1、銀行信息科技管理委員會it事項管理規定（試行）第一章總則第一條為加強某銀行it事項管理，規范it事項操作程序和行為，促進信息科技系統安全、持續、穩健運行，根據商業銀行信息科技風險管理指引、某銀行信息科技管理委員會工作辦法以及其他相關法律、法規，制定本規定（以下簡稱規定）。第二條本規定所指it事項為信息科技管理委員會審查、批準、決策管理的it事項，主要涵括：（一）信息科技相關制度審批事項;（二）信息科技發展規劃相關事項；（三）信息科技工作計劃及預算審批事項；（四）信息科技整體技術架構相關事項；(五)信息科技系統建設項目的立項審批、預算審批、招投標管理、技術方案審批、項目驗收、上線批準等事項，并確

2、定重大項目的優先級；(六)信息科技相關軟件產品及設備購置審批、招投標管理、驗收及設備報廢審批相關事項；（七）重大信息科技系統變更事項；（八）重大信息科技運營、安全、業務連續性、應急管理相關事項；（九）信息科技外包相關事項；（十）信息科技外部審計相關事項；（十一）信息科技重大事項落實和執行結果評估事項；（十二）向中國銀監會及其派出機構報送信息科技相關報告審閱事項；（十三）信息科技相關獎懲事項；（十四）審查其他有關信息科技工作的重大事項。第二章基本規定第三條信息科技管理委員會管理的it事項，須經信息科技管理委員會會議審批和決策并形成批準文件或會議紀要，以此批準文件或會議紀要作為事項的操作依據。第四

3、條it事項的相關報告材料應形成正式文檔，相關責任人簽字示責，加蓋所屬部門公章，提交首席信息官審核。所有提交信息科技管理委員會進行審議、審批的it事項文檔，須經牽頭部門分管領導的審核并簽字。第五條需要進行調研、分析、論證環節的it事項，必須安排專門人員或專門工作組反復進行認真、細致、廣泛的調研、分析和論證，形成相應報告，首席信息官參與過程并對結果進行確認。第六條涉及費用開支的it事項，原則上以招投標方式辦理。對于特殊的不適合進行招投標的it事項，須經信息科技管理委員會批準，并指定價格談判小組進行談判。招投標過程及談判過程須接受監事會、紀檢部門的監督和檢查。第七條重大it運營、安全、業務連續性等相

4、關突發事項，按照相關規定可以先行口頭報告，接受口頭指令采取相應緊急措施，事后須形成專門事項報告，報信息科技管理委員會進行評估和備案。第八條所有it事項文件及資料須完整規范，相關文件和材料納入檔案管理。第三章it建設事項相關規定第九條it建設事項涵括機房建設及環境變更、系統技術架構構建及調整、系統項目研發、系統變更、軟件產品購置、硬件設備購置及報廢等各建設相關事項。第十條it建設事項實行流程管理，按照系統建設項目流程及職責、大宗或重大采購項目流程和職責的要求完成立項申請、調研論證、項目審批、招投標、項目實施、測試、項目驗收、上線等環節。第十一條可行性分析報告由業務部門、科技部門、風險部門在認真、

5、細致、廣泛調研的基礎上獨立或協作完成，簽字示責人及所屬部門對報告內容的真實、完整、可靠性負責，首席信息官負責審核出具審核意見，信息科技管理委員會依據業務部門、技術部門及風險部門完成的可行性分析報告及首席信息官審核意見進行項目立項審批。第十二條it項目立項后即成立項目組，項目組由科技人員以及相關業務人員組成并經信息科技管理委員會批準或指定，負責項目立項后的招投標事項、實施方案制定及實施過程中的具體事務辦理，定期向信息科技管理委員會報告項目實施進展情況。第十三條it建設事項的系統規劃書、技術方案書等重要技術方案，須由專業人員在廣泛調研的基礎上經過反復論證形成，首席信息官參與并監督這一過程，并對論證

6、結論進行審核，最后由信息科技管理委員會審議決策。第十四條it建設事項的測試環節，要求首先制定測試方案及測試案例，業務部門負責業務功能及正確性測試，技術部門負責技術性能測試，并分別形成測試報告，簽字示責人對其真實性負責。信息科技管理委員會依據測試報告顯示情況，決定是否啟動驗收程序。第十五條風險部門、合規部門、審計部門根據流程環節獨立履行相應職責，形成相關報告，報告信息科技管理委員會，并及時反饋項目實施組。第十六條信息科技管理委員會會議對測試報告、合規報告、審計報告進行審閱，并審查其他相關資料，做出驗收結論并最后形成驗收報告，并將全部文檔歸檔。第四章it事項招投標規定第十七條it事項招投標活動嚴格

7、依照中華人民共和國招標投標法某市招標投標管理規定（政府令2003第2號）以及某銀行的有關規定進行，遵循公開、公平、公正和誠實信用的原則。第十八條滿足以下標準的it事項原則上必須招標，但確實存在特殊原因不宜進行招標的，以及不滿足下述招標標準的，可由信息科技管理委員會予以確認或審批后采用價格談判方式：（一）單項合同估算價在二十萬元人民幣以上的；（二）主要設備、軟件產品的采購，單項合同估算價在二十萬元人民幣以上的；（三）it相關服務類的采購，單項合同估算價在十萬元人民幣以上的；（四）單項合同估算價低于第（一）項、第（二）、第（三）項規定的標準，但總投資額在八百萬元以上的。第十九條招標方式可采用公開招

8、標或邀請招標方式，但須報信息科技管理委員會審批同意。對于采用邀標方式的，須報告緣由經信息科技管理委員會確認，由信息科技管理委員會確定邀標資質條件并選定三家及以上被邀方。第二十條it項目招標書文件，須經法律合規部門審查通過，招標書技術部分內容須經首席信息官審核通過，最后招標書文件經信息科技管理委員會會議審批同意后，方可發標。第二十一條it項目評標組成員為五人以上單數，由監事長、紀檢書記、主管副行長和有關技術、業務等方面的代表組成，可以聘請外部技術專家。涉及it技術方案評標的，評標組成人員中it技術專家不得少于成員總人數的三分之二。第二十二條it項目開標、評標、中標各相關其他規定依照某市招投標管理

9、規定第四章有關規定執行。全程接受監事會、紀檢部門、合規部門、審計部門的監督和檢查。第五章it外包事項規定第二十三條it外包嚴格執行商業銀行信息科技風險管理指引、銀行業金融機構外包風險管理指引、商業銀行數據中心監管指引的相關要求。第二十四條it外包實行流程管理，遵循外包申請、風險評估、調研論證、外包審批、外包合同簽訂、外包管理、外包評價與審計等流程環節。第二十五條it外包事項須由風險部門、科技部門在認真、細致、廣泛調研的基礎上獨立完成外包可行性分析報告，簽字示責人及所屬部門對報告內容的真實、完整、可靠性負責，首席信息官負責審核并出具審核意見，信息科技管理委員會依據各外包可行性分析報告及首席信息官

10、審核意見進行外包審批。第二十六條it外包商的選擇通過邀標方式招標確定。外包服務提供商的資質要求由信息科技管理委員會確認。開展外包服務商資質評審前風險和科技部門必須對服務提供商進行盡職調查，并形成盡職調查報告。第二十七條it外包服務合同的有效期內，至少每年進行一次資質審查，并報告信息科技管理委員會，合同期滿重新資質評審，重新招標。第二十八條對于數據中心的重要基礎設施、重要信息系統的維護服務外包，簽訂外包合同時，外包服務商須保證購買商業保險以保證其有足夠的賠償能力，并告知保險覆蓋范圍。第二十九條it外包的日常管理部門為信息科技部門，負責與外包商的溝通和協調，負責現場外包人員的監督和管理，負責外包服

11、務的效率和質量的監督和管理，定期對外包商形成外包評價報告報告信息科技管理委員會。第三十條風險控制部門負責對外包活動進行全面風險評估，合規部門負責外包活動的合規性審核，內審部門負責對外包活動進行審計，并獨立形成報告，報信息科技管理委員會。第六章重大及突發it事項相關規定第三十一條重大及突發it事項按照銀行業重要信息系統突發事件應急管理規范、商業銀行業務連續性監管指引的規定進行管理和處置，滿足其要求。第三十二條信息科技部門負責制定重大及突發it事項的應急處置預案，并通過演練予以完善后，報信息科技管理委員會批準、備案。第三十三條應急處置預案應假設不同場景和情形，制定涵括系統運營、安全、業務連續性、應

12、急管理等多方面的多種處置措施。第三十四條對于符合以下條件的突發事件，必須制定專項應急預案：（一）已經發生并處置過的突發事件；（二）同業中已發生過的且影響較大的重大突發事件；（三）銀行業發生機率較大的突發事件；（四）監管部門風險提示以及要求制定的預案。第三十五條在發生it突發事件或發現其先兆信息以及處置過程中現場負責人須按照報告流程、時限規定及時報告有關預警或突發事件信息，并應及時采取應急措施。同時應及時向信息科技管理委員會報告，報告內容要真實、客觀、準確、清晰。第三十六條it突發事件或其預警信息的基本內容包括：（一）突發事件或預警信息發生的時間、地點；（二）突發事件或預警信息發生原因、性質、可

13、能涉及的系統及影響的業務、危害程度、影響范圍，報告時的事態及已產生的后果；（三）事態發展趨勢預測，已經或擬采取的應對措施；第三十七條信息科技管理委員會接到預警報告或事件報告后，應迅速對所報情況作出性質類別和程度上的判別，及時制定處置方案、確定可啟動的應急處置預案，協調應急保障部門。第三十八條重大及突發事件處置完畢，處置機構應當作出結案報告，向信息科技管理委員會報告。結案報告的內容應包括處置過程描述、經驗教訓、突發事件成因的分析、對該種突發事件應急預案的建議或對其實際操作效果的評估等。第七章其他it事項規定第三十九條it外部審計事項每三年進行一次，參照本規定第五章it外包事項規定的程序辦理，審計結果列為重要機密，嚴格落實保密規定，由信息科技管理委員會決策后續有關報送、整改等事項。第四十條it相關的向人民銀行、銀監局等上級管控部門報備、