城市商業(yè)銀行信息科技監(jiān)管指引

1、中國銀行業(yè)城市商業(yè)銀行信息科技監(jiān)管指引 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc296344339 第一章 信息科技發(fā)展狀況 PAGEREF _Toc296344339 h 3 HYPERLINK l _Toc296344340 第二章 面臨的機遇和挑戰(zhàn) PAGEREF _Toc296344340 h 6 HYPERLINK l _Toc296344341 第三章 信息科技發(fā)展目標、原則與實施策略 PAGEREF _Toc296344341 h 7 HYPERLINK l _Toc296344342 第一節(jié) 總體目標 PAGEREF _Toc296344342

2、h 7 HYPERLINK l _Toc296344343 第二節(jié) 指導原則 PAGEREF _Toc296344343 h 8 HYPERLINK l _Toc296344344 第三節(jié) 實施策略 PAGEREF _Toc296344344 h 8 HYPERLINK l _Toc296344345 第四章 推進信息科技治理體系建設(shè) PAGEREF _Toc296344345 h 9 HYPERLINK l _Toc296344346 第一節(jié) 完善信息科技組織體系，夯實信息科技治理基礎(chǔ) PAGEREF _Toc296344346 h 9 HYPERLINK l _Toc296344347 第

3、二節(jié) 加強戰(zhàn)略規(guī)劃，提升信息科技規(guī)劃前瞻性與指導性 PAGEREF _Toc296344347 h 10 HYPERLINK l _Toc296344348 第三節(jié) 健全決策機制，提升信息科技決策科學性 PAGEREF _Toc296344348 h 10 HYPERLINK l _Toc296344349 第四節(jié) 推進制度體系建設(shè)，加強信息科技規(guī)范化管理 PAGEREF _Toc296344349 h 11 HYPERLINK l _Toc296344350 第五節(jié) 加強隊伍建設(shè)，提升信息科技核心專業(yè)能力 PAGEREF _Toc296344350 h 11 HYPERLINK l _Toc

4、296344351 第六節(jié) 合理規(guī)劃投入，支撐信息科技穩(wěn)步發(fā)展 PAGEREF _Toc296344351 h 12 HYPERLINK l _Toc296344352 第五章 完善信息科技管理體系建設(shè) PAGEREF _Toc296344352 h 12 HYPERLINK l _Toc296344353 第一節(jié) 加強信息科技風險管理體系建設(shè)，完善內(nèi)控機制 PAGEREF _Toc296344353 h 13 HYPERLINK l _Toc296344354 第二節(jié) 加強基礎(chǔ)設(shè)施建設(shè)，建立安全穩(wěn)定的生產(chǎn)環(huán)境 PAGEREF _Toc296344354 h 13 HYPERLINK l _T

5、oc296344355 第三節(jié) 規(guī)范開發(fā)流程管理，完善項目管理機制 PAGEREF _Toc296344355 h 15 HYPERLINK l _Toc296344356 第四節(jié) 加強運維管理，保障信息系統(tǒng)安全穩(wěn)定運行 PAGEREF _Toc296344356 h 15 HYPERLINK l _Toc296344357 第五節(jié) 健全信息安全管理體系，加強重點領(lǐng)域信息安全管理 PAGEREF _Toc296344357 h 16 HYPERLINK l _Toc296344358 第六節(jié) 完善應(yīng)急管理體系，提升業(yè)務(wù)連續(xù)性水平 PAGEREF _Toc296344358 h 17 HYPER

6、LINK l _Toc296344359 第七節(jié) 加強信息科技外包管理，防范重點領(lǐng)域外包風險 PAGEREF _Toc296344359 h 18 HYPERLINK l _Toc296344360 第六章 深化信息科技應(yīng)用 PAGEREF _Toc296344360 h 19 HYPERLINK l _Toc296344361 第一節(jié) 加強核心應(yīng)用系統(tǒng)建設(shè)，提升客戶服務(wù)水平與市場響應(yīng)能力 PAGEREF _Toc296344361 h 19 HYPERLINK l _Toc296344362 第二節(jié) 推進電子銀行建設(shè)，增強電子銀行創(chuàng)新服務(wù)能力 PAGEREF _Toc296344362 h

7、20 HYPERLINK l _Toc296344363 第三節(jié) 推進管理信息系統(tǒng)建設(shè)，提高精細化管理水平 PAGEREF _Toc296344363 h 22 HYPERLINK l _Toc296344364 第四節(jié) 建立風險管理信息基礎(chǔ)環(huán)境，夯實全面風險管理基礎(chǔ) PAGEREF _Toc296344364 h 23 第一章 信息科技發(fā)展狀況“十一五”時期，我國城市商業(yè)銀行（以下簡稱“城商行”）發(fā)展取得重大進步，治理機制逐步完善，經(jīng)營管理不斷改進，市場地位顯著提高。信息科技有力推動了城商行業(yè)務(wù)創(chuàng)新與管理和服務(wù)水平提升，城商行信息科技組織與管理框架逐步形成，基礎(chǔ)設(shè)施和生產(chǎn)運行環(huán)境基本穩(wěn)定，應(yīng)

8、用系統(tǒng)體系覆蓋主要傳統(tǒng)業(yè)務(wù)、滿足基本管理需求，運行維護和安全管理能力不斷提高。 信息科技治理框架初步構(gòu)建。對信息科技治理的重視程度逐步提高，部分銀行機構(gòu)設(shè)立了信息科技管理委員會，提高了信息科技規(guī)劃與決策能力；信息科技風險管理和審計職能得到加強；制度體系建設(shè)與執(zhí)行取得新的進展，覆蓋了系統(tǒng)開發(fā)測試、運行維護、信息安全等主要方面。 基礎(chǔ)設(shè)施建設(shè)初具規(guī)模。逐年增加基礎(chǔ)設(shè)施建設(shè)投入，大部分銀行機構(gòu)建立了滿足業(yè)務(wù)發(fā)展需要的數(shù)據(jù)中心機房。通過網(wǎng)絡(luò)寬帶改造、系統(tǒng)擴容升級、安全設(shè)備部署等措施，提升網(wǎng)絡(luò)和信息系統(tǒng)的處理能力和安全防控水平。部分銀行機構(gòu)開展災(zāi)備機房建設(shè)，為業(yè)務(wù)連續(xù)性提供基礎(chǔ)設(shè)施保障。 運維管理水平明

9、顯提高。逐步建立起覆蓋事件管理、問題管理、變更管理、配置管理等系統(tǒng)運行重要環(huán)節(jié)的運維管理體系和操作流程，重點加強生產(chǎn)變更管理。建立起重要信息系統(tǒng)、網(wǎng)絡(luò)、機房環(huán)境監(jiān)控體系。運行操作的合規(guī)性和可靠性得到提升，運維管理水平明顯提高。 金融服務(wù)支撐能力穩(wěn)步提升。信息系統(tǒng)規(guī)模不斷擴大，銀行產(chǎn)品逐步豐富，業(yè)務(wù)范圍從單一的存貸款業(yè)務(wù)發(fā)展到較為完整的金融產(chǎn)品體系，涵蓋支付結(jié)算、信用卡、貿(mào)易融資、國際業(yè)務(wù)、理財服務(wù)等業(yè)務(wù)領(lǐng)域。通過加強服務(wù)渠道建設(shè)、積極拓展電子業(yè)務(wù)渠道，逐步實現(xiàn)柜面、自助銀行、網(wǎng)上銀行、電話銀行、同業(yè)合作等服務(wù)渠道的多元化發(fā)展，渠道功能不斷增強，服務(wù)水平不斷提升，客戶體驗不斷改善。 管理信息系統(tǒng)

10、建設(shè)初見成效。通過建設(shè)辦公自動化、信貸管理、報表平臺、財務(wù)管理等系統(tǒng)，從傳統(tǒng)的手工管理模式向管理信息化轉(zhuǎn)變，初步形成電子化業(yè)務(wù)管理流程，提升了內(nèi)部管理水平。通過建立、完善事后監(jiān)督、內(nèi)部審計、非現(xiàn)場報表、反洗錢、征信報送等風險管理類信息系統(tǒng)，提高了風險管理數(shù)據(jù)的時效性和準確性，提升了風險管控能力。 信息科技安全管理體系逐步完善。信息安全意識逐步提高，逐步建立健全信息科技安全管理體系，明確職責分工，充實信息安全管理專業(yè)隊伍，加大各類安全產(chǎn)品與技術(shù)的應(yīng)用，開展信息安全風險評估，信息系統(tǒng)安全等級保護建設(shè)工作初見成效，信息安全管理水平不斷提升。在充分肯定成績的同時，也需要認識到存在的問題和不足，主要表現(xiàn)

11、在以下方面： 信息科技治理水平有待提高。信息科技治理體系建設(shè)總體上處于起步階段。董事會對信息科技建設(shè)和風險管理的重視和指導不夠充分，信息科技管理委員會履職有待強化；大部分銀行機構(gòu)尚未設(shè)置首席信息官，信息科技風險“三道防線”機制尚未有效形成；信息科技發(fā)展戰(zhàn)略不夠清晰，信息科技規(guī)劃缺乏系統(tǒng)性與前瞻性。 信息科技隊伍建設(shè)亟待加強。信息科技人員數(shù)量與快速增長的信息系統(tǒng)建設(shè)和運維需求之間缺口加大。操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用開發(fā)、信息安全管理等關(guān)鍵崗位的人員配備普遍不足，兼崗現(xiàn)象比較嚴重。信息科技人員結(jié)構(gòu)失衡，缺乏信息科技規(guī)劃、架構(gòu)管理、項目管理、信息科技風險管理等領(lǐng)域的高端人才。大部分銀行機構(gòu)尚未建立信息科

12、技人員職業(yè)發(fā)展規(guī)劃與有效的激勵機制。 應(yīng)用系統(tǒng)架構(gòu)亟需優(yōu)化。對信息科技架構(gòu)設(shè)計的重要性認識不足，大部分銀行機構(gòu)尚未系統(tǒng)地定制全行的應(yīng)用系統(tǒng)架構(gòu)。業(yè)務(wù)系統(tǒng)耦合程度較高，擴展性和靈活性不足，難以快速響應(yīng)業(yè)務(wù)整合與產(chǎn)品創(chuàng)新的市場需求；尚未形成統(tǒng)一的客戶信息視圖，以賬戶為中心的應(yīng)用系統(tǒng)架構(gòu)難以有效支持差異化營銷服務(wù)和客戶關(guān)系管理，難以滿足客戶日益增長的差異化、個性化金融服務(wù)需求。 信息科技風險管控能力有待提升。信息科技風險管理能力較為薄弱，制度建設(shè)與技術(shù)手段不足，信息安全策略覆蓋不全面；在軟件開發(fā)領(lǐng)域缺少安全需求分析、安全架構(gòu)規(guī)劃、詳細安全設(shè)計、安全產(chǎn)品選擇、安全測試等控制流程；外包風險管理體系不健全

13、，外包管理策略、風險評估以及后評價機制缺失；應(yīng)急管理組織架構(gòu)不健全，應(yīng)急預(yù)案完整性、可操作性與應(yīng)急演練覆蓋不足。 數(shù)據(jù)應(yīng)用工作較為滯后。缺乏統(tǒng)一數(shù)據(jù)標準，大部分銀行機構(gòu)尚未建立適應(yīng)經(jīng)營管理、外部監(jiān)管和信息披露要求的企業(yè)級數(shù)據(jù)平臺。風險管理數(shù)據(jù)分散在各個應(yīng)用系統(tǒng)中，缺乏統(tǒng)一規(guī)劃、部署與集中管理，報表可審計、可追溯性不足。風險分析、計量工作主要依賴于人工處理，缺乏有效的技術(shù)支撐，降低了風險分析的有效性。第二章 面臨的機遇和挑戰(zhàn)“十二五”時期，隨著我國經(jīng)濟繼續(xù)保持平穩(wěn)較快發(fā)展，工業(yè)化、信息化、城鎮(zhèn)化、市場化、國際化深入推進，經(jīng)濟結(jié)構(gòu)戰(zhàn)略性調(diào)整步伐加快，金融市場快速發(fā)展、體系日益完善，城商行面臨更為充

14、分的發(fā)展空間與發(fā)展機遇。城商行業(yè)務(wù)拓展、產(chǎn)品開發(fā)與金融服務(wù)創(chuàng)新迫切要求加快信息科技建設(shè)步伐，提高信息科技核心競爭力，提高信息科技管理能力，有力支持業(yè)務(wù)發(fā)展、產(chǎn)品創(chuàng)新，有效防范信息科技風險，保障業(yè)務(wù)持續(xù)穩(wěn)定運行。未來五年，城商行經(jīng)營發(fā)展環(huán)境面臨重大而深刻的變化，在帶來發(fā)展機遇的同時，也提出了新的挑戰(zhàn)。固有的過度依賴貸款增長、過度依賴存貸利差的發(fā)展盈利模式和風險管理模式已不可持續(xù)，傳統(tǒng)的金融產(chǎn)品、服務(wù)方式和商業(yè)模式已不適應(yīng)迅速變化的消費行為與商業(yè)營運模式。在新的形勢與環(huán)境下，城商行需要盡快轉(zhuǎn)變發(fā)展方式，實現(xiàn)集約式、內(nèi)涵式、以效益和質(zhì)量為核心的新發(fā)展模式。相對于大中型商業(yè)銀行，城商行信息科技總體實力

15、和建設(shè)水平還有較大差距。隨著業(yè)務(wù)不斷拓展、創(chuàng)新，信息系統(tǒng)規(guī)模和復雜程度日益增加，管理和整合的難度日益增大，與之相關(guān)聯(lián)的信息科技風險日益凸顯，信息科技人才匱乏問題愈加突出。全面風險管理和以客戶為中心的流程銀行建設(shè)需要，對信息科技規(guī)劃與管理能力、創(chuàng)新能力以及支持保障能力提出了更高要求。第三章 信息科技發(fā)展目標、原則與實施策略第一節(jié) 總體目標“十二五”時期，城商行應(yīng)以科學發(fā)展觀為指導，以轉(zhuǎn)變增長方式，走差異化、特色化發(fā)展道路，提升核心競爭力為發(fā)展目標，將信息科技納入銀行整體發(fā)展戰(zhàn)略，提高信息科技管理水平，推動信息科技創(chuàng)新，促進業(yè)務(wù)與信息科技的融合，推進風險控制、戰(zhàn)略發(fā)展和流程銀行再造，努力滿足多層次

16、、多元化的金融服務(wù)需求。推進信息科技治理體系建設(shè)，建立適應(yīng)發(fā)展目標的信息科技組織架構(gòu)與決策、監(jiān)督機制，提升信息科技治理水平；推進信息科技管理能力建設(shè)，加快信息科技管理從粗放式向規(guī)范化、精細化轉(zhuǎn)變；推進信息科技建設(shè)與研發(fā)，深化信息科技在經(jīng)營管理中的應(yīng)用；推動建設(shè)全面風險管理信息科技基礎(chǔ)環(huán)境，夯實全面風險管理基礎(chǔ)；充分發(fā)揮信息科技的創(chuàng)新作用，支持特色化金融服務(wù)和經(jīng)營模式，為打造創(chuàng)新能力強、專業(yè)領(lǐng)域優(yōu)勢明顯的現(xiàn)代商業(yè)銀行提供有效的信息科技支撐和保障。第二節(jié) 指導原則“十二五”時期，城商行信息科技發(fā)展應(yīng)堅持“科學發(fā)展、安全運營、統(tǒng)一標準、統(tǒng)籌規(guī)劃”的原則。 堅持科學發(fā)展原則。立足于轉(zhuǎn)變發(fā)展方式，走差異

17、化、特色化發(fā)展道路，提升信息科技管理、研發(fā)與服務(wù)能力，支持具有經(jīng)營特色、有利于提高核心競爭力的發(fā)展戰(zhàn)略與市場定位。 堅持安全運營原則。提高自主運維能力和信息安全管理水平，加強信息科技風險防控，保證信息系統(tǒng)安全、持續(xù)、穩(wěn)定運行。 堅持統(tǒng)一標準原則。借鑒國際、國內(nèi)行業(yè)良好經(jīng)驗及做法，建立管理、技術(shù)、產(chǎn)品和服務(wù)標準，逐步提升信息科技管理規(guī)范化與專業(yè)化水平。 堅持統(tǒng)籌規(guī)劃原則。把握業(yè)務(wù)和技術(shù)發(fā)展趨勢，加強規(guī)劃前瞻性、指導性與執(zhí)行力，統(tǒng)籌資源，推動信息科技建設(shè)有序?qū)嵤５谌?jié) 實施策略為保障“十二五”時期信息科技主要任務(wù)的完成和總體目標的實現(xiàn)，采取“合理規(guī)劃，統(tǒng)籌推進，加強領(lǐng)導，明確責任；加強合作，差異

18、發(fā)展，保障資源，注重實效”的實施策略。 合理規(guī)劃，統(tǒng)籌推進，加強領(lǐng)導，明確責任。立足科學發(fā)展，著力開拓創(chuàng)新，強調(diào)總體規(guī)劃，夯實治理基礎(chǔ)，有組織、按計劃地有序、協(xié)調(diào)推進信息科技工作。董事會和高級管理層應(yīng)切實加強對信息科技管理和建設(shè)的領(lǐng)導，把信息科技工作列入重要議事日程，從戰(zhàn)略高度把握信息科技發(fā)展方向，推進信息科技治理建設(shè)，部署實施信息科技總體規(guī)劃；要明確職責，充分調(diào)動各方面積極性、主動性、創(chuàng)造性，確定實現(xiàn)目標和實施路線。要定期評價實施效果，及時修正，合理調(diào)整，保證規(guī)劃的系統(tǒng)性、前瞻性。 加強合作，差異發(fā)展，保障資源，注重實效。根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略，綜合分析內(nèi)外部環(huán)境，確定信息科技建設(shè)模式。加強合作，

19、發(fā)揮我國銀行業(yè)信息科技整體合力；充分參考、借鑒同業(yè)成功經(jīng)驗，發(fā)揮后發(fā)優(yōu)勢，全面提升信息科技管理水平與創(chuàng)新能力，支撐和促進銀行核心競爭力的提高。要加強信息科技資源保障，確保人力、物力、財力支持。要不斷加強信息科技人才隊伍建設(shè)，重視人才培養(yǎng)和引進。要加大信息系統(tǒng)推廣和應(yīng)用力度，保證信息科技資源的有效利用。第四章 推進信息科技治理體系建設(shè)“十二五”時期，城商行應(yīng)加快信息科技治理體系建設(shè)，建立健全組織架構(gòu)、決策機制和制度體系，開展信息科技戰(zhàn)略規(guī)劃，加強信息科技隊伍建設(shè)和資金投入，從根本上提高信息科技治理水平，更好地服務(wù)于銀行發(fā)展目標。第一節(jié) 完善信息科技組織體系，夯實信息科技治理基礎(chǔ)完善信息科技組織體

20、系，明確董事會、高級管理層、專業(yè)委員會在信息科技治理等方面的職責，提高履職實效；設(shè)立信息科技委員會，履行對信息科技戰(zhàn)略規(guī)劃、預(yù)算管理、重大項目建設(shè)、信息科技風險策略制定等重大事項的決策、監(jiān)督和管理職責；建立和完善首席信息官制度，履行信息科技管理職責，并參與業(yè)務(wù)規(guī)劃以及重大業(yè)務(wù)發(fā)展事項決策。建立健全信息科技部門以及信息科技風險和審計職能部門“三道防線”，厘清職責、理順流程、落實崗位責任，形成有效的管理、監(jiān)督和問責機制。第二節(jié) 加強戰(zhàn)略規(guī)劃，提升信息科技規(guī)劃前瞻性與指導性加強信息科技戰(zhàn)略規(guī)劃，董事會、高級管理層要加強指導，推動信息科技部門與業(yè)務(wù)部門的有效聯(lián)動，以信息化建設(shè)支持業(yè)務(wù)戰(zhàn)略實現(xiàn)為目標，制

21、定信息化發(fā)展的戰(zhàn)略方針和總體布局，保證規(guī)劃的前瞻性、系統(tǒng)性；要明確實施路線，加強規(guī)劃執(zhí)行力度，建立定期評估機制，保證規(guī)劃的科學性與實用性。信息科技規(guī)劃要與業(yè)務(wù)戰(zhàn)略保持一致，以業(yè)務(wù)架構(gòu)為基礎(chǔ)，科學設(shè)計應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)和基礎(chǔ)架構(gòu)；涵蓋信息科技治理、組織架構(gòu)、人才隊伍建設(shè)、基礎(chǔ)設(shè)施建設(shè)、信息科技風險管理以及信息科技研發(fā)與創(chuàng)新等各個領(lǐng)域。第三節(jié) 健全決策機制，提升信息科技決策科學性建立和完善信息科技決策機制。要明確董事會、高級管理層、專業(yè)委員會，信息科技部門、業(yè)務(wù)部門以及其他各相關(guān)部門的職責。決策內(nèi)容應(yīng)覆蓋戰(zhàn)略規(guī)劃、資源配置、總體架構(gòu)、重大項目、風險管理政策等各個領(lǐng)域；決策程序應(yīng)公開、透明、高效；要

22、逐步建立和完善決策評價與監(jiān)督機制。第四節(jié) 推進制度體系建設(shè)，加強信息科技規(guī)范化管理依據(jù)相關(guān)法律法規(guī)，借鑒國內(nèi)外管理標準和最佳實踐，建立信息科技管理制度體系，覆蓋信息科技管理各個領(lǐng)域，建立明確的管理策略和流程。建立和完善信息科技制度管理機制，落實制度管理職責；制定制度管理策略及制修訂程序，加強實施效果評價，持續(xù)提升制度建設(shè)的科學性、時效性、可用性；加強制度宣傳貫徹力度，強化對制度落實情況的審計監(jiān)督，強化制度執(zhí)行力。第五節(jié) 加強隊伍建設(shè)，提升信息科技核心專業(yè)能力明確信息科技隊伍建設(shè)目標，加大信息科技人力資源投入，信息科技人員占比原則上應(yīng)不低于3%。要建立與銀行發(fā)展戰(zhàn)略相適應(yīng)的信息科技人才隊伍建設(shè)機

23、制，確保關(guān)鍵崗位人員配備；加大信息科技規(guī)劃、架構(gòu)管理、研發(fā)與項目管理、信息科技風險管理與審計等關(guān)鍵領(lǐng)域?qū)＜倚腿瞬诺呐囵B(yǎng)和引進力度，打造核心人才梯隊；加強信息科技人員職業(yè)生涯發(fā)展規(guī)劃，建立健全信息科技人員激勵機制，完善與行政序列并列的信息科技專業(yè)職級體系和薪酬體系，完善晉升機制，拓展信息科技人員職業(yè)發(fā)展空間。第六節(jié) 合理規(guī)劃投入，支撐信息科技穩(wěn)步發(fā)展根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略，保持信息科技投入穩(wěn)定增長。加強戰(zhàn)略規(guī)劃對信息科技預(yù)算的指導性，提高資源配置決策質(zhì)量與資源配置效率；加強信息科技預(yù)算與業(yè)務(wù)經(jīng)營計劃的一致性，健全信息科技預(yù)算管理與執(zhí)行體系，完善預(yù)算編制、調(diào)整和審批流程，提高信息科技預(yù)算的科學性、及時性

24、、準確性。增強成本效益意識，提高信息科技成本控制水平。通過對信息科技資源使用情況分析，從業(yè)務(wù)價值、信息科技成本收益等維度評估信息科技資源使用效率，合理分攤信息科技成本，逐步建立績效考核評價機制。加強信息科技資源的統(tǒng)籌協(xié)調(diào)，持續(xù)、深入整合、挖掘信息科技資源，提高資源使用效率。積極探索建立行業(yè)協(xié)作與互助機制，加強資源共享。探索建立信息科技產(chǎn)品和服務(wù)采購行業(yè)聯(lián)盟，提高采購透明度，降低采購成本。 第五章 完善信息科技管理體系建設(shè)“十二五”時期，城商行應(yīng)高度重視信息科技風險管理體系建設(shè)，以確保銀行信息系統(tǒng)安全穩(wěn)定運行為目標，加強信息科技風險管理，加強基礎(chǔ)設(shè)施、信息安全與應(yīng)急管理體系建設(shè)，提高開發(fā)與運行維

25、護管理能力，有效防范外包風險，為保障業(yè)務(wù)可持續(xù)發(fā)展奠定堅實基礎(chǔ)。第一節(jié) 加強信息科技風險管理體系建設(shè)，完善內(nèi)控機制明確并落實董事會以及高級管理層的信息科技風險管理責任，在全面風險管理框架下，制定與銀行總體業(yè)務(wù)規(guī)劃和發(fā)展模式相適應(yīng)的信息科技風險管理策略及實施路線，構(gòu)建覆蓋信息科技風險主要領(lǐng)域的管理制度體系；加強信息科技風險管理企業(yè)文化建設(shè)，不斷提高全員的信息科技風險防范意識。落實信息科技風險管理職能部門工作職責，配備專職信息科技風險管理人員；逐步建立和完善信息科技風險管理流程，推進管理制度和管理流程的實施，建立制度評估、修訂機制，逐步提升對信息科技風險的識別、計量、監(jiān)測和控制能力。健全信息科技審

26、計監(jiān)督機制，明確內(nèi)部審計部門信息科技審計職責，配置具備專業(yè)技能的審計人員，制定信息科技審計制度和流程，開展信息科技全面審計和重要領(lǐng)域?qū)ｍ棇徲?。加強審計整改落實，提高?nèi)控機制的有效性和管理制度的執(zhí)行力。第二節(jié) 加強基礎(chǔ)設(shè)施建設(shè)，建立安全穩(wěn)定的生產(chǎn)環(huán)境基于業(yè)務(wù)發(fā)展戰(zhàn)略，以安全可靠、標準規(guī)范、具有較好的擴展能力為原則，推動數(shù)據(jù)中心的規(guī)劃和建設(shè)；科學設(shè)計數(shù)據(jù)中心建設(shè)規(guī)模和容量，綜合考慮地理位置、環(huán)境等綜合因素，合理規(guī)劃運行環(huán)境；遵循數(shù)據(jù)中心相關(guān)設(shè)計標準與規(guī)范，支持業(yè)務(wù)中長期發(fā)展需要。重點加強供電、通訊、消防、機房空調(diào)等關(guān)鍵基礎(chǔ)設(shè)施的規(guī)劃建設(shè)；合理劃分機房區(qū)域，冗余配置通信線路、供配電設(shè)施、機房專用空調(diào)

27、等關(guān)鍵設(shè)備，消除單點隱患；有效配備不間斷電源、應(yīng)急發(fā)電設(shè)施，滿足連續(xù)運行需要；建立消防等環(huán)境預(yù)警監(jiān)測體系，保障基礎(chǔ)設(shè)施安全；積極探索運用綠色節(jié)能技術(shù)，降低數(shù)據(jù)中心能耗。應(yīng)用成熟的技術(shù)解決方案和軟硬件產(chǎn)品，加強基礎(chǔ)架構(gòu)規(guī)劃建設(shè)；制定操作系統(tǒng)、數(shù)據(jù)庫和中間件等技術(shù)實施標準，提高管理標準化水平，降低開發(fā)和維護的復雜度；科學規(guī)劃和設(shè)計服務(wù)器、存儲、數(shù)據(jù)庫等性能和容量，滿足業(yè)務(wù)增長需要；合理運用設(shè)備冗余和集群等技術(shù)手段，積極探索運用邏輯分區(qū)、虛擬化、集中存儲等技術(shù)，實現(xiàn)系統(tǒng)的快速部署和資源按需分配；加強軟件正版化管理，構(gòu)建安全、穩(wěn)定的軟件使用環(huán)境。 加強網(wǎng)絡(luò)規(guī)劃建設(shè)，參照功能模塊化、結(jié)構(gòu)層次化模式，提升

28、網(wǎng)絡(luò)架構(gòu)的統(tǒng)一性、安全性和可擴展性；建立網(wǎng)絡(luò)安全運行標準和管理規(guī)范，健全網(wǎng)絡(luò)運行日常監(jiān)測、檢查、評估和改進機制；建立網(wǎng)絡(luò)安全訪問控制機制，合理劃分安全區(qū)域與安全等級，采取相應(yīng)的網(wǎng)絡(luò)安全策略，強化網(wǎng)絡(luò)的整體安全性。加強與內(nèi)部分支機構(gòu)、外部網(wǎng)絡(luò)互聯(lián)的安全隔離與控制，重點防范網(wǎng)絡(luò)外部入侵和攻擊。第三節(jié) 規(guī)范開發(fā)流程管理，完善項目管理機制加強信息科技項目管理的規(guī)范化、流程化，建立覆蓋信息科技項目立項、需求分析、設(shè)計、開發(fā)、測試、上線、驗收、后評價等全過程的管理體系，明確項目實施過程中各相關(guān)部門職責；規(guī)范信息科技項目立項工作，重點加強立項過程中的可行性分析與評估；建立業(yè)務(wù)部門與信息科技部門的需求溝通機制

29、，重點加強業(yè)務(wù)需求分析和評審工作；建立信息科技項目測試規(guī)范、標準和流程，重點加強系統(tǒng)集成測試和用戶測試；強化信息安全檢查和監(jiān)測機制，重點加強關(guān)鍵業(yè)務(wù)系統(tǒng)與核心模塊的代碼審查和安全測試。建立軟件質(zhì)量控制標準，規(guī)范質(zhì)量管理體系，明確質(zhì)量控制方法和流程；規(guī)范開發(fā)技術(shù)標準體系，加強技術(shù)標準在開發(fā)過程中推廣使用力度，進一步提高開發(fā)管理的標準化、規(guī)范化程度；建立軟件產(chǎn)品測試質(zhì)量保證體系，重點加強需求分析和測試階段的質(zhì)量管理與流程控制，建立和完善測試環(huán)境及產(chǎn)品質(zhì)量測試流程，加強性能和壓力測試的深度和覆蓋面，逐步提高自動化測試水平。第四節(jié) 加強運維管理，保障信息系統(tǒng)安全穩(wěn)定運行健全管理制度，持續(xù)優(yōu)化管理流程，

30、不斷提升信息科技服務(wù)水平；加強運行統(tǒng)一調(diào)度管理，建立健全事件管理、問題管理、變更管理等運行管理流程，逐步實施配置管理；規(guī)范系統(tǒng)投產(chǎn)和變更管理程序，加強緊急變更管理，控制生產(chǎn)變更頻率；不斷提高信息系統(tǒng)運行穩(wěn)定性，不斷提高關(guān)鍵業(yè)務(wù)系統(tǒng)可用率。健全信息科技運維安全管理機制，加強崗位管理，強化關(guān)鍵崗位制約機制，落實運行與開發(fā)崗位人員分離原則。加強審計監(jiān)督，定期開展安全檢查，推進訪問控制執(zhí)行力度，加強日志管理與操作行為審計。建設(shè)一體化監(jiān)控平臺，逐步實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件和應(yīng)用系統(tǒng)等集中監(jiān)控；建立、完善相關(guān)性能監(jiān)控指標，提高預(yù)警、響應(yīng)與處置能力。逐步建立生產(chǎn)運行量化考核與評價機制，推動服務(wù)

31、水平不斷提升。第五節(jié) 健全信息安全管理體系，加強重點領(lǐng)域信息安全管理加強信息安全體系建設(shè)，建立安全管理組織機構(gòu)，明確管理職責，建立專職信息安全人員隊伍，落實信息安全人力資源保障；結(jié)合信息系統(tǒng)安全等級保護要求，制定信息安全策略；健全信息安全管理制度，規(guī)范安全管理流程，加強貫穿信息系統(tǒng)生命周期的信息安全管理；利用先進、成熟的安全產(chǎn)品和技術(shù)手段，在防御、監(jiān)測、預(yù)警、響應(yīng)、恢復等層面提高信息安全管理能力，提升信息安全保障體系的健壯性和有效性；加強基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全管理，嚴格執(zhí)行安全區(qū)域訪問控制；加強生產(chǎn)系統(tǒng)操作監(jiān)控和日志審計，逐步開展系統(tǒng)投產(chǎn)前、后的安全測試與評估，加強代碼安全審核，及時發(fā)現(xiàn)和處置安全

32、隱患。加強電子銀行、銀行卡等重要信息系統(tǒng)安全管理，逐步建立交易監(jiān)測機制，采取多渠道、多因素認證和第三方協(xié)作等措施，有效防范偽造、欺詐、篡改交易等違法行為；提高安全基礎(chǔ)設(shè)施有效性，嚴格管理密鑰和自助設(shè)備，保障交易環(huán)境安全；推進金融IC卡建設(shè)，增強銀行卡技術(shù)安全性。加強數(shù)據(jù)、文檔安全管理，逐步建立信息資產(chǎn)分類分級保護機制；完善敏感信息存儲和傳輸?shù)雀唢L險環(huán)節(jié)的控制措施，建立嚴格的數(shù)據(jù)、文檔訪問授權(quán)、審批機制；對用于測試的生產(chǎn)數(shù)據(jù)要嚴格執(zhí)行脫敏處理機制，嚴格防止敏感數(shù)據(jù)泄露。逐步建立信息安全評價體系，量化信息安全評價指標，綜合評定信息安全工作水平，促進信息安全工作持續(xù)改進。第六節(jié) 完善應(yīng)急管理體系，提

33、升業(yè)務(wù)連續(xù)性水平統(tǒng)籌建立全行統(tǒng)一的應(yīng)急管理體系，確立應(yīng)急管理組織架構(gòu)，明確董事會及高級管理層的管理責任；落實牽頭部門，統(tǒng)籌推進指揮體系、預(yù)警機制、處置程序、保障措施、管理制度、流程規(guī)范和資源保障等應(yīng)急管理建設(shè)工作。加強業(yè)務(wù)影響分析，逐步制定科學的業(yè)務(wù)分級分類標準、業(yè)務(wù)恢復目標，合理配置應(yīng)急資源；梳理完善業(yè)務(wù)與重要信息系統(tǒng)應(yīng)急預(yù)案，合理設(shè)計應(yīng)急場景，細化處置措施，提升預(yù)案的可操作性，逐步實現(xiàn)應(yīng)急預(yù)案的全覆蓋；定期評估、修訂應(yīng)急預(yù)案，確保應(yīng)急預(yù)案有效性；促進業(yè)務(wù)部門與信息科技部門應(yīng)急聯(lián)動機制建設(shè)，加強部門間應(yīng)急協(xié)作，探索建立與公共事業(yè)機構(gòu)、金融同業(yè)機構(gòu)的應(yīng)急協(xié)作機制，提升應(yīng)急處置綜合能力。推進災(zāi)備

34、體系建設(shè)工作，在數(shù)據(jù)級災(zāi)備基礎(chǔ)上，逐步推進應(yīng)用級災(zāi)備建設(shè)；逐步擴大應(yīng)用系統(tǒng)災(zāi)備覆蓋范圍，實現(xiàn)對重要信息系統(tǒng)基本覆蓋。積極探索聯(lián)合共建、外包以及多功能復用等多種災(zāi)備中心建設(shè)模式，降低災(zāi)備建設(shè)與維護成本，有效提高災(zāi)難恢復能力。建立常態(tài)化的應(yīng)急演練機制，重點開展關(guān)鍵業(yè)務(wù)系統(tǒng)及重要基礎(chǔ)設(shè)施的應(yīng)急演練，演練范圍逐步向外圍系統(tǒng)、多應(yīng)用聯(lián)動擴展，逐步提高以真實業(yè)務(wù)接管為目標的切換演練實戰(zhàn)能力。推動開展業(yè)務(wù)連續(xù)性管理體系規(guī)劃和建設(shè)工作，明確建設(shè)策略及路徑，逐步建立全行層面的業(yè)務(wù)連續(xù)性管理體系。第七節(jié) 加強信息科技外包管理，防范重點領(lǐng)域外包風險制定信息科技外包管理策略，明確信息科技外包范圍；處理好外包和自主研發(fā)

35、的關(guān)系；通過外包積極引進新技術(shù)、新產(chǎn)品，同時加強自主研發(fā)能力的培養(yǎng)，強化知識轉(zhuǎn)移，提高對關(guān)鍵技術(shù)與重要信息系統(tǒng)的管理與控制能力；建立和完善外包管理制度，規(guī)范供應(yīng)商選擇、合同簽署、日常管理和變更等外包全過程管理，做好外包管理與項目管理、質(zhì)量管理、信息安全管理及合同管理等制度的銜接。 加強外包風險管理，建立外包合同合規(guī)審查機制，明確知識產(chǎn)權(quán)歸屬，防范法律風險；建立有效的外包服務(wù)控制流程，嚴格控制外包實施過程中的操作安全、信息安全、人員變更等風險；制定外包供應(yīng)商準入標準，建立資格審查制度；開展外包服務(wù)審計，建立外包服務(wù)質(zhì)量評價機制，控制外包服務(wù)質(zhì)量；制定外包服務(wù)應(yīng)急預(yù)案，防范供應(yīng)商服務(wù)中斷或異常退出

36、風險。第六章 深化信息科技應(yīng)用“十二五”時期，城商行應(yīng)大力提高信息科技應(yīng)用能力，完善核心應(yīng)用系統(tǒng)、電子銀行、管理信息系統(tǒng)和風險管理基礎(chǔ)設(shè)施建設(shè)，支持全面風險管理體系建設(shè)，提高業(yè)務(wù)創(chuàng)新和金融服務(wù)能力。第一節(jié) 加強核心應(yīng)用系統(tǒng)建設(shè)，提升客戶服務(wù)水平與市場響應(yīng)能力加強全行應(yīng)用體系規(guī)劃，規(guī)范技術(shù)標準，參照分層、松耦合架構(gòu)模式，采用參數(shù)化、組件化架構(gòu)設(shè)計方法，以業(yè)務(wù)為驅(qū)動、客戶為中心、產(chǎn)品為支撐，支持流程銀行建設(shè)，完善應(yīng)用架構(gòu)，規(guī)范服務(wù)接口標準，逐步實現(xiàn)產(chǎn)品靈活定制和多渠道的快速發(fā)布；規(guī)范應(yīng)用架構(gòu)安全設(shè)計，滿足交易安全、統(tǒng)一身份鑒別以及訪問控制等安全要求。整合分布在各應(yīng)用系統(tǒng)的客戶信息，逐步形成全行統(tǒng)一

37、的客戶信息視圖，建設(shè)操作型客戶信息管理系統(tǒng)。逐步探索建立全行統(tǒng)一的客戶營銷和客戶關(guān)系分析管理平臺，深度挖掘客戶數(shù)據(jù)資源，實現(xiàn)差異化客戶營銷，提升金融服務(wù)效率和服務(wù)水平。加強渠道資源統(tǒng)一規(guī)劃與整合，集成柜面、網(wǎng)上銀行、電話銀行、自助設(shè)備等渠道類應(yīng)用服務(wù)，建設(shè)統(tǒng)一接入平臺，實現(xiàn)報文類型、交易路由等渠道功能的靈活定制；統(tǒng)一各渠道的業(yè)務(wù)通用功能，建立跨渠道的產(chǎn)品統(tǒng)一部署和發(fā)布機制，實現(xiàn)一致的客戶體驗，提高客戶滿意度。統(tǒng)一規(guī)劃全行內(nèi)容管理和影像系統(tǒng)建設(shè)，逐步推動信貸管理、事后監(jiān)督、集中授權(quán)等管理流程中非結(jié)構(gòu)化數(shù)據(jù)信息管理，實現(xiàn)流程管理的標準化和自動化，提高業(yè)務(wù)處理效率。推進業(yè)務(wù)后臺集中處理，簡化柜面業(yè)務(wù)

38、操作流程，提高前臺業(yè)務(wù)處理效率，有效落實審批和授權(quán)機制，提升操作風險集中管控能力。第二節(jié) 推進電子銀行建設(shè)，增強電子銀行創(chuàng)新服務(wù)能力充分認識網(wǎng)上銀行等電子渠道對業(yè)務(wù)發(fā)展的推動作用，根據(jù)業(yè)務(wù)發(fā)展戰(zhàn)略，堅持安全先行，采用成熟技術(shù)推進電子銀行系統(tǒng)建設(shè)。深化技術(shù)創(chuàng)新，積極擴充網(wǎng)上銀行服務(wù)內(nèi)容，逐步增加投資理財、轉(zhuǎn)賬支付、賬戶與財務(wù)管理等個人網(wǎng)銀業(yè)務(wù)功能，提供豐富的個性化增值金融服務(wù)；擴展企業(yè)網(wǎng)銀功能，深度挖掘地域經(jīng)濟特色需求，為企業(yè)提供特色金融服務(wù)，提升企業(yè)資金運營與盈利能力。以多因素、多渠道認證等手段強化雙向身份識別，提升交易安全能力，為客戶營造安全的網(wǎng)銀使用環(huán)境。持續(xù)優(yōu)化網(wǎng)上銀行系統(tǒng)界面和交互功能，提升客戶體驗。穩(wěn)步推進電話銀行系統(tǒng)應(yīng)用，建設(shè)集成自助語音系統(tǒng)、坐席應(yīng)用、自動傳真、工單流轉(zhuǎn)、知識庫和現(xiàn)場監(jiān)控等功能的呼叫中心，推進電話委托交易和人工營銷服務(wù)，為客戶提供724小時自動語音和人工語音服務(wù)；在提供轉(zhuǎn)賬、查詢等基本銀行服務(wù)基礎(chǔ)上，積極發(fā)展電話銀行渠道特色業(yè)務(wù)。打造特色服務(wù)平臺，積極推進與地方政府部門、公用事業(yè)單位和中小企業(yè)的合作，拓展信息系統(tǒng)互聯(lián)渠道。積極推動多媒體終端等非現(xiàn)金類自助設(shè)備的發(fā)展，不斷擴充自助