中国银监会关于印发《商业银行信息科技风险管理指引》的通知银监发号

(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。 (五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息的安全。

(六)确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。 第六十一条商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。

第六十二条商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。 第九章内部审计

第六十三条商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。

第六十四条商业银行内部信息科技审计的责任包括:

(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性。

(二)按照第(一)款规定完成审计工作,在此基础上提出整改意见。 (三)检查整改意见是否得到落实。

(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进

行的审计。

第六十五条商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。第六十六条商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。 第十章外部审计

第六十七条商业银行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。

第六十八条在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。

第六十九条商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。

第七十条银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。

第七十一条外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商业银行应根据该审计报告提出整改计划,并在规定的时间内实施整改。

第七十二条商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,

并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。 第十一章附则

第七十三条未设董事会的商业银行,应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。第七十四条银监会依法对商业银行的信息科技风险管理实施监督检查。

第七十五条本指引由银监会负责解释、修订。

第七十六条本指引自颁布之日起施行,《 银行业金融机构信息系统风险管理指引》 (银监发〔 2006 〕 63 号)同时废止。

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4