银行业金融机构信息系统风险管理指引

商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。

(二)审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

(三)掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

(四)规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。

银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引是由中国人民银行出台的金融机构信息系统风险管理的指导性文件，旨在为银行业和其他金融机构提供风险管理指导。

该指引概括了银行业金融机构信息系统风险管理的原则、方法和要求，以帮助金融机构更好地管理信息系统风险。

一、原则银行业金融机构信息系统风险管理要求，金融机构必须坚持“安全第一、合规第一”的原则，以安全、可靠、高效的信息系统实现信息安全管理，促进信息安全和服务质量的持续改进。

二、方法（1）金融机构要建立健全信息系统风险管理体系，明确信息系统风险管理职责，建立相应的管理机制，增强信息系统风险意识，完善风险监测和评估体系，加强风险处置能力。

（2）金融机构要建立完善的信息系统安全防护体系，实施和完善信息系统安全防护措施，加强应用系统的安全管理，健全应用系统安全防护策略，并定期进行安全测试和审计，确保信息系统能够正常运行。

（3）金融机构要建立完善的信息系统维护体系，健全信息系统运维政策和流程，完善信息系统管理制度，提高信息系统管理水平，加强信息系统运维监控，保障信息系统正常运行。

三、要求（1）金融机构要结合自身实际，制定信息系统风险管理规范和措施，健全信息系统风险管理框架，细化信息系统风险管理流程，实施信息系统风险管理政策，加强信息系统风险管理，保障信息系统安全运行。

（2）金融机构要定期开展信息系统风险管理考核，积极推进信息系统风险管理持续改进，不断提高信息系统风险管理水平，保障信息系统正常运行。

（3）金融机构要实施信息系统风险管理责任制，将信息系统风险管理纳入内部管理制度，严格执行信息系统风险控制要求，保障信息系统风险管理的有效实施。

以上就是银行业金融机构信息系统风险管理指引的详细说明，通过坚持“安全第一、合规第一”的原则，建立健全信息系统风险管理体系，实施和完善信息系统安全防护措施，建立完善的信息系统维护体系，实施信息系统风险管理责任制，金融机构可以更好的管理信息系统风险，进而保障信息安全和服务质量的持续改进。

中国银行业监督管理委员会关于印发银行业金融机构信息科技外包风险监管指引的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2013.02.16•【文号】银监发[2013]5号•【施行日期】2013.02.16•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发银行业金融机构信息科技外包风险监管指引的通知（银监发[2013]5号）各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

银行业金融机构信息系统风险管理指引LEKIBM standardization office【IBM5AB- LEKIBMK08- LEKIBM2C】银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

第五条信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条银行业金融机构应认真履行下列信息系统管理职责：（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；（六）做好本机构信息系统审计工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；（九）开展与信息系统风险管理相关的其他工作。

中国银监会关于印发银行业金融机构全面风险管理指引的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2016.09.27•【文号】银监发〔2016〕44号•【施行日期】2016.11.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会关于印发银行业金融机构全面风险管理指引的通知银监发〔2016〕44号各银监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构全面风险管理指引》印发给你们，请遵照执行。

2016年9月27日银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

中国银监会关于印发《银行业金融机构全面风险管理指引》的通知银监发〔2016〕44号各银监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构全面风险管理指引》印发给你们，请遵照执行。

2016年9月27日（此件发至银监分局与地方法人银行业金融机构）银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规，制定本指引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

第五条信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。

第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。

第七条银行业金融机构应认真履行下列信息系统管理职责：（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；（六）做好本机构信息系统审计工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；（九）开展与信息系统风险管理相关的其他工作。

银行业金融机构全面风险管理指引第一章 总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

第五条银行业金融机构全面风险管理体系应当包括但不限于以下要素：（一）风险治理架构；（二）风险管理策略、风险偏好和风险限额；（三）风险管理政策和程序；（四）管理信息系统和数据质量控制机制；（五）内部控制和审计体系。

--------------------------------------------------------------------------------商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。

第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。

（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。

评估信息科技及其风险管理工作的总体效果和效率。

（三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。