商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)

1商业银行信息科技治理建设指导意见（讨论稿）第一章总则第一条为规范商业银行信息科技治理，提高信息科技工作效率和风险管理水平，确保信息系统安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》，以及其他相关法律、法规，制定本指导意见（以下简称意见）。第二条信息科技治理是商业银行公司治理的重要组成部分，是商业银行在运用信息技术过程中，为实现信息科技工作既定目标所做出的制度安排，包括组织结构、技术架构、运行机制和激励约束等。第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构，明确决策和管理职责，优化资源配置，有效控制信息科技风险，确保信息科技战略与业务发展目标相适应，增强商业银行核心竞争力和可持续发展能力。第四条本意见适用于在中华人民共和国境内依法设立的商业银行，包括国有商业银行、股份制商业银行、城市商业银行和外资银行。2由中国银行业监督管理委员会（以下简称中国银监会）监督管理的其他金融机构参照执行。第二章组织结构第五条董事会是商业银行最高决策组织，在信息科技治理中履行以下职责：（一）审查批准本行信息科技治理结构，定期听取高级管理层关于信息科技工作汇报并予以评价；（二）审查批准信息科技战略规划，确保与银行总体业务发展战略规划和重大策略相一致；（三）审查批准信息科技方面的重大项目和投资。为确保有效履行上述职责，董事会主要成员应对本行信息科技主要活动有所了解。第六条监事会是商业银行监督机构，在信息科技治理中应履行以下职责：（一）对董事会、高级管理层履行信息科技职责的行为进行监督；（二）对银行信息科技规划、决策、风险管理和内部控制等进行监督；（三）对没有正确履行信息科技职责的高级管理人员，提出处罚建议。3第七条董事长是商业银行法定代表，在信息科技治理中履行以下职责：（一）承担本机构信息科技风险管理的最终责任；（二）召集、主持有关信息科技管理、风险防范和审计的董事会会议；（三）督促、检查董事会制定的信息科技工作决议执行情况；（四）落实其他应由董事长承担的信息科技工作。第八条行长依照董事会授权，领导信息科技工作，在信息科技治理中履行以下职责：（一）确保信息科技所需资源投入，统筹信息科技重大项目建设；（二）提请董事会聘任或者解聘首席信息官。授权首席信息官、相关职能部门从事信息科技管理活动，协调解决信息科技工作中的重大问题；（三）领导、组织、协调信息科技管理委员会工作；（四）在商业银行发生信息科技重大突发事件时，采取紧急措施，并向监管部门报告；（五）负责其他信息科技工作的领导职责。第九条商业银行应设立由行长担任主任，首席信息官担任副主任的信息科技管理委员会，其成员应包括科技、风险、主要业务部门和相关综合部门负责人，必要时可聘请外部专业人士担任委员或顾问。信息科技管理委员会下设办事机构，办事机挂靠4信息科技部门或单独设立。商业银行分支机构可参照总行设立相应组织。第十条信息科技管理委员会组成人员由行长和首席信息官提出具体人选，由管理层集体研究决定成立，相关材料报监管部门备案。第十一条信息科技管理委员会成员需掌握信息科技政策和流程基本知识，并能够在其负责的领域进行决策。信息科技管理委员会职责包括但不限于：（一）审议信息科技发展战略规划并提交董事会审批，确保信息科技发展规划和业务发展规划保持一致；（二）审查批准信息科技建设指导原则、技术架构和主要信息科技工作制度；（三）审议信息科技年度工作计划及预算；（四）审议重大科技项目的立项、预算和实施，并确定重大项目的优先级；（五）审查批准重大信息科技运营、安全、业务连续性、应急管理相关事项；（六）审查批准信息科技职业道德行为规范和全体人员信息科技教育事项；（七）检查所拟订和审议事项的落实和执行情况，组织对信息科技重大事项结果进行评估；（八）审阅并向中国银监会及其派出机构报送信息科技风险5管理的年度报告；（九）审查其他有关信息科技工作的重大事项。第十二条商业银行要制定信息科技管理委员会的章程和工作制度，明确信息科技管理委员会的具体职责、议事规则和办事流程，规范管理。信息科技管理委员会每半年至少召开一次工作会议，有重大事项时要及时召开会。议审计部门负责人应列席信息科技管理委员会会议并发表独立意见。第十三条商业银行设立首席信息官，在行长领导下开展工作，其职责包括：（一）组织制定信息科技发展战略规划，确保符合银行总体业务发展战略和风险管理策略；（二）组织制定科技建设指导原则、技术架构和信息科技运行管理机制，确保制定的科技建设指导原则清晰、准确，技术架构科学、合理，信息科技运行机制全面、高效；（三）确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构；（四）组织制定信息安全目标、策略、方针及实施计划，并组织落实；（五）协助行长主持信息科技管理委员会日常工作，督促落实信息科技管理委员会通过的决议；（六）参与全行业务发展重大事项和需信息技术支撑的重要业务决策；6（七）向信息科技管理委员会或受行长委托向董事会汇报信息科技工作，确保信息科技管理委员会、董事会拥有充分的信息做出信息科技领域的重大决策；（八）组织制定信息科技年度工作计划及预算；（九）履行信息科技管理其他管理工作。第十四条首席信息官拟任人选应符合高管人员任职资格基本条件。第十五条首席信息官由行长提名，董事会批准，按照中国银监会行政许可事项有关规定报监管部门任职资格许可后，由董事会任命。第十六条商业银行应建立与业务相适应的信息科技部门，根据工作需要可设立软件开发、运行维护和数据中心等部门，由信息科技部门统一协调和指导。商业银行分支机构按照职责分离的原则设置相应的信息科技管理部门或岗位。第十七条信息科技部门的主要职责是：（一）根据全行的发展战略，在首席信息官领导下拟订信息科技发展战略规划、年度工作计划和年度预算；（二）负责建立科技管理制度，确定科技建设标准，规范科技工作流程，明确科技岗位职责；（三）负责科技项目的技术可行性审查和生命周期内的管理和实施，合理配置科技资源，提高项目质量和效率；7（四）加强生产运行管理，提高信息系统运行的稳定性和连续性；（五）制定本行信息安全政策、安全制度和安全策略，通过严格内控、加强监督等有效措施，确保本行信息科技工作规范运行、信息资产安全可靠和信息系统持续稳定；（六）制定知识产权保护制度和策略，并组织落实；（七）负责科技队伍建设、管理和业务考核工作；（八）组织对外部技术和设备供应商的资质和服务品质评审，对外包科技人员进行管理；（九）组织对信息科技工作进行自我评估，并采取措施对评估发现的风险隐患和薄弱环节进行改进；（十）配合风险管理、审计和监管部门开展工作，根据风险管理、审计部门提出的风险控制建议和审计建议，制定信息科技风险防控技术方案和整改方案，采取相应的技术措施，将风险降至可接受范围；（十一）其他信息科技相关工作。第十八条国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原则上不低于2.5%，城市商业银行和其他地方法人机构这一比例原则上不低于3%，至少不得少于3人。科技人员中负责内控和风险防范人员原则上不低于5%。商业银行分支机构应根据系统开发量、网点数量增配相适应的科技人员。8第十九条信息科技人员应当具备相应的专业从业资格：（一）具备大专以上学历，掌握信息科技相关专业知识，熟悉银行业信息科技工作，对金融知识有一定的了解；（二）主要管理人员和项目负责人要具备银行信息科技工作经验三年以上；（三）具有勤奋、钻研和廉洁的职业操守，且从业以来无不良记录。第二十条商业银行及其分支机构应在信息科技部门之外指定一个部门负责信息科技风险管理工作，主要职责是：（一）将信息科技风险纳入全行风险管理范围内，负责组织制定信息科技风险管理总体规划；（二）审查各个部门和各个环节的信息科技风险管理制度和控制流程，评价制度的执行情况；（三）识别、评估和检查重要部门和重点环节的信息科技风险状况；（四）对重要科技项目的各个阶段进行科技风险评审；（五）负责本行业务连续性和应急管理组织工作，定期组织相关部门进行业务影响性分析和应急演练，并对应急预案进行完善；（六）对全行员工进行持续的信息科技风险教育；（七）依据有关法律法规的要求，及时披露信息科技风险状况。9第二十一条信息科技风险管理人员数量原则上按照科技人员数量的3%配备，至少不得少于2人。第二十二条信息科技风险管理人员应当具备相应的专业从业资格：（一）信息科技风险管理人员应具备大专以上学历，掌握信息科技相关专业知识，熟悉金融相关法律、法规和金融风险管理制度；（二）具备两年以上金融信息科技工作从业经验，风险管理项目负责人应同时具备从事风险管理工作两年以上；（三）具有客观、公正和廉洁的职业操守，且从业以来无不良记录。第二十三条商业银行及其分支机构应在内部审计部门设立负责信息科技风险审计的部门或岗位。其主要职责是：（一）制定信息科技审计制度、标准、计划；（二）实施信息科技审计计划，检查信息科技内控机制和应用控制的有效性；（三）根据信息科技工作需要，对特殊事项进行专项审计；（四）负责信息科技外部审计相关事宜；（五）根据内外部审计结果，对信息科技工作中的问题提出整改意见，并督促落实。第二十四条信息科技风险审计人员数量原则上按照科技人员数量的5%配备，至少不得少于2人。10第二十五条信息科技风险审计人员应当具备相应的专业从业资格：（一）信息科技风险审计人员应具备大专以上学历，掌握信息科技相关专业知识，熟悉金融相关法律、法规和金融内部控制制度。（二）具备两年以上金融信息科技工作从业经验，审计项目负责人应同时具备从事审计工作两年以上。（三）具有客观、公正和廉洁的职业操守，且从业以来无不良记录。第二十六条商业银行及其分支机构应对各业务部门的信息科技管理职责进行明确界定，包括但不限于以下内容：（一）根据业务发展计划，提出系统需求计划，并与信息科技部门进行沟通；（二）按标准的业务需求范式编制业务需求；（三）负责本部门申请的科技项目的测试和验收；（四）建立相关制度和流程，加强对信息系统使用管理，严格用户权限和密码管理，加强对应用系统的访问控制；（五）加强本部门员工教育，督促本部门员工遵守信息科技相关制度和操作规程。第三章规划与架构11第二十七条商业银行应根据业务发展战略规划，制定本行信息科技战略规划，明确本行信息科技发展方向，指导本行信息科技工作。第二十八条信息科技发展战略规划应包含以下内容：（一）信息科技发展战略规划与业务发展战略规划的衔接关系；（二）信息科技发展战略规划的主要内容和具体措施；（三）确保信息科技发展战略规划得到落实的具体工作安排和责任落实；（四）信息科技发展战略规划实施的评估、评价机制与完善措施；（五）其他与信息科技发展规划相关内容。第二十九条商业银行应根据信息科技战略规划制定完整、清晰的技术架构，明确信息技术建设和运用的基本思路，要通过数据、流程、技术的标准化和一体化工作，规范数据格式、系统平台、基础设施和业务应用，科学规划数据架构、应用架构、基础架构和安全框架。第三十条商业银行应建立技术架构管理制度，落实技术架构管理职责，明确技术架构制订、完善和实施流程，加强对技术架构的管理。第三十一条数据是商业银行信息系统管理的重要资源，应建立统一、规范的数据架构，通过有效的数据架构管理，准确、及12时反映业务架构的本质。第三十二条数据架构的设计，至少应达到以下要求：（一）数据架构设计应科学合理，匹配和适应银行自身业务发展规划的要求；（二）建立数据标准化制度，为每一个数据元素提供唯一的定义和特征集；（三）业务运作状况要通过银行信息系统中的数据真实、准确、及时地反映出来的；（四）业务数据要体现安全、可用、有效共享和唯一加工点的要求，关键业务数据要集中处理；（五）保障数据信息的安全、保密，防止内外部攻击；（六）避免和减少不必要的数据冗余；（七）综合考虑数据存储量、数据增长速度和存储技术，做好数据存储和备份工作；（八）对信息的使用特别是与银行以外的第三方机构的数据交流和共享要有严格的授权管理；（九）境内客户信息及所有交易记录存放在中国境