首 页 开云网页版-开云(中国)官方在线登录 图片 发展观察 开云网页版-开云(中国)官方在线登录跟踪 经济发展 减贫救灾 社会发展 全球招标投标 商务资讯 观察思考 发展报告 数字报告 白皮书 中国之窗 世行在中国
专家专栏 政策解读 宏观经济 区域发展
行业动向
行业规划 金融证券
金融法规
贸易发展 工程项目/ 数据库/周刊 企业发展
国情公报 经济数据 经济名词 采购商
发展开云网页版-开云(中国)官方在线登录  -内地确诊甲型流感39例 疫苗将生产 陕西汉中狂犬病疫情8人死 -香港台湾等地红牛饮料被检出微量可卡因 国内未进口 正在检测 -廉租房三年规划出台 拟建518万套新房 专家:中国房价高得离谱 -5月PMI指数53.1% 经济回升态势不改 5月新增贷款或继续回落 -发改委公布节能空调补贴品牌 家电"以旧换新"将拉动内需500亿元 -通用汽车正式申请破产保护 加拿大政府援助成股东 背后中国机遇 -中石化:油价调整不到位 专家:月底或再调 京民营加油站跟风涨价 -债市"红五月"落幕 转债跑输大盘 地方债零成交 险资收益仅9.3% -美财长访华力排对美国债疑虑 呼吁中国扩大内需 借中国之力救美 -中国银行业总资产突破60万亿元 将约束案件频发金融机构 全文
首页>>金融政策
商业银行信息科技风险管理指引(全文)
中国发展门户网 www.chinagate.com.cn  2009 年 06 月 02 日 
字号:    打印本文章 写信给编辑

 

第八章    

 

第五十五条  商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行。

第五十六条  商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。

第五十七条  商业银行在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:

(一) 分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制,是否满足商业银行履行对外包服务商的监督义务。

(二) 考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。

(三) 充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。

(四) 考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。

(五) 关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。

第五十八条  商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不限于:

(一) 对外包服务商的报告要求和谈判必要条件。

(二) 银行业监管机构和内部审计、外部审计能执行足够的监督。

(三) 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。

(四) 担保和损失赔偿是否充足。

(五) 外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。

(六) 外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。

(七) 第三方供应商出现问题时,保证软件持续可用的相关措施。

(八) 变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包协议的条件,例如:

1. 商业银行或外包服务商的所有权或控制权发生变化。

2. 商业银行或外包服务商的业务经营发生重大变化。

3. 外包服务商提供的服务不充分,造成商业银行不能履行监督义务。

第五十九条  商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:

(一) 提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户提供服务的充分性。

(二) 通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。

(三) 针对绩效不达标的情况调整流程,采取整改措施。

第六十条  商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资料等敏感信息的安全,包括但不限于采取以下措施:

(一) 实现本银行客户资料与外包服务商其他客户资料的有效隔离。

(二) 按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。

(三) 要求外包服务商保证其相关人员遵守保密规定。

(四) 应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。

(五) 严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息的安全。

(六) 确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。

第六十一条  商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。

第六十二条  商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。



第九章  内部审计

 

第六十三条  商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。

第六十四条  商业银行内部信息科技审计的责任包括:

(一) 制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性。

(二) 按照第(一)款规定完成审计工作,在此基础上提出整改意见。

(三) 检查整改意见是否得到落实。

(四) 执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。

第六十五条  商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。

第六十六条  商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。

 

来源: 中国发展门户网
   上一页   2   3   4   5   6   7   8   下一页  



相关文章:
多家商业银行表示上半年新增贷款约6万亿元
商业银行纷纷发行次级债 2012年或将超4300亿元
1季上市银行半数净利负增长 中小商业银行分支机构不受数量控制
地方债上市交易大多零成交 商业银行"囤积"地方债
央行副行长易纲:商业银行体系流动性充裕
我国商业银行不良贷款余额和比例继续保持双下降
银监会:国内中小商业银行分支机构不再受数量控制
图片开云网页版-开云(中国)官方在线登录:
中国首台太空望远镜样机已完成 将于2011年发射
中国遭280余种外来生物入侵 每年损失2000亿元
更多 >>