第一篇:银行管理信息系统
浅析银行信息系统开发与管理
对于现代化商业银行来说,数据是基础,信息是依据,决策是关键,效益是目的。分析银行业务的信息流和信息系统建设,具有重要的社会意义,信息系统的建设和发展策略已经成为现代化银行经营策略的重要组成部分。我国银行应逐步完善数据的应用,使之能适应业务数据大集中的优势,提供经营决策功能,从而为银行业务的发展提供有强有力的支持。
(一)银行信息系统建设中存在的问题
1、系统建设 缺乏整体规划
我国银行信息系统的开发工作缺乏科学系统的指导方法,长期没有统一的发展规划,统一的标准规范以及统一的实施方案,很多商业银行在进行软件开发时,没有做详细量化的可行性研究与分析,不进行仔细的系统调研,不能从技术、经济环境等方面论证并研究软件项目的可行性,并准确确定工程规模,具体目标及对建设系统进行仔细的成本效益分析。目前多数银行采用的项目开发方式为:业务部门根据市场需求提供需求书,与科技部门讨论,科技部门或者开发公司根据需求完成功能设计,然后由业务部门确认反馈意见,继而进入开发阶段,项目开发后期业务人员进行相应测试和上线验收。
在实际运作中发现普遍存在以下问题:一是项目方案缺少充分论证。二是由于开发时没有整体考虑,往往顾此失彼。三是业务部门的随意性给科技部门项目协调带来很大困难。这种现象还表现在各银行在计算机工程人员上配臵上偏重于程序人员,没有考虑系统分析人员的重要性。在务部门管理人员配臵上,偏重于业务,没有考虑技术和项目工程人员的重要性。致使银行信息系统建设队伍缺乏一批既懂业务又懂技术的人员。
2、 数据采集规范性低,查询不方便
目前,从业务网点至总行的各个环节,数据、信息的传递仍然以书面报表和报告为主,各部门单一业务系统为辅,信息采集中存在各部门多头采集的问题,没有进行积极有效的沟通,也没有统一的指标体系,使得各系统的数据口径,报送时点等不一致,既导致各个系统的信息无法共享,造成管理资源利用的低效率,也无法保证数据的真实性,或者各部门都不采集,形成管理上数据的的死角。系统在采集数据时和业务联系的精密度低,未考虑业务的发展,以及未来的相关模型建立所需要的基础信息数据。
另外,管理信息系统的查询功能不尽完善、不直观,无法满足监管和管理上灵活多变的查询要求,统计工作存在大量的手工。一个好的信息系统应当避免信息的采集的重叠、遗漏以及滞后的情况,同时需要和业务精密联系,加强信息真实性的检验,完善基础查询和灵活查询功能,为银行统计、风险信息暴露、管理模型提供可靠的及时的信息来源。
3、 缺乏科学的分析方法和手段
我国目前正在运行的银行信息系统一般都只具有比较简单的分析处理功能,不支持复杂的数学模型,无法对金融风险进行有效的测评,使得一些潜在的金融风险无法通过系统及时发现,银行管理仍然停留在依赖管理人员自身的业务素质和直觉判断的基础上。
4、 信息系统对操作风险的防范不够完善
信息技术的发展推动了商业银行服务质量和服务效率的提高,但接踵而至的是风险的明显增加,除信用风险和市场风险外,操作风险已成为银行最重要的风险之一。操作风险反映在信息系统方面主要是指不完善或有问题的内部程序、系统权限的篡改、操作员使用的混乱、角色权限不及时的调整、离职调岗人员操作编号的不及时停用等等,导致了信息系统对操作风险防范的遗漏。
另外,问题出现在风险信息的及时反映上面,银行的有些损失就是由于有关不正当活动的信息本应该及时反映的,但却没有及时反映在高级管理层的提醒界面,或者信息系统中的风险信息不完整,因而尽管银行已经事实上出现问题,但给人留下的印象仍然是运转正常的假象,从而造成问题日益严重。
5、 信息系统的结构不尽合理
我国银行信息系统是以综合业务系统作为核心系统,对后台最为关键的决策系统的开发不够重视。同时由于各子系统的标准化程度低,包括信息报送格式的标准化,数据接口的标准化等,使得整个信息系统框架中信息的收集,存储,传递和加工,利用等各个部分还不能循环互动,造成了银行系统的辅助决策支持功能得不到有效发挥,从某种意义上来说,目前还没有真正建立起一套完整的决策支持系统。
6、 银行信息系统不应过于依赖外包
随着我国银行信息系统全面快速发展,不少银行认为外包有益于跟踪最新技术动态,加快新技术的应用,且信息系统的外包可以降低成本。而事实上一个信息系统的成本核算不仅仅是开发成本,这是一部分可见的成本,后期维护成本还占有很大的比例,甚至超过开发成本。如果没有一个真正懂系统的内行服务,往往事倍功半。而且银行通常会遇到一个问题,开发公司往往没有对行内科技人员进行培训,或者培训十分简单,即所谓的‚黑盒‛培训。加之后期开发公司的维护人员不连续,衔接性不够,后续维护人员对前期开发人员或者维护人员的程序不了解,造成维护版本混乱。
另外,银行的安全性也是一个非常值得关注的问题,银行对系统的安全性是非常敏感的。在开发公司主导的系统中,由于没有银行内部科技人员的全程跟踪和控制,难以发现程序中存在的重大漏洞。其次,在后期的维护过程中,为了解决问题,有时银行需要提供足够的信息(如信用评级模版、五级分类模型、企业规模测算模型、风险指标体系、客户信息、贷款信息等),这些信息可能就会在无意中形成对资金安全的隐患。
(二)银行信息系统建设的对策与建议
1、 尽快制定银行信息系统的总体规划
银行信息系统亟需解决的问题是制定银行信息系统的总体规划。在银行内部,应该成立专门的银行信息系统建设领导小组机制,组织科技部门、业务部门和开发公司就信息系统的基本业务需求、业务流程、关键技术需求、系统的框架结构,应该遵循的各个标准,业务数据采集体系(包括数据采集的内容、方式、方法和途径),银行内部信息的管理及建设系统所涉及的规章制度、资金等重大问题进行系统科学的规划,成立相应需求组、网络组、技术组、制度组、保障组等,各司其职并密切协调,以保证未来各管理子系统之间的有效集成和有效共享。在制定总体规划时,应充分考虑国际金融发展趋势对银行未来管理所带来的影响,如金融的混业经营,新巴塞尔协议要求,IT技术在金融业应用方面的业务创新以及银行管理的最终有效形式‘实时交易和管理’等,使建设中的管理系统具有一定的前瞻性、开放性和兼容性。
2、 借鉴成功跨国银行经验,完善银行信息系统的结构 银行信息系统的体系结构:
第一个层次:业务处理系统。包括综合业务系统、财务系统、信用卡系统、电子银行系统、信贷业务系统等,到目前为止,大部分银行业务处理系统已趋于将全行各种业务处理系统集成到统一的平台上,银行业务处理系统平台已经初步搭建。
第二个层次:管理信息系统。包括客户信息系统、人力资源系统、风险控制管理系统等。从银行目前管理信息系统的建设情况来看,尽管业务处理系统比较完善和先进,但由于内部缺乏统一的‘沟通’机制,信息有效利用率低。
第三个层次:决策支持系统。主要包括综合统计系统、商务智能系统、决策支持系统。该系统可以通过运用全行内外信息资源,建立各类模型库,方法库,并进行基于全行范围的客户、产品、财务、员工情况等的综合分析,实现对全行的各项资源和创新能力的最优化配臵。目前,很多银行还没有形成一个完整的商务智能决策支持平台。各业务处理系统和管理信息系统只反映了决策支持系统中可以结构化的一部分,反映了全行经营情况的某一侧面,真正意义上的决策系统还没有建立起来。这个层面的信息系统建设是银行信息系统的未来发展方向。
3、 加强信息系统对操作风险的防范
加强对银行信息系统内部程序的检查,做充分的内部测试,试点上线测试,以及对系统正式上线过程中的程序问题,及时了解和收集,及时进行完善;同时做好压力测试,对一定操作量和业务量的压力下,系统的承受能力有充分的预估,确保系统稳定正常运行。 加强对信息系统权限的控制,定期进行排查,如人员岗位的调整必须及时上报、角色权限的申请必须备案,同时需要加强对系统管理员的控制,系统内权限的调整需要进行复核。
采用安全系统平台通过密码定期更新、手纹识别等控制等手段进行系统安全登陆的控制。
对信息系统风险的识别、分析和控制,除了加强事后监督和稽核为主,还应对系统进行长远的规划和建立成熟的预防控制体系,加强对异常操作信息以及异常业务量信息的及时预警,同时要有强有力查询的支持,加强风险的暴露非现场检查提供支持,一旦发现问题,及时的进行现场检查,排查风险点,检验操作上是否存在违规现象。
4、 运用数据仓库技术以实现其智能化的决策支持功能 数据仓库技术是近年来发展迅猛的一种新技术。所谓数据仓库,就是把一个银行的历史数据收集到一个中央仓库以便于处理,他是支持决策过程的、集成的、随时间而变的,持久的海量的数据集合。就银行而言,其大量的历史数据和当前数据都存在着重要的决策信息,如何管理这些浩如烟海的的数据以及如何从中提取有用的信息是决策系统必须要解决的问题。数据仓库的最大有点就是他能把全行不同信息岛上的信息集合到一起,存储到一个单一集成关系的的关系型数据库里面。利用这种集成的信息,可方便对信息的访问,更可使决策人员对一段时间内的历史数据进行研究分析,研究事物发展的走势。
5、 建立相关模型库、方法库和知识库,逐步形成分析决策支持平台 数据库、模型库、方法库构成了决策支持系统最基本的内容,其中,数据库是银行决策支持系统建立的先决条件。模型库是决策支持系统的核心部分,方法库是各类模型必不可少的工具。同时,成立专门的模型库,需要培养一批专业的分析人员。决策支持系统技术含量高,综合性强等特点,决定了该系统需要大批的丰富的数理统计、计算机技术、管理经验的专业人才的支持。因而培养吸收这样的分析人才就显得非常迫切和重要。由于决策系统中的各模型库具有一定的独立性。因此,银行可以组建专门的技术开发小组来开发模型库和方法库,开发过程可以采用项目管理的办法管理,这对尽快建立银行信贷决策支持系统,提高信息系统决策支持功能具有深远的影响。
6、 尝试‘借力外包’模式
银行信息化发展运用外包应该是一种必然,中国银行业面对的竞争是国际化的,银行IT部门有限的人员已经显得有些力不从心。但是银行信息系统外包应从哪些角度切入?在多大规模上实施?如何控制外包成本?如何保证安全性?这些应该是银行慎重思考的问题。银行内部在金融信息专业化的应用方面有自己的优势,和开发公司两方面结合,可以使信息系统应用更加完善。但银行必须在保证系统稳定性、完整性、可维护性和安全性的前提下,提高行内科技和业务人员素质,才能考虑外包。目前的情况下,银行内部可以充分发挥科技人才资源,调动其主动性,在外包公司的辅助配合下开发信息系统。
银行的管理工作的成败取决于决策的正确与否,而决策的正确与否取决于信息的质和量,正确、及时、适量的信息是减少不确定因素的根本所在,信息系统作为提供、处理和传播信息的载体能够对管理和决策提供支持作用。近年来,由于管理规模的扩大,管理的性质和环境发生了巨大的变化,管理决策问题不仅数量多,而且复杂程度高,难度大,决策科学化问题应运而生。随着计算机的发展,用信息系统支持的辅助决策系统已经成为决策科学化的趋势之一。因此,信息技术进入管理决策层是科技发展进程的必然规律,同时也是事关银行也改革和发展命运的大事情,面对经济金融全球化的挑战,我国银行业必须尽快弥补这一薄弱环节,加快信息系统的建设,全面提高信息技术在管理领域的应用水平。
第二篇:交通银行信贷管理信息系统案例
交通银行信贷管理信息系统案例 交通银行信贷管理信息系统案例
案例概要
中创软件推出的“银行信贷管理系统平台解决方案”,是基于中创软件自主创新的中间件技术,依托15年的金融应用开发背景,针对金融信贷管理领域的信息化应用现状及发展需求推出的,依据该方案,中创软件在交通银行成功实施了“交通银行信贷管理信息系统(简称CMIS)”,主要实现一个适合前台、中台、后台操作的信贷业务处理平台,建立全行信贷管理信息系统。
1. 实现信贷管理涉及的业务流程,绝大多数业务流程都需要经过多级业务管理部门进行处理,业务流程复杂且流程跨度比较大;
2. 面对银行的金融信贷策略都会受国家政策的调整、市场信息的变化等因素影响,这些外因加上银行内部机制调整等内因,都可能导致信贷审批过程的变化,实现交行信贷业务流程的随需而变;
3. 交通银行的台帐、风险管理、放款中心等业务系统都有大量的报表,该系统能够快速、灵活的展示这些复杂的中式报表。
案例价值
1. 增强快速响应信贷流程变化的能力,提升业务服务质量;
2. 实现系统中大量信贷报表展现功能,对复杂信贷业务数据报表进行灵活定制和展现;
3. 通过采用构件化开发方式,缩短项目建设周期,降低系统投资。
总体技术框架
交通银行信贷管理信息系统的体系结构主要分为:表示层、中间逻辑层、业务逻辑层和数据层。如图 1所示:
中创软件商用中间件有限公司
图 1 交通银行信贷管理信息系统体系结构
通过对上图分析,可以看出交行信贷流程管理信息系统技术架构的主要支撑在于中间逻辑层,即业务流程服务引擎和中式报表服务引擎。
业务流程服务引擎
交行信贷管理信息系统解决方案首先向业务流程提供从定义、部署、运行到交互、分析的
全生命周期服务,其次将人员和信息系统通过自动化的流程结合在一起,同时还能快速应对业务流程无论是资源配置还是控制结构上的变化,实现这些目标的核心是将流程逻辑从运行它们的应用中分离出来,管理流程参与者之间的关系,集成内部和外部的流程资源,并实时监控流程性能和运行状况。
中式报表服务引擎
报表服务引擎提供B/S环境下快速实现中西式复杂报表设计、部署、生成、展现、打印和
管理的服务,真正作到了"中西合璧",支持各种类型的复杂报表,支持"所见即所得"的图形化设计,支持报表开发的全过程零编程,支持证件和票据套打,适应多种平台及数据库环境,并可以跟应用无缝集成,快速构建图文并茂的报表应用。
功能模型
交通银行信贷管理信息系统业务功能主要包括:客户信息系统、客户授信额度系统、放款中心系统、风险资产管理系统、信贷台帐系统、上报人民银行系统、公共控制系统等功能,如图 2所示:
图 2 交通银行信贷管理信息系统业务功能图
客户信息系统
集中管理交行客户资料的子系统,任务是集中处理客户财务、非财务数据和集团客户
关系信息,满足信贷业务对客户资料的需求,建立满足多种营销、管理、监督、分析需求
的统一的公共客户信息平台。
客户授信额度系统
客户授信额度系统是针对公司客户授信额度的维护、使用、恢复进行集中统一管理的
子系统。
放款中心系统
放款中心系统是连接交行信贷管理系统与核心账务系统的重要信息平台,放款中心进
行最终信贷发放确认后,由账务系统根据送达的凭证调用有关电子流信息经会计确认后做
入账处理,从而完成信贷发放的全程工作。
风险资产管理系统
作为信贷管理系统CMIS的主要业务操作处理系统之一,风险资产管理子系统处理风
险资产及其管理。
信贷台帐系统
信贷台账子系统是管理、维护、查询授信客户信息、授信业务信息信息管理子系统。
它可以为信贷业务用户和信贷管理用户提供稳定、全面、统一的数据和信息。
上报人民银行系统
按照人民银行信贷登记咨询系统的要求,交通银行将每天发生的信贷业务变化情况,
通过网络向当地人民银行数据库进行批量传输
公共控制系统
对系统的操作者、操作对象和操作权限进行管理、控制,并为其他业务应用系统提供
基础支持功能。
关键中间件技术
1. 基于InforFlow的流程服务引擎
InforFlow是中创软件参考国际工作流管理联盟(WfMC)规范实现的工作流中间件,为工作流自动化和构建流程应用提供基础平台。InforFlow基于J2EE架构,实现了流程逻辑与业务逻辑的分离,能够可视化的进行业务流程的分析、定义和业务单元的组装,从而使应用开发人员更关注于业务逻辑的实现,降低了复杂流程应用的开发难度。
InforFlow由工作流引擎、流程设计器和流程管理监控工具等部分组成:流程设计器拥有所见即所得的开发环境,提供基于XML的流程建模功能;工作流引擎完成对运行时流程的控制功能,应用系统可以通过工作流接口同工作流引擎进行交互;流程监控管理工具可以查询分析各类流程数据,用于管理决策,并可提供图形化的流程运行图。如图3-1所示:
图 3 InforFlow体系结构图
通过InforFlow工作流中间件,将信贷业务的体系结构划分为表示逻辑、流程逻辑、业务逻辑、数据管理逻辑四种不同层次的基本逻辑。通过这样的分解,最大限度的降低系统内部的耦合性,提高系统适应变化的能力,并大大提高系统并行开发效率。
InforFlow提供对业务流程逻辑的控制,当交行信贷业务过程发生变化时,只要调整相应的流程定义,就可以轻松实现业务过程的改变和重组。
2. 基于InforReport的报表服务引擎
交通银行信贷管理信息系统使用InforReport实现对报表的快速开发。当用户有新的报表需求时,使用InforReport报表设计器快速实现报表,并通过信贷系统的报表管理模块实现报表的快速发布。
同时,利用InforReport引擎与展示控件所提供的丰富的数据分析能力,简化了生成报表时所需要的复杂的SQL语句,大大减轻了数据库服务器的压力;报表的分析与生成在独立运行的报表服务器上实现,将这种对资源占用比较大的功能与正常的应用服务分离开来,减轻了应用服务器的负担,
提高了交行信贷系统所支持的最大并发量与数据吞吐量。
案例特点
1. 系统的灵活性与可适应性
InforFlow为交行信贷审批过程的定义带来了高度的灵活性,大大提高了业务过程适应变化的能力。转移条件、任务分配条件的定义使得系统可以在不修改程序、不修改流程定义的前提下就可以实现对用户授权等功能的实现。而对审批过程的变化则只需要修改流程定义,不需要修改程序就可以适应变化。
2. 对业务过程进行图形化描述
InforFlow提供的图形化流程建模工具使得审批过程一目了然。交行信贷项目组采用所见即所得的InforFlow Designer做为流程设计工具,同时作为和客户进行有效沟通的重要途径。系统开发还采用InforFlow监控工具作为流程开发/测试的辅助工具,可以对正在运行中的流程实例以及在运行中产生的数据进行查询与控制,使得管理人员能够掌握授信审批流程实例当前所处的状态和处理情况。
3. 化繁为简,快速开发
交通银行信贷管理信息系统是建立以总行为中心,覆盖银行全国各信贷网点的数据集中管理平台。该系统采用InforFlow作为开发运行支撑平台,从设计、实现、测试到上线试运行,仅仅用了5个月的时间,这是一个令人兴奋的速度。
另外该系统中的台帐业务、风险管理、放款中心等业务都有大量的报表,而中创软件InforReport报表中间件的应用,不仅解决了浏览器端报表的展示、打印及导出等问题,而且将报表开发效率提高了5-10倍。这也是该项目快速开发、构建完成的重要因素之一。
2004年7月12日,交通银行信贷管理信息系统正式上线试运行成功。项目组认为,InforFlow和InforReport在系统的设计开发过程中,对推动项目进度起到了至关重要的作用。项目组开发人员也深有感慨:“项目组采用InforFlow和InforReport,使复杂的业务需求变的简单了,降低了开发难度,缩短了开发周期,同时也提高了系统的灵活性和稳定性。
第三篇:管理信息系统在银行中的地位与作用
中国银行管理信息中心的建立,标志着我行将信息资源正式纳入了管理序列,并旨在运用IT及网络技术,使信息创造出直接或间接的价值,同时将信息的管理作为减少经营风险的锐器。
一、信息资源的新概念
众所周知;传统意义下的银行是以运用货币等有形资产创造收益的,但在科技高速发展的今天,由于银行几乎所有的交易和数据都纳入了计算机处理,因此,银行的经营活动势必同时表现为信息的运做。从这个意义讲,银行对信息的掌握、分析、运用的优劣程度,就反映了银行业务经营的好坏程度与最终的结果。纵观国内外,没有那一家优秀银行的信息处理技术不是与之业绩相匹配的。恰如生息资本,银行对信息的管理与运用是可以产生效益的,例如我们通过对信息资源的分析,就可以及时地掌握银行资产的情况,使我们能够最大限度地调度资金投资,产生效益。
不仅如此,对信息资源的管理,还集中反映在它对各种金融风险的防范上。2006年10月,国际巴塞尔委员会颁布了《有效银行监管核心原则》,在监管信息方面提出了“六个一”的标准,除第一条;“建立一套清晰授权的法律法规体系”与信息管理间接有关外,其余五条全部直接与信息系统有关,即要求银行建立“一套完整的统计报表指标体系,一套清晰可行的报送要求,一套保证数据质量的制度安排,一套高效的计算机信息系统和一套风险分析评价预警方法”(《有效银行监管核心原则》第21条附则之评价标准)。
随着中国加入世贸组织,特别是我国对外资银行全面开放,金融活动日趋活跃。由于投资环境的复杂化,形式的多样化,迫使人们越来越不满足于传统的定性的目标管理, 而积极寻求对各种经济过程及金融政策的定量研究,进而形成优良的银行信息管理与决策,以求避免损失,降低风险,实现高额利润。与此同时,近代计量经济学,运筹学等边缘学科的发展,使大量的金融活动被抽象成为反映其内在规律的数学模型, 供人们分析, 预测,充实了银行的决策能力。而网络及IT技术在这一过程中担负着举足轻重的作用,因为只有广泛深入的采用电脑, 繁杂多层次的决策理论才能快捷,准确,简单地走向实用, 才可能进行多因素下的择优及对经济过程模拟,仿真。鉴于此, 人们强烈地意识到: 离开了信息管理,就无法进行高质量的银行决策。
广义上讲, 高质量的银行信息管理就是综合运用管理科学, 运筹学,决策分析技术,数据库技术和人工智能等多学科的成就,支持并改善各种银行管理,评估各种金融风险、 预测效益、选择经营战略、支持金融创新以及指导具体的金融活动。
中国银行股份制改造以后,股东及全行职工对高层决策对所属企业及银行命运的影响给予了极大的关注。在外资银行大量涌入,以及面临国内同业竞争的情况下,中国银行管理层也清醒地意识到:我行战略及经常性的信息管理水平必须大规模地提高,同时应当拥有一系列高质量的信息管理工具与手段,与国内外同业抗衡,以保证我行在国际金融竞争中立于不败之地。实际上,中国工商银行、建设银行等国内银行也都意识到“经营、管理信息资产”的重要,并相继成立了单独的管理信息部门。
二、信息管理与IT技术
同其他事物一样,电脑的应用也必然经过由初级到高级的发展。 以不同的观点考查这一过程的分化亦有着不同的归属。从银行电脑处理问题的内容上研究这一过程应当有三个层次。 1. 以解决传统业务及手工操作为主要目的运用为第一层次,国外通常称作OLTP(Online Transaction Processing,联机事务处理)
2. 以资源共享,远程通讯为背景的信息分析处理属于第二层次,国外亦称作OLAP(Online Analysis Processing,联机分析处理)
3. 第三个层次电脑的运用是由事务性管理转向的智能控制,预测和分析决策上的运用,国外称之DSS(Decision Support System,决策支持系统) IT发展的三个层次:
第一个层次所处理的业务性质单一,运算简单,操作也较简便。如对利息的计算,各种清算、银行帐务处理等等。第二个层次运用规模较大,它是把前期面向柜员操作的程序功能联结起来并建立于网络技术之上的信息处理,它对于电脑的功能,通讯能力,网络规模都有着严格的要求。一般说来,前一个层次电脑运用的目的是为了提高工作效率和减少劳动强度的。而第
二、三个层次与前两个层次的显著区别在于它是在信息大集中和经济模型的帮助下,以分析、运用信息资源为使用目的的电脑高级运用。其结果将会为银行管理层的宏观决策提供依据,为银行经营活动指明方向。
2003年中国银行召开了全辖科技大会,启动了旨在改变中国银行IT落后现状的“IT蓝图”工程,并指定全球知名的波士顿咨询公司(BCG公司)做顾问,次年“IT蓝图”报告完成,交付中国银行。该报告从IT的角度出发,首次以IT技术的实施为前提,将我行业务领域分成为五大板块,即:“交付渠道、客户管理、产品管理、财务会计、决策支持”,其中最为瞩目的是:明确将信息管理(决策支持)提高到与客户、产品、财务管理等银行主流业务并驾齐驱的地位。
不仅如此,2005年,中国银行最高决策层又将总帐、财管等在传统意义下属于财务板块的主题,并入信息管理(决策支持)板块,突显信息管理的地位与作用,同时也构成了反映中国银行管理信息系统特色的特殊定义,即目前所说的MIS(含总帐)系统。
BCG公司在IT蓝图框架下设计的五大板块:
管理信息系统(Management Information System)的英文缩写MIS早在七十年代就已作为“专有名词”被全球IT行业所认同和使用。由于信息活动是动态的、发展的、永恒的,因此MIS的建设也是无止境的。但不同的阶段可以实现不同的任务,中国银行MIS现阶段的任务是:
在“IT蓝图”的架构下与即将上线的新一代应用系统(BANCS+外围系统)实现对接,前者面向客户及面向交易,解决实时性(T+0)事务处理,而MIS则面向银行内部所需的各种核算,面向后线(T+1)类的信息分析与加工。
三、信息管理系统与实施要素
信息管理系统的建立与实施是一项复杂的系统工程,首先必须有清晰的战略发展思路,因此,
(一)中国银行MIS系统要实现的总目标是:
推进我行信息一体化进程,实现全行一本帐下的数据集中管理
统一全行数据源的标准与规范
集中并统一利用全行的信息资源
加强总行对分行的管理与监督的力度
为管理层和各业务单元提供准确及时的信息
提高电子信息的服务水平 其次,作为承担管理信息系统建设的主体单位,管理信息中心必须有明确的管理职责,因此,
(二)MIS部门的基本职责是:
认真贯彻执行国家经济金融政策、监管机构关于信息管理的规定
制定信息标准和信息管理制度,促进我行信息资源充分、安全地共享;确保我行对外数字信息披露的准确、一致
提高内部经营管理信息质量,保证指标口径一致
建立科学、系统的报表体系,提供商业智能查询工具,提升报表编制自动化程度
整合全行管理信息需求,保证管理信息系统建设整体性,确保管理信息系统整体规划与我行业务发展战略和IT蓝图一致
兼顾先进性和可行性,积极稳妥推进我行管理信息系统建设,提升信息管理水平和效率
(三)我行MIS系统现阶段的分析(主题)应用:
中国银行管理信息系统的概念与传统的MIS系统略有不同,因为它是在我行投产BANCS系统前提下给出MIS系统定义的。换言之,它是在尽量减少前端柜员操作流程前提下的一种设计思想,故我行把总帐、财管、企业信息、利润分析、历史信息等一大堆与银行内部核算相关的处理内容放到了MIS系统之中,优化了前端操作,复杂了后台的处理。
我行现阶段主要涉及的分析(主题)应用是:总帐(GL)与财管(FMS)系统、客户关系管理系统(CRM或企业信息(ECIF))、价值与利润贡献度分析(PA)、平衡计分卡系统、风险管理(KRI)、资产负债管理(ALM)、稽核审计和监管报表管理等,其中BCG公司提出的分析(主题)应用是上述主题中的后六个,加上我行特定的总帐(GL)与财管(FMS)系统,共7个,即通常所说的中国银行MIS的6+1个维度,(如图所示)。
(四)我行MIS系统的基本架构: 中国银行MIS系统的建设是一个复杂的系统工程,采用或将采用多种技术手段实现,不但需要连接BANCS、新国结等即将投产的新一代核心系统和外围系统,也要适当考虑(在报表层面下的)融和各个旧系统,因此,我行MIS系统的基本架构如下图所示:
(五)我行MIS系统的数据架构:
过去,由于我行各应用系统大多数的开发是相对独立的,系统之间缺乏统一的数据元素标准以及信息分类编码标准等,使信息资源在一定程度上无法共享、信息孤岛现象比较严重,制约了系统的高效使用,也成为管理信息建设的首要问题,鉴于此,中国银行MIS中心的首要任务,就是尽全力,首先建立起面向各个应用的;统一数据标准的;信息同出一源的核心数据库,亦称中央数据库。
它的基本概念与原则可以简要表述为:从BANCS以及相关的外围系统(通过下传平台等工具)中提取数据源,再经过数据的分类抽取技术(ETL)形成以合约、产品、客户、交易信息等维度的中央数据库(UDM),然后针对不同的分析(主题)应用,产生数据集市,以满足个应用系统的数据要求,最终通过这些应用系统,达到为各管理层或用户提供分析结果或各种报表的目的。(如图所示)
综上所述,中国银行管理信息系统的建立,体现了中国银行高层领导决心加强信息管理以适应时代要求的管理理念。因此,管理信息中心的战略目标已不仅仅是建立一个计算机的MIS软件系统,而是如何协助总、分行各级领导了解、掌控银行的经营,进而帮助他们实现各种相关的分析,以求经营效益的最大化。
管理信息中心同总行其他部门一样,肩负着管理的重任,并对银行的经营水平与经营业绩起着直接或间接的作用。
管理信息系统(Management Information System)的英文缩写MIS早在七十年代就已作为“专有名词”被全球IT行业所认同和使用。由于信息活动是动态的、发展的、永恒的,因此MIS的建设也是无止境的。但不同的阶段可以实现不同的任务,中国银行MIS现阶段的任务是: 在“IT蓝图”的架构下与即将上线的新一代应用系统(BANCS+外围系统)实现对接,前者面向客户及面向交易,解决实时性(T+0)事务处理,而MIS则面向银行内部所需的各种核算,面向后线(T+1)类的信息分析与加工。
第四篇:银行业金融机构信息系统风险管理指引
【发布单位】中国银行业监督管理委员会 【发布文号】
【发布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所属类别】政策参考
【文件来源】中国银行业监督管理委员会
银行业金融机构信息系统风险管理指引
第一章 总 则
第一条第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《 中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条第二条 本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条第三条 本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条第四条 本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条第五条 信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章 机构职责
第六条第六条 银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条第七条 银行业金融机构应认真履行下列信息系统管理职责:
(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;
(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;
(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;
(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;
(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的报告;
(六)做好本机构信息系统审计工作;
(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;
(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;
(九)开展与信息系统风险管理相关的其他工作。
第八条第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理;信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略,统筹信息系统项目建设,定期评估、报告本机构信息系统风险状况,为决策层提供建议,采取相应的风险控制措施。
第九条第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条第十条 银行业金融机构应设立信息科技部门,统一负责本机构信息系统的规划、研发、建设、运行、维护和监控,提供日常科技服务和运行技术支持;建立或明确专门信息系统风险管理部门,建立、健全信息系统风险管理规章、制度,并协助业务部门及信息科技部门严格执行,提供相关的监管信息;设立审计部门或专门审计岗位,建立健全信息系统风险审计制度,配备适量的合格人员进行信息系统风险审计。
第十一条第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求:
(一)具备良好的职业道德,掌握履行信息系统相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第十二条第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设,建立人才激励机制,适应信息技术的发展。
第十三条第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
第三章 总体风险控制
第十四条第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条第十五条 银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
第十六条第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁,防止各类突发事故和恶意攻击。
第十七条第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。
第十八条第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构,应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条第十九条 银行业金融机构应严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,实行信息安全等级保护。
第二十条第二十条 银行业金融机构应加强对信息系统的评估和测试,及时进行修补和更新,以保证信息系统的安全性、完整性。
第二十一条第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准,省域数据中心至少应达到国家B类机房标准,省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
第二十二条第二十二条 银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。
第二十三条第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
第二十四条第二十四条 信息系统的网络应参照相关的标准和规范设计、建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
第二十五条第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。
第二十六条第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。
第二十八条第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
第二十九条第二十九条 银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
第三十条第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。信息系统的技术文档资料包括:系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括:交易数据、账务数据、客户数据,以及产生的报表数据等。
第三十一条第三十一条 银行业金融机构在信息系统可能影响客户服务时,应以适当方式告知客户。
第四章 研发风险控制
第三十二条第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。
第三十四条第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条第三十五条 银行业金融机构业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条第三十六条 银行业金融机构业务部门编写项目需求说明书,提出风险控制要求,信息科技部门根据项目需求编制项目功能说明书。
第三十七条第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。
第三十八条第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。
第四十条第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。
第四十一条第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条第四十二条 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。
第五章 运行维护风险控制
第四十三条第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
第四十五条第四十五条 银行业金融机构信息系统的运行应符合以下要求:
(一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;
(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班过程中所有现象、操作过程等信息。
第四十六条第四十六条 银行业金融机构信息系统的维护应符合以下要求:
(一)除对信息系统设备和系统环境的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(二)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;
(三)提供维护的统计和报表打印功能。
第四十七条第四十七条 银行业金融机构信息系统的变更应符合以下要求:
(一)制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
(二)根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;
(三)应采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;
(四)软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容核实清单。
第四十八条第四十八条 银行业金融机构在信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。
第四十九条第四十九条 银行业金融机构应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
第五十条第五十条 银行业金融机构应实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第六章 外包风险控制
第五十一条第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。
第五十三条第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。
第五十四条第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第五十六条第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本机构对外包管理的能力。
第五十七条第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略,并应建立针对外包风险的应急计划。
第五十八条第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。
第五十九条第五十九条 银行业金融机构将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合银监会的有关规定,经过董事会或其他决策机构批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
第七章 审 计
第六十条第六十条 银行业金融机构内设审计部门负责本机构信息系统审计,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第六十一条第六十一条 信息系统风险审计应包括:总体风险审计、系统审阅和专项风险审计。
第六十二条第六十二条 总体风险审计是指对本机构所有信息系统共有的公共部分进行审计,实施总体风险控制。根据信息系统的总体风险状况确定审计频率,但至少每3年审计一次。
第六十三条第六十三条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计,分投产前与投产后的审阅。
第六十四条第六十四条 投产前的系统审阅是指审计人员采用非现场形式,对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。
投产前的系统审阅重点:
(一)被外界成功攻破的可能性;
(二)在内部安全控制方面的设计漏洞与缺陷;
(三)项目开发管理方面的问题;
(四)效率与效能;
(五)功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性;
(六)其他需重点审阅的内容。
第六十五条第六十五条 投产前的系统审阅文档资料包括:
(一)项目可行性报告;
(二)项目需求说明书;
(三)项目功能说明书(包括业务与技术方面存在的风险及控制办法);
(四)项目总体技术框架;
(五)项目设计说明书;
(六)项目实施计划;
(七)与第三方签订的外包协议;
(八)测试计划及验收报告;
(九)投产计划;
(十)项目开发例会的会议记录;
(十一)操作手册;
(十二)其他需审阅的文档资料。
对于所含内容较多的文档资料,应对关键交易的数据处理流程、交易接口和其他重要的安全事项进行审阅。
第六十六条第六十六条 投产后的系统审阅是指在信息系统投入生产一段时间后进行的审计,旨在评估对信息系统各项风险的控制是否恰当,能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半年后进行,审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。
第六十七条第六十七条 信息系统专项风险审计是指对被审计单位发生信息安全事故进行的调查、分析和评估,或原有信息系统进行重大结构调整的审计,或审计部门认为需要对信息系统某项专题进行审计。
第六十八条第六十八条 银行业金融机构信息系统风险审计也可以由银监会及其派出机构依据法律、法规和规章,委托并授权有法定资质的中介评估机构进行。
第六十九条第六十九条 中介机构根据银监会或其派出机构委托或授权对银行业金融机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。
第七十条第七十条 中介机构根据授权出具的审计报告经银监会及其派出机构审阅确定后具有法律效力,被审计金融机构应对该审计报告在法定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
第七十一条第七十一条 中介机构应严格执行法律法规,保守被审计单位的商业秘密和风险信息。审计过程中所有涉及资料的调阅应有交接手续,并不得带离现场或进行修改、复制。
第八章 附 则
第七十二条第七十二条 本指引由中国银行业监督管理委员会负责解释、修订。
第七十三条第七十三条 本指引自颁布之日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
第五篇:银行业金融机构重要信息系统投产及变更管理办法
中国银监会办公厅关于印发《银行业金融机构重要信息系统投产及变更管理办法》的通知各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强银行业金融机构重要信息系统投产及变更风险管理,保障银行业金融机构重要信息系统安全稳定运行,现将《银行业金融机构重要信息系统投产及变更管理办法》印发给你们,请遵照执行。请各银监局将本通知转发至辖内各银行业金融机构。
中国银行业监督管理委员会
二00九年十二月二十九日
银行业金融机构重要信息系统投产及变更管理办法
第一章 总则
第一条 为加强银行业金融机构重要信息系统投产及变更风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》制定本办法。
第二条 在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。
第三条 本办法所称的重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第四条 本办法所称的重要信息系统投产及变更主要指:
(一)重要信息系统投产。
(二)支撑重要信息系统运行的机房和网络基础设施投产。
(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更,包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。
(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。
第二章 组织管理
第五条 银行业金融机构应健全IT治理结构,落实重要信息系统投产及变更管理责任。
第六条 银行业金融机构高级管理层应统筹管理重要信息系统建设,听取重大项目投产或变更的风险评估汇报,对风险控制过程进行监督。
第七条 银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程,承担技术管理工作,协调业务、管理部门开展重要信息系统投产及变更工作,保障信息科技资源投入。
第八条 银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作,开展业务影响分析,制定业务管理办法,组织用户测试,保证业务资源投入。
第九条 银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作,针对问题发现提出整改意见。
第三章 风险评估
第十条 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成风险评估报告。
第十一条 银行业金融机构在采取有效信息安全控制措施的前提下,可委托外部专家或具备相应资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。
第十二条 银行业金融机构董事会及高级管理层应审慎重大项目的风险评估报告。
第十三条 银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案,明确整改时间。不具备整改条件的应采取风险缓释措施。
第四章 投产及变更控制
第十四条 银行业金融机构应统一组织协调重要信息系统投产及变更工作,制定投产及变更规则,编制实施计划和方案,确定实施策略和步骤,明确岗位职责,确保关键岗位职责分离。
第十五条 银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。
第十六条 银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。
第十七条 银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。
第十八条 银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。
第十九条 银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。
第二十条 银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。
第二十一条 银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。
第二十二条 银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。
第二十三条 银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处置计划和流程,必要时应实施演练。
第二十四条 重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作。
第二十五条 银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部门协同做好应急准备。
第二十六条 银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。
第二十七条 银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。
第二十八条 银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,并适时实施演练。
第二十九条 银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章 投产及变更报告
第三十条 银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。
第三十一条 银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于:
(一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二)重要信息系统基本信息,包括:系统名称、业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三)重要信息系统安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条 银行业金融机构应在重要信系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
第三十三条 银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向所在地中国银监会派出机
构提交报告材料。
第三十四条 重要信息系统投产及变更如失败需要重新安排的,银行业金融机构应再次向中国银监会或其派出机构报告。
第三十五条 银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管理规范报告。
第六章 监督管理
第三十六条 针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
第三十七条 中国银监会及其派出机构可依法对银行业金融的重要信息系统投产及变更实施现场检查。
第三十八条 银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关责任。
第七章 附则
第三十九条 本办法由中国银监会负责解释和修订。
第四十条 本办法自公布之日起执行。