（征求意见稿）

第一章 总 则

第一条 为提高村镇银行信息科技建设及管理水平，有效防范信息科技风险，促进村镇银行持续、稳健发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，参照《商业银行信息科技风险管理指引》要求，制定本指引。

第二条 本指引适用于在中华人民共和国境内依法设立的村镇银行，村镇银行主发起行（以下简称主发起行）及承担村镇银行信息科技工作的银行业金融机构。

第三条 村镇银行信息科技工作目标是通过建立有效的管理机制，科学开展信息科技建设，加强信息科技风险管控，确保信息科技工作目标与业务发展目标一致，增强核心竞争力，促进村镇银行安全、持续、稳健发展。

第四条 村镇银行信息科技工作的基本原则是：

（一） 发展为本：信息科技工作以支持村镇银行业务健康发展为根本要求；

（二） 风险可控：积极采取措施，防范系统中断、敏感信息泄露和资金损失等风险；

（三） 资源共享：信息科技工作应统筹规划、适度集中、节约高效，合理利用信息科技资源。

第五条 根据信息科技工作的责任主体不同，村镇银行信息科技管理分为自主管理和主发起行管理两种模式。自主管理是指村镇银行承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式，主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。

第六条 本指引所称同业机构是指中国银行业监督管理委员会（以下简称中国银监会）监管的银行业金融机构。

第七条 本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。

第 本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。

第九条 村镇银行应根据本行市场定位和业务发展战略，结合本行管理水平和技术能力，自主确定本行信息科技管理模式，并履行本指引第二章关于不同模式下信息科技治理的要求，积极采用自建、同业合作或外包的方式开展信息科技工作。

第二章信息科技治理

第一节自主管理模式

第十条 村镇银行法定代表人对村镇银行信息科技工作负最终责任。

第十一条 村镇银行董事会应履行以下职责，不设董事会的，应设立由高级管理层组成的组织机构（以下简称履职机构）履行下述职责：

(一) 负责审批信息科技战略规划，确保与本行的总体发展战略相一致；

(二) 负责建立适合业务发展的信息科技治理架构，确保责任明确、分工合理；

(三) 为信息科技工作的开展提供资源保障；

(四) 建立信息科技工作激励和考核机制；

(五) 掌握主要的信息科技风险，确保可接受的风险级别；

(六) 确保信息科技审计有效开展；

(七) 贯彻有关信息科技工作的法律法规，落实中国银监会及其派出机构监管要求；

(八) 向中国银监会及其派出机构报告本行重大信息科技突发事件。

第十二条 村镇银行高级管理层应履行以下职责：

(一) 组织制定信息科技战略规划；

(二) 建立信息科技部门或指派一个部门，承担本行信息科技工作职责，确保履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技项目研发和运行管理、信息安全管理、灾难恢复计划、信息科技外包等职责。

(三) 负责对信息科技工作中的重大事项进行决策；

(四) 组织开展信息科技建设，建立信息科技工作制度和流程；

(五) 组织评估本行信息科技风险并采取相应的风险控制措施；

(六) 组织开展信息科技专业培训，开展信息科技人才队伍建设；

(七) 向董事会或履职机构报告本行重大信息科技突发事件。

第十三条 村镇银行应将信息科技风险纳入全面风险管理框架，明确信息科技风险管理工作的主管部门，建立与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略，有效识别、计量、监测和控制信息科技风险。

第十四条 村镇银行应定期开展信息科技审计，至少每三年覆盖全部信息科技风险领域，并根据审计结果及时整改。

第十五条 主发起行应发挥自身在信息科技工作方面的经验与优势，对村镇银行的信息科技工作进行指导和帮助，并履行以下职责：

(一) 协助村镇银行制定信息科技战略规划；

(二) 为村镇银行信息科技重大事项和决策提供专业建议；

(三) 协助村镇银行开展信息科技建设及风险管理；

(四) 指导村镇银行落实本指引第三、四、五章中对于村镇银行的监管要求。

第二节主发起行管理模式

第十六条 主发起行法定代表人对村镇银行信息科技工作负最终责任。

第十七条 主发起行董事会应履行以下职责：

(一) 审批村镇银行信息科技战略规划；

(二) 负责建立与村镇银行规模、业务相适应的信息科技治理架构；

(三) 为村镇银行信息科技工作的开展提供资源保障。

(四) 建立村镇银行信息科技工作激励和考核机制；

(五) 掌握主要的信息科技风险，确保可接受的风险级别；

(六) 确保村镇银行信息科技审计有效；

(七) 贯彻有关村镇银行信息科技工作的法律法规，落实中国银监会及其派出机构监管要求；

(八) 向中国银监会及其派出机构报告村镇银行重大信息科技突发事件。

第十 主发起行应设立一个由主发起行高级管理层、多家村镇银行的高级管理层代表，及主发起行负责村镇银行业务、科技管理等部门组成的村镇银行信息科技管理委员会，并履行以下职责：

(一) 组织协商制定村镇银行信息科技战略规划；

(二) 负责村镇银行信息科技重大事项的决策，组织开展村镇银行信息科技建设，建立村镇银行信息科技工作制度和流程；

(三) 组织评估村镇银行信息科技风险并采取相应的风险控制措施；

(四) 定期听取村镇银行对主发起行信息科技工作情况的反馈，持续改进村镇银行信息科技服务；

(五) 向主发起行董事会报告、向村镇银行董事会或履职机构通报村镇银行重大信息科技突发事件。

第十九条 主发起行应建立村镇银行信息科技工作组织体系，包括：

(一) 指派一个部门负责主发起行与村镇银行的信息科技工作统筹协调。

(二) 设立或指派一个部门负责村镇银行信息科技工作，建立的团队负责村镇银行信息系统建设和运行维护；

(三) 设立或指派一个部门负责村镇银行信息科技风险管理工作；

(四) 主发起行审计部门负责村镇银行信息科技审计工作。

第二十条 主发起行应落实本指引第三章中对于村镇银行的监管要求。

第二十一条 主发起行应建立与村镇银行业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略，有效识别、计量、监测和控制信息科技风险。

第二十二条 主发起行应定期开展村镇银行信息科技审计，至少每三年覆盖全部信息科技风险领域，并根据审计结果及时整改。

第二十三条 主发起行应本着“成立初期免费、发展时期减免、成熟稳定时期保本”的原则，建立对村镇银行信息科技服务的收费机制。

第二十四条 村镇银行应积极参加信息科技战略规划、建设和风险管理工作，落实主发起行对村镇银行信息科技工作的要求，配合主发起行对村镇银行的信息科技审计，定期对主发起行承担的村镇银行信息科技工作进行评价，并向村镇银行信息科技管理委员会反馈评价结果。

第二十五条 村镇银行与主发起行应签订信息科技工作委托协议，委托协议应包括但不限于：

(一) 主发起行和村镇银行分别承担的村镇银行信息科技管理责任、权利和义务； 

(二) 主发起行承担的村镇银行信息科技工作内容；

(三) 对村镇银行客户信息的保密要求；

(四) 村镇银行信息科技突发事件应急机制；

(五) 协议变更流程；

(六) 协议的有效期限。

第二十六条 村镇银行主发起行为农村商业银行、农村合作银行或农村信用社的，且主发起行重要信息系统在本省农村信用联社集中运行的，村镇银行可将信息科技工作委托给省农村信用联社，由省农村信用联社履行主发起行管理责任。

第三章信息科技建设与管理

第二十七条 村镇银行应制定符合总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。制定信息科技架构，确定信息系统和基础设施整体框架，保持前瞻性、可扩展性和灵活性，并定期评估。

第二十 村镇银行信息系统应满足以下要求：

(一) 具备有效支持各项银行业务开展所需的功能,满足村镇银行发行银行卡、建立支付结算渠道、发展电子银行业务、创新金融产品等需求；

(二) 具备与业务处理要求相匹配的良好性能；

(三) 应避免使用技术落后、不适应业务发展和风险管理需要的信息系统；

(四) 对于现代化支付、银行卡联网、征信等系统，原则上应实现信息系统集中接入和集约管理。

第二十九条 村镇银行的信息科技基础设施应满足以下要求：

（一）信息科技基础设施建设应遵循资源共享、标准统一、安全可靠、便于管理的原则，满足可扩展性、易维护性的要求，为各类信息科技应用提供支持和服务；

（二）机房建设应满足《电子信息系统机房设计规范》（GB50174 - 2008）要求，信息系统运行所依托的数据中心至少应达到B级标准，承担超过30家（含）村镇银行信息系统运行的，所依托的数据中心应达到A级标准；

（三）机房供电、空调、主机、存储和网络等关键基础设施设备实现冗余配置，避免发生单点故障；

（四）承担超过30家（含）村镇银行信息系统运行或所承担村镇银行资产总量超过300亿元（含）的，应建立重要信息系统同城实时数据级备份中心，并实现RPO不超过24小时的远程数据备份。

第三十条 村镇银行应建立完善的信息科技管理制度和工作规范，包括项目管理、系统开发运行管理、安全管理、数据管理、应急管理、外包管理、风险及审计管理。

第三十一条 村镇银行应建立信息系统开发、运行管理流程，涵盖需求管理、开发管理、测试管理、验收管理、问题管理和变更管理等内容，包括：

(一) 建立需求管理机制，涵盖需求风险分析和可行性研究，确保需求合理、准确；

(二) 建立系统化的开发、测试方法和流程，包括需求分析、设计、编码、测试、评审、发版等环节；

(三) 严格管控信息系统投产上线，上线前应有完备的上线方案和回退方案，上线过程应进行记录和跟踪，投产后应做好系统验收，包括系统功能、性能、安全、文档等；

(四) 建立事件管理流程，快速响应系统运行事件、修复故障，及时恢复系统运行，并深入分析问题根源，防范事件再次发生；

(五) 建立配置管理流程，及时更新数据中心基础设施和重要信息系统的配置信息，支持变更风险评估、变更实施、故障事件排查、问题分析等服务管理流程；

(六) 建立变更管理流程，包括提出、审核、实施、记录等环节，确保信息系统可靠性、可维护性和可追溯性。变更前需进行备份，变更实施需双人操作。信息系统变更应经村镇银行信息科技管理部门确认后方可实施。

第三十二条 村镇银行应建立信息安全管理机制，涵盖物理安全、网络安全、系统安全、加密技术、日志管理等内容，包括：

(一) 明确机房物理安全区域，规范区域访问管理，控制未授权访问风险；

(二) 划分生产网络安全域，互联网和生产网应实现有效隔离，保障网络通信安全；

(三) 建立信息系统访问控制和授权管理体系，根据最小授权原则配置不同用户的访问权限，严格管理高权限账号，规范系统普通账号和密码的创建、变更、删除等，防止非法访问；

(四) 在生产数据采集、存储、传输等过程中应对密码等关键信息采取加密、校验等有效措施，确保该类信息安全，防止被篡改和窃取；

(五) 村镇银行重要信息系统日志和交易日志、系统变更审批记录以及数据使用、变更、备份、销毁审批记录应保存完整，保留期限应符合审计要求。

第三十三条 村镇银行生产数据的所有权归村镇银行。村镇银行以外的单位未经授权，不得查询、使用、变更、销毁村镇银行生产数据。生产数据的管理规范包括：

(一) 生产数据的查询、使用应遵循严格的审批和操作流程，经村镇银行数据管理部门负责人审批同意方可使用。开发测试等需要使用生产数据时，需对数据进行脱敏处理；

(二) 生产数据变更应遵循严格的审批和操作流程，经村镇银行高管层审批同意后，双人实施，并对变更结果进行确认；

(三) 废弃生产数据应经审批后采用不可逆技术手段进行销毁处理，销毁工作由数据管理部门现场监督；

(四) 生产数据至少每日进行备份，备份介质应异地保存，定期对备份数据进行恢复性测试，确保一致性和可用性；

(五) 对于承担多家村镇银行信息系统运行的，应采取技术措施，确保村镇银行生产数据的保密性和完整性。

第三十四条 村镇银行应建立有效的应急管理体系，确保重要信息系统突发事件发生后快速恢复，降低或消除因重要信息系统服务中断造成的影响和损失。包括：

(一) 建立应急管理组织机构，负责信息系统突发事件应急管理工作；

(二) 制定信息系统突发事件应急预案，实施信息系统突发事件应急处置；

(三) 定期组织信息系统应急演练，持续改进信息系统应急预案；

(四) 将同业机构、重要外包服务提供商纳入应急管理。

第四章同业合作管理

第三十五条 村镇银行或主发起行应综合评估拟受托同业机构的行业经验、科技实力和管理能力等，遵循平等、自愿、诚信、互利的原则，委托同业机构承担村镇银行信息科技服务工作。可选择的受托同业机构包括：

(一) 经中国银监会批准、在中华人民共和国境内设立、监管评级为二级（含）以上的银行业金融机构；

(二) 省级农村信用社联合社（以下简称省联社），经中国银监会批准的主要从事银行IT系统、产品的开发和数据运营维护等业务的非银行金融机构。

第三十六条 村镇银行与受托同业机构应签订同业合作协议，在主发起行管理模式下，村镇银行、主发起行、受托同业机构应签订三方合作协议。同业合作协议应包括但不限于以下方面：

(一) 各签约方的责任、权利和义务； 

(二) 信息科技同业合作内容；

(三) 合规与内控要求；

(四) 服务连续性要求；

(五) 知识产权归属；

(六) 与同业合作内容相适应的服务要求或服务水平条款；

(七) 同业合作评价与报告机制；

(八) 受托同业机构在安全和保密方面的责任；

(九) 协议变更流程；

(十) 协议的有效期限。

第三十七条 受托同业机构应建立有效的信息科技治理机制，对其承担的村镇银行信息科技工作负有科技风险管理责任，并配合村镇银行信息科技审计工作。

第三十 受托同业机构开展村镇银行信息科技建设与管理应遵照本指引第三章的要求。

第三十九条 各签约方应建立良好的沟通协调机制，应指定部门负责信息科技事项的沟通工作，确保信息科技服务及时、到位。

(一) 村镇银行或主发起行应定期对受托同业机构的科技服务进行评价，并将评价结果反馈至受托同业机构，促进受托同业机构改进科技服务；

(二) 受托同业机构应确保对村镇银行的信息科技服务水平，包括服务内容、服务流程、系统可用性、响应时间、故障解决率等量化的服务标准等方面；

(三) 受托同业机构应建立对村镇银行或主发起行的回访机制，全面了解村镇银行的工作意见和建议，并根据回访情况制定整改措施。回访频率不低于每年一次。

第五章外包管理

第四十条 村镇银行或主发起行在开展村镇银行信息科技外包活动时，可参照《银行业金融机构信息科技外包风险管理指引》内容进行管理。

第四十一条 村镇银行或主发起行应建立信息科技外包管理制度及流程，有效管控信息科技外包风险。

第四十二条 村镇银行或主发起行应审慎开展村镇银行信息科技外包活动，信息科技外包前应进行全面的可行性分析，防范由于外包而引发的各类风险。可行性分析包括但不限于以下内容：

(一) 拟外包工作对村镇银行业务发展及风险状况的影响；

(二) 对拟外包活动的控制能力；

(三) 拟外包活动对数据安全的影响；

(四) 拟外包活动意外终止对村镇银行的影响；

(五) 中国银监会要求的其他事项。

第四十三条 村镇银行或主发起行实施外包服务项目前，应对服务提供商进行尽职调查。尽职调查内容包括但不限于：

(一) 应当关注服务提供商的技术和行业经验，包括服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等；

(二) 应当关注服务提供商的内部控制和管理能力，包括内部控制机制和管理流程的完善程度、内部控制技术和工具等；

(三) 应当关注服务提供商的持续经营状况，包括从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。

第四十四条 在开展信息科技外包活动时，村镇银行或主发起行应避免选择存在下列情况的高风险外包服务提供商：

(一) 影响和经济稳定；

(二) 违反相关法律、行规及规章；

(三) 窃取、泄露银行业金融机构的敏感信息，并造成恶劣影响；

(四) 外包服务过程中，服务态度恶劣、服务质量低下，且拒不按要求进行改进，并给多家银行业金融机构造成损失；

(五) 由于外包服务提供商原因引发《商业银行业务连续性监管指引》中定义的重大（含）及以上运营中断事件，且未采取有效整改措施；

(六) 外包服务提供商拒绝配合银行业金融机构向银行业监督管理机构提供村镇银行各类数据；

(七) 中国银监会认定的“黑名单”服务提供商；

(八) 其他中国银监会认定的对银行业金融机构造成损失或带来恶劣影响的行为。

第四十五条 村镇银行或主发起行在实施外包服务项目前，应与服务提供商签订外包服务合同，外包服务合同中应明确以下内容：

(一) 服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；

(二) 合规与内控要求，对法律法规及村镇银行内部管理制度的遵从要求、监管的通报贯彻机制、服务提供商的内控措施；

(三) 服务连续性要求，服务提供商的业务连续性管理目标应当满足银行业金融机构业务连续性目标要求；

(四) 村镇银行监控和检查的权力，以及服务提供商配合其内、外部审计机构和监管机构开展延伸检查的责任；

(五) 或环境变化因素等在内的合同变更或终止的触发条件，以及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安排；

(六) 外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；

(七) 服务要求或服务水平条款，至少应包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准及业务连续性要求的遵守情况、技术支持水平等；

(八) 报告条款，至少包括如下内容：常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求；

(九) 安全及保密条款，包括服务提供商不得在合同允许范围外使用或者披露村镇银行信息，不得以村镇银行名义开展活动等；

(十) 外包服务转包和变相转包禁止条款；

(十一) 其他应当明确的事项。

第四十六条 村镇银行或主发起行应与服务提供商签订服务水平协议，并按照服务水平协议要求提供相应的科技服务。服务水平协议应包括但不限于以下方面：

(一) 明确的双方职责描述； 

(二) 详细的服务内容描述；

(三) 服务请求受理流程、故障报告流程等服务工作流程；

(四) 与外包服务相适应的服务水平指标；

(五) 服务质量评价与报告；

(六) 服务水平协议变更流程；

(七) 服务水平协议的有效期限和具体条款的有效期限。

第四十七条 在外包服务实施过程中，村镇银行或主发起行应当对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。

第四十 村镇银行或主发起行应将外包风险审计纳入信息科技审计范围，至少每三年对重要外包服务商进行一次全面审计。外包风险事件发生后，应及时开展专项审计。

第四十九条 村镇银行或主发起行应审慎选择注册地或数据中心在以外地区的外包服务商，充分了解并持续监控服务提供商所在国家或地区的政治、经济和社会状况，详细分析国内外法律法规、监管要求差异，通过建立应急预案等措施防范国别风险。选择境外服务提供商实施外包项目，不应妨碍村镇银行外包服务监控管理职能及监管机构的延伸检查权。

第六章监督管理

第五十条 中国银监会及其派出机构依法对村镇银行信息科技工作实施非现场监管和现场检查。

第五十一条 村镇银行信息科技管理模式为自主管理的，由村镇银行属地监管机构履行信息科技监管职责;信息科技管理模式为主发起行管理的，由村镇银行主发起行属地监管机构履行信息科技监管职责，并联动村镇银行属地监管机构开展监管工作。

第五十二条 村镇银行向中国银监会或派出机构提交开业行政许可申请时，应向属地监管机构报告其信息科技管理模式。采用主发起行管理模式的，主发起行应同时向主发起行属地监管机构报告。管理模式发生变更的，村镇银行及主发起行应于变更前40个工作日分别向属地监管机构报告。

第五十三条 信息科技管理模式为主发起行管理的，村镇银行属地监管机构应逐级上报至中国银监会。

第五十四条 村镇银行或主发起行委托同业机构或服务提供商开展以下信息科技工作时,应在同业合作协议或外包服务合同签订前20个工作日向中国银监会或其派出机构报告。

(一) 信息科技工作整体委托；

(二) 数据中心、灾备中心整体委托；

(三) 涉及将村镇银行客户资料、交易数据等敏感信息交由同业机构或服务提供商进行存贮、分析或处理的；

(四) 涉及跨境的信息科技外包；

(五) 其他中国银监会认为重要的信息科技委托事项。

第五十五条 村镇银行或主发起行委托同业机构或服务提供商开展第五十四条所述信息科技工作的报告内容包括：

(一) 委托服务基本情况，包括：委托服务名称，委托服务的主要内容，实施方式，影响的业务类型（渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类），委托服务起止时间；

(二) 同业机构或服务提供商基本情况，包括：同业机构或服务提供商全称，法人代表，注册资本，成立时间，企业性质；

(三) 中国银监会规定的其他材料。

第五十六条 承担村镇银行重要信息系统运行的主发起行或同业机构应就重要信息系统投产及变更事项在重要信息系统投产前至少20个工作日，变更前至少10个工作日向中国银监会或其派出机构报告。

第五十七条 发生达到《银行业重要信息系统突发事件应急管理规范》报送级别的重要信息系统突发事件时，村镇银行及主发起行应遵照其要求向银监会及派出机构报告。

第五十 对于承担多家村镇银行信息科技工作、集中度风险相对较高的主发起行和同业机构，银监会及其派出机构应定期对其信息科技风险管理的有效性进行评价，并依据其所承接村镇银行的数量、资产规模等情况加强现场检查。

第七章附则

第五十九条 本指引由中国银监会负责解释。

第六十条 本指引自发布之日起实施。下载本文