系指项目本身具有初始以及在开发或实施过程中形成的风险。
剩余风险系指采取了风险控制措施后仍不能被完全消除的信息系统风险。
第五条重要信息系统投产(变更)风险评估应遵循“客观性、完整性、准确性”原则。
第六条本细则适用于系统主管部门、信息科技部和风险管理部。
第二章职责分工第七条风险管理部是重要信息系统投产(变更)风险评估的牵头部门,其主要职责包括:(一)负责重要信息系统投产(变更)风险评估标准、流程制定,并根据现有规定督导实施;(二)负责对本行重要信息系统投产(变更)风险评估出具评估意见;(三)负责向监管机构或高级管理层报送重要信息系统投产(变更)报告;(四)负责监管部门、董事会风险管理委员会以及高级管理层对重要信息投产(评估)风险评估要求的其他工作。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
中国银监会办公厅关于银行业金融机构信息系统应急管理风险提示的通知
中国银监会办公厅关于银行业金融机构信息系统应急管理风险提示的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2008.07.15•【文号】银监办发[2008]158号•【施行日期】2008.07.15•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会办公厅关于银行业金融机构信息系统应急管理风险提示的通知(银监办发〔2008〕158号)各银监局,各国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:在四川汶川大地震中,银行业金融机构及时启动应急预案,最大程度减少了信息系统损失,但是也暴露出在应急管理方面存在的一些薄弱环节。
现就完善银行业金融机构信息系统应急管理作以下风险提示:一、总结经验教训,加强信息科技服务危机管理此次震灾发生后,银行业金融机构信息科技应急措施发挥了重要作用,为迅速恢复营业创造了条件,但也暴露了一些问题,如:基础设施抗灾能力薄弱,缺乏灾备通讯手段,科技人员备份不足,外包服务商不能及时到位等。
各银行业金融机构要认真总结经验教训,重视多风险并发危机下的风险分析和评估,研究制定有效的信息科技服务危机管理流程。
二、科学选址,合理设计,提高基础设施的抗灾能力各银行业金融机构在数据中心和灾备中心的选址和建设中要充分考虑应灾需求,要科学评估周边建筑物和地形环境的影响,要对电力、通讯等基础设施制定应灾措施。
三、客观评估外包风险,重视外包服务商应急响应能力各银行业金融机构应慎重对待信息科技服务外包,对外包服务商应急响应能力要作充分的风险评估。
一是要避免因外包服务商应急响应能力不足而影响信息系统的及时恢复;二是在应急预案中对外包服务商的应急响应能力要有明确定义,在开展应急演练时,要将外包服务商一并纳入演练,并定期对外包服务商的应急响应能力进行评估;三是要掌控核心技术,避免在技术上过分依赖外包服务商,在应急状态下,也要严格限制外包人员对银行核心数据和重要信息系统的访问,并详细记录、严密监控其运行维护过程,谨防外包人员的不当或不法行为。
信息系统变更和发布管理办法
信息系统变更和发布管理办法第一篇:信息系统变更和发布管理办法信息系统变更和发布管理办法第一章总则第一条目的:本管理办法规定了XX银行(以下简称“我行”)信息系统的变更和发布管理,变更和发布管理作业操作流程和控制要点,确保变更需求的受理符合业务的优先需要,并使变更和发布过程规范化,控制变更对银行业务和已投产系统安全运行的不利影响。
达到降低信息系统变更和发布风险的目的。
保障信息系统的安全稳定运行,特制定本管理办法。
第二条第三条第四条(一)目。
(二)生产业务系统:指我行从事金融服务的应用网络系统,包括综合业务系统、国依据:本管理办法根据《XX银行信息安全管理策略》制订。
范围:本管理办法适用于我行信息系统变更和发布管理。
定义软件产品:泛指信息技术开发的生产业务系统和管理信息系统等应用软件项际业务系统、支付系统等银行对外营业的各种核心业务系统。
(三)管理信息系统:指我行信息管理的计算机网络系统,具体指OA办公系统、信贷管理、报表系统等用来进行内部管理的应用软件系统。
(四)第五条(五)遵循原则业务部门:指我行总部相关业务部门。
监督制约原则:针对信息系统变更和发布管理工作中各个环节,建立相应的监督检查机制。
(六)计划性原则:信息系统发布应纳入每年计算机应用计划,确保全行计算机系统资源、应用环境、维护力量、操作技能能满足系统安全、可靠运行的要求。
(七)(八)可行性原则:具有普遍适用性和可操作性。
风险控制原则:若为新项目或新业务功能变更和发布,需进行以下风险分析:1.备份机建设情况;2.应用系统投产后的集中监控方案;3.生产数据备份方案;4.程序及系统备份方案;5.数据库建库/建表/建索引方式等;6.对其他系统的影响。
第二章组织与管理第六条(一)职责划分需求部门:1.提出需求,并确认《用户需求说明书》;2.用户测试阶段确认用户测试计划、记录用户测试问题、确认用户测试报告;3.接受用户培训并提出反馈。
(二)科技信息部安全科:1.在需求阶段审阅和提出IT风险控制、IT合规和IT稽核方面的要求,在项目开发阶段对有关IT风险控制、IT合规和IT稽核方面的测试结果进行审阅;2.在项目实施后审阅阶段对有关IT风险控制、IT合规和IT稽核要求的实施效果进行审阅。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
XX银行重要信息系统投产(变更)风险评估实施细则
XX银行重要信息系统投产(变更)风险评估实施细则第一章总则第一条为规范重要信息系统投产(变更)风险评估工作,提高风险评估能力,实现对重要信息系统投产(变更)风险的有效防控,按照监管要求,参照《银行业金融机构重要信息系统投产及变更管理办法》及《XX银行信息系统投产管理办法(试行)》等规定,制定本细则。
第二条本细则所称重要信息系统系指支撑本行关键业务和客户服务的系统,包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑上述系统运行的前置机、客户端、机房、网络等基础设施等。
第三条本细则所称重要信息系统投产(变更)范围包括重要信息系统投产变更;支撑重要信息系统运行的机房和网络基础设施投产;影响全行或1家(含)以上分行系统服务、重要业务中断3小时(含)以上的重要信息系统,以及支持其运行的基础设施变更;其他对本行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第四条本细则所称风险评估是通过对重要信息系统投产(变更)的影响、原始风险、剩余风险以及采取的相应控制措施分析,判断风险的可控程度,从而作为重要信息系统投产(变更)实施的决策参考。
原始风险系指项目本身具有初始以及在开发或实施过程中形成的风险。
剩余风险系指采取了风险控制措施后仍不能被完全消除的信息系统风险。
第五条重要信息系统投产(变更)风险评估应遵循“客观性、完整性、准确性”原则。
第六条本细则适用于系统主管部门、信息科技部和风险管理部。
第二章职责分工第七条风险管理部是重要信息系统投产(变更)风险评估的牵头部门,其主要职责包括:(一)负责重要信息系统投产(变更)风险评估标准、流程制定,并根据现有规定督导实施;(二)负责对本行重要信息系统投产(变更)风险评估出具评估意见;(三)负责向监管机构或高级管理层报送重要信息系统投产(变更)报告;(四)负责监管部门、董事会风险管理委员会以及高级管理层对重要信息投产(评估)风险评估要求的其他工作。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
中国银监会上海监管局转发《银监会关于印发<银行业金融机构信息系统风险管理指引>的通知》的通知
中国银监会上海监管局转发《银监会关于印发<银行业金融机构信息系统风险管理指引>的通知》的通知文章属性•【制定机关】中国银行业监督管理委员会上海监管局•【公布日期】2006.09.18•【字号】沪银监通[2006]78号•【施行日期】2006.09.18•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会上海监管局转发《银监会关于印发<银行业金融机构信息系统风险管理指引>的通知》的通知(沪银监通[2006]78号)各在沪中外资银行业金融机构:现将银监会《关于印发<银行业金融机构信息系统风险管理指引>的通知》(银监发[2006]63号)转发给你们,并就有关事项通知如下,请一并遵照执行:一、《指引》针对银行业金融机构运用信息系统存在的风险,从机构职责、总体风险控制、研发风险控制、运行维护风险控制、外包风险控制、审计等多个章节对银行业金融机构信息系统风险管理作了规定,请各银行业金融机构高度重视《指引》要求,组织相关人员学习《指引》精神并认真执行。
二、各银行业金融机构要对照《指引》的要求,对各自信息系统风险管理情况开展自查工作,并将自查报告和整改计划于2006年10月13日前通过金融机构信息交换专网中“监管信息”→“信息专报”→“信息系统风险管理自查报告和整改计划”一项报送我局统计信息处。
报送人员请使用你行“综合人员”权限报送。
三、为便于对口工作联系,请各银行业金融机构将科技部门分管领导、科技部门各负责人及具体工作联系人名单于2006年9月 25日前通过金融机构信息交换专网中“监管信息”→“信息专报”→“科技部门人员名单”一项报送我局统计信息处,具体表式见附表。
报送人员请使用你行“综合人员”权限报送。
附:关于印发《银行业金融机构信息系统风险管理指引》的通知(略)中国银行业监督管理委员会上海监管局二00六年九月十八日。
《银行业金融机构重要信息系统投产及变更管理办法》(银监办发[2009]437号)
![《银行业金融机构重要信息系统投产及变更管理办法》(银监办发[2009]437号)](https://img.taocdn.com/s3/m/1e3c0a94195f312b3169a566.png)
中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知(银监办发[2009]437号)各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会二00九年十二月二十九日银行业金融机构重要信息系统投产及变更管理办法第一章总则第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。
包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条本办法所称的重要信息系统投产及变更主要指:(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
银保监发〔2018〕22号 银行业金融机构数据治理指引
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日(此件发至银监分局和地方法人银行业金融机构)银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
(四)有效性原则。
数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。
中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见-银发[2006]123号
![中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见-银发[2006]123号](https://img.taocdn.com/s3/m/27bb27cd29ea81c758f5f61fb7360b4c2e3f2a09.png)
中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见(银发[2006]123号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各政策性银行、国有商业银行、股份制商业银行:为进一步增强银行业金融机构信息安全保障能力,保障国家经济运行安全,维护社会稳定和客户权益,现就“十一五”期间银行业金融机构信息安全保障工作提出以下指导意见:“十一五”期间,我国银行业金融机构信息安全保障工作的目标是:建立和完善与银行业金融机构信息化发展相适应的信息安全保障体系,满足银行业金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防范、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高银行业金融机构业务持续运行保障水平。
“十一五”期间,我国银行业金融机构信息安全保障工作的主要任务是:加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;加强信息安全队伍建设,落实岗位职责制,推行信息安全管理持证上岗制度;保证信息安全建设资金的投入,不断完善信息安全基础设施建设;进一步加强信息安全制度和标准规范体系建设;加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;加强安全运行监控体系建设;大力开展信息安全风险评估,实施等级保护;加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
银行业金融机构重要信息系统投产及变更管理规定银监办发
银行业金融机构重要信息系统投产及变更管理规定银监办发文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知(银监办发[2009]437号)各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会二00九年十二月二十九日银行业金融机构重要信息系统投产及变更管理办法第一章总则第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。
包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条本办法所称的重要信息系统投产及变更主要指:(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
中国银行业监督管理委员会办公厅关于印发《商业银行数据中心监管指引》的通知
中国银行业监督管理委员会办公厅关于印发《商业银行数据中心监管指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2010.04.20•【文号】银监办发[2010]114号•【施行日期】2010.04.20•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于印发《商业银行数据中心监管指引》的通知(银监办发[2010]114号)各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,加强灾难恢复管理,提高业务连续性水平,现将《商业银行数据中心监管指引》印发给你们,请遵照执行。
请各银监局将本通知转发至辖内相关银行业金融机构。
中国银行业监督管理委员会办公厅二0一0年四月二十日商业银行数据中心监管指引第一章总则第一条为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,提高商业银行业务连续性水平,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。
第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。
第三条以下术语适用于本指引:(一)本指引所称数据中心包括生产中心和灾难备份中心(以下简称灾备中心)。
(二)本指引所称生产中心是指商业银行对全行业务、客户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息科技支撑服务的组织。
(三)本指引所称灾备中心是指商业银行为保障其业务连续性,在生产中心故障、停顿或瘫疾后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行业金融机构重要信息系统投产及变更管理规定
银监办发
High quality manuscripts are welcome to download
中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知
(银监办发[2009]437号)
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。
请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会
二00九年十二月二十九日银行业金融机构重要信息系统投产及变更管理办法
第一章总则
第一条为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。
中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。
包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章组织管理
第五条银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章风险评估
第十条银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
第十一条银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十二条银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。
第十三条银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。
不具备整改条件的应采取风险缓释措施。
第四章投产及变更控制
第十四条银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定年度投产及变更规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第十五条银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
第十六条银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。
第十七条银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。
第十八条银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。
第十九条银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十条银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。
第二十一条银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。
拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十二条银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十三条银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处置计划和流程,必要时应实施演练。
第二十四条重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作。
第二十五条银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部门协同做好应急准备。
第二十六条银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。
第二十七条银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。
第二十八条银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,并适时实施演练。
第二十九条银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章投产及变更报告
第三十条银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。
第三十一条银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于:(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)重要信息系统安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。
机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条银行业金融机构应在重要信系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。
如投产及变更失败,应详细说明失败原因。
第三十三条银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向所在地中国银监会派出机构提交报告材料。
第三十四条重要信息系统投产及变更如失败需要重新安排的,银行业金融机构应再次向中国银监会或其派出机构报告。
第三十五条银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管理规范报告。
第六章监督管理
第三十六条针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
第三十七条中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施现场检查。
第三十八条银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关责任。
第七章附则
第三十九条本办法由中国银监会负责解释和修订。
第四十条本办法自公布之日起执行。