关于印发银监会《银行业金融机构信息系统安全保障问责方案》的通知

各银监局，各国有商业银行、股份制商业银行，邮政储蓄银行，各省级农村信用联社：

为督促银行业金融机构建立有效的信息系统安全保障机制，落实信息系统安全保障责任制度，确保银行业金融机构信息系统在北京奥运会期间的安全、持续、稳定运行，现将《银行业金融机构信息系统安全保障问责方案》印发给你们，请认真执行。请各银监局将本通知转发至辖内银行业金融机构，并要求法人机构签署信息系统安全保障承诺书，指导、督促银行业金融机构加强信息安全管理，落实信息系统安全保障责任。

银行业金融机构信息系统安全保障问责方案

为建立有效的银行业金融机构信息系统安全保障体系，落实信息系统安全保障责任，特制定本方案。

一、总体原则

（一）明确责任。银行业金融机构要建立信息安全治理架构，明确董事会、高管层对信息系统安全管理的职责权限，建立并落实信息安全管理责任制。

（二）主动预防。银行业金融机构要建立信息安全突发事件风险防范体系，建立有效的信息安全风险评估、风险预警机制，对可能导致突发事件的风险进行有效识别、分析和控制，并实施对风险指标的动态、持续监测。

（三）快速响应。银行业金融机构要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制，确保突发事件发生时响应及时、联系通畅、操作准确、处理高效。

（四）持续改进。银行业金融机构要定期评价信息安全管理工作，定期对各级信息安全责任人进行考核，持续改进信息安全保障制度及方案。

二、问责机制

（一）各银行业金融机构法定代表人为本机构信息系统安全保障的第一责任人，按照“谁主管谁负责、谁运行谁负责”的原则，层层落实信息安全责任制。

（二）各银行业金融机构要将信息系统安全保障责任分解细化，逐项落实到具体部门、具体责任人，逐级签订信息系统安全保障责任书，强化信息安全管理执行力。

（三）银监会将把银行信息安全事件管理纳入到银监会统一的重大失职和大案要案责任追究认定管理范畴内，建立起信息安全非现场和现场检查激励约束机制，并把信息系统安全事件报告制度执行情况列为对银行业金融机构考核内容。

（四）银监会和各银监局按照监管权责，敦促法人机构签署信息系统安全保障承诺书，明确高管人员对信息系统安全保障的管理责任。

（五）对于以下情形，银监会及其派出机构根据信息系统安全保障承诺书追究银行业金融机构信息安全管理责任人责任。对于信息安全管理失职并造成严重不良后果的，将对其通报批评，情节特别严重、造成严重危害后果的，依据有关规定追究法律责任。

1.因信息安全管理工作不到位或失职，导致本机构发生重大信息安全事件；

2.迟报、漏报、瞒报信息安全事件，或对信息安全事件处理措施不到位；

3.不遵守有关信息安全规章制度，不执行上级部门及监管部门的信息安全管理要求。

三、组织机制

各银行业金融机构要建立有效的信息安全治理架构，制定信息安全战略，完善信息安全内部管理组织架构和工作机制，将信息安全管理纳入本机构整体信息科技风险管理框架。

（一）各银行业金融机构要高度重视和支持信息安全管理工作，法定代表人要对本机构信息安全管理负总责。要成立信息安全领导机构，由高管层、风险管理部门、信息科技部门、审计部门、合规部门及相关业务部门负责人共同组成，负责重大信息安全事项的决策和审批，明确各部门的信息安全管理职能分工，授权有关部门和人员组织开展信息安全工作，为实施信息安全管理提供坚强的组织保障。