제 7 조 상업은행 이사회는 다음과 같은 정보기술 관리 책임을 이행해야 한다.
(a) 정보 기술 관리에 관한 국가의 법률, 규정 및 기술 표준을 준수하고 시행하며 중국 은행업 감독관리위원회 (이하 은감회) 의 관련 규제 요구 사항을 이행합니다.
(2) 정보기술 전략을 비준하여 은행의 전반적인 경영 전략 및 중대 전략과 일치하는지 확인합니다. 정보 기술 및 위험 관리의 전반적인 효과와 효율성을 평가합니다.
(3) 주요 정보기술 위험을 파악하고, 수용 가능한 위험 수준을 결정하고, 관련 위험을 식별, 측정, 모니터링 및 통제할 수 있도록 합니다.
(4) 직업윤리와 성실 기준을 규범화하고, 내부 문화건설을 강화하고, 정보기술 위험관리의 중요성에 대한 모든 직원의 인식을 제고한다.
(5) 고위 경영진, 정보 기술 부서 및 주요 업무 부서 대표로 구성된 전문 정보 기술 관리위원회를 설립하여 각 책임의 이행을 감독하고 이사회와 고위 경영진에게 정기적으로 정보 기술 전략 계획의 집행, 정보 기술 예산 및 실제 지출, 정보 기술의 전반적인 상황을 보고한다.
(6) 좋은 기업 지배 구조를 바탕으로 정보 기술 거버넌스를 실시하여 분업이 합리적이고, 책임이 명확하며, 상호 견제와 균형, 보고 관계가 명확한 정보 기술 거버넌스 조직 구조를 형성한다. 정보기술 전문 팀 건설을 강화하여 인재 인센티브 메커니즘을 세우다.
(7) 내부 감사 부서가 독립적이고 효과적인 정보 기술 위험 관리 감사를 실시하고, 감사 보고서를 확인하며, 수정을 실시할 수 있도록 합니다.
(8) 매년 은감회 및 파견기관에 정보기술 위험관리 연례 보고서를 검토 및 제출한다.
(IX) 정보 기술 위험 관리를 보장하는 데 필요한 자금.
(10) 본 은행의 모든 직원들이 승인된 정보 기술 위험 관리 시스템 및 프로세스를 충분히 이해하고 준수하며 관련 교육을 배정할 수 있도록 합니다.
(1 1) 고객 정보, 회계 정보 및 제품 정보와 관련된 법인체의 핵심 시스템이 국내에서 독립적으로 운영되도록 하고, 은감회 규제 및 현장 검사 요구 사항을 충족하고 국경 간 위험을 방지하는 최고 관리 권한을 유지합니다.
(12) 은감회와 파견기관에 본 기관에서 발생한 중대한 정보기술 사고나 돌발 사건을 제때에 보고하고 관련 예안에 따라 신속하게 대응한다.
(13) 은감회 및 파출기관과 협조하여 정보기술 위험에 대한 감독 검사 작업을 잘 수행하고, 감독 의견에 따라 정돈한다.
(14) 정보 기술 위험 관리의 기타 관련 업무를 이행하다.
제 8 조 상업은행은 CIO 를 설립해야 하며, CIO 는 직접 행장에게 보고하고 의사결정에 참여해야 한다. Cio 의 책임은 다음과 같습니다.
(1) 본 은행의 정보 기술 응용과 관련된 업무 발전 결정에 직접 참여하다.
(b) 정보 기술 전략, 특히 정보 시스템 개발 전략이 은행의 전반적인 경영 전략과 정보 기술 위험 관리 전략에 부합하는지 확인합니다.
(3) 효과적인 정보기술 부문을 설립하고 본업의 정보기술 책임을 맡고 있다. IT 예산 및 지출, IT 전략, 표준 및 프로세스, IT 내부 통제, 전문 연구 및 개발, IT 프로젝트 시작 및 관리, 정보 시스템 및 IT 인프라 운영, 유지 관리 및 업그레이드, 정보 보안 관리, 재해 복구 계획, IT 아웃소싱, it 시스템 퇴출 등의 책임을 이행하도록 합니다.
(4) 정보 기술 위험 관리의 효율성을 보장하고 관련 관리 조치를 각 관련 내부 기관 및 지점에 적용합니다.
(5) 전문 훈련을 조직하여 인재 팀의 전문 기술을 높이다.
(6) 정보 기술 위험 관리의 기타 관련 업무를 수행한다.
제 9 조 상업은행은 정보기술 부문의 내부 관리 책임을 명확히 해야 한다. 각 직위 인원은 상응하는 전문지식과 기술을 갖추어야 하며, 중요한 직위는 상세하고 완전한 업무 수첩을 만들어 제때에 업데이트해야 한다. 관련자는 다음과 같은 위험 예방 조치를 취해야합니다.
(a) 유효한 신분증, 학력증서, 근무경력 및 직업자격증 확인을 포함한 개인 정보를 확인합니다.
(2) 정보기술 종사자의 도덕행위를 심사하여 상응하는 직업도덕을 확보한다.
(3) 직원들이 정보 기술 전략, 지침 원칙, 정보 기밀 유지, 정보 시스템 승인 사용, 정보 기술 관리 시스템 및 프로세스의 요구 사항을 이해하고 준수하며 직원들과 관련 계약을 체결할 수 있도록 합니다.
(4) 핵심 일자리 정보기술 인력 유출로 인한 위험을 평가하고 예비인력 배치, 일자리교체 계획 등 예방 조치를 취한다. 직원 직위가 변경된 후 즉시 관련 정보를 변경하다.
제 10 조 상업은행은 정보기술 위험 관리를 담당하는 전문 부서를 설립하거나 지명하고 CIO 또는 CIO (위험관리위원회) 에 직접 보고해야 한다. 이 부서는 정보 기술 비상 대응 팀의 일원으로서 관련 정보 기술 위험 관리 전략, 특히 정보 보안, 무중단 업무 운영 계획 및 규정 준수 위험을 조율하고 개발해야 합니다. 업무 부서와 정보 기술 부서에 조언 및 관련 규정 준수 정보를 제공하고 지속적인 정보 기술 위험 평가를 실시하며 시정 의견의 이행을 추적하고 정보 보안 위협 및 규정 준수 사건의 발생을 모니터링해야 합니다.
제 11 조 상업은행은 내부 감사부에 전문 정보기술 위험감사직을 설립하고, 정보기술 감사제도와 프로세스의 시행을 담당하고, 정보기술 감사계획을 제정하고 실시하며, 정보기술 전체 수명 주기와 중대한 사항을 감사해야 한다.
제 12 조 상업은행은 지적재산권 관련 법규에 따라 본 은행의 정보기술 지적재산권 보호 전략과 제도를 제정하고 전체 직원들이 충분히 이해하고 준수할 수 있도록 해야 한다. 합법적인 하드웨어 및 소프트웨어 제품의 구매 및 사용을 보장하고 불법 복제를 금지합니다. 기관의 독립적 인 지적 재산권을 보호하기위한 효과적인 조치를 취하십시오.
제 13 조 상업은행은 관련 법규의 요구에 따라 정보기술 위험을 규범화하고 제때 공개해야 한다.