银行业金融机构重要信息系统投产及变更管理办法.doc

1、中国银监会办公厅关于印发银行业金融机构重要信息系统投产及变更管理办法的通知银监办发2009437号各银监局，各政策性银行、国有商业银行、股份制商业银行，邮政储蓄银行，各省级农村信用联社：为加强银行业金融机构重要信息系统投产及变更风险管理， 保障银行业金融机构重要信息系统安全稳定运行，现将银行业金融机构重要信息系统投产及变更管理办法印发给你们，请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。2009年12月29日银行业金融机构重要信息系统投产及变更管理办法第一章 总 则第一条为加强银行业金融机构重要信息系统投产及变更风险管理，根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法

2、制定本办法。第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城巿商业银行、农村商业银行、农村合作银行、农村信用社、城巿信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本办法执行。第三条本办法所称的重要信息系统是指支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，以及支撑系统运行的机房和网络等基础设施。第四条本办法所称的重要信

3、息系统投产及变更主要指：(一） 重要信息系统投产。(二） 支撑重要信息系统运行的机房和网络基础设施投产。(三） 影响全辖或一个（含）以上分行系统服务、重要业务中断时间3小时（含）以上的重要信息系统以及支持其运行的基础设施变更，包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。(四） 其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。第二章 组织管理第五条银行业金融机构应健全IT治理结构，落实重要信息系统投产及变更管理责任。第六条银行业金融机构高级管理层应统筹管理重要信息系统建设，听取重大项目投产或变更的风险评估汇报，对风险控制过程

4、进行监督。第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程，承担技术管理工作，协调业务、管理部门开展重要信息系统投产及变更工作，保障信息科技资源投入。第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作，开展业务影响分析，制定业务管理办法，组织用户测试，保证业务资源投入。第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作，针对问题发现提出整改意见。第三章 风险评估第十条银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险，包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风

5、险， 并形成风险评估报告。第十一条银行业金融机构在采取有效信息安全控制措施的前提下，可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。第十二条银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。第十三条银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案，明确整改时间。不具备整改条件的应采取风险缓释措施。第四章 投产及变更控制第十四条银行业金融机构应统一组织协调重要信息系统投产及变更工作，制定年度投产及变更规划，编制实施计划和方案， 确定实施策略和步骤，明确岗位职责，确保关键岗位职责分离。第十五条银行业金融机构应对重要信息系统投产及变更过程进行安

6、全审查，采取风险控制措施，有效控制重要信息系统投产及变更风险。第十六条银行业金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。第十七条银行业金融机构应按照对业务影响最小原则，采取与风险程度相适应的重要信息系统投产及变更策略。第十八条银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线，应提前将重要信息系统投产及变更可能对服务的影响告知客户。第十九条银行业金融机构应建立充分、完整的测试体系，测试结果应经过信息科技部门和相关业务部门确认，并形成测试和验收报告，确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。第二十条银行业金融机构应建立与生产环境相隔离的测试环境，

7、测试环境应模拟生产环境的真实情况。第二十一条银行业金融机构应建立完善的版本管理制度，制定严格的审批、控制和操作流程，保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效，遵从系统开发和运行管理制度规范。第二十二条银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制；测试环境中使用的敏感生产数据应进行脱敏、变形处理；需要历史数据迁移的，应制定详细的数据迁移计划，并提前进行数据迁移测试和数据有效性、兼容性验证，确保迁移后数据的完整性、安全性和可用性。第二十三条银行业金融机构应制定重要信息系统投产及变更应急预案，制定系统回退和应急处置计划和流程，必要时应实施演练。

8、第二十四条重要信息系统投产及变更过程中，银行业金融机构应严格执行上线实施方案，加强监督与复核，避免操作失误和非法操作。第二十五条银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警，各相关部门协同做好应急准备。第二十六条银行业金融机构应制定并落实系统运行管理规程、制度，制定、完善相关业务管理办法、操作规程，明确业务及运行管理职责，组织必要的培训，确保投产及变更实施后业务顺利开展。第二十七条银行业金融机构应在重要信息系统投产及变更实施后，组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。第二十八条银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案，并

9、适时实施演练。第二十九条银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理，确保文档资料的完整性、及时性和有效性，并满足独立审计要求。第五章 投产及变更报告第三十条银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。第三十一条银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告，包括但不限于：(一） 总体说明：投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。(二） 重要信息系统基本信息，包括：系统名称，业务功能，操作系统、数据库、中间件情况，应用架构、技术架构、数据架构，生产主机

10、备份方案、数据备份方案，运行管理等相关职能部门，是否纳入灾难恢复计划等。(三） 重要信息系统信息安全策略和措施，包括对账户、交易和客户敏感信息的安全控制措施等。(四） 涉及基础设施的，需提供基础设施基本信息，包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划，以及机房验收报告等；网络方案包括网络架构分区、核心网络备份情况，以及区域间、外联网、互联网边界安全措施与网络监控措施等。(五） 采取外包方式的，需提交外包服务机构情况、外包服务内容、外包风险评估报告等。(六） 投产及变更方案，包括投产及变更的组织结构与实施计划、操作步骤等。(七） 风险

11、评估报告，应包括业务影响分析，技术风险分析与评估，控制措施的有效性，以及剩余风险等。(八） 应急预案，包括应急处置组织结构，应急场景，应急处置流程、步骤，应急联系方式与报告路线等，实施演练的应提交演练总结报告。第三十二条银行业金融机构应在重要信息系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料， 内容包括但不限于：投产及变更方案执行情况、效果，问题发现和处理情况，后续改进措施等。如投产及变更失败，应详细说明失败原因。第三十三条银行业金融机构应按照属地监管原则提交报告材料，报送路线如下：(一）银行业金融机构法人组织实施投产及变更的，由该法人机构统一向中国银监会或其派出机构提交

12、报告材料。(二）银行业金融机构分行组织实施投产及变更的，由分行向所在地中国银监会派出机构提交报告材料。第三十四条重要信息系统投产及变更如失败需重新安排的，银行业金融机构应再次向中国银监会或其派出机构报告。第三十五条银行业金融机构数据中心机房设立、场所变更，应按照中国银监会有关数据中心管理规范报告。第六章 监督管理第三十六条针对银行业金融机构重要信息系统投产及变更风险，中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。第三十七条中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施现场检查。第三十八条银行业金融机构违反本办法有关规定的，中国银监会及其派出机构将依

13、法追究相关责任。第七章 附 则第三十九条本办法由中国银监会负责解释和修订。第四十条本办法自公布之日起执行。其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标：一、目标值：1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。2、现金安全保管，不发生盗窃事故。3、每月足额提取安全生产费用，保障安全生产投入资金的到位。4、安全

14、培训合格率为100%。二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公

15、司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥；9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育；11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落