商業(yè)銀行信息科技風(fēng)險管理制度(英文版)

1、 HYPERLINK Guiddeliiness onn thhe RRiskk Maanaggemeent ofCommmercciall Baankss Innforrmattionn TeechnnoloogyChappterr IGGeneerall PrroviisioonsPurssuannt tto tthe Laww off thhe PPeopples RRepuubliic oof CChinna oon BBankkingg Reegullatiion andd Suuperrvissionn, tthe Laww off thhe PPeopples RRepuubli

2、ic oof CChinna oon CCommmercciall Baankss, tthe Reggulaatioons of thee Peeoplles RRepuubliic oof CChinna oon AAdmiinisstraatioon oof FForeeignn-fuundeed BBankks, andd ottherr apppliicabble lawws aand reggulaatioons, thhe GGuiddeliiness onn thhe RRiskk Maanaggemeent of Commmerrciaal BBankks Innforrma

3、ttionn Teechnnoloogy (heereiinaffterr reeferrredd too ass thhe GGuiddeliiness) iis fformmulaatedd.The Guiidellinees aapplly tto aall thee coommeerciial bannks leggallly iincoorpooratted witthinn thhe tterrritoory of thee Peeoplles RRepuubliic oof CChinna.The Guiidellinees maay aapplly tto ootheer bb

4、ankkingg innstiituttionns iinclludiing pollicyy baankss, rruraal ccoopperaativve bbankks, urbban creeditt cooopeerattivees, rurral creeditt cooopeerattivees, villlagge bbankks, loaan ccomppaniies, fiinannciaal aasseet mmanaagemmentt coompaaniees, truust andd innvesstmeent commpanniess, ffinaancee fi

5、irmss, ffinaanciial leaasinng ccomppaniies, auutommobiile finnancciall coompaaniees aand monney brookerrs.The terrm“infformmatiion tecchnoologgy” sttateed iin tthe Guiidellinees sshalll rrefeer tto tthe sysstemm buuiltt wiith commputter, coommuuniccatiion andd sooftwwaree teechnnoloogiees, andd emmp

6、looyedd byy coommeerciial bannks to hanndlee buusinnesss trranssacttionns, opeerattionn maanaggemeent, annd iinteernaal ccommmuniicattionn, ccolllaboorattivee woork andd coontrrolss. TThe terrm aalsoo inncluude IT govvernnancce, IT orgganiizattionn sttruccturre aand IT polliciies andd prroceedurres.

7、The rissk oof iinfoormaatioon ttechhnollogyy reeferrs tto tthe opeerattionnal rissk, leggal rissk aand repputaatioon rriskk thhat aree caauseed bby nnatuurall faactoor, humman facctorr, ttechhnollogiicall looophholees oor mmanaagemmentt deeficciennciees wwhenn ussingg innforrmattionn teechnnoloogy.T

8、he objjecttivee off innforrmattionn syysteem rriskk maanaggemeent is to esttabllishh ann efffecctivve mmechhaniism thaat ccan ideentiify, meeasuure, moonittor, annd cconttroll thhe rriskks oof ccommmercciall baankss innforrmattionn syysteem, enssuree daata inttegrrityy, aavaiilabbiliity, coonfiidenn

9、tiaalitty aand connsisstenncy, prroviide thee reelevvantt eaarlyy waarniing, annd ttherrebyy ennablle ccommmercciall baankss buusinnesss innnovvatiionss, uupliift theeir cappabiilitty iin uutilliziing infformmatiion tecchnoologgy, impprovve ttheiir ccoree coompeetittiveenesss aand cappaciity forr su

10、ustaainaablee deevellopmmentt.Chappterr IIIIT govvernnancceThe leggal reppressenttatiive of commmerrciaal bbankk shhoulld bbe rrespponssiblle tto eensuure commpliiancce oof tthiss guuideelinne. The boaard of dirrecttorss off coommeerciial bannks shoouldd haave thee foolloowinng rrespponssibiilitties

11、s wiith resspecct tto tthe mannageemennt oof iinfoormaatioon ssysttemss:Impllemeentiing andd coompllyinng wwithh thhe nnatiionaal llawss, rreguulattionns aand tecchniicall sttanddardds pperttainningg too thhe mmanaagemmentt off innforrmattionn syysteems, ass weell as thee reegullatoory reqquirremeen

12、tss seet bby tthe Chiina Bannkinng RReguulattoryy Coommiissiion (heereiinaffterr reeferrredd too ass thhe“CBRRC”);Periiodiicallly revviewwingg thhe aaliggnmeent of IT strrateegy witth tthe oveeralll bbusiinesss sstraateggiess annd ssignnifiicannt ppoliiciees oof tthe bannk, asssesssingg thhe ooverra

13、lll efffecctivveneess andd effficcienncy of thee ITT orrgannizaatioon.Apprroviing IT rissk mmanaagemmentt sttrattegiies andd poolicciess, uundeersttanddingg thhe mmajoor IIT rriskks iinvoolveed, setttinng aacceeptaablee leevells ffor theese rissks, annd eensuurinng tthe impplemmenttatiion of thee me

14、easuuress neecesssarry tto iidenntiffy, meaasurre, monnitoor aand conntrool tthesse rriskks. Setttingg hiigh ethhicaal aand inttegrrityy sttanddardds, andd esstabblisshinng aa cuultuure witthinn thhe bbankk thhat empphassizees aand demmonsstraatess too alll lleveels of perrsonnnell thhe iimpoortaanc

15、ee off ITT riisk mannageemennt. Estaabliishiing an IT steeeriing commmittteee whhichh coonsiistss off reepreesenntattivees ffromm seenioor mmanaagemmentt, tthe IT orgganiizattionn, aand majjor bussineess uniits, too ovverssee theese ressponnsibbiliitiees aand repportt thhe eeffeectiivennesss off stt

16、rattegiic IIT pplannninng, thee ITT buudgeet aand acttuall exxpennditturee, aand thee ovveraall IT perrforrmannce to the bboarrd oof ddireectoors andd seenioor mmanaagemmentt peerioodiccallly. Estaabliishiing IT govvernnancce sstruuctuure, prropeer ssegrregaatioon oof ddutyy, ccleaar rrolee annd rre

17、spponssibiilitty, maiintaainiing cheeck andd baalanncess annd ccleaar rrepoortiing rellatiionsshipp. SStreengtthenningg ITT prrofeessiionaal sstafff bby ddeveeloppingg inncenntivve pproggramm.Ensuurinng tthatt thheree iss ann efffecctivve iinteernaal aaudiit oof tthe IT rissk mmanaagemmentt caarriie

18、d outt byy opperaatioonallly inddepeendeent, weell-traaineed aand quaaliffiedd sttafff. Thee innterrnall auuditt reeporrt sshouuld be subbmitttedd diirecctlyy too thhe IIT aaudiit ccommmitttee;Submmitttingg ann annnuaal rrepoort to thee CBBRC andd itts llocaal ooffiicess onn innforrmattionn syysteem

19、 rriskk maanaggemeent thaat hhas beeen rreviieweed aand appprovved by thee booardd off diirecctorrs ;Ensuurinng tthe appproppriaatinng ffunddingg neecesssarry ffor IT rissk mmanaagemmentt woorkss;Ensuurinng tthatt alll eemplloyeees of thee baank fullly unddersstannd aand adhheree too thhe IIT rriskk

20、 maanaggemeent polliciies andd prroceedurres appprovved by thee booardd off diirecctorrs aand thee seenioor mmanaagemmentt, aand aree prroviidedd wiith perrtinnentt trrainningg.Ensuurinng ccusttomeer iinfoormaatioon, finnancciall innforrmattionn, pprodductt innforrmattionn annd ccoree baankiing syss

21、temm off thhe llegaal eentiity aree heeld inddepeendeentlly wwithhin thee teerriitorry, andd coompllyinng wwithh thhe rreguulattoryy onn-siite exaaminnatiion reqquirremeentss off CBBRC andd guuarddingg aggainnst crooss-borrderr riisk.Repoortiing in a ttimeely mannnerr too thhe CCBRCC annd iits locca

22、l offficees aany serriouus iinciidennt oof iinfoormaatioon ssysttemss orr unnexppectted eveent, annd qquiccklyy reespoond to it in acccorddancce wwithh thhe cconttinggenccy pplann;Coopperaatinng wwithh thhe CCBRCC annd iits loccal offficees iin tthe suppervvisoory insspecctioon oof tthe rissk mmanaa

23、gemmentt off innforrmattionn syysteems, annd eensuure thaat ssupeerviisorry oopinnionns aare folllowwed up; anndPerfformmingg ottherr reelatted IT rissk mmanaagemmentt taaskss.The heaad oof tthe IT orgganiizattionn, ccommmonlly kknowwn aas tthe Chiief Infformmatiion Offficeer (CIOO) sshouuld repport

24、t diirecctlyy too thhe ppressideent. Rooless annd rrespponssibiilittiess off thhe CCIO shoouldd inncluude thee foolloowinng:Playyingg a dirrectt roole in keyy deecissionns ffor thee buusinnesss deevellopmmentt innvollvinng tthe usee off ITT inn thhe bbankk;The CIOO shhoulld eensuure thaat iinfoormaa

25、tioon ssysttemss meeet thee neeedss off thhe bbankk, aand IT strrateegiees, in parrticculaar iinfoormaatioon ssysttem devveloopmeent strrateegiees, commplyy wiith thee ovveraall bussineess strrateegiees aand IT rissk mmanaagemmentt poolicciess off thhe bbankk;The CIOO shhoulld aalsoo bee reespoonsii

26、blee foor tthe esttabllishhmennt oof aan eeffeectiive andd effficciennt IIT oorgaanizzatiion to carrry outt thhe IIT ffuncctioons of thee baank. TThesse iinclludee thhe IIT bbudgget andd exxpennditturee, IIT rriskk maanaggemeent, ITT poolicciess, sstanndarrds andd prroceedurres, ITT innterrnall coon

27、trrolss, pproffesssionnal devveloopmeent, ITT prrojeect iniitiaativves, ITT prrojeect mannageemennt, infformmatiion sysstemm maainttenaancee annd uupgrradee, IIT ooperratiionss, IIT iinfrrasttruccturre, Infformmatiion seccuriity, ddisaasteer rrecooverry pplann (DDRP), IIT ooutssourrcinng, andd innfo

28、rrmattionn syysteem rretiiremmentt;Ensuurinng tthe efffecttiveenesss oof IIT rriskk maanaggemeent thrrougghouut tthe orgganiizattionn inncluudinng aall braanchhes.Orgaanizzingg prrofeessiionaal ttraiininngs to impprovve ttechhniccal prooficcienncy of staaff.Perfformmingg ottherr reelatted IT rissk m

29、manaagemmentt taaskss.Commmercciall baankss shhoulld eensuure thaat aa cllearr deefinnitiion of thee ITT orrgannizaatioon sstruuctuure andd doocummenttatiion of alll joob ddesccripptioons of impporttantt poosittionns aare alwwayss inn pllacee annd uupdaatedd inn a timmelyy maanneer. Staaff ineaach p

30、ossitiion shoouldd meeet rellevaant reqquirremeentss onn prrofeessiionaal sskillls andd knnowlledgge. Thee foolloowinng rriskk miitiggatiion meaasurres shoouldd bee inncorrporrateed iin tthe mannageemennt pproggramm off reelatted staaff:Veriificcatiion of perrsonnal infformmatiion inccluddingg coonf

31、iirmaatioon oof pperssonaal iidenntifficaatioon iissuued by govvernnmennt, acaademmic creedenntiaals, prriorr woork expperiiencce, proofesssioonall quualiificcatiionss;Ensuurinng tthatt ITT sttafff caan mmeett thhe rrequuireed pproffesssionnal ethhicss byy chheckkingg chharaacteer rrefeerennce; Sign

32、ningg off aggreeemennts witth eemplloyeees aboout unddersstanndinng oof IIT ppoliiciees aand guiidellinees, nonn-diiscllosuure of connfiddenttiall innforrmattionn, aauthhoriizedd usse oof iinfoormaatioon ssysttemss, aand adhhereencee too ITT poolicciess annd pprocceduuress; aandEvalluattionn off thh

33、e rriskk off loosinng kkey IT perrsonnnell, eespeeciaallyy duurinng mmajoor IIT ddeveeloppmennt sstagge oor iin aa peeriood oof uunsttablle IIT ooperratiionss, aand thee reelevvantt riisk mittigaatioon mmeassurees ssuchh ass sttafff baackuup aarraangeemennt aand staaff succcesssioon pplann.Commmercc

34、iall baankss shhoulld eestaabliish or dessignnatee a parrticculaar ddepaartmmentt foor IIT rriskk maanaggemeent. IIt sshouuld repportt diirecctlyy too thhe CCIO andd thhe CChieef RRiskk Offficcer (orr riisk mannageemennt ccommmitttee), sservve aas aa meembeer oof tthe IT inccideent ressponnse teaam,

35、 andd bee reespoonsiiblee foor ccoorrdinnatiing thee esstabblisshmeent of polliciies reggarddingg ITT riisk mannageemennt, esppeciiallly tthe areeas of infformmatiion seccuriity, BCCP, andd coomplliannce witth tthe CBRRC rreguulattionns, advvisiing thee buusinnesss deeparrtmeentss annd IIT ddepaartm

36、mentt inn immpleemenntinng tthesse ppoliiciees, prooviddingg reelevvantt coomplliannce infformmatiion, coonduuctiing on-goiing asssesssmennt oof IIT rriskks, andd ennsurringg thhe ffolllow-up of remmediiatiion advvicee, mmoniitorringg annd eescaalattingg maanaggemeent of IT thrreatts aand nonn-coomp

37、lliannce eveentss. Commmercciall baankss shhoulld eestaabliish a sppeciial IT auddit rolle aand ressponnsibbiliity witthinn innterrnall auuditt fuuncttionn, wwhicch sshouuld putt inn pllacee ITT auuditt poolicciess annd pprocceduuress, ddeveelopp annd eexeccutee ITT auuditt pllan.Commmercciall baank

38、ss shhoulld pput in plaace polliciies andd prroceedurres to prootecct iinteelleectuual prooperrty rigghtssacccorddingg too laaws reggarddingg inntelllecctuaal ppropperttiess, eensuure purrchaase of leggitiimatte ssofttwarre aand harrdwaare, prreveentiion of thee usse oof ppiraatedd sooftwwaree, aand

39、 thee prroteectiion of thee prroprriettaryy riightts oof IIT pprodductts ddeveelopped by thee baank, annd eensuure thaat tthesse aare fullly unddersstoood aand commpliied by alll emmplooyeees. Commmercciall baankss shhoulld, in acccorddancce wwithh reelevvantt laaws andd reegullatiionss, ddiscclosse

40、 tthe rissk ppro theeir IT norrmattiveely andd tiimelly.Chappterr IIIIITT Riisk MannageemenntCommmercciall baankss shhoulld fformmulaate an IT strrateegy thhat aliignss wiith thee ovveraall bussineess plaan oof tthe bannk, IT rissk aasseessmmentt pllan andd ann ITT opperaatioonall pllan thaat ccan e

41、nssuree addequuatee fiinannciaal rresoourcces andd huumann reesouurcees tto mmainntaiin aa sttablle aand seccuree ITT ennvirronmmentt.Commmercciall baankss shhoulld pput in plaace a ccompprehhenssivee seet oof IIT rriskk maanaggemeent polliciies thaat iinclludee thhe ffolllowiing areeas:Infoormaatio

42、on ssecuuritty cclasssifficaatioon ppoliicySysttem deveeloppmennt, tesstinng aand maiinteenannce pollicyyIT ooperratiion andd mainntennancce ppoliicyAcceess conttroll poliicyPhyssicaal ssecuuritty ppoliicy Perssonnnel secuuritty ppoliicyBusiinesss CConttinuuityy Pllannningg annd CCrissis andd Emmerg

43、genccy MManaagemmentt procceduureCommmercciall baankss shhoulld mmainntaiin aan oongooingg riisk ideentiificcatiion andd asssesssmeent proocesss tthatt alllowws tthe bannk tto ppinppoinnt tthe areeas of conncerrn iin iits infformmatiion sysstemms, asssesss thhe ppoteentiial imppactt off thhe rriskks

44、 oon iits bussineess, raank thee riiskss, aand priioriitizze mmitiigattionn acctioons andd thhe nneceessaary ressourrcess (iinclludiing outtsouurciing venndorrs, prooducct vvenddorss annd sservvicee veendoors).Commmercciall baankss shhoulld iimpllemeent a ccompprehhenssivee seet oof rriskk miitiggat

45、iion meaasurres commplyyingg wiith thee ITT riisk mannageemennt ppoliiciees aand commmennsurratee wiith thee riisk asssesssmennt oof tthe bannk. Thhesee miitiggatiion meaasurres shoouldd inncluude:A seet oof ccleaarlyy doocummentted IT rissk ppoliiciees, tecchniicall sttanddardds, andd opperaatioona

46、ll prroceedurres, whhichh shhoulld bbe ccommmuniicatted to thee sttafff frrequuenttly andd keept up to datte iin aa tiimelly mmannner;Areaas oof ppoteentiial connfliictss off innterrestt shhoulld bbe iidenntiffiedd, mminiimizzed, annd ssubjjectt too caarefful, inndeppenddentt moonittoriing. AAlsoo i

47、tt reequiiress thhat an appproppriaate conntrool sstruuctuure is sett upp too faacillitaate cheeckss annd bbalaancees, witth cconttroll acctivvitiies deffineed aat eeverry bbusiinesss lleveel, whiich shoouldd inncluude:Top levvel revviewws; Conttrolls ooverr phhysiicall annd llogiicall acccesss tto

48、ddataa annd ssysttem; Acceess graanteed oon“neeed tto kknoww”andd“minnimuum aauthhoriizattionn” baasiss;A syysteem oof aapprrovaals andd auuthoorizzatiionss; anndA syysteem oof vveriificcatiion andd reeconncilliattionn.Commmercciall baankss shhoulld pput in plaace a sset of onggoinng rriskk meeasuur

49、emmentt annd mmoniitorringg meechaanissms, whhichh shhoulld iinclludeePre andd poost-impplemmenttatiion revvieww off ITT prrojeectss;Bencchmaarkss foor pperiiodiic rreviiew of sysstemm peerfoormaancee;Repoortss off innciddentts aand commplaaintts aabouut IIT sservvicees;Repoortss off innterrnall auu

50、ditt, eexteernaal aaudiit, andd isssuees iidenntiffiedd byy CBBRC; anndArraangeemennt wwithh veendoors andd buusinnesss unnitss foor pperiiodiic rreviiew of serrvicce lleveel aagreeemeentss (SSLAss).The posssibble imppactt off neew ddeveeloppmennt oof ttechhnollogyy annd nnew thrreatts tto ssofttwar

51、re ddeplloyeed.Timeely revvieww off opperaatioonall riisk andd maanaggemeent conntrools in opeerattionn arrea.Asseess thee riisk proo ITT ouutsoourccingg prrojeectss peerioodiccallly.Chinnesee coommeerciial bannks opeerattingg offfshhoree annd tthe forreiggn ccommmercciall baankss inn Chhinaa shhoul

52、ld ccompply witth tthe rellevaant reggulaatorry rrequuireemennts on infformmatiion sysstemms iin aand outtsidde tthe Peooplees RRepuubliic oof CChinna.Chappterr IVVInfformmatiion SeccuriityInfoormaatioon ttechhnollogyy deeparrtmeent of commmerrciaal bbankks sshouuld oveerseee tthe esttabllishhmennt

53、oof aan iinfoormaatioon cclasssifficaatioon aand prootecctioon sscheeme. AAll empployyeess off thhe bbankk shhoulld bbe mmadee awwaree off thhe iimpoortaancee off ennsurringg innforrmattionn coonfiidenntiaalitty aand proovidded witth tthe neccesssaryy trrainningg too fuullyy unnderrstaand thee innfo

54、rrmattionn prroteectiion prooceddurees wwithhin theeir ressponnsibbiliitiees.Commmercciall baankss shhoulld pput in plaace an infformmatiion seccuriity mannageemennt ffuncctioon tto ddeveelopp annd mmainntaiin aan oongooingg infoormaatioon ssecuuritty mmanaagemmentt prrogrram, prromoote infoormaatio

55、on ssecuuritty aawarreneess, addvisse ootheer IIT ffuncctioons on seccuriity isssuess, sservve aas tthe leaaderr off ITT innciddentt reespoonsee teeam, annd rrepoort thee evvaluuatiion of thee infoormaatioon ssecuuritty oof tthe bannk tto tthe IT steeeriing commmittteee peerioodiccallly. Thhe IInfoo

56、rmaatioon ssecuuritty mmanaagemmentt prrogrram shoouldd inncluude Infformmatiion seccuriity staandaardss, sstraateggy, an impplemmenttatiion plaan, andd ann onngoiing maiinteenannce plaan.Infoormaatioonsecuuritty ppoliicy shoouldd inncluude thee foolloowinng aareaas:IT ssecuuritty ppoliicy mannageem

57、enntOrgaanizzatiion infoormaatioon ssecuurittyAsseet mmanaagemmenttPerssonnnel secuurittyPhyssicaal aand enviironnmennt ssecuurittyCommmuniicattionn annd ooperratiion secuurittyAcceess conttroll annd aauthhentticaatioonAcquuireemennt,deveeloppmennt aandmmainntennancce oof iinfoormaatioon ssysttemInf

58、oormaatioon ssecuuritty eevennt mmanaagemmenttBusiinesss cconttinuuityy manaagemmenttComppliaanceeCommmercciall baankss shhoulld hhavee ann efffecctivve pproccesss too maanagge uuserr auutheentiicattionn annd aacceess conntrool. Acccesss tto ddataa annd ssysttem shoouldd bee sttricctlyy liimitted to

59、 autthorrizeed iindiividdualls wwhosse iidenntitty iis ccleaarlyy esstabblisshedd, aand theeir acttiviitiees iin tthe infformmatiion sysstemms sshouuld be limmiteed tto tthe minnimuum rrequuireed ffor theeir leggitiimatte bbusiinesss uuse. Appproopriiatee usser autthennticcatiion mecchannismm coomme

60、ensuuratte wwithh thhe cclasssifficaatioon oof iinfoormaatioon tto bbe aacceesseed sshouuld be sellectted. Tiimelly rreviiew andd reemovval of useer iidenntitty ffromm thhe ssysttem shoouldd bee immpleemenntedd whhen useer ttrannsfeers to a nnew jobb orr leeavee thhe ccommmercciall baank.Commmerccia