银行业金融机构重要信息系统投产及变更管理办法
第一章 总则
第一条 为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条 在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条 本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条 本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条 银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条 银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条 银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条 银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条 银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第三十六条 针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
第三十七条 中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施现场检查。
第三十八条 银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关责任。
第七章 附则
第三十九条 本办法由中国银监会负责解释和修订。
第四十条 本办法自公布之日起执行。
2022-03-07 下午3:10
2022-03-07 下午3:09