(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条 银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条 银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条 银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条 银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条 银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第十条 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
第十一条 银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十二条 银行业金融机构董事会及高级管理层应审慎重大项目的风险评估报告。
第十三条 银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条 银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定年度投产及变更规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第十五条 银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
