银行信息科技管理基本制度.doc

《银行信息科技管理基本制度.doc》由会员分享，可在线阅读，更多相关《银行信息科技管理基本制度.doc（17页珍藏版）》请在咨信网上搜索。

xx银行信息科技管理基本制度 xx总发〔xx〕6号附件6，xx年1月12日印发 第一章 总则 第一条 为了规范xx银行（以下简称“本行”）信息科技风险管理,促进全行信息科技工作的健康发展,根据《商业银行信息科技风险管理指引》、《计算机信息安全等级保护条例》以及国家信息安全相关要求和有关法律法规,特制定本制度。 第二条 本制度所称信息科技管理，包括：信息科技治理、信息科技风险管理、信息安全、信息系统项目管理、信息科技运行、业务连续性管理、外包管理、内外部审计等。 第三条 本制度适用于总行及各分支机构信息科技管理。 第四条 本制度所指信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在银行业务交易处理、经营管理和内部控制等方面应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第五条 信息科技管理工作应接受当地银行监管部门、公安部门和国家有关信息安全管理部门的检查和指导。 第二章 组织与职责 第六条 健全和完善信息科技管理架构，成立信息科技管理委员会，设立首席信息官。明确董事会、信息科技管理委员会、首席信息官以及科技部、风险管理部、稽核监察部等部门的职责，全面协调开展信息科技风险管理工作。 第七条 董事会应履行以下信息科技管理职能： (一) 遵守并贯彻执行国家和银监会有关信息科技管理的政策和规定； (二) 审查和批准信息科技发展战略规划，评估信息科技风险管理效果； (三) 了解信息风险，明确信息风险等级，落实信息风险识别和评价机制； (四) 建立职责明确、报告清晰的信息科技治理组织结构； (五) 监督信息科技战略规划、预算执行和整体状况,确保信息科技风险管理工作所需资金； (六) 落实信息科技外部审计工作，按要求向银监部门报送信息科技风险管理报告； (七) 及时向银监部门上报重大信息科技事故和突发事件，落实应急响应机制； (八) 确保相关职能部门配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改； (九) 履行信息科技风险管理其他相关工作。 第八条 设立首席信息官，直接向行长汇报，并参与决策（在未设立首席信息官情况下，其职责由科技分管行长兼任），首席信息官的职责包括： (一)直接参与本行与信息科技运作有关的业务发展决策； (二)确保信息科技战略，尤其是信息系统开发战略的实施，保持与总体业务发展战略和信息科技风险管理策略相一致； (三)负责组建信息科技部门，承担信息科技职责，确保科技部门各项职能的良好履行； (四)确保信息科技风险管理的有效性，有效涵盖所有风险点，使防范措施落实到每一个内设机构和分支机构； (五)加强信息科技队伍建设，开展专业培训，提高专业技术水平。 第九条 总行科技部为全行信息科技工作的主要职能部门，应按照信息科技管理要求合理设置岗位，明确不同岗位的职责和技能要求；人事保卫部对于重要岗位人员应加强审核管理，签定保密协议，落实强制休假，按年度进行考评。 总行科技部主要职责包括： (一)负责并实施董事会和总行经营层下达的各项信息科技工作，并报告相关信息科技工作； (二)负责并制定全行科技发展规划和电子化建设计划； (三)负责并管理全行信息科技项目的开发和上线工作； (四)负责并管理全行计算机信息系统日常运行维护工作； (五)负责并管理全行电子化设备采购、登记和维护工作； (六)负责并实施全行计算机信息系统风险控制和安全管理工作； (七)负责并制定总行信息科技管理制度、办法和流程； (八)负责并实施全行信息科技外包管理工作； (九)负责并实施技术业务连续性管理工作； (十)负责并管理、指导分支机构开展信息科技工作； (十一)负责并管理全行信息科技成果、保密、知识产权保护等工作； (十二)负责并实施全行计算机安全等级保护和内外部审计整改工作。 第十条 风险管理部负责信息科技风险管理工作，其职责包括： (一)负责向信息科技管理委员会、首席信息官和首席风险官报告信息科技风险管理工作； (二)负责协调制定有关信息科技风险管理策略； (三)负责组织重大信息科技项目的风险审议； (四)负责协调组织实施全行信息系统应急管理和业务连续性计划； (五)负责并实施持续信息科技风险评估，监督、跟踪各项整改意见落实情况； 第十一条 总行法律与合规部负责信息科技管理的合规管理工作，其职责包括： (一)负责向信息委员会、首席信息官和首席风险官报告信息科技管理的合规管理工作； (二)负责审核和监督信息科技合规性检查制度和流程； (三)负责就信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议和合规性信息； (四)负责监控信息科技合规信息，及时提出预警和合规风险提示。 第十二条 总行稽核监察部负责信息科技风险审计工作，其职责包括： (一)负责向信息委员会、首席信息官和首席风险官报告信息科技风险审计工作报告； (二)负责制定和实施信息科技审计制度和流程； (三)负责制定和执行信息科技审计计划； (四)负责对信息科技整个生命周期和重大事件等进行审计； (五)配合银行监管部门做好信息科技现场检查，并负责协调外部审计工作。 第十三条 总行办公室负责并管理全行电子化设备采购的商户洽谈和合同管理。 第十四条 总行会计结算部、个金业务部、公司业务部、授信管理部、国际业务部和计划财务部等业务管理部门负责信息科技项目的立项和上线实施工作。 第三章 信息科技风险管理 第一节 风险管理定义 第十五条 信息科技风险，是指信息科技在银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第十六条 信息科技风险管理的基本原则是：体系规范、制度健全、流程合规、措施有效，全面保障信息系统安全稳定的运行。 第二节 风险管理策略 第十七条 以业务发展战略为基础，制定和完善信息科技发展战略，落实信息科技运行和风险评估计划，确保人、财、物各项资源的有效保障，并逐步建立和完善与之相适应的全行信息科技风险管理策略。 第十八条 信息科技风险管理策略应包括但不限于以下内容： (一) 信息分级和保护； (二) 信息系统开发、测试和维护； (三) 信息科技运行和维护； (四) 访问控制； (五) 物理安全； (六) 人员安全； (七) 业务连续性计划与应急管理。 第三节 风险管理措施 第十九条 信息科技风险管理部门应制定和完善信息风险识别和评估流程，鉴定和评价信息风险点及可能对业务带来的潜在影响。并针对风险程度进行排序，实施相应的风险防控措施及确定所需资源的优先级。 第二十条 应依据信息科技风险管理策略和风险评估结果，全面实施风险防范措施。防范措施应包括： (一)健全和完善信息科技风险管理制度、技术标准和操作规程等； (二)确定潜在风险点，并对风险点进行有效的监测、跟踪和分析，制定相应的控制措施，实现风险最小化。并针对各业务系统定义控制内容，包括： 1. 最高权限用户的审查； 2. 控制对数据和系统的物理和逻辑访问； 3. 访问授权以“必需知道”和“最小授权”为原则； 4. 审批和授权； 5. 验证和调节。 第二十一条 应建立持续的信息科技风险计量和监测机制，其中应包括： (一)建立信息科技项目实施前及实施后评价机制； (二)建立定期检查系统性能的程序和标准； (三)建立信息科技服务投诉和事故处理的报告制度； (四)建立内、外部审计和监管发现问题的整改处理机制； (五)定期对服务供应商服务水平协议的完成情况进行审查； (六)定期对运行环境下操作风险和管理控制进行检查； (七)定期对信息科技外包项目的风险状况进行评价； (八)定期对新技术发展可能造成的影响和已使用软件面临的新威胁进行评估。 第四章 信息安全管理 第一节 安全管理机构 第二十二条 建立和完善全行信息安全管理机构，成立全行信息安全管理领导小组，全面负责全行信息安全指导和管理工作。信息安全管理领导小组隶属于总行信息技术管理委员会统一管理，其组成人员包括总行领导、首席信息官、总行科技部以及相关业务部门负责人组成。 第二十三条 总行及各分支机构应根据安全管理要求，设立安全管理职能部门、安全管理员岗位，并明确职责及职能要求。 第二节 安全管理职能 第二十四条 总行科技部是全行信息安全管理的主要职能部门，负责全行计算机安全等级保护、技防实施、计划与项目预算、制度制定、安全检查及人员培训和管理等；会计结算部、个金业务部、公司业务部、授信管理部、国际业务部和计划财务部等部门对信息系统的业务处理以及业务流程的安全承担管理责任；人事保卫部对信息系统的场地以及系统资产的防灾、防火、防雷、防盗、防破坏等承担管理责任；办公室负责信息的涉密和保密管理、信息资产采购的合法性保障以及通讯、电力等后勤保障工作。 第二十五条 信息安全管理主要职能应包括： (一)制定和完善全行信息安全计划，推进信息安全体系整体建设，构建长效管理机制； (二)组织并实施全行信息安全项目，负责分支机构和各业务条线信息安全的统一管理； (三)定期向信息科技管理委员会提交信息安全评估报告并汇报其他重大安全事项； (四)健全信息安全管理机制，完善全行信息安全策略、标准、制度、实施流程和持续维护要求； (五)建立信息安全资产预算管理，确保安全技防落实； (六)定期开展安全教育，组织全行员工学习安全防护知识； (七)配合银行监管部门、公安和其他信息安全管理部门做好现场安全检查和整改落实工作； (八)组织开展全行安全检查，指导并督促分支机构落实安全管理职责。 第二十六条 总行各部室和各分支行应根据安全管理要求，明确分管科技负责人，并设信息安全管理员岗位（兼），负责本部门信息安全管理工作，其主要职能应包括： (一)负责本部门信息资产的安全管理，建立本部门电脑设备的申领、更换和维护记录的台帐。 (二)负责本部门电脑设备和系统的运行维护管理，做好日常维护和每日的运行情况记录，定期进行分析总结，并及时汇报总行科技部或相关业务部门。 (三)负责本部门的网络安全使用管理，定期检查、记录网络使用情况，发现故障和安全隐患，及时上报总行科技部，并落实整改。 (四)配合总行以及当地银行监管部门、公安和其他信息安全管理部门做好现场安全检查和整改落实工作。 (五)定期开展本部门信息安全教育，负责本部门计算机业务应用和安全知识的辅导、培训工作，检查、监督本部门遵守信息科技安全管理方面的法律、规章和制度。 第三节 信息安全策略 第二十七条 总行信息安全管理部门应依据全行信息科技风险管理总体要求，制定、完善和实施全行信息安全策略。 信息安全策略应包括如下内容： (一)安全制度管理； (二)信息安全组织管理； (三)信息资产管理； (四)人员安全管理； (五)物理与环境安全管理； (六)系统运营与网络通信管理； (七)访问控制管理； (八)系统、项目开发与维护管理； (九)信息安全事故管理； (十)业务连续性管理； (十一)合规性管理。 第二十八条 建立和完善有效的用户认证和访问控制机制，确保用户对数据和系统访问是可控和有效的。当用户发生变更应及时在系统中做好检查、更新和注销用户身份。 第二十九条 对于信息科技重要区域应设立安全保护区（如中心机房、灾备中心、存储重要数据和放置重要系统、网络、通信等设备的场所），须明确安全防护措施、控制手段和机房建设标准，确保信息系统重要场所的安全。 第三十条 信息系统网络安全管理应依据信息安全等级，将网络划分为不同的逻辑安全域，并对相关安全因素做出评估，实施有效隔离（如生产、开发、测试和外网隔离），并采取物理或逻辑分区、内容过滤、访问控制、传输加密、网络监控和日志审计等手段。 第三十一条 对重要信息系统应建立和完善信息安全测评机制，定期开展自评或邀请第三方权威测评，并根据评估报告，持续开展整改工作，明确责任，落实计划，完善措施，确保信息系统整体防护能力。 第三十二条 按照国家信息安全监管要求，规范和完善涉密信息管理，包括：互联网行为、涉密计算机和移动存储管理。建立涉密检查机制，防止非涉密计算机装载、储存或传播国家涉密信息；防止将本行重要商业机密信息存储在移动存储和非涉密计算机中，或通过互联网传播。 第三十三条 健全防病毒机制，建立全行网络防病毒体系，定期下载和更新病毒库，开展防病毒检查。并依据总行信息安全规划要求，逐步强化安全控制机制，通过技术手段来规范使用行为，如：桌面管理、域管理和文件共享管理等，确保信息系统安全。 第三十四条 建立和完善信息系统操作规程，确保操作系统和系统软件的安全： (一)明确操作系统基本安全要求； (二)明确不同用户对系统访问权限； (三)明确最高权限系统帐户的审批、验证和监控流程，以及最高权限用户的日志审计和监察； (四)明确定期对可用的安全补丁检查，并报告补丁的管理状态； (五)明确系统日志记录要素，包括：不成功登录、重要系统文件访问、对用户帐户修改等重要事项，以及手动或自动监控系统出现的任何异常事件，定期形成报告。 第三十五条 完善信息安全保障机制，应采取包括但不限于下列措施，确保信息系统安全： (一)明确定义终端用户和信息科技人员在安全管理中的角色和职责； (二)明确按照信息系统重要性和敏感程度，确认身份验证方法； (三)明确岗位职责和不相容岗位，对关键或敏感岗位进行双重控制； (四)明确关键接合点输入验证和输出核对机制； (五)明确保密信息的处理方式，采取安全手段进行输入/输出处理，防止信息泄露或被盗取、篡改； (六)明确信息系统能按预先设定的方式处理例外情况，当系统被迫终止时能向用户提供必要信息； (七)明确以书面或电子形式保存审计痕迹； (八)明确用户管理员必须监控和审查未成功登录和用户帐户修改情况。 第三十六条 完善信息系统日志管理，建立有效的日志管理平台和流程，确保从系统、数据库、应用、网络和安全等不同层面进行有效的活动日志管理，以支持有效审核、取证和预防欺诈。 日志分为两大类： (一)交易日志。由应用软件和数据库系统产生，包括：用户登录、数据修改和错误信息等； (二)系统日志。由操作系统、数据库系统、防火墙、入侵检测、防病毒系统和路由器等产生，包括：管理登录、系统/网络事件、错误信息等。 交易日志和系统日志应包含足够内容，以满足内部控制、解决系统故障和审计需要；应保持日志的同步和完整性，明确日志复查频率和保存期限， 第三十七条 运用信息加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改风险，并建立加密设备和密钥管理制度，以确保： (一)使用符合国家要求的加密技术和设备； (二)在启用、操作和管理加密设备中的合规性； (三)落实专人管理，并经过培训和资格审查； (四)加密强度能够满足信息机密性要求； (五)建立有效管理流程，完善密钥和证书生命周期管理。 第三十八条 制定和完善设备使用办法，建立信息安全检查机制，定期开展用户终端设备的安全检查。包括但不限于：服务器、台式机、便携机、柜员终端、移动存储、ATM、POS、查询机、加密设备等，确保使用设备的安全、可靠和稳定运行。 第三十九条 建立和完善数据存储管理办法，实行信息中心数据的集中管理，明确数据备份操作流程，规范数据信息在采集、处理、存储、传输、分发、备份、恢复、清理和销毁过程中操作流程。 第四十条 建立和完善全行计算机安全和技能培训机制，定期组织全行员工开展安全技能培训，及时了解信息风险管理制度和流程，提高安全防范和风险管控意识，增强防护技能。 第五章 信息科技开发、测试和维护管理 第四十一条 建立和完善信息科技项目管理机制，成立信息科技管理委员会和项目管理办公室，负责全行信息科技项目的优先排序、立项、审批和控制，协调项目调研、需求分析及项目开发、测试、上线过程中的沟通、协调等工作。 第四十二条 健全和完善信息科技项目管理办法，规范项目需求、规划、立项、采购、开发、测试、上线、维护及升级、退出流程，确保项目全过程有效管理。 第四十三条 项目管理办公室负责向信息科技管理委员会提交重大信息科技项目进度报告，包括项目实施中的重大变更（需求、架构、范围、预算等）、存在风险、费用支出、人员及供应商变更等与项目相关的重要情况。 第四十四条 总行科技部承担全行信息科技项目开发管理职能，应健全和规范项目开发、测试和维护管理工作，有效控制项目开发风险，并根据项目实施要求和计划，组织并配置IT人力资源，完成项目开发、测试和上线工作。 第四十五条 建立和完善项目风险控制机制，明确项目实施中可能存在的操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，应通过适当的管控方法去有效控制信息科技项目风险。 第四十六条 信息科技项目开发管理应符合软件工程规范，实施信息系统生命周期管理，运用适当的系统开发方法去有效控制信息系统在系统分析、设计、开发或外购、测试、试运行、上线、维护和退出等各个阶段风险管理。 第四十七条 建立和完善项目上线后评价机制，对已上线项目经过一段时间运行后在运行、效率、功能等情况进行评价，并根据评价结果对项目进行持续优化和改进。 第四十八条 制定和完善项目变更管理办法和流程，确保信息系统的可靠性、完整性和可维护性，包括但不限如下要求： (一)明确生产、开发、测试系统环境的有效隔离； (二)明确生产、开发、测试系统管理职能相分离； (三)明确应用开发人员不得直接进入生产系统维护应用软件。除紧急修复任务并经管理层批准外，开发人员可以进入修复，但所有紧急修复活动应即记录和审核； (四)明确项目变更审批流程，对于已完成开发和测试的程序或系统配置，若要变更应用到生产系统时，应取得科技部负责人的批准，对特别重大变更报请行领导审批，并做好变更记录和检查。 第四十九条 完善信息数据管理办法，落实相关标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。 第五十条 建立和完善有效的问题/事件管理流程，以确保全面跟踪、分析和解决信息系统存在问题，并对问题/事件进行记录、分类和索引。包括：问题/事件描述、故障原因、影响范围（业务、时间），处理方式、内外部支援情况等。 第五十一条 建立和完善系统升级控制机制，当设备达到使用寿命或性能不能满足业务需求，基础软件（操作系统、数据库系统、中间件）或应用软件必须升级时（不含补丁和小版本升级），应及时进行硬件及系统升级，对该类升级属于重大变更应纳入信息科技项目，按项目要求进行管控，包括测试和验收等。 建立和完善科技文档管理制度。 第六章 信息科技运行管理 第一节 中心机房管理 第五十二条 建立和完善全行信息科技运行管理架构。总行科技部负责总行中心机房（含灾备中心）的日常运行、监控、维护管理职责。各分支行信息安全管理员（电脑专管员）负责支行机房的运行管理职责。 第五十三条 健全和完善信息科技运行管理制度，明确职责，规范流程，授权操作，监控有效。确保中心机房主机、网络、数据库和应用系统以及机房环境得到有效监控和管理，保障信息系统的生产安全。 第五十四条 中心机房为重要场所，应充分考虑选址的合理性，机房选址时应规避存在潜在威胁的环境（如：自然灾害多发区、危险或有害设施、繁忙或主要公路等）；对信息中心应采取物理控制措施（如门禁、防辐射、监控、消防等）；对机房环境配备必要的环境集中监控系统（如：UPS、配电、温湿度、视频监控等）；中心机房应确保双路市电、双UPS，并根据实际情况配置自备发电机或向第三方租赁油机发电。 第五十五条 建立和完善机房进、出管理制度，明确系统运维人员进出区域和操作权限，并做好上岗审查、身份验证和背景调查；对外来人员进出机房必须经过授权审批，其活动过程应全程监控，并作详细记录。 第五十六条 完善中心机房系统运维岗位，合理配置岗位人员，做到系统运行与开发和维护岗位的分离，确保岗位的制约，并明确各岗位的职责。 第五十七条 按照有关法律法规要求保存交易数据，运用程序或技术手段确保存档数据的完整性、安全性和可恢复性。 第五十八条 完善信息系统用户密码管理制度，按照分类要求明确密码设置规则、变更周期和操作权限等，建立检查和强制变更机制。 第五十九条 制定和完善信息科技运行操作说明，编制详细的运行手册，比如：明确操作人员的任务、工作日程、执行步骤，以及在生产与开发环境中数据、软件的备份流程和要求（即备份的频率、范围和保留周期）。 第六十条 建立和完善事故处理机制，及时处理和响应各类运行事故，并做好记录、分析和跟踪。对于重大运行事故应建立逐级上报制度，制定应急处理流程。同时，应充分借鉴IT服务管理标准的理念，逐步完善服务平台，提供在线技术支持；并建立和完善服务水平管理制度和流程，对服务质量和水平进行考核。 第六十一条 建立和完善系统性能监控机制，充分运用技术手段连续监控信息系统性能，对例外情况做出预警，并及时予以识别和修正。 第六十二条 建立和完善系统运行容量规划，定期进行容量分析，并根据业务发展和交易量增加，以及内、外部需求，及时对系统容量做出调整（扩容、增加和升级）。容量规划应包含生产系统、灾备系统和相关设备。 第六十三条 健全系统维护和升级机制，及时进行维护和适当的系统升级，确保与技术相关服务的连续可用性，并完整保存记录（包括疑似和实际故障，预防性和补救性维护记录），确保有效维护设备和设施。 第六十四条 制定和完善中心机房变更管理流程(含灾备中心)，确保生产环境的完整性和可靠性。涉及生产系统的所有变更（含紧急变更）都必须经过有权部门授权审批,制定详细的变更方案、操作步骤、变更清单和回退计划等。对变更操作必须进行记录，对涉及变更的数据、程序和配置参数等事先必须做好备份，以便必要时恢复原有系统版本和数据文件。 第二节 设备管理和知识产权 第六十五条 建立和完善设备运维管理制度和流程，对重要设备应建立维护档案，及时购买维保服务，定期开展巡检检查。应建立维护服务流程，明确响应时间，快速处置各种故障设备，确保运行正常。 第六十六条 按照总行集中采购和固定资产管理要求，建立和完善计算机设备管理制度和流程，规范IT预算管理，制定设备配置标准，完善设备采购、登记、领用、使用、维护与报废流程，开展设备使用检查，组织员工操作培训等。 第六十七条 健全和完善设备采购、服务和项目合同管理，规范合同要素，包括：合同需求、支付方式、双方责任、违约处罚、售后服务、保密条款、知识产权等。严格执行合同审批流程，合同须经办公室、风险管理部、科技部和相关部门会签及法律与合规部审核。 第六十八条 制定和完善知识产权管理制度，对于生产系统运行的各种基础软件（操作系统、数据库、中间件）或应用软件（程序、工具）等应取得合法使用权限，严禁使用非正版化软件或使用侵犯他人知识产权的软件，要定期开展检查，完善正版化软件使用、采购、登记管理。 第七章 业务连续性管理 第六十九条 建立和完善业务连续性管理架构，成立总行应急管理领导小组，隶属于总行信息科技管理委员会管理，负责全行计算机机应急处置和统一协调指挥；下设应急管理办公室，全面实施应急管理领导小组部署的各项应急管理工作，包括：应急预案的制定、组织演练、开展培训、落实预算、实施评估和完善措施等。 第七十条 按照总行业务发展规划和风险控制策略，结合自身业务特点、规模和系统的复杂程度等，制定和完善与之相适应的全行业务连续性规划(包括灾备中心建设规划)，确保信息系统发生例外情况时，仍能提供持续的业务服务。对业务连续性规划应定期开展演练，建立评估和更新机制，确保有效性。 第七十一条 建立和完善业务风险评估机制，对于因意外事件导致业务运行中断的可能性和所带来的影响程度，进行有效评估，明确业务连续性保障的优先策略。包括评估由下列因素导致的破坏： (一)内外部资源的故障或缺失（如人员、系统、外部支援或其他资产）； (二)信息丢失或受损； (三)外部事件（如战争、地震或台风等）。 第七十二条 对于重要信息系统应完善业务连续性保障措施，明确系统恢复和冗余策略，采取双机热备、共享机制等措施，有效降低业务中断可能性，并通过应急举措来降低系统中断影响。 第七十三条 建立和完善业务连续性策略文档，并制定持续的检查和沟通计划，确保文档的充分性和有效性。其中包括： (一)规范业务连续性计划，明确不同中断（短期、中期、长期）状况下，如何有效降低影响的措施，包括但不限于： 1. 资源需求（如人员、系统、外部支援和其他资产）以及获取资源的方式； 2. 运行系统恢复的优先顺序。 3. 内部各部门协调机制及与外部各方的沟通机制（监管机构、客户和媒体等）。 (二)更新实施业务连续性计划的流程和相关联络信息； (三)验证受中断影响的信息完整性的步骤； (四)当本行业务或风险状况发生变化时，对本条一至三进行审核并升级。 第七十四条 作为业务连续性计划的重要内容，应完善灾备中心的规划建设，健全灾备中心的运行管理机制，实施业务风险评级和应急响应，制定应急预案，开展应急演练和培训，落实后评价机制，持续跟踪和更新系统，确保全行业务的可持续发展。 第七十五条 业务连续性计划、重大灾备项目实施和年度应急演练结果等，应提交信息科技风险管理部门或信息科技管理委员会审定，并纳入IT年度重要工作内容之一。 第八章 外包管理 第七十六条 完善外包管理机制，明确外包范围和外包管理流程。总行办公室为信息科技外包管理的主要牵头管理部门，各分支机构未经总行允许不得擅自开展信息科技外包服务项目。 第七十七条 外包服务应坚持审慎原则，不得将信息科技管理责任外包。外包服务项目的风险评估工作由科技部负责管理，风险管理部审核。 第七十八条 对重要外包项目，如：中心机房和信息科技基础设施等，应格外谨慎，应经信息科技管理委员会批准，并在实施外包前以书面材料正式报告银监会或其派出机构。 第七十九条 在签署外包协议或对外包协议进行重大变更时，应考虑周密，做好相关准备，其中包括： (一)外包是否适合本行的组织结构和报告路线、业务战略、总体风险控制，是否满足本行履行对外包商的监督。 (二)外包协议是否允许本行监测和控制与外包相关的操作风险。 (三)审查、评估外包商的财务稳定性和专业经验，对外包商进行风险评估，考查其设施和能力是否足以承担相应的责任。 (四)考虑外包协议变更前后实施的平稳过渡（包括终止合同可能发生的情况）。 (五)关注可能存在的集中风险，如多家银行共用同一外包商带来的潜在业务连续性风险。 第八十条 在与外包服务商合同谈判中，应充分考虑以下因素，包括但不限于： (一)对外包服务商的报告要求和谈判必要条件； (二)银行监管机构和内、外部审计能执行足够的监督； (三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息； (四)担保和损失赔偿是否充足； (五)外包服务商遵守本行有关信息科技风险制度和流程的意愿及相关措施； (六)外包服务商提供的业务连续性保障水平，以及提供相关专属资源的承诺； (七)第三方供应商出现问题时，保证软件持续可用的相关措施； (八)变更外包协议的流程，以及本行或外包服务商选择变更或终止外包协议的条件，如： 1. 本行或外包服务商的所有权或控制权发生变化； 2. 本行或外包服务商的业务经营发生重大变化； 3. 外包服务商提供的服务不充分，造成本行无法履行监督义务。 第八十一条 在实施外包服务管理中，应明确服务水平指标，旨在充分评估外包服务商的服务效能、质量和水平，并通过服务水平报告、定期自我评估、内/外部审计等方式进行外包服务考核，并针对存在问题，及时调整流程和改进措施。 第八十二条 在实施外包服务中，应确保本行客户资料等敏感信息的安全，包括但不限于： (一)实现本行客户资料和外包服务商其他客户资料的有效隔离； (二)按照“必需知道””和“最小授权”原则对外包服务商相关人员进行授权； (三)明确要求外包服务商保证其参与服务人员（无论是雇员或第三方聘用人员）遵守保密规定； (四)对涉及本行客户资料的外包服务（如信用卡外包等）应作为重要外包服务，并尽可能向客户告之； (五)严格控制外包服务商的转包行为，采取必要措施确保本行信息的安全； (六)当终止外包服务协议时，须及时收回和销毁由外包服务商保存的所有客户资料。 第八十三条 对外包服务项目，应建立和完善应急措施，以应对外包服务商出现重大服务缺失。应充分考虑外包服务商在重大资源、财务损失和重要人员变动，以及外包协议意外终止的情况。 第八十四条 对于重大外包服务项目，应严格审批流程，其合同管理应通过信息科技风险管理部、法律与合规部门和信息科技部门审核；对于外包服务协议应建立定期审阅和修订流程，有效降低外包服务风险。 第九章 内外部审计管理 第八十五条 总行稽核监察部为全行信息科技内部审计管理部门，负责总行和分行信息科技内部审计工作。 第八十六条 建立和完善信息科技内部审计制度和流程，按照独立审计原则，配备必要的专业审计人员，定期开展审计工作；并根据业务性质、规模和复杂程度，对相关信息系统及其控制方式进行适用性和有效性监测。 第八十七条 信息科技内部审计责任包括： (一)制定审计计划，检查、评估信息科技系统和内控机制的充分性和有效性； (二)执行审计，提出整改意见； (三)检查整改落实情况。 第八十八条 信息科技内部审计范围和频度，应根据本行业务性质、规模和复杂程度，以及信息系统应用情况来确定。至少全面审计频率不低于每三年一次。 第八十九条 在实施重大信息科技项目审议、开发时，应要求信息科技风险管理部门和稽核监察部门参与，以确保信息科技项目开发符合本行信息科技风险管理标准和要求。 第九十条 信息科技外部审计管理由总行稽核监察部统一负责。在符合法律、法规和监管要求前提下，可委托具有相应资质的外部审计机构进行信息科技外部审计。同时，接受银行监管部门委托并指定的外部审计机构的审计和检查。 第九十一条 在实施外部审计前，应与外部审计机构签定保密协议，明确要求外部机构遵守法律法规，保守本行商业机密和信息科技风险信息。不得将本行涉密资料文档进行修改、复制和带离现场。 第九十二条 在委托审计过程中，在明确保密责任前提下，允许外部审计机构能够充分了解本行计算机系统、网络、数据和应用架构及文档情况，便于进行有效检查，以发现存在的问题和风险。 第九十三条 在实施外部审计前，应与外部审计机构充分沟通，明确审计范围和要求，不得故意隐瞒事实或阻挠审计检查。 第九十四条 当审计完毕，外部审计机构应出具审计报告，并提交稽核部门审阅。科技部门应依据审计报告提出的整改意见，提出具体整改时间和计划。 第十章 附 则 第九十五条 本办法由总行科技部负责制定、解释和修改。 第九十六条 本办法自下发之日起施行。