村镇银行信息科技建设与管理指引（征求意见稿）

村镇建行信息科技建设与管理指引（征询意见稿）第一章第一条为提升村镇建行信息科技建设及管理水平，有效防范信息科技风险，促使村镇建行持续、稳健发展，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业建行法》等法律法规，参照《商业建行信息科技风险管理指引》要求，制订本指引。第二条本指引适用于在中华人民共和国境内依法筹建的村镇建行，村镇建行主发起行（以下简称主发起行）及承当村镇建行信息科技工作的银行业金融机构。第三条村镇建行信息科技工作目标是通过构建有效的管理机制，科学举办信息科技建设，强化信息科技风险管控，确保信息科技工作目标与业务发展目标一致，提高核心竞争力，促使村镇建行安全、持续、稳健发展。第四条村镇建行信息科技工作的基本原则是：发展为本：信息科技工作以支持村镇建行业务健康发展为根本要求；风险可控：积极采取举措，防范系统中断、敏感信息泄漏和资金损失等风险；资源共享：信息科技工作应统筹规划、适度集中、节约高效，合理借助信息科技资源。第五条依据信息科技工作的责任主体不同，村镇建行信息科技管理分为自主管理和主发起行管理两种模式。自主管理是指村镇建行独立承当信息科技规划、建设、运维、风险管理和审计等责任的管理模式，主发起行管理是指村镇建行将信息科技工作委托给主发起行并由其承当村镇建行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。

#

第六条本指引所称同业机构是指中国银行业监督管理委员会（以下简称中国保监会）监管的银行业金融机构。第七条本指引所称同业合作是指村镇建行或主发起行将原先由自身完成的信息科技工作委托给同业机构进行持续处理的行第八条本指引所称信息科技外包是指村镇建行或主发起行将原先由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。第九条村镇建行应按照本行市场定位和业务发展战略，结合本行管理水平和技术能力，自主确定本行信息科技管理模式，并履行本指引第二章关于不同模式下信息科技整治的要求，积极采用自建、同业合作或外包的形式举办信息科技工作。第二章信息科技整治第一节自主管理模式第十条村镇建行法定代表人对村镇建行信息科技工作负最终责任。第十一条村镇建行监事会应履行以下职责，不设监事会的，应筹建由中级管理层组成的组织机构（以下简称履职机构）履行下列职责：负责审批信息科技战略规划，确保与本行的总体发展战略相一致；负责构建适宜业务发展的信息科技整治构架，确保责任明晰、分工合理；贯彻有关信息科技工作的法律法规村镇建设与管理，落实中国保监会及其派出机构监管要求；向中国保监会及其派出机构报告本行重大信息科技突发风波。第十二条村镇建行中级管理层应履行以下职责：构建信息科技部门或委派一个部门，承当本行信息科技工作职责，确保履行：信息科技预算和开支、信息科技策略、标准和流程、信息科技项目研制和运行管理、信息安全管理、灾难恢复计划、信息科技外包等职责。 #

向监事会或履职机构报告本行重大信息科技突发风波。第十三条村镇建行应将信息科技风险列入全面风险管理框架，明晰信息科技风险管理工作的主管部门，构建与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略，有效辨识、计量、监测和控制信息科技风险。第十四条村镇建行应定期举办信息科技审计，起码每两年覆盖全部信息科技风险领域，并按照审计结果及时整改。第十五条主发起行应发挥自身在信息科技工作方面的经验与优势，对村镇建行的信息科技工作进行指导和帮助，并履行以下职责：指导村镇建行落实本指引第三、四、五章中对于村镇银行的监管要求。第二节主发起行管理模式第十六条主发起行法定代表人对村镇建行信息科技工作负最终责任。第十七条主发起行监事会应履行以下职责：负责构建与村镇建行规模、业务相适应的信息科技整治构架；贯彻有关村镇建行信息科技工作的法律法规，落实中国保监会及其派出机构监管要求；向中国保监会及其派出机构报告村镇建行重大信息科技突发风波。第十八条主发起行应筹建一个由主发起行中级管理层、多家村镇建行的中级管理层代表，及主发起行负责村镇建行业务、科技管理等部门组成的村镇建行信息科技管理委员会，并履行以下职责：负责村镇建行信息科技重大事项的决策，组织举办村镇建行信息科技建设，构建村镇建行信息科技工作制度和流程；组织评估村镇建行信息科技风险并采取相应的风险控制举措；定期听取村镇建行对主发起行信息科技工作情况的反馈，持续改进村镇建行信息科技服务；向主发起行监事会报告、向村镇建行董事会或履职机构通报村镇建行重大信息科技突发风波。

第十九条主发起行应完善村镇建行信息科技工作组织体系，包括：委派一个部门负责主发起行与村镇建行的信息科技工作统筹协调。筹建或委派一个部门负责村镇建行信息科技工作，完善独立的团队负责村镇建行信息系统建设和运行维护；筹建或委派一个部门负责村镇建行信息科技风险管理工作；主发起行审计部门负责村镇建行信息科技审计工作。第二十条主发起行应落实本指引第三章中对于村镇建行的监管要求。第二十一条主发起行应完善与村镇建行业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略，有效辨识、计量、监测和控制信息科技风险。第二十二条主发起行应定期举办村镇建行信息科技审计，起码每两年覆盖全部信息科技风险领域，并按照审计结果及时整第二十三条主发起行应本着“成立早期免费、发展时期免除、成熟稳定时期保本”的原则，完善对村镇建行信息科技服务的收费机制。第二十四条村镇建行应积极出席信息科技战略规划、建设和风险管理工作，落实主发起行对村镇建行信息科技工作的要求，配合主发起行对村镇建行的信息科技审计，定期对主发起行承当的村镇建行信息科技工作进行评价，并向村镇建行信息科技管理委员会反馈评价结果。第二十五条村镇工行与主发起行应签署信息科技工作委托合同，委托合同应包括但不限于：主发起行和村镇建行分别承当的村镇建行信息科技管理责任、权利和义务；合同的有效时限。 #

第二十六条村镇建行主发起行为农村商业建行、农村合作建行或农村信用社的，且主发起行重要信息系统在本省农村信用联社集中运行的，村镇建行可将信息科技工作委托给省农村信用联社，由省农村信用联社履行主发起行管理责任。第三章信息科技建设与管理第二十七条村镇建行应制订符合总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。制订信息科技构架，确定信息系统和基础设施整体框架，保持前瞻性、可扩充性和灵活性，并定期评估。第二十八条村镇建行信息系统应满足以下要求：具备有效支持各项建行业务举办所需的功能,满足村镇建行发行交行卡、建立支付结算渠道、发展电子建行业务、创新金融产品等需求；应防止使用技术落后、不适应业务发展和风险管理须要的信息系统；对于现代化支付、银行卡联网、征信等系统，原则上应实现信息系统集中接入和集约管理。第二十九条村镇建行的信息科技基础设施应满足以下要求：（一）信息科技基础设施建设应遵守资源共享、标准统一、安全可靠、便于管理的原则，满足可扩充性、易维护性的要求，为各种信息科技应用提供支持和服务；（二）机房建设应满足《电子信息系统机房设计规范》（2008）要求，信息系统运行所依托的数据中心起码应达到B级标准，承当超过30家（含）村镇建行信息系统运行的，所依托的数据中心应达到A级标准；（三）机房供电、空调、主机、存储和网路等关键基础设施设备实现冗余配置，防止发生单点故障；（四）承当超过30家（含）村镇建行信息系统运行或所承担村镇建行资产总额超过300万元（含）的，应完善重要信息系统同城实时数据级备份中心，并实现RPO不超过24小时的远程数据备份。

第三十条村镇建行应完善健全的信息科技管理制度和工作规范，包括项目管理、系统开发运行管理、安全管理、数据管理、应急管理、外包管理、风险及审计管理。第三十一条村镇建行应完善信息系统开发、运行管理流程，囊括需求管理、开发管理、测试管理、验收管理、问题管理和变更管理等内容，包括：构建需求管理机制，囊括需求风险剖析和可行性研究，确保需求合理、准确；构建系统化的开发、测试方式和流程，包括需求剖析、设计、编码、测试、评审、发版等环节；严格管控信息系统投运上线，上线前应有完备的上线方案和回退方案，上线过程应进行记录和跟踪，投运后应做好系统初验，包括系统功能、性能、安全、文档等；构建风波管理流程，快速响应系统运行风波、修复故障，及时恢复系统运行，并深入剖析问题症结，防范风波再度发生；构建配置管理流程，及时更新数据中心基础设施和重要信息系统的配置信息，支持变更风险评估、变更施行、故障风波排查、问题剖析等服务管理流程；构建变更管理流程，包括提出、审核、实施、记录等环节村镇建设与管理，确保信息系统可靠性、可维护性和可溯源性。变更前需进行备份，变更施行需单人操作。信息系统变更应经村镇建行信息科技管理部门确认后方可施行。 #

第三十二条村镇建行应完善信息安全管理机制，囊括化学安全、网络安全、系统安全、加密技术、日志管理等内容，包括：明晰机房化学安全区域，规范区域访问管理，控制未授权访问风险；界定生产网路安全域，互联网和生产网应实现有效隔离，保障网路通讯安全；构建信息系统访问控制和授权管理体系，按照最小授权原则配置不同用户的访问权限，严格管理高权限帐号，规范系统普通帐号和密码的创建、变更、删除等，避免非法访问；在生产数据采集、存储、传输等过程中应对密码等关键信息采取加密、校验等有效举措，确保该类信息安全，避免被篡改和泄露；村镇建行重要信息系统日志和交易日志、系统变更审批记录以及数据使用、变更、备份、销毁审批记录应保存完整，保留年限应符合审计要求。第三十三条村镇建行生产数据的所有权归村镇交行。村镇银行以外的单位未经授权，不得查询、使用、变更、销毁村镇建行生产数据。生产数据的管理规范包括：生产数据的查询、使用应遵守严格的审批和操作流程，经村镇建行数据管理部门负责人审批同意方可使用。开发测试等

#