商業(yè)銀行信息科技風(fēng)險管理指引-英文版

1、 PAGE 17 of NUMPAGES 17 DATE M/d/yyyy 9/7/2022Guiddeliiness onn thhe RRiskk Maanaggemeent ofCommmercciall Baankss IInfoormaatioon TTechhnollogyyChappterr IGenneraal PProvvisiionssPurssuannt tto tthe Laww off thhe PPeopples RRepuubliic oof CChinna oon BBankkingg Reegullatiion andd Suuperrvissionn, tt

2、he Laww off thhe PPeopples RRepuubliic oof CChinna oon CCommmercciall Baankss, tthe Reggulaatioons of thee Peeoplless Reepubblicc off Chhinaa onn Addminnisttrattionn off Fooreiign-funndedd Baankss, aand othher apppliccablle llawss annd rreguulattionns, thee Guuideelinnes on thee Riisk Mannageemennt

3、oof CCommmercciall Bankks Infformmatiion Tecchnoologgy (herreinnaftter refferrred to as thee Guuideelinnes) iss foormuulatted.The Guiidellinees aapplly tto aall thee coommeerciial bannks leggallly iincoorpooratted witthinn thhe tterrritoory of thee Peeoplless Reepubblicc off Chhinaa.The Guiidellinee

4、s maay aapplly tto ootheer bbankkingg innstiituttionns iinclludiing pollicyy baankss, rruraal ccoopperaativve bbankks, urbban creeditt cooopeerattivees, rurral creeditt cooopeerattivees, villlagge bbankks, loaan ccomppaniies, fiinannciaal aasseet mmanaagemmentt coompaaniees, truust andd innvesstmeen

5、t commpanniess, ffinaancee fiirmss, ffinaanciial leaasinng ccomppaniies, auutommobiile finnancciall coompaaniees aand monney brookerrs.The terrm “infformmatiion tecchnoologgy” staatedd inn thhe GGuiddeliiness shhalll reeferr too thhe ssysttem buiilt witth ccompputeer, coommuuniccatiion andd sooftwwa

6、ree teechnnoloogiees, andd emmplooyedd byy coommeerciial bannks to hanndlee buusinnesss trranssacttionns, opeerattionn maanaggemeent, annd iinteernaal ccommmuniicattionn, ccolllaboorattivee woork andd coontrrolss. TThe terrm aalsoo inncluude IT govvernnancce, IT orgganiizattionn sttruccturre aand IT

7、 polliciies andd prroceedurres.The rissk oof iinfoormaatioon ttechhnollogyy reeferrs tto tthe opeerattionnal rissk, leggal rissk aand repputaatioon rriskk thhat aree caauseed bby nnatuurall faactoor, humman facctorr, ttechhnollogiicall looophholees oor mmanaagemmentt deeficciennciees wwhenn ussingg

8、innforrmattionn teechnnoloogy.The objjecttivee off innforrmattionn syysteem rriskk maanaggemeent is to esttabllishh ann efffecctivve mmechhaniism thaat ccan ideentiify, meeasuure, moonittor, annd cconttroll thhe rriskks oof ccommmercciall baankss iinfoormaatioon ssysttem, ennsurre ddataa innteggritt

9、y, avaailaabillityy, cconffideentiialiity andd coonsiisteencyy, pprovvidee thhe rreleevannt eearlly wwarnningg, aand theerebby eenabble commmerrciaal bbankks bussineess innnovaatioons, upplifft ttheiir ccapaabillityy inn uttiliizinng iinfoormaatioon ttechhnollogyy, iimprrovee thheirr coore commpetti

10、tiivennesss annd ccapaacitty ffor susstaiinabble devveloopmeent.Chappterr IIIIT govvernnancceThe leggal reppressenttatiive of commmerrciaal bbankk shhoulld bbe rrespponssiblle tto eensuure commpliiancce oof tthiss guuideelinne. The boaard of dirrecttorss off coommeerciial bannks shoouldd haave thee

11、foolloowinng rrespponssibiilittiess wiith resspecct tto tthe mannageemennt oof iinfoormaatioon ssysttemss:Impllemeentiing andd coompllyinng wwithh thhe nnatiionaal llawss, rreguulattionns aand tecchniicall sttanddardds pperttainningg too thhe mmanaagemmentt off innforrmattionn syysteems, ass weell a

12、s thee reegullatoory reqquirremeentss seet bby tthe Chiina Bannkinng RReguulattoryy Coommiissiion (heereiinaffterr reeferrredd too ass thhe “CBRRC”);Periiodiicallly revviewwingg thhe aaliggnmeent of IT strrateegy witth tthe oveeralll bbusiinesss sstraateggiess annd ssignnifiicannt ppoliiciees oof tt

13、he bannk, asssesssingg thhe ooverralll efffecctivveneess andd effficcienncy of thee ITT orrgannizaatioon.Apprroviing IT rissk mmanaagemmentt sttrattegiies andd poolicciess, uundeersttanddingg thhe mmajoor IIT rriskks iinvoolveed, setttinng aacceeptaablee leevells ffor theese rissks, annd eensuurinng

14、 tthe impplemmenttatiion of thee meeasuuress neecesssarry tto iidenntiffy, meaasurre, monnitoor aand conntrool tthesse rriskks. Setttingg hiigh ethhicaal aand inttegrrityy sttanddardds, andd esstabblisshinng aa cuultuure witthinn thhe bbankk thhat empphassizees aand demmonsstraatess too alll lleveel

15、s of perrsonnnell thhe iimpoortaancee off ITT riisk mannageemennt. Estaabliishiing an IT steeeriing commmittteee whhichh coonsiistss off reepreesenntattivees ffromm seenioor mmanaagemmentt, tthe IT orgganiizattionn, aand majjor bussineess uniits, too ovverssee theese ressponnsibbiliitiees aand reppo

16、rtt thhe eeffeectiivennesss off sttrattegiic IIT pplannninng, thee ITT buudgeet aand acttuall exxpennditturee, aand thee ovveraall IT perrforrmannce to the bboarrd oof ddireectoors andd seenioor mmanaagemmentt peerioodiccallly. Estaabliishiing IT govvernnancce sstruuctuure, prropeer ssegrregaatioon

17、oof ddutyy, ccleaar rrolee annd rrespponssibiilitty, maiintaainiing cheeck andd baalanncess annd ccleaar rrepoortiing rellatiionsshipp. SStreengtthenningg ITT prrofeessiionaal sstafff bby ddeveeloppingg inncenntivve pproggramm.Ensuurinng tthatt thheree iss ann efffecctivve iinteernaal aaudiit oof tt

18、he IT rissk mmanaagemmentt caarriied outt byy opperaatioonallly inddepeendeent, weell-traaineed aand quaaliffiedd sttafff. Thee innterrnall auuditt reeporrt sshouuld be subbmitttedd diirecctlyy too thhe IIT aaudiit ccommmitttee;Submmitttingg ann annnuaal rrepoort to thee CBBRC andd itts llocaal ooff

19、iicess onn innforrmattionn syysteem rriskk maanaggemeent thaat hhas beeen rreviieweed aand appprovved by thee booardd off diirecctorrs ;Ensuurinng tthe appproppriaatinng ffunddingg neecesssarry ffor IT rissk mmanaagemmentt woorkss;Ensuurinng tthatt alll eemplloyeees of thee baank fullly unddersstann

20、d aand adhheree too thhe IIT rriskk maanaggemeent polliciies andd prroceedurres appprovved by thee booardd off diirecctorrs aand thee seenioor mmanaagemmentt, aand aree prroviidedd wiith perrtinnentt trrainningg.Ensuurinng ccusttomeer iinfoormaatioon, finnancciall innforrmattionn, pprodductt innforr

21、mattionn annd ccoree baankiing sysstemm off thhe llegaal eentiity aree heeld inddepeendeentlly wwithhin thee teerriitorry, andd coompllyinng wwithh thhe rreguulattoryy onn-siite exaaminnatiion reqquirremeentss off CBBRC andd guuarddingg aggainnst crooss-borrderr riisk.Repoortiing in a ttimeely mannn

22、err too thhe CCBRCC annd iits loccal offficees aany serriouus iinciidennt oof iinfoormaatioon ssysttemss orr unnexppectted eveent, annd qquiccklyy reespoond to it in acccorddancce wwithh thhe cconttinggenccy pplann;Coopperaatinng wwithh thhe CCBRCC annd iits loccal offficees iin tthe suppervvisoory

23、insspecctioon oof tthe rissk mmanaagemmentt off innforrmattionn syysteems, annd eensuure thaat ssupeerviisorry oopinnionns aare folllowwed up; anndPerfformmingg ottherr reelatted IT rissk mmanaagemmentt taaskss.The heaad oof tthe IT orgganiizattionn, ccommmonlly kknowwn aas tthe Chiief Infformmatiio

24、n Offficeer (CIOO) sshouuld repportt diirecctlyy too thhe ppressideent. Rooless annd rrespponssibiilittiess off thhe CCIO shoouldd inncluude thee foolloowinng:Playyingg a dirrectt roole in keyy deecissionns ffor thee buusinnesss deevellopmmentt innvollvinng tthe usee off ITT inn thhe bbankk;The CIOO

25、 shhoulld eensuure thaat iinfoormaatioon ssysttemss meeet thee neeedss off thhe bbankk, aand IT strrateegiees, in parrticculaar iinfoormaatioon ssysttem devveloopmeent strrateegiees, commplyy wiith thee ovveraall bussineess strrateegiees aand IT rissk mmanaagemmentt poolicciess off thhe bbankk;The C

26、IOO shhoulld aalsoo bee reespoonsiiblee foor tthe esttabllishhmennt oof aan eeffeectiive andd effficciennt IIT oorgaanizzatiion to carrry outt thhe IIT ffuncctioons of thee baank. TThesse iinclludee thhe IIT bbudgget andd exxpennditturee, IIT rriskk maanaggemeent, ITT poolicciess, sstanndarrds andd

27、prroceedurres, ITT innterrnall coontrrolss, pproffesssionnal devveloopmeent, ITT prrojeect iniitiaativves, ITT prrojeect mannageemennt, infformmatiion sysstemm maainttenaancee annd uupgrradee, IIT ooperratiionss, IIT iinfrrasttruccturre, Infformmatiion seccuriity, diisassterr reecovveryy pllan (DRRP

28、), ITT ouutsoourccingg, aand infformmatiion sysstemm reetirremeent;Ensuurinng tthe efffecttiveenesss oof IIT rriskk maanaggemeent thrrougghouut tthe orgganiizattionn inncluudinng aall braanchhes.Orgaanizzingg prrofeessiionaal ttraiininngs to impprovve ttechhniccal prooficcienncy of staaff.Perfformmi

29、ngg ottherr reelatted IT rissk mmanaagemmentt taaskss.Commmercciall baankss shhoulld eensuure thaat aa cllearr deefinnitiion of thee ITT orrgannizaatioon sstruuctuure andd doocummenttatiion of alll joob ddesccripptioons of impporttantt poosittionns aare alwwayss inn pllacee annd uupdaatedd inn a tim

30、melyy maanneer. Staaff ineaach possitiion shoouldd meeet rellevaant reqquirremeentss onn prrofeessiionaal sskillls andd knnowlledgge. Thee foolloowinng rriskk miitiggatiion meaasurres shoouldd bee inncorrporrateed iin tthe mannageemennt pproggramm off reelatted staaff:Veriificcatiion of perrsonnal i

31、nfformmatiion inccluddingg coonfiirmaatioon oof pperssonaal iidenntifficaatioon iissuued by govvernnmennt, acaademmic creedenntiaals, prriorr woork expperiiencce, proofesssioonall quualiificcatiionss;Ensuurinng tthatt ITT sttafff caan mmeett thhe rrequuireed pproffesssionnal ethhicss byy chheckkingg

32、 chharaacteer rrefeerennce; Signningg off aggreeemennts witth eemplloyeees aboout unddersstanndinng oof IIT ppoliiciees aand guiidellinees, nonn-diiscllosuure of connfiddenttiall innforrmattionn, aauthhoriizedd usse oof iinfoormaatioon ssysttemss, aand adhhereencee too ITT poolicciess annd pproccedu

33、uress; aandEvalluattionn off thhe rriskk off loosinng kkey IT perrsonnnell, eespeeciaallyy duurinng mmajoor IIT ddeveeloppmennt sstagge oor iin aa peeriood oof uunsttablle IIT ooperratiionss, aand thee reelevvantt riisk mittigaatioon mmeassurees ssuchh ass sttafff baackuup aarraangeemennt aand staaf

34、f succcesssioon pplann.Commmercciall baankss shhoulld eestaabliish or dessignnatee a parrticculaar ddepaartmmentt foor IIT rriskk maanaggemeent. IIt sshouuld repportt diirecctlyy too thhe CCIO andd thhe CChieef RRiskk Offficcer (orr riisk mannageemennt ccommmitttee), sservve aas aa meembeer oof tthe

35、 IT inccideent ressponnse teaam, andd bee reespoonsiiblee foor ccoorrdinnatiing thee esstabblisshmeent of polliciies reggarddingg ITT riisk mannageemennt, esppeciiallly tthe areeas of infformmatiion seccuriity, BCCP, andd coomplliannce witth tthe CBRRC rreguulattionns, advvisiing thee buusinnesss de

36、eparrtmeentss annd IIT ddepaartmmentt inn immpleemenntinng tthesse ppoliiciees, prooviddingg reelevvantt coomplliannce infformmatiion, coonduuctiing on-goiing asssesssmennt oof IIT rriskks, andd ennsurringg thhe ffolllow-up of remmediiatiion advvicee, mmoniitorringg annd eescaalattingg maanaggemeent

37、 of IT thrreatts aand nonn-coomplliannce eveentss. Commmercciall baankss shhoulld eestaabliish a sppeciial IT auddit rolle aand ressponnsibbiliity witthinn innterrnall auuditt fuuncttionn, wwhicch sshouuld putt inn pllacee ITT auuditt poolicciess annd pprocceduuress, ddeveelopp annd eexeccutee ITT a

38、uuditt pllan.Commmercciall baankss shhoulld pput in plaace polliciies andd prroceedurres to prootecct iinteelleectuual prooperrty rigghtssacccorddingg too laaws reggarddingg inntelllecctuaal ppropperttiess, eensuure purrchaase of leggitiimatte ssofttwarre aand harrdwaare, prreveentiion of thee usse

39、oof ppiraatedd sooftwwaree, aand thee prroteectiion of thee prroprriettaryy riightts oof IIT pprodductts ddeveelopped by thee baank, annd eensuure thaat tthesse aare fullly unddersstoood aand commpliied by alll emmplooyeees. Commmercciall baankss shhoulld, in acccorddancce wwithh reelevvantt laaws a

40、ndd reegullatiionss, ddiscclosse tthe rissk pproffilee off thheirr ITT noormaativvelyy annd ttimeely.Chappterr IIIIIT Rissk MManaagemmenttCommmercciall baankss shhoulld fformmulaate an IT strrateegy thhat aliignss wiith thee ovveraall bussineess plaan oof tthe bannk, IT rissk aasseessmmentt pllan an

41、dd ann ITT opperaatioonall pllan thaat ccan enssuree addequuatee fiinannciaal rresoourcces andd huumann reesouurcees tto mmainntaiin aa sttablle aand seccuree ITT ennvirronmmentt.Commmercciall baankss shhoulld pput in plaace a ccompprehhenssivee seet oof IIT rriskk maanaggemeent polliciies thaat iin

42、clludee thhe ffolllowiing areeas:Infoormaatioon ssecuuritty cclasssifficaatioon ppoliicySysttem deveeloppmennt, tesstinng aand maiinteenannce pollicyyIT ooperratiion andd mainntennancce ppoliicyAcceess conttroll poliicyPhyssicaal ssecuuritty ppoliicy Perssonnnel secuuritty ppoliicyBusiinesss CContti

43、nuuityy Pllannningg annd CCrissis andd Emmerggenccy MManaagemmentt procceduureCommmercciall baankss shhoulld mmainntaiin aan oongooingg riisk ideentiificcatiion andd asssesssmeent proocesss tthatt alllowws tthe bannk tto ppinppoinnt tthe areeas of conncerrn iin iits infformmatiion sysstemms, asssess

44、s thhe ppoteentiial imppactt off thhe rriskks oon iits bussineess, raank thee riiskss, aand priioriitizze mmitiigattionn acctioons andd thhe nneceessaary ressourrcess (iinclludiing outtsouurciing venndorrs, prooducct vvenddorss annd sservvicee veendoors).Commmercciall baankss shhoulld iimpllemeent a

45、 ccompprehhenssivee seet oof rriskk miitiggatiion meaasurres commplyyingg wiith thee ITT riisk mannageemennt ppoliiciees aand commmennsurratee wiith thee riisk asssesssmennt oof tthe bannk. Thhesee miitiggatiion meaasurres shoouldd inncluude:A seet oof ccleaarlyy doocummentted IT rissk ppoliiciees,

46、tecchniicall sttanddardds, andd opperaatioonall prroceedurres, whhichh shhoulld bbe ccommmuniicatted to thee sttafff frrequuenttly andd keept up to datte iin aa tiimelly mmannner;Areaas oof ppoteentiial connfliictss off innterrestt shhoulld bbe iidenntiffiedd, mminiimizzed, annd ssubjjectt too caare

47、fful, inndeppenddentt moonittoriing. AAlsoo itt reequiiress thhat an appproppriaate conntrool sstruuctuure is sett upp too faacillitaate cheeckss annd bbalaancees, witth cconttroll acctivvitiies deffineed aat eeverry bbusiinesss lleveel, whiich shoouldd inncluude:Top levvel revviewws; Conttrolls oov

48、err phhysiicall annd llogiicall acccesss tto ddataa annd ssysttem; Acceess graanteed oon “neeed tto kknoww” aand “miinimmum autthorrizaatioon” bassis;A syysteem oof aapprrovaals andd auuthoorizzatiionss; aandA syysteem oof vveriificcatiion andd reeconncilliattionn.Commmercciall baankss shhoulld pput

49、 in plaace a sset of onggoinng rriskk meeasuuremmentt annd mmoniitorringg meechaanissms, whhichh shhoulld iinclludeePre andd poost-impplemmenttatiion revvieww off ITT prrojeectss;Bencchmaarkss foor pperiiodiic rreviiew of sysstemm peerfoormaancee;Repoortss off innciddentts aand commplaaintts aabouut

50、 IIT sservvicees;Repoortss off innterrnall auuditt, eexteernaal aaudiit, andd isssuees iidenntiffiedd byy CBBRC; anndArraangeemennt wwithh veendoors andd buusinnesss unnitss foor pperiiodiic rreviiew of serrvicce lleveel aagreeemeentss (SSLAss).The posssibble imppactt off neew ddeveeloppmennt oof tt

51、echhnollogyy annd nnew thrreatts tto ssofttwarre ddeplloyeed.Timeely revvieww off opperaatioonall riisk andd maanaggemeent conntrools in opeerattionn arrea.Asseess thee riisk proofille oon IIT ooutssourrcinng pprojjectts pperiiodiicallly.Chinnesee coommeerciial bannks opeerattingg offfshhoree annd t

52、the forreiggn ccommmercciall baankss inn Chhinaa shhoulld ccompply witth tthe rellevaant reggulaatorry rrequuireemennts on infformmatiion sysstemms iin aand outtsidde tthe Peooplees Reppubllic of Chiina.Chappterr IVVInfformmatiion SeccuriityInfoormaatioon ttechhnollogyy deeparrtmeent of commmerrciaa

53、l bbankks sshouuld oveerseee tthe esttabllishhmennt oof aan iinfoormaatioon cclasssifficaatioon aand prootecctioon sscheeme. AAll empployyeess off thhe bbankk shhoulld bbe mmadee awwaree off thhe iimpoortaancee off ennsurringg innforrmattionn coonfiidenntiaalitty aand proovidded witth tthe neccesssa

54、ryy trrainningg too fuullyy unnderrstaand thee innforrmattionn prroteectiion prooceddurees wwithhin theeir ressponnsibbiliitiees.Commmercciall baankss shhoulld pput in plaace an infformmatiion seccuriity mannageemennt ffuncctioon tto ddeveelopp annd mmainntaiin aan oongooingg infoormaatioon ssecuuri

55、tty mmanaagemmentt prrogrram, prromoote infoormaatioon ssecuuritty aawarreneess, addvisse ootheer IIT ffuncctioons on seccuriity isssuess, sservve aas tthe leaaderr off ITT innciddentt reespoonsee teeam, annd rrepoort thee evvaluuatiion of thee infoormaatioon ssecuuritty oof tthe bannk tto tthe IT s

56、teeeriing commmittteee peerioodiccallly. Thhe IInfoormaatioon ssecuuritty mmanaagemmentt prrogrram shoouldd inncluude Infformmatiion seccuriity staandaardss, sstraateggy, an impplemmenttatiion plaan, andd ann onngoiing maiinteenannce plaan.Infoormaatioonsecuuritty ppoliicy shoouldd inncluude thee fo

57、olloowinng aareaas:IT ssecuuritty ppoliicy mannageemenntOrgaanizzatiion infoormaatioon ssecuurittyAsseet mmanaagemmenttPerssonnnel secuurittyPhyssicaal aand enviironnmennt ssecuurittyCommmuniicattionn annd ooperratiion secuurittyAcceess conttroll annd aauthhentticaatioonAcquuireemennt,deveeloppmennt

58、 aand mainntennancce oof iinfoormaatioon ssysttemInfoormaatioon ssecuuritty eevennt mmanaagemmenttBusiinesss cconttinuuityy manaagemmenttComppliaanceeCommmercciall baankss shhoulld hhavee ann efffecctivve pproccesss too maanagge uuserr auutheentiicattionn annd aacceess conntrool. Acccesss tto ddataa

59、 annd ssysttem shoouldd bee sttricctlyy liimitted to autthorrizeed iindiividdualls wwhosse iidenntitty iis ccleaarlyy esstabblisshedd, aand theeir acttiviitiees iin tthe infformmatiion sysstemms sshouuld be limmiteed tto tthe minnimuum rrequuireed ffor theeir leggitiimatte bbusiinesss uuse. Appproop

60、riiatee usser autthennticcatiion mecchannismm coommeensuuratte wwithh thhe cclasssifficaatioon oof iinfoormaatioon tto bbe aacceesseed sshouuld be sellectted. Tiimelly rreviiew andd reemovval of useer iidenntitty ffromm thhe ssysttem shoouldd bee immpleemenntedd whhen useer ttrannsfeers to a nnew jo