銀行業金融機構重要信息系統投產及變更管理辦法

1. 銀行業監管統計管理暫行辦法

第一章總則第一條為依法加強銀行業統計管理，規范銀行業統計行為，滿足銀行業監管工作需要，根據《中華人民共和國統計法》、《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》以及《中華人民共和國統計法實施細則》、《金融違法行為處罰辦法》等法律、法規，制定本辦法。第二條本辦法適用於銀行業監督管理機構和銀行業金融機構。
本辦法所稱銀行業金融機構，是指在中華人民共和國境內設立的商業銀行、城市信用合作社、農村信用合作社等吸收公眾存款的金融機構以及政策性銀行。
在中華人民共和國境內設立的金融資產管理公司、信託投資公司、財務公司、金融租賃公司以及經國務院銀行業監督管理機構（下文稱銀監會）批准設立的其他金融機構，適用本辦法規定。第三條本辦法所稱銀行業監管統計，是指銀行業監督管理機構為滿足監管工作需要組織實施的以銀行業金融機構為主要對象的各項統計活動。銀行業監管統計是銀行業監管工作的重要組成部分，也是銀行業金融機構內部控制的重要組成部分。第四條銀行業監管統計工作的基本任務是對全國銀行業金融機構的經營情況和風險狀況進行統計調查、分析、評價和預警，提供統計信息和統計咨詢意見，實行統計監督檢查。第五條銀行業監管統計工作的基本原則是統一規范、准確及時、科學嚴謹、實事求是。第六條銀行業監管統計實行統一領導、分級負責的管理體制。銀監會是組織領導、協調管理和監督檢查全國銀行業監管統計工作的主管部門。銀監會派出機構負責轄內銀行業監管統計工作。第七條銀行業監管統計制度、報表和數據實行歸口管理，由銀行業監督管理機構統計部門具體負責。第八條銀行業監管統計以銀行業金融機構財務會計信息為基礎，以銀行業金融機構內部管理信息系統為依託，保障統計數據來源的真實、准確、完整。第九條銀行業監管統計應運用現代信息技術，逐步實現自動化、系統化和網路化。第十條銀行業監管統計應加強信息透明度建設，提高監管統計信息披露的規范性和及時性。第二章統計制度與報表管理第十一條銀監會負責制定銀行業監管統計制度。銀行業監管統計制度是對銀行業監管統計對象、內容、表式、方法以及監管統計管理工作等方面的制度性規定。第十二條銀監會統一管理銀行業監管統計報表，負責銀行業監管統計報表的制定、頒發與撤銷。
銀監會派出機構不得制定固定性統計報表。因工作需要制定轄內臨時性統計報表，應報上一級銀行業監督管理機構統計部門備案。
臨時性統計報表期限一般不超過一年。第十三條對違反第十二條規定頒發的銀行業監管統計報表，銀監會派出機構和銀行業金融機構有權拒絕填報。第十四條銀行業金融機構根據銀監會頒布的統計制度，制定本機構具體的實施辦法，並報銀行業監督管理機構備案。第三章統計資料管理與信息披露第十五條銀行業監督管理機構統計部門和銀行業金融機構主管統計工作的部門應加強對統計資料的管理，建立健全統計資料的審核、整理、交接和存檔等管理制度。第十六條銀監會建立統計信息披露制度，定期向公眾公布銀行業監管統計信息。
銀監會派出機構根據銀監會規定和授權，制定轄內信息披露制度，報銀監會審核批准。第十七條銀行業監督管理機構披露監管統計信息，以統計部門提供的數據為准。第十八條銀行業金融機構應按照有關規定對外披露本機構統計信息。第十九條銀行業監督管理機構和銀行業金融機構對外公布有密級的銀行業監管統計資料實行逐級審批，分級負責制度，未經批准，任何單位或個人不得擅自對外公布。
銀行業監管統計資料的密級劃分，按有關保密規定執行。第四章統計機構第二十條銀監會、銀監局和銀監分局設立統計部門，分別負責全國和轄內銀行業監管統計工作。第二十一條銀行業監督管理機構統計部門履行下列職責：
（一）組織起草各項銀行業監管統計制度；
（二）收集、匯總、整理銀行業監管統計資料，編制銀行業監管統計報表；
（三）整理金融業統計資料和有關國民經濟統計資料、國外經濟金融統計資料；
（四）組織開展統計調查和統計分析，提出有關政策建議；
（五）向有關部門提供銀行業監管統計資料，向公眾披露銀行業監管統計信息；
（六）對銀行業金融機構總體風險情況進行評價和預警；
（七）組織銀行業監管統計信息系統的推廣和應用；
（八）組織開展銀行業監管統計檢查；
（九）組織銀行業監管統計工作的培訓；
（十）參與銀行業監督管理機構有關制度、辦法的研究制定工作；
（十一）代表銀行業監督管理機構參加國內、國際銀行業監管統計交流、協作；
（十二）為有關國際組織提供監管統計信息資料，與其他國家監管當局就跨境機構監管定期交換信息；
（十三）為滿足銀行業監管工作需要開展的其他統計工作。

2. 銀行業立法規劃

肆、規范性文件
一、綜合性管理規定
62 ．制定《農村信用社省（自治區、直轄市）聯合社履職指引》（近期）
63 ．制定《並購和戰略投資農村中小金融機構的指導意見》（近期）
二、市場准入與監管
64 ．制定《商業銀行董事、高管履職指引》（近期）
65 ．制定《商業銀行投資並購指引》（近期）
66 ．制定《商業銀行信用卡風險管理指引》（中期）
67 ．制定《商業銀行項目融資業務指引》（近期）
68 ．制定《房地產投資信託管理指引》（中期）
69 ．制定《基礎設施投資信託管理指引》（長期）
70 ．制定《金融資產管理公司委託代理業務指引》（近期）
71 ．制定《金融資產管理公司股權投資業務指引》（近期）
三、審慎經營規則
（一）商業銀行審慎經營規則
72 ．制定《商業銀行公司治理指引》（近期）
73 ．修改《商業銀行內部控制評價試行辦法》（近期）
74 ．制定《商業銀行流動性風險管理指引》（近期）
75 ．制定《商業銀行銀行賬戶利率風險管理指引》（近期）
76 ．制定《商業銀行不良資產管理指引》（近期）
77 ．制定《銀行業金融機構貸款損失准備監管指引》（近期）
78 ．制定《商業銀行業務外包風險管理指引》（中期）
79 ．制定《商業銀行內部評級體系監管指引》（近期）
80 ．制定《商業銀行銀行賬戶風險暴露分類指引》（近期）
81 ．制定《商業銀行信用風險緩解處理指引》（近期）
82 ．制定《商業銀行專業貸款資本計提指引》（近期）
83 ．制定《商業銀行操作風險資本計提指引》（近期）
84 ．制定《商業銀行資產證券化資本計提指引》（近期）
85 ．制定《商業銀行資本充足率信息披露指引》（近期）
86 ．修改《銀行業金融機構信息系統風險管理指引》（近期）
87 ．制定《銀行業金融機構重要信息系統應急管理規范》（近期）
88 ．制定《銀行業金融機構信息系統服務連續性管理指引》（近期）
89 ．制定《銀行業金融機構信息系統安全管理規范》（近期）
90 ．制定《銀行業金融機構信息系統開發、運行、維護管理規范》（近期）
91 ．制定《銀行業金融機構業務連續性管理指引》（中期）
（二）政策性銀行審慎經營規則
92 ．制定《政策性銀行授信工作盡職指引》（中期）
（三）非銀行金融機構審慎經營規則
93 ．制定《信託公司凈資本管理辦法》（近期）
94 ．制定《企業集團財務公司內部控制指引》（近期）
（四）其他
95 ．制定《銀行業金融機構外部審計指引》（中期）
96 ．制定《商業銀行跨境資金交易風險管理指引》（近期）
97 ．制定《農村信用合作聯社法人治理指引》（近期）
四、風險處置和市場退出
98 ．制定《信託公司停業整頓和風險處置工作指引》（中期）
五、監管行為規范
99 ．制定《中資商業銀行分支機構監管評級指引》（中期）
100 ．制定《外資銀行在華分行監管評級指引》（中期）
101 ．制定《外資銀行母行支持度評估指引》（中期）
102 ．制定《政策性銀行監管評級辦法》（中期）
103 ．制定《信託公司監管評級辦法》（近期）
104 ．修改《農村信用社監管評級指引》（近期）
105 ．制定《商業銀行資本充足率監督檢查指引》（近期）
106 . 制定《銀行業金融機構信息系統現場檢查手冊》（近期）
107 . 制定《銀行業金融機構信息系統非現場監管操作規程》（近期）
108 ．制定《銀行業金融機構信息系統風險監管評級辦法》（近期）

（備註：近期為2年以內；中期為3年至5年；長期為5年以上）

3. 金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法

金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》（以下簡稱《辦法》）是為了預防洗錢和恐怖融資活動，規範金融機構客戶身份識別、客戶身份資料和交易記錄保存行為，維護金融秩序，根據《中華人民共和國反洗錢法》等法律、行政法規的規定，由中國人民銀行（以下簡稱「人行「）、中國銀行業監督管理委員會（以下簡稱「銀監會」）、中國證券監督管理委員會（以下簡稱「證監會」）和中國保險監督管理委員會（以下簡稱「保監會」）制定，於2007年6月21日發布，自2007年8月1日起施行。
拓展資料：
1、本辦法適用於在中華人民共和國境內依法設立的 下列金融機構：
（一）政策性銀行、商業銀行、農村合作銀行、城市信用合 作社、農村信用合作社。
（二）證券公司、期貨公司、基金管理公司。
（三）保險公司、保險資產管理公司。
（四）信託公司、金融資產管理公司、財務公司、金融租賃 公司、汽車金融公司、貨幣經紀公司。
（五）中國人民銀行確定並公布的其他金融機構。 從事匯兌業務、支付清算業務和基金銷售業務的機構履行客 戶身份識別、客戶身份資料和交易記錄保存義務適用本辦法。
2、金融機構應當勤勉盡責，建立健全和執行客戶身份識別制度，遵循「了解你的客戶」的原則，針對具有不同洗錢或者 恐怖融資風險特徵的客戶、業務關系或者交易，採取相應的措施， 了解客戶及其交易目的和交易性質，了解實際控制客戶的自然人 和交易的實際受益人。
3、金融機構應當按照安全、准確、完整、保密的原則，妥善保 存客戶身份資料和交易記錄，確保能足以重現每項交易，以提供 識別客戶身份、監測分析交易情況、調查可疑交易活動和查處洗 錢案件所需的信息。

4. 商業銀行數據中心監管指引的總則

第一條 為加強商業銀行數據中心風險管理，保障數據中心安全、可靠、穩定運行，提高商業銀行業務連續性水平，根據《中華人民共和國銀行業監督管理法》及《中華人民共和國商業銀行法》制定本指引。
第二條 在中華人民共和國境內設立的國有商業銀行、股份制商業銀行、郵政儲蓄銀行、城市商業銀行、省級農村信用聯合社、外商獨資銀行、中外合資銀行適用本指引。中國銀行業監督管理委員會（以下簡稱中國銀監會）監管的其他金融機構參照本指引執行。
第三條 以下術語適用於本指引：
（一）本指引所稱數據中心包括生產中心和災難備份中心（以下簡稱災備中心）。
（二）本指引所稱生產中心是指商業銀行對全行業務、客戶和管理等重要信息進行集中存儲、處理和維護，具備專用場所，為業務運營及管理提供信息科技支撐服務的組織。
（三）本指引所稱災備中心是指商業銀行為保障其業務連續性，在生產中心故障、停頓或癱疾後，能夠接替生產中心運行，具備專用場所，進行數據處理和支持重要業務持續運行的組織。
（四）本指引所稱災備中心同城模式是指災備中心與生產中心位於同一地理區域，一般距離數十公里，可防範火災、建築物破壞、電力或通信系統中斷等事件。災備中心異地模式是指災備中心與生產中心處於不同地理區域，一般距離在數百公里以上，不會同時面臨同類區域性災難風險，如地震、台風和洪水等。
（五）本指引所稱重要信息系統是指支撐重要業務，其信息安全和服務質量關系公民、法人和組織的權益，或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統，以及支撐系統運行的機房和網路等基礎設施。
第四條 《信息安全技術信息系統災難恢復規范》（GB/T20988－2007）中的條款通過本指引的引用而成為本指引的條款。 第五條 商業銀行應於取得金融許可證後兩年內，設立生產中心；生產中心設立後兩年內，設立災備中心。
第六條 商業銀行數據中心應配置滿足業務運營與管理要求的場地、基礎設施、網路、信息系統和人員，並具備支持業務不間斷服務的能力。
第七條 總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀行，及省級農村信用聯合社應設立異地模式災備中心，重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規范》中定義的災難恢復等級第5級（含）以上；其他法人商業銀行應設立同城模式災備中心並實現數據異地備份，重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規范》中定義的災難恢復等級第4級（含）以上。
第八條 商業銀行應就數據中心設立，數據中心服務范圍、服務職能和場所變更，以及其他對數據中心持續運行具有較大影響的重大變更事項向中國銀監會或其派出機構報告。
第九條 商業銀行應在數據中心規劃籌建階段，以及在數據中心正式運營前至少20個工作日，向中國銀監會或其派出機構報告。
第十條 商業銀行變更數據中心場所時應至少提前2個月，其他重大變更應至少提前10個工作日向中國銀監會或其派出機構報告。 第十一條 商業銀行信息科技風險管理部門應制定數據中心風險管理策略、風險識別和評估流程，定期開展風險評估工作，對風險進行分級管理，持續監督風險管理狀況，及時預警，將風險控制在可接受水平。
第十二條 商業銀行信息科技部門應指導、監督和協調數據中心明確信息系統運營維護管理策略，建立運營維護管理制度、標准和流程，落實信息科技風險管理措施。
第十三條 商業銀行數據中心應建立健全各項管理與內控制度，從技術和管理等方面實施風險控制措施。
第十四條 商業銀行數據中心應設立專門管理崗位，監督、檢查數據中心各項規范、制度、標准和流程的執行情況以及風險管理狀況。
第十五條 商業銀行應根據業務影響分析所識別出風險的可能性和損失程度，決定是否購買商業保險以應對不同類型的災難，並定期檢查其保險策略及范圍。投保資產清單應保存於安全場所，以便索賠時使用。
第十六條 商業銀行內部審計部門應至少每三年進行一次數據中心內部審計。
第十七條 商業銀行在採取有效信息安全控制措施的前提下，可聘請合格的外部審計機構定期對數據中心進行審計。
第十八條 商業銀行數據中心應根據內、外部審計意見，及時制定整改計劃並實施整改。 第十九條 商業銀行進行數據中心選址時，應進行全面的風險評估，綜合考慮地理位置、環境、設施等各種因素對數據中心安全運營的潛在影響，規避選址不當風險，避免數據中心選址過度集中。
第二十條 數據中心選址應滿足但不限於以下要求：
（一）生產中心與災備中心的場所應保持合理距離，避免同時遭受同類風險。
（二）應選址於電力供給可靠，交通、通信便捷地區；遠離水災和火災隱患區域；遠離易燃、易爆場所等危險區域；遠離強振源和強雜訊源，避開強電磁場干擾；應避免選址於地震、地質災害高發區域。
第二十一條 數據中心基礎設施建設應以滿足重要信息系統運行高可用性和高可靠性要求、保障業務連續性為目標，應滿足但不限於以下要求：
（一）建築物結構，如層高、承重、抗震等，應滿足專用機房建設要求。
（二）應根據使用要求劃分功能區域，各功能區域原則上相對獨立。
（三）應配備不間斷電源、應急發電設施等以滿足信息技術設備連續運行的要求。
（四）通信線路、供電、機房專用空調等基礎設施應具備冗餘能力，進行冗餘配置，消除單點隱患。
（五）機房區域應採用氣體消防和自動消防預警系統，內部通道設置、裝飾材料等應滿足消防要求，並通過消防驗收。
（六）應採取防雷接地、防磁、防水、防盜、防鼠蟲害等保護措施。
（七）應採用環保節能技術，降低能耗，提高效率。
第二十二條 數據中心安防與基礎設施保障應滿足但不限於以下要求：
（一）各功能區域應根據使用功能劃分安全控制級別，不同級別區域採用獨立的出入控制設備，並集中監控，各區域出入口及重要位置應採用視頻監控，監控記錄保存時間應滿足亭件分析、監督審計的需要。
（二）應具備機房環境監控系統，對基礎設施設備、機房環境狀況、安防系統狀況進行7x24小時實時監測，監測記錄保存時間應滿足故障診斷、事後審計的需要。
（三）每年至少開展一次針對基礎設施的安全評估，對基礎設施的可用性和可靠性、運維管理流程以及人員的安全意識等方面進行檢查，及時發現安全隱患並落實整改。
第二十三條 數據中心應來用兩家或多家通信運營商線路互為備份。互為備份的通信線路不得經過同一路由節點。 第二十四條 商業銀行應建立滿足業務發展要求的數據中心運營維護管理體系，根據業務需求定義運營維護服務內容，制定服務標准和評價方法，建立運營維護管理持續改進機制。
第二十五條 數據中心應建立滿足信息科技服務要求的運營管理組織架構。設立生產調度、信。息安全、操作運行維護、質量合規管理等職能相關的部門或崗位，明確崗位和職責，配備專職人員，提供崗位專業技能培訓，確保關鍵崗位職責分離，通過職責分工和崗位制約降低數據中心操作風險。
第二十六條 數據中心應建立信息科技運行維護服務管理流程，提高整體運行效率和服務水平，包括：
（一）應建立事件和問題管理機制。明確亭件管理流程，定義事件類別、事件分級響應要求和事件升級、上報規則，及時受理、響應、審批和交付服務請求，保障生產服務質量，盡可能降低對業務影響；建立服務台負責受理、跟蹤、解答各類運營問題；建立問題根源分析及跟蹤解決機制，查明運營事件產生的根本原因，避免事件再次發生。
（二）應建立變更管理流程，減少或防止變更對信息科技服務的影響。根據變更對業務影響大小進行變更分級，對變更影響、變更風險、資源需求和變更批准進行控制和管理；變更方案應包括應急及回退措施，並經過充分測試和驗證；建立變更管理聯動機制，當生產中心發生變更時，應同步分析災備系統變更需求並進行相應的變更，評估災備恢復的有效性；應盡量減少緊急變更。
（三）應建立配置管理流程，統一管理、及時更新數據中心基礎設施和重要信息系統配置信息，支持變更風險評估、變更實施、故障事件排查、問題根源分析等服務管理流程。
（四）應對重要信息系統和通信網路的容量和性能需求進行前瞻性規劃，分析、調整和優化容量和性能，滿足業務發展要求。
（五）應統一調度各項運維任務，協調和解決各項運維任務沖突，妥善記錄和保存運維任務調度過程。
（六）應制定驗收交接標准及流程，規范重要信息系統投產驗收管理。加強版本控制，防範因軟體版本、操作文檔等不一致產生的風險。
（七）應根據商業銀行總體風險控制策略及應急管理要求，從基礎設施、網路、信息系統等不同方面分別制定應急預案，並及時修訂應急預案，定期進行演練，保證其有效性。
（八）應集中監控重要信息系統和通信網路運行狀態。採用監控管理工具，實時監控重要信息系統和通信網路的運行狀況，通過監測、採集、分析和調優，提升生產系統運行的可靠性、穩定性和可用性。監控記錄應滿足故障定位、診斷及事後審計等要求。
第二十七條 數據中心應建立信息安全管理規范，保證重要信息的機密性、完整性和可用性，包括：
（一）應設立專門的信息安全管理部門或崗位，制定安全管理制度和實施計劃，定期對信息安全策略、制度和流程的執行情況進行檢查和報告。
（二）應建立和落實人員安全管理制度，明確信息安全管理職責；通過安全教育與培訓，提高人員的安全意識和技能；建立重要崗位人員備份制度和監督制約機制。
（三）應加強信息資產管理，識別信息資產並建立責任制，根據信息資產重要性實施分類控制和分級保護，防範信息資產生成、使用和處置過程中的風險。
（四）應建立和落實物理環境安全管理制度，明確安全區域、規范區域訪問管理，減少未授權訪問所造成的風險。
（五）應建立操作安全管理制度，制定操作規程文檔，規范信息系統監控、日常維護和批處理操作等過程。
（六）應建立數據安全管理制度，規范數據的產生、獲取、存儲、傳輸、分發、備份、恢復和清理的管理，以及存儲介質的台帳、轉儲、抽檢、報廢和銷毀的管理，保證數據的保密、真實、完整和可用。
（七）應建立網路通信與訪問安全策略，隔離不同網路功能區域，採取與其安全級別對應的預防、監測等控制措施，防範對網路的未授權訪問，保證網路通信安全。
（八）應建立基礎設施和重要信息的授權訪問機制，制定訪問控制流程，保留訪問記錄，防止未授權訪問。 第二十八條 商業銀行應將災難恢復管理納入業務連續性管理框架，建立災難恢復管理組織架構，明確災難恢復管理機制和流程。
第二十九條 商業銀行應統籌規劃災難恢復工作，定期進行風險評估和業務影響分析，確定災難恢復目標和恢復等級，明確災難恢復策略、預案並及時更新。
第三十條 商業銀行災難恢復預案應包括但不限於以下內容：災難恢復指揮小組和工作小組人員組成及聯系方式、匯報路線和溝通協調機制、災難恢復資源分配、基礎設施與信息系統的恢復優先次序、災難恢復與回切流程及時效性要求、對外溝通機制、最終用戶操作指導及第三方技術支持和應急響應服務等內容。
第三十一條 商業銀行應為災難恢復提供充分的資源保障，包括基礎設施、網路通信、運維及技術支持人力資源、技術培訓等。
第三十二條 商業銀行應建立與服務提供商、電力部門、公安部門、當地政府和新聞媒體等單位的外部協作機制，保證災難恢復時能及時獲取外部支持。
第三十三條 商業銀行應建立災難恢復有效性測試驗證機制，測試驗證應定期或在重大變更後進行，內容應包含業務功能的恢復驗證。
第三十四條 商業銀行應每年至少進行一次重要信息系統專項災備切換演練，每三年至少進行一次重要信息系統全面災備切換演練，以真實業務接管為目標，驗證災備系統有效接管生產系統及安全回切的能力。
第三十五條 商業銀行進行全面災備切換和真實業務接管演練前應向中國銀監會或其派出機構報告，並在演練結束後報送演練總結。
第三十六條 商業銀行因災難亭件啟動災難恢復或將災備中心回切至生產中心後，應及時向中國銀監會或其派出機構報告，報告內容包括但不限於：災難亭件發生時間、影響范圍和程度，亭件起因、應急處置措施、災難恢復實施情況和結果、回切方案。 第三十七條 商業銀行董事會對外包負最終管理責任，應推動和完善外包風險管理體系建設，確保商業銀行有效應對外包風險。
第三十八條 商業銀行應根據信。息科技戰略規劃制定數據中心外包策略；應制定數據中心服務外包管理制度、流程，建立全面的風險控制機制。
第三十九條 商業銀行應確定外包服務所涉及的信息資產的關鍵性和敏感程度，審慎確定數據中心外包服務范圍。
第四十條 商業銀行應充分識別、分析、評估數據中心外包風險，包括信息安全風險、服務中斷風險、系統失控風險以及聲譽風險、戰略風險等，形成風險評估報告並報董事會和高管層審核。
第四十一條 實施數據中心服務外包時，商業銀行的管理責任不得外包。
第四十二條 數據中心服務外包一般包括：
（一）基礎設施類：外包服務商向商業銀行提供數據中心機房、配套設施或運行設備的服務。
（二）運營維護類：外包服務商向商業銀行提供數據中心信息系統或墓礎設施的日常運行、維護等服務。
第四十三條 商業銀行在選擇數據中心外包服務商時，應充分審查、評估外包服務商的資質、專業能力和服務方案，對外包服務商進行風險評估，考查其服務能力是否足以承擔相應的貴任。評估包括：外包服務商的企業信譽及財務德定性，外包服務商的信息安全和信息科技服務管理體系，銀行業服務經驗等。提供數據中心基礎設施外包服務的服務商，其運行環境應符合商業銀行要求，並具有完備的安全管理規范。
第四十四條 商業銀行應與數據中心外包服務商簽訂書面合同，在合同中明確重要事項，包括但不限於雙方的權利和義務、外包服務水平、服務的可靠性、服務的可用性、信息安全控制、服務持續性計劃、審計、合規性要求、違約賠償等。
第四十五條 商業銀行應要求外包服務商購買商業保險以保證其有足夠的賠償能力，並告知保險覆蓋范圍。
第四十六條 商業銀行應加強對數據中心外包服務活動的安全管理，包括但不限於：
（一）商業銀行應將數據中心外包服務安全管理納入數據中心的整體安全策略，保障業務、管理和客戶敏感數據信息安全。
（二）商業銀行應按照「必需知道」和「最小授權」原則，嚴格控制外包服務商信息訪問的許可權，要求外包服務商不得對外泄露所接觸的商業銀行信息。
（三）商業銀行應要求外包服務商保留操作痕跡、記錄完整的日誌，相關內容和保存期限應滿足事件分析、安全取證、獨立審計和監督檢查需要。
（四）商業銀行應要求外包服務商遵守商業銀行有關信息科技風險管理制度和流程。
（五）商業銀行應要求外包服務商每年至少開展一次信息安全風險評估並提交評估報告。
（六）商業銀行應要求外包服務商聘請外部機構定期對其進行安全審計並提交審計報告，督促其及時整改發現的問題。
第四十七條 商業銀行應禁止外包服務商轉包並嚴格控制分包，保證外包服務水平。
第四十八條 商業銀行應制定數據中心外包服務應急計劃，制訂供應商替換方案，以應對外包服務商破產、不可抗力或其它潛在問題導致服務中斷或服務水平下降的情形，支持數據中心連續、可靠運行。
第四十九條 商業銀行應建立外包服務考核、評價機制，定期對外包服務活動和外包服務商的服務能力進行審核和評估，確保獲得持續、穩定的外包服務。
第五十條 商業銀行在實施數據中心整體服務外包以及涉及影響業務、管理和客戶敏感數據信息安全的外包前，應向中國銀監會或其派出機構報告。
第五十一條 商業銀行應在外包服務協議條款中明確商業銀行和監管機構有權對協議范圍內的服務活動進行監督檢查，包括外包商的服務職能、責任、系統和設施等內容。 第五十二條 中國銀監會及其派出機構可依法對商業銀行的數據中心實施非現場監管及現場檢查。現場檢查原則上每三年一次。
第五十三條 針對商業銀行數據中心設立、變更、運營過程存在的風險，中國銀監會或其派出機構可向商業銀行提示風險並提出整改意見。商業銀行應及時整改並反饋結果。 第五十四條 本指引由中國銀監會負責解釋、修訂。
第五十五條 本指引自公布之日起執行。
附件：《商業銀行數據中心監管指引》報告材料目錄和格式要求

5. 金融機構應從()管理的角度

金融機構應從（全流程）管理的角度對各項金融業務進行系統性的洗錢風險評估。

6. 銀行業金融機構信息系統風險管理指引的第七章　審　計

第六十條 銀行業金融機構內設審計部門負責本機構信息系統審計，也可聘請經國家相應監管部門認定資質的中介機構進行信息系統外部審計。
第六十一條 信息系統風險審計應包括：總體風險審計、系統審閱和專項風險審計。
第六十二條 總體風險審計是指對本機構所有信息系統共有的公共部分進行審計，實施總體風險控制。根據信息系統的總體風險狀況確定審計頻率，但至少每3年審計一次。
第六十三條 信息系統的系統審閱是指對研發、運行及退出的全過程進行審計，分投產前與投產後的審閱。
第六十四條 投產前的系統審閱是指審計人員採用非現場形式，對信息項目開發過程中所提交的有關文檔資料進行審閱，指出其中存在的風險，了解是否具有相應的控制措施，並提出評價和建議的過程。信息系統投產前的系統審閱應關注信息系統的安全控制、許可權設置、正確性、連貫性、完整性、可審計性和及時性等內容。
投產前的系統審閱重點：
（一）被外界成功攻破的可能性；
（二）在內部安全控制方面的設計漏洞與缺陷；
（三）項目開發管理方面的問題；
（四）效率與效能；
（五）功能、設計和工作流程是否符合法律、法規和內部控制方面的規定並有連續兼容性；
（六）其他需重點審閱的內容。
第六十五條 投產前的系統審閱文檔資料包括：
（一）項目可行性報告；
（二）項目需求說明書；
（三）項目功能說明書（包括業務與技術方面存在的風險及控制辦法）；
（四）項目總體技術框架；
（五）項目設計說明書；
（六）項目實施計劃；
（七）與第三方簽訂的外包協議；
（八）測試計劃及驗收報告；
（九）投產計劃；
（十）項目開發例會的會議記錄；
（十一）操作手冊；
（十二）其他需審閱的文檔資料。
對於所含內容較多的文檔資料，應對關鍵交易的數據處理流程、交易介面和其他重要的安全事項進行審閱。
第六十六條 投產後的系統審閱是指在信息系統投入生產一段時間後進行的審計，旨在評估對信息系統各項風險的控制是否恰當，能否實現預定的設計目標。投產後的系統審閱應在信息系統投入生產半年後進行，審計報告應對被審計的信息系統提出改進或增加風險控制、能否繼續生產等內容的審計建議。
第六十七條 信息系統專項風險審計是指對被審計單位發生信息安全事故進行的調查、分析和評估，或原有信息系統進行重大結構調整的審計，或審計部門認為需要對信息系統某項專題進行審計。
第六十八條 銀行業金融機構信息系統風險審計也可以由銀監會及其派出機構依據法律、法規和規章，委託並授權有法定資質的中介評估機構進行。
第六十九條 中介機構根據銀監會或其派出機構委託或授權對銀行業金融機構進行審計時，應出示委託授權書，並依照委託授權書上規定的委託和授權范圍進行審計。
第七十條 中介機構根據授權出具的審計報告經銀監會及其派出機構審閱確定後具有法律效力，被審計金融機構應對該審計報告在法定時間內提出整改意見，並按審計報告中提出的建議進行及時整改。
第七十一條 中介機構應嚴格執行法律法規，保守被審計單位的商業秘密和風險信息。審計過程中所有涉及資料的調閱應有交接手續，並不得帶離現場或進行修改、復制。

7. 銀行核心系統變更是否需要向監管備案

《銀行業金融機構重要信息系統投產及變更管理辦法》
第三十一條 銀行業金融機構應在重要信息系統投產前至少20個工作日、變更前至少10個工作日向中國銀監會或其派出機構報告，包括但不限於：
（一）總體說明：投產及變更目的、內容、計劃起止時間、業務影響范圍、聯系人及聯系方式等。
（二）重要信息系統基本信息，包括：系統名稱，業務功能，操作系統、資料庫、中間件情況，應用架構、技術架構、數據架構，生產主機備份方案、數據備份方案，運行管理等相關職能部門，是否納入災難恢復計劃等。
（三）重要信息系統安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。
（四）涉及基礎設施的，需提供基礎設施基本信息，包括機房和網路方案。
機房方案包括等級標准、地址、供配電系統、消防、空調、弱電系統、機房加固、機房 空間規劃，以及機房驗收報告等；網路方案包括網路架構分區、核心網路備份情況，以及區域間、外聯網、互聯網邊界安全措施與網路監控措施等。
（五）採取外包方式的，需提交外包服務機構情況、外包服務內容、外包風險評估報告等。
（六）投產及變更方案，包括投產及變更的組織結構與實施計劃、操作步驟等。
（七）風險評估報告，應包括業務影響分析，技術風險分析與評估，控制措施的有效性，以及剩餘風險等。
（八）應急預案，包括應急處置組織結構，應急場景，應急處置流程、步驟，應急聯系方式與報告路線等，實施演練的應提交演練總結報告。
第三十二條 銀行業金融機構應在重要信系統投產及變更實施後1個月內向中國銀監會或其派出機構提交總結報告材料，內容包括但不限於：投產及變更方案執行情況、效果，問題發現和處理情況，後續改進措施等。如投產及變更失敗，應詳細說明失敗原因。

核心業務系統屬於支撐重要業務，其信息安全和服務質量關系公民、法人和其他組織的權益，或關系社會秩序、公共利益乃至國家安全的信息系統，應納入重要信息系統范疇。

8. 銀行業金融機構信息系統風險管理指引的主要要求是什麼

機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構，完善內部組織結構和工作機制，防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責：
（一）貫徹執行國家有關信息系統管理的法律、法規和技術標准，落實銀監會相關監管要求；
（二）建立有效的信息安全保障體系和內部控制規程，明確信息系統風險管理崗位責任制度，並監督落實；
（三）負責組織對本機構信息系統風險進行檢查、評估、分析，及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息；
（四）及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件，並按有關預案快速響應；
（五）每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告；
（六）做好本機構信息系統審計工作；
（七）配合銀監會及其派出機構做好信息系統風險監督檢查工作，並按照監管意見進行整改；
（八）組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓；
（九）開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理；信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略，統籌信息系統項目建設，定期評估、報告本機構信息系統風險狀況，為決策層提供建議，採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門，統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控，提供日常科技服務和運行技術支持；建立或明確專門信息系統風險管理部門，建立、健全信息系統風險管理規章、制度，並協助業務部門及信息科技部門嚴格執行，提供相關的監管信息；設立審計部門或專門審計崗位，建立健全信息系統風險審計制度，配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求：
（一）具備良好的職業道德，掌握履行信息系統相關崗位職責所需的專業知識和技能；
（二）未經崗前培訓或培訓不合格者不得上崗；經考核不適宜的工作人員，應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設，建立人才激勵機制，適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅，防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責許可權，建立制約機制，實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構，應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准，參照有關國際准則，積極推進信息安全標准化，實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試，及時進行修補和更新，以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准，省域數據中心至少應達到國家B類機房標准，省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施，未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護，使用正版軟體，加強軟體版本管理，優先使用具有中國自主知識產權的軟、硬體產品；積極研發具有自主知識產權的信息系統和相關金融產品，並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設；網路設備應兼備技術先進性和產品成熟性；網路設備和線路應有冗餘備份；嚴格線路租用合同管理，按照業務和交易流量要求保證傳輸帶寬；建立完善的網管中心，監測和管理通信線路及網路設備，保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離；加強無線網、互聯網接入邊界控制；使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段，有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理，不得脫離系統採集加工、傳輸、存取數據；優化系統和資料庫安全設置，嚴格按授權使用系統和資料庫，採用適當的數據加密技術以保護敏感數據的傳輸和存取，保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取許可權、方式和授權使用范圍，嚴格審批和登記手續。

第二十九條 銀行業金融機構應制定信息系統應急預案，並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本並異地存放，按規定年限保存，調用時應嚴格授權。信息系統的技術文檔資料包括：系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括：交易數據、賬務數據、客戶數據，以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時，應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組，重大項目還應成立項目領導小組，並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略，在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境，以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷，提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，並進行演練。

第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關規章制度，制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質，具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響，並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略，並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，並制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統，以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時，應遵守國家有關法律法規，符合銀監會的有關規定，經過董事會或其他決策機構批准，並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。

9. 銀行業金融機構國別風險管理指引的銀行業金融機構國別風險管理指引

第一條 為加強銀行業金融機構國別風險管理，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》以及其他有關法律和行政法規，制定本指引。
第二條 在中華人民共和國境內依法設立的商業銀行、郵政儲蓄銀行、城市信用合作社、農村信用合作社等吸收公眾存款的銀行業金融機構、政策性銀行以及國家開發銀行適用本指引。
第三條 本指引所稱國別風險，是指由於某一國家或地區經濟、政治、社會變化及事件，導致該國家或地區借款人或債務人沒有能力或者拒絕償付銀行業金融機構債務，或使銀行業金融機構在該國家或地區的商業存在遭受損失，或使銀行業金融機構遭受其他損失的風險。
國別風險可能由一國或地區經濟狀況惡化、政治和社會動盪、資產被國有化或被徵用、政府拒付對外債務、外匯管制或貨幣貶值等情況引發。
轉移風險是國別風險的主要類型之一，是指借款人或債務人由於本國外匯儲備不足或外匯管制等原因，無法獲得所需外匯償還其境外債務的風險。
第四條 本指引所稱國家或地區，是指不同的司法管轄區或經濟體。如銀行業金融機構在進行國別風險管理時，應當視中國香港、中國澳門和中國台灣為不同的司法管轄區或經濟體。
第五條 本指引所稱重大國別風險暴露，是指對單一國家或地區超過銀行業金融機構凈資本25%的風險暴露。
第六條 本指引所稱國別風險准備金，是指銀行業金融機構為吸收國別風險導致的潛在損失計提的准備金。
第七條 銀行業金融機構應當有效識別、計量、監測和控制國別風險，在計提准備金時充分考慮國別風險。
第八條 中國銀行業監督管理委員會（以下簡稱銀監會）及其派出機構依法對銀行業金融機構的國別風險管理實施監督檢查，及時獲得銀行業金融機構國別風險信息，評價銀行業金融機構國別風險管理的有效性。 第九條 銀行業金融機構應當按照本指引要求，將國別風險管理納入全面風險管理體系，建立與本機構戰略目標、國別風險暴露規模和復雜程度相適應的國別風險管理體系。國別風險管理體系包括以下基本要素：
（一）董事會和高級管理層的有效監控；
（二）完善的國別風險管理政策和程序；
（三）完善的國別風險識別、計量、監測和控制過程；
（四）完善的內部控制和審計。
第十條 銀行業金融機構董事會承擔監控國別風險管理有效性的最終責任。主要職責包括：
（一）定期審核和批准國別風險管理戰略、政策、程序和限額；
（二）確保高級管理層採取必要措施識別、計量、監測和控制國別風險；
（三）定期審閱高級管理層提交的國別風險報告，監控和評價國別風險管理有效性以及高級管理層對國別風險管理的履職情況；
（四）確定內部審計部門對國別風險管理情況的監督職責。
第十一條 銀行業金融機構高級管理層負責執行董事會批準的國別風險管理政策。主要職責包括：
（一）制定、定期審查和監督執行國別風險管理的政策、程序和操作規程；
（二）及時了解國別風險水平及管理狀況；
（三）明確界定各部門的國別風險管理職責以及國別風險報告的路徑、頻率、內容，督促各部門切實履行國別風險管理職責，確保國別風險管理體系的正常運行；
（四）確保具備適當的組織結構、管理信息系統以及足夠的資源來有效地識別、計量、監測和控制各項業務所承擔的國別風險。
第十二條 銀行業金融機構應當指定合適的部門承擔國別風險管理職責，制定適用於本機構的國別風險管理政策。
國別風險管理政策應當與本機構跨境業務性質、規模和復雜程度相適應。主要內容包括：
（一）跨境業務戰略和主要承擔的國別風險類型；
（二）國別風險管理組織架構、許可權和責任；
（三）國別風險識別、計量、監測和控製程序；
（四）國別風險的報告體系；
（五）國別風險的管理信息系統；
（六）國別風險的內部控制和審計；
（七）國別風險准備金政策和計提方法；
（八）應急預案和退出策略。
第十三條 銀行業金融機構應當充分識別業務經營中面臨的潛在國別風險，了解所承擔的國別風險類型，確保在單一和並表層面上，按國別識別風險。
國別風險存在於授信、國際資本市場業務、設立境外機構、代理行往來和由境外服務提供商提供的外包服務等經營活動中。
第十四條 銀行業金融機構應當確保國際授信與國內授信適用同等原則，包括：嚴格遵循「了解你的客戶」原則，對境外借款人進行充分的盡職調查，確保借款人有足夠的外幣資產或收入來源履行其外幣債務；認真核實借款人身份及最終所有權，避免風險過度集中；盡職核查資金實際用途，防止貸款挪用；審慎評估海外抵押品的合法性及其可被強制執行的法律效力；建立完善的貸後管理制度。
第十五條 銀行業金融機構在進行交易對手盡職調查時，應當嚴格遵守反洗錢和反恐融資法律法規，嚴格執行聯合國安理會的有關決議，對涉及敏感國家或地區的業務及交易保持高度警惕，及時查詢包括聯合國制裁決議在內的與本機構經營相關的國際事件信息，建立和完善相應的管理信息系統，及時錄入、更新有關制裁名單和可疑交易客戶等信息，防止個別組織或個人利用本機構從事支持恐怖主義、洗錢或其他非法活動。
第十六條 銀行業金融機構應當根據本機構國別風險類型、暴露規模和復雜程度選擇適當的計量方法。計量方法應當至少滿足以下要求：能夠覆蓋所有重大風險暴露和不同類型的風險；能夠在單一和並表層面按國別計量風險；能夠根據有風險轉移及無風險轉移情況分別計量國別風險。
第十七條 銀行業金融機構應當建立與國別風險暴露規模和復雜程度相適應的國別風險評估體系，對已經開展和計劃開展業務的國家或地區逐一進行風險評估。在評估國別風險時，銀行業金融機構應當充分考慮一個國家或地區經濟、政治和社會狀況的定性和定量因素。在國際金融中心開展業務或設有商業存在的機構，還應當充分考慮國際金融中心的固有風險因素。在特定國家或地區出現不穩定因素或可能發生危機的情況下，應當及時更新對該國家或地區的風險評估。銀行業金融機構在制定業務發展戰略、審批授信、評估借款人還款能力、進行國別風險評級和設定國別風險限額時，應當充分考慮國別風險評估結果。
銀行業金融機構應當建立正式的國別風險內部評級體系，反映國別風險評估結果。國別風險應當至少劃分為低、較低、中、較高、高五個等級，風險暴露較大的機構可以考慮建立更為復雜的評級體系。在存在極端風險事件情況下，銀監會可以統一指定特定國家或地區的風險等級。
銀行業金融機構應當建立國別風險評級和貸款分類體系的對應關系，在設立國別風險限額和確定國別風險准備金計提水平時充分考慮風險評級結果。
銀行業金融機構可以合理利用內外部資源開展國別風險評估和評級，在此基礎上做出獨立判斷。國別風險暴露較低的銀行業金融機構，可以主要利用外部資源開展國別風險評估和評級，但最終應當做出獨立判斷。
第十八條 銀行業金融機構應當對國別風險實行限額管理，在綜合考慮跨境業務發展戰略、國別風險評級和自身風險偏好等因素的基礎上，按國別合理設定覆蓋表內外項目的國別風險限額。有重大國別風險暴露的銀行業金融機構應當考慮在總限額下按業務類型、交易對手類型、國別風險類型和期限等設定分類限額。
國別風險限額應當經董事會或其授權委員會批准，並傳達到相關部門和人員。銀行業金融機構應當至少每年對國別風險限額進行審查和批准，在特定國家或地區風險狀況發生顯著變化的情況下，提高審查和批准頻率。
銀行業金融機構應當建立國別風險限額監測、超限報告和審批程序，至少每月監測國別風險限額遵守情況，持有較多交易資產的機構應當提高監測頻率。超限額情況應當及時向相應級別的管理層或董事會報告，以獲得批准或採取糾正措施。銀行業金融機構管理信息系統應當能夠有效監測限額遵守情況。
第十九條 銀行業金融機構應當建立與國別風險暴露規模相適應的監測機制，在單一和並表層面上按國別監測風險，監測信息應當妥善保存於國別風險評估檔案中。在特定國家或地區狀況惡化時，應當提高監測頻率。必要時，銀行業金融機構還應當監測特定國際金融中心、某一區域或某組具有類似特徵國家的風險狀況和趨勢。
銀行業金融機構可以充分利用內外部資源實施監測，包括要求本機構的境外機構提供國別風險狀況報告，定期走訪相關國家或地區，從評級機構或其他外部機構獲取有關信息等。國別風險暴露較低的銀行業金融機構，可以主要利用外部資源開展國別風險監測。
第二十條 銀行業金融機構應當建立與國別風險暴露規模和復雜程度相適應的國別風險壓力測試方法和程序，定期測試不同假設情景對國別風險狀況的潛在影響，以識別早期潛在風險，並評估業務發展策略與戰略目標的一致性。
銀行業金融機構應當定期向董事會和高級管理層報告測試結果，根據測試結果制定國別風險管理應急預案，及時處理對陷入困境國家的風險暴露，明確在特定風險狀況下應當採取的風險緩釋措施，以及必要時應當採取的市場退出策略。
第二十一條 銀行業金融機構應當為國別風險的識別、計量、監測和控制建立完備、可靠的管理信息系統。管理信息系統功能至少應當包括：
（一）幫助識別不適當的客戶及交易；
（二）支持不同業務領域、不同類型國別風險的計量；
（三）支持國別風險評估和風險評級；
（四）監測國別風險限額執行情況；
（五）為壓力測試提供有效支持；
（六）准確、及時、持續、完整地提供國別風險信息，滿足內部管理、監管報告和信息披露要求。
第二十二條 銀行業金融機構應當定期、及時向董事會和高級管理層報告國別風險情況，包括但不限於國別風險暴露、風險評估和評級、風險限額遵守情況、超限額業務處理情況、壓力測試、准備金計提水平等。不同層次和種類的報告應當遵循規定的發送范圍、程序和頻率。重大風險暴露和高風險國家暴露應當至少每季度向董事會報告。在風險暴露可能威脅到銀行盈利、資本和聲譽的情況下，銀行業金融機構應當及時向董事會和高級管理層報告。
第二十三條 銀行業金融機構應當建立完善的國別風險管理內部控制體系，確保國別風險管理政策和限額得到有效執行和遵守，相關職能適當分離，如業務經營職能和國別風險評估、風險評級、風險限額設定及監測職能應當保持獨立。
第二十四條 銀行業金融機構內部審計部門應當定期對國別風險管理體系的有效性進行獨立審查，評估國別風險管理政策和限額執行情況，確保董事會和高級管理層獲取完整、准確的國別風險管理信息。 第二十五條 銀行業金融機構應當充分考慮國別風險對資產質量的影響，准確識別、合理評估、審慎預計因國別風險可能導致的資產損失。
第二十六條 銀行業金融機構應當制定書面的國別風險准備金計提政策，確保所計提的資產減值准備全面、真實反映國別風險。
第二十七條 銀行業金融機構計提的國別風險准備金應當作為資產減值准備的組成部分。
第二十八條 銀行業金融機構應當按本指引對國別風險進行分類，並在考慮風險轉移和風險緩釋因素後，參照以下標准對具有國別風險的資產計提國別風險准備金：
低國別風險不低於0.5%；較低國別風險不低於1%；中等國別風險不低於15%；較高國別風險不低於25%；高國別風險不低於50%。
銀行業金融機構如已建立國別風險內部評級體系，應當明確該評級體系與本指引規定的國別風險分類之間的對應關系。
第二十九條 銀行業金融機構應當對資產的國別風險進行持續有效的跟蹤監測，並根據國別風險的變化動態調整國別風險准備金。
第三十條 銀行業金融機構應當要求外部審計機構在對本機構年度財務報告進行審計時，評估所計提資產減值准備考慮國別風險因素的充分性、合理性和審慎性，並發表審計意見。 第三十一條 銀監會及其派出機構將銀行業金融機構國別風險管理情況納入持續監管框架，對銀行業金融機構國別風險管理的有效性進行評估。在審核銀行業金融機構設立、參股、收購境外機構的申請時，將國別風險管理狀況作為重要考慮因素。
第三十二條 銀行業金融機構應當每年向銀監會及其派出機構報送國別風險暴露和准備金計提情況，有重大國別風險暴露的銀行業金融機構應當每季度報告。
銀監會及其派出機構對銀行業金融機構報告內容進行審查，並可以根據審查結果要求銀行業金融機構增加報告范圍和頻率、提供額外信息、實施壓力測試等。
在特定國家或地區發生重大經濟、政治、社會事件，並對本行國別風險水平及其管理狀況產生重大不利影響時，銀行業金融機構應當及時向銀監會及其派出機構報告對該國家或地區的風險暴露情況。
第三十三條 銀行業金融機構的國別風險管理政策和程序應當報銀監會及其派出機構備案。銀監會及其派出機構對銀行業金融機構國別風險管理的政策、程序和做法進行定期檢查評估，主要內容包括：
（一）董事會和高級管理層在國別風險管理中的履職情況；
（二）國別風險管理政策和程序的完善性和執行情況；
（三）國別風險識別、計量、監測和控制的有效性；
（四）國別風險管理信息系統的有效性；
（五）國別風險限額管理的有效性；
（六）國別風險內部控制的有效性。
第三十四條 銀監會及其派出機構定期評估銀行業金融機構國別風險准備金計提的合理性和充分性，可以要求國別風險准備金計提不充分的商業銀行採取措施，減少國別風險暴露或者提高准備金水平。
第三十五條 對於銀監會及其派出機構在監管中發現的有關國別風險管理的問題，銀行業金融機構應當在規定時限內提交整改方案並採取整改措施。對於逾期未改正或者導致重大損失的銀行業金融機構，銀監會及其派出機構可以依法採取監管措施。
第三十六條 銀行業金融機構應當嚴格按照《商業銀行信息披露辦法》等法律法規的有關規定，定期披露國別風險和國別風險管理情況。 第三十七條 金融資產管理公司、信託公司、企業集團財務公司、金融租賃公司、汽車金融公司、外國銀行分行等其他金融機構參照本指引執行。
第三十八條 本指引由銀監會負責解釋。
第三十九條 銀行業金融機構最遲應當於2011年6月1日前達到本指引要求。
第四十條 本指引自發布之日起施行。
附件：
1.國別風險主要類型
2.國別風險評估因素
3.國別風險分類標准