法人银行业金融机构信息科技监管达标路线图(试行)

法人银行业金融机构信息科技监管达标路线图(试行)浙江银监局二〇一〇年十一月目录TOC\o"1-1"\h\z\u一、信息科技治理1二、信息科技风险管理13三、信息科技审计18四、系统开发及测试24五、信息科技运行29六、灾难恢复与应急管理39七、外包47八、信息平安52前言伴随着我国银行业的迅猛开展，信息科技已成为商业银行进行业务创新和实现经营战略的重要手段，信息系统的平安性、可靠性和连续性已经直接影响到银行业的平安和金融体系的稳定。为了统一思想认识，明确目标和监管要求，2010年4月下旬，局领导在浙江银监局辖内法人机构信息科技监管联席会议总结上提出制定我局辖内法人机构监管达标路线图的要求。监管达标路线图详细指明商业银行到达银监会信息科技风险监管目标和要求需要完成的路径和步骤，是今后一定时期内指导辖内法人银行开展信息科技风险管理工作的标准和行动指南。监管达标路线图以银监会发布的各项信息科技监管制度和管理方法为根底准绳，以银监会信息科技风险评估体系的控制有效性指标为立足点，为机构建立了明确的标杆和要求，指明了努力的方向，对于提高辖内中小法人银行信息科技风险管理建设的组织性、方案性和有效性将起到重要的作用。为制定科学合理、可操作性强、符合机构自身开展需求的路线图，路线图的设计由商业银行为主，充分发挥银行的主观能动性，由监管部门把关，保证路线图设计不偏离监管部门的要求，结合商业银行的实际情况，设计一条科学合理的路线图。路线图的设计思路：路线图分为文字和表格两大局部，文字局部概括性的描述各自领域内满足初级、中级和高级分别需要到达的要求和目标；表格局部以银监会信息科技风险评级指标为根底，分别提出每个指标对应初级、中级、高级的具体要求和结果文档。路线图的实现不是一朝一夕之功。辖内每家机构要根据路线图的要求，自评估后明确自身所处的位置，结合自身的实际情况，确定年度的和长期的达标的工作内容，加强监管达标路线图的执行和落实。在辖内法人商业银行有了明确的达标方案和步骤以后，每年监管部门要同机构一起分析路线图的完成情况、分析存在的差距与缺乏，共同制定年度的工作方案，稳步推进辖内法人银行机构提高信息科技风险管理水平。一、信息科技治理初级要求：制度中明确董〔理〕事会信息科技风险管理的职责。设立信息科技管理委员会，成员由高级管理层、信息科技部门和主要业务部门的代表组成。内审部门应当设立专门的岗位，负责信息科技内部审计。由独立于信息科技的部门承当信息科技风险管理责任。根据业务开展状况制定全行层面的信息科技战略规划及相应的IT预算投入，规划内容全面，由董〔理〕事会审批通过。做好科技人才队伍建设和培养方案，识别定义关键的信息科技岗位。建立信息科技管理制度，标准信息科技管理。中级要求：制度中明确董〔理〕事会信息科技风险管理的职责，并建立相关履职措施。应采取适当措施，履行信息科技管理委员会职责。设立首席信息官，可以由高管层兼任。应采取适当措施，确保内部审计部门履行信息科技审计职责。应采取适当措施，确保由独立于信息科技的部门履行信息科技风险管理职责。根据业务开展状况制定全行层面的信息科技战略规划，规划内容全面，应采取适当措施确保信息科技战略符合全行业务开展战略，并由信息科技管理委员会审批通过。做好科技人才队伍建设和培养方案，建立信息科技人才鼓励制度，识别定义关键的信息科技岗位，并采取适当措施防范关键岗位风险。建立较为完善的信息科技管理制度，标准信息科技管理。高级要求：建立恰当的履职机制，确保董〔理〕事会能充分履行信息科技风险管理职责。应建立完善的机制，确保信息科技管理委员会能够充分履职。应当建立相关制度，确保首席信息官能够充分履职。应建立常态化的信息科技审计机制，确保内部审计部门能够充分履行信息科技审计职责。应建立常态化的信息科技风险管理机制，确保独立于信息科技的风险管理部门能够充分履行信息科技风险管理职责。应建立完善的机制，确保信息科技战略规划内容全面，并符合全行业务开展战略。应建立完善的科技人才队伍建设和培养机制，建立完善的信息科技人才鼓励制度，识别定义关键的信息科技岗位，并采取恰当措施防范关键岗位风险。建立完善的信息科技管理制度，标准信息科技管理。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档信息科技治理(GO)

信息科技治理职责GO.01董〔理〕事会信息科技风险管理职责明确银行的董〔理〕事会是治理结构中的重要局部，其职责应当包括以下内容：1.批准重大业务战略和信息科技战略规划；2.确定风险管理策略、容忍度，包括信息科技风险管理容忍度〔例如，可容忍的最大停机时间、可接受的最大损失金额等〕；3.及时向监管机构报告本机构重大信息科技事件；4.审阅信息科技审计报告及信息科技风险评估报告；5.监督信息科技内外审计整改的落实。6.在良好的公司治理根底上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才鼓励机制。初级董〔理〕事会职责中应包含以下内容：

1.贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银监会监管要求；

2.审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致；

3.了解主要的信息科技风险，包括信息科技建设风险、运行风险、信息平安风险等；

4.建立职责明确、报告关系清晰的信息科技治理组织结构；

5.催促内部审计部门进行信息科技风险管理审计；

6.确保信息科技风险管理工作所需资金；

7.确保及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，并按相关预案快速响应；

8.确保相关职能部门配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。董〔理〕事会职责说明中级董〔理〕事会职责中应包含以下内容：

1.审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。授权相关部门评估信息科技及其风险管理工作的总体效果和效率；

2.掌握主要的信息科技风险，确定可接受的风险级别，确保主要风险能够被识别、监测和控制；

3.标准职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识；

4.建立分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才鼓励机制；

5.确保内部审计部门进行独立有效的信息科技风险管理审计；

6.确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训；

7.确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险。董〔理〕事会职责说明高级董〔理〕事会职责中应包含以下内容：

1.确保内部审计部门进行独立有效的信息科技风险管理审计，并审阅信息科技审计报告；

2.每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。3.催促制定预算执行考核方法；4.董〔理〕事会设置中要求至少配备有一名有信息科技背景的人员；5.审批信息科技业务连续性规划，明确全行信息科技风险管理策略和风险容忍度指标。董〔理〕事会职责说明GO.02董〔理〕事会信息科技风险管理职责落实银行董〔理〕事会应当明确其承当的信息科技风险管理职责，并履行其职责。

1．根据《指引》董〔理〕事会设立信息科技管理委员会，由来自高级管理层、信息科技部门和主要业务部门的代表组成，负责信息科技战略规划制定、重大工程的审批、制定根本的IT风险管理政策，听取风险评估报告和监督风险政策执行情况,负责监督各项职责的落实，定期向董〔理〕事会和高级管理层汇报有关情况等。初级1.落实GO.01初级要求；2.成立由来自高层、信息科技部门和主要业务部门组成的信息科技管理委员会，负责每年向董〔理〕事会或高级管理层汇报信息科技战略规划执行、信息科技预算和实际支出、信息科技的整体状况等，委员会会议每年不得少于一次；

董〔理〕事会批准的战略规划

了解信息科技风险管理情况的记录

听取审计情况报告的记录

信息科技管理委员会工作职责

信息科技管理委员会开展工作情况记录

治理架构图及说明

信息科技预算及审批记录

信息科技制度流程学习、考试相关记录科技岗位交接培训记录科技风险评估记录；科技风险评估问题跟踪记录；信息平安监控记录中级1.落实GO.01中级要求；

2.信息科技管理委员会会议每年不得少于两次；信息科技总体风险评估报告

审计报告

经董〔理〕事会审批的信息科技业务连续性规划方案

信息科技风险意识教育的资料和记录信息科技相关部门和岗位职责说明

高级1.落实GO.01高级要求；2.信息科技管理委员会根据需要定期召开会议，每年不得少于四次；

3.建立相互独立的信息科技管理、信息科技风险管理和信息科技审计等部门；重要信息科技应急预案

信息科技风险意识教育制度信息科技人才鼓励制度

信息科技审计制度

信息科技审计报告及董〔理〕事会审阅记录

信息科技风险管理年报及董〔理〕事会审阅记录

董〔理〕事会对监管及整改意见的审阅记录

数据中心设立董〔理〕事会审议记录

董〔理〕事会对数据中心根本管理制度的审阅记录GO.03设立首席信息官〔CIO〕，直接向行长汇报，参与重大决策银行应当设立首席信息官〔CIO〕，直接向行长汇报，参与重大决策。首席信息官是商业银行负责信息科技管理的高级管理人员,对本行信息科技总体管理负责。1．根据《商业银行首席信息官管理方法》〔征求意见稿〕的要求，建立标准的信息官制度和流程，明确信息官的职责。初级参照首席信息官，明确信息科技分管行长职责。信息科技分管行长职责中级设立首席信息官岗位〔可以兼任〕，明确首席信息官职责。首席信息官提名与任命管理方法

首席信息官岗位职责说明高级产生符合银监会任职条件的首席信息官；严格按照银监会有关规定，标准并完善首席信息官有关制度，为首席信息官有效履职提供必要条件。首席信息官岗位职责说明

首席信息官绩效考核方法

首席信息官年度工作方案

首席信息官述职报告

首席信息官绩效考核情况报告

首席信息官参与的重大会议纪要GO.04内部审计部门设立专门岗位负责信息科技内部审计应当由内审部门设立专门的岗位负责信息科技内部审计，信息科技审计应当包括：落实信息科技审计制度和流程的实施，制订和执行信息科技审计方案，对信息科技整个生命周期和重大事件等进行审计。初级应当在内审部门设立岗位负责信息科技内部审计，信息科技审计人员至少不得少于2人。审计部门组织架构图

审计部门及岗位职责说明

审计部门人员岗位分工说明中级同初级同初级高级1.应建立完善的信息科技审计组织架构，确保审计部门能充分履行信息科技审计职责；

2.专职信息科技风险审计人员数量原那么上按照科技人员数量的5%配备；

3.信息科技风险审计人员应当具备相应的专业从业资格。信息科技审计人员背景资料

信息科技审计制度

GO.05设立信息科技风险管理部门应当由独立于信息科技的部门承当信息科技风险管理责任，该部门负责协调制定有关信息科技风险管理策略，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息平安威胁和不合规事件的发生。初级应在信息科技部门外设立信息科技风险管理部门，负责信息科技风险的监督和报告；信息科技风险管理部门组织架构

信息科技风险管理部门及岗位职责说明

信息科技风险管理部门人员岗位分工说明中级应在信息科技部门外设立信息科技风险管理部门，负责开展信息科技风险的识别、评估、监督和报告。同上高级1.应在信息科技部门外建立信息科技风险管理部门，负责信息科技风险的识别、评估、计量、监测、控制和报告。应建立完善的信息科技风险管理组织架构，确保能充分履行信息科技风险管理工作。同上信息科技战略及规划GO.06建立与总体业务规划一致的信息科技战略规划信息科技战略由信息科技管理委员会负责制定，信息科技战略规划应当符合机构总体业务规划，并维持稳定、平安的信息科技环境。

信息科技战略规划由信息科技管理委员会负责制定。初级1.信息科技战略规划及预算应经信息科技管理委员会审议；

2.信息科技战略规划及预算应报董〔理〕事会审批。经董〔理〕事会审批的信息科技战略规划经董〔理〕事会审批的信息科技预算

信息科技管理委员会审议的记录中级1.信息科技管理委员会应催促职能部门执行信息科技战略规划；

2.信息科技管理委员会应催促职能部门根据战略规划制定信息科技年度建设方案，并审议批准。3.信息科技预算结构上得到优化，重视对人员培训的投入信息科技年度建设方案

信息科技管理委员会审议信息科技年度建设方案的记录信息科技预算明细高级1.信息科技管理委员会应适时对战略规划的执行情况进行评估，确保符合银行总体业务开展战略和风险管理策略；

2.信息科技管理委员会应根据评估情况，催促修订信息科技战略规划；3.信息科技预算适应业务需要，适当超前。信息科技战略规划执行情况评估报告GO.07信息科技战略规划内容全面，有效支撑业务规划作为信息科技治理的一局部工作，银行应当制定全面的信息科技战略规划，以支撑业务的开展。

1．信息科技战略规划内容全面，包括信息科技战略目标、信息科技风险管理规划、信息科技治理规划、信息科技架构规划、信息科技工程〔或信息系统〕规划。初级信息科技战略规划内容应包括以下内容：

〔1〕信息科技战略目标；

〔2〕信息科技治理规划；

〔3〕信息科技架构规划；

〔4〕信息科技工程〔或信息系统〕规划等内容。战略目标

治理规划

架构规划

信息系统规划中级信息科技战略规划内容应包括信息科技风险管理规划。风险管理规划高级同中级同中级信息科技治理运作GO.08董〔理〕事会和管理层对信息科技风险管理的关注和支持董〔理〕事会和管理层应当保持对信息科技风险管理的支持和关注。

1．建立科学合理的信息科技风险管理的考核指标初级相关部门每年应将信息科技风险管理情况报告董〔理〕事会或高级管理层。报董〔理〕事会或高级管理层信息科技风险管理情况报告中级应建立信息科技风险管理考核指标，指标应包括信息科技开发、运行、和内控管理等信息科技风险管理相关内容。信息科技风险管理考核指标高级应建立信息科技风险管理考核指标，指标从科技、风险、审计三道防线出发，建立全面的信息科技风险管理考核体系和指标。信息科技风险管理考核制度GO.09信息科技治理组织结构合理有效银行应当设置合理的信息科技治理组织结构，使科技决策、科技管理、风险、审计等定位明确。初级1.应设立信息科技管理委员会；

2.应设立部门负责信息科技管理工作；

3.应设立信息科技风险管理岗位负责信息科技风险管理工作；

4.应设立信息科技审计岗位负责信息科技审计工作。组织架构图及说明

信息科技管理委员会工作职责说明

信息科技管理部门或岗位职责说明

信息科技风险管理岗位职责说明

信息科技审计岗位职责说明中级1.应设立首席信息官；

2.应设立独立的信息科技部门；

3.应在风险管理部门内设立信息科技风险管理岗位负责信息科技风险管理工作；

4.应在审计部门内设立信息科技审计岗位负责信息科技审计工作。5.实行总、分行两级平安管理，成立总行计算机平安管理领导小组，明确了各级分支机构的平安责任。首席信息官职责说明

信息科技管理部门和岗位职责说明高级1.应设立信息科技管理委员会，并确保充分履职。

2.应设立首席信息官，并确保充分履职；

3.应设立信息科技风险管理部门负责信息科技风险管理工作，并建立健全信息科技风险管理机制，确保信息科技风险部门能充分履职；

4.应设立信息科技审计部门负责信息科技审计工作，并建立健全信息科技审计机制，确保信息科技审计部门能充分履职；5.建立完善计算机平安组织架构，在科技部门成立专门的信息平安管理部门。首席信息官参与的重大会议纪要

信息科技风险管理部门年度工作方案

信息科技风险管理部门和岗位职责说明

信息科技审计部门和岗位职责说明

信息科技审计部门年度工作方案GO.10软件正版化银行应按照知识产权相关法律法规，制定软件正版化策略和制度，使所有员工充分理解并遵照执行；确保购置和使用合法的软硬件产品，禁止侵权盗版。初级1.指定专人或部门，对银行内采购、安装、使用商业软件进行管理；2.搜集安装软件的信息并统计；3.制定软件正版化方案和相应管理方法。软件正版化情况概要软件正版化管理方法中级1.制定软件正版化策略和制度；2.对员工进行软件正版化教育；3.确保行内的所有商业软件的合法和有效性，加强对软件授权的管理，采取一定措施防止非法软件的安装。软件正版化策略软件正版化培训方案/记录高级1.建立软件授权和使用清单，对购置软件的生命周期进行有效管理；2.建立对免费和开源软件的管理，所有软件授权经过法律部门审核；3.采取强制性措施禁止非法软件或非授权软件的安装。软件授权和使用控制表法律部门对软件授权的审核记录科技队伍建设GO.11配置足够信息科技人员银行应当配备足够的信息科技人员，以支持银行业务的开展和信息系统运行。

1．根据《治理指导意见》〔征求意见稿〕第十八条，国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原那么上不低于2.5%，城市商业银行和其他地方法人机构这一比例原那么上不低于3%，至少不得少于3人。初级1.银行应当配备足够的信息科技人员，以支持银行业务的开展和信息系统运行，信息科技人员至少不得少于3人；

2.应建立与业务相适应的信息科技管理部门。人员统计表；信息科技管理部门职责说明；信息科技岗位职责说明；信息科技人员和岗位说明。中级1.应当配备足够的信息科技人员，以支持银行业务的开展和信息系统运行。股份制商业银行、城市商业银行和省联社信息科技人员总数与员工总人数的比例原那么上不低于3%；

2.应建立独立的信息科技部门，应至少设立软件开发、运行维护等内设部门。人员统计表信息科技管理部门职责说明信息科技岗位职责说明信息科技人员和岗位说明。高级应建立独立的信息科技部门，应将信息科技运行与系统开发、维护别离，确保信息科技部门内部的岗位制约，并确保信息科技部门能充分履职。人员统计表信息科技管理部门职责说明信息科技岗位职责说明信息科技人员和岗位说明信息科技业务操作流程及岗位相互牵制、别离情况说明GO.12明确信息科技关键岗位1.银行应当识别并明确信息科技关键岗位。初级应梳理本行的信息科技岗位，界定具体的关键岗位。信息科技关键岗位列表中级制定对关键岗位的相关管理制度，包括对关键岗位设置AB角，并实施强制休假或岗位轮换制度。关键岗位管理制度信息科技关键岗位说明信息科技关键岗位人员与岗位对照表强制休假或岗位轮换实施记录高级1.建立关键岗位上岗和离职的管理流程，并严格执行，不相容岗位不得兼岗。2.应评估关键岗位信息科技员工流失带来的风险，做好安排候补员工和岗位接替方案等防范措施；在员工岗位发生变化后及时变更相关信息。3.制定信息科技关键岗位任职资格标准关键岗位人员评估说明信息科技关键岗位任职资格标准GO.13组织在岗人员定期参加信息平安培训1.银行应当组织在岗人员定期参加信息平安培训，提升在岗人员的信息平安意识。初级应当组织相关人员参加信息平安培训，提升专业人员的信息平安技能和意识，每年至少一次组织在岗人员参加信息平安培训信息平安培训记录〔培训通知及签到单〕中级1.每年根据各在岗人员岗位性质制定信息平安培训方案，确保覆盖所有在岗员工，形式可采用会议、通知、风险提示、考试、专题培训等，留存培训记录。

2.每年应制定培训方案对专业人员进行信息平安培训，提升专业人员的信息平安技能和意识。信息平安教育和培训的年度方案高级1.应建立对员工进行信息平安培训的制度，形成信息平安教育和培训的常态化机制。2.建立信息平安培训考试制度，将信息平安知识考试与相关员工上岗、竞聘、考核等挂钩，提升在岗人员的信息平安意识。信息平安培训及考试制度考核通知和结果通报GO.14信息科技人员稳定情况银行应当保证信息科技人员的稳定。

1．根据《治理指导意见》〔征求意见稿〕第五十二条，商业银行应建立一套包括职位晋升、薪酬晋级在内的信息科技鼓励机制，鼓励机制应与信息科技运行效率、风险控制目标等相联系，保证科技队伍的稳定。初级对信息科技岗位进行标准化，运用岗位分析、岗位评价，设计合理的级别体系。岗位职务说明书中级1.应建立一套信息科技鼓励机制，充分调动信息科技人员的积极性和创造性，鼓励机制应与信息科技系统建设、运行效率、风险控制目标等相联系，引导员工重视个人技能的增长，保证科技队伍的稳定；

2.应建立信息科技问责机制，对不履行职责或违反信息科技管理制度人员进行问责和惩办。薪酬考核制度信息科技鼓励制度信息科技问责制度高级1.应建立一套完善的包括职位晋升、薪酬晋级在内的信息科技鼓励机制，充分调动信息科技人员的积极性和创造性，鼓励机制应与信息科技系统建设、运行效率、风险控制目标等相联系，保证科技队伍的稳定。2.每年对信息科技人员补充、岗位调整情况进行分析，评估现有鼓励机制对科技队伍稳定的实际效果。人员新增需求方案表二、信息科技风险管理初级要求：在信息科技部门之外，设立或指派一个特定部门负责信息科技风险管理，并配备专职的信息科技风险管理人员。在信息科技部门内至少指定一名专职人员负责内控和风险防范。并要求具有与岗位相当的专业知识能力、一定的从业经验和良好的职业操守。信息科技风险管理部门根据《指引》第十五条要求根本建立风险管理策略。信息科技风险管理部门建立信息资产的分类分级标准，识别建立和维护信息资产清单，确定各类信息资产中的关键资产，锁定评估对象。应当建立信息科技风险监测机制，确定监测范围、监测内容和频率。信息科技队伍建设：银行应当配备足够的信息科技人员，以支持银行业务的开展和信息系统运行。并梳理本行的信息科技岗位，界定具体的关键岗位。同时运用岗位分析、岗位评价等，设计合理的级别体系。中级要求：信息科技风险管理部门应建立完善的信息科技风险管理策略,并对其适用性进行评估、进行必要修订。初步明确本行信息科技风险管理对象、内容、过程和方法，组织架构中各部门的职责及相互关系。对重要信息资产建立风险评估制度。对重要信息资产建立风险评估制度，在重要信息系统投产或变更时履行风险评估手续。制定关键风险指标体系，运用关键指标建立对信息科技风险的定量计量和监测。信息科技队伍建设：应当配备足够的信息科技人员，以支持银行业务的开展和信息系统运行。股份制商业银行、城市商业银行和省联社和这一比例原那么上不低于3%；制定对关键岗位的相关管理制度。根据信息科技人员特点，建立合理的职位晋升和薪酬考核机制，引导员工重视个人技能的增长。高级要求：信息科技风险管理人员应具备相应的从业资格，通过IT风险管理、信息平安等专业资格考试并获得相应证书。信息科技风险管理部门应对现有信息科技风险管理制度进行后评价，每年进行修订和补充。对信息科技进行定期、标准、持续的评估，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，确定风险防范措施及所需资源的优先级别。对信息科技进行持续的风险监测，定期分析指标并产生信息科技风险监测报告，监测信息科技风险开展趋势。信息科技队伍建设：根据本行的信息化建设情况，提升信息科技人员与员工总人数的比例。加强复合型人才的培养。每年对信息科技人员补充、岗位调整情况进行分析，评估现有鼓励机制对科技队伍稳定的实际效果。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档信息科技风险管理信息科技风险管理人才RM.01配置足够信息科技风险管理人员银行应当有足够的信息科技风险管理人员开展信息科技风险管理工作。初级在信息科技部门之外，设立或指派一个特定部门负责信息科技风险管理，对信息科技风险管理的人员数量至少一人。在信息科技部门内至少指定一名专职负责内控和风险防范的人员。部门职责部门岗位设置说明中级信息科技风险管理人员数量原那么上按照科技人员数量的5%配备，至少不得少于2人。科技人员中负责内控和风险防范人员原那么上不低于5%。管理人员名单部门岗位设置说明高级专职信息科技风险管理人员数量原那么上按照科技人员数量的8%配备；管理人员名单部门岗位设置说明RM.02信息科技风险管理的人员具有相关专业背景知识和技能信息科技风险管理人员应当具备专业知识和技能。初级信息科技风险管理人员应当具备相应的专业从业资格：〔一〕信息科技风险管理人员应具备大专以上学历，掌握信息科技相关专业知识，熟悉金融相关法律、法规和金融风险管理制度；〔二〕具备一年以上金融信息科技或风险管理从业经验；〔三〕具有客观、公正和廉洁的职业操守，且从业以来无不良记录。个人简历学历证书中级风险管理人员应同时具备从事风险管理工作两年以上。个人简历学历证书高级信息科技风险管理人员中至少一人通过IT风险管理、信息平安等专业资格考试并获得相应证书。个人简历学历证书专业资质证书信息科技风险管理策略RM.03制定全面的信息科技风险策略信息科技风险管理应当纳入全面风险管理体系。信息科技风险管理策略应覆盖组织及职能、制度标准、风险评估与监督等方面，包括但不限于银监会发布的管理指引中的内容。初级根本建立信息科技风险管理策略风险管理策略中级建立完善的信息科技风险管理策略，管理策略覆盖组织及职能、制度标准、风险评估与监督等方面，内容包括《指引》规定的七个领域。风险管理策略高级继续改良完善风险管理策略，内容全部覆盖《指引》规定的七个领域。风险管理策略RM.04建立完善的信息科技风险管理制度信息科技风险管理类制度应当考虑信息科技风险管理策略、信息科技风险评估、信息科技风险报告、信息科技风险内部控制等方面初级应制定相关制度，包括信息科技风险内部控制和风险报告等方面的内容。信息科技相关内控管理方法

信息科技事件报告管理方法中级1.应建立息科技风险管理策略；

2.信息科技风险评估制度，明确风险评估的范围、内容、方法等；信息科技风险管理方法

信息科技风险评估方法

高级1.应建立完善的信息科技风险管理制度体系，在纵向上包括信息科技风险管理策略、标准、标准、流程，以及实施细那么等；在横向上应全面包含信息科技风险管理所涉及的主要范围。2.信息科技风险量化评估制度，对信息科技的风险指标有量化标准，信息平安标准与标准

信息科技风险管理流程说明

信息科技风险管理操作规程信息科技风险量化评估制度RM.05定期评估及修订信息科技风险管理制度应当定期评估信息科技风险管理制度的适用性、完整性并进行必要修订。初级对现有信息科技风险管理制度的适用性进行评估、进行必要修订修订的制度目录中级同初级同初级高级每年对现有信息科技风险管理制度进行后评价，根据实际情况进行修订和补充。修订、补充的风险管理制度信息科技风险评估RM.06制定持续的风险识别和评估流程持续的风险识别和评估流程应包括建立信息资产分类分级标准、识别建立和维护信息资产清单、确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，确定风险防范措施及所需资源的优先级别。初级建立信息资产的分类分级标准，识别建立和维护信息资产清单，确定各类信息资产中的关键资产，锁定评估对象。信息资产分类分级标准中级对重要信息资产建立风险评估制度，在重要信息系统投产或变更时履行风险评估手续。风险评估制度工程投产或变更风险评估报告高级对信息科技进行定期、标准、持续的评估，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，确定风险防范措施及所需资源的优先级别。定期风险评估报告RM.07建立持续的信息科技风险计量和监测机制，进行信息科技风险监测信息科技风险管理部门应当建立信息科技风险计量和监测机制，确定监测范围、监测内容和频率；制定关键风险指标，并分配相关责任，持续进行风险监测，定期分析指标并产生信息科技风险监测报告，监测信息科技风险开展趋势。初级信息科技风险管理部门应当建立信息科技风险计量和监测机制，确定监测范围、监测内容和频率。风险计量和监测制度中级制定关键风险指标体系，运用关键指标建立对信息科技风险的监测。关键风险指标体系高级1.对信息科技进行持续的风险监测，定期以上分析指标并产生信息科技风险监测报告，监测信息科技风险开展趋势。2.制定内部，外部升级和监管发现问题整改处理机制；3.制定新技术开展和已使用软件面临威胁定期评估机制。信息科技风险监测报告内部、外部升级和监管发现问题整改处理机制新技术开展和已使用软件面临威胁定期评估机制三、信息科技审计初级要求：1.初步建立信息科技风险审计的各项相关制度；2.在内部审计部门设置信息科技风险审计岗，并配备一定数量的信息科技风险审计人员；3.可以在一定程度上开展信息科技风险的内部审计工作；4.制定审计的年度方案，并按方案组织实施。中级要求：1.建立较为完整的信息科技审计的相关制度体系；2.在内部审计部门设置信息科技风险审计岗位，配备一定数量的专职信息科技审计人员，专门从事信息科技审计工作；3.制定较为完善的年度审计方案，并按方案开展有序的审计工作；4.有能力独立开展信息科技风险的专项审计工作，并按照银监会的有关要求对本行的信息科技风险进行一定频率的专项审计，必要时也可组织外部审计工作；5.对内、外部审计中发现的问题催促被审计部门进行落实，保证审计的有效性。高级要求：1.建立了较为完善的信息科技风险审计制度体系，并定期检查制度的执行情况，不断提高制度的执行力；2.在内审部门设立专门的信息科技风险审计岗〔小组〕，配备足够数量〔到达本行科技人员数量的2-5%〕的具有较高专业水平的审计人员〔最好能取得专业技术资格〕，并充分履职；3.具有独立开展信息科技风险全面审计的能力，持续〔不小于3年〕开展合理频度〔一年不少于一次〕的信息科技风险专项审计，且收到较好的效果；3.连续三年以上，制定了完善的年度审计方案，并能按方案开展有序的审计工作；4.至少三年一周期，一级分支机构的审计覆盖率能到达100%。5.对审计中发现的问题均有明确的整改意见和整改结果，审计部门履行跟踪、监督职能，保证审计的有效性。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档审计(AD)

AD.01信息科技审计制度制定情况制定完善的信息科技审计制度和政策，包括信息科技内审政策、信息科技外审政策、信息科技内审的内容、范围、职责、审计方法、审计报告、处理和整改落实等情况，信息科技外审的范围、外审公司选择标准、外审报告处理和整改措施等方面。初级根据银行现有的的信息科技审计情况，参照《商业银行商业银行信息科技风险管理指引》及《治理指导意见》〔征求意见稿〕等，修订和完善本行的相关制度，明确审计报告路径和审计人员资职，保证审计的独立性和较高的审计质量。同时审计制度包括信息科技的审计政策、内外部审计的规定，内部审计的职责、范围、方法、内容、报告、整改及后续审计等，做到对审计工作具有明确的指导作用。信息科技审计制度中级制度内容比拟全面，能反映本行信息科技审计的管理要求。信息科技审计制度高级信息科技审计制度与银监会的相关制度及其他外部制度具有较好的衔接，保证制度的可操作性。信息科技审计制度信息科技内部审计独立性与合理授权AD.02内部审计部门进行信息科技风险管理审计的独立性内部审计部门应当具备合理的汇报路线和审计技能，以保证内审的独立性。初级明确审计部门报告路径，审计报告直接汇报董〔理〕事会、监事会或审计委员会，赋予内部审计部门具有独立开展信息科技审计工作的相关职能。信息科技审计制度中级加强对银行信息科技风险审计人员的培训，使内部审计人员具有一定的信息科技审计技能信息科技审计报告高级审计部门的信息科技风险审计人员能独立地开展信息科技审计，并直接向内审部门或审计委员会负责信息科技审计报告AD.03依据既定的审计方案、方案开展信息科技审计内审部门应当按照方案开展信息科技审计工作。初级内审部门制定年度信息科技审计方案。信息科技审计方案中级内审部门制定年度信息科技审计方案，并且制定相应的审计方案，经主管领导批准执行。审计工作根本按照方案执行。信息科技审计方案和方案信息科技审计报告高级信息科技审计按照既定的方案执行信息科技审计方案和方案信息科技审计报告信息科技专业内审人员AD.04配置足够的信息科技内部审计人员内部审计部门应配备一定数量的人员，执行信息科技内部审计〔包括控制自评估、信息科技内审等〕。初级在内审部门配备1至2名信息科技审计人员，具备相应能力。无中级配备2名信息科技审计人员，其中至少1名专职信息科技审计人员。无高级信息科技风险审计人员按照本行科技人员数量的5%配备，至少不得少于2人。信息科技风险审计组织与人员名单AD.06信息科技内部审计人员具备专业能力及资质信息科技审计部门应通过任用一定比例的具有信息科技审计专业资质的人才，实现信息科技审计专业化。初级信息科技审计人员熟悉信息科技相关知识，熟悉金融相关法律、法规和内部控制制度。无中级信息科技审计人员具有信息科技从业背景，具有较强的专业知识和风险识别能力。无高级信息科技审计人员具有丰富的审计经验和较为深厚的计算机背景，取得信息系统审计师〔CISA〕等专业资格。获得专业资格证书的人数和比例信息科技审计执行与问题整改情况AD.07信息科技内部审计覆盖情况内部审计部门应定期开展信息科技内部审计工作，审计应适当覆盖机构的各个分支或直属机构，3年内一级分支机构覆盖率要到达100%。初级根据银行实际每年开展信息科技风险的审计，对一级分支机构或直属机构的覆盖率每年在15%以上。信息科技审计报告中级经过信息科技风险审计，对一级分支机构或直属机构的覆盖率每年在20%以上。信息科技审计报告高级经过三年的信息科技风险内部审计，一级分支机构覆盖率要到达100%。信息科技审计报告AD.08信息科技内部审计整改情况银行应对内部审计发现的问题进行整改并跟踪落实，确保中度风险以上问题的及时整改。内部审计整改率到达90%以上。初级针对银行的内部审计，相关被审计部门除客观条件所限，对检查出的问题均要进行整改，整改率总体在50%以上。信息科技整改报告中级检查出的问题均要进行整改，整改率力争到达70%以上。信息科技整改报告高级检查出的问题均要进行整改，整改率力争到达90%以上。信息科技整改报告AD.09信息科技审计的有效性针对信息科技审计活动，机构应对内、外部审计发现的问题进行跟踪，并确保问题在规定的时间内落实整改。发现的问题切中要害，对风险管理有明显促进作用。中风险度的问题到达一定数量。初级1.内部审计报告需一定程度上反映存在问题信息科技内审报告；中级内、外部审计发现的问题具有一定的深度，中度风险的问题具有一定的数量，能积极整改。信息科技整改报告高级对信息科技风险的管理具有明显的促进作用。被检查部门对内、外部审计发现的问题在规定的时间内积极进行整改。信息科技整改报告AD.10开展全面信息科技内部审计应当定期开展全面的信息科技内部审计。初级不定期开展信息科技内部审计。信息科技审计报告中级开展过全面的信息科技内部审计。信息科技审计报告高级每三年开展一次全面的信息科技内部审计；根据需要不定期开展信息科技专项审计。信息科技审计报告AD.11信息科技外部审计根据指引，商业银行可以在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。初级无无中级可聘请第三方具备相应资质的外部审计机构或专业公司进行信息科技审计。信息科技审计报告高级1.建立标准的外部审计管理制度，明确外部审计的内容和方式。2.进行第三方全面审计。信息科技外部审计制度AD.12外部审计保密措施关注机构开展外部审计时是否对自身信息加以保护，签署保密协议，保密协议可能是合同的一局部，也可能是与能够接触敏感信息的个人单独签署的协议。初级与外部审计机构或能够接触敏感信息的个人签署保密协议。保密协议中级建立根本的保密协议和外审保密措施外部审计保密管理方法高级建立完善的保密协议和外审保密措施外部审计保密管理方法AD.13信息科技外部审计整改情况银行应对外部审计发现的问题进行整改并跟踪落实，确保中度风险以上问题的及时整改。外部审计整改率到达90%以上。初级对外部审计发现的问题进行整改并跟踪落实，确保中度风险以上问题积极整改，整改率力争到达50%以上。整改报告中级整改率力争到达70%以上。整改报告高级1.整改率力争到达90%以上;2.建立信息科技外审结果整改制度整改报告信息科技外审结果整改制度四、系统开发及测试初级要求：1.建立系统开发的工程治理结构：〔1〕信息技术管理委员会拥有重大工程审批权和工程争议的最终裁量权，确保IT战略最大程度地支持本行的业务战略，并加强平安管理；〔2〕明确业务需求管理的责任部门，建立业务分析流程，对业务需求的开发进行有序管理。2.采用工程管理方法论来开展系统开发，包括定义工程生命周期、制订工程管理制度和流程。3.开发与生产环境的独立。设置独立的信息系统生产、开发和测试环境。4.严格上线管理。系统投产前准备详细的上线方案和回退方案。中级要求：1.完善业务需求管理体系。设置信息技术工程管理机构职能，负责工程管理、业务需求管理和UAT测试。2.开展风险评估。开展在工程的各阶段进行风险评估与处置的工程管理活动；3.加强质量管理。设置专职的质量测试岗对代码的平安进行抽样走查或评审；4.工程后评估。要求在工程立项申请时，明确要求说明实现工程目标的可衡量指标。工程在投产6个月后对照立项时的可衡量指标进行后评估。高级要求：1.工程进度管理。按季度向信息科技管理委员会报告各类重大工程建设进度；2.严格需求管理。确保需求在进入开发实施前得到业务和科技部门的共同签署，需求变更严格按流程执行；3.落实全面质量控制。建立质量保证团队，对工程过程质量进行独立控制，借助外部资源，使用专业工具对代码进行平安检查。在生产验证环境进行测试或验证后，由专门的配置人员部署到生产环境上。4.完善后评估工作。建立工程后评价资料库，有序管理工程后评价资料，为后续的工程组合管理提供数据。5.建立工程管理、测试管理等系统,提高工程开发、变更管理、测试管理水平。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档系统开发及测试(SD)

建立完善的工程管理SD.01工程实施部门定期向信息科技管理委员会提交重大工程进度报告工程实施部门应当定期向信息科技管理委员会提交的重大工程进度报告。初级按年度进行重大工程进度报告，内容包括重大工程名录、分项工程进度报告、问题总结和应对措施等信息科技管理委员会议事规那么年度重大工程进度报告中级按季度进行重大工程进度报告，内容包括重大工程名录、分项工程进度报告、问题总结和应对措施等。年度重大工程进度报告高级方案重大变更、关键人员或供给商变更即提交报告制度；重大工程进度报告SD.02设立业务需求管理组织，整合业务需求银行应当有业务需求管理组织负责对业务需求进行整合和标准。初级明确业务需求管理的责任部门，参加到信息科技治理组织架构中，建立业务分析流程，对业务需求的开发进行有序管理。业务分析流程图中级建立IT工程管理独立机构，主要职能是从工程管理、需求管理和UAT测试管理三个方面来协调业务部门与科技开发部门之间的关系。IT工程管理机构职责和岗位设置高级业务需求的基线必须签署，并严格实现业务需求变更管理。被签署的业务需求说明书需求变更申请书SD.03建立标准的工程管理制度和流程在信息系统生命周期各阶段，应制定相关制度、标准和流程，标准工程管理，确保信息系统开发、测试、维护过程得到有效管理。初级建立工程立项、开发、测试、部署、维护等过程相关的管理制度、标准和流程；设立工程经理岗位，并对其进行工程管理培训。建立工程管委会，成员应包括需求管理、工程开发、质量控制与测试、上线发布各个负责人。《工程立项管理方法》《工程开发管理方法》《工程测试管理方法》《工程维护管理方法》工程经理岗位说明书中级1.工程各个阶段有所有相关方参加正式审阅会议；2.制定开发生命周期的文档模版；3.建立应用软件和文档的版本管理制度，明确软件工程版本形成、使用、保管等管理要求。工程阶段会议纪要《SDLC文档模版》齐全的被签署的各类工程文档版本管理方法高级1.建立完善的信息科技开发技术标准和标准，建立主要开发语言和平台的开发编码标准、代码审核标准、平安设计标准、数据标准等；

2.根据本行实际情况，建立科学、标准的工程管理流程对工程流程进行适当的优化调整。工程开发标准和标准工程管理流程制度修订记录系统开发过程管理SD.04在重大工程各阶段进行风险评估，控制工程实施风险对信息科技工程相关风险进行有效识别，定期向工程管理组织沟通风险点、确定处置方案，并跟进处置方案的执行结果。初级对于重大工程，在工程立项阶段对工程进行风险评估。风险评估报告中级设计风险识别和评估的模板。对于重大工程，在工程实施各阶段进行风险评估与处置。工程阶段性风险评估报告高级随着工程风险识别与风险处置经验的积累，建立本单位的风险库；并使风险评估成为工程管理中自觉的环节。本单位风险库SD.05进行有效的工程需求管理，确认业务需求，控制需求变更过程业务需求应当经过业务部门和科技部门的共同确认才能进入工程实施后续过程。初级设计符合本行的需求说明模板，按统一的格式拟定需求说明书。需求规格说明书模板中级分析团队和业务部门有正式的沟通，确保需求说明书只有在业务与技术部门共同签署后才能进入开发实施。需求介绍会议纪要经过业务部门与开发部门共同签署的业务需求说明书。高级具有严格的需求变更流程，实施需求变更需业务部门和科技部门共同确认。需求变更申请与审批SD.06将信息平安要求纳入系统设计业务需求中应包括系统平安需求，系统平安需求包括：数据保护需求、访问管理需求、审计需求、日志需求、容量需求等。初级将信息平安的需求作为功能性需求之一放入需求模板中。需求规格说明书模板中级完善业务需求中的平安需求，包括：数据保护需求、访问管理需求、日志需求、容量需求和审计需求。需求规格说明书高级系统设计中纳入信息平安设计系统设计书SD.07进行有效的工程质量控制机构应设置独立于工程开发部门的质量保证人员，对工程过程质量、工程进度进行跟踪、控制和汇报。初级设立工程质量保证岗〔可以兼职〕，建立用户接受测试流程〔UAT〕。质量保证岗位说明书UAT测试标准中级质量保证人员参与各重大工程的质量管理，制定工程质量控制量化标准，建立质量控制点，对工程上线部署进行相应制约。有质量保证人员签署的上线文档重大工程质量控制报告高级1.建立质量保证团队和测试团队，对所有进行的开发工程进行独立质量控制；2.根据工程管理实践，建立满足本行特色的、科学、标准的软件开发工程质量管理体系，并严格实施。工程质量控制报告质量保证人员名单质量管理体系说明生产、开发、测试环境管理SD.09生产、开发、测试环境有效隔离信息系统的开发、测试环境与生产环境是否实现有效隔离。初级生产环境与开发环境、测试环境实现逻辑隔离或物理隔离。各独立系统网络拓扑图中级开发环境与测试环境实现逻辑隔离或物理隔离。生产数据用于测试需要经过批准和脱敏网络拓扑图测试数据管理方法高级同中级同中级SD.10工程上线前进行有效验证在系统变更、投产前，需要在生产验证环境中进行验证，及时发现并控制新系统上线风险。初级在测试环境配置和部署时，尽量保证与生产环境的一致性，并在此环境中进行UAT测试和上线验证。UAT测试报告中级采用合理有效的同步方式保证准生产验证环境所使用的软件系统与生产环境保持一致。同初级高级建立生产验证环境，保证所有重要系统变更、投产前在此环境中进行验证。系统在生产验证环境中进行验证的报告系统投产前准备SD.11工程代码平安检查情况所有信息系统上线前均应进行代码平安检查，以最大程度保证信息系统到达平安性设计要求。初级每一个软件模块的编码设双岗，互测互查。软件开发双岗制度中级代码检查人员需要出具代码检查记录并签署。由专职的质量测试岗抽样检查、抽样代码评审。制定走查问题代码跟踪报告制度。代码检查记录代码平安检查报告检查问题代码跟踪报告高级利用外部资源，使用专业工具检查代码。代码平安检查报告SD.13系统投产及变更前制定上线方案和回退〔应急〕方案通过制定全面的系统投产方案，降低新系统投产及变更可能导致的风险。初级所有信息系统投产必须有上线方案，上线方案必须由质量管理人员签署。重要信息系统投产前准备有回退方案。上线方案和回退方案中级制定详细的工程上线配置流程，信息系统投产前准备有详细的上线方案和回退方案。工程配置管理说明书上线方案和回退方案高级设置专门的配置管理岗位，上线部署必须经工程管委会开会批准，工程配置〔上线和回退等〕形成标准化的流程。系统投产准备会议工程配置管理方法工程评价SD.14工程后评价开展情况在系统投产后一定时期内，发起工程的业务部门应对其工程收益和工程目标实现情况进行工程后评价，与工程立项时的工程预期收益和工程目标进行比拟，评价工程的业务价值，为后续的工程组合管理提供数据。初级严格立项申请资料，在工程立项申请中必须明确衡量工程是否达成目标的客观的指标：如工程预算、预期收益〔包括财务收益和非财务类收益〕等。具体指标应与具体工程的特征相关。工程立项申请书中级设计工程后评估模板，并对工程上线6个月或1年以上的重大工程进行一次后评估，对责任部门进行绩效考核。工程后评估报告高级建立工程后评价资料库，有序管理工程后评价资料。为后续的工程组合管理提供数据。工程后评价资料库五、信息科技运行初级要求：1.为用户提供各类技术相关事件的在线支持，及时解决生产运行问题。2.建立重要信息系统效劳测量机制并采取措施保障系统可用性；标准方案内停机，关注非方案内停机，减少由于停机带来的影响。3.根据自身业务开展的需要制定容量规划，以适应业务开展和交易量增长的需要；制定合理的性能和容量管理监控报告机制，及时解决性能容量管理检测中发现的问题。4.建立变更的授权审批机制，对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序；加强生产环境系统变更实施过程的风险控制，对所有变更实施过程及结果进行记录，加强变更的双人操作或复核管理。5.制定明确的操作流程、操作手册以指导运行操作人员的工作；保存生产系统的所有运行操作记录；运行人员进行生产系统操作时由独立人员对其操作步骤进行复核，减少出现操作失误的可能性；系统运行、系统维护、开发人员的岗位相互完全别离，不存在兼岗现象。6.建立对应用、系统、网络、设备的定期健康检查机制，实现提前发现问题和隐患的目的。中级要求：1.使用统一的事件管理工具平台，监控异常、处理事件和投诉；制定生产故障事件分级管理策略。2.建立生产运行问题管理，关注问题根源分析的执行情况，保证问题得到彻底解决。3.建立重要信息系统效劳持续性测量机制并采取措施保障系统可用性；标准方案内停机，关注非方案内停机，减少由于停机带来的影响。4.根据自身业务开展的需要制定容量规划，以适应业务开展和交易量增长的需要，制定合理的性能和容量管理监控报告机制，及时解决性能容量管理检测中发现的问题。5.建立变更的授权审批机制，对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序，对业务有影响的生产环境变更由业务部门与科技部门共同审批；加强生产环境系统变更实施过程的风险控制，对所有变更实施过程及结果进行记录，并定期核查，提出改良意见；加强变更的双人操作或复核管理。6.制定明确的操作流程、操作手册以指导运行操作人员的工作；保存生产系统的所有运行操作记录；运行人员进行生产系统操作时由独立人员对其操作步骤进行复核，减少出现操作失误的可能性；系统运行、系统维护、开发人员的岗位相互完全别离，不存在兼岗现象。7.搭建重要信息系统、网络、机房环境的实时监控平台，及时发现、处理问题，尽量减小损失；建立对应用、系统、网络、设备的定期健康检查机制，实现提前发现问题和隐患的目的。高级要求：1.使用统一的事件管理工具平台，监控异常、处理事件和投述，有专门的部门负责事件管理；制定生产故障事件分级管理策略。2.建立生产运行问题管理，关注问题根源分析的执行情况，保证问题得到彻底解决。3.建立重要信息系统效劳持续性测量机制并采取措施保障系统可用性；标准方案内停机，关注非方案内停机，减少由于停机带来的影响。4.根据自身业务开展的需要制定容量规划，以适应业务开展和交易量增长的需要，制定合理的性能和容量管理监控报告机制，及时解决性能容量管理检测中发现的问题。5.建立变更的授权审批机制，对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序，对业务有影响的生产环境变更由业务部门与科技部门共同审批；加强生产环境系统变更实施过程的风险控制，对所有变更实施过程及结果进行记录，并定期核查，提出改良意见，加强变更的双人操作或复核管理。6.制定明确的操作流程、操作手册以指导运行操作人员的工作；保存生产系统的所有运行操作记录；运行人员进行生产系统操作时由独立人员对其操作步骤进行复核，减少出现操作失误的可能性；系统运行、系统维护、开发人员的岗位相互完全别离，不存在兼岗现象。7.完善的重要信息系统、网络、机房环境的实时监控平台，及时发现、处理问题，尽量减小损失；建立应用、系统、网络、设备的定期健康检查机制，实现提前发现问题和隐患的目的。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档信息科技运行(DS)事件管理DS.01由专门的部门负责事件管理为保证信息科技事件管理的及时有效，需由专门的部门或岗位负责该项工作。初级明确事件管理的负责部门〔岗位〕，完善与业务部门协调制度，为用户提供各类技术相关事件的在线支持。部门〔岗位〕职责技术支持人员通讯录中级指定人员为用户提供各类技术相关事件的在线支持，按照既定处理流程处理。指定事件经理对事件进行管理。事件处理流程事件单高级1.建立效劳台，落实专门的岗位受理事件，进行回访，提高效劳水平。标准效劳台的工作，标准二线技术支持工作，并对效劳台和二线技术支持工作进行考核。2.应参考业内标准，建立效劳水平管理体系，改善IT效劳的质量，提高IT流程的效果和效率。考核方法事件管理方法事件单IT效劳水平管理体系DS.02制定生产故障事件分级管理策略通过合理的故障分级管理，按照不同级别上报并进行后续处理，以实现快速、有效、有序地恢复系统和效劳的正常运作。初级建立事故管理及处置机制，及时处理和上报生产故障。故障记录中级按影响范围、影响时间、系统重要性等指标建立事故管理及处置机制，及时响应信息系统运行事故。设立详细的事件上报时间点和路线图。故障分级管理策略故障类事件单上报程序图〔表〕高级1.对特殊事件逐级向相关人员报告事故的发生；2.制定突发应急事件处理机制。事件批示记录突发应急事件处理机制DS.03使用统一的事件管理工具平台，监控异常、处理事件和投诉事件管理工具平台是信息科技运行事件管理的重要工具，对各类事件进行集中管理，统一监控异常、处理事件和投诉。初级建立事件档案库，对历史事件进行集中归档。历史事件档案中级用事件管理工具平台，对重要事件进行集中管理，统一监控异常、处理事件和投诉。事件管理工具平台的部署事件管理方法高级制定事件定期分析机制，优化现有制度。事件定期分析报告问题管理DS.04生产运行问题根源分析机制问题根源分析机制专注于问题根源的总结分析，通过制定问题解决方案，保证问题得到彻底解决，防止同类问题的重复发生。初级1.明确生产运行问题分析部门，建立根本的问题分析、解决制度；2.及时分析和解决生。产运行问题；3.搜集问题根源分析的执行情况。生产运行问题分析解决制度问题记录中级建立有效的问题管理流程，以确保全面地追踪、分析和解决信息系统问题，并对问题进行记录、分类和索引。指定问题经理对问题进行管理、协调。问题管理流程问题单高级建立问题根源分析机制，防止同类问题的重复发生。定期汇总生产问题报质量控制经理及相关工程负责人审阅。分析记录生产问题汇总表可用性管理DS.05重要信息系统可用性应建立重要信息系统效劳持续性的测量机制并采取措施保障系统可用性，重要信息系统可用率反映了信息系统提供持续效劳的水平。初级建立重要信息系统效劳持续性的测量机制。，重要系统可用性到达监管最低要求。系统运行情况分析系统维护、升级记录系统可用性保障方法中级1.建立重要信息系统可用性定期分析改善机制。2.重要信息系统有必要的冗余和负载平衡。分析重要信息系统可用率。重要信息系统可用性定期分析改善机制分析记录高级同中级同中级DS.06重要信息系统非预期停止效劳情况关注于突发事件引发业务中断的情况。初级制定业务协调和向监管部门报备等相关工作机制。管理突发事件记录，分析突发事件引发业务中断的情况。工作机制系统运行情况分析方案外停机资料中级1.针对突发事件与业务中断修订应急预案；2.分析影响并采取措施尽量减少由于停止效劳带来的影响。影响分析记录应急预案修订记录高级1.制定标准的突然事件与业务中断管理流程；2.制定现有重要信息系统定期风险评估制度突然事件与业务中断管理流程重要信息系统定期风险评估制度DS.07重要信息系统方案内停止效劳情况关注超过30分钟以上的方案内效劳停止次数，应制定运行规划，做好业务协调和向监管部门报备等相关工作，尽量减少由于停止效劳带来的影响。初级分析整理超过30分钟以上的方案内效劳，包括时间、原因，制定运行规划。方案内停机处理流程方案内停机资料系统运行情况分析中级制定业务协调和向监管部门报备等相关工作机制工作机制高级分析影响并采取措施尽量减少由于停止效劳带来的影响。影响分析记录性能和容量管理DS.08重要信息系统容量规划满足业务开展需求情况应根据自身业务开展的需要制定容量规划，以适应业务开展和交易量增长的需要。初级分析自身业务开展的现状和需要。工程上线文档系统运行情况分析中级根据自身业务开展的需要制定短期容量规划，以适应业务开展和交易量增长的需要。短期容量规划高级建立重要信息系统交易量的定期测量机制，根据自身业务开展的需要制定短期容量规划，以适应业务开展和交易量增长的需要。交易量测量机制长期容量规划DS.09性能和容量监控情况应制定合理的性能和容量管理监控报告机制，及时报告性能容量管理检测中发现的问题，分析各项性能和容量指标是否超过阈值，并进行后续扩容、调优处理。初级制定合理的性能和容量管理监控报告机制，及时报告性能容量管理检测中发现的问题。系统运行情况分析系统扩容、调优记录中级分析各项性能和容量指标是否超过阈值。分析记录高级结合分析情况进行后续扩容、调优处理。后续扩容、调优处理记录变更与维护DS.10建立生产变更授权审批机制关注建立变更的授权审批机制。对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序。通过文档化的审批流程，实现对变更的风险控制。初级对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序。变更管理方法紧急变更管理方法变更资料中级通过文档化的审批流程，实现对变更的风险控制。分析各类变更可能带来的风险。变更审批流程风险分析报告高级同中级同中级DS.11生产环境变更管理情况关注在生产环境系统变更实施过程的风险控制，在系统变更前，科技部门要提交系统变更方案及申请报告，明确变更存在的风险及对系统的影响。通过制定变更前的回退和应急方案控制风险。初级系统变更前，科技部门要提交系统变更方案及申请报告。变更管理方法紧急变更管理方法变更资料中级在变更方案和申请报告中补充变更存在的风险及对系统的影响。变更管理方法变更资料风险分析报告系统影响分析报告高级1.应建立重要设备和系统配置基线，实现系统维护和配置标准化和标准化；2.及时修订变更前的回退和应急方案控制风险。配置基线记录变更管理方法修订记录DS.12生产变更记录有效保存、定期核查关注生产环境系统变更实施过程的风险控制，对所有变更实施过程及结果进行记录，并定期核查，提出改良意见。初级对所有变更实施过程及结果进行记录。变更管理方法变更资料中级对所有变更定期核查，提出改良意见。变更管理方法变更资料高级建立变更风险管理的后评价机制。后评价机制DS.13有效控制生产环境的变更风险关注生产环境系统变更实施过程的风险控制，通过加强变更的双人操作或复核管理，确保变更实施的正确性。初级确保变更的双人操作或复核。变更管理方法变更资料中级明确变更的双人操作或复核的管理要求。变更管理方法〔包含管理要求〕高级建立变更的事后监督机制。事后监督机制DS.14对业务有影响的生产环境变更由业务部门与科技部门共同审批对业务有影响的生产环境变更应由业务部门与科技部门共同审批。初级对业务有影响的生产环境变更主要由科技部门审批，但要得到业务部门的认可。变更管理方法变更资料中级对业务有影响的生产环境变更由主要业务部门与科技部门共同审批。变更管理方法变更资料高级分析业务的影响，确保对业务有影响的生产环境变更由所有相关业务部门与科技部门共同审批，对有重大影响的生产环境变更应由风险管理部门参与审批。变更管理方法〔明确各部门职责〕系统运行操作DS.15配备标准、准确的操作手册以指导运行人员操作生产运行部门应制定明确的操作流程、操作手册以指导运行操作人员的工作。初级1.制定明确的操作流程、操作手册以指导运行操作人员的工作;2.制定系统操作人员培训机制。操作流程

操作手册运行管理方法系统操作人员培训机制中级建立操作流程、操作手册的管理方法，确保及时更新。文档管理方法高级建立操作流程、操作手册的有效性分析机制。有效性分析机制DS.16保存生产系统的所有运行操作记录关注运行人员操作记录的完整性和准确性，以满足平安和可恢复要求。初级所有运行操作应当被记录，建议引进运行行为审计平台以方便管理。运行行为审计平台部署运行行为审计平台管理方法中级制定操作记录的审核机制，确保完整性和准确性。审核方法和记录高级建立操作记录对满足平安性和可恢复性的分析机制。分析记录DS.17有效控制生产运行操作风险运行人员进行生产系统操作时应当由独立人员对其操作步骤进行复核，减少出现操作失误的可能性。初级评估操作风险，对明确需双人执行的生产系统操作，应当由独立人员对其操作步骤进行复核。运行管理方法

操作记录中级复核人员应对复核中发现的问题进行分析归类。操作记录分析高级风险管理部门应参与对生产运行操作风险的管理。操作记录分析DS.18实现信息科技运行与系统开发和维护别离系统运行、系统维护、开发人员的岗位应当相互完全别离，不存在兼岗现象。初级系统运行、系统维护、开发人员的岗位应当相互完全别离。岗位及岗位职责中级系统运行、系统维护、开发人员应为专职人员，不存在兼岗现象。岗位及岗位职责高级建立定期审查机制。定期审查机制系统运行监控DS.19利用实时监控工具对生产运行环境、重要信息系统等进行监控通过对系统平台、重要信息系统、网络、机房环境的实时监控，及时发现、处理问题，尽量减小损失。初级明确自动监控平台的需求。需求分析记录中级搭建重要信息系统〔含操作系统、数据库、中间件、应用等〕、网络、机房环境的实时监控平台，及时发现、处理问题，尽量减小损失。自动监控平台的部署自动监控平台管理方法高级完善自动监控平台。自动监控平台的监控范围、指标自动监控平台管理方法DS.20生产运行环境、重要信息系统等的实时监控工具具有自动预警功能机构应使用运行环境、网络、系统实时监控工具，及时、完整地报告异常情况，并提供预警功能，在异常情况对系统性能造成影响前对其进行识别和修正。初级明确运行环境、网络、系统实时监控工具的部署需求。需求分析记录中级运行环境、网络、系统实时监控工具应及时、完整地报告异常情况，并提供预警功能，在异常情况对系统性能造成影响前对其进行识别和修正。实时监控工具预警阀值

实时监控工具与事件管理平台接口自动监控平台管理方法高级1.优化阀值2.制定生产运行环境预警事件处理机制实时监控工具预警阀值自动监控平台管理方法生产运行环境预警事件处理机制DS.21对重要信息系统运行情况检测、评估情况专注于生产运行维护的平安控制，通过建立对应用、系统、网络、设备进行定期健康检查的机制，实现提前发现问题和隐患的目的。初级建立对应用、系统、网络、设备进行定期健康检查的机制。巡检规定

巡检手册

巡检记录中级检查定期健康检查机制执行情况。巡检核查记录高级分析检查检查机制是否实现提前发现问题和隐患的目的，并进行完善。修订记录六、灾难恢复与应急管理初级要求：根本建立符合全行业务连续性规划要求的信息系统应急管理和灾难恢复体系，具备突发事件和灾难的初步防御能力。具体要求包括：按照《银行业重要信息系统突发事件应急管理标准》要求，建立应急管理组织机构，明确应急团队的人员组成和工作职责。通过设备及线路冗余、双机热备等措施，消除重要信息系统单点隐患，保障重要信息系统的可用性。实施风险评估和业务影响分析，识别重要信息系统面临的风险，明确重要信息系统的灾难恢复指标，包括RTO、RPO、恢复等级、恢复优先顺序等。按照《商业银行数据中心监管指引》中有关要求，建设同城或异地灾难备份中心，并覆盖到关键信息系统。根据《银行业重要信息系统突发事件应急管理标准》，制定重要信息系统的应急预案，明确各类生产事件的应急处理措施和流程。制定机构灾难恢复预案。灾难恢复预案覆盖机构所有重要信息系统，主要包括灾难恢复组织机构及人员联系方式、汇报路线和沟通协调机制、资源分配、灾难恢复流程等内容，并包括将重要业务从生产中心到灾备中心的切换和回切方案。制定年度信息系统应急演练方案，并按照应急演练方案实施演练。对每个信息系统应急预案至少组织一次演练，至少组织一次全系统范围内的应急演练。至少组织一次灾难恢复演练，灾难恢复演练应包括从生产中心到灾备中心的切换和回切测试验证。对灾备系统实施基准核对、变更同步等运维活动，将生产环境的变更同步到灾备环境，确保灾备切换有效性。中级要求：全面建立信息系统应急管理和灾难恢复体系，具备突发事件和灾难的较强防御能力。具体要求包括：制定机构重要信息系统突发事件应急管理制度，以制度形式明确突发事件应急工作的管理机制和流程。通过新建、升级改造、租用等手段，提高数据中心根底设施的可用性，满足《商业银行数据中心监管指引》中对运行环境的相关要求。风险评估和业务影响分析的实施范围扩大到机构其他外围业务和系统。实现灾备级别从同步数据级向同步应用级的跨越，跨省域设立分支机构或总资产规模超千亿的法人机构重要信息系统灾难恢复能力应至少到达《信息系统灾难恢复标准》中定义的灾难恢复等级第5级。其他机构重要信息系统灾难恢复能力至少到达灾难恢复等级第4级。至少组织一次全面灾难恢复演练，演练范围包括机构全部重要信息系统。演练应以接管真实业务为目标，实施重要信息系统的切换、接替生产中心运行和回切，全面验证灾备系统有效接管生产系统以及平安回切的能力。对各类应急和灾难恢复预案至少定期组织一次修订更新。建立生产中心与灾备中心统一运维体系，制定灾备中心运维管理制度，明确运维管理流程。至少执行一次对机构应急管理工作的评估和审计，评估范围包括应急响应的有效性、投入资源的充分性、突发事件报告的及时性等。高级要求：检验和完善信息系统应急管理和灾难恢复体系，实现应急管理和灾难恢复体系的持续改良。具体要求包括：采用监控管理工具，实时监控根底设施、重要信息系统和通信网络的运行状况，通过监测、采集、分析和调优，持续提升生产系统运行的可靠性、稳定性和可用性。将灾备系统覆盖范围扩大到其他外围系统，实现灾备系统全覆盖。跨省域设立分支机构或总资产规模超千亿的法人机构重要信息系统实现两地三中心灾备架构。组织业务管理部门针对信息系统突发事件编制相应的业务应急及恢复预案，包括业务流程恢复指引和业务恢复操作手册。至少组织一次以业务部门为主的应急演练，重点演练灾难发生后的业务部门的应急和恢复流程和操作，提高业务部门在灾难发生后的业务持续运行能力。在机构业务状况、信息系统状况、风险状况发生重大变化后，及时评估预案的适用性并进行更新。至少执行一次对机构应急管理工作的评估和审计。根据评估和审计报告提出的改良措施进行整改，并组织审计部门对整改情况进行监督和检查。各指标具体控制要求：子领域关键控制目标编码指标指标描述级别目标与要求结果文档灾难恢复与应急管理(BC)

制定灾难恢复方案以及应急预案BC.01设立重要信息系统重大突发事件应急组织，建立应急管理体系应当建立应急管理体系，设立重要信息系统重大突发事件应急组织，明确职责分工和沟通机制。初级建立应急领导小组、应急执行小组和支持保障小组等在内的应急管理组织机构，并明确各应急团队的人员组成和工作职责。应急管理组织机构及职责说明中级制定与完善本机构重要信息系统突发事件应急管理制度，明确突发事件应急工作的管理机制和流程。计算机重要信息系统突发事件应急管理制度高级同中级同中级BC.02明确重要信息系统灾难恢复目标通过业务影响分析，银行应明确其重要业务系统的RTO/RPO。初级确定重要信息系统的灾难恢复目标，包括RTO、RPO等容灾建设方案中级实施风险评估和业务影响分析，识别重要信息系统面临的风险，明确重要信息系统的灾难恢复目标，包括RTO、RPO、恢复等级、恢复优先顺序等。风险评估报告风险处置方案业务影响分析报告重要信息系统灾难恢复策略高级风险评估和业务影响分析的实施范围扩大到机构其他外围业务和系统。风险评估报告风险处置方案业务影响分析报告各信息系统灾难恢复策略BC.03重要信息系统纳入灾备情况重要信