银行信息科技管理委员会IT事项管理规定(试行)模版.docx

1、银行信息科技管理委员会IT事项管理规定（试行） 第一章总则 第一条为加强某银行IT事项管理，规范IT事项操作程序和行为，促进信息科技系统安全、持续、稳健运行，根据《商业银行信息科技风险管理指引》、某银行《信息科技管理委员会工作办法》以及其他相关法律、法规，制定本规定（以下简称规定）。 第二条本规定所指IT事项为信息科技管理委员会审查、批准、决策管理的IT事项，主要涵括： （一）信息科技相关制度审批事项; （二）信息科技发展规划相关事项； （三）信息科技工作计划及预算审批事项； （四）信息科技整体技术架构相关事项； (五)信息科技系统建设项目的立项审批、预算审批、招投标管理、技术

2、方案审批、项目验收、上线批准等事项，并确定重大项目的优先级； (六)信息科技相关软件产品及设备购置审批、招投标管理、验收及设备报废审批相关事项； （七）重大信息科技系统变更事项； （八）重大信息科技运营、安全、业务连续性、应急管理相关事项； （九）信息科技外包相关事项； （十）信息科技外部审计相关事项； （十一）信息科技重大事项落实和执行结果评估事项； （十二）向中国银监会及其派出机构报送信息科技相关报告审阅事项； （十三）信息科技相关奖惩事项； （十四）审查其他有关信息科技工作的重大事项。第二章基本规定 第三条信息科技管理委员会管理的IT事项，须经信息科技管理委 员

3、会会议审批和决策并形成批准文件或会议纪要，以此批准文件或会议纪要作为事项的操作依据。 第四条IT事项的相关报告材料应形成正式文档，相关责任人签字示责，加盖所属部门公章，提交首席信息官审核。所有提交信息科技管理委员会进行审议、审批的IT事项文档，须经牵头部门分管领导的审核并签字。 第五条需要进行调研、分析、论证环节的IT事项，必须安排专门人员或专门工作组反复进行认真、细致、广泛的调研、分析和论证，形成相应报告，首席信息官参与过程并对结果进行确认。 第六条涉及费用开支的IT事项，原则上以招投标方式办理。对于特殊的不适合进行招投标的IT事项，须经信息科技管理委员会批准，并指定价格谈判小组进行谈

4、判。招投标过程及谈判过程须接受监事会、纪检部门的监督和检查。 第七条重大IT运营、安全、业务连续性等相关突发事项，按照相关规定可以先行口头报告，接受口头指令采取相应紧急措施，事后须形成专门事项报告，报信息科技管理委员会进行评估和备案。 第八条所有IT事项文件及资料须完整规范，相关文件和材料纳入档案管理。 第三章IT建设事项相关规定 第九条IT建设事项涵括机房建设及环境变更、系统技术架构构建及调整、系统项目研发、系统变更、软件产品购置、硬件设备购置及报废等各建设相关事项。 第十条IT建设事项实行流程管理，按照《系统建设项目流程及职责》、《大宗或重大采购项目流程和职责》的要求完成立项申请

5、调研论证、项目审批、招投标、项目实施、测试、项目验收、上线等环节。 第十一条《可行性分析报告》由业务部门、科技部门、风险部门在认真、细致、广泛调研的基础上独立或协作完成，签字示责人及所属部门对报告内容的真实、完整、可靠性负责，首席信息官负责审核出具审核意见，信息科技管理委员会依据业务部门、技术部门及风险部门完成的《可行性分析报告》及首席信息官审核意见进行项目立项审批。 第十二条IT项目立项后即成立项目组，项目组由科技人员以及相关业务人员组成并经信息科技管理委员会批准或指定，负责项目立项后的招投标事项、实施方案制定及实施过程中的具体事务办理，定期向信息科技管理委员会报告项目实施进展情况

6、 第十三条IT建设事项的系统规划书、技术方案书等重要技术方案，须由专业人员在广泛调研的基础上经过反复论证形成，首席信息官参与并监督这一过程，并对论证结论进行审核，最后由信息科技管理委员会审议决策。 第十四条IT建设事项的测试环节，要求首先制定测试方案及测试案例，业务部门负责业务功能及正确性测试，技术部门负责技术性能测试，并分别形成《测试报告》，签字示责人对其真实性负责。信息科技管理委员会依据《测试报告》显示情况，决定是否启动验收程序。 第十五条风险部门、合规部门、审计部门根据流程环节独立履行相应职责，形成相关报告，报告信息科技管理委员会，并及时反馈项目实施组。 第十六条信息科技管理委

7、员会会议对《测试报告》、《合规报告》、 《审计报告》进行审阅，并审查其他相关资料，做出验收结论并最后形成《验收报告》，并将全部文档归档。 第四章IT事项招投标规定 第十七条IT事项招投标活动严格依照《中华人民共和国招标投标法》《某市招标投标管理规定》（政府令〔2003〕第2号）以及某银行的有关规定进行，遵循公开、公平、公正和诚实信用的原则。 第十八条满足以下标准的IT事项原则上必须招标，但确实存在特殊原因不宜进行招标的，以及不满足下述招标标准的，可由信息科技管理委员会予以确认或审批后采用价格谈判方式： （一）单项合同估算价在二十万元人民币以上的； （二）主要设备、软件产品的采购，单

8、项合同估算价在二十万元人民币以上的； （三）IT相关服务类的采购，单项合同估算价在十万元人民币以上的； （四）单项合同估算价低于第（一）项、第（二）、第（三）项规 定的标准，但总投资额在八百万元以上的。 第十九条招标方式可采用公开招标或邀请招标方式，但须报信息科技管理委员会审批同意。对于采用邀标方式的，须报告缘由经信息科技管理委员会确认，由信息科技管理委员会确定邀标资质条件并选定三家及以上被邀方。 第二十条IT项目《招标书》文件，须经法律合规部门审查通过， 《招标书》技术部分内容须经首席信息官审核通过，最后《招标书》文件经信息科技管理委员会会议审批同意后，方可发标。 第二十一

9、条IT项目评标组成员为五人以上单数，由监事长、纪检书记、主管副行长和有关技术、业务等方面的代表组成，可以聘请外部技术专家。涉及IT技术方案评标的，评标组成人员中IT技术专家不得少于成员总人数的三分之二。 第二十二条IT项目开标、评标、中标各相关其他规定依照《某市招投标管理规定》第四章有关规定执行。全程接受监事会、纪检部门、合规部门、审计部门的监督和检查。 第五章IT外包事项规定 第二十三条IT外包严格执行《商业银行信息科技风险管理指引》、 《银行业金融机构外包风险管理指引》、《商业银行数据中心监管指引》的相关要求。 第二十四条IT外包实行流程管理，遵循外包申请、风险评估、调研论证、外

10、包审批、外包合同签订、外包管理、外包评价与审计等流程环节。 第二十五条IT外包事项须由风险部门、科技部门在认真、细致、广泛调研的基础上独立完成《外包可行性分析报告》，签字示责人及所属部门对报告内容的真实、完整、可靠性负责，首席信息官负责审核并出具审核意见，信息科技管理委员会依据各《外包可行性分析报告》及首席信息官审核意见进行外包审批。 第二十六条IT外包商的选择通过邀标方式招标确定。外包服务提供商的资质要求由信息科技管理委员会确认。开展外包服务商资质评审前风险和科技部门必须对服务提供商进行尽职调查，并形成《尽职调查报告》。 第二十七条IT外包服务合同的有效期内，至少每年进行一次资质审

11、查，并报告信息科技管理委员会，合同期满重新资质评审，重新招标。 第二十八条对于数据中心的重要基础设施、重要信息系统的维护服务外包，签订外包合同时，外包服务商须保证购买商业保险以保证其有足够的赔偿能力，并告知保险覆盖范围。 第二十九条IT外包的日常管理部门为信息科技部门，负责与外包商的沟通和协调，负责现场外包人员的监督和管理，负责外包服务的效率和质量的监督和管理，定期对外包商形成《外包评价报告》报告信息科技管理委员会。 第三十条风险控制部门负责对外包活动进行全面风险评估，合规部门负责外包活动的合规性审核，内审部门负责对外包活动进行审计，并独立形成报告，报信息科技管理委员会。 第六章重大及

12、突发IT事项相关规定 第三十一条重大及突发IT事项按照《银行业重要信息系统突发事件应急管理规范》、《商业银行业务连续性监管指引》的规定进行管理和处置，满足其要求。 第三十二条信息科技部门负责制定重大及突发IT事项的《应急处置预案》，并通过演练予以完善后，报信息科技管理委员会批准、备案。 第三十三条《应急处置预案》应假设不同场景和情形，制定涵括系统运营、安全、业务连续性、应急管理等多方面的多种处置措施。第三十四条对于符合以下条件的突发事件，必须制定专项应急预 案： （一）已经发生并处置过的突发事件； （二）同业中已发生过的且影响较大的重大突发事件； （三）银行业发生机率较大的突发事

13、件； （四）监管部门风险提示以及要求制定的预案。 第三十五条在发生IT突发事件或发现其先兆信息以及处置过程中现场负责人须按照报告流程、时限规定及时报告有关预警或突发事件信息，并应及时采取应急措施。同时应及时向信息科技管理委员会报 告，报告内容要真实、客观、准确、清晰。 第三十六条IT突发事件或其预警信息的基本内容包括： （一）突发事件或预警信息发生的时间、地点； （二）突发事件或预警信息发生原因、性质、可能涉及的系统及影响的业务、危害程度、影响范围，报告时的事态及已产生的后果； （三）事态发展趋势预测，已经或拟采取的应对措施； 第三十七条信息科技管理委员会接到预警报告或事件

14、报告后，应迅速对所报情况作出性质类别和程度上的判别，及时制定处置方案、确定可启动的《应急处置预案》，协调应急保障部门。 第三十八条重大及突发事件处置完毕，处置机构应当作出结案报告，向信息科技管理委员会报告。结案报告的内容应包括处置过程描述、经验教训、突发事件成因的分析、对该种突发事件应急预案的建议或对其实际操作效果的评估等。 第七章其他IT事项规定 第三十九条IT外部审计事项每三年进行一次，参照本规定第五章IT外包事项规定的程序办理，审计结果列为重要机密，严格落实保密规定，由信息科技管理委员会决策后续有关报送、整改等事项。 第四十条IT相关的向人民银行、银监局等上级管控部门报备、报送等文件，需经过信息科技管理委员会审阅通过，信息科技管理委员会并留存副本存档。 第四十一条信息科技管理委员会负责IT事项落实情况的质量评估，定期听取落实情况汇报，鉴定执行部门和人员的履职尽责能力，对IT事项相关责任部门和人员的奖惩提供依据。 第四十二条本规定未明确的IT事项按照有关法律、法规及《信息科技管理委会工作办法》的规定进行处置。 第八章附则 第四十三条本规定由信息科技管理委员会负责解释。 第四十四条本规定自发布后实行。