法人銀行業(yè)金融機(jī)構(gòu)信息科技監(jiān)管達(dá)標(biāo)路線圖(試行)71頁

1、法人銀行業(yè)金融機(jī)構(gòu)信息科技監(jiān)管達(dá)標(biāo)路線圖(試行)浙江銀監(jiān)局二一年十一月目 錄一、信息科技治理1二、信息科技風(fēng)險管理13三、信息科技審計(jì)18四、系統(tǒng)開發(fā)及測試24五、信息科技運(yùn)行29六、災(zāi)難恢復(fù)與應(yīng)急管理39七、外包47八、信息安全52前 言伴隨著我國銀行業(yè)的迅猛發(fā)展，信息科技已成為商業(yè)銀行進(jìn)行業(yè)務(wù)創(chuàng)新和實(shí)現(xiàn)經(jīng)營戰(zhàn)略的重要手段，信息系統(tǒng)的安全性、可靠性和連續(xù)性已經(jīng)直接影響到銀行業(yè)的安全和金融體系的穩(wěn)定。為了統(tǒng)一思想認(rèn)識，明確目標(biāo)和監(jiān)管要求，2010年4月下旬，局領(lǐng)導(dǎo)在浙江銀監(jiān)局轄內(nèi)法人機(jī)構(gòu)信息科技監(jiān)管聯(lián)席會議總結(jié)上提出制定我局轄內(nèi)法人機(jī)構(gòu)監(jiān)管達(dá)標(biāo)路線圖的要求。監(jiān)管達(dá)標(biāo)路線圖詳細(xì)指明商業(yè)銀行達(dá)到銀

2、監(jiān)會信息科技風(fēng)險監(jiān)管目標(biāo)和要求需要完成的路徑和步驟，是今后一定時期內(nèi)指導(dǎo)轄內(nèi)法人銀行開展信息科技風(fēng)險管理工作的標(biāo)準(zhǔn)和行動指南。監(jiān)管達(dá)標(biāo)路線圖以銀監(jiān)會發(fā)布的各項(xiàng)信息科技監(jiān)管制度和管理辦法為基礎(chǔ)準(zhǔn)繩，以銀監(jiān)會信息科技風(fēng)險評估體系的控制有效性指標(biāo)為立足點(diǎn)，為機(jī)構(gòu)建立了明確的標(biāo)桿和要求，指明了努力的方向，對于提高轄內(nèi)中小法人銀行信息科技風(fēng)險管理建設(shè)的組織性、計(jì)劃性和有效性將起到重要的作用。為制定科學(xué)合理、可操作性強(qiáng)、符合機(jī)構(gòu)自身發(fā)展需求的路線圖，路線圖的設(shè)計(jì)由商業(yè)銀行為主，充分發(fā)揮銀行的主觀能動性，由監(jiān)管部門把關(guān)，保證路線圖設(shè)計(jì)不偏離監(jiān)管部門的要求，結(jié)合商業(yè)銀行的實(shí)際情況，設(shè)計(jì)一條科學(xué)合理的路線圖。路

3、線圖的設(shè)計(jì)思路：路線圖分為文字和表格兩大部分，文字部分概括性的描述各自領(lǐng)域內(nèi)滿足初級、中級和高級分別需要達(dá)到的要求和目標(biāo)；表格部分以銀監(jiān)會信息科技風(fēng)險評級指標(biāo)為基礎(chǔ)，分別提出每個指標(biāo)對應(yīng)初級、中級、高級的具體要求和結(jié)果文檔。路線圖的實(shí)現(xiàn)不是一朝一夕之功。轄內(nèi)每家機(jī)構(gòu)要根據(jù)路線圖的要求，自評估后明確自身所處的位置，結(jié)合自身的實(shí)際情況，確定年度的和長期的達(dá)標(biāo)的工作內(nèi)容，加強(qiáng)監(jiān)管達(dá)標(biāo)路線圖的執(zhí)行和落實(shí)。在轄內(nèi)法人商業(yè)銀行有了明確的達(dá)標(biāo)計(jì)劃和步驟以后，每年監(jiān)管部門要同機(jī)構(gòu)一起分析路線圖的完成情況、分析存在的差距與不足，共同制定年度的工作計(jì)劃，穩(wěn)步推進(jìn)轄內(nèi)法人銀行機(jī)構(gòu)提高信息科技風(fēng)險管理水平。68一、信

4、息科技治理初級要求：1 制度中明確董（理）事會信息科技風(fēng)險管理的職責(zé)。2 設(shè)立信息科技管理委員會，成員由高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成。3 內(nèi)審部門應(yīng)當(dāng)設(shè)立專門的崗位，負(fù)責(zé)信息科技內(nèi)部審計(jì)。4 由獨(dú)立于信息科技的部門承擔(dān)信息科技風(fēng)險管理責(zé)任。5 根據(jù)業(yè)務(wù)發(fā)展?fàn)顩r制定全行層面的信息科技戰(zhàn)略規(guī)劃及相應(yīng)的IT預(yù)算投入，規(guī)劃內(nèi)容全面，由董（理）事會審批通過。6 做好科技人才隊(duì)伍建設(shè)和培養(yǎng)計(jì)劃，識別定義關(guān)鍵的信息科技崗位。7 建立信息科技管理制度，規(guī)范信息科技管理。中級要求：1 制度中明確董（理）事會信息科技風(fēng)險管理的職責(zé)，并建立相關(guān)履職措施。2 應(yīng)采取適當(dāng)措施，履行信息科技管理委員會

5、職責(zé)。3 設(shè)立首席信息官，可以由高管層兼任。4 應(yīng)采取適當(dāng)措施，確保內(nèi)部審計(jì)部門履行信息科技審計(jì)職責(zé)。5 應(yīng)采取適當(dāng)措施，確保由獨(dú)立于信息科技的部門履行信息科技風(fēng)險管理職責(zé)。6 根據(jù)業(yè)務(wù)發(fā)展?fàn)顩r制定全行層面的信息科技戰(zhàn)略規(guī)劃，規(guī)劃內(nèi)容全面，應(yīng)采取適當(dāng)措施確保信息科技戰(zhàn)略符合全行業(yè)務(wù)發(fā)展戰(zhàn)略，并由信息科技管理委員會審批通過。7 做好科技人才隊(duì)伍建設(shè)和培養(yǎng)計(jì)劃，建立信息科技人才激勵制度，識別定義關(guān)鍵的信息科技崗位，并采取適當(dāng)措施防范關(guān)鍵崗位風(fēng)險。8 建立較為完善的信息科技管理制度，規(guī)范信息科技管理。高級要求：1 建立恰當(dāng)?shù)穆穆殭C(jī)制，確保董（理）事會能充分履行信息科技風(fēng)險管理職責(zé)。2 應(yīng)建立完善的機(jī)

6、制，確保信息科技管理委員會能夠充分履職。3 應(yīng)當(dāng)建立相關(guān)制度，確保首席信息官能夠充分履職。4 應(yīng)建立常態(tài)化的信息科技審計(jì)機(jī)制，確保內(nèi)部審計(jì)部門能夠充分履行信息科技審計(jì)職責(zé)。5 應(yīng)建立常態(tài)化的信息科技風(fēng)險管理機(jī)制，確保獨(dú)立于信息科技的風(fēng)險管理部門能夠充分履行信息科技風(fēng)險管理職責(zé)。6 應(yīng)建立完善的機(jī)制，確保信息科技戰(zhàn)略規(guī)劃內(nèi)容全面，并符合全行業(yè)務(wù)發(fā)展戰(zhàn)略。7 應(yīng)建立完善的科技人才隊(duì)伍建設(shè)和培養(yǎng)機(jī)制，建立完善的信息科技人才激勵制度，識別定義關(guān)鍵的信息科技崗位，并采取恰當(dāng)措施防范關(guān)鍵崗位風(fēng)險。8 建立完善的信息科技管理制度，規(guī)范信息科技管理。各指標(biāo)具體控制要求：子領(lǐng)域關(guān)鍵控制目標(biāo)編碼指標(biāo)指標(biāo)描述級別目

7、標(biāo)與要求結(jié)果文檔信息科技治理(GO)信息科技治理職責(zé)GO.01董（理）事會信息科技風(fēng)險管理職責(zé)明確銀行的董（理）事會是治理結(jié)構(gòu)中的重要部分，其職責(zé)應(yīng)當(dāng)包括以下內(nèi)容：1.批準(zhǔn)重大業(yè)務(wù)戰(zhàn)略和信息科技戰(zhàn)略規(guī)劃；2.確定風(fēng)險管理策略、容忍度，包括信息科技風(fēng)險管理容忍度（例如，可容忍的最大停機(jī)時間、可接受的最大損失金額等）；3.及時向監(jiān)管機(jī)構(gòu)報告本機(jī)構(gòu)重大信息科技事件；4.審閱信息科技審計(jì)報告及信息科技風(fēng)險評估報告；5.監(jiān)督信息科技內(nèi)外審計(jì)整改的落實(shí)。6. 在良好的公司治理基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激

8、勵機(jī)制。初級董（理）事會職責(zé)中應(yīng)包含以下內(nèi)容：1.貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國銀監(jiān)會監(jiān)管要求；2.審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致；3.了解主要的信息科技風(fēng)險，包括信息科技建設(shè)風(fēng)險、運(yùn)行風(fēng)險、信息安全風(fēng)險等；4.建立職責(zé)明確、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)；5.督促內(nèi)部審計(jì)部門進(jìn)行信息科技風(fēng)險管理審計(jì)；6.確保信息科技風(fēng)險管理工作所需資金；7.確保及時向銀監(jiān)會及其派出機(jī)構(gòu)報告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，并按相關(guān)預(yù)案快速響應(yīng)；8.確保相關(guān)職能部門配合銀監(jiān)會及其派出機(jī)構(gòu)做好信息科技風(fēng)險監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整

9、改。董（理）事會職責(zé)說明中級董（理）事會職責(zé)中應(yīng)包含以下內(nèi)容：1.審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。授權(quán)相關(guān)部門評估信息科技及其風(fēng)險管理工作的總體效果和效率；2.掌握主要的信息科技風(fēng)險，確定可接受的風(fēng)險級別，確保主要風(fēng)險能夠被識別、監(jiān)測和控制；3.規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對信息科技風(fēng)險管理重要性的認(rèn)識；4.建立分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專業(yè)隊(duì)伍的建設(shè)，建立人才激勵機(jī)制；5.確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險管理審計(jì)；6.確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)

10、險管理制度和流程，并安排相關(guān)培訓(xùn)；7.確保本法人機(jī)構(gòu)涉及客戶信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會監(jiān)管和實(shí)施現(xiàn)場檢查的要求，防范跨境風(fēng)險。董（理）事會職責(zé)說明高級董（理）事會職責(zé)中應(yīng)包含以下內(nèi)容：1.確保內(nèi)部審計(jì)部門進(jìn)行獨(dú)立有效的信息科技風(fēng)險管理審計(jì)，并審閱信息科技審計(jì)報告；2.每年審閱并向銀監(jiān)會及其派出機(jī)構(gòu)報送信息科技風(fēng)險管理的年度報告。3.督促制定預(yù)算執(zhí)行考核辦法；4.董（理）事會設(shè)置中要求至少配備有一名有信息科技背景的人員；5.審批信息科技業(yè)務(wù)連續(xù)性規(guī)劃，明確全行信息科技風(fēng)險管理策略和風(fēng)險容忍度指標(biāo)。董（理）事會職責(zé)說明GO.02董（理

11、）事會信息科技風(fēng)險管理職責(zé)落實(shí)銀行董（理）事會應(yīng)當(dāng)明確其承擔(dān)的信息科技風(fēng)險管理職責(zé)，并履行其職責(zé)。1根據(jù)指引董（理）事會設(shè)立信息科技管理委員會，由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成，負(fù)責(zé)信息科技戰(zhàn)略規(guī)劃制定、重大項(xiàng)目的審批、制定基本的IT風(fēng)險管理政策，聽取風(fēng)險評估報告和監(jiān)督風(fēng)險政策執(zhí)行情況, 負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董（理）事會和高級管理層匯報有關(guān)情況等。初級1.落實(shí)GO.01初級要求；2.成立由來自高層、信息科技部門和主要業(yè)務(wù)部門組成的信息科技管理委員會，負(fù)責(zé)每年向董（理）事會或高級管理層匯報信息科技戰(zhàn)略規(guī)劃執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況等，委員會會

12、議每年不得少于一次；董（理）事會批準(zhǔn)的戰(zhàn)略規(guī)劃了解信息科技風(fēng)險管理情況的記錄聽取審計(jì)情況報告的記錄信息科技管理委員會工作職責(zé)信息科技管理委員會開展工作情況記錄治理架構(gòu)圖及說明信息科技預(yù)算及審批記錄信息科技制度流程學(xué)習(xí)、考試相關(guān)記錄科技崗位交接培訓(xùn)記錄科技風(fēng)險評估記錄；科技風(fēng)險評估問題跟蹤記錄；信息安全監(jiān)控記錄中級1.落實(shí)GO.01中級要求；2.信息科技管理委員會會議每年不得少于兩次；信息科技總體風(fēng)險評估報告審計(jì)報告經(jīng)董（理）事會審批的信息科技業(yè)務(wù)連續(xù)性規(guī)劃方案信息科技風(fēng)險意識教育的資料和記錄信息科技相關(guān)部門和崗位職責(zé)說明高級1.落實(shí)GO.01高級要求；2.信息科技管理委員會根據(jù)需要定期召開會議

13、，每年不得少于四次；3.建立相互獨(dú)立的信息科技管理、信息科技風(fēng)險管理和信息科技審計(jì)等部門； 重要信息科技應(yīng)急預(yù)案信息科技風(fēng)險意識教育制度信息科技人才激勵制度信息科技審計(jì)制度信息科技審計(jì)報告及董（理）事會審閱記錄信息科技風(fēng)險管理年報及董（理）事會審閱記錄董（理）事會對監(jiān)管及整改意見的審閱記錄數(shù)據(jù)中心設(shè)立董（理）事會審議記錄董（理）事會對數(shù)據(jù)中心基本管理制度的審閱記錄GO.03設(shè)立首席信息官（CIO），直接向行長匯報，參與重大決策銀行應(yīng)當(dāng)設(shè)立首席信息官（CIO），直接向行長匯報，參與重大決策。首席信息官是商業(yè)銀行負(fù)責(zé)信息科技管理的高級管理人員,對本行信息科技總體管理負(fù)責(zé)。1根據(jù)商業(yè)銀行首席信息官管

14、理辦法（征求意見稿）的要求，建立規(guī)范的信息官制度和流程，明確信息官的職責(zé)。初級參照首席信息官，明確信息科技分管行長職責(zé)。信息科技分管行長職責(zé)中級設(shè)立首席信息官崗位（可以兼任），明確首席信息官職責(zé)。首席信息官提名與任命管理辦法首席信息官崗位職責(zé)說明高級產(chǎn)生符合銀監(jiān)會任職條件的首席信息官；嚴(yán)格按照銀監(jiān)會有關(guān)規(guī)定，規(guī)范并完善首席信息官有關(guān)制度，為首席信息官有效履職提供必要條件。首席信息官崗位職責(zé)說明首席信息官績效考核辦法首席信息官年度工作計(jì)劃首席信息官述職報告首席信息官績效考核情況報告首席信息官參與的重大會議紀(jì)要GO.04內(nèi)部審計(jì)部門設(shè)立專門崗位負(fù)責(zé)信息科技內(nèi)部審計(jì)應(yīng)當(dāng)由內(nèi)審部門設(shè)立專門的崗位負(fù)責(zé)信

15、息科技內(nèi)部審計(jì)，信息科技審計(jì)應(yīng)當(dāng)包括：落實(shí)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技整個生命周期和重大事件等進(jìn)行審計(jì)。初級應(yīng)當(dāng)在內(nèi)審部門設(shè)立崗位負(fù)責(zé)信息科技內(nèi)部審計(jì)，信息科技審計(jì)人員至少不得少于2人。審計(jì)部門組織架構(gòu)圖審計(jì)部門及崗位職責(zé)說明審計(jì)部門人員崗位分工說明中級同初級同初級高級1.應(yīng)建立完善的信息科技審計(jì)組織架構(gòu)，確保審計(jì)部門能充分履行信息科技審計(jì)職責(zé)；2.專職信息科技風(fēng)險審計(jì)人員數(shù)量原則上按照科技人員數(shù)量的5%配備；3.信息科技風(fēng)險審計(jì)人員應(yīng)當(dāng)具備相應(yīng)的專業(yè)從業(yè)資格。信息科技審計(jì)人員背景資料信息科技審計(jì)制度GO.05設(shè)立信息科技風(fēng)險管理部門應(yīng)當(dāng)由獨(dú)立于信息科技

16、的部門承擔(dān)信息科技風(fēng)險管理責(zé)任，該部門負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，實(shí)施持續(xù)信息科技風(fēng)險評估，跟蹤整改意見的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。初級應(yīng)在信息科技部門外設(shè)立信息科技風(fēng)險管理部門，負(fù)責(zé)信息科技風(fēng)險的監(jiān)督和報告；信息科技風(fēng)險管理部門組織架構(gòu)信息科技風(fēng)險管理部門及崗位職責(zé)說明信息科技風(fēng)險管理部門人員崗位分工說明中級應(yīng)在信息科技部門外設(shè)立信息科技風(fēng)險管理部門，負(fù)責(zé)開展信息科技風(fēng)險的識別、評估、監(jiān)督和報告。同上高級1.應(yīng)在信息科技部門外建立信息科技風(fēng)險管理部門，負(fù)責(zé)信息科技風(fēng)險的識別、評估、計(jì)量、監(jiān)測、控制和報告。應(yīng)建立完善的信息科技風(fēng)險管理組織架構(gòu)，確保能充分履行信息科技風(fēng)

17、險管理工作。同上信息科技戰(zhàn)略及規(guī)劃GO.06建立與總體業(yè)務(wù)規(guī)劃一致的信息科技戰(zhàn)略規(guī)劃信息科技戰(zhàn)略由信息科技管理委員會負(fù)責(zé)制定，信息科技戰(zhàn)略規(guī)劃應(yīng)當(dāng)符合機(jī)構(gòu)總體業(yè)務(wù)規(guī)劃，并維持穩(wěn)定、安全的信息科技環(huán)境。信息科技戰(zhàn)略規(guī)劃由信息科技管理委員會負(fù)責(zé)制定。初級1.信息科技戰(zhàn)略規(guī)劃及預(yù)算應(yīng)經(jīng)信息科技管理委員會審議；2.信息科技戰(zhàn)略規(guī)劃及預(yù)算應(yīng)報董（理）事會審批。經(jīng)董（理）事會審批的信息科技戰(zhàn)略規(guī)劃經(jīng)董（理）事會審批的信息科技預(yù)算信息科技管理委員會審議的記錄中級1.信息科技管理委員會應(yīng)督促職能部門執(zhí)行信息科技戰(zhàn)略規(guī)劃；2.信息科技管理委員會應(yīng)督促職能部門根據(jù)戰(zhàn)略規(guī)劃制定信息科技年度建設(shè)計(jì)劃，并審議批準(zhǔn)。3.

18、信息科技預(yù)算結(jié)構(gòu)上得到優(yōu)化，重視對人員培訓(xùn)的投入信息科技年度建設(shè)計(jì)劃信息科技管理委員會審議信息科技年度建設(shè)計(jì)劃的記錄信息科技預(yù)算明細(xì)高級1.信息科技管理委員會應(yīng)適時對戰(zhàn)略規(guī)劃的執(zhí)行情況進(jìn)行評估，確保符合銀行總體業(yè)務(wù)發(fā)展戰(zhàn)略和風(fēng)險管理策略；2.信息科技管理委員會應(yīng)根據(jù)評估情況，督促修訂信息科技戰(zhàn)略規(guī)劃；3.信息科技預(yù)算適應(yīng)業(yè)務(wù)需要，適當(dāng)超前。信息科技戰(zhàn)略規(guī)劃執(zhí)行情況評估報告GO.07信息科技戰(zhàn)略規(guī)劃內(nèi)容全面，有效支撐業(yè)務(wù)規(guī)劃作為信息科技治理的一部分工作，銀行應(yīng)當(dāng)制定全面的信息科技戰(zhàn)略規(guī)劃，以支撐業(yè)務(wù)的發(fā)展。1信息科技戰(zhàn)略規(guī)劃內(nèi)容全面，包括信息科技戰(zhàn)略目標(biāo)、信息科技風(fēng)險管理規(guī)劃、信息科技治理規(guī)劃、

19、信息科技架構(gòu)規(guī)劃、信息科技項(xiàng)目（或信息系統(tǒng)）規(guī)劃。初級信息科技戰(zhàn)略規(guī)劃內(nèi)容應(yīng)包括以下內(nèi)容：（1）信息科技戰(zhàn)略目標(biāo)；（2）信息科技治理規(guī)劃；（3）信息科技架構(gòu)規(guī)劃；（4）信息科技項(xiàng)目（或信息系統(tǒng)）規(guī)劃等內(nèi)容。戰(zhàn)略目標(biāo)治理規(guī)劃架構(gòu)規(guī)劃信息系統(tǒng)規(guī)劃中級信息科技戰(zhàn)略規(guī)劃內(nèi)容應(yīng)包括信息科技風(fēng)險管理規(guī)劃。風(fēng)險管理規(guī)劃高級同中級同中級信息科技治理運(yùn)作GO.08董（理）事會和管理層對信息科技風(fēng)險管理的關(guān)注和支持董（理）事會和管理層應(yīng)當(dāng)保持對信息科技風(fēng)險管理的支持和關(guān)注。1建立科學(xué)合理的信息科技風(fēng)險管理的考核指標(biāo)初級相關(guān)部門每年應(yīng)將信息科技風(fēng)險管理情況報告董（理）事會或高級管理層。報董（理）事會或高級管理層信息

20、科技風(fēng)險管理情況報告中級應(yīng)建立信息科技風(fēng)險管理考核指標(biāo)，指標(biāo)應(yīng)包括信息科技開發(fā)、運(yùn)行、和內(nèi)控管理等信息科技風(fēng)險管理相關(guān)內(nèi)容。信息科技風(fēng)險管理考核指標(biāo)高級應(yīng)建立信息科技風(fēng)險管理考核指標(biāo)，指標(biāo)從科技、風(fēng)險、審計(jì)三道防線出發(fā)，建立全面的信息科技風(fēng)險管理考核體系和指標(biāo)。信息科技風(fēng)險管理考核制度GO.09信息科技治理組織結(jié)構(gòu)合理有效銀行應(yīng)當(dāng)設(shè)置合理的信息科技治理組織結(jié)構(gòu)，使科技決策、科技管理、風(fēng)險、審計(jì)等定位明確。初級1.應(yīng)設(shè)立信息科技管理委員會；2.應(yīng)設(shè)立部門負(fù)責(zé)信息科技管理工作；3.應(yīng)設(shè)立信息科技風(fēng)險管理崗位負(fù)責(zé)信息科技風(fēng)險管理工作；4.應(yīng)設(shè)立信息科技審計(jì)崗位負(fù)責(zé)信息科技審計(jì)工作。組織架構(gòu)圖及說明信

21、息科技管理委員會工作職責(zé)說明信息科技管理部門或崗位職責(zé)說明信息科技風(fēng)險管理崗位職責(zé)說明信息科技審計(jì)崗位職責(zé)說明中級1.應(yīng)設(shè)立首席信息官；2.應(yīng)設(shè)立獨(dú)立的信息科技部門；3.應(yīng)在風(fēng)險管理部門內(nèi)設(shè)立信息科技風(fēng)險管理崗位負(fù)責(zé)信息科技風(fēng)險管理工作；4.應(yīng)在審計(jì)部門內(nèi)設(shè)立信息科技審計(jì)崗位負(fù)責(zé)信息科技審計(jì)工作。5.實(shí)行總、分行兩級安全管理，成立總行計(jì)算機(jī)安全管理領(lǐng)導(dǎo)小組，明確了各級分支機(jī)構(gòu)的安全責(zé)任。首席信息官職責(zé)說明信息科技管理部門和崗位職責(zé)說明高級1.應(yīng)設(shè)立信息科技管理委員會，并確保充分履職。2.應(yīng)設(shè)立首席信息官，并確保充分履職；3.應(yīng)設(shè)立信息科技風(fēng)險管理部門負(fù)責(zé)信息科技風(fēng)險管理工作，并建立健全信息科技

22、風(fēng)險管理機(jī)制，確保信息科技風(fēng)險部門能充分履職；4.應(yīng)設(shè)立信息科技審計(jì)部門負(fù)責(zé)信息科技審計(jì)工作，并建立健全信息科技審計(jì)機(jī)制，確保信息科技審計(jì)部門能充分履職；5.建立完善計(jì)算機(jī)安全組織架構(gòu)，在科技部門成立專門的信息安全管理部門。首席信息官參與的重大會議紀(jì)要信息科技風(fēng)險管理部門年度工作計(jì)劃信息科技風(fēng)險管理部門和崗位職責(zé)說明信息科技審計(jì)部門和崗位職責(zé)說明信息科技審計(jì)部門年度工作計(jì)劃GO.10軟件正版化銀行應(yīng)按照知識產(chǎn)權(quán)相關(guān)法律法規(guī)，制定軟件正版化策略和制度，使所有員工充分理解并遵照執(zhí)行；確保購買和使用合法的軟硬件產(chǎn)品，禁止侵權(quán)盜版。初級1.指定專人或部門，對銀行內(nèi)采購、安裝、使用商業(yè)軟件進(jìn)行管理；2.

23、搜集安裝軟件的信息并統(tǒng)計(jì)；3.制定軟件正版化計(jì)劃和相應(yīng)管理辦法。軟件正版化情況概要軟件正版化管理辦法中級1.制定軟件正版化策略和制度；2.對員工進(jìn)行軟件正版化教育；3.確保行內(nèi)的所有商業(yè)軟件的合法和有效性，加強(qiáng)對軟件授權(quán)的管理，采取一定措施防止非法軟件的安裝。軟件正版化策略軟件正版化培訓(xùn)計(jì)劃/記錄高級1.建立軟件授權(quán)和使用清單，對購買軟件的生命周期進(jìn)行有效管理；2.建立對免費(fèi)和開源軟件的管理，所有軟件授權(quán)經(jīng)過法律部門審核；3.采取強(qiáng)制性措施禁止非法軟件或非授權(quán)軟件的安裝。軟件授權(quán)和使用控制表法律部門對軟件授權(quán)的審核記錄科技隊(duì)伍建設(shè)GO.11配置足夠信息科技人員銀行應(yīng)當(dāng)配備足夠的信息科技人員，以

24、支持銀行業(yè)務(wù)的發(fā)展和信息系統(tǒng)運(yùn)行。1根據(jù)治理指導(dǎo)意見（征求意見稿）第十八條，國有商業(yè)銀行和股份制商業(yè)銀行信息科技人員總數(shù)與員工總?cè)藬?shù)的比例原則上不低于2.5%，城市商業(yè)銀行和其他地方法人機(jī)構(gòu)這一比例原則上不低于3%，至少不得少于3人。初級1.銀行應(yīng)當(dāng)配備足夠的信息科技人員，以支持銀行業(yè)務(wù)的發(fā)展和信息系統(tǒng)運(yùn)行，信息科技人員至少不得少于3人；2.應(yīng)建立與業(yè)務(wù)相適應(yīng)的信息科技管理部門。人員統(tǒng)計(jì)表；信息科技管理部門職責(zé)說明；信息科技崗位職責(zé)說明；信息科技人員和崗位說明。中級1.應(yīng)當(dāng)配備足夠的信息科技人員，以支持銀行業(yè)務(wù)的發(fā)展和信息系統(tǒng)運(yùn)行。股份制商業(yè)銀行、城市商業(yè)銀行和省聯(lián)社信息科技人員總數(shù)與員工總?cè)?/p>

25、數(shù)的比例原則上不低于3%；2.應(yīng)建立獨(dú)立的信息科技部門，應(yīng)至少設(shè)立軟件開發(fā)、運(yùn)行維護(hù)等內(nèi)設(shè)部門。人員統(tǒng)計(jì)表信息科技管理部門職責(zé)說明信息科技崗位職責(zé)說明信息科技人員和崗位說明。高級應(yīng)建立獨(dú)立的信息科技部門，應(yīng)將信息科技運(yùn)行與系統(tǒng)開發(fā)、維護(hù)分離，確保信息科技部門內(nèi)部的崗位制約，并確保信息科技部門能充分履職。人員統(tǒng)計(jì)表信息科技管理部門職責(zé)說明信息科技崗位職責(zé)說明信息科技人員和崗位說明信息科技業(yè)務(wù)操作流程及崗位相互牽制、分離情況說明GO.12明確信息科技關(guān)鍵崗位1.銀行應(yīng)當(dāng)識別并明確信息科技關(guān)鍵崗位。初級應(yīng)梳理本行的信息科技崗位，界定具體的關(guān)鍵崗位。信息科技關(guān)鍵崗位列表中級制定對關(guān)鍵崗位的相關(guān)管理制度

26、，包括對關(guān)鍵崗位設(shè)置AB角，并實(shí)施強(qiáng)制休假或崗位輪換制度。關(guān)鍵崗位管理制度信息科技關(guān)鍵崗位說明信息科技關(guān)鍵崗位人員與崗位對照表強(qiáng)制休假或崗位輪換實(shí)施記錄高級1.建立關(guān)鍵崗位上崗和離職的管理流程，并嚴(yán)格執(zhí)行，不相容崗位不得兼崗。2.應(yīng)評估關(guān)鍵崗位信息科技員工流失帶來的風(fēng)險，做好安排候補(bǔ)員工和崗位接替計(jì)劃等防范措施；在員工崗位發(fā)生變化后及時變更相關(guān)信息。3.制定信息科技關(guān)鍵崗位任職資格標(biāo)準(zhǔn)關(guān)鍵崗位人員評估說明信息科技關(guān)鍵崗位任職資格標(biāo)準(zhǔn)GO.13組織在崗人員定期參加信息安全培訓(xùn)1.銀行應(yīng)當(dāng)組織在崗人員定期參加信息安全培訓(xùn)，提升在崗人員的信息安全意識。初級應(yīng)當(dāng)組織相關(guān)人員參加信息安全培訓(xùn)，提升專業(yè)人

27、員的信息安全技能和意識，每年至少一次組織在崗人員參加信息安全培訓(xùn)信息安全培訓(xùn)記錄（培訓(xùn)通知及簽到單）中級1. 每年根據(jù)各在崗人員崗位性質(zhì)制定信息安全培訓(xùn)計(jì)劃，確保覆蓋所有在崗員工，形式可采用會議、通知、風(fēng)險提示、考試、專題培訓(xùn)等，留存培訓(xùn)記錄。2.每年應(yīng)制定培訓(xùn)計(jì)劃對專業(yè)人員進(jìn)行信息安全培訓(xùn)，提升專業(yè)人員的信息安全技能和意識。信息安全教育和培訓(xùn)的年度計(jì)劃高級1.應(yīng)建立對員工進(jìn)行信息安全培訓(xùn)的制度，形成信息安全教育和培訓(xùn)的常態(tài)化機(jī)制。2.建立信息安全培訓(xùn)考試制度，將信息安全知識考試與相關(guān)員工上崗、競聘、考核等掛鉤，提升在崗人員的信息安全意識。信息安全培訓(xùn)及考試制度考核通知和結(jié)果通報GO.14信息

28、科技人員穩(wěn)定情況銀行應(yīng)當(dāng)保證信息科技人員的穩(wěn)定。1根據(jù)治理指導(dǎo)意見（征求意見稿）第五十二條，商業(yè)銀行應(yīng)建立一套包括職位晉升、薪酬晉級在內(nèi)的信息科技激勵機(jī)制，激勵機(jī)制應(yīng)與信息科技運(yùn)行效率、風(fēng)險控制目標(biāo)等相聯(lián)系，保證科技隊(duì)伍的穩(wěn)定。初級對信息科技崗位進(jìn)行標(biāo)準(zhǔn)化，運(yùn)用崗位分析、崗位評價，設(shè)計(jì)合理的級別體系。崗位職務(wù)說明書中級1.應(yīng)建立一套信息科技激勵機(jī)制，充分調(diào)動信息科技人員的積極性和創(chuàng)造性，激勵機(jī)制應(yīng)與信息科技系統(tǒng)建設(shè)、運(yùn)行效率、風(fēng)險控制目標(biāo)等相聯(lián)系，引導(dǎo)員工重視個人技能的增長，保證科技隊(duì)伍的穩(wěn)定；2.應(yīng)建立信息科技問責(zé)機(jī)制，對不履行職責(zé)或違反信息科技管理制度人員進(jìn)行問責(zé)和懲處。薪酬考核制度信息科

29、技激勵制度信息科技問責(zé)制度高級1.應(yīng)建立一套完善的包括職位晉升、薪酬晉級在內(nèi)的信息科技激勵機(jī)制，充分調(diào)動信息科技人員的積極性和創(chuàng)造性，激勵機(jī)制應(yīng)與信息科技系統(tǒng)建設(shè)、運(yùn)行效率、風(fēng)險控制目標(biāo)等相聯(lián)系，保證科技隊(duì)伍的穩(wěn)定。2.每年對信息科技人員補(bǔ)充、崗位調(diào)整情況進(jìn)行分析，評估現(xiàn)有激勵機(jī)制對科技隊(duì)伍穩(wěn)定的實(shí)際效果。人員新增需求計(jì)劃表二、信息科技風(fēng)險管理初級要求： 1、 在信息科技部門之外，設(shè)立或指派一個特定部門負(fù)責(zé)信息科技風(fēng)險管理，并配備專職的信息科技風(fēng)險管理人員。在信息科技部門內(nèi)至少指定一名專職人員負(fù)責(zé)內(nèi)控和風(fēng)險防范。并要求具有與崗位相當(dāng)?shù)膶I(yè)知識能力、一定的從業(yè)經(jīng)驗(yàn)和良好的職業(yè)操守。2、 信息科技

30、風(fēng)險管理部門根據(jù)指引第十五條要求基本建立風(fēng)險管理策略。3、 信息科技風(fēng)險管理部門建立信息資產(chǎn)的分類分級標(biāo)準(zhǔn)，識別建立和維護(hù)信息資產(chǎn)清單，確定各類信息資產(chǎn)中的關(guān)鍵資產(chǎn)，鎖定評估對象。4、 應(yīng)當(dāng)建立信息科技風(fēng)險監(jiān)測機(jī)制，確定監(jiān)測范圍、監(jiān)測內(nèi)容和頻率。5、 信息科技隊(duì)伍建設(shè)：銀行應(yīng)當(dāng)配備足夠的信息科技人員，以支持銀行業(yè)務(wù)的發(fā)展和信息系統(tǒng)運(yùn)行。并梳理本行的信息科技崗位，界定具體的關(guān)鍵崗位。同時運(yùn)用崗位分析、崗位評價等，設(shè)計(jì)合理的級別體系。 中級要求： 1、 信息科技風(fēng)險管理部門應(yīng)建立完善的信息科技風(fēng)險管理策略, 并對其適用性進(jìn)行評估、進(jìn)行必要修訂。初步明確本行信息科技風(fēng)險管理對象、內(nèi)容、過程和方法，組

31、織架構(gòu)中各部門的職責(zé)及相互關(guān)系。2、 對重要信息資產(chǎn)建立風(fēng)險評估制度。對重要信息資產(chǎn)建立風(fēng)險評估制度，在重要信息系統(tǒng)投產(chǎn)或變更時履行風(fēng)險評估手續(xù)。制定關(guān)鍵風(fēng)險指標(biāo)體系，運(yùn)用關(guān)鍵指標(biāo)建立對信息科技風(fēng)險的定量計(jì)量和監(jiān)測。3、 信息科技隊(duì)伍建設(shè)：應(yīng)當(dāng)配備足夠的信息科技人員，以支持銀行業(yè)務(wù)的發(fā)展和信息系統(tǒng)運(yùn)行。股份制商業(yè)銀行、城市商業(yè)銀行和省聯(lián)社和這一比例原則上不低于3%；制定對關(guān)鍵崗位的相關(guān)管理制度。根據(jù)信息科技人員特點(diǎn)，建立合理的職位晉升和薪酬考核機(jī)制，引導(dǎo)員工重視個人技能的增長。高級要求： 1、 信息科技風(fēng)險管理人員應(yīng)具備相應(yīng)的從業(yè)資格，通過IT風(fēng)險管理、信息安全等專業(yè)資格考試并獲得相應(yīng)證書。2

32、、 信息科技風(fēng)險管理部門應(yīng)對現(xiàn)有信息科技風(fēng)險管理制度進(jìn)行后評價，每年進(jìn)行修訂和補(bǔ)充。3、 對信息科技進(jìn)行定期、規(guī)范、持續(xù)的評估，確定信息科技中存在隱患的區(qū)域，評價風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進(jìn)行排序，確定風(fēng)險防范措施及所需資源的優(yōu)先級別。4、 對信息科技進(jìn)行持續(xù)的風(fēng)險監(jiān)測，定期分析指標(biāo)并產(chǎn)生信息科技風(fēng)險監(jiān)測報告，監(jiān)測信息科技風(fēng)險發(fā)展趨勢。5、 信息科技隊(duì)伍建設(shè)：根據(jù)本行的信息化建設(shè)情況，提升信息科技人員與員工總?cè)藬?shù)的比例。加強(qiáng)復(fù)合型人才的培養(yǎng)。每年對信息科技人員補(bǔ)充、崗位調(diào)整情況進(jìn)行分析，評估現(xiàn)有激勵機(jī)制對科技隊(duì)伍穩(wěn)定的實(shí)際效果。各指標(biāo)具體控制要求：子領(lǐng)域關(guān)鍵控制目標(biāo)編碼指標(biāo)指標(biāo)描述級別目標(biāo)

33、與要求結(jié)果文檔信息科技風(fēng)險管理信息科技風(fēng)險管理人才RM.01配置足夠信息科技風(fēng)險管理人員銀行應(yīng)當(dāng)有足夠的信息科技風(fēng)險管理人員開展信息科技風(fēng)險管理工作。初級在信息科技部門之外，設(shè)立或指派一個特定部門負(fù)責(zé)信息科技風(fēng)險管理，對信息科技風(fēng)險管理的人員數(shù)量至少一人。在信息科技部門內(nèi)至少指定一名專職負(fù)責(zé)內(nèi)控和風(fēng)險防范的人員。部門職責(zé)部門崗位設(shè)置說明中級信息科技風(fēng)險管理人員數(shù)量原則上按照科技人員數(shù)量的5%配備，至少不得少于2人?？萍既藛T中負(fù)責(zé)內(nèi)控和風(fēng)險防范人員原則上不低于5%。管理人員名單部門崗位設(shè)置說明高級專職信息科技風(fēng)險管理人員數(shù)量原則上按照科技人員數(shù)量的8%配備；管理人員名單部門崗位設(shè)置說明RM.02

34、信息科技風(fēng)險管理的人員具有相關(guān)專業(yè)背景知識和技能信息科技風(fēng)險管理人員應(yīng)當(dāng)具備專業(yè)知識和技能。初級信息科技風(fēng)險管理人員應(yīng)當(dāng)具備相應(yīng)的專業(yè)從業(yè)資格： （一）信息科技風(fēng)險管理人員應(yīng)具備大專以上學(xué)歷，掌握信息科技相關(guān)專業(yè)知識，熟悉金融相關(guān)法律、法規(guī)和金融風(fēng)險管理制度；（二）具備一年以上金融信息科技或風(fēng)險管理從業(yè)經(jīng)驗(yàn)；（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。個人簡歷學(xué)歷證書中級風(fēng)險管理人員應(yīng)同時具備從事風(fēng)險管理工作兩年以上。個人簡歷學(xué)歷證書高級信息科技風(fēng)險管理人員中至少一人通過IT風(fēng)險管理、信息安全等專業(yè)資格考試并獲得相應(yīng)證書。個人簡歷學(xué)歷證書專業(yè)資質(zhì)證書信息科技風(fēng)險管理策略RM.0

35、3制定全面的信息科技風(fēng)險策略信息科技風(fēng)險管理應(yīng)當(dāng)納入全面風(fēng)險管理體系。信息科技風(fēng)險管理策略應(yīng)覆蓋組織及職能、制度規(guī)范、風(fēng)險評估與監(jiān)督等方面，包括但不限于銀監(jiān)會發(fā)布的管理指引中的內(nèi)容。初級基本建立信息科技風(fēng)險管理策略風(fēng)險管理策略中級建立完善的信息科技風(fēng)險管理策略，管理策略覆蓋組織及職能、制度規(guī)范、風(fēng)險評估與監(jiān)督等方面，內(nèi)容包括指引規(guī)定的七個領(lǐng)域。風(fēng)險管理策略高級繼續(xù)改進(jìn)完善風(fēng)險管理策略，內(nèi)容全部覆蓋指引規(guī)定的七個領(lǐng)域。風(fēng)險管理策略RM.04建立完善的信息科技風(fēng)險管理制度信息科技風(fēng)險管理類制度應(yīng)當(dāng)考慮信息科技風(fēng)險管理策略、信息科技風(fēng)險評估、信息科技風(fēng)險報告、信息科技風(fēng)險內(nèi)部控制等方面初級應(yīng)制定相關(guān)

36、制度，包括信息科技風(fēng)險內(nèi)部控制和風(fēng)險報告等方面的內(nèi)容。信息科技相關(guān)內(nèi)控管理辦法信息科技事件報告管理辦法中級1.應(yīng)建立息科技風(fēng)險管理策略；2.信息科技風(fēng)險評估制度，明確風(fēng)險評估的范圍、內(nèi)容、方法等；信息科技風(fēng)險管理辦法信息科技風(fēng)險評估辦法高級1.應(yīng)建立完善的信息科技風(fēng)險管理制度體系，在縱向上包括信息科技風(fēng)險管理策略、標(biāo)準(zhǔn)、規(guī)范、流程，以及實(shí)施細(xì)則等；在橫向上應(yīng)全面包含信息科技風(fēng)險管理所涉及的主要范圍。2.信息科技風(fēng)險量化評估制度，對信息科技的風(fēng)險指標(biāo)有量化標(biāo)準(zhǔn)，信息安全規(guī)范與標(biāo)準(zhǔn)信息科技風(fēng)險管理流程說明信息科技風(fēng)險管理操作規(guī)程信息科技風(fēng)險量化評估制度RM.05定期評估及修訂信息科技風(fēng)險管理制度應(yīng)

37、當(dāng)定期評估信息科技風(fēng)險管理制度的適用性、完整性并進(jìn)行必要修訂。初級對現(xiàn)有信息科技風(fēng)險管理制度的適用性進(jìn)行評估、進(jìn)行必要修訂修訂的制度目錄中級同初級同初級高級每年對現(xiàn)有信息科技風(fēng)險管理制度進(jìn)行后評價，根據(jù)實(shí)際情況進(jìn)行修訂和補(bǔ)充。修訂、補(bǔ)充的風(fēng)險管理制度信息科技風(fēng)險評估RM.06制定持續(xù)的風(fēng)險識別和評估流程持續(xù)的風(fēng)險識別和評估流程應(yīng)包括建立信息資產(chǎn)分類分級標(biāo)準(zhǔn)、識別建立和維護(hù)信息資產(chǎn)清單、確定信息科技中存在隱患的區(qū)域，評價風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進(jìn)行排序，確定風(fēng)險防范措施及所需資源的優(yōu)先級別。初級建立信息資產(chǎn)的分類分級標(biāo)準(zhǔn)，識別建立和維護(hù)信息資產(chǎn)清單，確定各類信息資產(chǎn)中的關(guān)鍵資產(chǎn)，鎖定評估對

38、象。信息資產(chǎn)分類分級標(biāo)準(zhǔn)中級對重要信息資產(chǎn)建立風(fēng)險評估制度，在重要信息系統(tǒng)投產(chǎn)或變更時履行風(fēng)險評估手續(xù)。風(fēng)險評估制度項(xiàng)目投產(chǎn)或變更風(fēng)險評估報告高級對信息科技進(jìn)行定期、規(guī)范、持續(xù)的評估，確定信息科技中存在隱患的區(qū)域，評價風(fēng)險對其業(yè)務(wù)的潛在影響，對風(fēng)險進(jìn)行排序，確定風(fēng)險防范措施及所需資源的優(yōu)先級別。定期風(fēng)險評估報告RM.07建立持續(xù)的信息科技風(fēng)險計(jì)量和監(jiān)測機(jī)制，進(jìn)行信息科技風(fēng)險監(jiān)測信息科技風(fēng)險管理部門應(yīng)當(dāng)建立信息科技風(fēng)險計(jì)量和監(jiān)測機(jī)制，確定監(jiān)測范圍、監(jiān)測內(nèi)容和頻率；制定關(guān)鍵風(fēng)險指標(biāo)，并分配相關(guān)責(zé)任，持續(xù)進(jìn)行風(fēng)險監(jiān)測，定期分析指標(biāo)并產(chǎn)生信息科技風(fēng)險監(jiān)測報告，監(jiān)測信息科技風(fēng)險發(fā)展趨勢。初級信息科技風(fēng)險

39、管理部門應(yīng)當(dāng)建立信息科技風(fēng)險計(jì)量和監(jiān)測機(jī)制，確定監(jiān)測范圍、監(jiān)測內(nèi)容和頻率。風(fēng)險計(jì)量和監(jiān)測制度中級制定關(guān)鍵風(fēng)險指標(biāo)體系，運(yùn)用關(guān)鍵指標(biāo)建立對信息科技風(fēng)險的監(jiān)測。關(guān)鍵風(fēng)險指標(biāo)體系高級1.對信息科技進(jìn)行持續(xù)的風(fēng)險監(jiān)測，定期以上分析指標(biāo)并產(chǎn)生信息科技風(fēng)險監(jiān)測報告，監(jiān)測信息科技風(fēng)險發(fā)展趨勢。2.制定內(nèi)部，外部升級和監(jiān)管發(fā)現(xiàn)問題整改處理機(jī)制；3.制定新技術(shù)發(fā)展和已使用軟件面臨威脅定期評估機(jī)制。信息科技風(fēng)險監(jiān)測報告內(nèi)部、外部升級和監(jiān)管發(fā)現(xiàn)問題整改處理機(jī)制新技術(shù)發(fā)展和已使用軟件面臨威脅定期評估機(jī)制三、信息科技審計(jì)初級要求：1.初步建立信息科技風(fēng)險審計(jì)的各項(xiàng)相關(guān)制度；2.在內(nèi)部審計(jì)部門設(shè)置信息科技風(fēng)險審計(jì)崗，并配

40、備一定數(shù)量的信息科技風(fēng)險審計(jì)人員；3.可以在一定程度上開展信息科技風(fēng)險的內(nèi)部審計(jì)工作；4.制定審計(jì)的年度計(jì)劃，并按計(jì)劃組織實(shí)施。中級要求：1.建立較為完整的信息科技審計(jì)的相關(guān)制度體系；2.在內(nèi)部審計(jì)部門設(shè)置信息科技風(fēng)險審計(jì)崗位，配備一定數(shù)量的專職信息科技審計(jì)人員，專門從事信息科技審計(jì)工作； 3.制定較為完善的年度審計(jì)計(jì)劃，并按計(jì)劃開展有序的審計(jì)工作； 4.有能力獨(dú)立開展信息科技風(fēng)險的專項(xiàng)審計(jì)工作，并按照銀監(jiān)會的有關(guān)要求對本行的信息科技風(fēng)險進(jìn)行一定頻率的專項(xiàng)審計(jì)，必要時也可組織外部審計(jì)工作；5.對內(nèi)、外部審計(jì)中發(fā)現(xiàn)的問題督促被審計(jì)部門進(jìn)行落實(shí)，保證審計(jì)的有效性。高級要求：1.建立了較為完善的信息

41、科技風(fēng)險審計(jì)制度體系，并定期檢查制度的執(zhí)行情況，不斷提高制度的執(zhí)行力；2.在內(nèi)審部門設(shè)立專門的信息科技風(fēng)險審計(jì)崗（小組），配備足夠數(shù)量（達(dá)到本行科技人員數(shù)量的2-5%）的具有較高專業(yè)水平的審計(jì)人員（最好能取得專業(yè)技術(shù)資格），并充分履職；3.具有獨(dú)立開展信息科技風(fēng)險全面審計(jì)的能力，持續(xù)（不小于3年）開展合理頻度（一年不少于一次）的信息科技風(fēng)險專項(xiàng)審計(jì)，且收到較好的效果；3.連續(xù)三年以上，制定了完善的年度審計(jì)計(jì)劃，并能按計(jì)劃開展有序的審計(jì)工作；4.至少三年一周期，一級分支機(jī)構(gòu)的審計(jì)覆蓋率能達(dá)到100%。5.對審計(jì)中發(fā)現(xiàn)的問題均有明確的整改意見和整改結(jié)果，審計(jì)部門履行跟蹤、監(jiān)督職能，保證審計(jì)的有效性

42、。各指標(biāo)具體控制要求：子領(lǐng)域關(guān)鍵控制目標(biāo)編碼指標(biāo)指標(biāo)描述級別目標(biāo)與要求結(jié)果文檔審計(jì)(AD)AD.01信息科技審計(jì)制度制定情況制定完善的信息科技審計(jì)制度和政策，包括信息科技內(nèi)審政策、信息科技外審政策、信息科技內(nèi)審的內(nèi)容、范圍、職責(zé)、審計(jì)方法、審計(jì)報告、處理和整改落實(shí)等情況，信息科技外審的范圍、外審公司選擇標(biāo)準(zhǔn)、外審報告處理和整改措施等方面。初級根據(jù)銀行現(xiàn)有的的信息科技審計(jì)情況，參照商業(yè)銀行商業(yè)銀行信息科技風(fēng)險管理指引及治理指導(dǎo)意見（征求意見稿）等，修訂和完善本行的相關(guān)制度，明確審計(jì)報告路徑和審計(jì)人員資職，保證審計(jì)的獨(dú)立性和較高的審計(jì)質(zhì)量。同時審計(jì)制度包括信息科技的審計(jì)政策、內(nèi)外部審計(jì)的規(guī)定，內(nèi)部

43、審計(jì)的職責(zé)、范圍、方法、內(nèi)容、報告、整改及后續(xù)審計(jì)等，做到對審計(jì)工作具有明確的指導(dǎo)作用。信息科技審計(jì)制度中級制度內(nèi)容比較全面，能反映本行信息科技審計(jì)的管理要求。信息科技審計(jì)制度高級信息科技審計(jì)制度與銀監(jiān)會的相關(guān)制度及其他外部制度具有較好的銜接，保證制度的可操作性。信息科技審計(jì)制度信息科技內(nèi)部審計(jì)獨(dú)立性與合理授權(quán)AD.02內(nèi)部審計(jì)部門進(jìn)行信息科技風(fēng)險管理審計(jì)的獨(dú)立性內(nèi)部審計(jì)部門應(yīng)當(dāng)具備合理的匯報路線和審計(jì)技能，以保證內(nèi)審的獨(dú)立性。初級明確審計(jì)部門報告路徑，審計(jì)報告直接匯報董（理）事會、監(jiān)事會或?qū)徲?jì)委員會，賦予內(nèi)部審計(jì)部門具有獨(dú)立開展信息科技審計(jì)工作的相關(guān)職能。信息科技審計(jì)制度中級加強(qiáng)對銀行信息科

44、技風(fēng)險審計(jì)人員的培訓(xùn)，使內(nèi)部審計(jì)人員具有一定的信息科技審計(jì)技能信息科技審計(jì)報告高級審計(jì)部門的信息科技風(fēng)險審計(jì)人員能獨(dú)立地開展信息科技審計(jì)，并直接向內(nèi)審部門或?qū)徲?jì)委員會負(fù)責(zé)信息科技審計(jì)報告AD.03依據(jù)既定的審計(jì)計(jì)劃、方案開展信息科技審計(jì)內(nèi)審部門應(yīng)當(dāng)按照計(jì)劃開展信息科技審計(jì)工作。初級內(nèi)審部門制定年度信息科技審計(jì)計(jì)劃。信息科技審計(jì)計(jì)劃中級內(nèi)審部門制定年度信息科技審計(jì)計(jì)劃，并且制定相應(yīng)的審計(jì)方案，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)執(zhí)行。審計(jì)工作基本按照計(jì)劃執(zhí)行。信息科技審計(jì)計(jì)劃和方案信息科技審計(jì)報告高級信息科技審計(jì)按照既定的計(jì)劃執(zhí)行信息科技審計(jì)計(jì)劃和方案信息科技審計(jì)報告信息科技專業(yè)內(nèi)審人員AD.04配置足夠的信息科技內(nèi)

45、部審計(jì)人員內(nèi)部審計(jì)部門應(yīng)配備一定數(shù)量的人員，執(zhí)行信息科技內(nèi)部審計(jì)（包括控制自評估、信息科技內(nèi)審等）。初級在內(nèi)審部門配備1至2名信息科技審計(jì)人員，具備相應(yīng)能力。無中級配備2名信息科技審計(jì)人員，其中至少1名專職信息科技審計(jì)人員。無高級信息科技風(fēng)險審計(jì)人員按照本行科技人員數(shù)量的5%配備，至少不得少于2人。信息科技風(fēng)險審計(jì)組織與人員名單AD.06信息科技內(nèi)部審計(jì)人員具備專業(yè)能力及資質(zhì)信息科技審計(jì)部門應(yīng)通過任用一定比例的具有信息科技審計(jì)專業(yè)資質(zhì)的人才，實(shí)現(xiàn)信息科技審計(jì)專業(yè)化。初級信息科技審計(jì)人員熟悉信息科技相關(guān)知識，熟悉金融相關(guān)法律、法規(guī)和內(nèi)部控制制度。無中級信息科技審計(jì)人員具有信息科技從業(yè)背景，具有較

46、強(qiáng)的專業(yè)知識和風(fēng)險識別能力。無高級信息科技審計(jì)人員具有豐富的審計(jì)經(jīng)驗(yàn)和較為深厚的計(jì)算機(jī)背景，取得信息系統(tǒng)審計(jì)師（CISA）等專業(yè)資格。獲得專業(yè)資格證書的人數(shù)和比例信息科技審計(jì)執(zhí)行與問題整改情況AD.07信息科技內(nèi)部審計(jì)覆蓋情況內(nèi)部審計(jì)部門應(yīng)定期開展信息科技內(nèi)部審計(jì)工作，審計(jì)應(yīng)適當(dāng)覆蓋機(jī)構(gòu)的各個分支或直屬機(jī)構(gòu)，3年內(nèi)一級分支機(jī)構(gòu)覆蓋率要達(dá)到100%。初級根據(jù)銀行實(shí)際每年開展信息科技風(fēng)險的審計(jì)，對一級分支機(jī)構(gòu)或直屬機(jī)構(gòu)的覆蓋率每年在15%以上。信息科技審計(jì)報告中級經(jīng)過信息科技風(fēng)險審計(jì)，對一級分支機(jī)構(gòu)或直屬機(jī)構(gòu)的覆蓋率每年在20%以上。信息科技審計(jì)報告高級經(jīng)過三年的信息科技風(fēng)險內(nèi)部審計(jì)，一級分支機(jī)構(gòu)

47、覆蓋率要達(dá)到100%。信息科技審計(jì)報告AD.08信息科技內(nèi)部審計(jì)整改情況銀行應(yīng)對內(nèi)部審計(jì)發(fā)現(xiàn)的問題進(jìn)行整改并跟蹤落實(shí)，確保中度風(fēng)險以上問題的及時整改。內(nèi)部審計(jì)整改率達(dá)到90%以上。初級針對銀行的內(nèi)部審計(jì)，相關(guān)被審計(jì)部門除客觀條件所限，對檢查出的問題均要進(jìn)行整改，整改率總體在50%以上。信息科技整改報告中級檢查出的問題均要進(jìn)行整改，整改率力爭達(dá)到70%以上。信息科技整改報告高級檢查出的問題均要進(jìn)行整改，整改率力爭達(dá)到90%以上。信息科技整改報告AD.09信息科技審計(jì)的有效性針對信息科技審計(jì)活動，機(jī)構(gòu)應(yīng)對內(nèi)、外部審計(jì)發(fā)現(xiàn)的問題進(jìn)行跟蹤，并確保問題在規(guī)定的時間內(nèi)落實(shí)整改。發(fā)現(xiàn)的問題切中要害，對風(fēng)險管

48、理有明顯促進(jìn)作用。中風(fēng)險度的問題達(dá)到一定數(shù)量。初級1.內(nèi)部審計(jì)報告需一定程度上反映存在問題信息科技內(nèi)審報告；中級內(nèi)、外部審計(jì)發(fā)現(xiàn)的問題具有一定的深度，中度風(fēng)險的問題具有一定的數(shù)量，能積極整改。信息科技整改報告高級對信息科技風(fēng)險的管理具有明顯的促進(jìn)作用。被檢查部門對內(nèi)、外部審計(jì)發(fā)現(xiàn)的問題在規(guī)定的時間內(nèi)積極進(jìn)行整改。信息科技整改報告AD.10開展全面信息科技內(nèi)部審計(jì)應(yīng)當(dāng)定期開展全面的信息科技內(nèi)部審計(jì)。初級不定期開展信息科技內(nèi)部審計(jì)。 信息科技審計(jì)報告中級開展過全面的信息科技內(nèi)部審計(jì)。信息科技審計(jì)報告高級每三年開展一次全面的信息科技內(nèi)部審計(jì)；根據(jù)需要不定期開展信息科技專項(xiàng)審計(jì)。信息科技審計(jì)報告AD.

49、11信息科技外部審計(jì)根據(jù)指引，商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。初級無無中級可聘請第三方具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)或?qū)I(yè)公司進(jìn)行信息科技審計(jì)。信息科技審計(jì)報告高級1.建立規(guī)范的外部審計(jì)管理制度，明確外部審計(jì)的內(nèi)容和方式。2.進(jìn)行第三方全面審計(jì)。信息科技外部審計(jì)制度AD.12外部審計(jì)保密措施關(guān)注機(jī)構(gòu)開展外部審計(jì)時是否對自身信息加以保護(hù)，簽署保密協(xié)議，保密協(xié)議可能是合同的一部分，也可能是與能夠接觸敏感信息的個人單獨(dú)簽署的協(xié)議。初級與外部審計(jì)機(jī)構(gòu)或能夠接觸敏感信息的個人簽署保密協(xié)議。保密協(xié)議中級建立基本的保密協(xié)議和外審保密措施外部審計(jì)

50、保密管理辦法高級建立完善的保密協(xié)議和外審保密措施外部審計(jì)保密管理辦法AD.13信息科技外部審計(jì)整改情況銀行應(yīng)對外部審計(jì)發(fā)現(xiàn)的問題進(jìn)行整改并跟蹤落實(shí)，確保中度風(fēng)險以上問題的及時整改。外部審計(jì)整改率達(dá)到90%以上。初級對外部審計(jì)發(fā)現(xiàn)的問題進(jìn)行整改并跟蹤落實(shí)，確保中度風(fēng)險以上問題積極整改，整改率力爭達(dá)到50%以上。整改報告中級整改率力爭達(dá)到70%以上。整改報告高級1.整改率力爭達(dá)到90%以上;2.建立信息科技外審結(jié)果整改制度整改報告信息科技外審結(jié)果整改制度四、系統(tǒng)開發(fā)及測試初級要求：1.建立系統(tǒng)開發(fā)的項(xiàng)目治理結(jié)構(gòu)：（1）信息技術(shù)管理委員會擁有重大項(xiàng)目審批權(quán)和項(xiàng)目爭議的最終裁量權(quán)，確保IT戰(zhàn)略最大程度

51、地支持本行的業(yè)務(wù)戰(zhàn)略，并加強(qiáng)安全管理；（2）明確業(yè)務(wù)需求管理的責(zé)任部門，建立業(yè)務(wù)分析流程，對業(yè)務(wù)需求的開發(fā)進(jìn)行有序管理。2.采用項(xiàng)目管理方法論來開展系統(tǒng)開發(fā)，包括定義項(xiàng)目生命周期、制訂項(xiàng)目管理制度和流程。3.開發(fā)與生產(chǎn)環(huán)境的獨(dú)立。設(shè)置獨(dú)立的信息系統(tǒng)生產(chǎn)、開發(fā)和測試環(huán)境。4.嚴(yán)格上線管理。系統(tǒng)投產(chǎn)前準(zhǔn)備詳細(xì)的上線方案和回退方案。中級要求：1.完善業(yè)務(wù)需求管理體系。設(shè)置信息技術(shù)項(xiàng)目管理機(jī)構(gòu)職能，負(fù)責(zé)項(xiàng)目管理、業(yè)務(wù)需求管理和UAT測試。2.開展風(fēng)險評估。開展在項(xiàng)目的各階段進(jìn)行風(fēng)險評估與處置的項(xiàng)目管理活動；3.加強(qiáng)質(zhì)量管理。設(shè)置專職的質(zhì)量測試崗對代碼的安全進(jìn)行抽樣走查或評審；4.項(xiàng)目后評估。要求在項(xiàng)目

52、立項(xiàng)申請時，明確要求說明實(shí)現(xiàn)項(xiàng)目目標(biāo)的可衡量指標(biāo)。項(xiàng)目在投產(chǎn)6個月后對照立項(xiàng)時的可衡量指標(biāo)進(jìn)行后評估。高級要求：1.項(xiàng)目進(jìn)度管理。按季度向信息科技管理委員會報告各類重大項(xiàng)目建設(shè)進(jìn)度；2.嚴(yán)格需求管理。確保需求在進(jìn)入開發(fā)實(shí)施前得到業(yè)務(wù)和科技部門的共同簽署，需求變更嚴(yán)格按流程執(zhí)行；3.落實(shí)全面質(zhì)量控制。建立質(zhì)量保證團(tuán)隊(duì)，對項(xiàng)目過程質(zhì)量進(jìn)行獨(dú)立控制，借助外部資源，使用專業(yè)工具對代碼進(jìn)行安全檢查。在生產(chǎn)驗(yàn)證環(huán)境進(jìn)行測試或驗(yàn)證后，由專門的配置人員部署到生產(chǎn)環(huán)境上。4.完善后評估工作。建立項(xiàng)目后評價資料庫，有序管理項(xiàng)目后評價資料，為后續(xù)的項(xiàng)目組合管理提供數(shù)據(jù)。5.建立項(xiàng)目管理、測試管理等系統(tǒng),提高項(xiàng)目開發(fā)

53、、變更管理、測試管理水平。各指標(biāo)具體控制要求：子領(lǐng)域關(guān)鍵控制目標(biāo)編碼指標(biāo)指標(biāo)描述級別目標(biāo)與要求結(jié)果文檔系統(tǒng)開發(fā)及測試(SD)建立完善的項(xiàng)目管理SD.01項(xiàng)目實(shí)施部門定期向信息科技管理委員會提交重大項(xiàng)目進(jìn)度報告項(xiàng)目實(shí)施部門應(yīng)當(dāng)定期向信息科技管理委員會提交的重大項(xiàng)目進(jìn)度報告。初級按年度進(jìn)行重大項(xiàng)目進(jìn)度報告，內(nèi)容包括重大項(xiàng)目名錄、分項(xiàng)項(xiàng)目進(jìn)度報告、問題總結(jié)和應(yīng)對措施等信息科技管理委員會議事規(guī)則年度重大項(xiàng)目進(jìn)度報告中級按季度進(jìn)行重大項(xiàng)目進(jìn)度報告，內(nèi)容包括重大項(xiàng)目名錄、分項(xiàng)項(xiàng)目進(jìn)度報告、問題總結(jié)和應(yīng)對措施等。年度重大項(xiàng)目進(jìn)度報告高級計(jì)劃重大變更、關(guān)鍵人員或供應(yīng)商變更即提交報告制度；重大項(xiàng)目進(jìn)度報告SD.

54、02設(shè)立業(yè)務(wù)需求管理組織，整合業(yè)務(wù)需求銀行應(yīng)當(dāng)有業(yè)務(wù)需求管理組織負(fù)責(zé)對業(yè)務(wù)需求進(jìn)行整合和規(guī)范。初級明確業(yè)務(wù)需求管理的責(zé)任部門，加入到信息科技治理組織架構(gòu)中，建立業(yè)務(wù)分析流程，對業(yè)務(wù)需求的開發(fā)進(jìn)行有序管理。 業(yè)務(wù)分析流程圖中級建立IT項(xiàng)目管理獨(dú)立機(jī)構(gòu)，主要職能是從項(xiàng)目管理、需求管理和UAT測試管理三個方面來協(xié)調(diào)業(yè)務(wù)部門與科技開發(fā)部門之間的關(guān)系。IT項(xiàng)目管理機(jī)構(gòu)職責(zé)和崗位設(shè)置高級業(yè)務(wù)需求的基線必須簽署，并嚴(yán)格實(shí)現(xiàn)業(yè)務(wù)需求變更管理。被簽署的業(yè)務(wù)需求說明書需求變更申請書SD.03建立規(guī)范的項(xiàng)目管理制度和流程在信息系統(tǒng)生命周期各階段，應(yīng)制定相關(guān)制度、標(biāo)準(zhǔn)和流程，規(guī)范項(xiàng)目管理，確保信息系統(tǒng)開發(fā)、測試、維護(hù)過程得到有效管理。初級建立項(xiàng)目立項(xiàng)、開發(fā)、測試、部署、維護(hù)等過程相關(guān)的管理制度、標(biāo)準(zhǔn)和流程；設(shè)立項(xiàng)目經(jīng)理崗位， 并對其進(jìn)行項(xiàng)目管理培訓(xùn)。建立項(xiàng)目管委會，成員應(yīng)包括需求管理、項(xiàng)目開發(fā)、質(zhì)量控制與測試、上線發(fā)布各個負(fù)責(zé)人。項(xiàng)目立項(xiàng)管理辦法項(xiàng)目開發(fā)管理辦法項(xiàng)目測試管理辦法項(xiàng)目維護(hù)