法人銀行業(yè)金融機構信息科技監(jiān)管達標路線圖(試行)71頁

1、法人銀行業(yè)金融機構信息科技監(jiān)管達標路線圖(試行)浙江銀監(jiān)局二一年十一月目 錄一、信息科技治理1二、信息科技風險管理13三、信息科技審計18四、系統(tǒng)開發(fā)及測試24五、信息科技運行29六、災難恢復與應急管理39七、外包47八、信息安全52前 言伴隨著我國銀行業(yè)的迅猛發(fā)展，信息科技已成為商業(yè)銀行進行業(yè)務創(chuàng)新和實現經營戰(zhàn)略的重要手段，信息系統(tǒng)的安全性、可靠性和連續(xù)性已經直接影響到銀行業(yè)的安全和金融體系的穩(wěn)定。為了統(tǒng)一思想認識，明確目標和監(jiān)管要求，2010年4月下旬，局領導在浙江銀監(jiān)局轄內法人機構信息科技監(jiān)管聯席會議總結上提出制定我局轄內法人機構監(jiān)管達標路線圖的要求。監(jiān)管達標路線圖詳細指明商業(yè)銀行達到銀

2、監(jiān)會信息科技風險監(jiān)管目標和要求需要完成的路徑和步驟，是今后一定時期內指導轄內法人銀行開展信息科技風險管理工作的標準和行動指南。監(jiān)管達標路線圖以銀監(jiān)會發(fā)布的各項信息科技監(jiān)管制度和管理辦法為基礎準繩，以銀監(jiān)會信息科技風險評估體系的控制有效性指標為立足點，為機構建立了明確的標桿和要求，指明了努力的方向，對于提高轄內中小法人銀行信息科技風險管理建設的組織性、計劃性和有效性將起到重要的作用。為制定科學合理、可操作性強、符合機構自身發(fā)展需求的路線圖，路線圖的設計由商業(yè)銀行為主，充分發(fā)揮銀行的主觀能動性，由監(jiān)管部門把關，保證路線圖設計不偏離監(jiān)管部門的要求，結合商業(yè)銀行的實際情況，設計一條科學合理的路線圖。路

3、線圖的設計思路：路線圖分為文字和表格兩大部分，文字部分概括性的描述各自領域內滿足初級、中級和高級分別需要達到的要求和目標；表格部分以銀監(jiān)會信息科技風險評級指標為基礎，分別提出每個指標對應初級、中級、高級的具體要求和結果文檔。路線圖的實現不是一朝一夕之功。轄內每家機構要根據路線圖的要求，自評估后明確自身所處的位置，結合自身的實際情況，確定年度的和長期的達標的工作內容，加強監(jiān)管達標路線圖的執(zhí)行和落實。在轄內法人商業(yè)銀行有了明確的達標計劃和步驟以后，每年監(jiān)管部門要同機構一起分析路線圖的完成情況、分析存在的差距與不足，共同制定年度的工作計劃，穩(wěn)步推進轄內法人銀行機構提高信息科技風險管理水平。68一、信

4、息科技治理初級要求：1 制度中明確董（理）事會信息科技風險管理的職責。2 設立信息科技管理委員會，成員由高級管理層、信息科技部門和主要業(yè)務部門的代表組成。3 內審部門應當設立專門的崗位，負責信息科技內部審計。4 由獨立于信息科技的部門承擔信息科技風險管理責任。5 根據業(yè)務發(fā)展狀況制定全行層面的信息科技戰(zhàn)略規(guī)劃及相應的IT預算投入，規(guī)劃內容全面，由董（理）事會審批通過。6 做好科技人才隊伍建設和培養(yǎng)計劃，識別定義關鍵的信息科技崗位。7 建立信息科技管理制度，規(guī)范信息科技管理。中級要求：1 制度中明確董（理）事會信息科技風險管理的職責，并建立相關履職措施。2 應采取適當措施，履行信息科技管理委員會

5、職責。3 設立首席信息官，可以由高管層兼任。4 應采取適當措施，確保內部審計部門履行信息科技審計職責。5 應采取適當措施，確保由獨立于信息科技的部門履行信息科技風險管理職責。6 根據業(yè)務發(fā)展狀況制定全行層面的信息科技戰(zhàn)略規(guī)劃，規(guī)劃內容全面，應采取適當措施確保信息科技戰(zhàn)略符合全行業(yè)務發(fā)展戰(zhàn)略，并由信息科技管理委員會審批通過。7 做好科技人才隊伍建設和培養(yǎng)計劃，建立信息科技人才激勵制度，識別定義關鍵的信息科技崗位，并采取適當措施防范關鍵崗位風險。8 建立較為完善的信息科技管理制度，規(guī)范信息科技管理。高級要求：1 建立恰當的履職機制，確保董（理）事會能充分履行信息科技風險管理職責。2 應建立完善的機

6、制，確保信息科技管理委員會能夠充分履職。3 應當建立相關制度，確保首席信息官能夠充分履職。4 應建立常態(tài)化的信息科技審計機制，確保內部審計部門能夠充分履行信息科技審計職責。5 應建立常態(tài)化的信息科技風險管理機制，確保獨立于信息科技的風險管理部門能夠充分履行信息科技風險管理職責。6 應建立完善的機制，確保信息科技戰(zhàn)略規(guī)劃內容全面，并符合全行業(yè)務發(fā)展戰(zhàn)略。7 應建立完善的科技人才隊伍建設和培養(yǎng)機制，建立完善的信息科技人才激勵制度，識別定義關鍵的信息科技崗位，并采取恰當措施防范關鍵崗位風險。8 建立完善的信息科技管理制度，規(guī)范信息科技管理。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目

7、標與要求結果文檔信息科技治理(GO)信息科技治理職責GO.01董（理）事會信息科技風險管理職責明確銀行的董（理）事會是治理結構中的重要部分，其職責應當包括以下內容：1.批準重大業(yè)務戰(zhàn)略和信息科技戰(zhàn)略規(guī)劃；2.確定風險管理策略、容忍度，包括信息科技風險管理容忍度（例如，可容忍的最大停機時間、可接受的最大損失金額等）；3.及時向監(jiān)管機構報告本機構重大信息科技事件；4.審閱信息科技審計報告及信息科技風險評估報告；5.監(jiān)督信息科技內外審計整改的落實。6. 在良好的公司治理基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業(yè)隊伍的建設，建立人才激

8、勵機制。初級董（理）事會職責中應包含以下內容：1.貫徹執(zhí)行國家有關信息科技管理的法律、法規(guī)和技術標準，落實中國銀監(jiān)會監(jiān)管要求；2.審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務戰(zhàn)略和重大策略相一致；3.了解主要的信息科技風險，包括信息科技建設風險、運行風險、信息安全風險等；4.建立職責明確、報告關系清晰的信息科技治理組織結構；5.督促內部審計部門進行信息科技風險管理審計；6.確保信息科技風險管理工作所需資金；7.確保及時向銀監(jiān)會及其派出機構報告本機構發(fā)生的重大信息科技事故或突發(fā)事件，并按相關預案快速響應；8.確保相關職能部門配合銀監(jiān)會及其派出機構做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整

9、改。董（理）事會職責說明中級董（理）事會職責中應包含以下內容：1.審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務戰(zhàn)略和重大策略相一致。授權相關部門評估信息科技及其風險管理工作的總體效果和效率；2.掌握主要的信息科技風險，確定可接受的風險級別，確保主要風險能夠被識別、監(jiān)測和控制；3.規(guī)范職業(yè)道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識；4.建立分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業(yè)隊伍的建設，建立人才激勵機制；5.確保內部審計部門進行獨立有效的信息科技風險管理審計；6.確保銀行所有員工充分理解和遵守經其批準的信息科技風

10、險管理制度和流程，并安排相關培訓；7.確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統(tǒng)在中國境內獨立運行，并保持最高的管理權限，符合銀監(jiān)會監(jiān)管和實施現場檢查的要求，防范跨境風險。董（理）事會職責說明高級董（理）事會職責中應包含以下內容：1.確保內部審計部門進行獨立有效的信息科技風險管理審計，并審閱信息科技審計報告；2.每年審閱并向銀監(jiān)會及其派出機構報送信息科技風險管理的年度報告。3.督促制定預算執(zhí)行考核辦法；4.董（理）事會設置中要求至少配備有一名有信息科技背景的人員；5.審批信息科技業(yè)務連續(xù)性規(guī)劃，明確全行信息科技風險管理策略和風險容忍度指標。董（理）事會職責說明GO.02董（理

11、）事會信息科技風險管理職責落實銀行董（理）事會應當明確其承擔的信息科技風險管理職責，并履行其職責。1根據指引董（理）事會設立信息科技管理委員會，由來自高級管理層、信息科技部門和主要業(yè)務部門的代表組成，負責信息科技戰(zhàn)略規(guī)劃制定、重大項目的審批、制定基本的IT風險管理政策，聽取風險評估報告和監(jiān)督風險政策執(zhí)行情況, 負責監(jiān)督各項職責的落實，定期向董（理）事會和高級管理層匯報有關情況等。初級1.落實GO.01初級要求；2.成立由來自高層、信息科技部門和主要業(yè)務部門組成的信息科技管理委員會，負責每年向董（理）事會或高級管理層匯報信息科技戰(zhàn)略規(guī)劃執(zhí)行、信息科技預算和實際支出、信息科技的整體狀況等，委員會會

12、議每年不得少于一次；董（理）事會批準的戰(zhàn)略規(guī)劃了解信息科技風險管理情況的記錄聽取審計情況報告的記錄信息科技管理委員會工作職責信息科技管理委員會開展工作情況記錄治理架構圖及說明信息科技預算及審批記錄信息科技制度流程學習、考試相關記錄科技崗位交接培訓記錄科技風險評估記錄；科技風險評估問題跟蹤記錄；信息安全監(jiān)控記錄中級1.落實GO.01中級要求；2.信息科技管理委員會會議每年不得少于兩次；信息科技總體風險評估報告審計報告經董（理）事會審批的信息科技業(yè)務連續(xù)性規(guī)劃方案信息科技風險意識教育的資料和記錄信息科技相關部門和崗位職責說明高級1.落實GO.01高級要求；2.信息科技管理委員會根據需要定期召開會議

13、，每年不得少于四次；3.建立相互獨立的信息科技管理、信息科技風險管理和信息科技審計等部門； 重要信息科技應急預案信息科技風險意識教育制度信息科技人才激勵制度信息科技審計制度信息科技審計報告及董（理）事會審閱記錄信息科技風險管理年報及董（理）事會審閱記錄董（理）事會對監(jiān)管及整改意見的審閱記錄數據中心設立董（理）事會審議記錄董（理）事會對數據中心基本管理制度的審閱記錄GO.03設立首席信息官（CIO），直接向行長匯報，參與重大決策銀行應當設立首席信息官（CIO），直接向行長匯報，參與重大決策。首席信息官是商業(yè)銀行負責信息科技管理的高級管理人員,對本行信息科技總體管理負責。1根據商業(yè)銀行首席信息官管

14、理辦法（征求意見稿）的要求，建立規(guī)范的信息官制度和流程，明確信息官的職責。初級參照首席信息官，明確信息科技分管行長職責。信息科技分管行長職責中級設立首席信息官崗位（可以兼任），明確首席信息官職責。首席信息官提名與任命管理辦法首席信息官崗位職責說明高級產生符合銀監(jiān)會任職條件的首席信息官；嚴格按照銀監(jiān)會有關規(guī)定，規(guī)范并完善首席信息官有關制度，為首席信息官有效履職提供必要條件。首席信息官崗位職責說明首席信息官績效考核辦法首席信息官年度工作計劃首席信息官述職報告首席信息官績效考核情況報告首席信息官參與的重大會議紀要GO.04內部審計部門設立專門崗位負責信息科技內部審計應當由內審部門設立專門的崗位負責信

15、息科技內部審計，信息科技審計應當包括：落實信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。初級應當在內審部門設立崗位負責信息科技內部審計，信息科技審計人員至少不得少于2人。審計部門組織架構圖審計部門及崗位職責說明審計部門人員崗位分工說明中級同初級同初級高級1.應建立完善的信息科技審計組織架構，確保審計部門能充分履行信息科技審計職責；2.專職信息科技風險審計人員數量原則上按照科技人員數量的5%配備；3.信息科技風險審計人員應當具備相應的專業(yè)從業(yè)資格。信息科技審計人員背景資料信息科技審計制度GO.05設立信息科技風險管理部門應當由獨立于信息科技

16、的部門承擔信息科技風險管理責任，該部門負責協調制定有關信息科技風險管理策略，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。初級應在信息科技部門外設立信息科技風險管理部門，負責信息科技風險的監(jiān)督和報告；信息科技風險管理部門組織架構信息科技風險管理部門及崗位職責說明信息科技風險管理部門人員崗位分工說明中級應在信息科技部門外設立信息科技風險管理部門，負責開展信息科技風險的識別、評估、監(jiān)督和報告。同上高級1.應在信息科技部門外建立信息科技風險管理部門，負責信息科技風險的識別、評估、計量、監(jiān)測、控制和報告。應建立完善的信息科技風險管理組織架構，確保能充分履行信息科技風

17、險管理工作。同上信息科技戰(zhàn)略及規(guī)劃GO.06建立與總體業(yè)務規(guī)劃一致的信息科技戰(zhàn)略規(guī)劃信息科技戰(zhàn)略由信息科技管理委員會負責制定，信息科技戰(zhàn)略規(guī)劃應當符合機構總體業(yè)務規(guī)劃，并維持穩(wěn)定、安全的信息科技環(huán)境。信息科技戰(zhàn)略規(guī)劃由信息科技管理委員會負責制定。初級1.信息科技戰(zhàn)略規(guī)劃及預算應經信息科技管理委員會審議；2.信息科技戰(zhàn)略規(guī)劃及預算應報董（理）事會審批。經董（理）事會審批的信息科技戰(zhàn)略規(guī)劃經董（理）事會審批的信息科技預算信息科技管理委員會審議的記錄中級1.信息科技管理委員會應督促職能部門執(zhí)行信息科技戰(zhàn)略規(guī)劃；2.信息科技管理委員會應督促職能部門根據戰(zhàn)略規(guī)劃制定信息科技年度建設計劃，并審議批準。3.

18、信息科技預算結構上得到優(yōu)化，重視對人員培訓的投入信息科技年度建設計劃信息科技管理委員會審議信息科技年度建設計劃的記錄信息科技預算明細高級1.信息科技管理委員會應適時對戰(zhàn)略規(guī)劃的執(zhí)行情況進行評估，確保符合銀行總體業(yè)務發(fā)展戰(zhàn)略和風險管理策略；2.信息科技管理委員會應根據評估情況，督促修訂信息科技戰(zhàn)略規(guī)劃；3.信息科技預算適應業(yè)務需要，適當超前。信息科技戰(zhàn)略規(guī)劃執(zhí)行情況評估報告GO.07信息科技戰(zhàn)略規(guī)劃內容全面，有效支撐業(yè)務規(guī)劃作為信息科技治理的一部分工作，銀行應當制定全面的信息科技戰(zhàn)略規(guī)劃，以支撐業(yè)務的發(fā)展。1信息科技戰(zhàn)略規(guī)劃內容全面，包括信息科技戰(zhàn)略目標、信息科技風險管理規(guī)劃、信息科技治理規(guī)劃、

19、信息科技架構規(guī)劃、信息科技項目（或信息系統(tǒng)）規(guī)劃。初級信息科技戰(zhàn)略規(guī)劃內容應包括以下內容：（1）信息科技戰(zhàn)略目標；（2）信息科技治理規(guī)劃；（3）信息科技架構規(guī)劃；（4）信息科技項目（或信息系統(tǒng)）規(guī)劃等內容。戰(zhàn)略目標治理規(guī)劃架構規(guī)劃信息系統(tǒng)規(guī)劃中級信息科技戰(zhàn)略規(guī)劃內容應包括信息科技風險管理規(guī)劃。風險管理規(guī)劃高級同中級同中級信息科技治理運作GO.08董（理）事會和管理層對信息科技風險管理的關注和支持董（理）事會和管理層應當保持對信息科技風險管理的支持和關注。1建立科學合理的信息科技風險管理的考核指標初級相關部門每年應將信息科技風險管理情況報告董（理）事會或高級管理層。報董（理）事會或高級管理層信息

20、科技風險管理情況報告中級應建立信息科技風險管理考核指標，指標應包括信息科技開發(fā)、運行、和內控管理等信息科技風險管理相關內容。信息科技風險管理考核指標高級應建立信息科技風險管理考核指標，指標從科技、風險、審計三道防線出發(fā)，建立全面的信息科技風險管理考核體系和指標。信息科技風險管理考核制度GO.09信息科技治理組織結構合理有效銀行應當設置合理的信息科技治理組織結構，使科技決策、科技管理、風險、審計等定位明確。初級1.應設立信息科技管理委員會；2.應設立部門負責信息科技管理工作；3.應設立信息科技風險管理崗位負責信息科技風險管理工作；4.應設立信息科技審計崗位負責信息科技審計工作。組織架構圖及說明信

21、息科技管理委員會工作職責說明信息科技管理部門或崗位職責說明信息科技風險管理崗位職責說明信息科技審計崗位職責說明中級1.應設立首席信息官；2.應設立獨立的信息科技部門；3.應在風險管理部門內設立信息科技風險管理崗位負責信息科技風險管理工作；4.應在審計部門內設立信息科技審計崗位負責信息科技審計工作。5.實行總、分行兩級安全管理，成立總行計算機安全管理領導小組，明確了各級分支機構的安全責任。首席信息官職責說明信息科技管理部門和崗位職責說明高級1.應設立信息科技管理委員會，并確保充分履職。2.應設立首席信息官，并確保充分履職；3.應設立信息科技風險管理部門負責信息科技風險管理工作，并建立健全信息科技

22、風險管理機制，確保信息科技風險部門能充分履職；4.應設立信息科技審計部門負責信息科技審計工作，并建立健全信息科技審計機制，確保信息科技審計部門能充分履職；5.建立完善計算機安全組織架構，在科技部門成立專門的信息安全管理部門。首席信息官參與的重大會議紀要信息科技風險管理部門年度工作計劃信息科技風險管理部門和崗位職責說明信息科技審計部門和崗位職責說明信息科技審計部門年度工作計劃GO.10軟件正版化銀行應按照知識產權相關法律法規(guī)，制定軟件正版化策略和制度，使所有員工充分理解并遵照執(zhí)行；確保購買和使用合法的軟硬件產品，禁止侵權盜版。初級1.指定專人或部門，對銀行內采購、安裝、使用商業(yè)軟件進行管理；2.

23、搜集安裝軟件的信息并統(tǒng)計；3.制定軟件正版化計劃和相應管理辦法。軟件正版化情況概要軟件正版化管理辦法中級1.制定軟件正版化策略和制度；2.對員工進行軟件正版化教育；3.確保行內的所有商業(yè)軟件的合法和有效性，加強對軟件授權的管理，采取一定措施防止非法軟件的安裝。軟件正版化策略軟件正版化培訓計劃/記錄高級1.建立軟件授權和使用清單，對購買軟件的生命周期進行有效管理；2.建立對免費和開源軟件的管理，所有軟件授權經過法律部門審核；3.采取強制性措施禁止非法軟件或非授權軟件的安裝。軟件授權和使用控制表法律部門對軟件授權的審核記錄科技隊伍建設GO.11配置足夠信息科技人員銀行應當配備足夠的信息科技人員，以

24、支持銀行業(yè)務的發(fā)展和信息系統(tǒng)運行。1根據治理指導意見（征求意見稿）第十八條，國有商業(yè)銀行和股份制商業(yè)銀行信息科技人員總數與員工總人數的比例原則上不低于2.5%，城市商業(yè)銀行和其他地方法人機構這一比例原則上不低于3%，至少不得少于3人。初級1.銀行應當配備足夠的信息科技人員，以支持銀行業(yè)務的發(fā)展和信息系統(tǒng)運行，信息科技人員至少不得少于3人；2.應建立與業(yè)務相適應的信息科技管理部門。人員統(tǒng)計表；信息科技管理部門職責說明；信息科技崗位職責說明；信息科技人員和崗位說明。中級1.應當配備足夠的信息科技人員，以支持銀行業(yè)務的發(fā)展和信息系統(tǒng)運行。股份制商業(yè)銀行、城市商業(yè)銀行和省聯社信息科技人員總數與員工總人

25、數的比例原則上不低于3%；2.應建立獨立的信息科技部門，應至少設立軟件開發(fā)、運行維護等內設部門。人員統(tǒng)計表信息科技管理部門職責說明信息科技崗位職責說明信息科技人員和崗位說明。高級應建立獨立的信息科技部門，應將信息科技運行與系統(tǒng)開發(fā)、維護分離，確保信息科技部門內部的崗位制約，并確保信息科技部門能充分履職。人員統(tǒng)計表信息科技管理部門職責說明信息科技崗位職責說明信息科技人員和崗位說明信息科技業(yè)務操作流程及崗位相互牽制、分離情況說明GO.12明確信息科技關鍵崗位1.銀行應當識別并明確信息科技關鍵崗位。初級應梳理本行的信息科技崗位，界定具體的關鍵崗位。信息科技關鍵崗位列表中級制定對關鍵崗位的相關管理制度

26、，包括對關鍵崗位設置AB角，并實施強制休假或崗位輪換制度。關鍵崗位管理制度信息科技關鍵崗位說明信息科技關鍵崗位人員與崗位對照表強制休假或崗位輪換實施記錄高級1.建立關鍵崗位上崗和離職的管理流程，并嚴格執(zhí)行，不相容崗位不得兼崗。2.應評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替計劃等防范措施；在員工崗位發(fā)生變化后及時變更相關信息。3.制定信息科技關鍵崗位任職資格標準關鍵崗位人員評估說明信息科技關鍵崗位任職資格標準GO.13組織在崗人員定期參加信息安全培訓1.銀行應當組織在崗人員定期參加信息安全培訓，提升在崗人員的信息安全意識。初級應當組織相關人員參加信息安全培訓，提升專業(yè)人

27、員的信息安全技能和意識，每年至少一次組織在崗人員參加信息安全培訓信息安全培訓記錄（培訓通知及簽到單）中級1. 每年根據各在崗人員崗位性質制定信息安全培訓計劃，確保覆蓋所有在崗員工，形式可采用會議、通知、風險提示、考試、專題培訓等，留存培訓記錄。2.每年應制定培訓計劃對專業(yè)人員進行信息安全培訓，提升專業(yè)人員的信息安全技能和意識。信息安全教育和培訓的年度計劃高級1.應建立對員工進行信息安全培訓的制度，形成信息安全教育和培訓的常態(tài)化機制。2.建立信息安全培訓考試制度，將信息安全知識考試與相關員工上崗、競聘、考核等掛鉤，提升在崗人員的信息安全意識。信息安全培訓及考試制度考核通知和結果通報GO.14信息

28、科技人員穩(wěn)定情況銀行應當保證信息科技人員的穩(wěn)定。1根據治理指導意見（征求意見稿）第五十二條，商業(yè)銀行應建立一套包括職位晉升、薪酬晉級在內的信息科技激勵機制，激勵機制應與信息科技運行效率、風險控制目標等相聯系，保證科技隊伍的穩(wěn)定。初級對信息科技崗位進行標準化，運用崗位分析、崗位評價，設計合理的級別體系。崗位職務說明書中級1.應建立一套信息科技激勵機制，充分調動信息科技人員的積極性和創(chuàng)造性，激勵機制應與信息科技系統(tǒng)建設、運行效率、風險控制目標等相聯系，引導員工重視個人技能的增長，保證科技隊伍的穩(wěn)定；2.應建立信息科技問責機制，對不履行職責或違反信息科技管理制度人員進行問責和懲處。薪酬考核制度信息科

29、技激勵制度信息科技問責制度高級1.應建立一套完善的包括職位晉升、薪酬晉級在內的信息科技激勵機制，充分調動信息科技人員的積極性和創(chuàng)造性，激勵機制應與信息科技系統(tǒng)建設、運行效率、風險控制目標等相聯系，保證科技隊伍的穩(wěn)定。2.每年對信息科技人員補充、崗位調整情況進行分析，評估現有激勵機制對科技隊伍穩(wěn)定的實際效果。人員新增需求計劃表二、信息科技風險管理初級要求： 1、 在信息科技部門之外，設立或指派一個特定部門負責信息科技風險管理，并配備專職的信息科技風險管理人員。在信息科技部門內至少指定一名專職人員負責內控和風險防范。并要求具有與崗位相當的專業(yè)知識能力、一定的從業(yè)經驗和良好的職業(yè)操守。2、 信息科技

30、風險管理部門根據指引第十五條要求基本建立風險管理策略。3、 信息科技風險管理部門建立信息資產的分類分級標準，識別建立和維護信息資產清單，確定各類信息資產中的關鍵資產，鎖定評估對象。4、 應當建立信息科技風險監(jiān)測機制，確定監(jiān)測范圍、監(jiān)測內容和頻率。5、 信息科技隊伍建設：銀行應當配備足夠的信息科技人員，以支持銀行業(yè)務的發(fā)展和信息系統(tǒng)運行。并梳理本行的信息科技崗位，界定具體的關鍵崗位。同時運用崗位分析、崗位評價等，設計合理的級別體系。 中級要求： 1、 信息科技風險管理部門應建立完善的信息科技風險管理策略, 并對其適用性進行評估、進行必要修訂。初步明確本行信息科技風險管理對象、內容、過程和方法，組

31、織架構中各部門的職責及相互關系。2、 對重要信息資產建立風險評估制度。對重要信息資產建立風險評估制度，在重要信息系統(tǒng)投產或變更時履行風險評估手續(xù)。制定關鍵風險指標體系，運用關鍵指標建立對信息科技風險的定量計量和監(jiān)測。3、 信息科技隊伍建設：應當配備足夠的信息科技人員，以支持銀行業(yè)務的發(fā)展和信息系統(tǒng)運行。股份制商業(yè)銀行、城市商業(yè)銀行和省聯社和這一比例原則上不低于3%；制定對關鍵崗位的相關管理制度。根據信息科技人員特點，建立合理的職位晉升和薪酬考核機制，引導員工重視個人技能的增長。高級要求： 1、 信息科技風險管理人員應具備相應的從業(yè)資格，通過IT風險管理、信息安全等專業(yè)資格考試并獲得相應證書。2

32、、 信息科技風險管理部門應對現有信息科技風險管理制度進行后評價，每年進行修訂和補充。3、 對信息科技進行定期、規(guī)范、持續(xù)的評估，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，確定風險防范措施及所需資源的優(yōu)先級別。4、 對信息科技進行持續(xù)的風險監(jiān)測，定期分析指標并產生信息科技風險監(jiān)測報告，監(jiān)測信息科技風險發(fā)展趨勢。5、 信息科技隊伍建設：根據本行的信息化建設情況，提升信息科技人員與員工總人數的比例。加強復合型人才的培養(yǎng)。每年對信息科技人員補充、崗位調整情況進行分析，評估現有激勵機制對科技隊伍穩(wěn)定的實際效果。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標

33、與要求結果文檔信息科技風險管理信息科技風險管理人才RM.01配置足夠信息科技風險管理人員銀行應當有足夠的信息科技風險管理人員開展信息科技風險管理工作。初級在信息科技部門之外，設立或指派一個特定部門負責信息科技風險管理，對信息科技風險管理的人員數量至少一人。在信息科技部門內至少指定一名專職負責內控和風險防范的人員。部門職責部門崗位設置說明中級信息科技風險管理人員數量原則上按照科技人員數量的5%配備，至少不得少于2人?？萍既藛T中負責內控和風險防范人員原則上不低于5%。管理人員名單部門崗位設置說明高級專職信息科技風險管理人員數量原則上按照科技人員數量的8%配備；管理人員名單部門崗位設置說明RM.02

34、信息科技風險管理的人員具有相關專業(yè)背景知識和技能信息科技風險管理人員應當具備專業(yè)知識和技能。初級信息科技風險管理人員應當具備相應的專業(yè)從業(yè)資格： （一）信息科技風險管理人員應具備大專以上學歷，掌握信息科技相關專業(yè)知識，熟悉金融相關法律、法規(guī)和金融風險管理制度；（二）具備一年以上金融信息科技或風險管理從業(yè)經驗；（三）具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。個人簡歷學歷證書中級風險管理人員應同時具備從事風險管理工作兩年以上。個人簡歷學歷證書高級信息科技風險管理人員中至少一人通過IT風險管理、信息安全等專業(yè)資格考試并獲得相應證書。個人簡歷學歷證書專業(yè)資質證書信息科技風險管理策略RM.0

35、3制定全面的信息科技風險策略信息科技風險管理應當納入全面風險管理體系。信息科技風險管理策略應覆蓋組織及職能、制度規(guī)范、風險評估與監(jiān)督等方面，包括但不限于銀監(jiān)會發(fā)布的管理指引中的內容。初級基本建立信息科技風險管理策略風險管理策略中級建立完善的信息科技風險管理策略，管理策略覆蓋組織及職能、制度規(guī)范、風險評估與監(jiān)督等方面，內容包括指引規(guī)定的七個領域。風險管理策略高級繼續(xù)改進完善風險管理策略，內容全部覆蓋指引規(guī)定的七個領域。風險管理策略RM.04建立完善的信息科技風險管理制度信息科技風險管理類制度應當考慮信息科技風險管理策略、信息科技風險評估、信息科技風險報告、信息科技風險內部控制等方面初級應制定相關

36、制度，包括信息科技風險內部控制和風險報告等方面的內容。信息科技相關內控管理辦法信息科技事件報告管理辦法中級1.應建立息科技風險管理策略；2.信息科技風險評估制度，明確風險評估的范圍、內容、方法等；信息科技風險管理辦法信息科技風險評估辦法高級1.應建立完善的信息科技風險管理制度體系，在縱向上包括信息科技風險管理策略、標準、規(guī)范、流程，以及實施細則等；在橫向上應全面包含信息科技風險管理所涉及的主要范圍。2.信息科技風險量化評估制度，對信息科技的風險指標有量化標準，信息安全規(guī)范與標準信息科技風險管理流程說明信息科技風險管理操作規(guī)程信息科技風險量化評估制度RM.05定期評估及修訂信息科技風險管理制度應

37、當定期評估信息科技風險管理制度的適用性、完整性并進行必要修訂。初級對現有信息科技風險管理制度的適用性進行評估、進行必要修訂修訂的制度目錄中級同初級同初級高級每年對現有信息科技風險管理制度進行后評價，根據實際情況進行修訂和補充。修訂、補充的風險管理制度信息科技風險評估RM.06制定持續(xù)的風險識別和評估流程持續(xù)的風險識別和評估流程應包括建立信息資產分類分級標準、識別建立和維護信息資產清單、確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，確定風險防范措施及所需資源的優(yōu)先級別。初級建立信息資產的分類分級標準，識別建立和維護信息資產清單，確定各類信息資產中的關鍵資產，鎖定評估對

38、象。信息資產分類分級標準中級對重要信息資產建立風險評估制度，在重要信息系統(tǒng)投產或變更時履行風險評估手續(xù)。風險評估制度項目投產或變更風險評估報告高級對信息科技進行定期、規(guī)范、持續(xù)的評估，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，確定風險防范措施及所需資源的優(yōu)先級別。定期風險評估報告RM.07建立持續(xù)的信息科技風險計量和監(jiān)測機制，進行信息科技風險監(jiān)測信息科技風險管理部門應當建立信息科技風險計量和監(jiān)測機制，確定監(jiān)測范圍、監(jiān)測內容和頻率；制定關鍵風險指標，并分配相關責任，持續(xù)進行風險監(jiān)測，定期分析指標并產生信息科技風險監(jiān)測報告，監(jiān)測信息科技風險發(fā)展趨勢。初級信息科技風險

39、管理部門應當建立信息科技風險計量和監(jiān)測機制，確定監(jiān)測范圍、監(jiān)測內容和頻率。風險計量和監(jiān)測制度中級制定關鍵風險指標體系，運用關鍵指標建立對信息科技風險的監(jiān)測。關鍵風險指標體系高級1.對信息科技進行持續(xù)的風險監(jiān)測，定期以上分析指標并產生信息科技風險監(jiān)測報告，監(jiān)測信息科技風險發(fā)展趨勢。2.制定內部，外部升級和監(jiān)管發(fā)現問題整改處理機制；3.制定新技術發(fā)展和已使用軟件面臨威脅定期評估機制。信息科技風險監(jiān)測報告內部、外部升級和監(jiān)管發(fā)現問題整改處理機制新技術發(fā)展和已使用軟件面臨威脅定期評估機制三、信息科技審計初級要求：1.初步建立信息科技風險審計的各項相關制度；2.在內部審計部門設置信息科技風險審計崗，并配

40、備一定數量的信息科技風險審計人員；3.可以在一定程度上開展信息科技風險的內部審計工作；4.制定審計的年度計劃，并按計劃組織實施。中級要求：1.建立較為完整的信息科技審計的相關制度體系；2.在內部審計部門設置信息科技風險審計崗位，配備一定數量的專職信息科技審計人員，專門從事信息科技審計工作； 3.制定較為完善的年度審計計劃，并按計劃開展有序的審計工作； 4.有能力獨立開展信息科技風險的專項審計工作，并按照銀監(jiān)會的有關要求對本行的信息科技風險進行一定頻率的專項審計，必要時也可組織外部審計工作；5.對內、外部審計中發(fā)現的問題督促被審計部門進行落實，保證審計的有效性。高級要求：1.建立了較為完善的信息

41、科技風險審計制度體系，并定期檢查制度的執(zhí)行情況，不斷提高制度的執(zhí)行力；2.在內審部門設立專門的信息科技風險審計崗（小組），配備足夠數量（達到本行科技人員數量的2-5%）的具有較高專業(yè)水平的審計人員（最好能取得專業(yè)技術資格），并充分履職；3.具有獨立開展信息科技風險全面審計的能力，持續(xù)（不小于3年）開展合理頻度（一年不少于一次）的信息科技風險專項審計，且收到較好的效果；3.連續(xù)三年以上，制定了完善的年度審計計劃，并能按計劃開展有序的審計工作；4.至少三年一周期，一級分支機構的審計覆蓋率能達到100%。5.對審計中發(fā)現的問題均有明確的整改意見和整改結果，審計部門履行跟蹤、監(jiān)督職能，保證審計的有效性

42、。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔審計(AD)AD.01信息科技審計制度制定情況制定完善的信息科技審計制度和政策，包括信息科技內審政策、信息科技外審政策、信息科技內審的內容、范圍、職責、審計方法、審計報告、處理和整改落實等情況，信息科技外審的范圍、外審公司選擇標準、外審報告處理和整改措施等方面。初級根據銀行現有的的信息科技審計情況，參照商業(yè)銀行商業(yè)銀行信息科技風險管理指引及治理指導意見（征求意見稿）等，修訂和完善本行的相關制度，明確審計報告路徑和審計人員資職，保證審計的獨立性和較高的審計質量。同時審計制度包括信息科技的審計政策、內外部審計的規(guī)定，內部

43、審計的職責、范圍、方法、內容、報告、整改及后續(xù)審計等，做到對審計工作具有明確的指導作用。信息科技審計制度中級制度內容比較全面，能反映本行信息科技審計的管理要求。信息科技審計制度高級信息科技審計制度與銀監(jiān)會的相關制度及其他外部制度具有較好的銜接，保證制度的可操作性。信息科技審計制度信息科技內部審計獨立性與合理授權AD.02內部審計部門進行信息科技風險管理審計的獨立性內部審計部門應當具備合理的匯報路線和審計技能，以保證內審的獨立性。初級明確審計部門報告路徑，審計報告直接匯報董（理）事會、監(jiān)事會或審計委員會，賦予內部審計部門具有獨立開展信息科技審計工作的相關職能。信息科技審計制度中級加強對銀行信息科

44、技風險審計人員的培訓，使內部審計人員具有一定的信息科技審計技能信息科技審計報告高級審計部門的信息科技風險審計人員能獨立地開展信息科技審計，并直接向內審部門或審計委員會負責信息科技審計報告AD.03依據既定的審計計劃、方案開展信息科技審計內審部門應當按照計劃開展信息科技審計工作。初級內審部門制定年度信息科技審計計劃。信息科技審計計劃中級內審部門制定年度信息科技審計計劃，并且制定相應的審計方案，經主管領導批準執(zhí)行。審計工作基本按照計劃執(zhí)行。信息科技審計計劃和方案信息科技審計報告高級信息科技審計按照既定的計劃執(zhí)行信息科技審計計劃和方案信息科技審計報告信息科技專業(yè)內審人員AD.04配置足夠的信息科技內

45、部審計人員內部審計部門應配備一定數量的人員，執(zhí)行信息科技內部審計（包括控制自評估、信息科技內審等）。初級在內審部門配備1至2名信息科技審計人員，具備相應能力。無中級配備2名信息科技審計人員，其中至少1名專職信息科技審計人員。無高級信息科技風險審計人員按照本行科技人員數量的5%配備，至少不得少于2人。信息科技風險審計組織與人員名單AD.06信息科技內部審計人員具備專業(yè)能力及資質信息科技審計部門應通過任用一定比例的具有信息科技審計專業(yè)資質的人才，實現信息科技審計專業(yè)化。初級信息科技審計人員熟悉信息科技相關知識，熟悉金融相關法律、法規(guī)和內部控制制度。無中級信息科技審計人員具有信息科技從業(yè)背景，具有較

46、強的專業(yè)知識和風險識別能力。無高級信息科技審計人員具有豐富的審計經驗和較為深厚的計算機背景，取得信息系統(tǒng)審計師（CISA）等專業(yè)資格。獲得專業(yè)資格證書的人數和比例信息科技審計執(zhí)行與問題整改情況AD.07信息科技內部審計覆蓋情況內部審計部門應定期開展信息科技內部審計工作，審計應適當覆蓋機構的各個分支或直屬機構，3年內一級分支機構覆蓋率要達到100%。初級根據銀行實際每年開展信息科技風險的審計，對一級分支機構或直屬機構的覆蓋率每年在15%以上。信息科技審計報告中級經過信息科技風險審計，對一級分支機構或直屬機構的覆蓋率每年在20%以上。信息科技審計報告高級經過三年的信息科技風險內部審計，一級分支機構

47、覆蓋率要達到100%。信息科技審計報告AD.08信息科技內部審計整改情況銀行應對內部審計發(fā)現的問題進行整改并跟蹤落實，確保中度風險以上問題的及時整改。內部審計整改率達到90%以上。初級針對銀行的內部審計，相關被審計部門除客觀條件所限，對檢查出的問題均要進行整改，整改率總體在50%以上。信息科技整改報告中級檢查出的問題均要進行整改，整改率力爭達到70%以上。信息科技整改報告高級檢查出的問題均要進行整改，整改率力爭達到90%以上。信息科技整改報告AD.09信息科技審計的有效性針對信息科技審計活動，機構應對內、外部審計發(fā)現的問題進行跟蹤，并確保問題在規(guī)定的時間內落實整改。發(fā)現的問題切中要害，對風險管

48、理有明顯促進作用。中風險度的問題達到一定數量。初級1.內部審計報告需一定程度上反映存在問題信息科技內審報告；中級內、外部審計發(fā)現的問題具有一定的深度，中度風險的問題具有一定的數量，能積極整改。信息科技整改報告高級對信息科技風險的管理具有明顯的促進作用。被檢查部門對內、外部審計發(fā)現的問題在規(guī)定的時間內積極進行整改。信息科技整改報告AD.10開展全面信息科技內部審計應當定期開展全面的信息科技內部審計。初級不定期開展信息科技內部審計。 信息科技審計報告中級開展過全面的信息科技內部審計。信息科技審計報告高級每三年開展一次全面的信息科技內部審計；根據需要不定期開展信息科技專項審計。信息科技審計報告AD.

49、11信息科技外部審計根據指引，商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。初級無無中級可聘請第三方具備相應資質的外部審計機構或專業(yè)公司進行信息科技審計。信息科技審計報告高級1.建立規(guī)范的外部審計管理制度，明確外部審計的內容和方式。2.進行第三方全面審計。信息科技外部審計制度AD.12外部審計保密措施關注機構開展外部審計時是否對自身信息加以保護，簽署保密協議，保密協議可能是合同的一部分，也可能是與能夠接觸敏感信息的個人單獨簽署的協議。初級與外部審計機構或能夠接觸敏感信息的個人簽署保密協議。保密協議中級建立基本的保密協議和外審保密措施外部審計

50、保密管理辦法高級建立完善的保密協議和外審保密措施外部審計保密管理辦法AD.13信息科技外部審計整改情況銀行應對外部審計發(fā)現的問題進行整改并跟蹤落實，確保中度風險以上問題的及時整改。外部審計整改率達到90%以上。初級對外部審計發(fā)現的問題進行整改并跟蹤落實，確保中度風險以上問題積極整改，整改率力爭達到50%以上。整改報告中級整改率力爭達到70%以上。整改報告高級1.整改率力爭達到90%以上;2.建立信息科技外審結果整改制度整改報告信息科技外審結果整改制度四、系統(tǒng)開發(fā)及測試初級要求：1.建立系統(tǒng)開發(fā)的項目治理結構：（1）信息技術管理委員會擁有重大項目審批權和項目爭議的最終裁量權，確保IT戰(zhàn)略最大程度

51、地支持本行的業(yè)務戰(zhàn)略，并加強安全管理；（2）明確業(yè)務需求管理的責任部門，建立業(yè)務分析流程，對業(yè)務需求的開發(fā)進行有序管理。2.采用項目管理方法論來開展系統(tǒng)開發(fā)，包括定義項目生命周期、制訂項目管理制度和流程。3.開發(fā)與生產環(huán)境的獨立。設置獨立的信息系統(tǒng)生產、開發(fā)和測試環(huán)境。4.嚴格上線管理。系統(tǒng)投產前準備詳細的上線方案和回退方案。中級要求：1.完善業(yè)務需求管理體系。設置信息技術項目管理機構職能，負責項目管理、業(yè)務需求管理和UAT測試。2.開展風險評估。開展在項目的各階段進行風險評估與處置的項目管理活動；3.加強質量管理。設置專職的質量測試崗對代碼的安全進行抽樣走查或評審；4.項目后評估。要求在項目

52、立項申請時，明確要求說明實現項目目標的可衡量指標。項目在投產6個月后對照立項時的可衡量指標進行后評估。高級要求：1.項目進度管理。按季度向信息科技管理委員會報告各類重大項目建設進度；2.嚴格需求管理。確保需求在進入開發(fā)實施前得到業(yè)務和科技部門的共同簽署，需求變更嚴格按流程執(zhí)行；3.落實全面質量控制。建立質量保證團隊，對項目過程質量進行獨立控制，借助外部資源，使用專業(yè)工具對代碼進行安全檢查。在生產驗證環(huán)境進行測試或驗證后，由專門的配置人員部署到生產環(huán)境上。4.完善后評估工作。建立項目后評價資料庫，有序管理項目后評價資料，為后續(xù)的項目組合管理提供數據。5.建立項目管理、測試管理等系統(tǒng),提高項目開發(fā)

53、、變更管理、測試管理水平。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔系統(tǒng)開發(fā)及測試(SD)建立完善的項目管理SD.01項目實施部門定期向信息科技管理委員會提交重大項目進度報告項目實施部門應當定期向信息科技管理委員會提交的重大項目進度報告。初級按年度進行重大項目進度報告，內容包括重大項目名錄、分項項目進度報告、問題總結和應對措施等信息科技管理委員會議事規(guī)則年度重大項目進度報告中級按季度進行重大項目進度報告，內容包括重大項目名錄、分項項目進度報告、問題總結和應對措施等。年度重大項目進度報告高級計劃重大變更、關鍵人員或供應商變更即提交報告制度；重大項目進度報告SD.

54、02設立業(yè)務需求管理組織，整合業(yè)務需求銀行應當有業(yè)務需求管理組織負責對業(yè)務需求進行整合和規(guī)范。初級明確業(yè)務需求管理的責任部門，加入到信息科技治理組織架構中，建立業(yè)務分析流程，對業(yè)務需求的開發(fā)進行有序管理。 業(yè)務分析流程圖中級建立IT項目管理獨立機構，主要職能是從項目管理、需求管理和UAT測試管理三個方面來協調業(yè)務部門與科技開發(fā)部門之間的關系。IT項目管理機構職責和崗位設置高級業(yè)務需求的基線必須簽署，并嚴格實現業(yè)務需求變更管理。被簽署的業(yè)務需求說明書需求變更申請書SD.03建立規(guī)范的項目管理制度和流程在信息系統(tǒng)生命周期各階段，應制定相關制度、標準和流程，規(guī)范項目管理，確保信息系統(tǒng)開發(fā)、測試、維護過程得到有效管理。初級建立項目立項、開發(fā)、測試、部署、維護等過程相關的管理制度、標準和流程；設立項目經理崗位， 并對其進行項目管理培訓。建立項目管委會，成員應包括需求管理、項目開發(fā)、質量控制與測試、上線發(fā)布各個負責人。項目立項管理辦法項目開發(fā)管理辦法項目測試管理辦法項目維護