XX银行信息科技基本管理办法

XX银行信息科技基本管理办法第一章总则第一条为规范信息科技管理，防范信息科技风险，根 据中华人民共和国银行业监督管理法、中华人民共和 国商业银行法、商业银行信息科技风险管理指引和商 业银行数据中心监管指引，结合本行实际，特制定本办法。第二条 本办法中信息科技系统系指本行综合业务系统、管理信息系统。第三条本办法中信息科技风险，系指本行信息科技系 统在运用过程中，由于自然因素、人为因素、技术漏洞和管 理缺陷等导致的操作、法律和声誉等风险。第二章组织体系与架构第四条 本行信息科技治理体系由董事会风险管理委员 会、信息科技管理委员会、信息科技管理部门、信息科技风 险管理部门、信息科技审计部门和应急管理组织等组成。（一）董事会风险管理委员会职责涵盖信息科技风险管理 职能。（二）信息科技管理委员会由高级管理层、信息科技部门 和主要业务部门组成，负责审定信息化建设和发展的总体规 划；负责审议信息化建设的年度计划和阶段性任务，信息化 建设的政策、风险防控、规章制度和各种标准规范，信息化 重大建设项目的立项；负责审查信息化建设项目评审组的重 大决策事项和重大项目解决方案；负责评价建设项目的实施 成效；负责布置信息化建设工作任务。（三）信息科技部系本行信息科技管理部门，总、分行分 别设置信息科技部门进行相应管理。（四）风险管理部系本行信息科技风险管理部门，负责全 行信息科技风险管理，制定全面的信息科技风险管理策略； 负责向银监部门报送信息科技非现场监督报表。（五）稽核部系本行信息科技审计部门，负责对信息科技 管理及信息科技风险管理进行审计。（六）本行制定XX银行计算机系统应急管理办法， 以实施信息科技系统应急管理。应急管理以保障业务连续性 为目的，分为两个级次：一级应急管理体系由总行组建；二 级应急管理体系由分行组建。第五条 信息科技部、风险管理部、稽核部按各自职责 负责本行信息科技系统的日常管理与风险防范工作。第六条信息科技人员的管理（一）本行信息科技人员应具备相应的专业知识、技能和 良好的道德品行。（二）本行信息科技关键岗位配置A、B角。双人不得同 时外出，并实行定期轮岗。（三）本行可设置IT协管员，协助处理分支机构信息科 技运行维护工作。（四）本行定期评估信息科技关键岗位员工流失带来的风 险，做好员工候补和岗位接替等防范措施。第三章信息系统规划与建设第七条 本行信息系统规划遵循“保证系统先进性、前 瞻性、可持续性”的原则。第八条 本行信息科技系统制定容量规划，以满足因外 部环境变化产生的业务发展和交易量增长的需求。容量规划 应涵盖生产系统、备份系统及相关设备，建立预测性的业务 影响分析机制，在项目设计、开发和投产中进行业务分析、 高峰期预测评估。第九条 本行信息系统建设方案涵盖业务持续性规划， 根据业务发展情况制定连续的信息系统建设方案。在关键应 用部署上，采用双机、双线路、热备份，确保安全运行。第四章信息系统开发与管理第十条 本行信息科技系统研发过程中的组织、规划、 需求、分析、设计、编程、测试和投产等环节的管理，另行 制定XX银行信息科技项目开发管理办法。第十一条 本行信息科技项目全周期管理覆盖项目立 项、可行性分析、审批、开发、投产验收和运行维护等。第十二条 信息科技项目的开发和变更实施严格管理， 业务和管理系统开发环境、测试环境和生产环境实施严格分 离。第十三条 建立项目开发变更管理的审批授权机制和工 作流程，重大需求的变更须报信息化建设项目评审组评审。第十四条 对外包的信息科技项目的管理，另行制定XX 银行信息科技外包风险管理办法。第十五条总行信息科技部应指定专人负责信息科技项 目开发的版本控制。第五章信息系统运行与维护管理第十六条 本行信息系统运行维护实行分级管理。总行 信息科技部负责总行数据中心各系统的运行维护；分行信息 科技部负责分行机房、营业网点、办公场所及特色业务的运 行维护。第十七条 总行数据中心负责对全行网络、信息系统进 行持续性监测，并根据监测情况对信息系统性能和容量进行 不定期的评估，提出改进方案。第十八条本行建立信息系统环境控制和预防性维护应 对方案，信息系统环境包括机房、电源、温度、湿度、防雷、 接地等方面。机房信息系统使用UPS电源供电，并制定专门 的UPS维护预案。主干通信链路采用多链路的备份处理模式， 并建立相应的网络处理预案。机房防水、防火、防雷、接地等运行环境，根据国家标准实施管理。机房实行24小时值 班，并由值班人员定时巡检。第十九条建立生产环境变更流程和变更管理的审批授 权机制。第二十条 系统运行维护人员通过对信息系统的实时监 控，获得系统运行故障报告等方式，及时处理系统异常现象; 通过实施日常运行监控机制，进行系统资源调整，保障信息 系统稳定运行。第二十一条本行信息系统运行维护应建立事故管理及 处置机制，及时响应信息系统运行事故，逐级向相关的信息 科技管理人员报告事故情况，进行记录、分析和跟踪，对事 故原因进行全面分析、妥善处置，并提出防范的可行性措施。第二十二条本行建立信息系统运行风险防控机制（一）按系统编写操作手册及操作流程，根据可能存在的 操作风险，制定相应的应对控制措施；（二）信息系统对用户登录、用户权限变更留有相应的日 志；（三）对主机、数据库、网络设备和防火墙等系统产生的 日志进行备份保存。第六章信息系统安全管理第二十三条 本行信息科技安全工作遵循“主动防范、 及时预警、有效化解、保障运行”的基本原则。第二十四条 本行制定各项信息安全管理制度，确保各 应用系统建立配套的系统授权流程，按照最小权限授权原 则，由系统管理员（超级用户）负责用户权限的管理和维护 工作。第二十五条本行建立信息科技安全技术体系，内容包 括应用系统安全管理策略、网络安全管理策略、运行环境安 全管理策略和软件使用安全管理策略。（一）应用系统安全管理策略包括签到、授权、级别操作和 密码处理四个方面内容1. 签到：业务系统采用指纹、口令或其他验证方式相结合的 签到方式。2. 授权：业务系统按照完整的授权管理办法，实施不同级别 不同操作权限模式，超过部分权限必须授权。3. 级别操作：不同级别操作员按照不同操作权限进行操作。4. 密码处理：客户密码和柜员密码均采用加密存储方式。（二）网络安全管理策略包括网络传输、网络隔离、地址管 理、安全管理等内容1. 网络传输：采用加密方式。2. 网络隔离：互联网与业务网、管理网测试网须采取严格的 隔离措施；业务网、管理网与测试网须实施物理上的严格隔 离；业务网与管理网逻辑隔离，互联互通时须采取必要的安 全手段和访问控制措施。接入业务网、管理网、测试网和互 联网的电脑设备实施专网专用，严禁混合使用。3. 地址管理：本行所有业务网络IP地址实施统一分配原则， 严禁私自修改、私自接入和使用分配范围之外的IP地址。4. 安全管理：实施业务网络安全优先管理策略。（三）运行环境安全管理策略1. 数据中心、机房的基础设施建设采用冗余配置，如市电供 电、UPS、空调等；2. 数据中心、机房建立门禁管理制度，严格运行环境出入管理；3. 运行环境实施24小时值班制和定时巡检制。（四）软件使用安全管理策略1. 应用软件由专门版本管理员实施管理；2. 业务网、管理网和互联网部署防病毒服务器，以及客户端 安装防病毒软件；3. 安装补丁分发系统，强化系统安全防护体系；4. 本行所有软件均使用正版产品。第二十六条本行信息科技部是信息科技安全管理的牵头 部门，信息科技部安全与综合管理室配备专职安全管理员， 总行信息科技部各室、各分行信息科技部门配备专（兼）职安 全管理员。第七章信息系统存储管理第二十七条本行信息系统信息存储管理包括重要数据、 介质、加密设备的管理。第二十八条 数据库信息、电子日志、备查历史数据，上 级部门或业务部门要求备份的数据等均要进行备份。第二十九条 数据备份（磁带、硬软磁盘、光盘等）介质 均视同会计档案，造册登记，专人管理。备份介质要求存放 在专用介质库内，系统软件、应用软件及业务数据备份介质 还须异地（不同建筑物内）保存。第三十条 重要数据必须双备份，并确保备份信息的完整 性。第三十一条 本行按照商业银行数据中心监管指引， 建立灾难备份中心。第八章信息系统应急管理第三十二条 建立完整的总、分行应急组织管理体系、应 急事件报告流程、应急响应机制。对各类应急（突发）事件 进行分级，按级别启动相应的应急组织管理体系。总、分行 建立安全可行的应急预案。第三十三条 总、分行每年进行一次应急演练，以检查应 急预案的可操作性。在应急演练之前，应向当地银监部门报 备并递交应急演练方案；应急演练完成后，应向当地银监部 门递交应急演练总结报告，并根据演练情况不断改进完善应 急预案。第九章信息科技的审计第三十四条 本行内部审计部门负责对全行信息科技工作 进行审计。第三十五条 本行聘请外部具有审计资质的单位对全行信息科技工作进行全面审计，每三年至少一次。第十章附则第三十六条 本办法由总行信息科技部负责解释，董事会 办公室负责修订。第三十七条 本办法自发文之日起执行。