发布时间 : 星期日 文章商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)更新完毕开始阅读7e90ce3887c24028915fc312
(一)商业银行应建立统一的应用架构,规范本行应用系统开发、推广和使用等系统生命周期管理;
(二)信息系统建设应适应业务和管理发展的要求,具备良好的可扩展性和灵活性;
(三)采取措施保证应用系统安全稳定运行,满足业务控制的需要;
(四)关键信息系统应采用集中管理模式,不断提升信息系统的集约化管理水平;
(五)信息系统必须满足统一身份鉴别、访问控制、安全审计、数据安全、交易安全、软件容错、资源控制、性能容量控制等方面的安全规范要求;
(六)商业银行要拥有对关键业务系统开发、管理和运行维护的主导权,拥有主要业务系统、系统数据和系统关键设备的所有权;
(七)处理客户信息和交易记录的系统在中国境内独立运行,由国内机构全权管理和维护。
第三十五条 基础架构是保证数据架构和应用架构得以实施
的重要手段,商业银行应明确建立包括基础设施、支持平台和系统开发在内的基础架构。
第三十六条 基础架构设计,至少应达到以下要求:
(一)基础架构的设计和实现,必须做到统一规划、统一标准和科学布局,具备安全、可靠、灵活和经济的特点,满足业务
13
增长和创新的需要;
(二)基础设施和与之相整合的服务不仅要保证现有应用系统安全、持续、稳健运行,也能为本行迅速采用新的业务应用系统提供具有成本效益的服务;
(三)定期或有重大变化时对基础架构进行评估,保证基础架构的适应性和合理性;
(四)应按照有关规定,依据资产规模和经营范围决定建立全国性、区域性或地方性数据处理中心和灾难备份中心,实施主要系统和数据分等级灾备,提高业务连续运作和抵御风险能力;
(五)要根据系统等级和业务经营范围,明确计算机机房建设标准,所建计算机机房要符合国家和行业有关标准;
(六)网络建设要采用成熟技术,具有安全、灵活、经济和易管理等特征,主要网络接入要有必要的备份和带宽冗余;
(七)主要硬件设备,应与本行业务发展规划相适应,满足未来一定时期内业务量增长的需求,符合高可用性和高扩展性原则;
(八)在基础架构中要充分考虑在银行机构与客户的接触点和渠道方面对客户信息的保护,确保相关信息系统安全、可靠运行;
(九)存放客户信息、交易记录和相关信息系统的设备存放中国境内,由境内机构和人员全权管理和维护。
第三十七条 商业银行要从安全角度审查本行技术架构,建立
14
统一、高效、符合本行信息系统发展水平的信息安全架构,为系统架构提供所需要的安全服务,为安全设施部署提供依据。
第三十八条 安全架构设计应该以风险为导向,与本行的安全
策略相吻合,通过建立安全组织、安全方针、安全制度和安全策略降低整个企业的信息技术风险。
第三十九条 安全架构的设计和建立使得信息科技安全工作
至少达到以下要求:
(一)客户信息和银行业务数据在处理、保存、传输和使用整个过程中安全、可靠和完整;
(二)信息系统所涉及物理环境、核心设备和关键基础平台安全有效;
(三)关键网络系统安全、高效、可靠;
(四)采用多种技术措施,使本行信息和系统具备抵御外部威胁和干扰能力;
(五)确保内部信息不被泄露;
(六)确保安全因素在系统设计和建设的每个阶段都被详细考虑;
(七)消除整体安全架构中的单个故障点。
第四章 工作机制
第四十条 商业银行应建立科学、高效的信息科技运行管理制
15
度,规范信息科技管理、风险防范和审计工作运行机制,提高信息科技工作效率和风险防范水平。
第四十一条 商业银行信息科技运行管理制度应理顺以下单
位和部门之间运行机制和办事流程:
(一)科技部门、风险管理部门、审计部门和主要业务部门之间的管理运行机制和办事流程;
(二)信息科技内部管理、开发、运维等内设部门和岗位运行机制和办事流程;
(三)总行及其分支机构在信息科技管理、风险防范和审计工作中的运行机制和办事流程。
第四十二条 商业银行应加强上级行对下级行信息科技管理、
风险防范和审计工作的管理、协调和指导工作。
第四十三条 商业银行应建立清晰、有效的信息科技决策管理
制度,明确信息科技决策内容和相关领导、部门在信息科技决策中的角色和职责。
第四十四条 商业银行信息科技决策管理制度应至少涵盖以
下内容:
(一)信息科技发展战略规划、技术架构和信息科技年度工作计划制定、审阅和审批决策流程;
(二)信息科技项目管理流程及业务、科技、风险管理和审计等部门在项目决策中的职责、分工和路径;
(三)科技建设经费审批流程;
16