银行业金融机构信息系统风险管理指引的第五章　运行维护风险控制

第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和**管理等环节产生的风险。第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；（四）记录运行值班过程中所有现象、操作过程等信息。第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；（三）提供维护的统计和报表打印功能。第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。第五十条 银行业金融机构应实行**报告制度，发生信息系统造成重大经济、声誉损失和重大影响**，应即时上报并处理，必要时启动应急处理预案。