第八章计算机信息系统的内部控制
第一百一十七条商业银行计算机信息系统内部控制的重点是:严格划分计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
第一百一十八条商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责,做到岗位之间的相互制约,各岗位之间不得相互兼任。
各级机构应当配备计算机安全管理人员,明确计算机安全管理人员的职责。
第一百一十九条商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理,开发环境应当与生产环境严格分离。
技术部门与业务部门之间应当进行沟通协调,确保系统的整体安全。
第一百二十条商业银行购买计算机软、硬件设备,应当对供应商的资格条件进行严格审查,在使用前进行试用性安全测试,明确产品供应商对产品在使用期间应当承担的责任,确保产品的正常使用和有效维护。
第一百二十一条商业银行计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全。
计算机机房和营业网点应当有完备的计算机监控系统,确保计算机终端的正常使用。
第一百二十二条商业银行应当建立和健全网络管理系统,有效地管理网络的安全、故障、性能、配置等,并对接入国际互联网实施有效的安全管理。
第一百二十三条商业银行应当对计算机信息系统实施有效的用户管理和密码(口令)管理,对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。
员工之间严禁转让计算机信息系统的用户名或权限卡,员工离岗后应当及时更换密码和密码信息。
第一百二十四条商业银行应当对计算机信息系统的接入建立适当的授权程序,并对接入后的操作进行安全控制。
输入计算机信息系统的数据应当核对无误,数据的修改应当经过批准并建立日志。
第一百二十五条商业银行应当及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等,通过认证、加密、内容过滤、入侵监测等技术手段,不断完善安全控制措施,确保计算机信息系统的安全。
第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。
日志应当能够满足各类内部和外部审计的需要。
第一百二十七条商业银行应当严格管理各类数据信息,数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。
第一百二十八条商业银行运用计算机处理业务,应当具有可复核性和可追溯性,并为有关的审计或检查留有接口。
第一百二十九条商业银行的电子银行服务应当具备客户身份识别、安全认证等功能,防止发生泄密事件,确保交易安全。
第一百三十条商业银行应当尽可能利用计算机信息系统的系统设定,防范各种操作风险和违法犯罪行为。
第一百三十一条商业银行应当建立计算机安全应急系统,制定详细的应急方案,并定期进行修订和演练。
数据备份应当做到异地存放,条件允许时,应当建立异地计算机灾难备份中心。
第九章内部控制的监督与纠正
第一百三十二条商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。
内部控制的建设、执行部门负责设计内部控制体系,组织、督促各业务部门、分支机构建立和健全内部控制。
内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性,督促管理层纠正内部控制存在的问题。
第一百三十三条商业银行应当建立内部控制的报告和信息反馈制度,业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷,应当及时向管理层或相关部门报告。
第一百三十四条商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价,提出改进建议,对违反规定的机构和人员提出处理意见。
第十章附则
第一百三十八条本指引适用于在中华人民共和国境内依法设立的中资、外资商业银行。
政策性银行、金融资产管理公司、邮政储蓄机构、城乡信用社、信托投资公司、企业集团财务公司、金融租赁公司等其他金融机构参照执行。
第一百三十九条中国人民银行依据本指引对商业银行作出的内部控制评价结果是商业银行风险评估的重要内容,也是中国人民银行进行市场准入管理的重要依据。
第一百四十条本指引由中国人民银行负责解释。
第一百四十一条本指引自公布之日起施行。中国人民银行发布的《加强金融机构内部控制的指导原则》同时废止。