1、银行业金融机构重要信息系统投产及变更管理方法 - 中国银监会办公厅关于印发 银行业金融机构重要信息系统投产及变更管理方法的通知 银监办发2022437号 各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信誉联社: 为加强银行业金融机构重要信息系统投产及变更风险管理, 保障银行业金融机构重要信息系统平安稳定运行,现将银行业金融机构重要信息系统投产及变更管理方法印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。 2022年12月29日 银行业金融机构重要信息系统投产及变更管理方法 第一章 总 那么 第一条为加强银行业金融机构重要信息系统投产及变更风
2、险管理,根据中华人民共和国银行业监视管理法、中华人民共和国商业银行法制定本方法。 第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城巿商业银行、农村商业银行、农村合作银行、农村信誉社、城巿信誉社、外商独资银行、中外合资银行适用本方法。中国银行业监视管理委员会以下简称中国银监会监管的其他金融机构参照本方法执行。 第三条本方法所称的重要信息系统是指支撑重要业务,其信息平安和效劳质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家平安的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系
3、统,以及支撑系统运行的机房和网络等根底设施。 第四条本方法所称的重要信息系统投产及变更主要指: (一重要信息系统投产。 (二支撑重要信息系统运行的机房和网络根底设施投产。 (三影响全辖或一个含以上分行系统效劳、重要业务中断时间3小时含以上的重要信息系统以及支持其运行的根底设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。 (四其他对银行重要业务运营及重要信息系统的可用性、完好性、平安性具有较大潜在影响的投产及变更。 第二章 组织管理 第五条银行业金融机构应健全IT治理构造,落实重要信息系统投产及变更管理责任。 第六条银行业金融机构高级管理层应统筹管理重要信息系
4、统建立,听取重大工程投产或变更的风险评估汇报,对风险控制过程进展监视。 第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承当技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资投入。 第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析p ,制定业务管理方法,组织用户测试,保证业务资投入。 第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。 第三章 风险评估 第十条银行业金融机构应充分识别、分析p 、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户
5、信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险, 并形成风险评估报告。 第十一条银行业金融机构在采取有效信息平安控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进展重要信息系统投产及变更的风险评估工作。 第十二条银行业金融机构董事会及高级管理层应审核重大工程的风险评估报告。 第十三条银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。 第四章 投产及变更控制 第十四条银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定年度投产及变更规划,编制施行方案和方案, 确定施行策略和步骤,明确岗位职
6、责,确保关键岗位职责别离。 第十五条银行业金融机构应对重要信息系统投产及变更过程进展平安审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。 第十六条银行业金融机构应建立重要信息系统投产及变更内容评审和审批、受权机制。 第十七条银行业金融机构应按照对业务影响最小原那么,采取与风险程度相适应的重要信息系统投产及变更策略。 第十八条银行业金融机构应合理避开业务顶峰期和敏感时段安排重要信息系统上线,应提早将重要信息系统投产及变更可能对效劳的影响告知客户。 第十九条银行业金融机构应建立充分、完好的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常
7、稳定运行以及系统功能与业务目的的一致性。 第二十条银行业金融机构应建立与消费环境相隔离的测试环境,测试环境应模拟消费环境的真实情况。 第二十一条银行业金融机构应建立完善的版本管理制度, 制定严格的审批、控制和操作流程,保存完好的日志记录。拟投产及变更的重要信息系统应保证版本完好、准确、有效,遵从系统开发和运行管理制度标准。 第二十二条银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感消费数据应进展脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移方案,并提早进展数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完好性、平安性和可用性。 第二十三条银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处置方案和流程,必要时应施行演练。 第二十四条重要信息系统投产及变更过程中,银行业金融机构应严格执行上线施行方案,加强监视与复核,防止操作失误和非法操作。 第二十五条银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部门协同做好应急准备。 第二十六条银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理方法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更施行后业务顺利开展。 第 6 页 共 6 页
