法人銀行業(yè)金融機構信息科技監(jiān)管達標路線圖(試行)

法人銀行業(yè)金融機構信息科技監(jiān)管達標路線圖(試行)浙江銀監(jiān)局二〇一〇年十一月目錄TOC\o"1-1"\h\z\u一、信息科技治理1二、信息科技風險管理13三、信息科技審計18四、系統(tǒng)開發(fā)及測試24五、信息科技運行29六、災難恢復與應急管理39七、外包47八、信息平安52前言伴隨著我國銀行業(yè)的迅猛開展，信息科技已成為商業(yè)銀行進行業(yè)務創(chuàng)新和實現經營戰(zhàn)略的重要手段，信息系統(tǒng)的平安性、可靠性和連續(xù)性已經直接影響到銀行業(yè)的平安和金融體系的穩(wěn)定。為了統(tǒng)一思想認識，明確目標和監(jiān)管要求，2010年4月下旬，局領導在浙江銀監(jiān)局轄內法人機構信息科技監(jiān)管聯席會議總結上提出制定我局轄內法人機構監(jiān)管達標路線圖的要求。監(jiān)管達標路線圖詳細指明商業(yè)銀行到達銀監(jiān)會信息科技風險監(jiān)管目標和要求需要完成的路徑和步驟，是今后一定時期內指導轄內法人銀行開展信息科技風險管理工作的標準和行動指南。監(jiān)管達標路線圖以銀監(jiān)會發(fā)布的各項信息科技監(jiān)管制度和管理方法為根底準繩，以銀監(jiān)會信息科技風險評估體系的控制有效性指標為立足點，為機構建立了明確的標桿和要求，指明了努力的方向，對于提高轄內中小法人銀行信息科技風險管理建設的組織性、方案性和有效性將起到重要的作用。為制定科學合理、可操作性強、符合機構自身開展需求的路線圖，路線圖的設計由商業(yè)銀行為主，充分發(fā)揮銀行的主觀能動性，由監(jiān)管部門把關，保證路線圖設計不偏離監(jiān)管部門的要求，結合商業(yè)銀行的實際情況，設計一條科學合理的路線圖。路線圖的設計思路：路線圖分為文字和表格兩大局部，文字局部概括性的描述各自領域內滿足初級、中級和高級分別需要到達的要求和目標；表格局部以銀監(jiān)會信息科技風險評級指標為根底，分別提出每個指標對應初級、中級、高級的具體要求和結果文檔。路線圖的實現不是一朝一夕之功。轄內每家機構要根據路線圖的要求，自評估后明確自身所處的位置，結合自身的實際情況，確定年度的和長期的達標的工作內容，加強監(jiān)管達標路線圖的執(zhí)行和落實。在轄內法人商業(yè)銀行有了明確的達標方案和步驟以后，每年監(jiān)管部門要同機構一起分析路線圖的完成情況、分析存在的差距與缺乏，共同制定年度的工作方案，穩(wěn)步推進轄內法人銀行機構提高信息科技風險管理水平。一、信息科技治理初級要求：制度中明確董〔理〕事會信息科技風險管理的職責。設立信息科技管理委員會，成員由高級管理層、信息科技部門和主要業(yè)務部門的代表組成。內審部門應當設立專門的崗位，負責信息科技內部審計。由獨立于信息科技的部門承當信息科技風險管理責任。根據業(yè)務開展狀況制定全行層面的信息科技戰(zhàn)略規(guī)劃及相應的IT預算投入，規(guī)劃內容全面，由董〔理〕事會審批通過。做好科技人才隊伍建設和培養(yǎng)方案，識別定義關鍵的信息科技崗位。建立信息科技管理制度，標準信息科技管理。中級要求：制度中明確董〔理〕事會信息科技風險管理的職責，并建立相關履職措施。應采取適當措施，履行信息科技管理委員會職責。設立首席信息官，可以由高管層兼任。應采取適當措施，確保內部審計部門履行信息科技審計職責。應采取適當措施，確保由獨立于信息科技的部門履行信息科技風險管理職責。根據業(yè)務開展狀況制定全行層面的信息科技戰(zhàn)略規(guī)劃，規(guī)劃內容全面，應采取適當措施確保信息科技戰(zhàn)略符合全行業(yè)務開展戰(zhàn)略，并由信息科技管理委員會審批通過。做好科技人才隊伍建設和培養(yǎng)方案，建立信息科技人才鼓勵制度，識別定義關鍵的信息科技崗位，并采取適當措施防范關鍵崗位風險。建立較為完善的信息科技管理制度，標準信息科技管理。高級要求：建立恰當的履職機制，確保董〔理〕事會能充分履行信息科技風險管理職責。應建立完善的機制，確保信息科技管理委員會能夠充分履職。應當建立相關制度，確保首席信息官能夠充分履職。應建立常態(tài)化的信息科技審計機制，確保內部審計部門能夠充分履行信息科技審計職責。應建立常態(tài)化的信息科技風險管理機制，確保獨立于信息科技的風險管理部門能夠充分履行信息科技風險管理職責。應建立完善的機制，確保信息科技戰(zhàn)略規(guī)劃內容全面，并符合全行業(yè)務開展戰(zhàn)略。應建立完善的科技人才隊伍建設和培養(yǎng)機制，建立完善的信息科技人才鼓勵制度，識別定義關鍵的信息科技崗位，并采取恰當措施防范關鍵崗位風險。建立完善的信息科技管理制度，標準信息科技管理。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔信息科技治理(GO)

信息科技治理職責GO.01董〔理〕事會信息科技風險管理職責明確銀行的董〔理〕事會是治理結構中的重要局部，其職責應當包括以下內容：1.批準重大業(yè)務戰(zhàn)略和信息科技戰(zhàn)略規(guī)劃；2.確定風險管理策略、容忍度，包括信息科技風險管理容忍度〔例如，可容忍的最大停機時間、可接受的最大損失金額等〕；3.及時向監(jiān)管機構報告本機構重大信息科技事件；4.審閱信息科技審計報告及信息科技風險評估報告；5.監(jiān)督信息科技內外審計整改的落實。6.在良好的公司治理根底上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業(yè)隊伍的建設，建立人才鼓勵機制。初級董〔理〕事會職責中應包含以下內容：

1.貫徹執(zhí)行國家有關信息科技管理的法律、法規(guī)和技術標準，落實中國銀監(jiān)會監(jiān)管要求；

2.審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務戰(zhàn)略和重大策略相一致；

3.了解主要的信息科技風險，包括信息科技建設風險、運行風險、信息平安風險等；

4.建立職責明確、報告關系清晰的信息科技治理組織結構；

5.催促內部審計部門進行信息科技風險管理審計；

6.確保信息科技風險管理工作所需資金；

7.確保及時向銀監(jiān)會及其派出機構報告本機構發(fā)生的重大信息科技事故或突發(fā)事件，并按相關預案快速響應；

8.確保相關職能部門配合銀監(jiān)會及其派出機構做好信息科技風險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改。董〔理〕事會職責說明中級董〔理〕事會職責中應包含以下內容：

1.審查批準信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務戰(zhàn)略和重大策略相一致。授權相關部門評估信息科技及其風險管理工作的總體效果和效率；

2.掌握主要的信息科技風險，確定可接受的風險級別，確保主要風險能夠被識別、監(jiān)測和控制；

3.標準職業(yè)道德行為和廉潔標準，增強內部文化建設，提高全體人員對信息科技風險管理重要性的認識；

4.建立分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業(yè)隊伍的建設，建立人才鼓勵機制；

5.確保內部審計部門進行獨立有效的信息科技風險管理審計；

6.確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓；

7.確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統(tǒng)在中國境內獨立運行，并保持最高的管理權限，符合銀監(jiān)會監(jiān)管和實施現場檢查的要求，防范跨境風險。董〔理〕事會職責說明高級董〔理〕事會職責中應包含以下內容：

1.確保內部審計部門進行獨立有效的信息科技風險管理審計，并審閱信息科技審計報告；

2.每年審閱并向銀監(jiān)會及其派出機構報送信息科技風險管理的年度報告。3.催促制定預算執(zhí)行考核方法；4.董〔理〕事會設置中要求至少配備有一名有信息科技背景的人員；5.審批信息科技業(yè)務連續(xù)性規(guī)劃，明確全行信息科技風險管理策略和風險容忍度指標。董〔理〕事會職責說明GO.02董〔理〕事會信息科技風險管理職責落實銀行董〔理〕事會應當明確其承當的信息科技風險管理職責，并履行其職責。

1．根據《指引》董〔理〕事會設立信息科技管理委員會，由來自高級管理層、信息科技部門和主要業(yè)務部門的代表組成，負責信息科技戰(zhàn)略規(guī)劃制定、重大工程的審批、制定根本的IT風險管理政策，聽取風險評估報告和監(jiān)督風險政策執(zhí)行情況,負責監(jiān)督各項職責的落實，定期向董〔理〕事會和高級管理層匯報有關情況等。初級1.落實GO.01初級要求；2.成立由來自高層、信息科技部門和主要業(yè)務部門組成的信息科技管理委員會，負責每年向董〔理〕事會或高級管理層匯報信息科技戰(zhàn)略規(guī)劃執(zhí)行、信息科技預算和實際支出、信息科技的整體狀況等，委員會會議每年不得少于一次；

董〔理〕事會批準的戰(zhàn)略規(guī)劃

了解信息科技風險管理情況的記錄

聽取審計情況報告的記錄

信息科技管理委員會工作職責

信息科技管理委員會開展工作情況記錄

治理架構圖及說明

信息科技預算及審批記錄

信息科技制度流程學習、考試相關記錄科技崗位交接培訓記錄科技風險評估記錄；科技風險評估問題跟蹤記錄；信息平安監(jiān)控記錄中級1.落實GO.01中級要求；

2.信息科技管理委員會會議每年不得少于兩次；信息科技總體風險評估報告

審計報告

經董〔理〕事會審批的信息科技業(yè)務連續(xù)性規(guī)劃方案

信息科技風險意識教育的資料和記錄信息科技相關部門和崗位職責說明

高級1.落實GO.01高級要求；2.信息科技管理委員會根據需要定期召開會議，每年不得少于四次；

3.建立相互獨立的信息科技管理、信息科技風險管理和信息科技審計等部門；重要信息科技應急預案

信息科技風險意識教育制度信息科技人才鼓勵制度

信息科技審計制度

信息科技審計報告及董〔理〕事會審閱記錄

信息科技風險管理年報及董〔理〕事會審閱記錄

董〔理〕事會對監(jiān)管及整改意見的審閱記錄

數據中心設立董〔理〕事會審議記錄

董〔理〕事會對數據中心根本管理制度的審閱記錄GO.03設立首席信息官〔CIO〕，直接向行長匯報，參與重大決策銀行應當設立首席信息官〔CIO〕，直接向行長匯報，參與重大決策。首席信息官是商業(yè)銀行負責信息科技管理的高級管理人員,對本行信息科技總體管理負責。1．根據《商業(yè)銀行首席信息官管理方法》〔征求意見稿〕的要求，建立標準的信息官制度和流程，明確信息官的職責。初級參照首席信息官，明確信息科技分管行長職責。信息科技分管行長職責中級設立首席信息官崗位〔可以兼任〕，明確首席信息官職責。首席信息官提名與任命管理方法

首席信息官崗位職責說明高級產生符合銀監(jiān)會任職條件的首席信息官；嚴格按照銀監(jiān)會有關規(guī)定，標準并完善首席信息官有關制度，為首席信息官有效履職提供必要條件。首席信息官崗位職責說明

首席信息官績效考核方法

首席信息官年度工作方案

首席信息官述職報告

首席信息官績效考核情況報告

首席信息官參與的重大會議紀要GO.04內部審計部門設立專門崗位負責信息科技內部審計應當由內審部門設立專門的崗位負責信息科技內部審計，信息科技審計應當包括：落實信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計方案，對信息科技整個生命周期和重大事件等進行審計。初級應當在內審部門設立崗位負責信息科技內部審計，信息科技審計人員至少不得少于2人。審計部門組織架構圖

審計部門及崗位職責說明

審計部門人員崗位分工說明中級同初級同初級高級1.應建立完善的信息科技審計組織架構，確保審計部門能充分履行信息科技審計職責；

2.專職信息科技風險審計人員數量原那么上按照科技人員數量的5%配備；

3.信息科技風險審計人員應當具備相應的專業(yè)從業(yè)資格。信息科技審計人員背景資料

信息科技審計制度

GO.05設立信息科技風險管理部門應當由獨立于信息科技的部門承當信息科技風險管理責任，該部門負責協調制定有關信息科技風險管理策略，實施持續(xù)信息科技風險評估，跟蹤整改意見的落實，監(jiān)控信息平安威脅和不合規(guī)事件的發(fā)生。初級應在信息科技部門外設立信息科技風險管理部門，負責信息科技風險的監(jiān)督和報告；信息科技風險管理部門組織架構

信息科技風險管理部門及崗位職責說明

信息科技風險管理部門人員崗位分工說明中級應在信息科技部門外設立信息科技風險管理部門，負責開展信息科技風險的識別、評估、監(jiān)督和報告。同上高級1.應在信息科技部門外建立信息科技風險管理部門，負責信息科技風險的識別、評估、計量、監(jiān)測、控制和報告。應建立完善的信息科技風險管理組織架構，確保能充分履行信息科技風險管理工作。同上信息科技戰(zhàn)略及規(guī)劃GO.06建立與總體業(yè)務規(guī)劃一致的信息科技戰(zhàn)略規(guī)劃信息科技戰(zhàn)略由信息科技管理委員會負責制定，信息科技戰(zhàn)略規(guī)劃應當符合機構總體業(yè)務規(guī)劃，并維持穩(wěn)定、平安的信息科技環(huán)境。

信息科技戰(zhàn)略規(guī)劃由信息科技管理委員會負責制定。初級1.信息科技戰(zhàn)略規(guī)劃及預算應經信息科技管理委員會審議；

2.信息科技戰(zhàn)略規(guī)劃及預算應報董〔理〕事會審批。經董〔理〕事會審批的信息科技戰(zhàn)略規(guī)劃經董〔理〕事會審批的信息科技預算

信息科技管理委員會審議的記錄中級1.信息科技管理委員會應催促職能部門執(zhí)行信息科技戰(zhàn)略規(guī)劃；

2.信息科技管理委員會應催促職能部門根據戰(zhàn)略規(guī)劃制定信息科技年度建設方案，并審議批準。3.信息科技預算結構上得到優(yōu)化，重視對人員培訓的投入信息科技年度建設方案

信息科技管理委員會審議信息科技年度建設方案的記錄信息科技預算明細高級1.信息科技管理委員會應適時對戰(zhàn)略規(guī)劃的執(zhí)行情況進行評估，確保符合銀行總體業(yè)務開展戰(zhàn)略和風險管理策略；

2.信息科技管理委員會應根據評估情況，催促修訂信息科技戰(zhàn)略規(guī)劃；3.信息科技預算適應業(yè)務需要，適當超前。信息科技戰(zhàn)略規(guī)劃執(zhí)行情況評估報告GO.07信息科技戰(zhàn)略規(guī)劃內容全面，有效支撐業(yè)務規(guī)劃作為信息科技治理的一局部工作，銀行應當制定全面的信息科技戰(zhàn)略規(guī)劃，以支撐業(yè)務的開展。

1．信息科技戰(zhàn)略規(guī)劃內容全面，包括信息科技戰(zhàn)略目標、信息科技風險管理規(guī)劃、信息科技治理規(guī)劃、信息科技架構規(guī)劃、信息科技工程〔或信息系統(tǒng)〕規(guī)劃。初級信息科技戰(zhàn)略規(guī)劃內容應包括以下內容：

〔1〕信息科技戰(zhàn)略目標；

〔2〕信息科技治理規(guī)劃；

〔3〕信息科技架構規(guī)劃；

〔4〕信息科技工程〔或信息系統(tǒng)〕規(guī)劃等內容。戰(zhàn)略目標

治理規(guī)劃

架構規(guī)劃

信息系統(tǒng)規(guī)劃中級信息科技戰(zhàn)略規(guī)劃內容應包括信息科技風險管理規(guī)劃。風險管理規(guī)劃高級同中級同中級信息科技治理運作GO.08董〔理〕事會和管理層對信息科技風險管理的關注和支持董〔理〕事會和管理層應當保持對信息科技風險管理的支持和關注。

1．建立科學合理的信息科技風險管理的考核指標初級相關部門每年應將信息科技風險管理情況報告董〔理〕事會或高級管理層。報董〔理〕事會或高級管理層信息科技風險管理情況報告中級應建立信息科技風險管理考核指標，指標應包括信息科技開發(fā)、運行、和內控管理等信息科技風險管理相關內容。信息科技風險管理考核指標高級應建立信息科技風險管理考核指標，指標從科技、風險、審計三道防線出發(fā)，建立全面的信息科技風險管理考核體系和指標。信息科技風險管理考核制度GO.09信息科技治理組織結構合理有效銀行應當設置合理的信息科技治理組織結構，使科技決策、科技管理、風險、審計等定位明確。初級1.應設立信息科技管理委員會；

2.應設立部門負責信息科技管理工作；

3.應設立信息科技風險管理崗位負責信息科技風險管理工作；

4.應設立信息科技審計崗位負責信息科技審計工作。組織架構圖及說明

信息科技管理委員會工作職責說明

信息科技管理部門或崗位職責說明

信息科技風險管理崗位職責說明

信息科技審計崗位職責說明中級1.應設立首席信息官；

2.應設立獨立的信息科技部門；

3.應在風險管理部門內設立信息科技風險管理崗位負責信息科技風險管理工作；

4.應在審計部門內設立信息科技審計崗位負責信息科技審計工作。5.實行總、分行兩級平安管理，成立總行計算機平安管理領導小組，明確了各級分支機構的平安責任。首席信息官職責說明

信息科技管理部門和崗位職責說明高級1.應設立信息科技管理委員會，并確保充分履職。

2.應設立首席信息官，并確保充分履職；

3.應設立信息科技風險管理部門負責信息科技風險管理工作，并建立健全信息科技風險管理機制，確保信息科技風險部門能充分履職；

4.應設立信息科技審計部門負責信息科技審計工作，并建立健全信息科技審計機制，確保信息科技審計部門能充分履職；5.建立完善計算機平安組織架構，在科技部門成立專門的信息平安管理部門。首席信息官參與的重大會議紀要

信息科技風險管理部門年度工作方案

信息科技風險管理部門和崗位職責說明

信息科技審計部門和崗位職責說明

信息科技審計部門年度工作方案GO.10軟件正版化銀行應按照知識產權相關法律法規(guī)，制定軟件正版化策略和制度，使所有員工充分理解并遵照執(zhí)行；確保購置和使用合法的軟硬件產品，禁止侵權盜版。初級1.指定專人或部門，對銀行內采購、安裝、使用商業(yè)軟件進行管理；2.搜集安裝軟件的信息并統(tǒng)計；3.制定軟件正版化方案和相應管理方法。軟件正版化情況概要軟件正版化管理方法中級1.制定軟件正版化策略和制度；2.對員工進行軟件正版化教育；3.確保行內的所有商業(yè)軟件的合法和有效性，加強對軟件授權的管理，采取一定措施防止非法軟件的安裝。軟件正版化策略軟件正版化培訓方案/記錄高級1.建立軟件授權和使用清單，對購置軟件的生命周期進行有效管理；2.建立對免費和開源軟件的管理，所有軟件授權經過法律部門審核；3.采取強制性措施禁止非法軟件或非授權軟件的安裝。軟件授權和使用控制表法律部門對軟件授權的審核記錄科技隊伍建設GO.11配置足夠信息科技人員銀行應當配備足夠的信息科技人員，以支持銀行業(yè)務的開展和信息系統(tǒng)運行。

1．根據《治理指導意見》〔征求意見稿〕第十八條，國有商業(yè)銀行和股份制商業(yè)銀行信息科技人員總數與員工總人數的比例原那么上不低于2.5%，城市商業(yè)銀行和其他地方法人機構這一比例原那么上不低于3%，至少不得少于3人。初級1.銀行應當配備足夠的信息科技人員，以支持銀行業(yè)務的開展和信息系統(tǒng)運行，信息科技人員至少不得少于3人；

2.應建立與業(yè)務相適應的信息科技管理部門。人員統(tǒng)計表；信息科技管理部門職責說明；信息科技崗位職責說明；信息科技人員和崗位說明。中級1.應當配備足夠的信息科技人員，以支持銀行業(yè)務的開展和信息系統(tǒng)運行。股份制商業(yè)銀行、城市商業(yè)銀行和省聯社信息科技人員總數與員工總人數的比例原那么上不低于3%；

2.應建立獨立的信息科技部門，應至少設立軟件開發(fā)、運行維護等內設部門。人員統(tǒng)計表信息科技管理部門職責說明信息科技崗位職責說明信息科技人員和崗位說明。高級應建立獨立的信息科技部門，應將信息科技運行與系統(tǒng)開發(fā)、維護別離，確保信息科技部門內部的崗位制約，并確保信息科技部門能充分履職。人員統(tǒng)計表信息科技管理部門職責說明信息科技崗位職責說明信息科技人員和崗位說明信息科技業(yè)務操作流程及崗位相互牽制、別離情況說明GO.12明確信息科技關鍵崗位1.銀行應當識別并明確信息科技關鍵崗位。初級應梳理本行的信息科技崗位，界定具體的關鍵崗位。信息科技關鍵崗位列表中級制定對關鍵崗位的相關管理制度，包括對關鍵崗位設置AB角，并實施強制休假或崗位輪換制度。關鍵崗位管理制度信息科技關鍵崗位說明信息科技關鍵崗位人員與崗位對照表強制休假或崗位輪換實施記錄高級1.建立關鍵崗位上崗和離職的管理流程，并嚴格執(zhí)行，不相容崗位不得兼崗。2.應評估關鍵崗位信息科技員工流失帶來的風險，做好安排候補員工和崗位接替方案等防范措施；在員工崗位發(fā)生變化后及時變更相關信息。3.制定信息科技關鍵崗位任職資格標準關鍵崗位人員評估說明信息科技關鍵崗位任職資格標準GO.13組織在崗人員定期參加信息平安培訓1.銀行應當組織在崗人員定期參加信息平安培訓，提升在崗人員的信息平安意識。初級應當組織相關人員參加信息平安培訓，提升專業(yè)人員的信息平安技能和意識，每年至少一次組織在崗人員參加信息平安培訓信息平安培訓記錄〔培訓通知及簽到單〕中級1.每年根據各在崗人員崗位性質制定信息平安培訓方案，確保覆蓋所有在崗員工，形式可采用會議、通知、風險提示、考試、專題培訓等，留存培訓記錄。

2.每年應制定培訓方案對專業(yè)人員進行信息平安培訓，提升專業(yè)人員的信息平安技能和意識。信息平安教育和培訓的年度方案高級1.應建立對員工進行信息平安培訓的制度，形成信息平安教育和培訓的常態(tài)化機制。2.建立信息平安培訓考試制度，將信息平安知識考試與相關員工上崗、競聘、考核等掛鉤，提升在崗人員的信息平安意識。信息平安培訓及考試制度考核通知和結果通報GO.14信息科技人員穩(wěn)定情況銀行應當保證信息科技人員的穩(wěn)定。

1．根據《治理指導意見》〔征求意見稿〕第五十二條，商業(yè)銀行應建立一套包括職位晉升、薪酬晉級在內的信息科技鼓勵機制，鼓勵機制應與信息科技運行效率、風險控制目標等相聯系，保證科技隊伍的穩(wěn)定。初級對信息科技崗位進行標準化，運用崗位分析、崗位評價，設計合理的級別體系。崗位職務說明書中級1.應建立一套信息科技鼓勵機制，充分調動信息科技人員的積極性和創(chuàng)造性，鼓勵機制應與信息科技系統(tǒng)建設、運行效率、風險控制目標等相聯系，引導員工重視個人技能的增長，保證科技隊伍的穩(wěn)定；

2.應建立信息科技問責機制，對不履行職責或違反信息科技管理制度人員進行問責和懲辦。薪酬考核制度信息科技鼓勵制度信息科技問責制度高級1.應建立一套完善的包括職位晉升、薪酬晉級在內的信息科技鼓勵機制，充分調動信息科技人員的積極性和創(chuàng)造性，鼓勵機制應與信息科技系統(tǒng)建設、運行效率、風險控制目標等相聯系，保證科技隊伍的穩(wěn)定。2.每年對信息科技人員補充、崗位調整情況進行分析，評估現有鼓勵機制對科技隊伍穩(wěn)定的實際效果。人員新增需求方案表二、信息科技風險管理初級要求：在信息科技部門之外，設立或指派一個特定部門負責信息科技風險管理，并配備專職的信息科技風險管理人員。在信息科技部門內至少指定一名專職人員負責內控和風險防范。并要求具有與崗位相當的專業(yè)知識能力、一定的從業(yè)經驗和良好的職業(yè)操守。信息科技風險管理部門根據《指引》第十五條要求根本建立風險管理策略。信息科技風險管理部門建立信息資產的分類分級標準，識別建立和維護信息資產清單，確定各類信息資產中的關鍵資產，鎖定評估對象。應當建立信息科技風險監(jiān)測機制，確定監(jiān)測范圍、監(jiān)測內容和頻率。信息科技隊伍建設：銀行應當配備足夠的信息科技人員，以支持銀行業(yè)務的開展和信息系統(tǒng)運行。并梳理本行的信息科技崗位，界定具體的關鍵崗位。同時運用崗位分析、崗位評價等，設計合理的級別體系。中級要求：信息科技風險管理部門應建立完善的信息科技風險管理策略,并對其適用性進行評估、進行必要修訂。初步明確本行信息科技風險管理對象、內容、過程和方法，組織架構中各部門的職責及相互關系。對重要信息資產建立風險評估制度。對重要信息資產建立風險評估制度，在重要信息系統(tǒng)投產或變更時履行風險評估手續(xù)。制定關鍵風險指標體系，運用關鍵指標建立對信息科技風險的定量計量和監(jiān)測。信息科技隊伍建設：應當配備足夠的信息科技人員，以支持銀行業(yè)務的開展和信息系統(tǒng)運行。股份制商業(yè)銀行、城市商業(yè)銀行和省聯社和這一比例原那么上不低于3%；制定對關鍵崗位的相關管理制度。根據信息科技人員特點，建立合理的職位晉升和薪酬考核機制，引導員工重視個人技能的增長。高級要求：信息科技風險管理人員應具備相應的從業(yè)資格，通過IT風險管理、信息平安等專業(yè)資格考試并獲得相應證書。信息科技風險管理部門應對現有信息科技風險管理制度進行后評價，每年進行修訂和補充。對信息科技進行定期、標準、持續(xù)的評估，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，確定風險防范措施及所需資源的優(yōu)先級別。對信息科技進行持續(xù)的風險監(jiān)測，定期分析指標并產生信息科技風險監(jiān)測報告，監(jiān)測信息科技風險開展趨勢。信息科技隊伍建設：根據本行的信息化建設情況，提升信息科技人員與員工總人數的比例。加強復合型人才的培養(yǎng)。每年對信息科技人員補充、崗位調整情況進行分析，評估現有鼓勵機制對科技隊伍穩(wěn)定的實際效果。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔信息科技風險管理信息科技風險管理人才RM.01配置足夠信息科技風險管理人員銀行應當有足夠的信息科技風險管理人員開展信息科技風險管理工作。初級在信息科技部門之外，設立或指派一個特定部門負責信息科技風險管理，對信息科技風險管理的人員數量至少一人。在信息科技部門內至少指定一名專職負責內控和風險防范的人員。部門職責部門崗位設置說明中級信息科技風險管理人員數量原那么上按照科技人員數量的5%配備，至少不得少于2人。科技人員中負責內控和風險防范人員原那么上不低于5%。管理人員名單部門崗位設置說明高級專職信息科技風險管理人員數量原那么上按照科技人員數量的8%配備；管理人員名單部門崗位設置說明RM.02信息科技風險管理的人員具有相關專業(yè)背景知識和技能信息科技風險管理人員應當具備專業(yè)知識和技能。初級信息科技風險管理人員應當具備相應的專業(yè)從業(yè)資格：〔一〕信息科技風險管理人員應具備大專以上學歷，掌握信息科技相關專業(yè)知識，熟悉金融相關法律、法規(guī)和金融風險管理制度；〔二〕具備一年以上金融信息科技或風險管理從業(yè)經驗；〔三〕具有客觀、公正和廉潔的職業(yè)操守，且從業(yè)以來無不良記錄。個人簡歷學歷證書中級風險管理人員應同時具備從事風險管理工作兩年以上。個人簡歷學歷證書高級信息科技風險管理人員中至少一人通過IT風險管理、信息平安等專業(yè)資格考試并獲得相應證書。個人簡歷學歷證書專業(yè)資質證書信息科技風險管理策略RM.03制定全面的信息科技風險策略信息科技風險管理應當納入全面風險管理體系。信息科技風險管理策略應覆蓋組織及職能、制度標準、風險評估與監(jiān)督等方面，包括但不限于銀監(jiān)會發(fā)布的管理指引中的內容。初級根本建立信息科技風險管理策略風險管理策略中級建立完善的信息科技風險管理策略，管理策略覆蓋組織及職能、制度標準、風險評估與監(jiān)督等方面，內容包括《指引》規(guī)定的七個領域。風險管理策略高級繼續(xù)改良完善風險管理策略，內容全部覆蓋《指引》規(guī)定的七個領域。風險管理策略RM.04建立完善的信息科技風險管理制度信息科技風險管理類制度應當考慮信息科技風險管理策略、信息科技風險評估、信息科技風險報告、信息科技風險內部控制等方面初級應制定相關制度，包括信息科技風險內部控制和風險報告等方面的內容。信息科技相關內控管理方法

信息科技事件報告管理方法中級1.應建立息科技風險管理策略；

2.信息科技風險評估制度，明確風險評估的范圍、內容、方法等；信息科技風險管理方法

信息科技風險評估方法

高級1.應建立完善的信息科技風險管理制度體系，在縱向上包括信息科技風險管理策略、標準、標準、流程，以及實施細那么等；在橫向上應全面包含信息科技風險管理所涉及的主要范圍。2.信息科技風險量化評估制度，對信息科技的風險指標有量化標準，信息平安標準與標準

信息科技風險管理流程說明

信息科技風險管理操作規(guī)程信息科技風險量化評估制度RM.05定期評估及修訂信息科技風險管理制度應當定期評估信息科技風險管理制度的適用性、完整性并進行必要修訂。初級對現有信息科技風險管理制度的適用性進行評估、進行必要修訂修訂的制度目錄中級同初級同初級高級每年對現有信息科技風險管理制度進行后評價，根據實際情況進行修訂和補充。修訂、補充的風險管理制度信息科技風險評估RM.06制定持續(xù)的風險識別和評估流程持續(xù)的風險識別和評估流程應包括建立信息資產分類分級標準、識別建立和維護信息資產清單、確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，確定風險防范措施及所需資源的優(yōu)先級別。初級建立信息資產的分類分級標準，識別建立和維護信息資產清單，確定各類信息資產中的關鍵資產，鎖定評估對象。信息資產分類分級標準中級對重要信息資產建立風險評估制度，在重要信息系統(tǒng)投產或變更時履行風險評估手續(xù)。風險評估制度工程投產或變更風險評估報告高級對信息科技進行定期、標準、持續(xù)的評估，確定信息科技中存在隱患的區(qū)域，評價風險對其業(yè)務的潛在影響，對風險進行排序，確定風險防范措施及所需資源的優(yōu)先級別。定期風險評估報告RM.07建立持續(xù)的信息科技風險計量和監(jiān)測機制，進行信息科技風險監(jiān)測信息科技風險管理部門應當建立信息科技風險計量和監(jiān)測機制，確定監(jiān)測范圍、監(jiān)測內容和頻率；制定關鍵風險指標，并分配相關責任，持續(xù)進行風險監(jiān)測，定期分析指標并產生信息科技風險監(jiān)測報告，監(jiān)測信息科技風險開展趨勢。初級信息科技風險管理部門應當建立信息科技風險計量和監(jiān)測機制，確定監(jiān)測范圍、監(jiān)測內容和頻率。風險計量和監(jiān)測制度中級制定關鍵風險指標體系，運用關鍵指標建立對信息科技風險的監(jiān)測。關鍵風險指標體系高級1.對信息科技進行持續(xù)的風險監(jiān)測，定期以上分析指標并產生信息科技風險監(jiān)測報告，監(jiān)測信息科技風險開展趨勢。2.制定內部，外部升級和監(jiān)管發(fā)現問題整改處理機制；3.制定新技術開展和已使用軟件面臨威脅定期評估機制。信息科技風險監(jiān)測報告內部、外部升級和監(jiān)管發(fā)現問題整改處理機制新技術開展和已使用軟件面臨威脅定期評估機制三、信息科技審計初級要求：1.初步建立信息科技風險審計的各項相關制度；2.在內部審計部門設置信息科技風險審計崗，并配備一定數量的信息科技風險審計人員；3.可以在一定程度上開展信息科技風險的內部審計工作；4.制定審計的年度方案，并按方案組織實施。中級要求：1.建立較為完整的信息科技審計的相關制度體系；2.在內部審計部門設置信息科技風險審計崗位，配備一定數量的專職信息科技審計人員，專門從事信息科技審計工作；3.制定較為完善的年度審計方案，并按方案開展有序的審計工作；4.有能力獨立開展信息科技風險的專項審計工作，并按照銀監(jiān)會的有關要求對本行的信息科技風險進行一定頻率的專項審計，必要時也可組織外部審計工作；5.對內、外部審計中發(fā)現的問題催促被審計部門進行落實，保證審計的有效性。高級要求：1.建立了較為完善的信息科技風險審計制度體系，并定期檢查制度的執(zhí)行情況，不斷提高制度的執(zhí)行力；2.在內審部門設立專門的信息科技風險審計崗〔小組〕，配備足夠數量〔到達本行科技人員數量的2-5%〕的具有較高專業(yè)水平的審計人員〔最好能取得專業(yè)技術資格〕，并充分履職；3.具有獨立開展信息科技風險全面審計的能力，持續(xù)〔不小于3年〕開展合理頻度〔一年不少于一次〕的信息科技風險專項審計，且收到較好的效果；3.連續(xù)三年以上，制定了完善的年度審計方案，并能按方案開展有序的審計工作；4.至少三年一周期，一級分支機構的審計覆蓋率能到達100%。5.對審計中發(fā)現的問題均有明確的整改意見和整改結果，審計部門履行跟蹤、監(jiān)督職能，保證審計的有效性。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔審計(AD)

AD.01信息科技審計制度制定情況制定完善的信息科技審計制度和政策，包括信息科技內審政策、信息科技外審政策、信息科技內審的內容、范圍、職責、審計方法、審計報告、處理和整改落實等情況，信息科技外審的范圍、外審公司選擇標準、外審報告處理和整改措施等方面。初級根據銀行現有的的信息科技審計情況，參照《商業(yè)銀行商業(yè)銀行信息科技風險管理指引》及《治理指導意見》〔征求意見稿〕等，修訂和完善本行的相關制度，明確審計報告路徑和審計人員資職，保證審計的獨立性和較高的審計質量。同時審計制度包括信息科技的審計政策、內外部審計的規(guī)定，內部審計的職責、范圍、方法、內容、報告、整改及后續(xù)審計等，做到對審計工作具有明確的指導作用。信息科技審計制度中級制度內容比擬全面，能反映本行信息科技審計的管理要求。信息科技審計制度高級信息科技審計制度與銀監(jiān)會的相關制度及其他外部制度具有較好的銜接，保證制度的可操作性。信息科技審計制度信息科技內部審計獨立性與合理授權AD.02內部審計部門進行信息科技風險管理審計的獨立性內部審計部門應當具備合理的匯報路線和審計技能，以保證內審的獨立性。初級明確審計部門報告路徑，審計報告直接匯報董〔理〕事會、監(jiān)事會或審計委員會，賦予內部審計部門具有獨立開展信息科技審計工作的相關職能。信息科技審計制度中級加強對銀行信息科技風險審計人員的培訓，使內部審計人員具有一定的信息科技審計技能信息科技審計報告高級審計部門的信息科技風險審計人員能獨立地開展信息科技審計，并直接向內審部門或審計委員會負責信息科技審計報告AD.03依據既定的審計方案、方案開展信息科技審計內審部門應當按照方案開展信息科技審計工作。初級內審部門制定年度信息科技審計方案。信息科技審計方案中級內審部門制定年度信息科技審計方案，并且制定相應的審計方案，經主管領導批準執(zhí)行。審計工作根本按照方案執(zhí)行。信息科技審計方案和方案信息科技審計報告高級信息科技審計按照既定的方案執(zhí)行信息科技審計方案和方案信息科技審計報告信息科技專業(yè)內審人員AD.04配置足夠的信息科技內部審計人員內部審計部門應配備一定數量的人員，執(zhí)行信息科技內部審計〔包括控制自評估、信息科技內審等〕。初級在內審部門配備1至2名信息科技審計人員，具備相應能力。無中級配備2名信息科技審計人員，其中至少1名專職信息科技審計人員。無高級信息科技風險審計人員按照本行科技人員數量的5%配備，至少不得少于2人。信息科技風險審計組織與人員名單AD.06信息科技內部審計人員具備專業(yè)能力及資質信息科技審計部門應通過任用一定比例的具有信息科技審計專業(yè)資質的人才，實現信息科技審計專業(yè)化。初級信息科技審計人員熟悉信息科技相關知識，熟悉金融相關法律、法規(guī)和內部控制制度。無中級信息科技審計人員具有信息科技從業(yè)背景，具有較強的專業(yè)知識和風險識別能力。無高級信息科技審計人員具有豐富的審計經驗和較為深厚的計算機背景，取得信息系統(tǒng)審計師〔CISA〕等專業(yè)資格。獲得專業(yè)資格證書的人數和比例信息科技審計執(zhí)行與問題整改情況AD.07信息科技內部審計覆蓋情況內部審計部門應定期開展信息科技內部審計工作，審計應適當覆蓋機構的各個分支或直屬機構，3年內一級分支機構覆蓋率要到達100%。初級根據銀行實際每年開展信息科技風險的審計，對一級分支機構或直屬機構的覆蓋率每年在15%以上。信息科技審計報告中級經過信息科技風險審計，對一級分支機構或直屬機構的覆蓋率每年在20%以上。信息科技審計報告高級經過三年的信息科技風險內部審計，一級分支機構覆蓋率要到達100%。信息科技審計報告AD.08信息科技內部審計整改情況銀行應對內部審計發(fā)現的問題進行整改并跟蹤落實，確保中度風險以上問題的及時整改。內部審計整改率到達90%以上。初級針對銀行的內部審計，相關被審計部門除客觀條件所限，對檢查出的問題均要進行整改，整改率總體在50%以上。信息科技整改報告中級檢查出的問題均要進行整改，整改率力爭到達70%以上。信息科技整改報告高級檢查出的問題均要進行整改，整改率力爭到達90%以上。信息科技整改報告AD.09信息科技審計的有效性針對信息科技審計活動，機構應對內、外部審計發(fā)現的問題進行跟蹤，并確保問題在規(guī)定的時間內落實整改。發(fā)現的問題切中要害，對風險管理有明顯促進作用。中風險度的問題到達一定數量。初級1.內部審計報告需一定程度上反映存在問題信息科技內審報告；中級內、外部審計發(fā)現的問題具有一定的深度，中度風險的問題具有一定的數量，能積極整改。信息科技整改報告高級對信息科技風險的管理具有明顯的促進作用。被檢查部門對內、外部審計發(fā)現的問題在規(guī)定的時間內積極進行整改。信息科技整改報告AD.10開展全面信息科技內部審計應當定期開展全面的信息科技內部審計。初級不定期開展信息科技內部審計。信息科技審計報告中級開展過全面的信息科技內部審計。信息科技審計報告高級每三年開展一次全面的信息科技內部審計；根據需要不定期開展信息科技專項審計。信息科技審計報告AD.11信息科技外部審計根據指引，商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應資質的外部審計機構進行信息科技外部審計。初級無無中級可聘請第三方具備相應資質的外部審計機構或專業(yè)公司進行信息科技審計。信息科技審計報告高級1.建立標準的外部審計管理制度，明確外部審計的內容和方式。2.進行第三方全面審計。信息科技外部審計制度AD.12外部審計保密措施關注機構開展外部審計時是否對自身信息加以保護，簽署保密協議，保密協議可能是合同的一局部，也可能是與能夠接觸敏感信息的個人單獨簽署的協議。初級與外部審計機構或能夠接觸敏感信息的個人簽署保密協議。保密協議中級建立根本的保密協議和外審保密措施外部審計保密管理方法高級建立完善的保密協議和外審保密措施外部審計保密管理方法AD.13信息科技外部審計整改情況銀行應對外部審計發(fā)現的問題進行整改并跟蹤落實，確保中度風險以上問題的及時整改。外部審計整改率到達90%以上。初級對外部審計發(fā)現的問題進行整改并跟蹤落實，確保中度風險以上問題積極整改，整改率力爭到達50%以上。整改報告中級整改率力爭到達70%以上。整改報告高級1.整改率力爭到達90%以上;2.建立信息科技外審結果整改制度整改報告信息科技外審結果整改制度四、系統(tǒng)開發(fā)及測試初級要求：1.建立系統(tǒng)開發(fā)的工程治理結構：〔1〕信息技術管理委員會擁有重大工程審批權和工程爭議的最終裁量權，確保IT戰(zhàn)略最大程度地支持本行的業(yè)務戰(zhàn)略，并加強平安管理；〔2〕明確業(yè)務需求管理的責任部門，建立業(yè)務分析流程，對業(yè)務需求的開發(fā)進行有序管理。2.采用工程管理方法論來開展系統(tǒng)開發(fā)，包括定義工程生命周期、制訂工程管理制度和流程。3.開發(fā)與生產環(huán)境的獨立。設置獨立的信息系統(tǒng)生產、開發(fā)和測試環(huán)境。4.嚴格上線管理。系統(tǒng)投產前準備詳細的上線方案和回退方案。中級要求：1.完善業(yè)務需求管理體系。設置信息技術工程管理機構職能，負責工程管理、業(yè)務需求管理和UAT測試。2.開展風險評估。開展在工程的各階段進行風險評估與處置的工程管理活動；3.加強質量管理。設置專職的質量測試崗對代碼的平安進行抽樣走查或評審；4.工程后評估。要求在工程立項申請時，明確要求說明實現工程目標的可衡量指標。工程在投產6個月后對照立項時的可衡量指標進行后評估。高級要求：1.工程進度管理。按季度向信息科技管理委員會報告各類重大工程建設進度；2.嚴格需求管理。確保需求在進入開發(fā)實施前得到業(yè)務和科技部門的共同簽署，需求變更嚴格按流程執(zhí)行；3.落實全面質量控制。建立質量保證團隊，對工程過程質量進行獨立控制，借助外部資源，使用專業(yè)工具對代碼進行平安檢查。在生產驗證環(huán)境進行測試或驗證后，由專門的配置人員部署到生產環(huán)境上。4.完善后評估工作。建立工程后評價資料庫，有序管理工程后評價資料，為后續(xù)的工程組合管理提供數據。5.建立工程管理、測試管理等系統(tǒng),提高工程開發(fā)、變更管理、測試管理水平。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔系統(tǒng)開發(fā)及測試(SD)

建立完善的工程管理SD.01工程實施部門定期向信息科技管理委員會提交重大工程進度報告工程實施部門應當定期向信息科技管理委員會提交的重大工程進度報告。初級按年度進行重大工程進度報告，內容包括重大工程名錄、分項工程進度報告、問題總結和應對措施等信息科技管理委員會議事規(guī)那么年度重大工程進度報告中級按季度進行重大工程進度報告，內容包括重大工程名錄、分項工程進度報告、問題總結和應對措施等。年度重大工程進度報告高級方案重大變更、關鍵人員或供給商變更即提交報告制度；重大工程進度報告SD.02設立業(yè)務需求管理組織，整合業(yè)務需求銀行應當有業(yè)務需求管理組織負責對業(yè)務需求進行整合和標準。初級明確業(yè)務需求管理的責任部門，參加到信息科技治理組織架構中，建立業(yè)務分析流程，對業(yè)務需求的開發(fā)進行有序管理。業(yè)務分析流程圖中級建立IT工程管理獨立機構，主要職能是從工程管理、需求管理和UAT測試管理三個方面來協調業(yè)務部門與科技開發(fā)部門之間的關系。IT工程管理機構職責和崗位設置高級業(yè)務需求的基線必須簽署，并嚴格實現業(yè)務需求變更管理。被簽署的業(yè)務需求說明書需求變更申請書SD.03建立標準的工程管理制度和流程在信息系統(tǒng)生命周期各階段，應制定相關制度、標準和流程，標準工程管理，確保信息系統(tǒng)開發(fā)、測試、維護過程得到有效管理。初級建立工程立項、開發(fā)、測試、部署、維護等過程相關的管理制度、標準和流程；設立工程經理崗位，并對其進行工程管理培訓。建立工程管委會，成員應包括需求管理、工程開發(fā)、質量控制與測試、上線發(fā)布各個負責人。《工程立項管理方法》《工程開發(fā)管理方法》《工程測試管理方法》《工程維護管理方法》工程經理崗位說明書中級1.工程各個階段有所有相關方參加正式審閱會議；2.制定開發(fā)生命周期的文檔模版；3.建立應用軟件和文檔的版本管理制度，明確軟件工程版本形成、使用、保管等管理要求。工程階段會議紀要《SDLC文檔模版》齊全的被簽署的各類工程文檔版本管理方法高級1.建立完善的信息科技開發(fā)技術標準和標準，建立主要開發(fā)語言和平臺的開發(fā)編碼標準、代碼審核標準、平安設計標準、數據標準等；

2.根據本行實際情況，建立科學、標準的工程管理流程對工程流程進行適當的優(yōu)化調整。工程開發(fā)標準和標準工程管理流程制度修訂記錄系統(tǒng)開發(fā)過程管理SD.04在重大工程各階段進行風險評估，控制工程實施風險對信息科技工程相關風險進行有效識別，定期向工程管理組織溝通風險點、確定處置方案，并跟進處置方案的執(zhí)行結果。初級對于重大工程，在工程立項階段對工程進行風險評估。風險評估報告中級設計風險識別和評估的模板。對于重大工程，在工程實施各階段進行風險評估與處置。工程階段性風險評估報告高級隨著工程風險識別與風險處置經驗的積累，建立本單位的風險庫；并使風險評估成為工程管理中自覺的環(huán)節(jié)。本單位風險庫SD.05進行有效的工程需求管理，確認業(yè)務需求，控制需求變更過程業(yè)務需求應當經過業(yè)務部門和科技部門的共同確認才能進入工程實施后續(xù)過程。初級設計符合本行的需求說明模板，按統(tǒng)一的格式擬定需求說明書。需求規(guī)格說明書模板中級分析團隊和業(yè)務部門有正式的溝通，確保需求說明書只有在業(yè)務與技術部門共同簽署后才能進入開發(fā)實施。需求介紹會議紀要經過業(yè)務部門與開發(fā)部門共同簽署的業(yè)務需求說明書。高級具有嚴格的需求變更流程，實施需求變更需業(yè)務部門和科技部門共同確認。需求變更申請與審批SD.06將信息平安要求納入系統(tǒng)設計業(yè)務需求中應包括系統(tǒng)平安需求，系統(tǒng)平安需求包括：數據保護需求、訪問管理需求、審計需求、日志需求、容量需求等。初級將信息平安的需求作為功能性需求之一放入需求模板中。需求規(guī)格說明書模板中級完善業(yè)務需求中的平安需求，包括：數據保護需求、訪問管理需求、日志需求、容量需求和審計需求。需求規(guī)格說明書高級系統(tǒng)設計中納入信息平安設計系統(tǒng)設計書SD.07進行有效的工程質量控制機構應設置獨立于工程開發(fā)部門的質量保證人員，對工程過程質量、工程進度進行跟蹤、控制和匯報。初級設立工程質量保證崗〔可以兼職〕，建立用戶接受測試流程〔UAT〕。質量保證崗位說明書UAT測試標準中級質量保證人員參與各重大工程的質量管理，制定工程質量控制量化標準，建立質量控制點，對工程上線部署進行相應制約。有質量保證人員簽署的上線文檔重大工程質量控制報告高級1.建立質量保證團隊和測試團隊，對所有進行的開發(fā)工程進行獨立質量控制；2.根據工程管理實踐，建立滿足本行特色的、科學、標準的軟件開發(fā)工程質量管理體系，并嚴格實施。工程質量控制報告質量保證人員名單質量管理體系說明生產、開發(fā)、測試環(huán)境管理SD.09生產、開發(fā)、測試環(huán)境有效隔離信息系統(tǒng)的開發(fā)、測試環(huán)境與生產環(huán)境是否實現有效隔離。初級生產環(huán)境與開發(fā)環(huán)境、測試環(huán)境實現邏輯隔離或物理隔離。各獨立系統(tǒng)網絡拓撲圖中級開發(fā)環(huán)境與測試環(huán)境實現邏輯隔離或物理隔離。生產數據用于測試需要經過批準和脫敏網絡拓撲圖測試數據管理方法高級同中級同中級SD.10工程上線前進行有效驗證在系統(tǒng)變更、投產前，需要在生產驗證環(huán)境中進行驗證，及時發(fā)現并控制新系統(tǒng)上線風險。初級在測試環(huán)境配置和部署時，盡量保證與生產環(huán)境的一致性，并在此環(huán)境中進行UAT測試和上線驗證。UAT測試報告中級采用合理有效的同步方式保證準生產驗證環(huán)境所使用的軟件系統(tǒng)與生產環(huán)境保持一致。同初級高級建立生產驗證環(huán)境，保證所有重要系統(tǒng)變更、投產前在此環(huán)境中進行驗證。系統(tǒng)在生產驗證環(huán)境中進行驗證的報告系統(tǒng)投產前準備SD.11工程代碼平安檢查情況所有信息系統(tǒng)上線前均應進行代碼平安檢查，以最大程度保證信息系統(tǒng)到達平安性設計要求。初級每一個軟件模塊的編碼設雙崗，互測互查。軟件開發(fā)雙崗制度中級代碼檢查人員需要出具代碼檢查記錄并簽署。由專職的質量測試崗抽樣檢查、抽樣代碼評審。制定走查問題代碼跟蹤報告制度。代碼檢查記錄代碼平安檢查報告檢查問題代碼跟蹤報告高級利用外部資源，使用專業(yè)工具檢查代碼。代碼平安檢查報告SD.13系統(tǒng)投產及變更前制定上線方案和回退〔應急〕方案通過制定全面的系統(tǒng)投產方案，降低新系統(tǒng)投產及變更可能導致的風險。初級所有信息系統(tǒng)投產必須有上線方案，上線方案必須由質量管理人員簽署。重要信息系統(tǒng)投產前準備有回退方案。上線方案和回退方案中級制定詳細的工程上線配置流程，信息系統(tǒng)投產前準備有詳細的上線方案和回退方案。工程配置管理說明書上線方案和回退方案高級設置專門的配置管理崗位，上線部署必須經工程管委會開會批準，工程配置〔上線和回退等〕形成標準化的流程。系統(tǒng)投產準備會議工程配置管理方法工程評價SD.14工程后評價開展情況在系統(tǒng)投產后一定時期內，發(fā)起工程的業(yè)務部門應對其工程收益和工程目標實現情況進行工程后評價，與工程立項時的工程預期收益和工程目標進行比擬，評價工程的業(yè)務價值，為后續(xù)的工程組合管理提供數據。初級嚴格立項申請資料，在工程立項申請中必須明確衡量工程是否達成目標的客觀的指標：如工程預算、預期收益〔包括財務收益和非財務類收益〕等。具體指標應與具體工程的特征相關。工程立項申請書中級設計工程后評估模板，并對工程上線6個月或1年以上的重大工程進行一次后評估，對責任部門進行績效考核。工程后評估報告高級建立工程后評價資料庫，有序管理工程后評價資料。為后續(xù)的工程組合管理提供數據。工程后評價資料庫五、信息科技運行初級要求：1.為用戶提供各類技術相關事件的在線支持，及時解決生產運行問題。2.建立重要信息系統(tǒng)效勞測量機制并采取措施保障系統(tǒng)可用性；標準方案內停機，關注非方案內停機，減少由于停機帶來的影響。3.根據自身業(yè)務開展的需要制定容量規(guī)劃，以適應業(yè)務開展和交易量增長的需要；制定合理的性能和容量管理監(jiān)控報告機制，及時解決性能容量管理檢測中發(fā)現的問題。4.建立變更的授權審批機制，對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更明確相應的審批管理程序；加強生產環(huán)境系統(tǒng)變更實施過程的風險控制，對所有變更實施過程及結果進行記錄，加強變更的雙人操作或復核管理。5.制定明確的操作流程、操作手冊以指導運行操作人員的工作；保存生產系統(tǒng)的所有運行操作記錄；運行人員進行生產系統(tǒng)操作時由獨立人員對其操作步驟進行復核，減少出現操作失誤的可能性；系統(tǒng)運行、系統(tǒng)維護、開發(fā)人員的崗位相互完全別離，不存在兼崗現象。6.建立對應用、系統(tǒng)、網絡、設備的定期健康檢查機制，實現提前發(fā)現問題和隱患的目的。中級要求：1.使用統(tǒng)一的事件管理工具平臺，監(jiān)控異常、處理事件和投訴；制定生產故障事件分級管理策略。2.建立生產運行問題管理，關注問題根源分析的執(zhí)行情況，保證問題得到徹底解決。3.建立重要信息系統(tǒng)效勞持續(xù)性測量機制并采取措施保障系統(tǒng)可用性；標準方案內停機，關注非方案內停機，減少由于停機帶來的影響。4.根據自身業(yè)務開展的需要制定容量規(guī)劃，以適應業(yè)務開展和交易量增長的需要，制定合理的性能和容量管理監(jiān)控報告機制，及時解決性能容量管理檢測中發(fā)現的問題。5.建立變更的授權審批機制，對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更明確相應的審批管理程序，對業(yè)務有影響的生產環(huán)境變更由業(yè)務部門與科技部門共同審批；加強生產環(huán)境系統(tǒng)變更實施過程的風險控制，對所有變更實施過程及結果進行記錄，并定期核查，提出改良意見；加強變更的雙人操作或復核管理。6.制定明確的操作流程、操作手冊以指導運行操作人員的工作；保存生產系統(tǒng)的所有運行操作記錄；運行人員進行生產系統(tǒng)操作時由獨立人員對其操作步驟進行復核，減少出現操作失誤的可能性；系統(tǒng)運行、系統(tǒng)維護、開發(fā)人員的崗位相互完全別離，不存在兼崗現象。7.搭建重要信息系統(tǒng)、網絡、機房環(huán)境的實時監(jiān)控平臺，及時發(fā)現、處理問題，盡量減小損失；建立對應用、系統(tǒng)、網絡、設備的定期健康檢查機制，實現提前發(fā)現問題和隱患的目的。高級要求：1.使用統(tǒng)一的事件管理工具平臺，監(jiān)控異常、處理事件和投述，有專門的部門負責事件管理；制定生產故障事件分級管理策略。2.建立生產運行問題管理，關注問題根源分析的執(zhí)行情況，保證問題得到徹底解決。3.建立重要信息系統(tǒng)效勞持續(xù)性測量機制并采取措施保障系統(tǒng)可用性；標準方案內停機，關注非方案內停機，減少由于停機帶來的影響。4.根據自身業(yè)務開展的需要制定容量規(guī)劃，以適應業(yè)務開展和交易量增長的需要，制定合理的性能和容量管理監(jiān)控報告機制，及時解決性能容量管理檢測中發(fā)現的問題。5.建立變更的授權審批機制，對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更明確相應的審批管理程序，對業(yè)務有影響的生產環(huán)境變更由業(yè)務部門與科技部門共同審批；加強生產環(huán)境系統(tǒng)變更實施過程的風險控制，對所有變更實施過程及結果進行記錄，并定期核查，提出改良意見，加強變更的雙人操作或復核管理。6.制定明確的操作流程、操作手冊以指導運行操作人員的工作；保存生產系統(tǒng)的所有運行操作記錄；運行人員進行生產系統(tǒng)操作時由獨立人員對其操作步驟進行復核，減少出現操作失誤的可能性；系統(tǒng)運行、系統(tǒng)維護、開發(fā)人員的崗位相互完全別離，不存在兼崗現象。7.完善的重要信息系統(tǒng)、網絡、機房環(huán)境的實時監(jiān)控平臺，及時發(fā)現、處理問題，盡量減小損失；建立應用、系統(tǒng)、網絡、設備的定期健康檢查機制，實現提前發(fā)現問題和隱患的目的。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔信息科技運行(DS)事件管理DS.01由專門的部門負責事件管理為保證信息科技事件管理的及時有效，需由專門的部門或崗位負責該項工作。初級明確事件管理的負責部門〔崗位〕，完善與業(yè)務部門協調制度，為用戶提供各類技術相關事件的在線支持。部門〔崗位〕職責技術支持人員通訊錄中級指定人員為用戶提供各類技術相關事件的在線支持，按照既定處理流程處理。指定事件經理對事件進行管理。事件處理流程事件單高級1.建立效勞臺，落實專門的崗位受理事件，進行回訪，提高效勞水平。標準效勞臺的工作，標準二線技術支持工作，并對效勞臺和二線技術支持工作進行考核。2.應參考業(yè)內標準，建立效勞水平管理體系，改善IT效勞的質量，提高IT流程的效果和效率?？己朔椒ㄊ录芾矸椒ㄊ录蜪T效勞水平管理體系DS.02制定生產故障事件分級管理策略通過合理的故障分級管理，按照不同級別上報并進行后續(xù)處理，以實現快速、有效、有序地恢復系統(tǒng)和效勞的正常運作。初級建立事故管理及處置機制，及時處理和上報生產故障。故障記錄中級按影響范圍、影響時間、系統(tǒng)重要性等指標建立事故管理及處置機制，及時響應信息系統(tǒng)運行事故。設立詳細的事件上報時間點和路線圖。故障分級管理策略故障類事件單上報程序圖〔表〕高級1.對特殊事件逐級向相關人員報告事故的發(fā)生；2.制定突發(fā)應急事件處理機制。事件批示記錄突發(fā)應急事件處理機制DS.03使用統(tǒng)一的事件管理工具平臺，監(jiān)控異常、處理事件和投訴事件管理工具平臺是信息科技運行事件管理的重要工具，對各類事件進行集中管理，統(tǒng)一監(jiān)控異常、處理事件和投訴。初級建立事件檔案庫，對歷史事件進行集中歸檔。歷史事件檔案中級用事件管理工具平臺，對重要事件進行集中管理，統(tǒng)一監(jiān)控異常、處理事件和投訴。事件管理工具平臺的部署事件管理方法高級制定事件定期分析機制，優(yōu)化現有制度。事件定期分析報告問題管理DS.04生產運行問題根源分析機制問題根源分析機制專注于問題根源的總結分析，通過制定問題解決方案，保證問題得到徹底解決，防止同類問題的重復發(fā)生。初級1.明確生產運行問題分析部門，建立根本的問題分析、解決制度；2.及時分析和解決生。產運行問題；3.搜集問題根源分析的執(zhí)行情況。生產運行問題分析解決制度問題記錄中級建立有效的問題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問題，并對問題進行記錄、分類和索引。指定問題經理對問題進行管理、協調。問題管理流程問題單高級建立問題根源分析機制，防止同類問題的重復發(fā)生。定期匯總生產問題報質量控制經理及相關工程負責人審閱。分析記錄生產問題匯總表可用性管理DS.05重要信息系統(tǒng)可用性應建立重要信息系統(tǒng)效勞持續(xù)性的測量機制并采取措施保障系統(tǒng)可用性，重要信息系統(tǒng)可用率反映了信息系統(tǒng)提供持續(xù)效勞的水平。初級建立重要信息系統(tǒng)效勞持續(xù)性的測量機制。，重要系統(tǒng)可用性到達監(jiān)管最低要求。系統(tǒng)運行情況分析系統(tǒng)維護、升級記錄系統(tǒng)可用性保障方法中級1.建立重要信息系統(tǒng)可用性定期分析改善機制。2.重要信息系統(tǒng)有必要的冗余和負載平衡。分析重要信息系統(tǒng)可用率。重要信息系統(tǒng)可用性定期分析改善機制分析記錄高級同中級同中級DS.06重要信息系統(tǒng)非預期停止效勞情況關注于突發(fā)事件引發(fā)業(yè)務中斷的情況。初級制定業(yè)務協調和向監(jiān)管部門報備等相關工作機制。管理突發(fā)事件記錄，分析突發(fā)事件引發(fā)業(yè)務中斷的情況。工作機制系統(tǒng)運行情況分析方案外停機資料中級1.針對突發(fā)事件與業(yè)務中斷修訂應急預案；2.分析影響并采取措施盡量減少由于停止效勞帶來的影響。影響分析記錄應急預案修訂記錄高級1.制定標準的突然事件與業(yè)務中斷管理流程；2.制定現有重要信息系統(tǒng)定期風險評估制度突然事件與業(yè)務中斷管理流程重要信息系統(tǒng)定期風險評估制度DS.07重要信息系統(tǒng)方案內停止效勞情況關注超過30分鐘以上的方案內效勞停止次數，應制定運行規(guī)劃，做好業(yè)務協調和向監(jiān)管部門報備等相關工作，盡量減少由于停止效勞帶來的影響。初級分析整理超過30分鐘以上的方案內效勞，包括時間、原因，制定運行規(guī)劃。方案內停機處理流程方案內停機資料系統(tǒng)運行情況分析中級制定業(yè)務協調和向監(jiān)管部門報備等相關工作機制工作機制高級分析影響并采取措施盡量減少由于停止效勞帶來的影響。影響分析記錄性能和容量管理DS.08重要信息系統(tǒng)容量規(guī)劃滿足業(yè)務開展需求情況應根據自身業(yè)務開展的需要制定容量規(guī)劃，以適應業(yè)務開展和交易量增長的需要。初級分析自身業(yè)務開展的現狀和需要。工程上線文檔系統(tǒng)運行情況分析中級根據自身業(yè)務開展的需要制定短期容量規(guī)劃，以適應業(yè)務開展和交易量增長的需要。短期容量規(guī)劃高級建立重要信息系統(tǒng)交易量的定期測量機制，根據自身業(yè)務開展的需要制定短期容量規(guī)劃，以適應業(yè)務開展和交易量增長的需要。交易量測量機制長期容量規(guī)劃DS.09性能和容量監(jiān)控情況應制定合理的性能和容量管理監(jiān)控報告機制，及時報告性能容量管理檢測中發(fā)現的問題，分析各項性能和容量指標是否超過閾值，并進行后續(xù)擴容、調優(yōu)處理。初級制定合理的性能和容量管理監(jiān)控報告機制，及時報告性能容量管理檢測中發(fā)現的問題。系統(tǒng)運行情況分析系統(tǒng)擴容、調優(yōu)記錄中級分析各項性能和容量指標是否超過閾值。分析記錄高級結合分析情況進行后續(xù)擴容、調優(yōu)處理。后續(xù)擴容、調優(yōu)處理記錄變更與維護DS.10建立生產變更授權審批機制關注建立變更的授權審批機制。對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更明確相應的審批管理程序。通過文檔化的審批流程，實現對變更的風險控制。初級對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更明確相應的審批管理程序。變更管理方法緊急變更管理方法變更資料中級通過文檔化的審批流程，實現對變更的風險控制。分析各類變更可能帶來的風險。變更審批流程風險分析報告高級同中級同中級DS.11生產環(huán)境變更管理情況關注在生產環(huán)境系統(tǒng)變更實施過程的風險控制，在系統(tǒng)變更前，科技部門要提交系統(tǒng)變更方案及申請報告，明確變更存在的風險及對系統(tǒng)的影響。通過制定變更前的回退和應急方案控制風險。初級系統(tǒng)變更前，科技部門要提交系統(tǒng)變更方案及申請報告。變更管理方法緊急變更管理方法變更資料中級在變更方案和申請報告中補充變更存在的風險及對系統(tǒng)的影響。變更管理方法變更資料風險分析報告系統(tǒng)影響分析報告高級1.應建立重要設備和系統(tǒng)配置基線，實現系統(tǒng)維護和配置標準化和標準化；2.及時修訂變更前的回退和應急方案控制風險。配置基線記錄變更管理方法修訂記錄DS.12生產變更記錄有效保存、定期核查關注生產環(huán)境系統(tǒng)變更實施過程的風險控制，對所有變更實施過程及結果進行記錄，并定期核查，提出改良意見。初級對所有變更實施過程及結果進行記錄。變更管理方法變更資料中級對所有變更定期核查，提出改良意見。變更管理方法變更資料高級建立變更風險管理的后評價機制。后評價機制DS.13有效控制生產環(huán)境的變更風險關注生產環(huán)境系統(tǒng)變更實施過程的風險控制，通過加強變更的雙人操作或復核管理，確保變更實施的正確性。初級確保變更的雙人操作或復核。變更管理方法變更資料中級明確變更的雙人操作或復核的管理要求。變更管理方法〔包含管理要求〕高級建立變更的事后監(jiān)督機制。事后監(jiān)督機制DS.14對業(yè)務有影響的生產環(huán)境變更由業(yè)務部門與科技部門共同審批對業(yè)務有影響的生產環(huán)境變更應由業(yè)務部門與科技部門共同審批。初級對業(yè)務有影響的生產環(huán)境變更主要由科技部門審批，但要得到業(yè)務部門的認可。變更管理方法變更資料中級對業(yè)務有影響的生產環(huán)境變更由主要業(yè)務部門與科技部門共同審批。變更管理方法變更資料高級分析業(yè)務的影響，確保對業(yè)務有影響的生產環(huán)境變更由所有相關業(yè)務部門與科技部門共同審批，對有重大影響的生產環(huán)境變更應由風險管理部門參與審批。變更管理方法〔明確各部門職責〕系統(tǒng)運行操作DS.15配備標準、準確的操作手冊以指導運行人員操作生產運行部門應制定明確的操作流程、操作手冊以指導運行操作人員的工作。初級1.制定明確的操作流程、操作手冊以指導運行操作人員的工作;2.制定系統(tǒng)操作人員培訓機制。操作流程

操作手冊運行管理方法系統(tǒng)操作人員培訓機制中級建立操作流程、操作手冊的管理方法，確保及時更新。文檔管理方法高級建立操作流程、操作手冊的有效性分析機制。有效性分析機制DS.16保存生產系統(tǒng)的所有運行操作記錄關注運行人員操作記錄的完整性和準確性，以滿足平安和可恢復要求。初級所有運行操作應當被記錄，建議引進運行行為審計平臺以方便管理。運行行為審計平臺部署運行行為審計平臺管理方法中級制定操作記錄的審核機制，確保完整性和準確性。審核方法和記錄高級建立操作記錄對滿足平安性和可恢復性的分析機制。分析記錄DS.17有效控制生產運行操作風險運行人員進行生產系統(tǒng)操作時應當由獨立人員對其操作步驟進行復核，減少出現操作失誤的可能性。初級評估操作風險，對明確需雙人執(zhí)行的生產系統(tǒng)操作，應當由獨立人員對其操作步驟進行復核。運行管理方法

操作記錄中級復核人員應對復核中發(fā)現的問題進行分析歸類。操作記錄分析高級風險管理部門應參與對生產運行操作風險的管理。操作記錄分析DS.18實現信息科技運行與系統(tǒng)開發(fā)和維護別離系統(tǒng)運行、系統(tǒng)維護、開發(fā)人員的崗位應當相互完全別離，不存在兼崗現象。初級系統(tǒng)運行、系統(tǒng)維護、開發(fā)人員的崗位應當相互完全別離。崗位及崗位職責中級系統(tǒng)運行、系統(tǒng)維護、開發(fā)人員應為專職人員，不存在兼崗現象。崗位及崗位職責高級建立定期審查機制。定期審查機制系統(tǒng)運行監(jiān)控DS.19利用實時監(jiān)控工具對生產運行環(huán)境、重要信息系統(tǒng)等進行監(jiān)控通過對系統(tǒng)平臺、重要信息系統(tǒng)、網絡、機房環(huán)境的實時監(jiān)控，及時發(fā)現、處理問題，盡量減小損失。初級明確自動監(jiān)控平臺的需求。需求分析記錄中級搭建重要信息系統(tǒng)〔含操作系統(tǒng)、數據庫、中間件、應用等〕、網絡、機房環(huán)境的實時監(jiān)控平臺，及時發(fā)現、處理問題，盡量減小損失。自動監(jiān)控平臺的部署自動監(jiān)控平臺管理方法高級完善自動監(jiān)控平臺。自動監(jiān)控平臺的監(jiān)控范圍、指標自動監(jiān)控平臺管理方法DS.20生產運行環(huán)境、重要信息系統(tǒng)等的實時監(jiān)控工具具有自動預警功能機構應使用運行環(huán)境、網絡、系統(tǒng)實時監(jiān)控工具，及時、完整地報告異常情況，并提供預警功能，在異常情況對系統(tǒng)性能造成影響前對其進行識別和修正。初級明確運行環(huán)境、網絡、系統(tǒng)實時監(jiān)控工具的部署需求。需求分析記錄中級運行環(huán)境、網絡、系統(tǒng)實時監(jiān)控工具應及時、完整地報告異常情況，并提供預警功能，在異常情況對系統(tǒng)性能造成影響前對其進行識別和修正。實時監(jiān)控工具預警閥值

實時監(jiān)控工具與事件管理平臺接口自動監(jiān)控平臺管理方法高級1.優(yōu)化閥值2.制定生產運行環(huán)境預警事件處理機制實時監(jiān)控工具預警閥值自動監(jiān)控平臺管理方法生產運行環(huán)境預警事件處理機制DS.21對重要信息系統(tǒng)運行情況檢測、評估情況專注于生產運行維護的平安控制，通過建立對應用、系統(tǒng)、網絡、設備進行定期健康檢查的機制，實現提前發(fā)現問題和隱患的目的。初級建立對應用、系統(tǒng)、網絡、設備進行定期健康檢查的機制。巡檢規(guī)定

巡檢手冊

巡檢記錄中級檢查定期健康檢查機制執(zhí)行情況。巡檢核查記錄高級分析檢查檢查機制是否實現提前發(fā)現問題和隱患的目的，并進行完善。修訂記錄六、災難恢復與應急管理初級要求：根本建立符合全行業(yè)務連續(xù)性規(guī)劃要求的信息系統(tǒng)應急管理和災難恢復體系，具備突發(fā)事件和災難的初步防御能力。具體要求包括：按照《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理標準》要求，建立應急管理組織機構，明確應急團隊的人員組成和工作職責。通過設備及線路冗余、雙機熱備等措施，消除重要信息系統(tǒng)單點隱患，保障重要信息系統(tǒng)的可用性。實施風險評估和業(yè)務影響分析，識別重要信息系統(tǒng)面臨的風險，明確重要信息系統(tǒng)的災難恢復指標，包括RTO、RPO、恢復等級、恢復優(yōu)先順序等。按照《商業(yè)銀行數據中心監(jiān)管指引》中有關要求，建設同城或異地災難備份中心，并覆蓋到關鍵信息系統(tǒng)。根據《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理標準》，制定重要信息系統(tǒng)的應急預案，明確各類生產事件的應急處理措施和流程。制定機構災難恢復預案。災難恢復預案覆蓋機構所有重要信息系統(tǒng)，主要包括災難恢復組織機構及人員聯系方式、匯報路線和溝通協調機制、資源分配、災難恢復流程等內容，并包括將重要業(yè)務從生產中心到災備中心的切換和回切方案。制定年度信息系統(tǒng)應急演練方案，并按照應急演練方案實施演練。對每個信息系統(tǒng)應急預案至少組織一次演練，至少組織一次全系統(tǒng)范圍內的應急演練。至少組織一次災難恢復演練，災難恢復演練應包括從生產中心到災備中心的切換和回切測試驗證。對災備系統(tǒng)實施基準核對、變更同步等運維活動，將生產環(huán)境的變更同步到災備環(huán)境，確保災備切換有效性。中級要求：全面建立信息系統(tǒng)應急管理和災難恢復體系，具備突發(fā)事件和災難的較強防御能力。具體要求包括：制定機構重要信息系統(tǒng)突發(fā)事件應急管理制度，以制度形式明確突發(fā)事件應急工作的管理機制和流程。通過新建、升級改造、租用等手段，提高數據中心根底設施的可用性，滿足《商業(yè)銀行數據中心監(jiān)管指引》中對運行環(huán)境的相關要求。風險評估和業(yè)務影響分析的實施范圍擴大到機構其他外圍業(yè)務和系統(tǒng)。實現災備級別從同步數據級向同步應用級的跨越，跨省域設立分支機構或總資產規(guī)模超千億的法人機構重要信息系統(tǒng)災難恢復能力應至少到達《信息系統(tǒng)災難恢復標準》中定義的災難恢復等級第5級。其他機構重要信息系統(tǒng)災難恢復能力至少到達災難恢復等級第4級。至少組織一次全面災難恢復演練，演練范圍包括機構全部重要信息系統(tǒng)。演練應以接管真實業(yè)務為目標，實施重要信息系統(tǒng)的切換、接替生產中心運行和回切，全面驗證災備系統(tǒng)有效接管生產系統(tǒng)以及平安回切的能力。對各類應急和災難恢復預案至少定期組織一次修訂更新。建立生產中心與災備中心統(tǒng)一運維體系，制定災備中心運維管理制度，明確運維管理流程。至少執(zhí)行一次對機構應急管理工作的評估和審計，評估范圍包括應急響應的有效性、投入資源的充分性、突發(fā)事件報告的及時性等。高級要求：檢驗和完善信息系統(tǒng)應急管理和災難恢復體系，實現應急管理和災難恢復體系的持續(xù)改良。具體要求包括：采用監(jiān)控管理工具，實時監(jiān)控根底設施、重要信息系統(tǒng)和通信網絡的運行狀況，通過監(jiān)測、采集、分析和調優(yōu)，持續(xù)提升生產系統(tǒng)運行的可靠性、穩(wěn)定性和可用性。將災備系統(tǒng)覆蓋范圍擴大到其他外圍系統(tǒng)，實現災備系統(tǒng)全覆蓋?？缡∮蛟O立分支機構或總資產規(guī)模超千億的法人機構重要信息系統(tǒng)實現兩地三中心災備架構。組織業(yè)務管理部門針對信息系統(tǒng)突發(fā)事件編制相應的業(yè)務應急及恢復預案，包括業(yè)務流程恢復指引和業(yè)務恢復操作手冊。至少組織一次以業(yè)務部門為主的應急演練，重點演練災難發(fā)生后的業(yè)務部門的應急和恢復流程和操作，提高業(yè)務部門在災難發(fā)生后的業(yè)務持續(xù)運行能力。在機構業(yè)務狀況、信息系統(tǒng)狀況、風險狀況發(fā)生重大變化后，及時評估預案的適用性并進行更新。至少執(zhí)行一次對機構應急管理工作的評估和審計。根據評估和審計報告提出的改良措施進行整改，并組織審計部門對整改情況進行監(jiān)督和檢查。各指標具體控制要求：子領域關鍵控制目標編碼指標指標描述級別目標與要求結果文檔災難恢復與應急管理(BC)

制定災難恢復方案以及應急預案BC.01設立重要信息系統(tǒng)重大突發(fā)事件應急組織，建立應急管理體系應當建立應急管理體系，設立重要信息系統(tǒng)重大突發(fā)事件應急組織，明確職責分工和溝通機制。初級建立應急領導小組、應急執(zhí)行小組和支持保障小組等在內的應急管理組織機構，并明確各應急團隊的人員組成和工作職責。應急管理組織機構及職責說明中級制定與完善本機構重要信息系統(tǒng)突發(fā)事件應急管理制度，明確突發(fā)事件應急工作的管理機制和流程。計算機重要信息系統(tǒng)突發(fā)事件應急管理制度高級同中級同中級BC.02明確重要信息系統(tǒng)災難恢復目標通過業(yè)務影響分析，銀行應明確其重要業(yè)務系統(tǒng)的RTO/RPO。初級確定重要信息系統(tǒng)的災難恢復目標，包括RTO、RPO等容災建設方案中級實施風險評估和業(yè)務影響分析，識別重要信息系統(tǒng)面臨的風險，明確重要信息系統(tǒng)的災難恢復目標，包括RTO、RPO、恢復等級、恢復優(yōu)先順序等。風險評估報告風險處置方案業(yè)務影響分析報告重要信息系統(tǒng)災難恢復策略高級風險評估和業(yè)務影響分析的實施范圍擴大到機構其他外圍業(yè)務和系統(tǒng)。風險評估報告風險處置方案業(yè)務影響分析報告各信息系統(tǒng)災難恢復策略BC.03重要信息系統(tǒng)納入災備情況重要信