搜索
村镇银行信息科技建设与管理指引(征求意见稿)第一章总则第一条为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。第三条村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。第四条村镇银行信息科技工作的基本原则是:(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。第五条根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。第六条本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。第九条村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。第二章信息科技治理第一节自主管理模式第十条村镇银行法定代表人对村镇银行信息科技工作负最终责任。第十一条村镇银行董事会应履行以下职责,不设董事会的,应设立由高级管理层组成的组织机构(以下简称履职机构)履行下述职责:(一)负责审批信息科技战略规划,确保与本行的总体发展战略相一致;(二)负责建立适合业务发展的信息科技治理架构,确保责任明确、分工合理;(三)为信息科技工作的开展提供资源保障;(四)建立信息科技工作激励和考核机制;(五)掌握主要的信息科技风险,确保可接受的风险级别;(六)确保信息科技审计独立有效开展;(七)贯彻有关信息科技工作的法律法规,落实中国银监会及其派出机构监管要求;(八)向中国银监会及其派出机构报告本行重大信息科技突发事件。第十二条村镇银行高级管理层应履行以下职责:(一)组织制定信息科技战略规划;(二)建立信息科技部门或指派一个部门,承担本行信息科技工作职责,确保履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技项目研发和运行管理、信息安全管理、灾难恢复计划、信息科技外包等职责。(三)负责对信息科技工作中的重大事项进行决策;(四)组织开展信息科技建设,建立信息科技工作制度和流程;(五)组织评估本行信息科技风险并采取相应的风险控制措施;(六)组织开展信息科技专业培训,开展信息科技人才队伍建设;(七)向董事会或履职机构报告本行重大信息科技突发事件。第十三条村镇银行应将信息科技风险纳入全面风险管理框架,明确信息科技风险管理工作的主管部门,建立与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。第十四条村镇银行应定期开展信息科技审计,至少每三年覆盖全部信息科技风险领域,并根据审计结果及时整改。第十五条主发起行应发挥自身在信息科技工作方面的经验与优势,对村镇银行的信息科技工作进行指导和帮助,并履行以下职责:(一)协助村镇银行制定信息科技战略规划;(二)为村镇银行信息科技重大事项和决策提供专业建议;(三)协助村镇银行开展信息科技建设及风险管理;(四)指导村镇银行落实本指引第三、四、五章中对于村镇银行的监管要求。第二节主发起行管理模式第十六条主发起行法定代表人对村镇银行信息科技工作负最终责任。第十七条主发起行董事会应履行以下职责:(一)审批村镇银行信息科技战略规划;(二)负责建立与村镇银行规模、业务相适应的信息科技治理架构;(三)为村镇银行信息科技工作的开展提供资源保障。(四)建立村镇银行信息科技工作激励和考核机制;(五)掌握主要的信息科技风险,确保可接受的风险级别;(六)确保村镇银行信息科技审计独立有效;(七)贯彻有关村镇银行信息科技工作的法律法规,落实中国银监会及其派出机构监管要求;(八)向中国银监会及其派出机构报告村镇银行重大信息科技突发事件。第十八条主发起行应设立一个由主发起行高级管理层、多家村镇银行的高级管理层代表,及主发起行负责村镇银行业务、科技管理等部门组成的村镇银行信息科技管理委员会,并履行以下职责:(一)组织协商制定村镇银行信息科技战略规划;(二)负责村镇银行信息科技重大事项的决策,组织开展村镇银行信息科技建设,建立村镇银行信息科技工作制度和流程;(三)组织评估村镇银行信息科技风险并采取相应的风险控制措施;(四)定期听取村镇银行对主发起行信息科技工作情况的反馈,持续改进村镇银行信息科技服务;(五)向主发起行董事会报告、向村镇银行董事会或履职机构通报村镇银行重大信息科技突发事件。第十九条主发起行应建立村镇银行信息科技工作组织体系,包括:(一)指派一个部门负责主发起行与村镇银行的信息科技工作统筹协调。(二)设立或指派一个部门负责村镇银行信息科技工作,建立独立的团队负责村镇银行信息系统建设和运行维护;(三)设立或指派一个部门负责村镇银行信息科技风险管理工作;(四)主发起行审计部门负责村镇银行信息科技审计工作。第二十条主发起行应落实本指引第三章中对于村镇银行的监管要求。第二十一条主发起行应建立与村镇银行业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。第二十二条主发起行应定期开展村镇银行信息科技审计,至少每三年覆盖全部信息科技风险领域,并根据审计结果及时整改。第二十三条主发起行应本着“成立初期免费、发展时期减免、成熟稳定时期保本”的原则,建立对村镇银行信息科技服务的收费机制。第二十四条村镇银行应积极参加信息科技战略规划、建设和风险管理工作,落实主发起行对村镇银行信息科技工作的要求,配合主发起行对村镇银行的信息科技审计,定期对主发起行承担的村镇银行信息科技工作进行评价,并向村镇银行信息科技管理委员会反馈评价结果。第二十五条村镇银行与主发起行应签订信息科技工作委托协议,委托协议应包括但不限于:(一)主发起行和村镇银行分别承担的村镇银行信息科技管理责任、权利和义务;(二)主发起行承担的村镇银行信息科技工作内容;(三)对村镇银行客户信息的保密要求;(四)村镇银行信息科技突发事件应急机制;(五)协议变更流程;(六)协议的有效期限。第二十六条村镇银行主发起行为农村商业银行、农村合作银行或农村信用社的,且主发起行重要信息系统在本省农村信用联社集中运行的,村镇银行可将信息科技工作委托给省农村信用联社,由省农村信用联社履行主发起行管理责任。第三章信息科技建设与管理第二十七条村镇银行应制定符合总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。制定信息科技架构,确定信息系统和基础设施整体框架,保持前瞻性、可扩展性和灵活性,并定期评估。第二十八条村镇银行信息系统应满足以下要求:(一)具备有效支持各项银行业务开展所需的功能,满足村镇银行发行银行卡、建立支付结算渠道、发展电子银行业务、创新金融产品等需求;(二)具备与业务处理要求相匹配的良好性能;(三)应避免使用技术落后、不适应业务发展和风险管理需要的信息系统;(四)对于现代化支付、银行卡联网、征信等系统,原则上应实现信息系统集中接入和集约管理。第二十九条村镇银行的信息科技基础设施应满足以下要求:(一)信息科技基础设施建设应遵循资源共享、标准统一、安全可靠、便于管理的原则,满足可扩展性、易维护性的要求,为各类信息科技应用提供支持和服务;(二)机房建设应满足《电子信息系统机房设计规范》(GB50174-2008)要求,信息系统运行所依托的数据中心至少应达到B级标准,承担超过30家(含)村镇银行信息系统运行的,所依托的数据中心应达到A级标准;(三)机房供电、空调、主机、存储和网络等关键基础设施设备实现冗余配置,避免发生单点故障;(四)承担超过30家(含)村镇银行信息系统运行或所承担村镇银行资产总量超过300亿元(含)的,应建立重要信息系统同城实时数据级备份中心,并实现RPO不超过24小时的远程数据备份。第三十条村镇银行应建立完善的信息科技管理制度和工作规范,包括项目管理、系统开发运行管理、安全管理、数据管理、应急管理、外包管理、风险及审计管理。第三十一条村镇银行应建立信息系统开发、运行管理流程,涵盖需求管理、开发管理、测试管理、验收管理、问题管理和变更管理等内容,包括:(一)建立需求管理机制,涵盖需求风险分析和可行性研究,确保需求合理、准确;(二)建立系统化的开发、测试方法和流程,包括需求分析、设计、编码、测试、评审、发版等环节;(三)严格管控信息系统投产上线,上线前应有完备的上线方案和回退方案,上线过程应进行记录和跟踪,投产后应做好系统验收,包括系统功能、性能、安全、文档等;(四)建立事件管理流程,快速响应系统运行事件、修复故障,及时恢复系统运行,并深入分析问题根源,防范事件再次发生;(五)建立配置管理流程,及时更新数据中心基础设施和重要信息系统的配置信息,支持变更风险评估、变更实施、故障事件排查、问题分析等服务管理流程;(六)建立变更管理流程,包括提出、审核、实施、记录等环节,确保信息系统可靠性、可维护性和可追溯性。变更前需进行备份,变更实施需双人操作。信息系统变更应经村镇银行信息科技管理部门确认后方可实施。第三十二条村镇银行应建立信息安全管理机制,涵盖物理安全、网络安全、系统安全、加密技术、日志管理等内容,包括:(一)明确机房物理安全区域,规范区域访问管理,控制未授权访问风险;(二)划分生产网络安全域,互联网和生产网应实现有效隔离,保障网络通信安全;(三)建立信息系统访问控制和授权管理体系,根据最小授权原则配置不同用户的访问权限,严格管理高权限账号,规范系统普通账号和密码的创建、变更、删除等,防止非法访问;(四)在生产数据采集、存储、传输等过程中应对密码等关键信息采取加密、校验等有效措施,确保该类信息安全,防止被篡改和窃取;(五)村镇银行重要信息系统日志和交易日志、系统变更审批记录以及数据使用、变更、备份、销毁审批记录应保存完整,保留期限应符合审计要求。第三十三条村镇银行生产数据的所有权归村镇银行。村镇银行以外的单位未经授权,不得查询、使用、变更、销毁村镇银行生产数据。生产数据的管理规范包括:(一)生产数据的查询、使用应遵循严格的审批和操作流程,经村镇银行数据管理部门负责人审批同意方可使用。开发测试等需要使用生产数据时,需对数据进行脱敏处理;(二)生产数据变更应遵循严格的审批和操作流程,经村镇银行高管层审批同意后,双人实施,并对变更结果进行确认;(三)废弃生产数据应经审批后采用不可逆技术手段进行销毁处理,销毁工作由数据管理部门现场监督;(四)生产数据至少每日进行备份,备份介质应异地保存,定期对备份数据进行恢复性测试,确保一致性和可用性;(五)对于承担多家村镇银行信息系统运行的,应采取技术措施,确保村镇银行生产数据的保密性和完整性。第三十四条村镇银行应建立有效的应急管理体系,确保重要信息系统突发事件发生后快速恢复,降低或消除因重要信息系统服务中断造成的影响和损失。包括:(一)建立应急管理组织机构,负责