第八條
商業銀行應設立首席信息官,直接向行長匯報,并參與決策。首席信息官的職責包括:
(一) 直接參與本銀行與信息科技運用有關的業務發展決策。
(二) 確保信息科技戰略,尤其是信息系統開發戰略,符合本銀行的總體業務戰略和信息科技風險管理策略。
(三) 負責建立一個切實有效的信息科技部門,承擔本銀行的信息科技職責。確保其履行:信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。
(四) 確保信息科技風險管理的有效性,并使有關管理措施落實到相關的每一個內設機構和分支機構。
(五) 組織專業培訓,提高人才隊伍的專業技能。
(六) 履行信息科技風險管理其他相關工作。
第九條 商業銀行應對信息科技部門內部管理職責進行明確的界定;各崗位的人員應具有相應的專業知識和技能,重要崗位應制定詳細完整的工作手冊并適時更新。對相關人員應采取下列風險防范措施:
(一) 驗證個人信息,包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。
(二) 審核信息科技員工的道德品行,確保其具備相應的職業操守。
(三) 確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求,并同員工簽訂相關協議。
(四) 評估關鍵崗位信息科技員工流失帶來的風險,做好安排候補員工和崗位接替計劃等防范措施;在員工崗位發生變化后及時變更相關信息。
第十條 商業銀行應設立或指派一個特定部門負責信息科技風險管理工作,并直接向首席信息官或首席風險官(風險管理委員會)報告工作。該部門應為信息科技突發事件應急響應小組的成員之一,負責協調制定有關信息科技風險管理策略,尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面,為業務部門和信息科技部門提供建議及相關合規性信息,實施持續信息科技風險評估,跟蹤整改意見的落實,監控信息安全威脅和不合規事件的發生。
第十一條 商業銀行應在內部審計部門設立專門的信息科技風險審計崗位,負責信息科技審計制度和流程的實施,制訂和執行信息科技審計計劃,對信息科技整個生命周期和重大事件等進行審計。
第十二條 商業銀行應按照知識產權相關法律法規,制定本機構信息科技知識產權保護策略和制度,并使所有員工充分理解并遵照執行。確保購買和使用合法的軟硬件產品,禁止侵權盜版;采取有效措施保護本機構自主知識產權。
第十三條 商業銀行應依據有關法律法規的要求,規范和及時披露信息科技風險狀況。
第三章 信息科技風險管理
第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃,確保配置足夠人力、財力資源,維持穩定、安全的信息科技環境。
第十五條 商業銀行應制定全面的信息科技風險管理策略,包括但不限于下述領域:
(一) 信息分級與保護。
(二) 信息系統開發、測試和維護。
(三) 信息科技運行和維護。
(四) 訪問控制。
(五) 物理安全。
(六) 人員安全。
(七) 業務連續性計劃與應急處置。
|
