关于印发银监会《银行业金融机构信息系统安全保障问责方案》的通知
银监办发〔2008〕142 号
各银监局,各国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为督促银行业金融机构建立有效的信息系统安全保障机制,落实信息系统安全保障责任制度,确保银行业金融机构信息系统在北京奥运会期间的安全、持续、稳定运行,现将《银行业金融机构信息系统安全保障问责方案》印发给你们,请认真执行。请各银监局将本通知转发至辖内银行业金融机构,并要求法人机构签署信息系统安全保障承诺书,指导、督促银行业金融机构加强信息安全管理,落实信息系统安全保障责任。
银行业金融机构信息系统安全保障问责方案
为建立有效的银行业金融机构信息系统安全保障体系,落实信息系统安全保障责任,特制定本方案。
一、总体原则
(一)明确责任。银行业金融机构要建立信息安全治理架构,明确董事会、高管层对信息系统安全管理的职责权限,建立并落实信息安全管理责任制。
(二)主动预防。银行业金融机构要建立信息安全突发事件风险防范体系,建立有效的信息安全风险评估、风险预警机制,对可能导致突发事件的风险进行有效识别、分析和控制,并实施对风险指标的动态、持续监测。
(三)快速响应。银行业金融机构要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制,确保突发事件发生时响应及时、联系通畅、操作准确、处理高效。
(四)持续改进。银行业金融机构要定期评价信息安全管理工作,定期对各级信息安全责任人进行考核,持续改进信息安全保障制度及方案。
二、问责机制
(一)各银行业金融机构法定代表人为本机构信息系统安全保障的第一责任人,按照“谁主管谁负责、谁运行谁负责”的原则,层层落实信息安全责任制。
(二)各银行业金融机构要将信息系统安全保障责任分解细化,逐项落实到具体部门、具体责任人,逐级签订信息系统安全保障责任书,强化信息安全管理执行力。
(三)银监会将把银行信息安全事件管理纳入到银监会统一的重大失职和大案要案责任追究认定管理范畴内,建立起信息安全非现场和现场检查激励约束机制,并把信息系统安全事件报告制度执行情况列为对银行业金融机构考核内容。
(四)银监会和各银监局按照监管权责,敦促法人机构签署信息系统安全保障承诺书,明确高管人员对信息系统安全保障的管理责任。
(五)对于以下情形,银监会及其派出机构根据信息系统安全保障承诺书追究银行业金融机构信息安全管理责任人责任。对于信息安全管理失职并造成严重不良后果的,将对其通报批评,情节特别严重、造成严重危害后果的,依据有关规定追究法律责任。
1.因信息安全管理工作不到位或失职,导致本机构发生重大信息安全事件;
2.迟报、漏报、瞒报信息安全事件,或对信息安全事件处理措施不到位;
3.不遵守有关信息安全规章制度,不执行上级部门及监管部门的信息安全管理要求。
三、组织机制
各银行业金融机构要建立有效的信息安全治理架构,制定信息安全战略,完善信息安全内部管理组织架构和工作机制,将信息安全管理纳入本机构整体信息科技风险管理框架。
(一)各银行业金融机构要高度重视和支持信息安全管理工作,法定代表人要对本机构信息安全管理负总责。要成立信息安全领导机构,由高管层、风险管理部门、信息科技部门、审计部门、合规部门及相关业务部门负责人共同组成,负责重大信息安全事项的决策和审批,明确各部门的信息安全管理职能分工,授权有关部门和人员组织开展信息安全工作,为实施信息安全管理提供坚强的组织保障。
(二)各银行业金融机构应在信息安全领导机构的指导下,设立专门的信息安全管理机构,制定具体的信息安全管理策略和规章制度,组织实施信息安全管理措施。各分支机构及相关部门要设立信息安全管理岗位,由专人负责各项信息安全规章制度和保障措施的落实。
四、监管机制
银监会及其派出机构通过非现场监管、现场检查、应急管理、风险提示、协同保障等工作机制,指导并督促各银行业金融机构加强信息安全管理,落实信息系统安全保障责任。
(一)非现场监管。建立非现场监管分析、预警模型,及时发现风险点,有针对性的指导现场检查工作。开展对银行业金融机构信息科技综合评级,系统评价其信息科技的治理水平和风险状况,建立评级评价体系。
(二)现场检查。组织信息安全现场检查,开展差距分析、后评价等监管措施,实现持续监管,督促各银行业金融机构落实责任。
(三)应急管理。督促银行业金融机构建立应急管理机制,开展信息安全应急演练,不断提高应急处置能力。
(四)风险提示。建立风险提示机制,适时就银行业信息科技风险发出提示,警示银行业金融机构及时了解信息安全风险态势,落实风险防范措施,防患于未然。
(五)协同保障。建立与公安机关、中国银联、电力、电信、证券等部门以及重要信息系统服务商的安全突发事件应急协调机制,加强情报交流,加强技术协作,提高协同保障能力。
附件:信息系统安全保障承诺书
附件
信息系统安全保障承诺书
为确保我行信息系统连续、安全、稳定运行,根据中国银行业监督管理委员会(以下简称“银监会”)《银行业重要信息系统突发事件应急管理规范(试行)》、《银行业金融机构信息系统安全保障问责方案》、《银行、证券跨行业信息系统突发事件应急处置指引》以及银监会关于信息系统风险相关提示各项要求,结合我行实际,现就做好有关信息系统安全保障工作承诺如下:
一、总体目标
全面落实信息系统安全保障措施,确保重要信息系统连续、安全、稳定运行。
二、领导责任
我行法定代表人对本行全国范围内的信息系统安全保障工作负第一责任,并组成相应的管理和专业技术队伍组织落实。
三、工作目标承诺
(一)切实做好信息系统安全保障工作
1.建立有效的信息安全治理框架,明确责任,制定信息安全政策和程序,制定信息安全策略,完善信息安全内部管理组织架构和工作机制。
2.成立信息安全领导机构,明确各部门的信息安全管理职能分工,授权有关部门和人员组织开展信息安全工作。
3.建立信息安全管理机构,建立信息安全管理体系,制定信息安全管理策略和规章制度,组织实施信息安全管理措施;各分支机构及部门设立信息安全管理岗位,负责各项信息安全制度和措施在本部门的落实。
(二)切实做好重要信息系统突发事件应急管理工作
我行要尽快建立和完善信息系统安全应急管理组织架构,明确职责和工作流程。开展重要信息系统应急演练。对演练中发现的问题及时整改,并将演练的过程及效果报监管部门。
(三)严格执行信息系统重大突发事件的报告制度
我行将及时、全面、客观地向监管部门报告本行所发生的信息系统重大突发事件。
四、问责承诺
(一)因保障措施不力导致不能提供正常服务等重大突发事件且造成较大社会影响的,我行将严肃追究相关领导和负责人的责任。
(二)对因瞒报、谎报、迟报、漏报信息系统突发事件的,视情节轻重,我行将严肃追究相关人员责任。
五、本承诺书自签署之日起生效。
六、本承诺书一式贰份,承诺方与银监会(银监局)各保留壹份,贰份具同等效力。
法定代表人年月日
- 中国银监会办公厅关于印发银行业金融机构销售专区录音录像管理暂行规定的通知(银监办发〔2017〕110号)
- 中国银监会印发《商业银行声誉风险管理指引》.doc
- 中国银监会关于印发《金融资产管理公司并表监管指引(试行)》的通知
- 中国银监会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知_1
- 1中国银监会关于印发《商业银行操作风险管理指引》的通知
- 中国银监会关于印发《商业银行操作风险管理指引》的通知
- 银监发【2011】104号 中国银监会关于印发商业银行业务连续性监管指引的通知
- 中国银监会关于印发银行业金融机构案件处置三项制度的通知(银监发[2010]111号)
- 中国银监会关于印发《银行并表监管
- 中国银监会关于印发国别风险
- 5-2-6中国银监会关于印发《中国银行业实施新资本协议指导意见》的通知
- 中国银监会关于印发《银行业金融机构外部审计监管指引》的通知
- 中国银监会关于印发《商业银行压力测试指引》的通知
- 中共中国银行业监督管理委员会委员会关于印发《关于中国银监会及
- 中国银监会关于印发《银行业金融机构国别风险管理指引》的通知
- 银监发[2011]104号(银监会关于印发商业银行业务连续性监管指引的通知)
- 中国银监会关于印发《商业银行操作风险管理指引》的通知
- 【9A文】中国银监会关于印发贷款风险分类指引的通知
- 中国银监会关于印发《小企业贷款风险分类办法(试行)》的通知
- 银监发[2010]45号 中国银监会关于印发《银行业金融机构国别风险管理指引》的通知