XX银行信息科技基本管理办法

1、XX银行信息科技基本管理办法第一章 总 则第一条 为规范信息科技管理，防范信息科技风险，根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法 、 商业银行信息科技风险管理指引 和商业银行数据中心监管指引 ， 结合本行实际， 特制定本办法。第二条 本办法中信息科技系统系指本行综合业务系统、管理信息系统。第三条 本办法中信息科技风险，系指本行信息科技系统在运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷等导致的操作、法律和声誉等风险。第二章 组织体系与架构第四条 本行信息科技治理体系由董事会风险管理委员会、信息科技管理委员会、信息科技管理部门、信息科技风险管理部门、信息科技审计部门和

2、应急管理组织等组成。（1） 董事会风险管理委员会职责涵盖信息科技风险管理职能。（2） 信息科技管理委员会由高级管理层、 信息科技部门和主要业务部门组成，负责审定信息化建设和发展的总体规划；负责审议信息化建设的年度计划和阶段性任务，信息化建设的政策、风险防控、规章制度和各种标准规范，信息化重大建设项目的立项；负责审查信息化建设项目评审组的重大决策事项和重大项目解决方案；负责评价建设项目的实施成效；负责布置信息化建设工作任务。（三）信息科技部系本行信息科技管理部门，总、分行分别设置信息科技部门进行相应管理。（4） 风险管理部系本行信息科技风险管理部门， 负责全行信息科技风险管理，制定全面的信息科技

3、风险管理策略；负责向银监部门报送信息科技非现场监督报表。（5） 稽核部系本行信息科技审计部门， 负责对信息科技管理及信息科技风险管理进行审计。（六）本行制定 XX 银行计算机系统应急管理办法，以实施信息科技系统应急管理。应急管理以保障业务连续性为目的，分为两个级次：一级应急管理体系由总行组建；二级应急管理体系由分行组建。第五条信息科技部、风险管理部、稽核部按各自职责负责本行信息科技系统的日常管理与风险防范工作。第六条信息科技人员的管理（一） 本行信息科技人员应具备相应的专业知识、 技能和良好的道德品行。（二）本行信息科技关键岗位配置A、B 角。双人不得同时外出，并实行定期轮岗。IT 协管员，协

4、助处理分支机构信息科技运行维护工作。（四） 本行定期评估信息科技关键岗位员工流失带来的风险，做好员工候补和岗位接替等防范措施。第三章 信息系统规划与建设第七条本行信息系统规划遵循“保证系统先进性、前瞻性、可持续性”的原则。第八条本行信息科技系统制定容量规划，以满足因外部环境变化产生的业务发展和交易量增长的需求。容量规划应涵盖生产系统、备份系统及相关设备，建立预测性的业务影响分析机制，在项目设计、开发和投产中进行业务分析、高峰期预测评估。第九条 本行信息系统建设方案涵盖业务持续性规划，根据业务发展情况制定连续的信息系统建设方案。在关键应用部署上，采用双机、双线路、热备份，确保安全运行。第四章 信

5、息系统开发与管理第十条 本行信息科技系统研发过程中的组织、规划、需求、分析、设计、编程、测试和投产等环节的管理，另行制定 XX 银行信息科技项目开发管理办法。第十一条本行信息科技项目全周期管理覆盖项目立项、可行性分析、审批、开发、投产验收和运行维护等。第十二条信息科技项目的开发和变更实施严格管理，业务和管理系统开发环境、测试环境和生产环境实施严格分离。第十三条建立项目开发变更管理的审批授权机制和工作流程，重大需求的变更须报信息化建设项目评审组评审。第十四条对外包的信息科技项目的管理，另行制定 XX银行信息科技外包风险管理办法。第十五条总行信息科技部应指定专人负责信息科技项目开发的版本控制。第五

6、章 信息系统运行与维护管理第十六条本行信息系统运行维护实行分级管理。总行信息科技部负责总行数据中心各系统的运行维护；分行信息科技部负责分行机房、营业网点、办公场所及特色业务的运行维护。第十七条 总行数据中心负责对全行网络、信息系统进行持续性监测，并根据监测情况对信息系统性能和容量进行不定期的评估，提出改进方案。第十八条本行建立信息系统环境控制和预防性维护应对方案，信息系统环境包括机房、电源、温度、湿度、防雷、接地等方面。机房信息系统使用UPS电源供电，并制定专门 的UPS维护预案。主干通信链路采用多链路的备份处理模式,并建立相应的网络处理预案。机房防水、防火、防雷、接地等运行环境，根据国家标准

7、实施管理。机房实行24 小时值班，并由值班人员定时巡检。第十九条建立生产环境变更流程和变更管理的审批授权机制。第二十条系统运行维护人员通过对信息系统的实时监控， 获得系统运行故障报告等方式， 及时处理系统异常现象；通过实施日常运行监控机制，进行系统资源调整，保障信息系统稳定运行。第二十一条本行信息系统运行维护应建立事故管理及处置机制，及时响应信息系统运行事故，逐级向相关的信息科技管理人员报告事故情况，进行记录、分析和跟踪，对事故原因进行全面分析、 妥善处置， 并提出防范的可行性措施。第二十二条本行建立信息系统运行风险防控机制（1） 按系统编写操作手册及操作流程， 根据可能存在的操作风险，制定相

8、应的应对控制措施；（2） 信息系统对用户登录、 用户权限变更留有相应的日志；（三）对主机、数据库、 网络设备和防火墙等系统产生的日志进行备份保存。第六章 信息系统安全管理第二十三条本行信息科技安全工作遵循“主动防范、及时预警、有效化解、保障运行”的基本原则。第二十四条本行制定各项信息安全管理制度，确保各 应用系统建立配套的系统授权流程，按照最小权限授权原则，由系统管理员（超级用户）负责用户权限的管理和维护工作。第二十五条本行建立信息科技安全技术体系，内容包括应用系统安全管理策略、网络安全管理策略、运行环境安全管理策略和软件使用安全管理策略。（一）应用系统安全管理策略包括签到、授权、级别操作和密

9、码处理四个方面内容1. 签到：业务系统采用指纹、口令或其他验证方式相结合的签到方式。2. 授权：业务系统按照完整的授权管理办法，实施不同级别不同操作权限模式，超过部分权限必须授权。3. 级别操作：不同级别操作员按照不同操作权限进行操作。4. 密码处理：客户密码和柜员密码均采用加密存储方式。（二）网络安全管理策略包括网络传输、网络隔离、地址管理、安全管理等内容1. 网络传输：采用加密方式。2. 网络隔离：互联网与业务网、管理网测试网须采取严格的隔离措施；业务网、管理网与测试网须实施物理上的严格隔离；业务网与管理网逻辑隔离，互联互通时须采取必要的安全手段和访问控制措施。接入业务网、管理网、测试网和

10、互 联网的电脑设备实施专网专用，严禁混合使用。3. 地址管理：本行所有业务网络IP 地址实施统一分配原则，严禁私自修改、私自接入和使用分配范围之外的 IP 地址。4. 安全管理：实施业务网络安全优先管理策略。（三）运行环境安全管理策略1. 数据中心、机房的基础设施建设采用冗余配置，如市电供电、UPS空调等；2. 数据中心、机房建立门禁管理制度，严格运行环境出入管理；3. 运行环境实施24 小时值班制和定时巡检制。（四）软件使用安全管理策略1. 应用软件由专门版本管理员实施管理；2. 业务网、管理网和互联网部署防病毒服务器，以及客户端安装防病毒软件；3. 安装补丁分发系统，强化系统安全防护体系；

11、4. 本行所有软件均使用正版产品。第二十六条本行信息科技部是信息科技安全管理的牵头部门，信息科技部安全与综合管理室配备专职安全管理员，总行信息科技部各室、各分行信息科技部门配备专 （ 兼 ） 职安全管理员。第七章 信息系统存储管理第二十七条本行信息系统信息存储管理包括重要数据、介质、加密设备的管理。第二十八条数据库信息、电子日志、备查历史数据，上级部门或业务部门要求备份的数据等均要进行备份。第二十九条数据备份（磁带、硬软磁盘、光盘等）介质均视同会计档案，造册登记，专人管理。备份介质要求存放在专用介质库内，系统软件、应用软件及业务数据备份介质还须异地 （ 不同建筑物内 ） 保存。第三十条重要数据必须双备份，并确保备份信息的完整性。第三十一条本行按照商业银行数据中心监管指引，建立灾难备份中心。第八章 信息系统应急管理第三十二条建立完整的总、分行应急组织管理体系、应急事件报告流程、应急响应机制。对各类应急（突发）事件进行分级，按级别启动相应的应急组织管理体系。总、分行建立安全可行的应急预案。第三十三条 总、分行每年进行一次应急演练，以检查应急预案的可操作性。在应急演练之前，应向当地银监部门报备并递交应急演练方案；