监管要求
(1)信息科技治理
①明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责;
②设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作;
③以正式制度(文件)明确信息科技治理作为重要组成部分纳入公司治理;
④设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官具有一定的信息科技专业背景或从业经验
(2)信息科技风险管理
信息科技风险纳入全面风险管理,明确风险管理部门统一复杂信息科技风险管理。
(3)信息安全管理
重点关注信息安全管理体系建设和信息安全管理执行力。
(4)信息系统开发及测试
信息科技项目管理体系 |
①建立规范的项目管理组织、制度和流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;为项目团队提供充足的人力资源配备,建立有效的激励机制;具备项目创新能力。 ②有规范化的信息科技项目生命周期管理流程,包括立项、需求分析、设计、开发(自建或外购)、测试、试运行、运行维护和下线等环节,系统开发方法与信息科技项目的规模、性质和复杂度相匹配。 |
项目管理过程中的风险控制 |
①信息科技风险管控涵盖信息科技项目生命周期各个重要环节。 ②建立必要的安全隔离措施。 ③业务部门应全程参与信息系统开发及测试的全过程;已完成开发和测试环境的程序或系统配置变更应用到生产系统前应经业务部门和变更控制委员会的批准。 |
(5)信息科技运行及维护
(6)业务连续性管理
①商业银行应将业务连续性管理纳入全面风险管理体系。
②制定运营中断事件等级划分标准,根据事件影响范围、持续时间和损失程度定义事件等级,遵循“统一指挥、分类管理、分级处置、快速响应”的原则,开展应急响应处置工作。
(7)信息科技外包管理
(8)信息科技审计
①重点关注信息科技风险内部监督机制和外部监管合规监督等。
②商业银行应重视:近三年信息科技审计覆盖率、近两年信息科技内(外)审整改率、近两年内(外)审工作中信息科技专项审计占比。
(9)重大监管关注事项