銀行信息科技管理委員會IT事項管理規(guī)定（試行）模版

1、銀行信息科技管理委員會it事項管理規(guī)定（試行）第一章總則第一條為加強某銀行it事項管理，規(guī)范it事項操作程序和行為，促進信息科技系統(tǒng)安全、持續(xù)、穩(wěn)健運行，根據(jù)商業(yè)銀行信息科技風險管理指引、某銀行信息科技管理委員會工作辦法以及其他相關(guān)法律、法規(guī)，制定本規(guī)定（以下簡稱規(guī)定）。第二條本規(guī)定所指it事項為信息科技管理委員會審查、批準、決策管理的it事項，主要涵括：（一）信息科技相關(guān)制度審批事項;（二）信息科技發(fā)展規(guī)劃相關(guān)事項；（三）信息科技工作計劃及預(yù)算審批事項；（四）信息科技整體技術(shù)架構(gòu)相關(guān)事項；(五)信息科技系統(tǒng)建設(shè)項目的立項審批、預(yù)算審批、招投標管理、技術(shù)方案審批、項目驗收、上線批準等事項，并確

2、定重大項目的優(yōu)先級；(六)信息科技相關(guān)軟件產(chǎn)品及設(shè)備購置審批、招投標管理、驗收及設(shè)備報廢審批相關(guān)事項；（七）重大信息科技系統(tǒng)變更事項；（八）重大信息科技運營、安全、業(yè)務(wù)連續(xù)性、應(yīng)急管理相關(guān)事項；（九）信息科技外包相關(guān)事項；（十）信息科技外部審計相關(guān)事項；（十一）信息科技重大事項落實和執(zhí)行結(jié)果評估事項；（十二）向中國銀監(jiān)會及其派出機構(gòu)報送信息科技相關(guān)報告審閱事項；（十三）信息科技相關(guān)獎懲事項；（十四）審查其他有關(guān)信息科技工作的重大事項。第二章基本規(guī)定第三條信息科技管理委員會管理的it事項，須經(jīng)信息科技管理委員會會議審批和決策并形成批準文件或會議紀要，以此批準文件或會議紀要作為事項的操作依據(jù)。第四

3、條it事項的相關(guān)報告材料應(yīng)形成正式文檔，相關(guān)責任人簽字示責，加蓋所屬部門公章，提交首席信息官審核。所有提交信息科技管理委員會進行審議、審批的it事項文檔，須經(jīng)牽頭部門分管領(lǐng)導(dǎo)的審核并簽字。第五條需要進行調(diào)研、分析、論證環(huán)節(jié)的it事項，必須安排專門人員或?qū)ｉT工作組反復(fù)進行認真、細致、廣泛的調(diào)研、分析和論證，形成相應(yīng)報告，首席信息官參與過程并對結(jié)果進行確認。第六條涉及費用開支的it事項，原則上以招投標方式辦理。對于特殊的不適合進行招投標的it事項，須經(jīng)信息科技管理委員會批準，并指定價格談判小組進行談判。招投標過程及談判過程須接受監(jiān)事會、紀檢部門的監(jiān)督和檢查。第七條重大it運營、安全、業(yè)務(wù)連續(xù)性等相

4、關(guān)突發(fā)事項，按照相關(guān)規(guī)定可以先行口頭報告，接受口頭指令采取相應(yīng)緊急措施，事后須形成專門事項報告，報信息科技管理委員會進行評估和備案。第八條所有it事項文件及資料須完整規(guī)范，相關(guān)文件和材料納入檔案管理。第三章it建設(shè)事項相關(guān)規(guī)定第九條it建設(shè)事項涵括機房建設(shè)及環(huán)境變更、系統(tǒng)技術(shù)架構(gòu)構(gòu)建及調(diào)整、系統(tǒng)項目研發(fā)、系統(tǒng)變更、軟件產(chǎn)品購置、硬件設(shè)備購置及報廢等各建設(shè)相關(guān)事項。第十條it建設(shè)事項實行流程管理，按照系統(tǒng)建設(shè)項目流程及職責、大宗或重大采購項目流程和職責的要求完成立項申請、調(diào)研論證、項目審批、招投標、項目實施、測試、項目驗收、上線等環(huán)節(jié)。第十一條可行性分析報告由業(yè)務(wù)部門、科技部門、風險部門在認真、

5、細致、廣泛調(diào)研的基礎(chǔ)上獨立或協(xié)作完成，簽字示責人及所屬部門對報告內(nèi)容的真實、完整、可靠性負責，首席信息官負責審核出具審核意見，信息科技管理委員會依據(jù)業(yè)務(wù)部門、技術(shù)部門及風險部門完成的可行性分析報告及首席信息官審核意見進行項目立項審批。第十二條it項目立項后即成立項目組，項目組由科技人員以及相關(guān)業(yè)務(wù)人員組成并經(jīng)信息科技管理委員會批準或指定，負責項目立項后的招投標事項、實施方案制定及實施過程中的具體事務(wù)辦理，定期向信息科技管理委員會報告項目實施進展情況。第十三條it建設(shè)事項的系統(tǒng)規(guī)劃書、技術(shù)方案書等重要技術(shù)方案，須由專業(yè)人員在廣泛調(diào)研的基礎(chǔ)上經(jīng)過反復(fù)論證形成，首席信息官參與并監(jiān)督這一過程，并對論證

6、結(jié)論進行審核，最后由信息科技管理委員會審議決策。第十四條it建設(shè)事項的測試環(huán)節(jié)，要求首先制定測試方案及測試案例，業(yè)務(wù)部門負責業(yè)務(wù)功能及正確性測試，技術(shù)部門負責技術(shù)性能測試，并分別形成測試報告，簽字示責人對其真實性負責。信息科技管理委員會依據(jù)測試報告顯示情況，決定是否啟動驗收程序。第十五條風險部門、合規(guī)部門、審計部門根據(jù)流程環(huán)節(jié)獨立履行相應(yīng)職責，形成相關(guān)報告，報告信息科技管理委員會，并及時反饋項目實施組。第十六條信息科技管理委員會會議對測試報告、合規(guī)報告、審計報告進行審閱，并審查其他相關(guān)資料，做出驗收結(jié)論并最后形成驗收報告，并將全部文檔歸檔。第四章it事項招投標規(guī)定第十七條it事項招投標活動嚴格

7、依照中華人民共和國招標投標法某市招標投標管理規(guī)定（政府令2003第2號）以及某銀行的有關(guān)規(guī)定進行，遵循公開、公平、公正和誠實信用的原則。第十八條滿足以下標準的it事項原則上必須招標，但確實存在特殊原因不宜進行招標的，以及不滿足下述招標標準的，可由信息科技管理委員會予以確認或?qū)徟蟛捎脙r格談判方式：（一）單項合同估算價在二十萬元人民幣以上的；（二）主要設(shè)備、軟件產(chǎn)品的采購，單項合同估算價在二十萬元人民幣以上的；（三）it相關(guān)服務(wù)類的采購，單項合同估算價在十萬元人民幣以上的；（四）單項合同估算價低于第（一）項、第（二）、第（三）項規(guī)定的標準，但總投資額在八百萬元以上的。第十九條招標方式可采用公開招

8、標或邀請招標方式，但須報信息科技管理委員會審批同意。對于采用邀標方式的，須報告緣由經(jīng)信息科技管理委員會確認，由信息科技管理委員會確定邀標資質(zhì)條件并選定三家及以上被邀方。第二十條it項目招標書文件，須經(jīng)法律合規(guī)部門審查通過，招標書技術(shù)部分內(nèi)容須經(jīng)首席信息官審核通過，最后招標書文件經(jīng)信息科技管理委員會會議審批同意后，方可發(fā)標。第二十一條it項目評標組成員為五人以上單數(shù)，由監(jiān)事長、紀檢書記、主管副行長和有關(guān)技術(shù)、業(yè)務(wù)等方面的代表組成，可以聘請外部技術(shù)專家。涉及it技術(shù)方案評標的，評標組成人員中it技術(shù)專家不得少于成員總?cè)藬?shù)的三分之二。第二十二條it項目開標、評標、中標各相關(guān)其他規(guī)定依照某市招投標管理

9、規(guī)定第四章有關(guān)規(guī)定執(zhí)行。全程接受監(jiān)事會、紀檢部門、合規(guī)部門、審計部門的監(jiān)督和檢查。第五章it外包事項規(guī)定第二十三條it外包嚴格執(zhí)行商業(yè)銀行信息科技風險管理指引、銀行業(yè)金融機構(gòu)外包風險管理指引、商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引的相關(guān)要求。第二十四條it外包實行流程管理，遵循外包申請、風險評估、調(diào)研論證、外包審批、外包合同簽訂、外包管理、外包評價與審計等流程環(huán)節(jié)。第二十五條it外包事項須由風險部門、科技部門在認真、細致、廣泛調(diào)研的基礎(chǔ)上獨立完成外包可行性分析報告，簽字示責人及所屬部門對報告內(nèi)容的真實、完整、可靠性負責，首席信息官負責審核并出具審核意見，信息科技管理委員會依據(jù)各外包可行性分析報告及首席信息官

10、審核意見進行外包審批。第二十六條it外包商的選擇通過邀標方式招標確定。外包服務(wù)提供商的資質(zhì)要求由信息科技管理委員會確認。開展外包服務(wù)商資質(zhì)評審前風險和科技部門必須對服務(wù)提供商進行盡職調(diào)查，并形成盡職調(diào)查報告。第二十七條it外包服務(wù)合同的有效期內(nèi)，至少每年進行一次資質(zhì)審查，并報告信息科技管理委員會，合同期滿重新資質(zhì)評審，重新招標。第二十八條對于數(shù)據(jù)中心的重要基礎(chǔ)設(shè)施、重要信息系統(tǒng)的維護服務(wù)外包，簽訂外包合同時，外包服務(wù)商須保證購買商業(yè)保險以保證其有足夠的賠償能力，并告知保險覆蓋范圍。第二十九條it外包的日常管理部門為信息科技部門，負責與外包商的溝通和協(xié)調(diào)，負責現(xiàn)場外包人員的監(jiān)督和管理，負責外包服

11、務(wù)的效率和質(zhì)量的監(jiān)督和管理，定期對外包商形成外包評價報告報告信息科技管理委員會。第三十條風險控制部門負責對外包活動進行全面風險評估，合規(guī)部門負責外包活動的合規(guī)性審核，內(nèi)審部門負責對外包活動進行審計，并獨立形成報告，報信息科技管理委員會。第六章重大及突發(fā)it事項相關(guān)規(guī)定第三十一條重大及突發(fā)it事項按照銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范、商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引的規(guī)定進行管理和處置，滿足其要求。第三十二條信息科技部門負責制定重大及突發(fā)it事項的應(yīng)急處置預(yù)案，并通過演練予以完善后，報信息科技管理委員會批準、備案。第三十三條應(yīng)急處置預(yù)案應(yīng)假設(shè)不同場景和情形，制定涵括系統(tǒng)運營、安全、業(yè)務(wù)連續(xù)性、應(yīng)

12、急管理等多方面的多種處置措施。第三十四條對于符合以下條件的突發(fā)事件，必須制定專項應(yīng)急預(yù)案：（一）已經(jīng)發(fā)生并處置過的突發(fā)事件；（二）同業(yè)中已發(fā)生過的且影響較大的重大突發(fā)事件；（三）銀行業(yè)發(fā)生機率較大的突發(fā)事件；（四）監(jiān)管部門風險提示以及要求制定的預(yù)案。第三十五條在發(fā)生it突發(fā)事件或發(fā)現(xiàn)其先兆信息以及處置過程中現(xiàn)場負責人須按照報告流程、時限規(guī)定及時報告有關(guān)預(yù)警或突發(fā)事件信息，并應(yīng)及時采取應(yīng)急措施。同時應(yīng)及時向信息科技管理委員會報告，報告內(nèi)容要真實、客觀、準確、清晰。第三十六條it突發(fā)事件或其預(yù)警信息的基本內(nèi)容包括：（一）突發(fā)事件或預(yù)警信息發(fā)生的時間、地點；（二）突發(fā)事件或預(yù)警信息發(fā)生原因、性質(zhì)、可

13、能涉及的系統(tǒng)及影響的業(yè)務(wù)、危害程度、影響范圍，報告時的事態(tài)及已產(chǎn)生的后果；（三）事態(tài)發(fā)展趨勢預(yù)測，已經(jīng)或擬采取的應(yīng)對措施；第三十七條信息科技管理委員會接到預(yù)警報告或事件報告后，應(yīng)迅速對所報情況作出性質(zhì)類別和程度上的判別，及時制定處置方案、確定可啟動的應(yīng)急處置預(yù)案，協(xié)調(diào)應(yīng)急保障部門。第三十八條重大及突發(fā)事件處置完畢，處置機構(gòu)應(yīng)當作出結(jié)案報告，向信息科技管理委員會報告。結(jié)案報告的內(nèi)容應(yīng)包括處置過程描述、經(jīng)驗教訓(xùn)、突發(fā)事件成因的分析、對該種突發(fā)事件應(yīng)急預(yù)案的建議或?qū)ζ鋵嶋H操作效果的評估等。第七章其他it事項規(guī)定第三十九條it外部審計事項每三年進行一次，參照本規(guī)定第五章it外包事項規(guī)定的程序辦理，審計結(jié)果列為重要機密，嚴格落實保密規(guī)定，由信息科技管理委員會決策后續(xù)有關(guān)報送、整改等事項。第四十條it相關(guān)的向人民銀行、銀監(jiān)局等上級管控部門報備、