银行业金融机构信息系统安全保障问责方案

1、银行业金融机构信息系统安全保障问责方案为建立有效的银行业金融机构信息系统安全保障体系，落实信息系统安全保障责任，特制定本方案。一、总体原则（一）明确责任。银行业金融机构要建立信息安全治理架构，明确董事会、高管层对信息系统安全管理的职责权限，建立并落实信息安全管理责任制。（二）主动预防。银行业金融机构要建立信息安全突发事件风险防范体系，建立有效的信息安全风险评估、风险预警机制，对可能导致突发事件的风险进行有效识别、分析和控制，并实施对风险指标的动态、持续监测。（三）快速响应。银行业金融机构要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制，确保突发事件发生时响应及时、联

2、系通畅、操作准确、处理高效。（四）持续改进。银行业金融机构要定期评价信息安全管理工作，定期对各级信息安全责任人进行考核，持续改进信息安全保障制度及方案。二、问责机制（一）各银行业金融机构法定代表人为本机构信息系统安全保障的第一责任人，按照“谁主管谁负责、谁运行谁负责”的原则，层层落实信息安全责任制。（二）各银行业金融机构要将信息系统安全保障责任分解细化，逐项落实到具体部门、具体责任人，逐级签订信息系统安全保障责任书，强化信息安全管理执行力。（三）银监会将把银行信息安全事件管理纳入到银监会统一的重大失职和大案要案责任追究认定管理范畴内，建立起信息安全非现场和现场检查激励约束机制，并把信息系统安全

3、事件报告制度执行情况列为对银行业金融机构考核内容。（四）银监会和各银监局按照监管权责，敦促法人机构签署信息系统安全保障承诺书，明确高管人员对信息系统安全保障的管理责任。（五）对于以下情形，银监会及其派出机构根据信息系统安全保障承诺书追究银行业金融机构信息安全管理责任人责任。对于信息安全管理失职并造成严重不良后果的，将对其通报批评，情节特别严重、造成严重危害后果的，依据有关规定追究法律责任。1因信息安全管理工作不到位或失职，导致本机构发生重大信息安全事件；迟报、漏报、瞒报信息安全事件，或对信息安全事件处理措施不到位；不遵守有关信息安全规章制度，不执行上级部门及监管部门的信息安全管理要求。三、组织

4、机制各银行业金融机构要建立有效的信息安全治理架构，制定信息安全战略，完善信息安全内部管理组织架构和工作机制，将信息安全管理纳入本机构整体信息科技风险管理框架。（一）各银行业金融机构要高度重视和支持信息安全管理工作，法定代表人要对本机构信息安全管理负总责。要成立信息安全领导机构，由高管层、风险管理部门、信息科技部门、审计部门、合规部门及相关业务部门负责人共同组成，负责重大信息安全事项的决策和审批，明确各部门的信息安全管理职能分工，授权有关部门和人员组织开展信息安全工作，为实施信息安全管理提供坚强的组织保障。（二）各银行业金融机构应在信息安全领导机构的指导下，设立专门的信息安全管理机构，制定具体的

5、信息安全管理策略和规章制度，组织实施信息安全管理措施。各分支机构及相关部门要设立信息安全管理岗位，由专人负责各项信息安全规章制度和保障措施的落实。四、监管机制银监会及其派出机构通过非现场监管、现场检查、应急管理、风险提示、协同保障等工作机制，指导并督促各银行业金融机构加强信息安全管理，落实信息系统安全保障责任。（一）非现场监管。建立非现场监管分析、预警模型，及时发现风险点，有针对性的指导现场检查工作。开展对银行业金融机构信息科技综合评级，系统评价其信息科技的治理水平和风险状况，建立评级评价体系。（二）现场检查。组织信息安全现场检查，开展差距分析、后评价等监管措施，实现持续监管，督促各银行业金融机构落实责任。（三）应急管理。督促银行业金融机构建立应急管理机制，开展信息安全应急演练，不断提高应急处置能力。（四）风险提示。建立风险提示机制，适时就银行业信息科技风险发出提示，警示银行业金融机构及时了解信息安全风险态势，落实风险防范措施，防